标题:
KV3000硬盘救护实战
[打印本页]
作者:
need
时间:
2004-11-18 19:40
标题:
KV3000硬盘救护实战
LBSALE[100]LBSALE
一、FDISK自动备份I/O表(系统引导区)到第69扇的未公开的秘密和CTRL+F10的正确使用方法(第二十三例)
2001年4月10日,有一位姓仝先生拿来了一块硬盘,此硬盘为6.4G,分了三个区,分区类型为FAT32的,装的是WIN98系统。
事情的经过是这样的,上午用户拿了一张软盘到此机子上打印文件(此软盘事后查出有引导区病毒),
打印完之后,记了取出,就重新启动了,结果启动时报错,进入不了系统。连忙把此软盘取出,
拿WIN98启动盘启动,进入C盘,键入DIR查看文件时,显示:
"Invalid media type reading drive c Abort, Retry, Fail?"
意思是:"C盘没有准备好!"
用KV3000的A盘启动此硬盘,运行KV3000,按F6查看此硬盘扇区("0"扇区),发现此扇区是正常的,
此主引导扇区的第二、三关键代码为:
8001 01000BFE 3FA53F00
0000E7B0 28000000 01A60FFE FF0826B1 28006405 96000000
00000000 00000000 00000000 00000000 00000000 00000000
00000000 000055AA
再按F2查看引导扇区的信息("63"扇区),发现此扇区已被破坏了,
再翻到"69"扇区(一般用FDISK分区的FAT32分区类型的硬盘在此"69"扇区会有一个备份的引导扇区的信息),
查看此备份的引导扇区上的信息,硬盘进入(I/O)表为:
02082000 02000000 00F80000
3F00FF00 3F000000 E7B02800 CF070000
以上的数据显示,引导扇区上的C盘上的扇区数和主引导扇区上C盘的扇区数相符(划线部分),再经过进一步的检查,
证实此备份的扇区没被破坏。
然后,用KV3000的Ctrl+F10写功能,将"69"扇区写入"63"扇区,操作如下:按Ctrl+F10,这时屏幕上最后二行显示:
To write Sector [ ](写入到第几扇区)
Write Sector Count [ ] (写入几个扇区)
写入到"63"扇区,写1个扇区,再回车,此时会出现一个闪动黑色"字"的灰色方框,内容:
Warning!!!
ESC: Exit
Exit? Y/N
意思是:警告!!!按ESC键将不执行写功能,是否退出?
按"N"键继续。
此时,会出现一个闪动"绿色"字的青色方框,内容跟上面方框里的内容一样。再"N"键继续。
这时会显示:"Write?(Y/N)"
意思是:是否写入?
按"Y"键,写入,接着出现OK!OK!OK!
然后按Ctrl+Alt+Del键重新启动机器,C盘上的数据终于全部恢复。
二、GHOST后D盘找不到,发现D盘引导区数据与主引导记录不同(第十四例)
2001年3月1日,有一位姓张的用户拿来了一块硬盘,此硬盘为15G,分了两个区,装的是WIN98系统,情况是这样的,此用户在装"riehwinvew"时出现错误信息,重新启动时,发现系统已坏,不能启动,用备份的WIN98.gho重新安装,重新启动时出错(启动不了),再用启动盘启动,进入之后,发现D盘消失了,因为此硬盘的D盘上有用户重要的资料,所以用户非常着急。
用KV3000的A盘启动此硬盘,运行KV3000,按F6查看此硬盘的分区表("0"扇区),第二关键代码为:
8001 010006FE 7F063F00
0000D874 73000000 68A005FE 86BA1775 7300F633 56010000
按F2查看引导扇区("63"扇区)发现此扇区没问题。
再按F6,启动硬盘搜索功能,按F1检测硬盘,结果显示:
Hard Disk Total Sector Total Bytes PartitionTable Sector
Disk C:3.874 7566552 3874074624 in 0
Disk D:11.482 22426551 11482394112 in 7566615
再按F2进行搜索硬盘扩展分区,结果显示:
Hard Disk Total Sector Total Bytes PartitionTable Sector
Disk D:11.482 22426551 11482394112 in 7566615
以上这两次的搜索结果和检测的结果并没有找到错误。
接着进行进一步的检测,退到"0"扇区,按F3直接进入到D盘的主引导扇区(即"7566615"扇区),结果显示:
01 41D706FE FFFE3F00
0000B733 56010000 00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000 00000000 00000000
00000000 000055AA
问题出现了:D盘主引导扇区上的"起始扇区柱面"("41D7")和结束扇区("FFFE")(上面有下划线的部分),与C盘主引导扇区上的"起始扇区柱面"("68A0")和"结束扇区柱面"("86BA")不相符。
解决方法:用KV3000 F6功能里的F5编辑功能直接将D盘的"起始扇区柱面"("41D7")和结束扇区?quot;FFFE")写入到C盘主引导扇区的原位置(即下面有下划线部分),编辑完后,C盘主引导扇区("0"扇区)的第二关键代码显示:
8001 010006FE 7F063F00
0000D874 73000000 41D705FE FFFE1775 7300F633 56010000
然后重新启动计算机,终于D盘的所有文件都已经恢复。
三、CIH病毒破坏硬盘数据后的灾难程度和KV3000可恢复程度及(CIH专题)
CIH破坏硬盘后,有99%的状况是,将硬盘最前面的1167个左右的扇区的正常数据破坏,也有个别的不一样。
怎样判断感染了CIH?
CIH病毒将前面部分扇区写有一些固定的代码,而并不是有人说的将随机垃圾代码写上。这可以用KV3000的F6功能查看病毒写上的代码,绝大多数情况下,其0面0道1扇区开始的几个字节如下:“FC 60 8B 44 24 20 2D”。如查看到是这些代码,那就可以断定是被CIH病毒破坏的硬盘,如果其0面0道1扇区被改动过,可以翻页查看其0面0道2扇区,前面的6个字节是否如“83 EC 04 60 BE”,如果是,这也断定它是被CIH病毒破坏过的硬盘。我们还可查看0面1道1扇区(BOOT区)被CIH写上的代码“FA 8B 07 50 FF 75 2C 66”或“75 13 F6 C1 04 0F 84 B1”,也可可查看0面1道2扇区被CIH病毒写上的代码“07 01 C0 85 C0 75 EA 8B”或“1D 40 07 01 C0 B9 01 00”,如果是这些代码,这也可断定它是被CIH病毒破坏过的硬盘。
理论上讲,被CIH病毒破坏后的数据映象都在硬盘中,都可修复!个别16位分区的C盘数据需手工配合工具软件来恢复。
1、被CIH病毒破坏后,文件分配表(FAT表)是32位的,C、D、E、F盘的可修复程度?
被CIH病毒破坏数据后,在绝大多数情况下,如果C盘原FAT表是32位的,那么,因为32位的文件分配表很长,每个文件分配表都超过了1200多个扇区,病毒只破坏硬盘前1167左右个扇区,即到C盘第一个文件分配表的一部分,而第二个文件分配表、根目录表完好无损,这样的情况下,可找回硬盘分区表和BOOT盘表,或重建这两个表,再将C盘的第二个完好的文件分配表写回第一文件分配表的区域,再用与硬盘相同的系统软盘引导机器后,SYS C:重传一次系统,即可全部恢复。
完后,因硬盘中的病毒也被恢复,所以要先用杀毒软件将病毒杀干净,再重新引导系统,
硬盘即可起动,数据完整无损,全部挽回。
这种情况的修复率为100%以上,D、E、F等分区的修复率为100%。
2、文件分配表(FAT表)是16位的C盘、D、E、F盘的可修复程度?
因为C分区的16位的文件分配表较32位的短的多,从主引导区到数据区开始,才500多个扇区,而病毒破坏了1100多个扇区,将数据区也破坏了一小部分。这样的情况下,KV3000可找回硬盘分区表和BOOT表,或重建这两个表。C盘数据需手工配合工具软件来恢复,可修复80%以上。但是,KV3000对D、E、F等分区的修复率为100%。
当硬盘修复成功后,应先用杀毒盘引导后,杀净C、D、E、F等盘中的病毒
四、最简单的手工修复分区表方法(第十九例)
2001年3月28日,一位姓霍的先生拿来了一块硬盘,此硬盘为4.3G,分区类型为FAT32位,分了三个区。
发生故障的原因是这样的,在3月27日刚开机的时候,机器运行一切正常,用户用某软件制作了一张工具盘(据介绍说此工具盘有修复硬盘的功能)。做完了之后,运行了一下此工具盘上相应的程序,接着就死机了,重新启动计算机时,发现已经不能启动了,用98启动盘启动,在DOS下查找分区,发现三个分区都找不到了,因为硬盘上有很重要的数据没备份出来,所以非常着急,最后听朋友介绍说江民公司可以解决此类故障硬盘的问题,所以就来到我们公司求助。
用KV3000的A盘启动,运行KV3000,按F6查看"0"扇区(主引导扇区),发现此扇区已被破坏,再按F2查看"63"扇区(引导扇区),此扇区没被破坏,硬盘进出(I/O)表为:
02082000 02000000 00F80000
3F000FF00 3F000000 81102F00 C20B0000
现在从每"1扇区往后翻页,目的是查看一下硬盘前63个分区有没有此硬盘的主引导6扇区的备份,当翻到第"18"扇区的时候,"笛"的叫了一声,表的最后一行显示:
"F9=Save To Side O Cylinder O Sector l !!!"
意思是:F9表示将此扇区写入到"0"扇区(主引导扇区的原位置即"0"扇区)。
一看,此扇区是主引导扇区的内容,再查看此主引扇区的第二关键代码为:
8001 01000BFE 3FBF3F00
00008110 2F000000 01C005FE BF0AC010 2F008B23 51000000
以上的数据显示,此主引导扇区中C盘的扇区数据和引导扇区("63"扇区)中的C盘的扇区数相符(上述两表中有下划线的部分)。
然后按F9,这时,表的中间提示:
"WARNING: The Hard Disk Partition Table SAVE Side 0, Cylinder 0, Sector l ?
Continue?(Y/N)"
意思是:"将此扇区写入到"0"扇区,是否继续下一步?"
这时按一下"Y"键,接着机子就重新启动了。
终于,此硬盘上的全部数据都已经全部恢复如初了。
五、搜索DISKC:[BACKUP]--只要以前运行过KV3000,就会自动备份的分区表。(第十六例)
2001年3月18日,有一位姓赵的用户拿了一块硬盘,此硬盘为20G,分了两个区,分区类型为FAT32格式。
事情的经过是这样的,由于前一天,赵先生像往常一样开机时,系统启动不了,一看,发现软驱里有一张软盘(此盘后来查出有引导区病毒),赶紧把此软盘取出,重新启动,还是进不了系统,再用WIN98启动盘启动机子,这才发现两个分区神秘的消失了,这下用户着急了,因为此硬盘上有重要的数据,没备份出来。最后听朋友说江民公司可以解决,于是就过来求助。
用KV3000的A盘启动此硬盘,运行KV3000,按F6查看此硬盘的主引导扇区("0"扇区),发现此扇区已经被病毒破坏了,;再按F2查看引导扇区("63"扇区),发现硬盘进出(I/O)表为:
02102000 02000000 00F80000
3F00FFC0 3F000000 FC8A3801 0D270000
修复方法:
询问用户:"硬盘坏之前是否曾用过KV3000?"用户确定用过。我们知道凡用过KV3000后,会在硬盘上保存硬盘分区表,那么,我们再用KV3000的"硬盘救护箱"会很快找到原分区表。步骤是:
按下"F6",再按F4启动"磁盘扇区字符串搜索"功能,搜索"DISKC:[BACKUP]"字符串(注意:该字符串中间没有空格)。经过一段时间的搜索,屏幕上终于在"87237"扇区值上显示"FOUND!",这时就表示已经找到了这一字符串,记下所在扇区值"87237",再向后翻一页,就是"硬盘进出(I/O)表",此硬盘进出(I/O)表同"63"扇区的内容一样。
我们再翻回到"87238"扇区(此扇区为KV3000自动备份的"主引导扇区"),按F9直接把此扇区写入到"0"扇区(硬盘主引导扇区),接着重新启动计算机,C、D区终于又回来了。
这一方法只限KV3000的用户作为参考,因为,只要运行一遍KV3000进行查病毒之后,KV3000就会对此硬盘的重要数值进行备份,为以后灾难恢复作了有效准备。
六、GHOST误操作,分区表的D盘数据清0,根据D盘系统引导区数据手工计算并填充被清0的分区表(GMY提示:DISKEDIT2002可能不用手工计算,方法保密^_^)(第九例)
2001年1月18日,有一位姓李的先生拿来一块硬盘,此硬盘6.4G,分成C、D、E三个区,是FAT16格式。由于此用户感觉系统稳定,用"克隆精灵"重做系统,给果误操作,导致重新启动时,发现D、E盘不见了,因为D、E上有重要的数据。
用KV3000启动此硬盘,运行KV3000,按F6查看硬盘分区表,发现主引导分区记录里的第二关键代码为:
8001 010006FE 7E043F00
000086FA 3F000000 00000000 00000000 00000000 00000000
以上数据表明,护展分区的数值已被某种程序给清"0"了。
再按F6,启动搜索硬盘分区功能,按F2搜硬盘扩展分区表的位置,结果显示:
Hard disk total sector total bytes partition table
D: 2.14G 4192902 2146765824 4192965
E: 2.146G 4192902 2146765824 8385930
进入D盘的主引导区(即4192965扇区),显示数值:
01 410506FE BF093F00
000086FA 3F000000 810A05FE FF0EC5FA 3F00C5FA 3F000000
把Disk D:Partition Table:4192965换算成十六位进制,"3F F3 C5"以高位后在后移位成"C5 F3 3F",把扩展分区的total sectors之和再加上126(即D:扇区数+E:扇区数+63×2;即4192902+4192902+126=8385930),把此数值(8385930)用KV3000 F6内的F7功能,换算成十六进制,7F F5 8A,以高位在后移位成"8A F5 7F"。
现在把数值排列一下,410505FE BF09C5FA 3F008AF5 7F,再把以上排列出来的数值手动的写入到主引导分区中扩展分区的原位置,即(下划线部分):
8001 010006FE 7E043F00
000086FA 3F000000 410505FE BF09C5FA 3F008AF5 7F000000
再重新启动计算机,D、E的数据都已完全恢复。
七、F10功能(自动修复)的使用技巧
4月10日,一位姓常的先生拿着一块硬盘到江民公司客户服务中心求援。其硬盘大小为20G,分C区、D区、E区、F区,分区类型为FAT32位格式。其硬盘现象为4个分区数据都丢失,出现如下错误信息:Invalid drive Specification。
发现过程:昨晚正常关机,今天早上开机就发现硬盘不能启动,用软盘启动发现硬盘数据神秘失踪。
解决方案:先用BIOS检测硬盘参数。检测完之后用KV3000软盘A启动并运行KV3000.EXE。按"F6"键发现主引导扇区(0扇区)被病毒修改。接着按"F2"键到63扇区即为硬盘进出(I/0)表,发现此表也被病毒修改,也就是说BOOT区被修改,文件格式也显示为FAT16位。运用翻页功能键"Page Down"与"Page Up"翻到69扇区并发现此备份的I/0表是正确的,此表显示文件格式为FAT32位。运用写扇区组合键"Ctr+F10",把69扇区写到了63扇区并用软盘重启机器,此时C盘数据出现,其他分区依然如故,原因是分区表不正确。运行KV3000.EXE,按"F6"进行硬盘分区表。运用清零组合键"Ctr+O"将0扇区及硬盘总扇的倒数第100个扇备份的分表区以及倒数第99扇区的I/0表分别清0。按"ESC"退出编辑,接着按"F10"并提示:
"Fix Hard Disk Partition table or Disk C BOOT Sector (Y/N)"
(注:具体英语信息中文大意可参照说明书),按照提示?quot;Y"键,出现如下提示:
"Insert a Formatted Diskette in Drive A, Pressed"Y" to Save "Error"
Partition table into Floppy, Filename HDPT.VIR, "N" to EXIT, Continue?(Y/N):
(注:具体英文信息中文大意可参照说明书)
按上述提示放入一张软盘,并按下"Y"键后出现:
Scaning…………
等自动寻找时,按"ESC"强行退出,因为有了I/O表了,就可不让其找,而让其计算,算的速度快,马上就出现:"OK!OK!"。通过软盘重新启动后D、E两个区的数据就找出来了,可是F盘数据还是看不到。
运行KV3000.EXE并按"F6"键查看,发现算出的硬盘分区的第二关键代码如下:
8001 01000BFE 7E3F0000
0000080E2 5D0000 417F05FE FFFFBFE2 5D004121 9D000000
其中发现05不正确,即标下划线的位置,因为大于8G的硬盘,其逻辑分区一般此处应标为"OF"。将05改为0F。其操作按"F5"进入编辑,运用"Ctr+F10"保存,重启计算机,此时F盘的数据也出现。
按"ESC"退出,并重启计算机,机器象往常一样顺利进入WINDOWS98。这样大功告捷,硬盘完好如初。
注:①上表05处表示扩展DOS分区(分区类型)
②"Ctr+O"清零,按下键后连续按2次"N",接着按"Y",再接着按"N"即可清零。
③"Ctr+F10"是写扇区及保存某一被编辑扇区功能。
写扇区时提示:
To write Sector O-[ ] 表示要写的目标扇区
Write Sector Count [ ] 写扇区的页数
输入完后按回车键并连续按两次"N"键,及一次"Y"键即可。
若是将编辑的扇区保存则按提示按"N"键、按"Y"键即可保存。
八、怎样利用存在于倒数第4个扇区FILEC:[BACKUP]来找DISKC:[BACKUP]?(第十八例)(参看五、)
2001年3月22日,有一位姓庄的用户拿来了一块硬盘,此硬盘13G,分区类型为FAT32格式,分了四个区。
在此之前,用户不小心中了一引导区病毒,结果导致四个分区全都神秘的消失了,因为这块硬盘有重要的数据,而且还急用,所以用户就跑到我们公司来求助了。
用KV3000的A盘启动,运行KV3000,按F6查看硬盘分区表,发现此扇区已经被破坏,再翻到"63"扇区,查到引导扇区的内容,发现此扇区也被破坏了。
因为此用户以前用KV3000进行查杀过病毒,所以在此硬盘上肯定有备份的主引导和引导扇区(KV3000会自动的把硬盘的重要数值信息给备份起来)。
下一步要做的就是怎样找到这两个被KV3000备份的扇区。
①按"END"键,进入硬盘最后一扇区,再向前倒回四个扇区,右边的ASCII码,第一行上有 "FILEC:[BACKUP]"的字样,那么在表的左边第5列的地方显示:"FDA30100"的数值。
②把"FDA30100"以高位在后,低位在前,排列成"0001A3FD"。
③再把"0001A3FD"用KV3000自带的F7功能(十进制和十六位进制转换器)转换成十进制:107517,此"107517"扇区就是备份主引导扇区的前一页。
④这时,进入到107517扇区,在往后翻一页,就是备份的主引导扇区,再往后翻一页,就是引导扇区
⑤翻到107518扇区,按Ctrl+F10组合键,此时屏幕上提示:
To Write Sector [ ](写入到哪个扇区)
Write Sector Count [ ](写几个扇区)
把"107518"扇区(主引导扇区)写入到"0"扇区,写"1"个扇区即可。
⑥翻到"107519"扇区,把此引导扇区再写入"63"扇区。
这样就已经完成了把此备份的主引导扇区和引导扇区分别写回到原位置,即"0"扇区和"63"扇区的工作。
接着重新启动机子,终于把所有的数据恢复如初。
九、PQ动态调整分区引起的C盘无法启动,恢复FAT32标志(第十三例)
2001年2月19日,有一位马先生拿来一块硬盘,此硬盘为10G,分了两个区,是FAT32格式的。由于前一天用户在WIN98下用某种分区软件对C、D两区的空间进行重新调整,结果误操作,导致不能启动系统。
用KV3000的A盘启动进入此硬盘的C区,键入DIR显示此C区的内容时,显示错误信息:
Not ready reading drive C
Abort,Retry,Fail?
意思是:驱动器C未准备好。
再进入D区,键入DIR显示此D区的内容,发现D区完好。
此时运行KV3000,按F6查看此硬盘的分区表,此硬盘主引导扇区("0"扇区)的第二关键代码如下显示:
8001 010006FE 7F043F00
000086FA 3F000000 410505FE FFFEC5FA 3F0013FC EF000000
再按F2查看引导扇区("63"扇区),在右边第四行有"FAT32"(此数为ASCII码)的字样。
以上信息显示有一处很明显的错误:FAT32分区类型所表示的数值是"0B",而上面却显示为"06"(有下划线部分)。
因而,用KV3000的F5(编辑)功能,将"06"改成"0B"。
改完后显示:
8001 01000BFE 7F043F00
000086FA 3F000000 410505FE FFFEC5FA 3F0013FC EF000000
接着重新启动计算机,终于修复了C区的全部文件,系统可以正常引导了。
提示:06表示FAT16 0B表示分区小于8G的FAT32 OC表示分区大于16G的FAT32
十、 "程序太大,内存不够"问题的解决方法(GMY制作的“超级急救盘”的MSDOS.SYS就参考了这篇文章进入了修改)
有的用户在使用KV3000的A盘,运行KV3000时,计算机提示“program too big to fit in memory”(程序太大,内存不够),解决办法如下:
1、用WIN98启动盘或KV3000的B盘启动,到A:\>提示符,取出启动盘,插入KV3000的A盘,运行:
①A:\>path c:\windows; C:\windows\command回车(设置可执行文件的查找路径)
②A:\>Attrib -h -s -r msdos.sys回车(去掉MSDOS.SYS的系统、隐含、只读属性,这样才可以修改该文件的内容)
2、然后运行A:\>Edit msdos.sys回车,将该文件原来的内容删除,随后输入以下命令行:
[options]
BootGui=0
DoubleBuffer=0
Dblspace=0
DRVSPACE=0
输入完毕后按Alt+F键,选“SAVE”存盘,退出。这时,机器又退到A:\>,DIR查看一下A盘的MSDOS.SYS的长度,注意此时的msdos.sys的文件长度变为62字节。
3、最后输入A:\>Attrib +h +s +r MSDOS.SYS(恢复MSDOS.SYS的系统、隐含、只读属性。)
4、用修改过的A盘重新启动计算机,运行KV3000时,就不会出现以上的错误提示,可以正常查杀病毒了。
十一、硬件逻辑锁的修复(GMY的“超级急救盘”已经不怕逻辑锁了,但修复还得用KV3000手工或自动修复)
2001年1月8日,有一位姓孙的先生拿了一块硬盘,此硬盘为8.4G的,分两个区,装的是WIN98的系统,FAT32格式。
由于此用户昨日上网下载了一个小程序,当时也没在意,运行了一下。第二天重新启动时,发现启动不了,这下用户慌了,连忙进入CMOS检测硬盘,硬盘能检测到,用WIN98启动盘启动机器,还是启动不了。开始以为此启动盘坏了,又换了几张启动盘,还是一样不行,最后把此硬盘作为次硬盘,挂到另外一块装了WIN98系统的好硬盘上,想用这好的硬盘带动此被破坏的硬盘,发现还是启动不了,把此被破坏的硬盘一拿掉,这块好的硬盘就可启动。因为此被破坏的硬盘上有重要的数据,最后没办法,只好拿到我公司来了。
用KV3000的A盘启动,还没进入系统,就停住了,硬盘灯一直在亮着,一点反应也没有,初步估计可能是一种恶性的程序把此硬盘锁住了,造成软驱假坏,以致于启动不了。对付这种恶意破坏,在KV3000光盘中有一很好的方法,即制作一张特殊的启动盘。此启动盘可以从KV3000的光盘上制造而成。具体制作:利用HD-COPY把光盘上的BOOT2里的DOS620.IMG直接解压缩到一张空的软盘上即可,用此软盘即可。启动成功后,再换上KV3000的A盘,运行KV3000,按F6,发现"0"扇区的第一关键代码全为"0",第二、三关键代码:
8001 0105AAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAA55AA
以上的数据表明,此破坏代码是上海×××的恶意之作,已经破坏了很多硬盘。此硬盘上的主引导扇区("0"扇区)已被严重的破坏,按F2查看,此硬盘的BOOT引导区("63"扇区)发现此扇区是正确的,从"0"扇区开始往后翻页,结果在"1"扇区发现了此硬盘主引导扇区的内容,下面出现一行提示:"F9=Save To Side 0 Cylinder 0 Sector l !!!",按F9直接把此扇区写入到"0"扇区。重新启动,已能进入系统,而且硬盘上的数据都存在。
上面所描述的这种手动恢复硬盘的方法,对于有些初接触电脑的用户,可能有些困难,在这里,也可以用第二种方法:可以直接用KV3000的F10"系统测试与灾难修复"功能进行恢复。
十二、怎样手动重建被CIH感染过的只有一个分区的分区表,I/O表 (第三十七例)
其硬盘为30G,分了一个区,分区类型为FAT32的,装的是WIN98系统,4月26日那天开机,一开机就黑屏了,最后把此硬盘放在别的上用启动盘启动,发现硬盘找不到了。
用KV3000的A盘启动,运行KV3000.EXE,发现0扇区被破坏了,表的开始几个字节显示为"FC608B44 242020",而往后翻页,发现全是乱码。以上信息表明,此硬盘遭CIH破坏。
开始用KV3000的F10功能进行自动修复,但是搜索了二行多了都没有搜索到(可能是由于大容量硬盘的缘故,搜索时间比较长),所以决定改用KV3000的F6编辑功能进行手动修复。
修复步骤:
1、用KV3000的F4搜索功能搜索字符串"0000F8FF",这是搜索FAT表2开始几个字节,经过搜索,在14399停留显示,此时向后再翻一页,结果在"14400"扇区找到了此硬盘的FAT表2;
2、进入14400扇区,按Ctrl+F10组合键,准备将FAT表2复制到FAT表1处,此时屏幕上出现:
To Write Sector 0-[ ](写到第几扇区)
Write Sector Count [ ](写几个扇区)
将FAT表2写到FAT表1开始95扇区,共写1500个扇区(一般的FAT32位的FAT表1开始处都在95扇区),CIH病毒会破坏硬盘前1117个扇区左右,所以要写入1500个扇区,即大于1117个扇区,这是把好的FAT表2恢复到被CIH破坏的FAT表1处。
3、现在修复硬盘主引导扇区(0扇区)
在表的开头显示: hard Disk Head=255 cyls=3649 Sector=63
Total Sector(总扇区数)=58621184
根据以上的信息,推算出C盘的主引导分区表的第二关键代码:
8001 01000CFE FFFF3F00
0000C27C 7E03
"80"为引导状态,80h表示此分区可作启动盘,00h表示不引导;
"01"为起始磁头;
"0100"为C盘的起始扇区和柱面;
"0C"为分区类型,大于8G以上的FAT32位的应用0Ch表示,小于8G,用0B表示;
"FE"为结束磁头,此数值的算法:255-1=254,再把此数值十进制254转换成十六进制=FE,所以此处为"FE";
"FFFF"为C盘结束扇区和柱面;
"3F000000"为绝对引导扇区,计算实际值时,字组内前后位(byte)交换,即实际十六进制为0000003Fh,转换成十进制为63,数值可以从Sector=63处得到;
"C27C7E03"为C区的扇区数,算法:总结扇区数:58621184+1-63=58621122,把十进制58621122转换成十六进制:037E7CC2h,然后字组内前后位(byte)交换,即C27C7E03,所以此处为"C27C7E03";
把以上推算出来的C盘第二关键代码写回到主引导区的原位置,然后退到A提示符下,用KV3000/K命令硬性的将硬盘主引导程序写入0扇区,这时主引导分区表已修复完毕。
4、现在修复C盘BOOT区(63)扇区。进入63扇区,用F5写功能,从表的开始写入:
EB589000 00000000 00000000 02202000 02000000 00F80000
(1) (2) (2)
3F00FF00 3F000000 C27C7E03 E1370000 00000000 02000000
(2)
01000600 00000000 00000000 00000000 800029
(3) (3)
"EB5890"为主引导扇区的最开头,一个JMP(jump,跳转)指令,使启动的程序跳过磁盘I/O数据而继续进行;
"0002"为每个扇区的字节数,每个扇区有512字节,把十进制512转换成十六进制=0200h,字组内前后位(byte)交换,即"0002",所以此处为"0002";
"20"为每个簇的扇区数(目录扇区数),得出方法,按F4搜索字符串"Command"(此为C盘根目录下的一个文件名),最后在28705扇区找到了这字符串,然后往后翻页,数一下有几个目录扇区数,结果在28737扇区发现已经不是目录区了,所以,目录扇区数=28737-28075=32个扇区,十进制32转换成十六进制=20h,所以此处为"20";
"2000"为保留扇区数,保留扇区记录着保留给FAT和根目录区的扇区的数量,此数算法:95(FAT表1的开始扇区)-63=32,把十进制32转换成十六进制=0020h,字组内前后位(byte)交换得:2000,所以此处为"2000";
"02"为FAT表的份数,一般FAT32位的有2份,所以为"02";
"F8"为介质描述;
"3F00"为每道的扇区数,开头显示:Sector=63,此63即每道的扇区数,将十进制63转换成十六进制=003Fh,字组内前后位(byte)交换得3F00,所以此处为"3F00";
"FF00"为磁头数目,开头显示:Head=25,此数即为物理磁头数,但大于8G硬盘其逻辑磁头数为255,将十进制255转换成十六进制=00FFh,字组内前后位(byte)交换得FF00,所以此处为"FF00";
"3F000000"为隐藏扇区数,这里记录着分区扇区及其后面空下来的扇区总数,有63个扇区,把十进制63转换成十六进制=0000003Fh,字组内前后位(byte)交换得3F000000,所以此处为"3F000000";
"C27C7E03"为C区扇区总数,此数值和引导扇区中的C区扇区数是一样的,可以从C区主引导扇区中得到;
"E1370000"为FAT的扇区数,算法:(28705(目录扇的开始扇区数)-95)÷2=1405,此数就是FAT的扇区数,再将此十进制1405转换成十六进制=37E1h,字组内前后位(byte)交换,得E1370000,所以此处为"E1370000";
上述目录扇区的开始扇区数28705在前面有述。
"02000000"为根目录所在簇数,一般为第2簇,为00000002h,字组内前后位(byte)交换得02000000,所以此处为"02000000";
"0100"为文件系统信息扇区,此文件系统信息扇区为1扇区,为0001h,字组内前后位(byte)颠倒得0100,所以此处为"0100";
"0600"为系统引导扇区数目,FAT32位的系统引导扇区有7个扇区,即0至6为0006h,字组内前后位(byte)颠倒得0600,所以此处为"0600";
"80"为磁盘编号(第一个硬盘为80h);
"29"以后为扩展的引导扇区特征码及系统安装序列号等,这部份可用标准的硬盘照搬过来。
注:
(1)OEM名称和版本号,传系统即可解决;
(2)FAT32位的此处应为0;
(3)保留。
5、写入完毕后,拿一张相同版本的WIN98启动盘启动,往C盘传一下系统,具体操作:用WIN98启动盘启动完之后,在A提示符下键入:SYS C:,做完这一切后,把软盘取出,按Ctrl+Alt+Del组合键重新启动计算机,终于可以进入WIN98系统了,而且数据全部无损。
注:以上的手动修复方法对于一般用户而言存在一定的困难,建议用KV3000的F10自动修复功能进行修复。
十三、修复被CIH感染的硬件(第二十九例)
2001年4月26日,有一位姓刘的用户抱来了一台机器,此机子的硬盘是20G,分了二个区,分类型是FAT32的格式,装的是WIN98系统,C盘和D盘的分区大小是一样的。
由于用户中了CIH病毒,当时,用户机子上没有安装病毒防火墙,也没在意。今天开机机器没有任何显示。
把这块硬盘放到别的机器上拿启动盘启动的时候,发现硬盘的两个分区都不见了。这下用户着急了,硬盘里重要的数据还没备份出来。于是就把此感染CIH病毒的硬盘放到另外一台好的机器上,把此机器的日期调到了4月27日,抱到我公司来了。
先试用第一种自动修复方法进行试修复。用KV3000的A盘启动,运行KV3000,按F10启动"重建分区表"功能,按F10键进行搜索。
搜索了三行之后显示:OK! OK! OK!
重新启动之后,C盘上的数据是乱码,D盘还是看不到。此时再试用第二种手动方法修复。运行KV3000,按F6查看此硬盘的主引导扇区。第二、三关键代码是错误的,再按F2查看此硬盘的引导扇区,发现此表的右边显示FAT16的字样,这是不对的,因大于3G的都是FAT32格式的,所以可以断定此引导扇区也是错误的。
按F6启动硬盘搜索功能,再按F2搜索硬盘扩展分区,结果显示:
Hard Disk Total Sector Total Bytes Partition Table Sector
D: 10.010G 19551042 010012133504 in 19551105
接着直接翻到第"19551105"扇区,此扇区为D盘的起始扇区,第二关键代码显示如下:
01 01C10BFE 7F813F00 00004253 2A010000
根据以上所显示的信息,可以推算出C盘的主引导扇区的第二关键代码:
8001 01000BFE 3FC03F00
00004253 2A010000 01C10FFE 7F818153 2A018153 2A010000
直接把此推算来的数据用KV3000的F5写功能,直接写入到0扇区的第二关键代码的原位置。
翻到"19551168"扇区,此扇区为D盘的引导扇区,因为D盘的空间与C盘的空间大小是一样的,所以D盘的BOOT区的硬盘进出(I/O)表和C盘的硬盘进出(I/O)表是一样的,直接把此扇区写入到C盘的BOOT区(即"63"扇区)。
再从63扇区往后翻,发现此硬盘的FAT表1已经被CIH病毒给破坏了,但此硬盘的FAT表2是好的,因为CIH不破坏FAT32位的第二个FAT表。所以按F4搜索字符串功能,搜索第二个FAT表的开头字符串"0000F8FF",这几个字节在第二FAT表前一个扇区,经过搜索,结果在"9632"扇区,发现此硬盘的FAT表2的前一扇区,再翻一页,经过检查是FAT表2,此扇区数是9633。
接着用KV3000的Ctrl+F10功能,将此FAT表2"9633"处开始写入到FAT表1,具体操作如下:
按Ctrl+F10组合键,此时屏幕上提示:
To Write Sector [ ] (写入到哪个扇区),在此写上95,
Write Sector Count [ ] (写几个扇区),在此写上1500。
把此FAT表2写入到95扇区,写1500个扇区。
写入成功后,按Ctrl+Atl+Del键,重新启动,发现C盘、D盘的数据已全部恢复,但是系统不能引导。这时,先杀C、D盘上的病毒,用DOS版的KV3000.EXE进行查杀。
杀完毒后,接着用WINDOWS98相同版本的系统盘传一下系统,具体操作如下:
拿WINDOWS98启动盘启动之后,敲入命令:"SYS C:",接着把软盘取出,重新启动计算机,终于成功的进入了WINDOWS98系统,而且C盘、D盘的数据都已完全恢复。
十四、修复被CIH破坏的硬盘分区表(拯救硬盘数据实战一例)
6月27日一位先生拿来一块硬盘。这块硬盘大小20G,分为三个区,C盘、D盘、E盘都有重要图片数据,分区类型为FAT32位,操作系统为WIN98第二版。
接上硬盘,开机通过BIOS检测出硬盘大小20G。用软盘引导进入A提示符, 执行KV3000,当进入KV3000主画面时按F6键,进入主引导扇区,能看到"80"和"55AA"的分区标志。此分区表信息如下:
8001 01000BFE C1FF3F00
000051AC C8000000 C1FF0FFE 7FFE90AC C8007FB4 CB000000
00000000 000055AA
往后翻很容易看出这全是被CIH所破坏后的代码,这现象表明用户用KV3000的F10功能自动修复,但没有成功。启动F6→F2搜索硬盘分区信息,搜索信息如下:
01 C1FF0BFE FFFF3F00
000040B4 CB000000 00000000 00000000 00000000 00000000
00000000 000055AA
判断此分区并不是D盘的分区表而是E盘的分区表。
按原"0"扇区的D盘起始扇区位置算出D盘的起始扇区为13151376扇区,按F3翻到该扇区发现此扇区都是一些乱码很显然不是D盘的分区表。
按F4键搜索recycled搜索D盘的目录区,发现在13167289扇区为D盘的目录区,按F4键搜索000055AA搜索D盘的分区表位置,发现在13141170扇区,此分区表信息如下:
01 C1000BFE 7FFE3F00
000040B4 CB000000 C1FF0FFE FFFF3139 94017FB4 CB000000
00000000 000055AA
再往后翻63扇区是一份完整的I/O表。由此可见这一分区就是D盘的分区表。判断完后可采用手动修复,具体方法如下:
C盘的扇区数为:13141170-63=13141107
将此数也换算为十六进制,C88473"并以高位在后排为"7384C8"并记下。
D盘的扇区数为:13141170
将此数也换算为十六进制,C884B2"并以高位在后排为"B284C8"并记下。
用F3进入D盘分区表所在位置,即第13141170区,此分区表信息如下:
01 C1FF0BFE 7FFE3F00
(I)
000040B4 CB000000 C1FF0FFE FFFF3139 94017FB4 CB000000
00000000 000055AA
将下划线部分由"0F"代替"0B" 则是C1FF0FFE 7FFE并记下。
扩展分区总扇区数为:13349952+13349952+(63×2)=26700030,并换算为十六进制为"19768FE",并以高位在后排为"FE689701",并记下。
因此推断主引导扇区(0扇区)的第二、第三关键代码如下:
8001 01000BFE FFFF3F00
(1)(2)(3)
00007384 C8000000 C1FF0FFE 7FFEB284 C800FE68 97010000
(4)(5)(6)(7)
00000000 000055AA
(8)
说明:
(1)处"80"为系统引导指针代码;
(2)处"0B" 为C盘文件格式标志("06" 为FAT16位,"0B" 为8G以下FAT32位, "0C"为8G以上FAT32位),故此处为"0B";
(3)处为"3F000000" 表示63个隐含扇区;
(4)处为C盘绝对扇区数,即用D盘分区表所在的扇区位置减63,故此处填写为"7384C800";
(5)处为指向扩展分区,与D盘分区表的(I)处的"C1FF0BFE 7FFE"一致,但一般情况大于8G的硬盘在红色斜体字处为"0F";FAT16位的为"05";故将"0B" 改为"0F";则排为:C1FF0FFE 7FFE;
(6)处"B284C800"为D盘起始位置,将D盘分区表的扇区位置化为十六进制,以高往低位排,故此处应该为"B284C800";
(7)处"FE689701"为扩展分区总扇区数,即将扩展分区总扇区数化为十六进制,并以高位在后排,故此处为"FE689701";
(8)处为重要扇区标志,即为55AA。"0000F8FF",这几个字节在第二FAT表前一个扇区,经过搜索,结果在"9632"扇区,发现此硬盘的FAT表2的前一扇区,再翻一页,经过检查是FAT表2,此扇区数是9633。
运用KV3000F6内的"Ctr+O"功能将"0"扇区清0,并将上述十六进制代码写入"0" 扇区的第二、第三关键代码,并用KV3000F6内的"Ctr+F10"保存。
翻到"13141233" 扇区,此扇区为D盘的引导扇区,因为此硬盘三个区是平分的,所以三个区的BOOT区应该是一样的,直接把此扇区写入到C盘的BOOT区(即"63"扇区)。
再从63扇区往后翻,发现此硬盘的FAT表1已经被CIH病毒给破坏了,但此硬盘的FAT表2是好的,因为CIH不破坏FAT32位的第二个FAT表。运用F4搜索字符串功能,搜索第二个FAT表的开头字符串"F8FFFF0FFFFF"搜索到的扇区数为10095扇区。 接着用KV3000的Ctrl+F10功能,将此FAT表2"10095" 处开始写入到FAT表1,可运用"Ctr+F10"完成。
写入成功后,按Ctrl+Atl+Del键,重新启动,发现三个分区的数据已全部恢复,但是系统不能引导。用WINDOWS98相同版本的系统盘传一下系统,具体操作如下:
先进入C:\WINDOWS\COMMAND:>键入SYS A: C: ;重新启动计算机,终于成功的进入了WINDOWS98系统,这样大功告成。可见KV3000的"硬盘救护箱"是很方便的。
十五、用引导记录找分区表备份(第十七例)
2001年3月20日,有一位姓刘的用户抱来了一台机器,此机器的硬盘容量8.4G,分了四个区,分区类型是FAT32格式。
由于前一天用户从网上下载了一个小程序,而当时,用户机器上的病毒防火墙没有打开,也没在意,就运行了一下,接着机子就死机了,再重新启动的时候,发现进入不了系统,提示:
Invalid System disk
Replace the disk, and then press any key
接着用KV3000的软盘启动之后,发现C、D、E、F已经全部消失。这下用户着急了,硬盘里重要的数据还没备份出来。于是就把机子抱到我公司来了。
用KV3000的A盘启动,运行KV3000,按F6启动"硬盘救护"功能,查看"0"扇区(主引导扇区),发现此扇区已被破坏,再按F2查看"63"扇区(引导扇区),发现此扇区的内容没被破坏,硬盘进出(I/0)表为:
02082000 02000000 00F80000
3F00FF0000 3F000000 11E83F00 BD340000
接着按F4,启动硬盘搜索功能,搜索字符串"11E83F00",其中还得判断找到的表是否正确,主引导扇区有两个标志性的特征:"80h"和表最后的两个字节为"55AAh"。
经过一段时间的搜索和判断,最后终于在"56787"扇区找到了此硬盘正确的主引导扇区,此扇区的第二、三关键代码为:
8001 01000BEF 7F143F00
000011E8 3F000000 411505EF BF2950E8 3F00B057 AC000000
00000000 00000000 00000000 00000000 00000000 00000000
00000000 000055AA
然后再把此正确的主引导扇区写回原位置(即"0"扇区)。
重新启动机子,所有的分区和数据都已经找回。
附文:《硬盘不启动的错误现象及解决方法》
一,硬盘启动过程:
在BIOS自检确认所有的硬件(包括硬盘)连接正确后,硬盘开始启动,以启动分区装有WIN98操作系统为例,其启动过程是:(1)根据CMOS设置的参数,硬盘将磁头定位在物理扇0柱0面1扇上,接着先后读取扇区结束标志55AAH、主引导记录MBR、硬盘分区表HDPT。(2)根据硬盘分区表提供的数据,硬盘将磁头定位在活动分区(主DOS引导分区)的引导扇上(一般为物理扇0柱1面1扇),接着先后读取扇区结束标志55AAH、操作系统参数。(3)根据操作系统参数,读取文件分配表FAT和两个隐含系统文件IO.SYS、MSDOS.SYS (4)根据CONFIG.SYS,读取COMMAND.COM,使电脑能够进入DOS的实模式,启动基本成功。(5)根据AUTOEXEC.BAT,MSDOS.SYS进一步配置WIN98,并决定进入哪一种模式,如果进入窗口模式,还要根据user.dat,system.dat,win.ini,system.ini等读取相关文件,直到桌面最终出现,启动完毕。
这里我只讨论前4步(因为关于第5步文章太多了)。为了能够挖掘出所有错误现象,我做了一次破坏性实验(初学者不宜模仿),实验如下:
二,我让硬盘不启动
1.实验目的:通过模拟因病毒、Bug、误操作等原因导致的硬盘不启动的故障,总结归纳错误现象,当以后真的遇到硬盘不启动时,能积极应对。(总之一句话:危险我一个,幸福所有人^_-)。
2.实验环境:AWARD BIOS4.51,一硬盘、一光驱都设成主盘(分别连在两个IDE数据线上),硬盘6.4G(c,d,e,f四个分区),c区安装可引导的windos98 (FAT16)系统。
3.实验工具:诺顿(NU)8.0中文版的磁盘编辑器(DISKEDIT)
(该软件下载网址见文尾)
4.实验对象:六种硬盘启动时的必需因素:(1)物理连线(2)CMOS硬盘参数(3)主引导扇区(包括主引导记录和硬盘分区表)(4)主DOS引导记录(5)文件分配表(6)三个启动文件
5.实验之前的准备:(1)备份要破坏的所有重要数据(2)格式化一张启动软盘(3)把diskedit.exe,nlib200.rtl,chin16.fnt三个文件拷到该软盘中。
6.实验的简单过程:破坏某个要害因素――>重新启动电脑――>记录错误现象――>恢复破坏――>再破坏下一个要害因素……。如此循环往复,直到破坏完成最后一个。
7.实验结果:经过整理后,详见下一小节
三,硬盘不启动的故障、原因和处理
(一) 黑屏的故障
原因:连接硬盘一端的数据线插反(主板一端不可能插反)
处理:将其重插(数据线的红线与电源线的红线相邻)
(二) 显示“Primary master hard disk fail”的故障
原因:(1)硬盘数据线、电源线两者至少有一个没插好
(2)硬盘跳线设成从盘,而CMOS硬盘参数没做相应修改(仍然是主盘)
处理:(1)将其插牢
(2)重设CMOS
(三) 无提示信息的故障
原因:(1)CMOS硬盘参数的某些数值设置错误
(2)主引导记录错误或丢失
(3)主DOS引导记录第一个重要数据(每扇字节数)错误
(4)文件分配表错误
处理:(1)重设CMOS
(2)用FDISK/MBR命令恢复
(3)用DISKEDIT修复成512
具体步骤:用软盘启动电脑,以diskedit /w /m模式运行;按Alt+P,
将“面0”改为“面1”,确认;按F7以引导记录方式查看,将“每
扇字节数”一项的数值改成“512”。
(4)用DISKEDIT调用第二个分配表,再用NDD修复(下载网址见文尾)
具体步骤:用软盘启动电脑,运行diskedit;在“工具”下拉菜单
中选择“使用第二个FAT表”,退出diskedit;然后运行ndd,选择
“诊断磁盘”项,一步一步按提示操作,直到完成。
(四) 显示“DISK BOOT FAILURE,INSERT SYSTEM DISK AND PRESS
ENTER”的故障
原因:(1)硬盘,光驱连在同一条数据线上,且跳线都设成主盘(或都设成从盘)
(2)CMOS硬盘参数设成NONE
(3)主引导扇区结束标志55AAH错误
处理:(1)将光驱跳线设成从盘(或硬盘跳线设成主盘)
(2)重设CMOS
(3)用NDD的“诊断磁盘”修复
(五) 显示“Error Loading Operating System”的故障
原因:硬盘分区表中的活动分区标志80H被改成00H以外的其它数值(如被
改成FFH)
处理:用DISKEDIT修复为80H
具体步骤:用软盘启动电脑,以diskedit /m /w模式运行;按Alt+P,
不做任何修改,直接回车;按F2以16进制方式查看,把000001B0
地址行的倒数第二个16进制数值改为80。
(六) 显示“Not Found any [ative partition] in HDD”的故障
原因:硬盘分配表中的活动分区标志80H被改成非活动分区标志00H
处理:用DISKEDIT修复为80H
具体步骤:同(五)
(七) 显示“Type the name of the command,Inter preter ……”
原因:(1)硬盘分区表中的主DOS分区标志06H错误
(2)command.com丢失、损坏或与其它两个启动文件版本不同
处理:(1)用DISKEDIT修复为06H
具体步骤:用软盘启动电脑,以diskedit /m /w模式运行;按Alt+P,
不做任何修改,直接回车;按F2用16进制方式查看,把000001C0
地址行的第三个16进制数值改为06。
(2)用软盘中完好的command.com文件拷贝覆盖(注意版本要相同)
(八) DOS下输入d:回车(e:回车,f:回车)后显示“Invalid drive specification”
(注:该现象并不影响硬盘启动,只作参考)
原因:(1)CMOS硬盘参数LBA被设成LARGE
(2)硬盘分区表中的非活动分区标志00H错误
(3)扩展DOS分区引导扇的部分数据错误
处理:(1)重设CMOS
(2)用DISKEDIT修复为00H
具体步骤:用软盘启动电脑,以diskedit /m /w模式运行,按Alt+P,
不做任何修改,直接回车;按F2用16进制方式查看,将000001C0地
址行的倒数第二个16进制数值改为00。
(3)用DISKEDIT修复
具体步骤:情况较复杂,需具体情况具体分析
(九) 显示“Invalid partition table”
原因:硬盘分区表部分数据错误
处理:用DISKEDIT修复
具体步骤:情况较复杂,需具体情况具体分析
(十) 显示“Disk I/O error ……”
原因:主DOS引导记录中物理硬盘标志号错误
处理:用DISKEDIT改成80H(第一个物理硬盘标志号)
具体步骤:用软盘启动电脑,以diskedit /m /w模式运行,按Alt+P,
将默认值改为:柱0面1扇1,确认;按F2用16进制方式查看,将00000020
地址行的第五个16进制数值改为80
(十一) 显示“Missing operating system”
原因:(1)硬盘分区表中的起始定位的三个数据错误
(2)主DOS引导扇区结束标志55AAH 错误
处理:(1)用DISKEDIT修复为1面0簇1扇
具体步骤:用软盘启动电脑,以diskedit /m /w模式运行,按Alt+P,
不做任何修改,直接回车;按F2用16进制方式查看,将000001C0地
址行的倒数第二个16进制数值改为00
(2)用DISKEDIT修复为55AAH
具体步骤:用软盘启动电脑,以diskedit /m /w模式运行,按Alt+P,
将默认值改为:柱0面1扇1,确认;将最后两个16进制数值改为55AA
(十二) 显示“Invalid system disk”
原因:io.sys文件不存在
处理:用软盘里完好的io.sys拷贝覆盖,或用sys c:命令传输(注意版本要相同)
(十三) 显示“Non-System disk or disk error”
原因:同(十二)
处理:同(十二)
(十四) 显示“Failure…”
原因:io.sys被改动
处理:同(十二)
四,最后的启示
由于造成硬盘不启动的原因复杂多样,同一故障不同的BIOS和不同的操作系统提供的错误信息又不尽相同,解决办法也各有长短,所以在一篇文章中是很难讲全的。
值得引起大家重视的是,文中的解决办法并不是万能药水,要想从根本上解决问题就要在硬盘正常的情况下做好备份,尤其要备份好容易被忽视的主引导记录及硬盘分区表、主DOS引导记录、文件分配表等三个硬盘启动必需的数据,其中文件分配表还要经常更新备份。
关于备份,我推荐给大家一个小程序:BFHF,它只有不到3K,却能备份和恢复CMOS、主引导记录及硬盘分区表、主DOS引导记录三种数据,并且简单易学。(下载网址见文尾)
至于文件分配表的备份,对于FAT16用户可用DISKEDIT手工备份和恢复,具体步骤:用软盘启动,运行diskedit,按Alt+D选择C盘,按Alt+1选择“第一个分配表”,按Alt+W选择“写对象”,再选择“对文件”,确定,最后输入要保存的文件名。(恢复步骤与备份步骤相反,不再叙述)
好了,就到这儿吧,最后祝愿大家的硬盘永远健康。
文章作者:DOS之家 葛明阳 ,
发表于2000年第17期《电脑爱好者》,
相关软件:DISKEDIT、NDD、BFHF
注意:本文的相关软件有的已经过时,比如,NDD和DISKEDIT请改用2002版本,BFHF不要用CMOS备份功能。但大部部分内容还用实用价值,比如,显示英文错误提示的部分有重要的参考价值,可作为硬件修复的重要依据,配合KV3000使用效果更加,
作者:
general
时间:
2004-11-18 21:10
标题:
KV3000硬盘救护实战
这个我发表过了吧
作者:
moondog
时间:
2005-6-7 03:47
标题:
KV3000硬盘救护实战
还值
作者:
老虎a
时间:
2005-6-19 22:50
标题:
KV3000硬盘救护实战
好啊
作者:
ueuueu
时间:
2005-6-29 01:58
标题:
KV3000硬盘救护实战
收藏备用以防万一
作者:
nyhz
时间:
2005-7-27 07:17
标题:
KV3000硬盘救护实战
以后再看....
作者:
arrive
时间:
2005-9-19 06:59
标题:
KV3000硬盘救护实战
怎么都要钱啊,新人啊
作者:
arrive
时间:
2005-9-19 07:01
标题:
KV3000硬盘救护实战
问一下,怎么才可以得到易元啊?
作者:
arrive
时间:
2005-9-19 07:02
标题:
KV3000硬盘救护实战
等我有钱了再来看你的贴子
作者:
zjqinlian
时间:
2005-9-25 19:44
标题:
KV3000硬盘救护实战
大厦大厦大厦大厦[br][br]
-=-=-=-=- 以下内容由
zjqinlian
在
2005年09月25日 11:45am
时添加 -=-=-=-=-
存足钱再来
作者:
linsixi
时间:
2005-9-29 02:26
标题:
KV3000硬盘救护实战
不值得........
作者:
goodting
时间:
2005-10-15 10:06
标题:
KV3000硬盘救护实战
怎么都要钱啊,新人啊
作者:
lyg
时间:
2005-10-26 20:35
标题:
KV3000硬盘救护实战
tyrj
作者:
chujiafu
时间:
2005-11-1 03:25
标题:
KV3000硬盘救护实战
还要买呀,不看也罢。
作者:
yr18kljylt
时间:
2005-11-7 04:34
标题:
KV3000硬盘救护实战
没钱看不了啊~~~ 呜呜
作者:
king30213
时间:
2005-11-10 04:51
标题:
KV3000硬盘救护实战
就是,bs
作者:
ghttx
时间:
2005-11-16 17:16
标题:
KV3000硬盘救护实战
ppppppppppppppppppppppppppppppppppp
作者:
加尔伏特
时间:
2005-11-17 20:14
标题:
KV3000硬盘救护实战
一咬牙狠心买了。看了看 还不错。还值
欢迎光临 EZB 论坛 (http://www.ultraiso.net/ezbbbs/)
Powered by Discuz! 6.1.0
