硬盤理論及維修講座 圖文并茂

1、目錄,一、硬盤物理結(jié)構(gòu)二、硬盤名詞 1、物理名詞 2、邏輯名詞三、系統(tǒng)引導(dǎo)條件四、特征扇區(qū) 1、0扇區(qū) 2、63扇區(qū) 3、69扇區(qū)五、硬盤分區(qū)原理,換算部分 六、分區(qū)大小的換算 七、病毒通常破壞的扇區(qū) 八、數(shù)據(jù)修復(fù)常用工具 九、數(shù)據(jù)修復(fù)常用方法 十、如何判斷硬盤故障案例,物理硬盤,硬盤物理結(jié)構(gòu),硬盤大致分為，磁盤 Medi

2、a，讀寫頭 Read Write Head，馬達(dá)Spindle Motor & Voice Coil Motor，底座Base，電路板PCBA等幾大項(xiàng)，組合而成,從數(shù)據(jù)存儲部件看，Media是最容易出問題的。 Media是金屬或玻璃材質(zhì)制成，為達(dá)到高密度高穩(wěn)定的質(zhì)量，基板要求表面光滑平整，不可有任何暇疵，然后再將磁粉Coating（涂層） 濺渡到基板表面上，最后再涂上保護(hù)潤滑層。此處有2項(xiàng)高科技，一為，如何制造出不含雜質(zhì)極細(xì)微

3、的磁粉 二為，如何將磁粉均勻的Coating上去 。,數(shù)據(jù)在硬盤上物理存儲位置,內(nèi)徑為25mm，需扣掉最外及最內(nèi)圈不保存Data的部分，實(shí)際只剩20mm,數(shù)據(jù)讀寫原理,例如： 當(dāng)10MB Data進(jìn)來時(shí)，第1個Head先寫4096 Byte(視規(guī)格各異)，第2 Head寫4096 Byte，依此類推，呈垂直讀寫，所以1 File是被分很多段存在各磁面上，讀取時(shí)也是同理，如此多磁頭同時(shí)讀寫可達(dá)到高速要求。,硬盤邏輯部分,完整硬盤的數(shù)據(jù)結(jié)構(gòu)

4、,初買來一塊硬盤，我們是沒有辦法使用的，你需要將它分區(qū)、格式化，然后再安裝上操作系統(tǒng)才可以使用。一個完整硬盤的數(shù)據(jù)應(yīng)該包括五部分：MBR，DBR，F(xiàn)AT，DIR區(qū)和DATA區(qū)。其中只有主引導(dǎo)扇區(qū)是唯一的，其它的隨你的分區(qū)數(shù)的增加而增加,主引導(dǎo)扇區(qū)（0扇區(qū)）,主引導(dǎo)扇區(qū)位于整個硬盤的0磁道0柱面1扇區(qū)，包括硬盤主引導(dǎo)記錄MBR（Main Boot Record）和分區(qū)表DPT（Disk Partition Table）。其中主引導(dǎo)記錄的作

5、用就是檢查分區(qū)表是否正確以及確定哪個分區(qū)為引導(dǎo)分區(qū)，并在程序結(jié)束時(shí)把該分區(qū)的啟動程序（也就是操作系統(tǒng)引導(dǎo)扇區(qū)）調(diào)入內(nèi)存加以執(zhí)行,操作系統(tǒng)引導(dǎo)扇區(qū)（63）扇區(qū),操作系統(tǒng)引導(dǎo)扇區(qū)，通常位于硬盤的0磁道1柱面1扇區(qū)，是操作系統(tǒng)可直接訪問的第一個扇區(qū)，它也包括一個引導(dǎo)程序和一個被稱為BPB（BIOS Parameter Block）的本分區(qū)參數(shù)記錄表。,文件分配表（FAT）,FAT(File Allocation Table)即文件分配表，

6、是DOS/Win9x系統(tǒng)的文件尋址系統(tǒng)，為了數(shù)據(jù)安全起見，F(xiàn)AT一般做兩個，第二FAT為第一FAT的備份, FAT區(qū)緊接在OBR之后，其大小由本分區(qū)的大小及文件分配單元的大小決定.,FAT表,第一份一般在邏輯的第 ９５扇區(qū)(物理0柱面1面33扇區(qū)) ,第二份開始位置在第一份FAT結(jié)束的下一扇區(qū)）.作用：FAT表保存著文件段與段之間的連接信息，所以操作系統(tǒng)在讀取文件時(shí)，總是能夠準(zhǔn)確地找到文件各段的位置并正確讀出。為了實(shí)現(xiàn)文件的鏈?zhǔn)酱鎯?/p>

7、，硬盤上必須準(zhǔn)確地記錄哪些簇已經(jīng)被文件占用，還必須為每個已經(jīng)占用的簇指明存儲后續(xù)內(nèi)容的下一個簇的簇號FAT的特征字符串：F8 FF FF 0F(所在扇區(qū)的起始處第1-4字節(jié))。,根錄區(qū) (ROOT),一、 DIR是Directory即根目錄區(qū)的簡寫，DIR緊接在第二FAT表之后,只有FAT還不能定位文件在磁盤中的位置，F(xiàn)AT還必須和DIR配合才能準(zhǔn)確定位文件的位置。DIR記錄著每個文件（目錄）的起始單元（這是最重要的）、文

8、件的屬性等。定位文件位置時(shí)，操作系統(tǒng)根據(jù)DIR中的起始單元，結(jié)合FAT表就可以知道文件在磁盤的具體位置及大小了。,根目錄（ROOT）,二、操作系統(tǒng)根據(jù)根目錄中的起始簇，結(jié)合FAT表就可以知道文件在數(shù)據(jù)區(qū)中的具體位置和大小了。根目錄區(qū)扇區(qū)數(shù)用下式計(jì)算： 根目錄區(qū)扇區(qū)數(shù) = 根目錄項(xiàng)數(shù) * 32 / 每扇區(qū)字節(jié)數(shù)每個目錄項(xiàng)恰好32字節(jié)長，存儲著目錄所含文件或下級子目錄的名稱、屬性、長度、日期、時(shí)間和起始簇號,數(shù)據(jù)區(qū),數(shù)據(jù)區(qū)是真正意義

9、上的數(shù)據(jù)存儲的地方,FAT32分區(qū)的FAT表之后，占據(jù)硬盤大部分空間。當(dāng)將數(shù)據(jù)復(fù)制到硬盤時(shí)，數(shù)據(jù)就存放在數(shù)據(jù)區(qū)。尋找數(shù)據(jù)區(qū)的方法：搜索“RECYCLE ”字符串?dāng)?shù)據(jù)區(qū)開始扇=63+32+2*FAT+1,硬盤邏輯概念,磁頭(０-254)、柱面(０-1023 所有盤片構(gòu)成的)、扇區(qū)(1-63)、磁道（每個盤片的位置，每磁道共６３個扇區(qū)）、Boot區(qū)、FAT表（每分區(qū)２份FAT表，第一份在９５扇區(qū)）、,目錄區(qū)：FAT12分區(qū)的根

10、目錄區(qū)位于第二 個FAT表之后數(shù)據(jù)區(qū)：是真正意義上的數(shù)據(jù)存儲的地方系統(tǒng)文件分區(qū)（FAT32、NTFS）、 簇(存儲文件的最小單位第一個簇的開始值為2）、I/O表（63扇區(qū)的別稱）。,文件系統(tǒng)（FAT32、NTFS）,FAT32:在 Windows 2000 中，可以格式化一個不超過 32 GB 的 FAT32 卷，最大文件大小為 4 GB。NTFS（新技術(shù)文件系統(tǒng)）:最小的容量為 10 MB， 推薦實(shí)際最大的

11、容量為 2 TB，文件大小只受卷的容量限制。,簇Cluster(從2開始計(jì)數(shù)）,原因：FAT表的頭兩項(xiàng)（0、1）為系統(tǒng)所保留，第一項(xiàng)的第一個字節(jié)是磁盤規(guī)格說明，對于固定硬盤應(yīng)為F8。當(dāng)前所在的扇區(qū)=（當(dāng)前簇—2）*扇數(shù)/簇+32+2*FAT 文件占用磁盤空間，基本單位不是字節(jié)而是簇。分區(qū)中只有數(shù)據(jù)區(qū)才劃分為簇，其余部分只劃分為扇區(qū)。一般情況下，硬盤數(shù)據(jù)區(qū)每簇的扇區(qū)數(shù)與分區(qū)的格式和總?cè)萘看笮∮嘘P(guān)，可能是4、8、16、32、64和12

12、8。小文件可能放不滿一個簇，它占用的簇既是它的開始簇又是它的結(jié)束簇，而大文件卻可能占用豈止幾百上千個簇。同一個文件的數(shù)據(jù)并不一定完整地存放在磁盤的一個連續(xù)的區(qū)域內(nèi)，而往往會分成若干段，像一條鏈子一樣存放。,應(yīng)用部分,分區(qū)大小工業(yè)和系統(tǒng)換算的不同原因,規(guī)范的容量標(biāo)準(zhǔn)為1M=1000K=1000*1000Byte,而在電腦的操作系統(tǒng)里規(guī)定了容量大小的換算標(biāo)準(zhǔn)為1M=1024K=1024*1024Byte,高級格式化,高級格式化：通常把FAT

13、表的項(xiàng)表注成為使用狀態(tài)。數(shù)據(jù)區(qū)的數(shù)據(jù)沒有真正清除。對硬盤進(jìn)行高級格式化通常使用操作系統(tǒng)自帶的FORMAT(格式化磁盤)命令。,低級格式化,低格：是指對一塊硬盤上所有2進(jìn)制數(shù)據(jù)變成0的過程。由于低格將可能損傷盤片磁介質(zhì)，一般沒有必要對硬盤進(jìn)行這種操作，對硬盤的壽命肯定有影響。確實(shí)有壞扇區(qū)或磁道推薦使用“效率源”硬盤檢測修復(fù)程序。,具體了解概念,圖中用淡紅色標(biāo)明的扇區(qū)（尤以主引導(dǎo)扇區(qū)和第一分區(qū)引導(dǎo)扇區(qū)為最）是易受病毒攻擊的扇區(qū),硬盤分區(qū)后邏

14、輯結(jié)構(gòu),特征扇區(qū),硬盤邏輯出現(xiàn)問題首先應(yīng)該檢查的扇區(qū)　０、６３扇區(qū)?！∪绻?、６３扇區(qū)確認(rèn)有信息被破壞通過下面方法修復(fù)：０扇區(qū)被破壞：通過搜索后續(xù)分區(qū)進(jìn)行換算６３扇區(qū)被破壞：如果硬盤分區(qū)是用Fdisk分的，在邏輯６９扇區(qū)有備份。,主引導(dǎo)區(qū) ０　CYLINDER 0 SIDE 1 SECTOR）,0扇區(qū),０扇區(qū)示意圖,主引導(dǎo)扇區(qū)即主引導(dǎo)記錄mbr(Master Boot Record)，是硬盤的第一個物理扇區(qū)（0柱面，0磁頭，

15、1扇區(qū)），也就是硬盤的"0"扇區(qū)。在它的512個字節(jié)中，包括三部分： 主引導(dǎo)程序代碼，占446字節(jié)（第一關(guān)鍵代碼硬盤分區(qū)表HDPT，占用64字節(jié) （第二關(guān)鍵代碼)主引導(dǎo)扇區(qū)結(jié)束標(biāo)志AA55H（第三關(guān)鍵代碼)硬盤的總分區(qū)數(shù)為什么不能大于4的原因(需要建立擴(kuò)展分區(qū))。,16字節(jié)表示的意義,分區(qū)表第二特征共4部分，每一部分16字節(jié)，具體代表：如80 00 02 00 01 03 51 30 3F 0

16、0 00 00 03 51 00 00 ① ② ③ ④ ⑤ ⑥它們各自的含義如下：①可自舉分區(qū)；②分區(qū)起始地址為0頭0柱面2扇區(qū)；③DOS分區(qū)，左側(cè)：為0H時(shí)表示此分區(qū)為非隱藏分區(qū)，為1H時(shí)則表示是隱藏分區(qū) 右側(cè)：取6H則表示是FAT16格式，且大于32MB；取5H表示是DOS擴(kuò)展 分 區(qū)；取7H

17、表示是NTFS文件格式；取BH表示是FAT32文件格式；取 CH表示是FAT32X文件格式；取EH表示是FAT16X文件格式；取FH表示 是ExtendedX擴(kuò)展分區(qū)。④分區(qū)終止地址為3頭304柱面17扇區(qū)；⑤區(qū)相對扇區(qū)號為63；⑥分區(qū)實(shí)用扇區(qū)數(shù)為20739個,磁頭(０-254)、柱面(０-1023 ）、扇區(qū)(1-63)由來,每一分區(qū)的第1至第3字節(jié)是該分區(qū)起始地址。其中第

18、1字節(jié)為起始磁頭號（面號）；第2字節(jié)的低6位為起始扇區(qū)號，高2位則為起始柱面號的高2位；第3字節(jié)為起始柱面號的低8位。因此，分區(qū)的起始柱面號是用10位二進(jìn)制數(shù)表示的，最大值為210 = 1024，因邏輯柱面號從0開始計(jì)，故柱面號的顯示最大值為1023。同理，用6位二進(jìn)制數(shù)表示的扇區(qū)號不會超過26 - 1 = 63；用8位二進(jìn)制數(shù)表示的磁頭號不會超過28 - 1 = 255,16進(jìn)制填寫問題,計(jì)算出來的16進(jìn)制表示方式是：高位在前地位在后

19、，但硬盤中16進(jìn)制填寫是相反的高位在后地位在前。如：03 51 00 00 （在扇區(qū)中表示形式，扇區(qū)數(shù)為20739） ⑥扇區(qū)數(shù)為轉(zhuǎn)換成16進(jìn)制為： 5103,63扇區(qū),63扇區(qū)一般也稱做進(jìn)入分區(qū)的I/O表或Boot 區(qū)。,69扇區(qū),用Fdisk分區(qū)的硬盤一般在69扇區(qū)有一個63扇區(qū)的備份，在數(shù)據(jù)修復(fù)中通常是有幫助的。,文件系統(tǒng),文件系統(tǒng):一般不同的存儲器在創(chuàng)建文件系統(tǒng)的時(shí)候都會占用一部分的存儲空間,來描述該存儲文件系統(tǒng)的

20、特性,比如FAT,FAT32,NTFS等,其中NTFS因?yàn)楸Ｃ苄院每梢宰龅轿募墑e的訪問控制。,各種文件系統(tǒng)的區(qū)別,系統(tǒng)管理文件是以簇為最小單位的，簇是由扇區(qū)組成的，不同的文件系統(tǒng)組成族的扇區(qū)數(shù)是不同的，具體,數(shù)據(jù)存儲原理（文件的讀?。?操作系統(tǒng)從目錄區(qū)中讀取文件信息（包括文件名、后綴名、文件大小、修改日期和文件在數(shù)據(jù)區(qū)保存的第一個簇的簇號）.假設(shè)我們尋找一個文件的第一個簇號是0023。操作系統(tǒng)從0023簇讀取相應(yīng)的數(shù)據(jù)，然后再找到

21、FAT的0023單元，如果內(nèi)容是文件結(jié)束標(biāo)志（FF），則表示文件結(jié)束，讀取數(shù)據(jù)的下一個簇的簇號，這樣重復(fù)下去直到遇到文件結(jié)束標(biāo)志,數(shù)據(jù)存儲原理（文件的寫入）,當(dāng)我們要保存文件時(shí)，操作系統(tǒng)首先在DIR區(qū)中找到空區(qū)寫入文件名、大小和創(chuàng)建時(shí)間等相應(yīng)信息，然后在Data區(qū)找到閑置空間將文件保存，并將Data區(qū)的第一個簇寫入DIR區(qū)，其余的動作和上邊的讀取動作差不多,數(shù)據(jù)修復(fù)篇,數(shù)據(jù)丟失的原因,1、誤格式化2、誤刪除3、由于病毒或惡意程序造

22、成主引導(dǎo)區(qū)或 引導(dǎo)區(qū)被破壞,丟失的數(shù)據(jù)為什么可以恢復(fù),通常所說的格式化程序（指高級格式化，例如DOS下的Format程序），并沒有把DATA區(qū)的數(shù)據(jù)清除，只是重寫了FAT表而已，至于分區(qū)硬盤，也只是修改了MBR和OBR，絕大部分的DATA區(qū)的數(shù)據(jù)并沒有被改變，這也是許多硬盤數(shù)據(jù)能夠得以修復(fù)的原因。,磁頭(０-254)、柱面(０-1023 ）、扇區(qū)(1-63)由來,每一分區(qū)的第1至第3字節(jié)是該分區(qū)起始地址。其中第1字節(jié)

23、為起始磁頭號（面號）；第2字節(jié)的低6位為起始扇區(qū)號，高2位則為起始柱面號的高2位；第3字節(jié)為起始柱面號的低8位。因此，分區(qū)的起始柱面號是用10位二進(jìn)制數(shù)表示的，最大值為210 = 1024，因邏輯柱面號從0開始計(jì)，故柱面號的顯示最大值為1023。同理，用6位二進(jìn)制數(shù)表示的扇區(qū)號不會超過26 - 1 = 63；用8位二進(jìn)制數(shù)表示的磁頭號不會超過28 - 1 = 25580 00 02 00 01 03 51 30

24、 ①,讓第5至第7字節(jié)的所有二進(jìn)制位都取1，就獲得了柱面號、磁頭號和扇區(qū)號所能表示的最大值，從而得到最大絕對扇區(qū)號為 1024 × 256 × 63 = 16,515,072這個扇區(qū)之前的所有物理扇區(qū)所包含的字節(jié)數(shù)為 16,515,072 × 512Bytes ≈ 8.46×109Bytes = 8.46GB?！　∧敲?，容量大于8.46GB的硬盤又該怎么辦？由此可見，分區(qū)表每一分區(qū)

25、的第1至第3字節(jié)以及第5至第7字節(jié)的數(shù)據(jù)結(jié)構(gòu)已經(jīng)不能滿足大于8.46GB的大容量硬盤的需要。由此也可知硬盤的容量設(shè)計(jì)為什么會有8.4GB這一檔。由于考慮到向下兼容的需要，業(yè)界并未對從DOS時(shí)代就如此定義的硬盤分區(qū)表提出更改意見，否則改動所牽涉的面太廣，會造成硬件和軟件發(fā)展上的一個斷層，幾乎無法被業(yè)界和用戶所接受。硬盤廠商解決這一問題的方法是定義了新的INT 13服務(wù)擴(kuò)展標(biāo)準(zhǔn)。新的INT 13服務(wù)擴(kuò)展標(biāo)準(zhǔn)不再使用操作系統(tǒng)的寄存器傳遞硬盤的

26、尋址參數(shù)，而使用存儲在操作系統(tǒng)內(nèi)存里的地址包。地址包里保存的是64位LBA地址，如果硬盤支持LBA尋址，就把低28位直接傳遞給ATA接口，如果不支持，操作系統(tǒng)就先把LBA地址轉(zhuǎn)換為CHS地址，再傳遞給ATA接口。通過這種方式，能實(shí)現(xiàn)在ATA總線基礎(chǔ)上CHS尋址的最大容量是136.9 GB，而LBA尋址的最大容量是137.4GB。新的硬盤傳輸規(guī)范ATA 133規(guī)范又把28位可用的寄存器空間提高到48位，從而支持更大的硬盤。,8.4G硬盤的

27、由來,分區(qū)大小的換算,C = N \（Sm *（Hm + 1）） ……… （1）式中C為柱面號，N為從零開始計(jì)的絕對扇區(qū)號，Sm 為最大扇區(qū)號，Hm為最大磁頭號，符號“\”的含義是整除 若人工計(jì)算，則符號兩端相除后略去小數(shù)部分取整。磁頭號以下式計(jì)算：H =（N - C * Sm *（Hm + 1））＼ Sm ……… （2）式中H為磁頭號。扇區(qū)號以下式計(jì)算：S = N - C * Sm *（Hm + 1）- H * Sm +

28、1 ………（3）式中S為扇區(qū)號。以上三式中最大扇區(qū)號Sm和最大磁頭號Hm是硬盤幾何構(gòu)成參,引導(dǎo)區(qū)病毒傳染途徑,嚴(yán)格意義上的引導(dǎo)區(qū)病毒傳播途徑唯一，只通過軟盤引導(dǎo)體統(tǒng)進(jìn)行傳播(CIH除外)。引導(dǎo)區(qū)病毒只破壞固定的扇區(qū)，因?yàn)椴《镜囊u擊目標(biāo)真是40GB硬盤每一個扇區(qū)的數(shù)據(jù)的話，對于CPU為1GHz的計(jì)算機(jī)而言，沒有8～10分鐘的時(shí)間是完不成的。,病毒通常破壞的扇區(qū),病毒通常破壞硬盤的第一分區(qū)（ C:\和D:\)）的0、63扇區(qū)，以及第一個

29、FAT表如：如CIH POLY BOOT以及一些惡意攻擊程序的破壞。。,引導(dǎo)型病毒POLYBOOT,引導(dǎo)型病毒POLYBOOT發(fā)作后會將主引導(dǎo)區(qū)即0扇區(qū)搬家移位至61扇區(qū)，并用一個錯誤的引導(dǎo)區(qū)或是亂碼來覆蓋0扇區(qū)，這樣就會使硬盤所有的分區(qū)及數(shù)據(jù)丟失，硬盤修復(fù)功能將61扇區(qū)寫回到0扇區(qū)就可恢復(fù)整個硬盤分區(qū)及數(shù)據(jù)。,數(shù)據(jù)修復(fù)常用工具（通常在DOS下使用）,推薦使用的工具：1、Norton出品的：Diskedit 、Diske

30、32（人工計(jì)算，修復(fù)錯誤的信息，要求對硬盤結(jié)構(gòu)十分熟悉）。2、江民的kv3000：通常利用其對硬盤分區(qū)進(jìn)行搜索（對硬盤不是很熟悉情況下使用），但如果用其自動修復(fù)功能有造成二次破壞的可能（主要是對大硬盤）。,在widows下使用的工具,1、Easyrecovery:2、winhex992,數(shù)據(jù)修復(fù)步驟和方法,1、判斷是硬件故障還是邏輯故障 主要方法是給硬盤加電，聽硬盤的運(yùn)轉(zhuǎn)聲音是否正常，如果有異常的響聲，如：咯噔

31、聲或盤片和磁頭接觸聲2、在BIOS下是否可以檢測到硬盤 如果檢測不到有可能電路板、電機(jī)等部件出現(xiàn)問題。,如何判斷硬盤故障,BIOS檢測是否正常,1、詢問用戶硬盤分區(qū)狀況 如：分幾個區(qū)、 每個分區(qū)的大小、文件系統(tǒng)類型2、在DOS下檢測系統(tǒng)啟動報(bào)錯類型，判 斷可能的原因。,在系統(tǒng)引導(dǎo)時(shí)可能報(bào)的錯誤信息1,1、Invalid Partition Tab

32、le分區(qū)信息中1BE、1CE、1DE處不符合只有一個80而其他兩處為0用工具設(shè)定2、Error Loading Operating System主引導(dǎo)程序讀BOOT區(qū)5次沒成功。重建BOOT區(qū),在系統(tǒng)引導(dǎo)時(shí)可能報(bào)的錯誤信息2,1、Missing Operating System DOS引導(dǎo)區(qū)的55AA標(biāo)記丟失2、Non-System Disk or Disk ErrorBOOT區(qū)中的系統(tǒng)文件名與

33、根目錄中的前兩個文件不同,在系統(tǒng)引導(dǎo)時(shí)可能報(bào)的錯誤信息3,5、Disk Boot Failure讀系統(tǒng)文件錯誤 SYS命令重新傳遞系統(tǒng)6、Invalid Driver Specifcationg如果試圖切換到一個確實(shí)存在的邏輯分區(qū)出現(xiàn)以下信息，說明主分區(qū)表的分區(qū)記錄被破壞了。,在系統(tǒng)引導(dǎo)時(shí)可能報(bào)的錯誤信息4,7、Bad or missing command interpreter這是說找不到COMMAND.com，

34、或者COMMAND文件壞了。如果你COPY過去COMMAND文件還是如此，一般來說是 感染了某種病毒8、Invalid media type reading drive X ,Abort,Retry,Fail?該盤沒有高級格式化，或BOOT區(qū)中I/O參數(shù)表被破壞,隱含扇區(qū),0道0面的全部扇區(qū)均為隱含扇區(qū)（一個磁道63扇），普通的磁盤訪問命令無法直接訪問，同時(shí)該磁道的其他62個扇區(qū)也是隱含的，因此有引多系統(tǒng)引導(dǎo)程序就把自己的程序代

35、碼放在其他隱含扇區(qū)，有些引導(dǎo)區(qū)病毒也把自己的代碼放在其他隱含扇區(qū),對于曾經(jīng)安裝過linux系統(tǒng),在一塊硬盤上安裝linux和widows多操作系統(tǒng)，一般都用lilo或grub管理系統(tǒng)引導(dǎo)扇區(qū)（windows系統(tǒng)無法管理有l(wèi)inux的引導(dǎo)扇區(qū)），當(dāng)刪除linux系統(tǒng)，硬盤無法正常引導(dǎo)windows系統(tǒng)。原因： lilo或grub仍然在管理引導(dǎo)扇區(qū)解決辦法：在DOS下執(zhí)行Fdisk/mbr 命令。,通過特征可以搜索的信息,1、搜索分區(qū)表

36、鏈kv3000。2、記算FAT、ROOT位置、長度。3、計(jì)算分區(qū)表開始、結(jié)尾和相關(guān)扇數(shù)。4、同時(shí)判斷簇大小。5、模糊判斷ROOT區(qū)（由RECYCLE或io.sys判斷），F(xiàn)AT區(qū)。,案例一,剛開機(jī)還能正常啟動，但是重新啟動后卻出現(xiàn)以下提示：DISK BOOT FAILURE,INSERT SYSTEM DISK AND PRESS ENTER。使用系統(tǒng)軟盤可以

37、啟動，而用軟盤啟動發(fā)現(xiàn)原來的兩個分區(qū)C和D都不見了。,了解了上述情況，開始對機(jī)器進(jìn)行進(jìn)一步的檢查，判斷問題出現(xiàn)的原因?！　￠_機(jī)后，進(jìn)入BIOS檢測硬盤，發(fā)現(xiàn)參數(shù)正常：是一塊41G的硬盤，說明問題可能出在分區(qū)表上。 diskedit查看，發(fā)現(xiàn)主引導(dǎo)扇區(qū)0扇區(qū)明顯被覆蓋過，并非正常的主引導(dǎo)信息，再翻到63扇區(qū)，發(fā)現(xiàn)有（局部）　　。,EB58904D  5357494E  342E3100  0210

38、2000  I02000000  00F80000 3F00FF00 3F000000 　　　　326F1C03  DC270000  00000000 02000000　　II　　 III10：本盤符

39、每簇的扇區(qū)數(shù)量(08：8扇 10：16 扇 20：32扇)。2000：第一份FAT的相對位置。 II ： C盤的總扇區(qū)數(shù) III：表示一份FAT表的長度　　經(jīng)分析是一份完整的I/O表，但需判別其準(zhǔn)確性：,（1）由I處的"2000"經(jīng)調(diào)位后為"0020" （十六進(jìn)制），再將其轉(zhuǎn)換成十進(jìn)制為32，說明第一份FAT表的起始位置在63+32=95扇區(qū)，下面用F3功能，直接翻到95

40、扇區(qū)，及翻閱其后扇區(qū)，判斷它是一份FAT表，且基本正常?！　。?）由III處的"DC27"經(jīng)調(diào)位后為"27DC"（十六進(jìn)制）將其轉(zhuǎn)換成十進(jìn)制為"10204"，它表示一份FAT表的長度，因FAT表有兩份，所以由10204*2+95=20503可知20503扇區(qū)應(yīng)為目錄區(qū)的起始扇區(qū)，再用F3翻到此扇區(qū)，分析其確為目錄區(qū)。,（3）再由II處的"326F1C03"

41、;經(jīng)同樣方法計(jì)算可得C盤的總扇區(qū)數(shù)應(yīng)為52195122扇區(qū)，則D盤的起始扇區(qū)就應(yīng)該是52195122+63=52195185扇區(qū)。直接翻至該扇區(qū)發(fā)現(xiàn)確有一分區(qū)表為：　　　　　　　　　　　　　　　　　0001 010C0CFE FF8C3F00000000A8 AE010000,（4）經(jīng)查找這個分區(qū)的I/O表及FAT表和目錄區(qū)確認(rèn)這就是原來的D分區(qū)（方法與以上基本相同）?！　⊥ㄟ^以上分析，基本可以判

42、定該硬盤分區(qū)丟失的原因就是主引導(dǎo)記錄被覆蓋所致。翻閱前63個隱含扇區(qū)時(shí)，發(fā)現(xiàn)61扇區(qū)為：,8001 01000CFE 3F0C3F00　　　　　　　0000326F 1C030000 010C0FFE FF8C716F 1C033FA8 AE010000　　　　　　　　　　　IV　　該扇區(qū)就是硬盤主引導(dǎo)記錄0扇區(qū)的備份，因?yàn)樗泻苊黠@的兩個關(guān)鍵字"8

43、0"和"55AA"，而且如果主引導(dǎo)區(qū)的IV處表示的C盤的總扇區(qū)數(shù)，正好和63扇區(qū)（引導(dǎo)區(qū)）的II處相吻合。,常見的引導(dǎo)型病毒POLYBOOT發(fā)作后會將主引導(dǎo)區(qū)即0扇區(qū)搬家移位至61扇區(qū)，并用一個錯誤的引導(dǎo)區(qū)或是亂碼來覆蓋0扇區(qū)，這樣就會使硬盤所有的分區(qū)及數(shù)據(jù)丟失，所以通常情況只需用KV3000的硬盤修復(fù)功能將61扇區(qū)寫回到0扇區(qū)就可恢復(fù)整個硬盤分區(qū)及數(shù)據(jù)?！　⊥ㄟ^以上分析結(jié)果，把61扇區(qū)寫回0扇區(qū)。方法