• 网站地图|收藏本站|数学学习|学习方法|电脑学习|教学大全|生活常识|句子大全|管理资料下载|范文大全
    •
    当前位置:来学啊学习教育电脑学习电脑基础从硬盘的结构谈数据恢复» 正文

    从硬盘的结构谈数据恢复

    时间:10-14 10:27:50来源:http://www.laixuea.com 电脑基础阅读:8939

    概要:126C:0410 6E 76 61 6C 69 64 20 70-61 72 74 69 74 69 6F 6E nvalid partition126C:0420 20 74 61 62 6C 65 00 45-72 72 6F 72 20 6C 6F 61 table.Error loa126C:0430 64 69 6E 67 20 6F 70 65-72 61 74 69 6E 67 20 73 ding operating s126C:0440 79 73 74 65 6D 00 4D 69-73 73 69 6E 67 20 6F 70 ystem.Missing op126C:0450 65 72 61 74 69 6E 67 20-73 79 73 74 65 6D 00 00 erating system..126C:0460 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................126C:0470 00 00 0

    从硬盘的结构谈数据恢复,标签:电脑基础教程,电脑基础知识,http://www.laixuea.com

    126C:0410 6E 76 61 6C 69 64 20 70-61 72 74 69 74 69 6F 6E nvalid partition

    126C:0420 20 74 61 62 6C 65 00 45-72 72 6F 72 20 6C 6F 61 table.Error loa

    126C:0430 64 69 6E 67 20 6F 70 65-72 61 74 69 6E 67 20 73 ding operating s

    126C:0440 79 73 74 65 6D 00 4D 69-73 73 69 6E 67 20 6F 70 ystem.Missing op

    126C:0450 65 72 61 74 69 6E 67 20-73 79 73 74 65 6D 00 00 erating system..

    126C:0460 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

    126C:0470 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

    126C:0480 00 00 00 8B FC 1E 57 8B-F5 CB 00 00 00 00 00 00 ......W.........

    126C:0490 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

    126C:04A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

    126C:04B0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01 ................

    126C:04C0 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00 00 00 ......?...~.....

    126C:04D0 81 FD 0F FE FF FF BD 86-BB 00 E0 A9 75 00 00 00 ............u...

    126C:04E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

    126C:04F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA ..............U.③ 反汇编主引导区内容:判定MBR的代码区是否正常,对于数据区的基本情况,我们可以通过直观观察得出,但对于存在引导型病毒,或者引导区出现异常代码的情况,我们可能需要分析MBR中代码区的指令。这一般要对已经读入内存的引导区进行反汇编。反汇编用指令U,续前例:

    -u300 l15D ;反汇编主引导扇区代码区内容

    126C:0300 33C0 XOR AX,AX

    126C:0302 8ED0 MOV SS,AX

    …………

    126C:045C 65 DB 65

    126C:045D 6D DB 6D

    ④ 写内存单元,在我们的前例中,主分区类型是0B是FAT32的,假定这个类型实际是NTFS的,我们该如何修改呢?由于主分区类型的偏移是4C3H,我们可以用E命令写到内存单元中,从附表中查得NTFS的类型为07。因此-e4c3 7再比如说,假定我们想把无效的分区表清零,那么,我们应当用另一个命令F,这个命令可以用填充一个内存地址范围。清零分区表的操作就是-f4be 4ff 00,以下两个操作也比较常见。

    重置80标记,-e4be 80

    重置55AA标记,-f4ff 4fe 55 aa

    不要忘记了,此时仅仅是改动了内存中的数据,并未写到硬盘上。因此需要用int 13中断把改写的结果,写回硬盘。续前例,

    -a100

    126C:0100 mov ax,301 ; 写操作一个扇区

    -g=100 ;执行

    其实,我们相当于修改了刚才输入的读主引导扇区程序,使程序变为。

    126C:0100 mov ax,301 ; 写操作一个扇区

    126C:0103 mov bx,300 ;从内存地址300

    126C:0106 mov cx,1 ;0面1扇

    126C:0109 mov dx,80 ;80H为硬盘,头为0

    126C:010C int 13

    126C:010E int 3 ;断点

    ⑤ 绝对磁盘内容的读出与写入

    类似操作在FAT32结构硬盘被CIH破坏的修复中比较常见,我们后面将讲到恢复的基本思路就是用第二FAT表覆盖第一FAT表。那么无疑要读出第二FAT表的内容,再回写到第一FAT表的位置上。一般的来说,大量连续扇区的读出写入DISKEDIT进行非常方便,如果用DEBUG做则要写一段子程序,不过程序的主要技巧就是利用int 25绝对磁盘读中断读出的内容,而用int 26绝对磁盘写做内容写入。

    5、数据可恢复的前提

    有人觉得这个题目说法比较奇特,但数据恢复,作为一个数据再现的过程,一定要解决两个问题,第一是从哪里恢复的问题,第二是怎么恢复的问题。解决了这两个问题,我们事实上就把握了数据恢复的全部思想脉络。而这一部分就是从哪里恢复的问题。

    ①、 有效而及时的备份中是数据恢复最可靠的来源,在许多人倡导备份到秒的今天,恐怕不会有人怀疑这点。而有些备份机制则是系统内建的,比如两份FAT表。

    上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18]  下一页


    Tag:电脑基础电脑基础教程,电脑基础知识电脑学习 - 电脑基础

    上一篇:图解网线水晶头的制作方法

    分类导航
    最新更新
    推荐热门