硬盘分区的恢复与备份
硬盘是很多病毒的攻击对象。而且,一些意外的情况,比如突然断电等也能使硬盘的主引导分区数据丢失。分区一损坏,系统则立即瘫痪,动弹不得。所以关于分区的恢复与备份的技巧,是必须要掌握的技巧:
首先,一旦发生计算机无法检测到硬盘的情况,排除了硬件上的问题,我们就应该开始检测分区。一般来说,如果主引导区或者引导程序和分区表中的一个被破坏的话,都会出现硬盘丢失的情况。我们一个个做一番检查: 分区表的检查与修复
若计算机不能从硬盘启动,则我们可以通过软盘启动后,试着访问硬盘。如果硬盘可以被访问,则说明只是操作系统被破坏,可以用重新安装操作系统的方法来恢复,或者直接把别的计算机上的硬盘拿过来进行数据对拷;如果不能访问硬盘,则可能是主引导区或者可引导分区的引导区被破坏了。这时候,我们可以应用DEBUG或者诸如NortonDiskEditor等工具软件查看硬盘的主引导区是否正常。下面我们给出一个利用DEBUG访问主引导区的实例:(其中XXXX表示内存段地址,由于计算机的BIOS、操作系统及配置文件等的不同,从而导致XXXX地址段不同)。 a:\>DEBUG -a汇编指令
XXXX:0100movax,201读取一个扇区
XXXX:0103movbx,600读至当前段 0600处XXXX:0106movcx,1柱面号=1 XXXX:0109movdx,80磁头号=0,驱动器号=80 XXXX:010Cint13磁盘读写中断 XXXX:010Eint3断点中断 XXXX:010F-g执行上述指令 -d600显示主引导区内容
如果主引导区没有问题的话,我们就要再检查一下引导程序和分区表是否正常。如果发现程序异常(通过和正常的程序对比),则说明引导程序有可能被干扰。恢复引导程序的方法比较多,我们先来介绍手工恢复的方法:首先,你必须从一台正常工作的计算机中获取主引导区存放的文件mboot.dat,用软盘启动后,运行DEBUG程序并输入下列命令: -nmboot.dat读文件mboot.dat -1800读至当前段0800处
-m7be1409be将原分区表复制到正常的主引导区 XXXX:0100movax,301将0800处数据写回住引导扇区 XXXX:0103movbx,800XXXX:0106 -rip修改当前指令指针
IP:010E0100当前指令指针指向0100 -g执行
记住,一定要是完全相同的硬盘分区表,如果无法得到,可
以使用DISKEDIT之类的软件,手工填写分区表进行恢复。 利用工具软件恢复引导分区
KV3000虽然是个防杀病毒软件,它也具有非常强的分区修复的能力。更让人雀跃的是,它还能进行系统分区的备份。这样,即使硬盘上的两个分区表全部损坏,我们还能用备份在软盘上的分区表进行修复。先来谈谈KV3000的备份。输入如下格式命令(KV3000/B或者kv3000/HDPT.DAT),将自动向A盘备份一个无病毒的硬盘主引导信息档案,其名称分别为HDPT.DAT和HF?BOOT.DAT。当硬盘主引导信息被病毒破坏或主引导记录损坏时,你只要输入“KV3000/HDPT.DAT”就能将备份的内容恢复到硬盘中(备份和所要恢复的硬盘必须是同一块)。
如果你没有进行备份,KV3000还允许你修复硬盘的主引导信息,再执行KV3000,按下F6键,就可查看已经不能引导的硬盘隐含扇区,即可查看硬盘0面0柱1扇区主引导信息是否正常。如果在硬盘的0面0柱1扇区没有找到关键代码,那么硬盘本身将不能自引导,即使软盘引导后也不能进入硬盘。可在硬盘的隐含扇区内查找,找到后,系统会在表中出现闪动的红色“80”和“55AA”,并响一声来提醒你,下行会出现一行提示,“F9=SAVETOSIDE0CYLINDER0SECTOR1!!!”。这时,按一下:“F9”键,就可将刚找到的原硬盘主引导信息覆盖到硬盘0面0柱1扇区,然后,计算机会重新引导硬盘,恢复硬盘的启动性能,在软盘引导后也能进入硬盘。