当前位置: 技术问答>linux和unix
我的硬盘遭受病毒攻击!有重要文件!各位老大帮忙看看!对硬盘分区表、系统引导区,FAT32 表熟悉的朋友请看看!
来源: 互联网 发布时间:2014-12-27
本文导语: 问题: 硬盘分区情况:共40G(IBM) C:(FAT32,5G) 98 OS D:(NTFS ,11G) 2000 Server OS E:(FAT32,11G) 重要文件 ! F:(NTFS ,5G) 2000 Professional OS G:(NTFS ,5G) 文件 H:(FAT32,5G) 备份 因遭受不名病...
问题:
硬盘分区情况:共40G(IBM)
C:(FAT32,5G) 98 OS
D:(NTFS ,11G) 2000 Server OS
E:(FAT32,11G) 重要文件 !
F:(NTFS ,5G) 2000 Professional OS
G:(NTFS ,5G) 文件
H:(FAT32,5G) 备份
因遭受不名病毒攻击,一开始在2000 Pro下死机。重起后找不到硬盘。
然后给CMOS放电,启动后进2000或98都异常缓慢,并且进不去。
进入纯DOS模式后,可看见3个FAT32盘:C: D:(原来的E盘,有重要文件) E:(原来的H:)
C,E 都正常,但在D:> 提示符下 键入 dir 后,硬盘灯长亮,长时间后读出乱码。
我的这个D盘是最常用的盘,一般文件都放在这里。怀疑硬盘分配表和引导区有问题,
用diskman 将D盘删除,然后重建。本来想用diskedit 直接修改D盘的分区表,但由于
D盘的起始位置 CHS(柱面,磁头,扇区)为 2041,0,1。 用DiskEdit查看此扇区,
得到的却是错误内容。因为这里应该是D盘的硬盘分区表内容。很明显DiskEdit读出的数据
不对。好象DiskEdit 在读取大于1024 柱面的内容时就出错。后来用diskman 可以读出此
扇区内容。
在用diskman重建硬盘分区表(CHS:2041,0,1)并删除系统引导区后,可以进入
98和2000系统。此时的D盘显示为:与设备的连接不能正常运转。应该是D盘的系统引导区
被清空造成。
此时D盘上的文件应该都在。应该是系统引导区和FAT32表有错误或被破坏。由于本人
对系统引导扇区,BPB(BIOS Parameter Block)表(描述逻辑盘结构组成)和FAT32
表不熟悉,还请各位帮帮忙,应该怎么恢复文件。
如果您有硬盘分区表,系统引导区和FAT32表的相关信息
或是对DiskEdit为什么读取扇区有错误,或是有其他编辑磁盘工具的信息,请帮个忙!
热心的朋友帮忙Up一下!
先谢了!
硬盘分区情况:共40G(IBM)
C:(FAT32,5G) 98 OS
D:(NTFS ,11G) 2000 Server OS
E:(FAT32,11G) 重要文件 !
F:(NTFS ,5G) 2000 Professional OS
G:(NTFS ,5G) 文件
H:(FAT32,5G) 备份
因遭受不名病毒攻击,一开始在2000 Pro下死机。重起后找不到硬盘。
然后给CMOS放电,启动后进2000或98都异常缓慢,并且进不去。
进入纯DOS模式后,可看见3个FAT32盘:C: D:(原来的E盘,有重要文件) E:(原来的H:)
C,E 都正常,但在D:> 提示符下 键入 dir 后,硬盘灯长亮,长时间后读出乱码。
我的这个D盘是最常用的盘,一般文件都放在这里。怀疑硬盘分配表和引导区有问题,
用diskman 将D盘删除,然后重建。本来想用diskedit 直接修改D盘的分区表,但由于
D盘的起始位置 CHS(柱面,磁头,扇区)为 2041,0,1。 用DiskEdit查看此扇区,
得到的却是错误内容。因为这里应该是D盘的硬盘分区表内容。很明显DiskEdit读出的数据
不对。好象DiskEdit 在读取大于1024 柱面的内容时就出错。后来用diskman 可以读出此
扇区内容。
在用diskman重建硬盘分区表(CHS:2041,0,1)并删除系统引导区后,可以进入
98和2000系统。此时的D盘显示为:与设备的连接不能正常运转。应该是D盘的系统引导区
被清空造成。
此时D盘上的文件应该都在。应该是系统引导区和FAT32表有错误或被破坏。由于本人
对系统引导扇区,BPB(BIOS Parameter Block)表(描述逻辑盘结构组成)和FAT32
表不熟悉,还请各位帮帮忙,应该怎么恢复文件。
如果您有硬盘分区表,系统引导区和FAT32表的相关信息
或是对DiskEdit为什么读取扇区有错误,或是有其他编辑磁盘工具的信息,请帮个忙!
热心的朋友帮忙Up一下!
先谢了!
|
你先杀毒呀,把毒杀干净。用2000 Pro光盘修复安装一次,应该可以了。如果是数据丢失了用下面方法:
http://caohua.myetang.com/computer/download/FixHardDisk.zip
这是一个硬盘修复工具包,你用里面的工具可以试着恢复分区表。用那个VRV的恢复工具就可以了。
http://www.csdn.net/expert/topic/847/847241.xml?temp=.703869
还有一个简单的方法:把硬盘拆下来,挂到别的机器上去,最好也是2000的操作系统,把你重要的数据拷贝下来,然后把这个硬盘整个格式化,重新分区,重新安装系统,并安装防火墙!
祝你好运!
http://caohua.myetang.com/computer/download/FixHardDisk.zip
这是一个硬盘修复工具包,你用里面的工具可以试着恢复分区表。用那个VRV的恢复工具就可以了。
http://www.csdn.net/expert/topic/847/847241.xml?temp=.703869
还有一个简单的方法:把硬盘拆下来,挂到别的机器上去,最好也是2000的操作系统,把你重要的数据拷贝下来,然后把这个硬盘整个格式化,重新分区,重新安装系统,并安装防火墙!
祝你好运!
|
Description Boot Record Data DOS Reports OFFSET
Sector 0
OEM ID: MSWIN4.1
Bytes per sector: 512 512 0B~0CH
Sectors per cluster: 8 8 0DH
Reserved sectors at beginning: 32 32 0E~0FH
FAT Copies: 2 2 10H
Reserved: 0 11~12H
Reserved: (Unused) 13~14H
Media descriptor byte: F8 Hex 15H
Sectors per FAT: 0 15596 16~17H
Sectors per track: 63 18~19H
Sides: 255 1A~1BH
Special hidden sectors: 9044658 1C~1FH
Big total number of sectors: 14956452 149564481 20~23H
Big Sectors Per Fat: 15596 15596 24~27H
Number of active Fats: 0 28H
Reserved: (Unused) 28H
Mirrored: Yes 28H
Reserved: (Unused) 28H
File System Ver (major): 0 29H
File System Ver (minor): 0 2A~2BH
First Cluster of Root: 2 2C~2FH
FS Sector number: 1 30~31H
(hotlink) Backup Boot Sector: 6 32~32H
Reserved: (Unused) 34~3FH
Physical drive number: 128 40H
Reserved: (Unused) 41H
Extended Boot Record Signature: 29 Hex 42H
Volume Serial Number: 243E11F6 Hex 43~46H
Volume Label: RUNTIME 47~51H
File System ID: FAT32 52~5AH
Signature: AA550000 Hex 1FC~1FFH
Sector 1
Extended Boot Signature: 41615252 Hex 0~03H
Reserved: (Unused) 04~1E3H
FSINFO Signature: 61417272 Hex 1E4~1E7H
Free Cluster Count: 1342991 1E8~1EBH
Next Free Cluster: 2 1EC~1EFH
Reserved: (Unused) 1F0~1FBH
FSINFO Ending Signature: AA550000 Hex 1FC~1FFH
Sector 2
Reserved: (Unused) 04~1FBH
Signature: AA550000 Hex 1FC~1FFH
总结:FAT32将FAT占用扇区数置0,而另外定义一个Big Sector per FAT(FAT占用的大扇区数),扇区总数也改成了 Big total number of sectors(大总扇区数)。每簇扇区数(Sectors per cluster)为8。保留扇区数( Reserved sectors at beginning)不再是FAT的1,而是32。FAT16只用一个扇区记录BPB表,但FAT32却用了三个扇区(sector 0、sector 1、sector 2)。相同项的位置跟原来的也不一样了。
3、FAT从逻辑1扇区开始,长度由BPB给出。它存放了每一个文件在磁盘上以簇为单位分配的所有簇之间的衔接关系。FAT表由一系列顺序编号的表项组成,除编号为0和1的两项之外,其余各项对应文件区的一簇。簇号与该簇对应的第一逻辑扇区的映射关系是:
某簇第一逻辑扇区号=(簇号-2)X每簇扇区数+系统占用扇区数
而系统占用的扇区数就是BOOT引导扇区数、FAT表占用扇区数和根目录占用扇区数之和:
系统占用扇区数=1+FAT表个数X每个FAT表占用扇区数+根目录表占用扇区数
根目录表占用扇区数 =(根目录表项数X每项字节数)/512
=(根目录表项数X32)/512
=根目录表项数/16
4、根目录(Root Directory Table)在FAT表之后,占用的扇区数可用上面介绍的方法求得。根目录表每个登记项为32字节,记录了在根目录下每一个文件(含子目录)的文件名(或子目录名)、属性、生成时间、文件(或子目录)长度和文件在磁盘上的首簇号(第26、27字节)等。这样,通过查找根目录表和FAT表,一个文件在磁盘上占用的所有簇的链接结构就一目了然了。
Sector 0
OEM ID: MSWIN4.1
Bytes per sector: 512 512 0B~0CH
Sectors per cluster: 8 8 0DH
Reserved sectors at beginning: 32 32 0E~0FH
FAT Copies: 2 2 10H
Reserved: 0 11~12H
Reserved: (Unused) 13~14H
Media descriptor byte: F8 Hex 15H
Sectors per FAT: 0 15596 16~17H
Sectors per track: 63 18~19H
Sides: 255 1A~1BH
Special hidden sectors: 9044658 1C~1FH
Big total number of sectors: 14956452 149564481 20~23H
Big Sectors Per Fat: 15596 15596 24~27H
Number of active Fats: 0 28H
Reserved: (Unused) 28H
Mirrored: Yes 28H
Reserved: (Unused) 28H
File System Ver (major): 0 29H
File System Ver (minor): 0 2A~2BH
First Cluster of Root: 2 2C~2FH
FS Sector number: 1 30~31H
(hotlink) Backup Boot Sector: 6 32~32H
Reserved: (Unused) 34~3FH
Physical drive number: 128 40H
Reserved: (Unused) 41H
Extended Boot Record Signature: 29 Hex 42H
Volume Serial Number: 243E11F6 Hex 43~46H
Volume Label: RUNTIME 47~51H
File System ID: FAT32 52~5AH
Signature: AA550000 Hex 1FC~1FFH
Sector 1
Extended Boot Signature: 41615252 Hex 0~03H
Reserved: (Unused) 04~1E3H
FSINFO Signature: 61417272 Hex 1E4~1E7H
Free Cluster Count: 1342991 1E8~1EBH
Next Free Cluster: 2 1EC~1EFH
Reserved: (Unused) 1F0~1FBH
FSINFO Ending Signature: AA550000 Hex 1FC~1FFH
Sector 2
Reserved: (Unused) 04~1FBH
Signature: AA550000 Hex 1FC~1FFH
总结:FAT32将FAT占用扇区数置0,而另外定义一个Big Sector per FAT(FAT占用的大扇区数),扇区总数也改成了 Big total number of sectors(大总扇区数)。每簇扇区数(Sectors per cluster)为8。保留扇区数( Reserved sectors at beginning)不再是FAT的1,而是32。FAT16只用一个扇区记录BPB表,但FAT32却用了三个扇区(sector 0、sector 1、sector 2)。相同项的位置跟原来的也不一样了。
3、FAT从逻辑1扇区开始,长度由BPB给出。它存放了每一个文件在磁盘上以簇为单位分配的所有簇之间的衔接关系。FAT表由一系列顺序编号的表项组成,除编号为0和1的两项之外,其余各项对应文件区的一簇。簇号与该簇对应的第一逻辑扇区的映射关系是:
某簇第一逻辑扇区号=(簇号-2)X每簇扇区数+系统占用扇区数
而系统占用的扇区数就是BOOT引导扇区数、FAT表占用扇区数和根目录占用扇区数之和:
系统占用扇区数=1+FAT表个数X每个FAT表占用扇区数+根目录表占用扇区数
根目录表占用扇区数 =(根目录表项数X每项字节数)/512
=(根目录表项数X32)/512
=根目录表项数/16
4、根目录(Root Directory Table)在FAT表之后,占用的扇区数可用上面介绍的方法求得。根目录表每个登记项为32字节,记录了在根目录下每一个文件(含子目录)的文件名(或子目录名)、属性、生成时间、文件(或子目录)长度和文件在磁盘上的首簇号(第26、27字节)等。这样,通过查找根目录表和FAT表,一个文件在磁盘上占用的所有簇的链接结构就一目了然了。
|
到这来看看吧http://www.csdn.net/expert/topic/925/925640.xml?temp=.7281763
|
给我留言我发过去
|
用金山毒霸带的KAVFIX.EXE,用干净的DOS引导再运行修复分区表后再杀毒,并修复安装WINDOWS2000 PRO,祝你好运吧!
|
看来是分区表被破坏了,用FDISK /MBR 恢复主引导,或者用KV3000的硬盘修复工具也不错。 当然要杀毒!!
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。