常见硬盘故障的介绍及恢复方法.ppt
关于常见硬盘故障的介绍及恢复方法现在学习的是第1页,共30页硬盘的数据存储结构硬盘的数据存储结构l格式化好的硬盘,整个磁盘按所记录数据的作用不同可分为主引导记录(MBR:MainBootRecord),Dos引导记录(DBR:DosBootRecord),文件分配表(FAT:FileAssignTable),根目录(BD:BootDirectory)和数据区。现在学习的是第2页,共30页MBR概述概述lMBR位于硬盘第一个物理扇区(绝对扇区)柱面0,磁头0,扇区1处。由于DOS是由柱面0,磁头1,扇区1开始,故MBR不属于DOS扇区,DOS不能直接访问。MBR中包含硬盘的主引导程序和硬盘分区表。分区表有4个分区记录区。记录区就是记录有关分区信息的一张表。它从主引导记录偏移地址01BEH处连续存放,每个分区记录区占16个字节。现在学习的是第3页,共30页主引导记录的恢复在硬件没有损坏的情况下,数据恢复的第一步一般是主引导扇区记录的恢复。主引导扇区的恢复比较简单,因为它是系统数据。虽然它可能是有不同的软件建立的,代码也会有略微的差别,但功能都是一样的;即使是多系统引导,也没有多大的难度,可在一种系统引导正常后,备份要恢复的数据,然后再恢复其余多系统引导。恢复主引导记录最简单的方法就是使用Fdisk。语法也很简单,使用“Fdisk/MBR”即可。但要注意一点,就是要将待恢复的硬盘作为主硬盘挂接到主IDE接口上,对于其他连接方式,需要使用“Fdisk/CMBR”形式指定IDE设备的接口位置。现在学习的是第4页,共30页主引导记录的恢复Fdisk参数说明参数说明序号参数功能说明1/ACTOK不检查磁盘表面是否有损坏扇区,加快分区2/PRI在磁盘上建立主分区,分区会自动设定为激活形式3/PRIO使用FAT16格式建立主分区,并设定为激活形式4/EXT在当前磁盘上建立扩展分区(用来随后建立逻辑磁盘分区)5/LOG用/LOG建立逻辑磁盘,/LOG和/EXT需要同时使用6/LOGO使用FAT16建立磁盘逻辑分区7/STATUS显示当前磁盘分区状况,当磁盘扩展分区上没有进行逻辑分区时,扩展分区将不会被显示出来8/FPRMT当加上/FPRMT参数时不会出现是否支持大容量硬盘的询问画面,而是在每次建立一个新的分区时询问使用FAT16/FAT32 格式9/MBR重新建立主磁盘的主引导记录,卸载WINDOWS NT/WINDOWS 2000后消除在主引导记录上记载的系统启动选择,当有病毒感染时,用来清除病毒相当有效10/CMBR重新建立指定磁盘的主引导记录,作用等同于/MBR参数,不同之处是可以指定磁盘11/X不使用LBA属性,使用/X参数将不会产生带有LBA属性的分区12/Q使用/Q参数时将不用在改变分区表后重新启动计算机现在学习的是第5页,共30页分区的恢复分区的恢复l分区表项的偏移意义占用字节数00引导指示符1B01分区引导记录的磁头号1B02分区引导记录的扇区和柱面号2B04系统指示符1B05分区结束磁头号1B06分区结束扇区和柱面号2B08分区前面的扇区数4B0C分区中总的扇区数4B4个分区中只能有1个活跃分区,即C盘。标志符是80H在分区表的第一个字节处。若是00H则表示非活跃分区。现在学习的是第6页,共30页分区的恢复l数据恢复的第二步一般是分区恢复。因为除了部分工具直接对硬盘进行读写操作外,大部分的工具软件都需要运行于操作系统之下,通过操作系统的调用进行工作,而操作系统对磁盘的访问是建立在MBR和DBR之上的,没有MBR和DBR,操作系统就无法访问文件系统。所以如果分区表受损,就需要重建分区。现在学习的是第7页,共30页DBR概念概念lDBR位于柱面0,磁头1,扇区1,即逻辑扇区0。DBR分为两部分:DOS引导程序和BPB(BIOS参数块)。其中DOS引导程序完成DOS系统文件(IO.SYS,MSDOS.SYS)的定位与装载,而BPB用来描述本DOS分区的磁盘信息,BPB位于DBR偏移0BH处,共13字节。它包含逻辑格式化时使用的参数,可供DOS计算磁盘上的文件分配表,目录区和数据区的起始地址,BPB之后三个字提供物理格式化(低格)时采用的一些参数。引导程序或设备驱动程序根据这些信息将磁盘逻辑地址(DOS扇区号)转换成物理地址(绝对扇区号)。现在学习的是第8页,共30页BPB参数参数l序号偏移地址意义103H0AHOEM号20BH0CH每扇区字节数30DH每簇扇区数40EH0FH保留扇区数510HFAT备份数611H12H根目录项数713H14H磁盘总扇区数815H描述介质916H17H每FAT扇区数1018H19H每磁道扇区数111AH1BH磁头数121CH1FH特殊隐含扇区数1320H23H总扇区数1424H25H物理驱动器数1526H扩展引导签证1627H2AH卷系列号172BH35H卷标号1836H3DH文件系统号现在学习的是第9页,共30页DBR恢复恢复l如果在Windows95/98/me下下,单击一个没有高级格式化的驱动器盘符,系统会提示无法访问.这是由于没有DBR信息,操作系统无法访问这些驱动器。对于损坏的DBR,我们一般用DiskEdit、WinHex进行,或则是对没有重要数据的分区直接用Format重新格式化进行恢复。现在学习的是第10页,共30页DBR记录公式记录公式lDOS引导记录公式:文件分配表保留扇区数根目录保留扇区数FAT的个数每个FAT的扇区数数据区根目录逻辑扇区号(32根目录中目录项数(每扇区字节数1)DIV每扇区字节数绝对扇区号逻辑扇区号隐含扇区数扇区号(绝对扇区号MOD每磁道扇区数)1磁头号(绝对扇区号DIV每磁道扇区数)MOD磁头数磁道号(绝对扇区号DIV每磁道扇区数)DIV磁头数现在学习的是第11页,共30页FAT表概述表概述l文件分配表是DOS文件组织结构的主要组成部分。我们知道DOS进行分配的最基本单位是簇。文件分配表是反映硬盘上所有簇的使用情况,通过查文件分配表可以得知任一簇的使用情况。DOS在给一个文件分配空间时总先扫描FAT,找到第一个可用簇,将该空间分配给文件,并将该簇的簇号填到目录的相应段内。即形成了“簇号链”。FAT就是记录文件簇号的一张表。FAT的头两个域为保留域,对FAT12来说是3个字节,FAT来说是4个字节。其中头一个字节是用来描述介质的,其余字节为FFH。介质格式与BPB相同。现在学习的是第12页,共30页FAT结构含义结构含义lFAT12FAT16意义000H0000H可用FF0HFF6HFFF0HFFF6H保留FF7HFFF7H坏FF8HFFFHFFF8HFFFFH文件最后一个簇HH文件下一个簇对于FAT16,簇号2作偏移地址,从FAT中取出一字即为FAT中的域。逻辑扇区号数据区起始逻辑扇区号(簇号2)每簇扇区数簇号(逻辑扇区号数据区起始逻辑扇区号)DIV每簇扇区数2现在学习的是第13页,共30页FAT表的恢复表的恢复lFAT文件分配表出错,造成文件簇链空间分配错误等现象,该怎么修复呢?l文件分配表有两个,平时使用的是FAT1,FAT2作为备份,一旦FAT1遭到破坏,就可以用FAT2来更新FAT1,大多数具有扇区读写功能的软件都可以进行更新,不过困难在于需要分析和计算出FAT2的大小和位置.现在学习的是第14页,共30页FAT表的恢复表的恢复l方法是找到FAT2的起始扇区后开始查找DATA(FAT16查找FDT)的起始扇区,由此来计算FAT表的长度,并按此长度和FAT2的起始扇区倒推FAT1的起始扇区,将FAT2拷贝到这里覆盖被损坏的FAT1,就可以恢复整个分区了现在学习的是第15页,共30页文件目录表文件目录表FDTl文件目录是DOS文件组织结构的又一重要组成部分。文件目录分为两类:根目录,子目录。根目录有一个,子目录可以有多个。子目录下还可以有子目录,从而形成“树状”的文件目录结构。子目录其实是一种特殊的文件,DOS为目录项分配32字节。目录项分为三类:文件,子目录(其内容是许多目录项),卷标(只能在根目录,只有一个。目录项中有文件(或子目录,或卷标)的名字,扩展名,属性,生成或最后修改日期,时间,开始簇号,及文件大小。现在学习的是第16页,共30页目录项的格式目录项的格式l目录项的格式字节偏移意义占字节数00H文件名8B08H扩展名3B0BH文件属性1B0CH保留10B16H时间2B18H日期2B1AH开始簇号2B1CH文件长度4Bl目录项文件名区域中第一个字节还有特殊的意义:l00H代表未使用05H代表实际名为E5HEBH代表此文件已被删除现在学习的是第17页,共30页硬盘坏道硬盘坏道l硬盘坏道分为逻辑坏道和物理坏道两种,前者为软坏道,通常是因软件操作或使用不当造成的,可用软件修复;后者为真正的物理坏道,它表明硬盘磁道上产生了物理损伤,只能通过更改硬盘分区或扇区的使用情况来解决。现在学习的是第18页,共30页坏道表现坏道表现l硬盘出现坏道后的常见表现由以下几种:l1)在读取某一文件或运行某一程序时,系统反复读盘且出错,提示文件损坏等信息,有时甚至出现蓝屏;l2)硬盘出现不正常的怪音;l3)在排除病毒感染的情况下,系统无法正常启动,出现“Sectornotfound”或“GeneralerrorinreadingdriveC”等提示信息;l4)Format硬盘时,到某一进度停止不前,无法完成;l5)每次系统开机都会自动运行Scandisk进行磁盘扫描;l6)对硬盘执行Fdisk时,到某一进度会反复进进退退。现在学习的是第19页,共30页修复逻辑坏道修复逻辑坏道l将扫描类型设定为完全扫描,并选择自动修复错误,然后单击“开始”按钮:现在学习的是第20页,共30页修复物理坏道修复物理坏道l1)用Scandisk检查物理坏道lScandisk可以检查硬盘的物理坏道,并标记坏道,以后不再对这块区域进行读写操作。l2)使用FBDISK修复坏道l将有坏磁道的硬盘自动重新分区,同时把坏磁道设为隐藏分区,好磁道设为可用分区,并将坏磁道分隔开以防止其进一步扩散。现在学习的是第21页,共30页修复物理坏道修复物理坏道l如果上述所有办法都失效,又不想报废硬盘,就只能采用低级格式化硬盘的方法来处理硬盘的物理坏道了。单低级格式化会重新划分磁道和扇区、标注地址信息、设置交叉因子等操作,需要长时间读写硬盘,没使用一次就会对硬盘造成剧烈磨损,对已经存在物理坏道的硬盘更是雪上加霜。低级格式化只能在万不得已的情况下使用,低级格式化后的硬盘要使用Format进行高级格式化后才能使用。现在学习的是第22页,共30页硬盘逻辑锁的处理硬盘逻辑锁的处理l所谓硬盘“逻辑锁”,就是让分区链形成一个环。这样,系统在启动时只要检测硬盘的分区表,就在分区表内循环,表现为系统无法引导,就是使用软盘引导也无法进入硬盘。因为系统的IO.SYS在设计时就已经决定了,检测硬盘分区时必须把分区表查找完毕才往下进行。所以只要检测分表,就一定进入死循环。现在学习的是第23页,共30页硬盘逻辑锁的处理硬盘逻辑锁的处理l常见解决这个问题的办法有以下几种:l1)DM破解硬盘逻辑锁l由于DM不经过系统,而是直接读取硬盘内部数据,所以使用DM破解硬盘逻辑锁是最合适的选择。lDM破解硬盘逻辑锁的操作简单,选取格式化0磁道或重新进行分区等都可以破解掉硬盘逻辑锁。现在学习的是第24页,共30页l2)依格磁盘救星破解硬盘逻辑锁lEagsoftDiskSaviorV3.50支持DOS3.3及其以上版本和Windows95/97/98的磁盘系统。依格磁盘救星是在爆发CIH病毒时诞生的,可以修复被CIH攻击过的硬盘。同样我们还可以尝试用它来修复被其他病毒破坏的硬盘。现在学习的是第25页,共30页常用的数据恢复软件介绍常用的数据恢复软件介绍lEasyRecoverylFinalDatalFinalRecover现在学习的是第26页,共30页l1.强大的硬盘数据恢复工具强大的硬盘数据恢复工具EasyRecoveryPro_6.10l不得不先介绍它,因为它的确太强大了,都说它是专业的数据恢复软件呢!一款威力非常强大的硬盘数据恢复工具。能够帮你恢复丢失的数据以及重建文件系统。EasyRecovery不会向你的原始驱动器写入任何东东,它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。该软件可以恢复大于8.4GB的硬盘。支持长文件名。被破坏的硬盘中像丢失的引导记录、BIOS参数数据块;分区表;FAT表;引导区都可以由它来进行恢复。现在学习的是第27页,共30页l老牌的数据恢复工具老牌的数据恢复工具FinalData2.0企业版企业版l在Windows环境下删除一个文件,只有目录信息从FAT或者MFT(NTFS)删除。这意味着文件数据仍然留在你的磁盘上。所以,从技术角度来讲,这个文件是可以恢复的。FinalData就是通过这个机制来恢复丢失的数据的,在清空回收站以后也不例外。另外,FinalData可以很容易地从格式化后的文件和被病毒破坏的文件恢复。甚至在极端的情况下,如果目录结构被部分破坏也可以恢复,只要数据仍然保存在硬盘上。利用“*.扩展名”方式搜索,更容易找到要恢复的文件哦。现在学习的是第28页,共30页l数据恢复软件数据恢复软件FinalRecovery_v2.2.4.217lFinalRecovery是一款强劲的反删除软件。它能以极快的速度扫描您的硬盘、软盘或可移动磁盘,并迅速找出已被删除的文件和文件夹;如果您同时删除了多层目录及其中的文件,您还可以用深度扫描模式尽可能挖掘出目录中每一个可能被恢复的文件和文件夹。专业用户能使用高级恢复功能,通过软件查看文件分配表和簇中的数据将文件恢复。当然您也可以通过查找功能搜索特定的文件或文件夹,搜索请点根目录。支持文件目录结构恢复。现在学习的是第29页,共30页26.09.2022感感谢谢大大家家观观看看现在学习的是第30页,共30页