I. 데이터에 대한 잠재적 위협
1. 맬웨어: 가장 일반적인 맬웨어는 바이러스입니다. 많은 사람들은 바이러스가 데이터에 미치는 영향이 단지 바이러스의 파괴적일 뿐이라고 생각하는데, 이것은 옳지 않다. 사실 바이러스 감염 자체는 일종의 파괴이다. 바이러스는 부트 영역, 실행 파일 또는 OFFICE 문서를 수정하여 일반 데이터를 변경합니다. 물론, 당신은 양성 동반 바이러스의 극단적인 예를 들 수 있다. 그러나 의심의 여지없이, 그것은 또한 데이터를 파괴하고, 적어도 너의 하드 드라이브에서 사용 가능한 공간을 줄였다. 동시에, 악성 프로그램에는 트로이 목마, 논리 폭탄 등도 포함된다. 악성 프로그램으로 인한 피해는 복구하기가 가장 어려울 수 있습니다.
2, 기타 악성 파괴, 바이러스나 기타 도구의 도움이 없어도 충분한 권한이 있다면 어떤 시스템도 어느 정도' 자폭' 능력을 가지고 있다. 예를 들어 시스템의 정상적인 삭제, 이동 및 포맷은 데이터를 손상시킬 수 있습니다. 네트워크 기술이 발전함에 따라 위협은 로컬에만 국한되지 않습니다.
3. 오작동: 많은 데이터 손실은 사용자의 조작 실수로 인해 발생합니다 (예: 오삭제, 오포맷 등).
4. 운영 체제 또는 어플리케이션 소프트웨어 오류: 운영 체제 및 어플리케이션의 코드 양이 기하급수적으로 증가함에 따라 버그도 증가하고 있습니다. 우리가 가장 많이 사용하는 데스크톱 시스템인 WIN9X 는 바로 BUG 왕이다. 운영 체제와 애플리케이션 소프트웨어의 오류는 종종 사람들의 업무에 예측할 수 없는 영향을 미친다. 예를 들어, FRONTPAGE98 의 버그를 미리 발견하면, 트리거된 후 디렉토리 아래의 모든 파일을 삭제합니다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 성공명언) 또한, 유명한 게임 신화 2 와 같은 심각한 문제가 있습니다. 기본 디렉토리에 설치하지 않으면 확장 파티션을 잃을 수 있습니다.
5. 암호화 및 권한: 암호화 및 권한 설정은 데이터를 보호하는 효과적인 수단이지만 비밀번호를 잊어버리면 큰 문제가 될 수 있습니다.
6. 전원 끄기: 기계의 갑작스러운 정전의 결과는 메모리 데이터 손실뿐만 아니라 디스크 데이터 손실이나 시스템이 제대로 부팅되지 않을 수 있습니다.
7. 메모리 오버플로: 메모리 오버플로 또는 불법 프로세스 종료와 같은 저수준 오류의 원인은 여러 가지가 있습니다. 정전처럼 지금의 직업을 잃게 할 것이다.
8. 업그레이드: 소프트웨어 시스템 업그레이드로 인해 때때로 문제가 발생할 수 있습니다. 이에 대한 예를 들어보겠습니다.
9. 하드웨어 손상 및 도난: 이것은 가장 심각한 위협 중 하나일 수 있습니다. 때로는 데이터 복구 기회를 0 으로 줄일 수 있습니다.
둘째, 데이터 손실의 다양한 논리적 현상
데이터 복구는 기본적으로 논리적 프로세스입니다. 형세에 대해 정확한 판단을 해야 정확한 반응을 할 수 있다. 전반적으로 문제는 다음과 같이 요약할 수 있다.
1, 하드 드라이브가 올바른 부팅을 완료하지 못함: 물리적 장애, 부트 영역 장애, 중요한 섹터 충돌 등으로 인한 논리적 손상으로 인해 시스템이 정상적인 부트 프로세스를 완료하지 못합니다.
2, 파일 손실: 의도적 인 파괴, 우발적 인 삭제 등으로 인해. 데이터 손실을 초래할 수 있습니다. 또한 이러한 분류에는 하나 이상의 파일뿐 아니라 디렉토리, 파티션 또는 볼륨 손실에도 적용됩니다.
3, 파일이 제대로 열리지 않습니다: 바이러스 감염, 암호화, 헤더 손상 등으로 인해 파일이 제대로 열리지 않습니다.
4. 데이터 혼란: 여러 가지 요인으로 인해 데이터베이스의 정보와 텍스트 파일이 인식되지 않을 수 있습니다.
셋. 데이터 보호 권장 사항
이 주제는 정보 보호가 아니라 데이터 복구에 관한 것이기 때문에, 한 마디로, 미연에 방지한다. 우리는 이미 데이터에 대한 위협을 나열했다. 이러한 위협을 최소화하고 예측할 수 있는 모든 잠재적 위협에 대해 적절한 예방과 대책을 마련하면 데이터 보안이 극대화됩니다. 이러한 대책은 주로 좋은 안티바이러스 및 시스템 유지 관리 제품 선택, 보안 조치 강화, UPS 정전 보호, 사용자의 운영 수준 및 보안 인식 향상, 시스템 정보 관리 및 백업 시스템 형성 등을 포함합니다. 데이터 보안을 효과적으로 보장할 수 있습니다. 간단히 말해서, 데이터 복구에 대한 나의 이해는 바이러스와 같습니다. 즉, 예방 조치를 취하는 것입니다.
둘째, 데이터 복구 준비 지식.
1. 시스템 작동 메커니즘 소개 (이 섹션에서는 lowpower 약어로 사용) 는 원작에서 가장 중요한 장이다. 편폭을 감안하여 이미 많이 삭제되었다.
(1), DOS(DOS 호환 시스템) 하드 드라이브 데이터.
DOS 디스크 시스템은 논리적 파티션의 개념에 따라 물리적 공간을 관리할 수 있으며, 파티션마다 다른 OS 시스템을 로드할 수 있습니다. 도식은 다음과 같습니다.
하드 디스크 공간
첫 번째 섹터 | 파티션 1| 파티션 2| 파티션 3| 파티션 4 |
주 부트 섹터 부트 섹터 부트 섹터 부트 섹터 부트 섹터 부트 섹터 부트 섹터 부트 섹터
파티션마다 공통 | 파티션은 상대적으로 독립적이며 서로 다른 운영 체제를 설치할 수 있습니다.
FAT 구조의 파티션의 경우 각 파티션에는 별도의 부트 레코드, FDT 테이블, FAT 테이블 등이 있습니다. 또한 시스템에는 가장 중요한 마스터 부트 레코드가 있습니다. 0 열과 0 평면 1 섹터에서 향후 열을 나타내는 CYL, 평면을 나타내는 SIDE, 섹터를 나타내는 sec 를 사용합니다. 다음은 FAT 구조 파티션의 다이어그램입니다.
예약 영역-디스크 매개변수 테이블, DOS 부트 레코드
제어 영역 -FAT 테이블 1 및 FAT 테이블 2 의 루트 영역
데이터 영역-데이터 영역
다음은 중요한 부분에 대한 간단한 소개입니다.
마스터 부트 레코드는 마스터 파티션 테이블, MBR 등으로도 알려져 있습니다. : MBR 은 CYL0, SIDE0 및 SEC 1 의 코드 영역과 데이터 영역으로 구성된 섹터를 차지합니다. 여기서 코드 영역은 BIOS 에서 OS 부팅으로 부팅을 완료하고 OS 부팅을 위한 최종 준비를 하는 표준 프로그램입니다. FDISK/MBR 은 표준 코드 영역을 재구성할 수 있지만 다중 시스템 부팅 비표준 MBR 의 경우 표준 코드 영역을 손상시킬 수 있습니다. MBR 의 데이터 영역에는 파티션 상태가 기록됩니다.
시스템 섹터: CYL0, SIDE0, SEC 1-CYL0, SIDE0, SEC63, * * 62 섹터 부트 영역을 부트 영역이라고도 합니다. CYL0, side/kloc- 이것이 우리가 과거에 DOS 부트 영역이라고 불렀던 것입니다. 또한 섹터를 차지합니다.
FAT 라고도 하는 파일 할당 테이블은 파일이 클러스터를 차지하는 상황과 연결 관계를 기록하는 곳입니다. 일반적으로 두 개의 뚱뚱한 시계가 있어 백업 역할을 한다. FAT 12 와 FAT 16 의 첫 번째 지방표는 보통 0- 1-2 이고 FAT32 의 첫 번째 지방표는 0-1입니다 뚱뚱한 테이블 기록 파일이 섹터 연결부를 차지하기 때문에 두 뚱뚱한 테이블이 모두 고장나면 결과는 상상도 할 수 없다.
FAT 테이블의 길이는 현재 분할 영역의 크기와 관련이 있으므로 FAT2 의 주소를 계산해야 합니다.
루트 영역 (루트, ROOT): 루트 영역의 카탈로그 파일 항목이 여기에 기록되고 루트 영역 뒤에는 FAT2 가 옵니다.
데이터 영역: 루트 영역, 즉 데이터 내용을 따릅니다.
실제로 MBR 을 재구성하고, 섹터를 숨기고, 부트 영역을 쉽게 만들 수 있습니다. 데이터 복구의 핵심은 데이터 파일을 복구하는 것입니다. FAT 테이블은 두 FAT 테이블이 완전히 손상된 경우 하드 디스크의 파일이 섹터를 차지하는 연결된 목록을 기록하기 때문입니다. 그런 다음 파일을 복구하는 것은 상당히 어렵습니다. 특히 파일이 여러 개의 불연속 섹터를 차지합니다.
(2), 마스터 부트 레코드 간단한 설명:
마스터 부트 레코드는 하드 드라이브 부트의 출발점이며 코드 영역은 더 이상 말하지 않습니다. 데이터 영역에서 두 개의 플래그가 더 중요합니다. 80H 와 55AA, 80H 는 일반적으로 1BE 에서 오프셋되고, 80 은 파티션이 활성화되는 플래그입니다. 즉, 시스템을 부팅할 수 있으며 전체 파티션 테이블에는 하나의 80 플래그만 있을 수 있습니다. 다른 하나는 마스터 부트 레코드가 유효한 레코드임을 나타내는 끝에 있는 55AA 태그입니다. 또한 각 파티션 자체의 부트 레코드도 55AA 로 끝납니다. 이는 파티션을 찾은 표시입니다. 안내 기록을 파악하는 방법에 대한 전체 파티션 테이블의 예를 들어보겠습니다. 데이터 영역에서 파티션은 10H 바이트로 표시되며 1BE, 1CE, 1DE 에서 최대 4 개의 파티션을 나타낼 수 있습니다 우리는 뒤에 구역 항목의 해당 주소의 의미를 제공할 것이다. 이에 따라 다음 구역의 상황을 분석할 수 있다.
800101000bfebfc 3f00-00007e86bb00
① ② ③ ④ ⑥ ⑥ ⑥
① 활성화 플래그, 80 은 부팅 가능한 파티션을 나타냅니다.
②: 파티션의 첫 번째 번호는 0 1, 시작 섹터 번호는 0 1, 시작 실린더 번호는 00 입니다. 시작 섹터 번호는 6 비트 이진이고 시작 실린더 번호는 10 비트 이진이므로 섹터 번호에 사용된 바이트의 높은 두 자리는 실린더 번호의 높은 두 자리에 추가됩니다.
③: 파티션의 시스템 유형은 FAT32(0B), 0 1 fat12,04 는 fat16,06 은 BIGDOS, 016,06 입니다
④: 분할 끝 번호 1 위 254, 분할 끝 섹터 번호 63, 분할 끝 실린더 번호 764.
⑤: 첫 번째 섹터의 상대 섹터 수는 63 이다
⑥: 총 섹터 수는 12289622 입니다.
2. 일반적으로 사용되는 수동 처리 도구 및 DOS 외부 명령 소개
DEBUG: 가장 오래되고 가장 일반적인 디버깅 및 추적 소프트웨어는 항상 Microsoft 의 DOS/WIN9X 운영 체제에 번들로 제공됩니다. 19 하위 명령이 있습니다. 어셈블리 명령을 작성하고 실행하여 절대 섹터 및 저장 장치를 직접 읽고 쓸 수 있는 기능을 갖추고 있어 가장 어려운 조건에서 작업할 수 있습니다. DOS6.22 이하 시스템의 경우 DEBUG.EXE 는 DOS 디렉토리, WIN9X 시스템, WINDOWS\COMMAND 디렉토리, WIN9X 생성 비상 디스크에도 나타납니다.
DISKEDIT: 공통 16 base 편집 소프트웨어 (문자 인터페이스 포함), 파일 및 섹터 모드의 논리적 내용 읽기/쓰기, 절대 섹터 읽기/쓰기, 파티션 테이블, FAT 테이블, 루트 영역 등 중요한 섹터를 쉽게 찾아 편집할 수 있습니다. 이것은 디버깅보다 더 편리하다. 그러나 일부 중요한 섹터가 손상되면 DISKEDIT 가 시작되지 않을 수 있습니다. DISKEDIT 소프트웨어는 유명한 NortonUtilities 패키지에서 찾을 수 있습니다. 최신 DISKEDIT 가 NU4 에 나타납니다.
NDD: 일반적인 FAT 파일 구조 디스크 복구 도구인 노턴 디스크 의사는 파티션 손실을 자동으로 복구하고 플로피 디스크의 불량 영역에 대한 데이터를 구한 다음 강제로 읽어서 다른 빈 섹터로 이동할 수 있습니다. 노섬퍼스 7 이나 8 의 NDD 를 더 이상 사용하지 않기를 바랍니다. 이 버전은 큰 파티션, FAT32, 긴 파일 이름 등의 기술을 지원하지 않기 때문에 많은 문제를 일으킬 수 있습니다. NortonUtilities4 이상에서는 순수 DOS 아래의 도구인 NDD.EXE 를 사용하는 것이 좋습니다. 하드 드라이브가 충돌하거나 비정상적인 경우 사용자에게 희망을 줄 수 있습니다. WIN9X 의 디스크 의사는 이 프로그램이 아니라
NDD32.EXE 입니다.
FDISK: 물론 FDISK:FDISK 는 위험한 명령입니다. 많은 사람들이 매우 두려워합니다. 실제로 FDISK 명령의 작동은 파티션의 하드 드라이브 데이터에 영향을 주지 않습니다. 파티션에 대한 그의 설정 작업은 주 파티션 테이블의 데이터 영역만 변경했을 뿐입니다. 특히 FDISK 의 중요한 암시적 매개변수 /MBR 은 마스터 파티션 테이블의 코드 영역을 재구성하고 마스터 부트 바이러스를 제거할 수 있습니다. 이것은 매우 유용한 작업입니다. DOS6.22 이하 시스템의 경우 FDISK.EXE 는 DOS 디렉토리, WIN9X 시스템, WINDOWS\COMMAND 디렉토리, WIN9X 생성 비상 디스크에도 나타납니다.
포맷: 어떤 사람들에게는 포맷이 가장 무서운 명령이지만 하드 드라이브를 지우지는 않습니다. 특히 많은 파일 복구 툴은 복구 전에 파티션을 포맷하여 보호하는 것이 좋습니다. DOS6.22 이하 시스템의 경우 FORMAT.COM 은 DOS 디렉토리, WIN9X 시스템, WINDOWS\COMMAND 디렉토리, WIN9X 생성 비상 디스크에도 나타납니다.
하드 디스크 복사: 전통적인 플로피 복사 도구입니다. 버전 2.0 이후 강제 읽기 기능이 추가되어 손상된 섹터의 내용을 읽을 수 있습니다.
SYS:SYS 명령은 부트 영역을 재구성하는 가장 쉬운 방법이며 부트 영역의 바이러스를 죽일 수 있습니다. DOS6.22 이하 시스템의 경우 sys.COM 은 DOS 디렉토리, WIN9X 시스템, WINDOWS\COMMAND 디렉토리, WIN9X 생성 비상 디스크에도 나타납니다.
유감스럽게도 지금까지 우수한 섹터 레벨 백업 미러링 툴을 찾지 못했습니다. 나는 일찍이 HD 미러를 쓴 적이 있지만, 많은 착오로 인해 다운로드를 제공한 다음날 발표를 중단했다. 또한 fixc 의 저자인 noz 는 clone.exe 를 썼지만, 아쉽게도 같은 하드 드라이브에만 적합하다. 나는 유령도 할 수 있다고 생각했다. 사실, 현재로서는 그가 너에게 아주 심하게 손상된 하드 드라이브를 백업해 줄 것을 기대할 수 없다. 。 파일 메커니즘이 아닌 섹터 메커니즘을 통해 하드 드라이브를 미러 파일로 압축하는 효과적인 방법이 있다면 복구 작업에 더 많은 보증과 여유가 생깁니다. 우리는 더 과감한 회복을 시도할 수 있다.
3. 일부 자동화 도구 또는 패키지
먼저 국내 무료 수리 도구를 소개하겠습니다.
FIXMBR: 논리 파티션이 손실되는 경우를 처리하기 위해 MBR 을 복구하는 데 적합한 도구는 무엇입니까? FAT32, FAT 16 지원, NTFS 지원 안 함, LINUX 등 파티션 지원, 8.4G 이상의 하드 드라이브 지원, CIH 공격 후 확장 논리 파티션을 복구할 수 있는 옵션 매개변수가 있습니다.
VRVFIX: Beisource Corporation 에서 출시한 하드 디스크 복구 도구는 논리적 파티션 손실을 처리하기 위한 것으로, 기본적으로 정확합니다. FAT32 및 FAT 16 이 지원되고 NTFS, LINUX 등의 파티션은 지원되지 않습니다. 8.4G 이상의 하드 드라이브는 지원되지 않습니다.
FIXC: 국내에서 가장 먼저 CIH 가 손상된 일부 CD 를 수리할 수 있는 도구는 NOZ 가 쓴 것이다. 이번 릴리즈에는 파티션 정보 복구 기능, FAT32 및 FAT 16 지원, NTFS 제한적 지원, 8.4G 이상의 하드 드라이브 지원 기능이 추가되어 현재 버전이 더욱 완벽해졌습니다.
FixhDPT:TB soft Studio 용 파티션 정보 복구 도구. FAT32, FAT 16, NTFS 및 LINUX, 8.4G 이상의 하드 드라이브를 지원하지 않습니다. 이는 유서 깊은 도구 중 하나입니다.
RE(ReapirEasy): FAT32 및 FAT 16 지원, 제한된 NTFS 지원, 8.4G 이상의 하드 드라이브 지원 안 함, 일부 BIOS 가 호환되지 않는 파티션 테이블 복구 툴을 작성했습니다. 전체 수준이 위에 나열된 도구보다 낮습니다. 외국의 일부 시스템 유지 관리 도구는 현재 이미 매우 강력한 수준에 이르렀다.
가장 오래된 시스템 유지 관리 도구. 데이터를 복구할 수 있을 뿐만 아니라 메모리 오류를 가속화하고 복구할 수 있습니다. 현재 최신 버전은 9x 용 nu 4.5, NU2FORNT 등입니다.
Tiramint: NTFS, FAT32, FAT 16, NOVELL4 등 네 가지 버전으로 제공되는 최고의 재해 복구 도구 중 하나입니다. 깊게 손상된 디스크를 교차 복구할 수 있는 비상 플로피 디스크를 생성합니다.
4. 일반적인 기본 작업
1 마스터 부팅 레코드 읽기: 시스템 수준 데이터 복구에서 가장 복잡한 프로그램 중 하나입니다. 예:
디버깅
-a100; 여기서부터 컴파일을 시작합니다.
126C:0 100movax, 201; 섹터를 읽습니다
126C:0 103movbx, 300; 발송 주소 300
126C:0 106movcx,1; 0 면 1 팬
126C:0 109movdx, 80; 80H 는 하드 드라이브이고 머리는 0 입니다.
126c: 010 cint13
126C:0 10Eint3
126C:0 10F
-g =100; 실행
Ax = 0050bx = 0300cx = 0001dx = 0080sp = ffeebp = 0000si = 0000di = 0000ds =/kloc-;
여기에 사용된 I/O 인터럽트 13 은 ah 의 레지스터 의미, 작동 방식, 02H 읽기, 03H 쓰기, al 전송 섹터 수, bx 가 로드할 섹터의 메모리 오프셋 주소, CX 가 시작되는 섹터를 포함합니다. 일반적으로 CX 를 변경하여 다른 논리 디스크의 논리 섹터를 읽고 씁니다. Dx 트레이 기호와 1 위 INT 3 은 모두 중단점 인터럽트입니다. 여기서 프로그램 실행을 중지합니다.
② 부트 영역의 내용을 표시한다: 섹터를 어떤 메모리 주소로 읽는 것은 우리의 목적이 아니다. 그러나 그의 내용을 보기 위해 D 명령은 DEBUG 에서 메모리 셀의 내용을 쉽게 볼 수 있습니다. 앞의 예를 계속 진행하면 기본 부트 영역의 내용이 300 으로 로드되기 때문에 기본 부트 영역의 내용을 보고 싶습니다. -d300l200 은 볼 수 있습니다. 부트 영역의 이미지는 다음 그림과 비슷하며 앞서 언급한 코드 영역과 데이터 영역을 시각적으로 볼 수 있습니다. 정상인지 아닌지 스스로 분석해 주세요.
126c: 030033c08ed0bc007cfb-5007501ffcbe1b7c3 ....|. p.p..p..
126c: 0310bf1b065057b9e501-f3a4cbbebe07b/kloc .............
126c: 0320382 c7c09751583c6-10e2f5 CD188b/kloc U .............
126c: 0330ee83c61049741638-2c74f6be10074eac/
126c: 03403 c0074 fabb0700b4-0 ECD10 ebf 2894625 < 。 T...........F
126c: 0350968a4604b4063c0e-7411b40b3c0c7405 .. f ..<. T ... & lt.t.
126c: 03603 ac4752b40c64625-067524bbaa550b4:. U @ .F.u $ ... 위로.
126c: 037041CD1358721681FB-50
126c: 03800b8ae0885624c706-a106eb1e886604bf ... 5 달러 ... F. .....
126c: 03900a00b801028bdc33-c983ff057f038b4e .... 3 ...... 일반
126c: 03a025034e02cd137229-be4607813efe7d55. 보통 ... r). F..& gt. }U
126c: 03b0aa745a83ef057fda-85f67583be2707eb.tz ...... u ..' .....
126c: 03c08a98915299034608-13560ae812005aeb ..
126c: 03d0d54f74e433c0cd13-ebb80000000000. Ot.3 .............
126c: 03e05633f656525006-5351be1000568bf4v3. VVRP 평방 피트 ... v .....
126c: 03f05052b800428a5624-CD135a588d641072pr .. b.v $ ..
126c: 04000a4075014280c702-e2f7f85ec3eb7449. @ u.b ...... 전음계의 7 음계
126c: 04106e76616c69642070-6172746974696 F6 env6
126c: 0420207461626c650045-72726f72206 c6f61표. 오류 loa
126c: 043064696 e67206 f7065-726174696 e672073 작동
126c: 0440797374656 d004d69-7373696 e67206 f70 system. 실종인구
126c: 045065726174696e6720-73797374656 d0000 운영 체제 .....
126c: 046000000000000000-000000000000000 .....................................
126c: 047000000000000000-000000000000000 .....................................
126c: 048000000008bfc1e578b-f5cb 0000000000 ..... w .........
126c: 049000000000000000-000000000000000 .....................................
126c: 04a0000000000000000-000000000000000000 .....................................
126c: 04b 00000000000000000-0000000000000000001 .....................................
126c: 04c001000bfebfc 3f00-00007e 86bb00000 ...? ... ~ .....
126c: 04d081fd0 ffefffbd86-bb00 e0a 97500000 ...... u ...
126c: 04e000000000000000-00000000000000000 .....................................
126c: 04f000000000000000000-000000000000000055aa ...... 단위
③ 주 부트 영역의 내용을 디스어셈블합니다. MBR 의 코드 영역이 정상인지 여부를 판단하고 직관적인 관찰을 통해 데이터 영역에 대한 기본 정보를 얻을 수 있지만 부트 영역에 부트 바이러스나 예외 코드가 있을 경우 MBR 의 코드 영역에 대한 명령을 분석해야 할 수 있습니다. 이를 위해서는 일반적으로 메모리로 읽은 부트 영역을 분해해야 합니다. 제거 지침 u, 위 연결 예:
-u300l15d : 주 부트 섹터 코드 영역의 내용을 분해합니다.
126C:030033C0XORAX, AX
126C:03028ED0MOVSS, AX
...... ......
126C:045C65DB65
126C:045D6DDB6D
④ 저장 장치 쓰기. 이 예에서 기본 파티션 유형은 0B 와 FAT32 입니다. 이 유형이 실제로 NTFS 라고 가정하면 어떻게 수정합니까? 주 파티션 유형의 오프셋이 4C3H 이므로 E 명령을 사용하여 메모리 장치에 쓸 수 있습니다. 일정표에서 NTFS 유형이 07 이라는 것을 알 수 있습니다. 그래서 -e4c37 또 다른 예를 들어, 유효하지 않은 파티션 테이블을 지우려는 경우 메모리 주소 범위를 로 채울 수 있는 또 다른 명령인 F 를 사용해야 합니다. 파티션 테이블을 지우는 작업은 -f4be4ff00 이며 다음 두 작업도 일반적입니다.
80 플래그 재설정, -e4be80
55AA 로고 재설정, -f4ff4fe55aa
이때 메모리의 데이터가 수정되었을 뿐 하드 드라이브에 기록되지 않았다는 것을 잊지 마세요. 따라서 int 13 인터럽트를 사용하여 다시 쓴 결과를 하드 드라이브에 다시 기록해야 합니다. 선례를 이어가고,
-a 100
126C:0 100movax, 301; 섹터를 하나 쓰다.
-g =100; 실행
사실 방금 들어온 프로그램을 수정하여 마스터 부트 섹터를 읽는 것과 같습니다. 이렇게 하면 프로그램이 됩니다.
126C:0 100movax, 301; 섹터를 하나 쓰다.
126C:0 103movbx, 300; 스토리지 주소 300 에서
126C:0 106movcx,1; 0 면 1 팬
126C:0 109movdx, 80; 80H 는 하드 드라이브이고 머리는 0 입니다.
126c: 010 cint13
126c: 010 eint3; 중단점
⑤ 절대 디스크 내용을 읽고 씁니다.
이와 유사한 작업은 CIH 가 손상된 FAT32 하드 드라이브 복구에서도 흔히 볼 수 있습니다. 복구의 기본 아이디어는 두 번째 FAT 테이블로 첫 번째 FAT 테이블을 덮는 것입니다. 두 번째 뚱뚱한 테이블의 내용을 읽어서 첫 번째 뚱뚱한 테이블의 위치로 다시 써야 한다는 것은 의심의 여지가 없다. 일반적으로 DISKEDIT 에서 대량의 연속 섹터를 읽고 쓰는 것이 편리합니다. DEBUG 를 사용하면 하위 프로그램을 작성하지만 프로그램의 주요 기술은 int25 절대 디스크로 읽은 내용을 읽고 인터럽트하고 int26 절대 디스크로 내용을 쓰는 것입니다.
5, 데이터 복구 전제 조건
어떤 사람들은 이 주제가 이상하다고 생각하지만, 데이터 복구 과정은 하나의 데이터 재생산 과정으로서 두 가지 문제를 해결해야 한다. 첫 번째는 어디서부터 복구하는 것이고, 두 번째는 어떻게 복구하는 것이다. 이 두 가지 문제를 해결함으로써 우리는 실제로 데이터 복구의 모든 사상적 맥락을 파악했습니다. 그리고 이 부분은 어디서 회복될 것인가에 대한 문제입니다.
(1), 효과적이고 시기 적절한 백업은 데이터 복구의 가장 신뢰할 수 있는 원천이며, 많은 사람들이 초로의 백업을 주장하는 오늘날 아무도 이를 의심하지 않을 것입니다. 시스템에는 두 개의 FAT 테이블과 같은 백업 메커니즘이 내장되어 있습니다.
(2), 데이터의 실제 효율성이 핵심입니다. 우리에게는 하드 드라이브가 부팅되지 않고, 파일을 찾을 수 없고, 파일을 열 수 없습니다. , 실제로 데이터 손실과 같지 않습니다. 이 시점에서 데이터는 종종 운영 체제의 관점에서 논리적으로 손실되지만 물리적 섹터의 관점에서 여전히 존재하거나 부분적으로 존재하기 때문입니다. 가장 분명한 예는 파일 삭제입니다. 사실, 이것은 단지 파일의 첫 바이트를 0E 로 바꾸는 것입니다. 파일 본체는 여전히 존재합니다.
③ 데이터 손상 과정의 가역성 분석: 데이터에 대한 변경은 두 가지, 대체와 변환뿐이다. 전자는 되돌릴 수 없고, 후자는 되돌릴 수 있다. 우리는 바이러스 백신을 예로 들었다. 대부분의 파일 바이러스에 이상적인 바이러스 백신 과정은 대체보다는 첨부로 감염된 파일 바이러스를 감염시키는 역과정이다. 이 분석은 중요한 정보가 숨기기, 이동 또는 암호화될 때 흔히 볼 수 있지만 분석이 더 복잡해질 수 있습니다.
(4) 데이터 자체가 표준인지 여부: 일부 정보는 실제로 통용되거나 부분적으로 통용되므로, 너는 이 기계에서 어떻게 구출할 것인지 고려할 필요가 없다. 시스템 버전이 동일하거나 유사한 한 부트 영역, 숨겨진 섹터, WINDOWS 의 DLL 파일 등이 있습니다. 일반적인 예는 파티션 테이블의 코드 영역입니다. 이는 표준 코드입니다. 사실 FDISK 프로그램에 있습니다. 디버깅을 통해 추출할 수 있습니다.
⑤ 데이터 자체가 다른 정보 통계에 의해 복제될 수 있는지 여부: 일부 정보가 손실되었지만 백업되지 않았습니다. 하지만 실제로는 다른 데이터로부터 간접적으로 얻을 수 있습니다. 가장 일반적인 것은 주 파티션 테이블의 파티션 정보입니다. 설령 깨끗해도 두려워하지 마라, 왜냐하면 너의 몇 개 구역에서 재생을 계산할 수 있기 때문이다.
⑥ 파괴 완성도: 사실 FDISK 나 FORMAT 은 데이터를 완전히 파괴하지 않으며, 일반적으로 저급과 섹터 덮어쓰기 작업만 데이터를 완전히 파괴한다. 그러나 경우에 따라 수동 종료, 충돌 등으로 인해 제거 프로세스나 오작동 프로세스를 완료할 수 없습니다. 가장 분명한 예는 CIH 바이러스입니다. CIH 는 섹터를 1024 바이트 단위로 덮기 때문에 물론 되돌릴 수 없는 과정이기 때문에 처음에는 수동으로 종료되지 않는 한 손상을 복구하기가 어렵다고 생각했습니다. 실제로 바이러스가 특정 섹터를 덮으면 9X 시스템과 충돌하여 충돌 및 데이터 보호가 발생합니다.
제 3 장, 데이터 복구의 기본 전략
1, 하드웨어 또는 미디어 문제
① 하드 드라이브 장애: 하드 드라이브 자체 테스트 장애는 일반적으로 하드웨어 장애이며, 주 하드 드라이브 컨트롤러 (IDE 포트 포함) 실패와 하드 드라이브 자체의 고장으로 나뉩니다. 마더보드에 문제가 있는 경우 데이터는 영향을 받지 않아야 합니다. 하드 드라이브에 있다면 수리할 수 없는 것도 아니다. 하드 드라이브의 가능한 고장은 제어 회로, 모터, 헤드, 디스크에 있을 수 있습니다. 제어 회로 문제인 경우 일반적으로 수리하고 데이터를 읽을 수 있습니다. 그러나 모터, 헤드, 디스크에 장애가 발생할 경우 수리해도 공장으로 돌아와야 합니다. 데이터 복구는 기본적으로 작동하지 않습니다.
2. 플로피 디스크가 고장났다: 플로피 디스크의 데이터가 손상되었을 때 처리할 수 있는 몇 가지 방법이 있다. 한 가지 방법은 NDD 로 복구하는 것입니다. 나쁜 영역의 물건을 읽어서 빈 섹터로 옮기도록 강요합니다. 즉, 디스크가 가득 차면 작업이 진행되지 않습니다. HDCOPY 버전 2.0 이상의 READ 플로피 디스크를 사용할 수도 있습니다. 또한 읽기 버퍼의 데이터를 그대로 유지하면서 직접 디스크에 쓸 수 있습니다. 물론 이러한 방법은 디스크 장애 정도에 따라 달라집니다. 트랙 0 이 손상되면 데이터를 저장할 수 없습니다. 이전에는 섹터 읽기를 통해 다음 데이터를 읽을 수 있었지만 일반적으로 HDCOPY 로 실험을 할 수 있습니다.
2, 시스템 문제
(1), 하드 드라이브가 충돌할 경우 몇 가지 팁을 자주 처리해야 합니다. 우리는 그의 전형적인 메시지의 의미를 이해해야 하며, 이러한 원인은 단지 하드 드라이브의 논리적 손상을 분석하는 것이지 물리적 나쁜 레일이 아니라는 점에 유의해야 한다.
정보를 재촉하다
가능한 원인
참조 처리
InvalidPartitionTable
파티션 정보에서 1BE, 1CE 및 1DE 는 80 하나만 있고 나머지 두 개는 0 입니다.
공구로 설정하면 조작 전에 이미 언급했다.
운영 체제를 잘못 로드했습니다
주 부트 프로그램이 부트 영역을 5 번 읽지 못했습니다.
부트 영역 재구성
실종된 운영 체제
DOS 부트 영역에서 55AA 플래그가 누락되었습니다.
도구 설정을 사용하여 이전에 마스터 부트 영역 프로그램을 읽고 쓴 DX=80 을 180 으로 변경합니다.
비시스템 디스크 또는 디스크 오류입니다
부트 영역의 시스템 파일 이름은 루트 디렉토리의 처음 두 파일과 다릅니다.
SYS 명령은 시스템에 재전송됩니다.
디스크를 시작하지 못했습니다
시스템 파일을 읽는 동안 오류가 발생했습니다.
SYS 명령은 시스템에 재전송됩니다.
Invaliddriverspecification g
기존 논리 파티션으로 전환하려고 하면 운영 파티션 테이블의 파티션 레코드가 손상되었다는 다음 메시지가 나타납니다.
각 파티션의 상황에 따라 파티션 테이블을 재구성하거나 자동 복구 툴을 사용하여 복구합니다. 파티션 분실은 가장 흔한 장애 중 하나이므로 이때 긴장하지 마십시오. 일반적으로, 이 때의 데이터는 문제없다. 만약 네가 처리방법을 모르면. 앞서 설명한 자동 파티션 복구 도구를 선택할 수 있습니다. 대부분 주 파티션 테이블의 데이터 영역만 다시 작성하며 다른 데이터에는 영향을 주지 않습니다. 이러한 도구 중 일부는 8.4G 하드 드라이브를 지원하지 않으며 일부는 BIOS 에서 하드 드라이브를 인식하는 것과 관련이 있음을 상기시켜 줍니다. 한 기계에서 할 수 없다면 다른 BIOS 의 다른 기계에서 시도해 볼 수 있다.
Badormissingcommandinterpreter
이것은 COMMAND.com 을 찾을 수 없거나 명령 파일이 손상되었음을 의미합니다.
만약 네가 명령 파일을 복사한다면, 보통 어떤 바이러스에 감염될 것이다.
Invalidmediatypereadingdrive
X, 중단, 재시도, 실패?
이 디스크는 고급 형식이 없거나 부트 영역의 입출력 매개변수 테이블이 손상되었습니다.
여기는 상황이 비교적 많고, 수동 처리는 비교적 복잡하다. 현재 DISKEDIT 가 실행되지 않을 수 있음을 나타냅니다. 도구수정을 사용하는 것이 좋습니다.
잘못된 버전
파일 버전이 일정하지 않을 수 있습니다. 9X 의 경우 95,95 osr/2,98,98 OEM/2 등이 있습니다. 검색하는 동안 오류를 일으키지 마십시오.
올바른 버전의 부팅 디스크를 사용하여 시스템을 재부팅합니다.
또 낡은 기계의 경우 107 1, notfoundrombasic, ROMBASICOK 등의 힌트가 현재 기계에서 사라졌다. 또한 코드 영역이 완전히 손상되면 BIOS 유형과 관련된 시스템 힌트가 BIOS 에서 제공됩니다. 또한 FDISK/MBR 을 사용하여 코드 영역을 재구성하는 경우가 많습니다. 또 다른 극단적인 경우는 하드 디스크 자체 테스트가 정상이지만 플로피 디스크와 하드 디스크 모두 정상적으로 시작되지 않는다는 것입니다. 바이러스 또는 맬웨어가 DOS3 이상을 시작할 때 파티션 테이블을 검색하는 특성을 활용하여 파티션 테이블을 무한 루프로 설정했기 때문일 수 있습니다. 시동 시 충돌이 발생합니다. 인터넷에서 이미 DOS6.22k 의 수정 방안이 전해졌다. 사실 IO 를 수정하는 것입니다. SYS 의 MS-DOS6.22 를 C20306E80A00077203 으로 바꿉니다. C20390E80A00728090 유사한 상황에서 잠긴 하드 드라이브를 부팅합니다.
② WIN9X 가 들어가거나 작동하지 않음: 다음은 하드웨어 고장에 관계없이 발생할 수 있는 소프트 고장에 대한 분석일 뿐이다.
그래픽 인터페이스로 들어가기 전의 충돌은 복잡하며 로드된 일부 드라이버와 관련이 있을 수 있습니다. MSWINDOWS 를 시작할 때 F8 을 사용하여 메뉴를 활성화하고 단계별로 설정하여 시스템 충돌을 일으키는 것을 확인할 수 있습니다. 그런 다음 구성 또는 시스템에서. Ini 에서 삭제
그래픽 인터페이스에 들어간 후 작동이 멈춥니다. 일반적으로 로드된 프로그램을 시작하는 것과 관련이 있습니다. 안전 모드 (현재 자동으로 실행되는 프로그램은 로드되지 않음) 로 들어가 레지스트리에서 HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ run 을 분석합니다 필요한 경우 삭제합니다.
IEXPLORE.EXE 오류가 표시되며 아무 작업도 수행할 수 없습니다. WIN9X 를 설치할 때 시스템의 동적 링크 라이브러리가 손상되었거나 손상된 링크 라이브러리가 다른 시스템에서 복사될 수 있습니다. (일반적으로 어느 라이브러리가 손상되었는지 확인하기 어렵습니다. ) 을 참조하십시오
여러 가지 오류가 자주 발생합니다. 일반적으로 가상 메모리가 부족하거나, CD 에 남아 있는 공간이 너무 적거나 열려 있는 어플리케이션과 창이 너무 많아서 발생합니다.
2. 전체 충돌 및 파티션 손실
먼저 MBR 코드 영역을 재구성한 다음 파티션 테이블을 적절하게 수정합니다. 파티션 테이블을 수정하는 기본 아이디어는 55AA 로 끝나는 섹터를 찾은 다음 섹터 구조와 뒤에 FAT 가 있는지 여부에 따라 파티션 테이블인지 여부를 결정하고 마지막으로 주 파티션 테이블을 계산하고 다시 채우는 것입니다. 계산이 필요하기 때문에 과정이 비교적 번거롭기 때문에 자세히 소개하지 않습니다. 나는 네가 이전에 소개한 도구를 사용할 수 있기를 바란다. 예를 들면 NDD 이다. 그래도 파일을 읽을 수 없는 경우 TIRAMINT 와 같은 도구를 사용하여 복구하는 것이 좋습니다. FAT 테이블이 완전히 충돌했을 때 지정된 파일을 복구한 경우 DISKEDIT 또는 DEBUG 를 사용하여 알려진 정보를 찾을 수 있습니다. 예를 들어, 파일이 텍스트이고 파일에 "소프트웨어 개" 가 포함되어 있다면 나, 나