如何恢复硬盘数据  经验集锦 如何恢复硬盘数据 Norton Utilities(NU)在DOS时代是人所共知的磁盘工具软件,其强大的磁盘修复能力有时令人欣喜若狂。冒着被人讥笑的危险重提NU(诺顿),实在因为两件事给我的触动:其一,CIH在4月26日几乎席卷神州,使许多人的千辛万苦毁于一旦;其二,网上闲逛,发现有同行讲述CIH之后数据恢复的经验,语多偏颇。本文不想罗嗦某软件之使用大全,而是针对具体问题选用合适的工具解决之。所指NU为NU for Windows 95 V2.0及以后版本,它完全支持FAT32及长文件名。  一、系统数据备份与恢复 其实,我们的电脑每天都有崩溃的危险:各类软件无穷无尽的BUG,病毒每时每分的骚扰,还有诸如曾经的“逻辑锁”(其实毫无逻辑可言),我们的误操作等等等等。与其系统崩溃之后再来求救于“高手”、“高软”,不如主动一点先行备份,瞬时恢复,岂不快哉! 系统数据有哪些?CMOS、分区表、引导记录、注册表、启动文件。所有这些,只需NU RESCUE即可。 如果您有一个Zip Drive,配合一张软盘做一个完全的备份,那么您就可以高枕无忧了。即使没有Zip Drive,您也可以睡个安稳觉,因为系统核心数据已悉数安放在一个可以移动的载体之上。 以前,因为对软盘、软驱这些带软的东西实在不放心,我总是将要命的数据保存在主引导扇区后那62个隐藏扇区之中。当修复一个朋友的硬盘时发现CIH竟然恶毒地清洗了前面数以百计的扇区,着实有些心惊。如果CIH光顾我的硬盘而且得逞,要命的数据就真的没命了。 如何恢复?DOS版的RESCUE、NDD、UNFORMAT等精兵强将已随要命的数据CMOS.DAT、BOOTINFO.DAT、PARTINFO.DAT等一起备份了,拿出软盘启动DOS,执行RESCUE/RESTORE就可搞定。 RESCUE是什么?诺顿说是救生圈,一点没错。 二、磁盘映像与数据恢复 每天用软盘备份,倒也是一件烦人的差事,听咯吱咯吱响实在不是一种享受,那么在磁盘尾部做一个映像如何? 启动IMAGE,对指定的驱动器做完映像,在其根目录形成两个文件:IMAGE.DAT和IMAGE.IDX。即使这两个文件被删除,UNFORMAT也能读取,因为它保存在磁盘尾,被其它数据覆盖的可能性微乎其微,所删除的只不过是两个文件名罢了。 如果硬盘不慎崩溃,只要分区表还在(或者通过备份恢复),运行UNFORMAT时,诺顿会询问你是否做过映像,如果首肯,那么UNFORMAT将以飞快的速度将映像的重要数据写回它应去的地方,否则,只好扫描整个磁盘了。 因为UNFORMAT在回写数据时不加思索,所以即便你确定做过映像,UNFORMAT也警告你:如果用不正确的映像恢复,只会欲速则不达。 IMAGE什么?诺顿说是快照。照的快,洗的也快。 不排除病毒采取针对映像的罪恶举动:清洗磁盘尾部的“底片”。所以,快照并不可完全代替救生圈,但你可以设定在每次开机时更新一遍快照。 三、恢复分区表信息 不是每个人都会即时备份的,没有备份不能说就不要恢复了,即便“大海捞针”也比千辛万苦地重组数据来得快。有些数据,如不设法恢复,即使千辛万苦可能也回不来了。下文所指恢复均不依赖备份。 例一 有一1.2GB硬盘,原分三区,硬盘被CIH光顾而崩溃,数据存在D盘。分区大小不知,但是数据不在C盘,因此丢开C驱不管也不影响取出数据。 ① 在良好的系统中挂上待恢复数据的硬盘(从盘),启动至DOS,执行DISKEDIT/M后转到物理硬盘2查看。发现,前面1100多个扇区数据不正常。 ② 退出DISKEDIT,执行NDD。系统提示:硬盘2的分区表不正常,是否修复?当然!问是否创建Undo,创建至A驱!现在不能访问的硬盘以前能访问否?能!不一会,系统提示找到一个201MB分区,重现?是!是否继续搜索?是!又找到一个362MB的分区;搜索完成后提示分区信息更改,重启系统。 ③ 重新启动系统至Win98,打开资源管理器,点击“D”(损坏硬盘上C没有恢复,硬盘上第一个分区应映射为D驱)。 ④ 果然见到三个子目录,将它们复制到硬盘1的第二个分区(本机数据分区),为了保险起见,将所有复制的数据压缩到j.zip文件中,又将j.zip做了解压缩测试,一切正常。 做压缩文件有两个目的:其一,防止万一本机硬盘碰巧在复制的数据区出现读写不稳定的情况;其二,原来文件共4.78MB,防止复制到软盘时出现问题。压缩文件为795KB,拷贝至一张软盘。 如果碰巧硬盘没有经过反复分区,或者分区前做过00H全覆盖,硬盘上将留下许多分区 /引导扇区标识,这就让NDD为难了,当然更让恢复数据者大伤脑筋,尤其连原始分区大致信息都不清楚的情况下。 NDD虽然功能强大,但其查找分区的原理(查找每个磁道每个磁头1扇区尾部55AA,如果没有发现目标跳到下一个磁头)存在先天不足:可能多出分区,也可能少了分区。 本人曾做过测试:来回分区三次,每次分区时取值不一,用DISKEDIT清洗硬盘前4000个扇区,用NDD恢复分区,认可每次报告的分区,结果找到13个分区,文件也弄得乱七八糟。 也做过如下测试:将硬盘数据全部清零,然后手动分区,每个分区起始于第2个扇区,仅仅删除主引导扇区分区表,重启系统后用NDD恢复,搜索完整个硬盘结果一无所获。复杂的分区表恢复,留待后文再叙。 四、恢复子目录及目录下的文件 例一中数据正好保存在D盘,而CIH破坏了主分区的所有关键信息(分区表、FAT、FDT),如果数据存储在主分区(Win98之“我的文档”默认在此),不恢复岂能甘心? 例二 情况与例一类似,不过数据保存在C之“My Documents”文件夹中。 因为数据保存在被毁之分区中,用NDD不能找到分区信息,但是可以依据其提供的分区线索,先恢复主分区表后再设法恢复其中数据。 ① 按例一恢复硬盘分区信息后重启系统。 ② 运行DISKEDIT D:/M查看物理硬盘2,将偏移1BEH - 1DDH处内容移到偏移1CE - 1ED处,按F6以分区表方式查看,找到的第一个分区开始于333道1头1扇区。由于开始于1头,其为扩展分区之第一逻辑分区的可能性很大,那么其原始链接信息必然位于333道0头1扇区。查看该扇区,猜测果然正确,原主分区应该结束于332道63头63扇(通过【Info】→【Drive Info】菜单查看驱动器信息:硬盘2物理参数为619道64头63扇)。又主分区一般开始于0道0头1扇(如果磁盘开始有坏道,FDISK自动跳过若干道,但这种情况并不常见),这样大致确定了主分区的信息。 ③关于分区类型,暂时认为其为FAT16 BIGDOS。在起始位置、结束位置填入上步猜测的参数,在相对扇区号和扇区总数中填入0,执行【Tool】菜单下【Recalculate Partition】重算分区,写入后退出DISKEDIT,重启系统。 ④ 因为主分区系统数据几乎全部破坏,所以用NDD修复的可能性不大。执行FORMAT根据分区大小填充引导扇区。 ⑤ 执行UnFormat D:,显示信息“本磁盘簇的大小已经改变,请先执行FORMAT /z:8 D:恢复原始簇号值,然后再运行UNFORMAT”;退出UnFormat,执行FORMAT /z:8 D:,系统提示“用/Z指定的值太小,应将驱动器转换为FAT32,或指定较大的值”,说明原来的主分区应为FAT32分区;按【Exit】退出UnFormat。 ⑥ 执行DiskEdit D:/M以维护模式编辑硬盘2。将主分区表中1C2H处的值由06H改为0BH,如附表所示;将主分区引导扇区及FAT清零,为了格式化为FAT32作准备;重启系统。 000001B0 0000 0000 0000 0000 0000 0000 0000 8001 ................ 000001C0 0100 0B3F 7F4C 3F00 0000 817C 1400 0001 ...?.L?....|.... 000001D0 414D 063F 7FB2 FF7C 1400 4146 0600 0000 AM.?...|..AF.... 000001E0 41B3 053F BF6A 40C3 1A00 0052 0B00 0000 A..?.j@....R.... ⑦重新运行FORMAT /z:8 D:,格式化完成后重新运行UNFORMAT D:,由于以前没有做磁盘映像,所以UNFORMAT扫描整个磁盘恢复磁盘上的子目录,完成后退出UNFORMAT。 ⑧在D盘执行DIR .DOC/S(因为用户文件大部分为Word97文档,且均保存在同一目录),找到应为“My Documents”目录的“DIRx”(实际为DIR6),恢复完成。 说明:本例的恢复过程走了许多弯路,原因在于开始将主分区当作FAT16。对于一个655MB的分区,如果前面1000个扇区被破坏,所有系统信息(引导记录、FAT、FDT)确实均遭破坏,但是对于一个FAT32分区则未必。以655MB分区为例,共1342593个扇区(0x00147C81),[1342593/1026]+2=1310,估算每个FAT应占1310个扇区(对FAT16为1342593>>13+1=164个),第二FAT开始于32+1310=1342扇区(相对于分区首扇区),相对于主引导扇区为1342+63=1405,可见第二个FAT并未受损,而且FAT32的根目录信息也保存在文件区,也未受损,所以,只要恢复引导扇区就可以恢复整个分区。 五、高级磁盘编辑 例三 情况同上例,但首先假设为FAT32恢复主分区。 已知分区信息的情况下恢复引导扇区,方法有二。其一,根据分区大小及硬盘物理参数计算出BPB(FAT32)各参数,复制另一正常FAT32分区引导扇区(共3~32个扇区),修改相应参数值即可;其二,先保存完整的FAT副本2,用格式化的方法完成引导扇区的写入,再恢复FAT信息。对于方法一,若有一个完全相同(分区大小、物理参数)的硬盘分区,则不需要计算参数值,直接复制即可。本例演示方法二。 ①恢复硬盘主分区信息(采用FAT32文件系统标识0BH),重启系统。 ②执行DISKEDIT D:/M,定位至1405扇区(不知道FAT32首扇区号,可通过【Tools】→【Find Object】→【FAT】命令进行定位)查看,的确具备32-bit FAT首扇区的特征,同时可知此扇区位于0道22头20扇。 ③执行【Object】→【Physical Sector】命令(快捷键为Alt+P),填入0道22头20扇及扇区数1310,按【OK】选定整个FAT副本作为对象。 ④执行【Tools】→【Write Object To】命令,将此1310个扇区中前若干扇区写入文件(后面数据为全零的扇区可以省略,注意保存此文件的路径应位于未损坏硬盘,如C:\FAT.DAT),退出DISKEDIT。 ⑤格式化D驱动器。 ⑥将C:\FAT.DAT内容复制到扇区95~1404和1405~2714扇区。 由于DISKEDIT为单文档界面且C:\FATDAT文件数据对DISKEDIT剪贴板来说数据量太大(DISKEDIT的剪贴板只支持4K多字节数据),本步骤可以采用WinHex(http://www.muenster.de/~sf 或 http://move.to/sf)完成。 ⑦根目录在FAT32系统中和子目录一样存储在文件区,一般位于簇号为2(文件区首簇)的簇中,如果根目录并不位于簇2中,还需找出并更改引导首扇区(偏移2CH处)BPB(FAT32)“根目录开始簇号”参数为正确的值。本例中根目录正好位于文件区首簇,不做更改。 ⑧至此,主分区应该完全恢复,经验证确实如此。 例四 情况同例一,数据仍保存在D盘,但此硬盘经过反复分区,用NDD恢复的分区乱七八糟,根本不是我们所希望的。 因为NDD工作原理的局限,如果硬盘上具备分区/引导特征的扇区较多是很难轻松完成正确分区表信息的恢复的,此时必须结合DISKEDIT来完成,而且还需经过多次尝试。 方法①:通过【Tools】→【Find Object】→【Partition/Boot】在整个硬盘空间查找,记下每一个找到的位置(磁道号、磁头号、扇区号、相对扇区号),然后分析哪些是多余的,查看前后若干扇区以证实自己的猜测,尔后用NDD自动恢复分区信息,如上次猜测并不正确,重复以上步骤,直到找到为止。 方法②:与上类似,寻找所有可能作为分区开始的扇区,记下其值,然后利用【Tools】→【Advanced Recovery Mode】构建虚拟磁盘,虚拟磁盘可以如同真正磁盘一样工作,却不会改写硬盘一个字节。使用虚拟磁盘的好处在于不必重新启动系统即可生效,待找到目标文件后,将文件保存至未损坏硬盘上即可。 例五 硬盘上所有系统信息(分区表、FAT、FDT等)均遭破坏,但用户记得文件部分内容。 每种文件均有特殊的格式,根据这些特殊格式搜索整个硬盘,可以找出大致位置,然后设法恢复。如果用户记得文件部分内容,则可以此部分内容为特征值进行查找。本例以一个Word97文档(就是此文章)为例进行说明。 ①以维护模式(/M)启动DISKEDIT,转至硬盘2。 ②本文章标题为“恢复硬盘数据”,这就是我们要查找的目标。注意,Word97采用UniCode内码保存文档,目标二进制表示为“62600D596C78D87670656E63”,并且此为文章开头字串,在Word97文档内应位于偏移0600H处(第四个扇区开头)。 ③执行【Tools】→【Find】,在Hex框中输入目标值,选中【Search at specified offset】,并使其偏移为0,取消【Ignore Case】,按【Find】。耐心等待…… ④当找到指定字串后,前移三个扇区(禁止NumLock,按数字小键盘“-”三次)。 ⑤按Alt+P(Physical Sector)打开设置物理扇区范围对话框,按主窗口上部显示的磁道、磁头、扇区值填入,在扇区数中填入200(估计文章为100KB,即占200个扇区),按【OK】即将此200个扇区作为一个对象显示于窗口之中。 ⑥按Alt+W(Write Object To)打开【Write】对话框,选择【to a file】,并命名为“!HF1!.DOC”(在文件名前后各加一个叹号是本人恢复硬盘数据的习惯,并非必须),保存即可。 注意:①上述第三步中,如果可以大致确定文件所在位置(即便误差为数百MB),先将光标移至合适扇区,这样可以缩短查找时间;②不排除已经找到的内容并非所需,应该继续往后查找直至找不到目标为止;③上述第5步中填入的扇区数为估计值,实际文件只有42KB(将文件另存为HF.DOC后可以发现),长一点没有关系,打开文档时,多余部分自动截断;只要文件在硬盘中连续存放,完全可以恢复;如果不连续,恢复起来可能有些难度了;④ Word97用三个扇区保存文档全局信息,所以找到标题后要前移三个扇区,如果所给特征并非文件标题,而是文中某个字串,则可往前查看直到找到Word97文件头特征值(以“D0CF 11E0 A1B1 1AE1 0000 0000 0000 0000 0000 0000 0000 0000 3E00 0300 FEFF 0900”开头)为止。 上面描述了几种恢复硬盘上数据文件的方法,而要深入理解数据恢复,必须熟悉硬盘数据结构与相关计算。尽管非专业人员对此不很熟悉,但熟悉起来并不困难,而且恢复自己的硬盘有时比别人(哪怕专业人员)更容易(因为掌握更多数据特征)。希望本篇能对电脑爱好者有所启发,更渴望能消除被CIH等病毒侵蚀后的恐慌。   
数据恢复blog: 如何恢复硬盘数据 青岛金高德网络有限公司数据恢复业务:  国内最高成功率恢复各类硬件损坏、病毒破坏所引起的数据丢失! 
当计算机磁盘上的数据由于各种原因丢失时, 人们通常除了懊悔和焦虑外常常会忘记想方设法取回丢失的材料。渐山电脑的数据灾难恢复中心拥有先进的工具和手段,并且我们经验丰富的专业技术技术工程师可以为用户提供高水平的咨询和迅速有效地数据恢复服务。我们的数据恢复对象包括硬盘软盘。 另外, 我们可以还提供基于 Internet 的远距离遥控文件修复服务。 [什么是数据恢复] 各种原因所导致的介质(硬盘,软盘等)数据损坏,使部分(或全部)数据不能读出和使用,数据恢复服务就是用各种技术方法把数据重新找回,使宝贵的信息得以再用。  [数据灾难的原因] 造成数据丢失的原因大致分为二种:软件故障和硬件故障。 软件故障:①病毒感染 ②误格式化、误分区 ③误克隆 ④误操作  ⑤网络删除  ⑥0磁道损坏 ⑦硬盘逻辑锁 ⑧操作时断电 软件现象一般表现为无操作系统,读盘错误,文件找不到、打不开、乱码,报告无分区、无格式化等 硬件故障:①磁盘划伤; ②磁组变形; ③芯片及其它原器件烧坏 硬件故障一般表现为硬盘不认,常有一种“咔嚓咔嚓”的磁组撞击声或电机不转、通电后无任何声音、选头不对造成读写错误等现象。 [服务具体内容] 我们可以成功地修复来自于病毒破坏,误操作等因素造成的数据丢失: 1. PC机硬盘、笔记本硬盘、服务器硬盘等 2. 可对Win95/98/ME 、WinNT/2000 、Linux/UNIX操作系统的硬盘作数据恢复 3. 支持IDE、SCSI接口的硬盘数据恢复工作 4. 对于RAID模式也可恢复  5. 部分文件的损坏也可修复(MPEG、ORACLE 、EXPORT、OFFICE 文件等)纯数据恢复(成功率85%)(病毒破坏、误删除及格式化(高格)等 注:硬盘硬件部分完好,能通过BIOS找到硬盘,并且无异响声。 硬件损坏数据恢复(成功率80%)(不明原因引起的硬盘损坏) 注:硬盘电路板有明显的烧毁痕迹或硬盘有异响或BIOS不认硬盘参数,不能进入操作系统。 数据恢复服务承诺:  1.免费检测,得不到数据不收费。 2.无损恢复,整个恢复过程不对客户的原盘进行任何写操作,确保原盘状态不变。 3.对客户的数据严格保密。数据恢复在专业实验室中进行,确保数据安全。 数据恢复服务流程: Step 1 数据恢复申请。客户先下载填写"数据恢复送修单",然后传真至 0532-3807575,请注明"数据恢复"或E-mail至 sendoff@eastday.com Step 2 初步分析。工程师根据"数据恢复送修单"中所填写情况初步判定数据是否有可能被恢复,然后通知客户。 Step 3 免费检测。在数据有可能被恢复的情况下,客户将硬盘送到公司,由工程师对硬盘做详细检测。(1天) Step 4开始恢复。在检测完成后,由公司给客户报价,在客户认可的情况下,进行数据恢复。(1天) Step 5 检查数据。客户对恢复出来的数据进行检查,看是否是所要恢复的数据,如准确无误,则按照相应价格付清款项。   如何恢复被误删的硬盘数据 如何恢复被误删的硬盘数据  对众多玩家来说,电脑里存储的很多资料非常宝贵,如果不小心删除了,想要重新收集这些资料那就非常困难了,所以最好的办法就是恢复被误删除的资料。Search and Recover(以下简称SAR)来自于因系统维护软件System Mechanic而出名的IOLO公司,它不仅具备其它数据恢复软件的大部分功能,而且还可以搜索查找误删除的E-mail信件,甚至还能从数码相机存储卡、MP3播放器、USB闪存等上恢复数据。  恢复常规文件  SAR的主要功能按钮都整齐地排列在主界面上(图1)。数据恢复方面它提供了适合初学者的向导模式(File Rescue Wizard)和为高级用户度身定做的高级搜索模式(Advanced Deleted File Search),灵活多变的恢复方式更能适应电脑用户的不同要求。   1.向导搜索:点击主界面的File Rescue Wizard图标,然后选择全部文件或指定的文件类型(包括文档、图片、音乐视频、程序等类型),接着在“Places to look”界面中,选择想搜索的驱动器,待搜索完毕后,在“Recovery”界面选中需要恢复的文件,然后点击“Recover selected items”即可将误删除的数据恢复如初。  提示:SAR对中文显示的支持还不是特别好,如果文件名为中文,则可能会显示为乱码,不过恢复出来后文件就能正常显示了。  2.高级搜索:进入“Advanced Deleted File Search”界面后点“Search→New search”,在弹出的窗口中提供了众多的搜索条件。你可以根据需要在“Locations”页面中选择想搜索的驱动器(包括数码相机存储卡、MP3播放器、USB闪存等)、添加特定的搜索文件夹;在“Size”、“Attributes”和“Dates”页面中设定想查找文件的大小、属性、日期等条件(图2),然后点击“Search”按钮即可开始搜索文件。 提示:SAR具备在恢复已删除文件前进行预览的能力,它会按文件的不同类型以十六进制、文本、图片以及HTML网页格式来显示,并且你可以在上面直接查找和编辑,这是一项十分方便和实用的功能。 
恢复误删邮件  与EasyRecovery只支持Outlook Express不同,SAR支持的邮件收发软件比较丰富,包括Outlook、Outlook Express、Netscape Mail和Qualcomm Eudora(但不支持我们国产的Foxmail),我们只要点击主界面的Email Recovery Options图标,选择相应的邮件软件图标,就可轻松找回重要的E-mail信件。  彻底粉碎文件  SAR还提供了一个“Security Tools”工具,该工具可通过多次(最多100次)覆盖的方法来彻底删除文件。点击“Security Tools”,在图3中选中“Enable File Terminator”(启动粉碎机)选项,在下面的“Overwrite terminated items”中选择擦写的次数(一般普通用户选择5次就能达到目的)。  以后在资源管理器中要彻底删除文件时,只要选中想删除的文件,然后在右键菜单中选择“Terminate”就可以了。  创建应急硬盘备份  SAR拥有为紧急情况恢复数据而准备的高级硬盘镜像工具(Emergency Disk Image),可为驱动器创建磁盘镜像文件,并且将镜像文件作为一个完全独立的驱动器使用,确保重要文件在被覆写前的可恢复性。  打开图4所示界面,点击“New image”按钮,进入硬盘镜像制作向导,首先选择需要制作镜像文件的硬盘驱动器,然后进入“Options”页面,给制作的镜像文件取个名字,添加注释,并选择存放镜像文件的位置和镜像分区的逻辑盘符,完成后点击“Create”。用不了多久,镜像文件就制作成功了。   你可以将这个镜像文件加载为一个分配有盘符的驱动器(类似于虚拟光驱的操作,因此很容易上手),然后再进行文件恢复操作。可惜目前这项功能只能在Windows 2000/XP下使用。  需要注意的是,为确保数据恢复成功,请不要在误删文件所在分区写入数据。  编后:只有近2MB体积的SAR能拥有如此强大的功能着实让小编感到震撼。不过试用中也发现了它的一些缺陷,例如在向导模式中选择Music音乐文件类型进行搜索,它只找到了以MP3、WAV为后缀名的音乐文件,对其它格式竟然全部忽略。另外利用“Emergency Disk Image”功能制作镜像时,它将原始分区的全部容量都制作了进去(包括未使用的部分),并且不提供压缩选项,导致制作出来的镜像文件很大。但瑕不掩瑜,SAR在其它方面的出色表现足以让我们有理由拥有它。  PROMISE IDE RAID卡做RAID 1后坏掉一个硬盘数据如何恢复? 解决方案: 操作步骤: 1、打开机箱,将作好RAID的硬盘拔掉其中坏的一个,连接上一个新的硬盘; 2、I:启动按《CTRL+F》进入…………  II:[2],查看硬盘状态:一个 Free U5 ----新的硬盘(没有数据) 一个 Array1 U5 ----原来有数据的硬盘  III:[ESC]返回MENU; 3、I:选[4],选中Array 1 Mirror 2 20547 Critical  II:按[DEL],根据提示按[CTRL+Y]删除  III:[ESC]返回MENU 4、I:选[1],移动左右方向键,出现 Optimize Array for : Security Typical Application vuse :Not Available 则正常,进行下一步操作(II) II:按[CTRL+Y],根据提示按[Y], III:根据提示,用上下键移动光标选中原硬盘(有数据的硬盘,不能选错,可以看前文的注意),  然后按[ENTER]确认 IV:A:根据提示,按[Y],出现please wait while duplicating the image B:About wait 15 minutes 5、出现disk duplication completed any key to reboot the system! 重启OK! 
|