数据恢复或者软故障处理的例子 （要求加精）

兔子

下面举一些数据恢复或者软故障处理的例子，这些事例是从我朋友参与大量的
故障处理中选取的一些典型事例。在选取典型事例中，遵循了以下原则。
①、 处理过程能够表现一定思想，而不是纯粹的技术手段。
②、 处理过程本身并不算复杂，基本不出现汇编程序，一般读者能够理解。
③、 处理过程本身并不完美，中间可能犯了一些错误，有的甚至局部失败
。可以使大家引为借鉴。
④、 处理过程本身并不仅仅是纯粹的逻辑思维，有人的心理活动对技术的
干扰。以使大家能更好的避免这些。
1、 被CIH破坏硬盘恢复一例
委托恢复人：某银行
硬盘情况：CIH发作，蓝屏死机。该单位电脑人员曾用KV300 F10进行修复，
但没有成功，又恢复了保存的MBR。
修复工具：
准备好软盘3张：
DISK1 -WIN98启动盘（带DEBUG）
DISK2-DISKEDIT等工具（此盘不要写保护）
DISK3-DOS下杀CIH的工具
基本思想：
1、FAT2没有损坏的情况，用FAT2覆盖FAT1。
2、FAT2也已经损坏的情况，我一般是只期待找回其中某些关键的文件了。
我们最期待的是这些文件是连续的。如果不连续的话，也并非没有可能，
但这往往还要知道文件的一些细节，包括对一些文件本身的连接结构有
了解。如果FAT2没有完全破坏，是有一定用处的，另外，一般来说，
FAT16的硬盘因为FAT表靠前破坏的比较严重，一般两个FAT表都坏了，小
硬盘也很难恢复了。

修复过程：
把我的硬盘摘下，挂上待恢复的的硬盘，开机，进入SETUP，检测硬盘，
把参数记下——CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA。
用准备好的软盘启动：
A：>C：
显示Invalid drive specification
FDISK/MBR重建主引导记录。（这是个习惯），重新软盘引导：（可能
没有必要）。此时已经看的见C：硬盘。启动DISKEDIT，启动过程中显
示Invalid media type reading DRIVER C,哎呀，算了，还是先用DEBUG
清空分区表,，并置80和55aa标志。重新启动，再运行DISKEDIT，显示
设定为READ ONLY，没关系，把TOOLS/CONFIGURATION中的只读选项去掉
，存盘，好了，可以编辑了。
由于当时接的硬盘有多块，我把这块当成了是一块只有C分区，所以没
看别的东西，我们期待FAT2没有损坏，以用FAT2覆盖FAT1，在这个时候
DISKEDIT要比DEBUG容易的多，在FIND OBJECT中选择 FAT，查一下起始
扇区，好的，在CYL 0 SIDE68 SEC 14，0000H，F8 FF FF 0F（FAT32的
），好的，FAT2没坏。其实如果不用DISKEDIT的可以用一端小程序查，
偏移0000的F8 FF FF。
由于以为只有C分区，所以，上来就在FIND中查找IOSYS（IO和SYS中要
有空格）以查找ROOT区。找到后观察，是否有C：\下常见文件。好的，
ROOT区没被破坏。记下了该扇区的CYL 0、SIDE 68 、SEC 14，备用。

FAT1一般前面已经被破坏了，但后面应该还在，这可以作为检查。因为
是32位的，FAT1 一般在CYL 0 SIDE1 SEC 33。因为有了ROOT 区然后应
该计算FAT表的长度了，因为FAT2到ROOT前一扇区为止，所以非常简单。
然后可以用FAT2覆盖FAT1，这里用DEBUG还是DISKEDIT都可以，如果用
DEBUG一般是用INT 25读绝对扇区，再用INT 26写入，
用DISKEDIT则比较简单。程序：（略）
然后可以恢复主引导记录、隐含扇区和BOOT区，可以先用NDD修复分区表
，其他可以考虑可以考虑用标准覆盖法，如果你希望下一步由NORTO
NUtilities ，来接手这些都可以不做。我从另一台FAT32的机器上取来了
相应的部分，写了进去。我这时发现好象有一个D盘。先看一下在说吧。
好了，关机串上我的硬盘，用NORTON Utilities 4扫描C盘，文
件基本恢复，对C盘杀毒，WHY，没有发现病毒，换了2种杀毒软件还是没
有病毒，现在显示C盘是948M，有一个D盘，但是95下无法浏览，DOS下乱
码。于是打电话核实当时的情况，原来是26日那天，放进一张光盘，光驱
灯亮了一会，就硬盘狂响，蓝屏死机了。应该证实我的推断一样，是光盘
的AUTORUN程序有CIH病毒。所以说没有实时防御能力的软件是没有意义的
。另外，他们的硬盘确实分两个区，而且重要文件在D区。然后在修复D盘
吧，再回到DOS，用DEBUG查找结束标志为55AA的扇区，然后根据后面是否
有FAT判定是否为扩展分区。此时可算出大小来返回修订主分区表。当然
，许多工具也可以很好的完成这一工作。如果你没有把握，就用他们完成
好了。其实我就是用自己的RE做的，否则手工做确实太麻烦。

经验总结：①、你不要听信或者凭记忆想一块硬盘该是怎么样的，一定要
自己去看，我就是犯了这个错误。
②、某些软件的修复功能确实如一些网友所讲可能有一定隐患
，如果银行的电脑人员在用KV300 F10处理之前没有备份，可能要给我找
些麻烦。
我们应当看到，恢复数据要本着几项原则。
①、 最好先备份，这也是而后我写HD-MIRROR的原因
②、 优先抢救最关键的数据
③、 在稳妥的情况下先把最稳定的鸡蛋捞出来，（理应先修复扩展分区
，再修复C），最好
修复一部分备份一部分。
④、 要先作好准备，不要忙中出错，此间，由于我的机器没有装过NORTON
，先解压，习惯的敲了一个D：\TEMP,这才想起来D盘已经是人家的硬盘，
文件险些解在没有完全修好的C盘上。这种错误有时会经常发生。