[硬件]数据恢复技术大全 [复制链接]

据。特别提醒大家，这些工具有的不支持8.4G硬盘，有的与BIOS对硬盘的识别有关系。如果你在一台机器上不行，可以换台BIOS不同的机器实验一下。 ;~-M$a }4  
;~-M$a }4  
Bad or missing command interpreter ;~-M$a }4  
;~-M$a }4  
这是说找不到COMMAND.com，或者COMMAND文件坏了。 ;~-M$a }4  
;~-M$a }4  
如果你COPY过去COMMAND文件还是如此，一般来说是感染了某种病毒。 ;~-M$a }4  
;~-M$a }4  
Invalid media type reading drive ;~-M$a }4  
;~-M$a }4  
X ,Abort,Retry,Fail? ;~-M$a }4  
;~-M$a }4  
该盘没有高级格式化，或BOOT区中I/O参数表被破坏。 ;~-M$a }4  
;~-M$a }4  
这里情况较多，手工处理比较复杂，特别指出，此时DISKEDIT可能无法运行，建议用工具修复。 ;~-M$a }4  
;~-M$a }4  
Incorrect DOS Version ;~-M$a }4  
;~-M$a }4  
可能是文件版本不统一，对9X来说，有95，95osr/2,98,98 oem/2等版本，重新SYS时，不要弄错了。 ;~-M$a }4  
;~-M$a }4  
用正确版本的启动盘重新SYS系统。 ;~-M$a }4  
;~-M$a }4  
另外说明一下，对于比较老的机器还有1071和not found rom basic、ROM BASIC OK等提示，在目前机器中以消失。另外，当代码区完全被破坏的情况下，系统关于无系统的提示是来自BIOS的，这条提示与BIOS的种类有关。另外，FDISK/MBR对代码区的重建是我们经常采用的。再介绍一种比较极端的情况，就是硬盘自检正常，而用软盘和硬盘都无法正常启动的情况，这可能是，病毒或恶意程序利用，DOS3以上版本启动中都要检索分区表这一特点，把分区表置为死循环。造成启动中死机。网上曾经流传过DOS6.22k修改方案，其实是修改西文MS-DOS6.22的 IO.SYS，把C2 03 06 E8 0A 00 07 ;~-M$a }4  
72 03替换为：C2 ;~-M$a }4  
03 90 E8 0A 00 72 80 90就可以启动被类似情况锁住的硬盘。 ;~-M$a }4  
;~-M$a }4  
②、WIN9X无法正常进入或工作：以下仅仅是对可能的软故障分析，没有考虑硬件故障.<BR>　　进入图形界面前死机情况比较复杂，可能与加载的某些驱动有关可以在START ;~-M$a }4  
MS WINDOWS时，用F8激活菜单，设置为step ;~-M$a }4  
by step，看是哪项使系统死机。而后从CONFIG或者SYSTEM。INI中删除 ;~-M$a }4  
;~-M$a }4  
进入图形界面后死机： ;~-M$a }4  
一般这与开机加载的程序有关进入安全模式（此时自动运行的程序将不能加载），对注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*中的键值和启动组中加载的程序进行分析。必要的予以删除。 ;~-M$a }4  
;~-M$a }4  
显示IEXPLORE.EXE错误，不能进行任何操作可能有某个系统的动态连接库损坏覆盖安装WIN9X，或从其他机器上COPY损坏的连接库。（确定哪个库损坏一般比较困难） ;~-M$a }4  
;~-M$a }4  
频繁出现出错各种信息：一般是虚拟内存不足造成的看C盘是否剩余空间过少，或者打开的应用程序和窗口太多。 ;~-M$a }4  
;~-M$a }4  
2、全盘崩溃和分区丢失 ;~-M$a }4  
;~-M$a }4  
首先重建MBR代码区，再根据情况修正分区表。修正分区表的基本思路是查找以55AA为结束的扇区，再根据扇区结构和后面是否有FAT等情况判定是否为分区表，最后计算填回，主分区表，由于需要计算，过程比较烦琐，就不仔细介绍了，希望大家用前面介绍的工具，比如NDD处理。如果文件仍然无法读取，要考虑用TIRAMINT等工具进行修复。如果在FAT表彻底崩溃的情况下，恢复某个指定文件，可以用DISKEDIT或DEBUG查找已知信息。比如文件为文本，文件中包含“软件狗”，那么我我们就要把他们转换为内码C8 ;~-M$a }4  
ED BC FE B9 B7进行查找。 ;~-M$a }4  
;~-M$a }4  
3、文件丢失、误格式化的情况 ;~-M$a }4  
;~-M$a }4  
一般的来说，文件删除仅仅是把文件的首字节，改为E5H，而并不破坏本身，因此可以恢复。但由于对不连续文件要恢复文件链，由于手工交叉恢复对一般计算机用户来说并不容易，在这篇缩略版中就不讲了，建议用工具处理，如果已经安装了Norton ;~-M$a }4  
Utilities，可以用他来查找。另外，RECOVERNT ;~-M$a }4  
等工具，都是恢复的利器。特别注意的是，千万不要在发现文件丢失后，在本机安装什么恢复工具，你可能恰恰把文件覆盖掉了。特别是你的文件在C盘的情况下，如果你发现主要文件被你失手清掉了，（比如你按SHIFT删除），你应该马上直接关

;~-M$a }4  
;~-M$a }4  
;~-M$a }4  
闭电源，用软盘启动进行恢复或把硬盘串接到其他有恢复工具的机器处理。误格式化的情况可以用工具处理。 ;~-M$a }4  
;~-M$a }4  
4、文件损坏的情况 ;~-M$a }4  
;~-M$a }4  
一般的说，恢复文件损坏需要清楚的了解文件的结构，并不是很容易的事情，而这方面的工具也不多。不过一般的说，文件如果字节正常，不能正常打开往往是文件头损坏。就文件恢复举几个简单例子。 ;~-M$a }4  
;~-M$a }4  
类型 ;~-M$a }4  
;~-M$a }4  
特征 ;~-M$a }4  
;~-M$a }4  
处理 ;~-M$a }4  
;~-M$a }4  
ZIP、TGZ等压缩包无法解压 ;~-M$a }4  
;~-M$a }4  
ZIP文件损坏的情况下可以用一个名为ZIPFIX的工具处理。不过如果你的文件是从FTP站点上下载的，那么有可能是你没有定义下载模式为BIN。 ;~-M$a }4  
;~-M$a }4  
自解压文件无法解压<BR>可能是可执行文件头损坏，可以用对应压缩工具按一般压缩文件解压。 ;~-M$a }4  
;~-M$a }4  
DBF文件死机后无法打开<BR>典型的文件头中的记录数与实际不匹配了，把文件头中的记录数向下调整，遗憾的是公式我找不到了。 ;~-M$a }4  
;~-M$a }4  
5、硬盘被加密或变换 ;~-M$a }4  
;~-M$a }4  
此时千万不要FDISK/MBR，SYS等处理，否则可能数据再也无法找回，一定要反解加密算法，或找到被移走的重要扇区。对于那些加密硬盘数据的病毒，清除时一定要选择能恢复加密数据的可靠杀毒软件。 ;~-M$a }4  
;~-M$a }4  
6、文件加密后密码遗忘 ;~-M$a }4  
;~-M$a }4  
对于很多字处理软件的文件加密和ZIP等压缩包的加密，你是不能靠加密逆过程来完成的，因为那从理论上是异常困难的。目前有一些相关的软件，他们的思想一般都是用一个大字典集中的数据循环用相同算法加密后与密码的密文匹配，直到一致时则说明找到了密码。你可以去寻找这些软件，当然，有些软件是有后门的，比如DOS下的WPS，Ctrl+qiubojun就是通用密码。Undiskp的作者冯志宏是解文件密码的个中高手，大家不妨去他的主页看看。 ;~-M$a }4  
;~-M$a }4  
7、系统用户密码遗忘的处理：最简单的方法就是用软盘启动（NT的你也可以把盘挂接在其他NT上），找到支持该文件系统结构的软件（比如针对NT的NTFSDOS），利用他把密码文件清掉、或者是COPY出密码档案，用破解软件套字典来处理。前者时间短但所有用户信息丢失，后者时间长，但保全了所有用户信息。对UNIX系统，我建议你一定先做一张应急盘。 ;~-M$a }4  
;~-M$a }4  
;~-M$a }4  
;~-M$a }4  
;~-M$a }4  

学习了,谢谢!

看到没5分1就一个头5个大了。