一、數(shù)據(jù)恢復(fù)基礎(chǔ)知識(shí) 
說(shuō)到數(shù)據(jù)恢復(fù)，我們就不能不提到硬盤的數(shù)據(jù)結(jié)構(gòu)、文件的存儲(chǔ)原理，甚至操作系統(tǒng)的啟動(dòng)流程，這些是你在恢復(fù)硬盤數(shù)據(jù)時(shí)不得不利用的基本知識(shí)。即使你不需要恢復(fù)數(shù)據(jù)，理解了這些知識(shí)（即使只是稍微多知道一些），對(duì)于你平時(shí)的電腦操作和應(yīng)用也是很有幫助的。 
我們就從硬盤的數(shù)據(jù)結(jié)構(gòu)談起吧…… 
1、 硬盤數(shù)據(jù)結(jié)構(gòu) 
剛出廠一塊硬盤，我們是沒(méi)有辦法使用的，你需要將它分區(qū)、格式化，然后再安裝上操作系統(tǒng)才可以使用。就拿我們一直沿用到現(xiàn)在的Win9x/Me系列來(lái)說(shuō)，我們一般要將硬盤分成主引導(dǎo)扇區(qū)、操作系統(tǒng)引導(dǎo)扇區(qū)、FAT、DIR和Data等五部分（其中只有主引導(dǎo)扇區(qū)是*的，其它的隨你的分區(qū)數(shù)的增加而增加）。 
主引導(dǎo)扇區(qū)： 
主引導(dǎo)扇區(qū)位于整個(gè)硬盤的0磁道0柱面1扇區(qū)，包括硬盤主引導(dǎo)記錄MBR（Main Boot Record）和分區(qū)表DPT（Disk Partition Table）。其中主引導(dǎo)記錄的作用就是檢查分區(qū)表是否正確以及確定哪個(gè)分區(qū)為引導(dǎo)分區(qū)，并在程序結(jié)束時(shí)把該分區(qū)的啟動(dòng)程序（也就是操作系統(tǒng)引導(dǎo)扇區(qū)）調(diào)入內(nèi)存加以執(zhí)行。至于分區(qū)表，很多人都知道，以80H或00H為開(kāi)始標(biāo)志，以55AAH為結(jié)束標(biāo)志，共64字節(jié)，位于本扇區(qū)的最末端。值得一提的是，MBR是由分區(qū)程序（例如DOS 的Fdisk.exe）產(chǎn)生的，不同的操作系統(tǒng)可能這個(gè)扇區(qū)是不盡相同。如果你有這個(gè)意向也可以自己去編寫一個(gè)，只要它能完成前述的任務(wù)即可，這也是為什么能實(shí)現(xiàn)多系統(tǒng)啟動(dòng)的原因（說(shuō)句題外話:正因?yàn)檫@個(gè)主引導(dǎo)記錄容易編寫，所以才出現(xiàn)了很多的引導(dǎo)區(qū)病毒）。 
操作系統(tǒng)引導(dǎo)扇區(qū)： 
OBR（OS Boot Record）即操作系統(tǒng)引導(dǎo)扇區(qū)，通常位于硬盤的0磁道1柱面1扇區(qū)（這是對(duì)于DOS來(lái)說(shuō)的，對(duì)于那些以多重引導(dǎo)方式啟動(dòng)的系統(tǒng)則位于相應(yīng)的主分區(qū)/擴(kuò)展分區(qū)的*個(gè)扇區(qū)），是操作系統(tǒng)可直接訪問(wèn)的*個(gè)扇區(qū)，它也包括一個(gè)引導(dǎo)程序和一個(gè)被稱為BPB（BIOS Parameter Block）的本分區(qū)參數(shù)記錄表。其實(shí)每個(gè)邏輯分區(qū)都有一個(gè)OBR，其參數(shù)視分區(qū)的大小、操作系統(tǒng)的類別而有所不同。引導(dǎo)程序的主要任務(wù)是判斷本分區(qū)根目錄前兩個(gè)文件是否為操作系統(tǒng)的引導(dǎo)文件（例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS）。如是，就把*個(gè)文件讀入內(nèi)存，并把控制權(quán)交予該文件。BPB參數(shù)塊記錄著本分區(qū)的起始扇區(qū)、結(jié)束扇區(qū)、文件存儲(chǔ)格式、硬盤介質(zhì)描述符、根目錄大小、FAT個(gè)數(shù)、分配單元（Allocation Unit，以前也稱之為簇）的大小等重要參數(shù)。OBR由高級(jí)格式化程序產(chǎn)生（例如DOS 的Format.com）。 

文件分配表： 
FAT(File Allocation Table)即文件分配表，是DOS/Win9x系統(tǒng)的文件尋址系統(tǒng)，為了數(shù)據(jù)安全起見(jiàn)，F(xiàn)AT一般做兩個(gè)，第二FAT為*FAT的備份, FAT區(qū)緊接在OBR之后，其大小由本分區(qū)的大小及文件分配單元的大小決定。 
FAT的格式歷來(lái)有很多選擇，Microsoft 的DOS及Windows采用我們所熟悉的FAT12、FAT16和FAT32格式，但除此以外并非沒(méi)有其它格式的FAT，像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。 
目錄區(qū)： 
DIR是Directory即根目錄區(qū)的簡(jiǎn)寫，DIR緊接在第二FAT表之后,只有FAT還不能定位文件在磁盤中的位置，F(xiàn)AT還必須和DIR配合才能準(zhǔn)確定位文件的位置。DIR記錄著每個(gè)文件（目錄）的起始單元（這是最重要的）、文件的屬性等。定位文件位置時(shí)，操作系統(tǒng)根據(jù)DIR中的起始單元，結(jié)合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區(qū)之后，才是真正意義上的數(shù)據(jù)存儲(chǔ)區(qū)，即DATA區(qū)。 
數(shù)據(jù)區(qū)： 
DATA雖然占據(jù)了硬盤的絕大部分空間，但沒(méi)有了前面的各部分，它對(duì)于我們來(lái)說(shuō)，也只能是一些枯燥的二進(jìn)制代碼，沒(méi)有任何意義。在這里有一點(diǎn)要說(shuō)明的是，我們通常所說(shuō)的格式化程序（指高級(jí)格式化，例如DOS下的Format程序），并沒(méi)有把DATA區(qū)的數(shù)據(jù)清除，只是重寫了FAT表而已，至于分區(qū)硬盤，也只是修改了MBR和OBR，絕大部分的DATA區(qū)的數(shù)據(jù)并沒(méi)有被改變，這也是許多硬盤數(shù)據(jù)能夠得以修復(fù)的原因。但即便如此，如MBR/OBR/FAT/DIR之一被破壞的話，也足夠咱們那些所謂的DIY老鳥(niǎo)們忙乎半天了……需要提醒大家的是，如果你經(jīng)常整理磁盤，那么你的數(shù)據(jù)區(qū)的數(shù)據(jù)可能是連續(xù)的，這樣即使MBR/FAT/DIR全部壞了，我們也可以使用磁盤編輯軟件（比如DOS下的DiskEdit），只要找到一個(gè)文件的起始保存位置，那么這個(gè)文件就有可能被恢復(fù)（當(dāng)然了，這需要一個(gè)前提，那就是你沒(méi)有覆蓋這個(gè)文件……）。 
2、硬盤分區(qū)方式 
我們平時(shí)說(shuō)到的分區(qū)概念，不外乎三種:主分區(qū)、擴(kuò)展分區(qū)和邏輯分區(qū)。 
主分區(qū)是一個(gè)比較單純的分區(qū)，通常位于硬盤的最前面一塊區(qū)域中，構(gòu)成邏輯C磁盤。在主分區(qū)中，不允許再建立其它邏輯磁盤。 
擴(kuò)展分區(qū)的概念則比較復(fù)雜，也是造成分區(qū)和邏輯磁盤混淆的主要原因。由于硬盤僅僅為分區(qū)表保留了64個(gè)字節(jié)的存儲(chǔ)空間，而每個(gè)分區(qū)的參數(shù)占據(jù)16個(gè)字節(jié)，故主引導(dǎo)扇區(qū)中總計(jì)可以存儲(chǔ)4個(gè)分區(qū)的數(shù)據(jù)。操作系統(tǒng)只允許存儲(chǔ)4個(gè)分區(qū)的數(shù)據(jù)，如果說(shuō)邏輯磁盤就是分區(qū)，則系統(tǒng)最多只允許4個(gè)邏輯磁盤。對(duì)于具體的應(yīng)用，4個(gè)邏輯磁盤往往不能滿足實(shí)際需求。為了建立更多的邏輯磁盤供操作系統(tǒng)使用，系統(tǒng)引入了擴(kuò)展分區(qū)的概念。 
所謂擴(kuò)展分區(qū)，嚴(yán)格地講它不是一個(gè)實(shí)際意義的分區(qū)，它僅僅是一個(gè)指向下一個(gè)分區(qū)的指針，這種指針結(jié)構(gòu)將形成一個(gè)單向鏈表。這樣在主引導(dǎo)扇區(qū)中除了主分區(qū)外，僅需要存儲(chǔ)一個(gè)被稱為擴(kuò)展分區(qū)的分區(qū)數(shù)據(jù)，通過(guò)這個(gè)擴(kuò)展分區(qū)的數(shù)據(jù)可以找到下一個(gè)分區(qū)（實(shí)際上也就是下一個(gè)邏輯磁盤）的起始位置，以此起始位置類推可以找到所有的分區(qū)。無(wú)論系統(tǒng)中建立多少個(gè)邏輯磁盤，在主引導(dǎo)扇區(qū)中通過(guò)一個(gè)擴(kuò)展分區(qū)的參數(shù)就可以逐個(gè)找到每一個(gè)邏輯磁盤。 
需要特別注意的是，由于主分區(qū)之后的各個(gè)分區(qū)是通過(guò)一種單向鏈表的結(jié)構(gòu)來(lái)實(shí)現(xiàn)鏈接的，因此，若單向鏈表發(fā)生問(wèn)題，將導(dǎo)致邏輯磁盤的丟失。 
3、數(shù)據(jù)存儲(chǔ)原理 
既然要進(jìn)行數(shù)據(jù)的恢復(fù)，當(dāng)然數(shù)據(jù)的存儲(chǔ)原理我們不能不提，在這之中，我們還要介紹一下數(shù)據(jù)的刪除和硬盤的格式化相關(guān)問(wèn)題…… 
文件的讀取 
操作系統(tǒng)從目錄區(qū)中讀取文件信息（包括文件名、后綴名、文件大小、修改日期和文件在數(shù)據(jù)區(qū)保存的*個(gè)簇的簇號(hào)），我們這里假設(shè)*個(gè)簇號(hào)是0023。 
操作系統(tǒng)從0023簇讀取相應(yīng)的數(shù)據(jù)，然后再找到FAT的0023單元，如果內(nèi)容是文件結(jié)束標(biāo)志（FF），則表示文件結(jié)束，否則內(nèi)容保存數(shù)據(jù)的下一個(gè)簇的簇號(hào)，這樣重復(fù)下去直到遇到文件結(jié)束標(biāo)志。 
文件的寫入 
當(dāng)我們要保存文件時(shí)，操作系統(tǒng)首先在DIR區(qū)中找到空區(qū)寫入文件名、大小和創(chuàng)建時(shí)間等相應(yīng)信息，然后在Data區(qū)找到閑置空間將文件保存，并將Data區(qū)的*個(gè)簇寫入DIR區(qū)，其余的動(dòng)作和上邊的讀取動(dòng)作差不多。 
文件的刪除 
看了前面的文件的讀取和寫入，你可能沒(méi)有往下邊繼續(xù)看的信心了，不過(guò)放心，Win9x的文件刪除工作卻是很簡(jiǎn)單的，簡(jiǎn)單到只在目錄區(qū)做了一點(diǎn)小改動(dòng)——將目錄區(qū)的文件的*個(gè)字符改成了E5就表示將改文件刪除了。 
Fdisk和Format的一點(diǎn)小說(shuō)明 
和文件的刪除類似，利用Fdisk刪除再建立分區(qū)和利用Format格式化邏輯磁盤（假設(shè)你格式化的時(shí)候并沒(méi)有使用/U這個(gè)無(wú)條件格式化參數(shù)）都沒(méi)有將數(shù)據(jù)從DATA區(qū)直接刪除，前者只是改變了分區(qū)表，后者只是修改了FAT表，因此被誤刪除的分區(qū)和誤格式化的硬盤完全有可能恢復(fù)…… 

系統(tǒng)啟動(dòng)流程 
各種不同的操作系統(tǒng)啟動(dòng)流程不盡相同，我們這里以Win9x/DOS的啟動(dòng)流程為例。 
*階段:系統(tǒng)加電自檢POST過(guò)程。POST是Power On Self Test的縮寫，也就是加電自檢的意思，微機(jī)執(zhí)行內(nèi)存FFFF0H處的程序（這里是一段固化的ROM程序），對(duì)系統(tǒng)的硬件（包括內(nèi)存）進(jìn)行檢查。 
第二階段:讀取分區(qū)記錄和引導(dǎo)記錄。當(dāng)微機(jī)檢查到硬件正常并與CMOS設(shè)置相符后，按照CMOS設(shè)置從相應(yīng)設(shè)備啟動(dòng)（我們這里假設(shè)從硬盤啟動(dòng)），讀取硬盤的分區(qū)記錄（DPT）和主引導(dǎo)記錄（MBR）。 
第三階段:讀取DOS引導(dǎo)記錄。微機(jī)正確讀取分區(qū)記錄和主引導(dǎo)記錄后，如果主引導(dǎo)記錄和分區(qū)表校驗(yàn)正確，則執(zhí)行主引導(dǎo)記錄并進(jìn)一步讀取DOS引導(dǎo)記錄（位于每一個(gè)主分區(qū)的*個(gè)扇區(qū)），然后執(zhí)行該DOS引導(dǎo)記錄。 
第四階段:裝載系統(tǒng)隱含文件。將DOS系統(tǒng)的隱含文件IO.SYS入內(nèi)存，加載基本的文件系統(tǒng)FAT，這時(shí)候一般會(huì)出現(xiàn)Starting Windows 9x...的標(biāo)志，IO.SYS將MS.SYS讀入內(nèi)存，并處理System.dat和User.dat文件，加載磁盤壓縮程序。 
第五階段:實(shí)DOS模式配置。系統(tǒng)隱含文件裝載完成，微機(jī)將執(zhí)行系統(tǒng)隱含文件，并執(zhí)行系統(tǒng)配置文件（Config.sys），加載Config.sys中定義的各種驅(qū)動(dòng)程序。 
第六階段:調(diào)入命令解釋程序(Command.com)。系統(tǒng)裝載命令管理程序，以便對(duì)系統(tǒng)的各種操作命令進(jìn)行協(xié)調(diào)管理（我們所使用的Dir、Copy等內(nèi)部命令就是由Command.com提供的）。 
第七階段:執(zhí)行批處理文件(Autoexec.bat)。微機(jī)將一步一步地執(zhí)行批處理文件中的各條命令。 
第八階段:加載Win.com。Win.com負(fù)責(zé)將Windows下的各種驅(qū)動(dòng)程序和啟動(dòng)執(zhí)行文件加以執(zhí)行，至此啟動(dòng)完畢。 
數(shù)據(jù)恢復(fù)的基礎(chǔ)知識(shí)到此就給你介紹得差不多了。如果你領(lǐng)會(huì)了以上的這些知識(shí)，相信加上工具軟件的輔助，恢復(fù)你丟失的數(shù)據(jù)簡(jiǎn)直是輕而易舉，這里就不再多說(shuō)，我們走入真正的實(shí)戰(zhàn)操作吧…… 

二、 硬盤數(shù)據(jù)恢復(fù)方案分析 
難道在硬盤數(shù)據(jù)由于各種原因被破壞后，我們就只能……？ 
當(dāng)然，我們*的期望還是——你永遠(yuǎn)不要用到下面的方法！因?yàn)樵偻陚涞氖潞蠼鉀Q方案，也不能保證所有數(shù)據(jù)的完好無(wú)缺。而要真正做到萬(wàn)無(wú)一失，更重要的工作還在于防患于未然。 
1、文件語(yǔ)刪除 
A、癥狀 
這可能是最簡(jiǎn)單同時(shí)也是最常見(jiàn)的數(shù)據(jù)損壞，直接的表述就是一般刪除文件后清空了回收站，或按住Shift鍵刪除，要不然就是在“回收站”的“屬性”中勾選了“刪除時(shí)不將文件移入回收站，而是徹底刪除”。 
B、解決方案 
既然是最常見(jiàn)的數(shù)據(jù)損壞，當(dāng)然也就是最容易恢復(fù)的，下面就根據(jù)不同的操作系統(tǒng)給出相應(yīng)的解決方案。 
1）.Win9x/Me下的解決方案 
也就是FAT16/32分區(qū)下的文件誤刪除恢復(fù)，這應(yīng)該是大部分恢復(fù)類軟件的基本功能；而我們拿來(lái)作例子的軟件Recover4all，所提供的功能僅為在Win9x/Me下恢復(fù)被誤刪除的文件——其實(shí)很多東西并不是一味求大求全就好，夠用已足夠，簡(jiǎn)單就是美。 
2）.WinNT/2000下的解決方案 
換種說(shuō)法，也就是如何恢復(fù)在NTFS分區(qū)下被誤刪除的文件。對(duì)于這種相對(duì)簡(jiǎn)單的需求，F(xiàn)ile Scavenger完全就可以勝任。當(dāng)然，F(xiàn)ile Scavenger是很具有針對(duì)性的——它只能在WinNT/2000系統(tǒng)下使用（同時(shí)必須以Administrator用戶登錄系統(tǒng)），而且只對(duì)NTFS格式的分區(qū)有效。不過(guò)它支持壓縮過(guò)的NTFS分區(qū)或文件夾中文件的恢復(fù)，并對(duì)格式化過(guò)的NTFS分區(qū)中的文件也有效（注意:File Scavenger只可以對(duì)格式化過(guò)的分區(qū)中的文件進(jìn)行恢復(fù)，并不能恢復(fù)整個(gè)被格式化過(guò)的分區(qū)）。 
C、不可恢復(fù)的情況 
如果文件在刪除之后，其存儲(chǔ)的磁盤空間進(jìn)行過(guò)寫操作，那在通常情況下恢復(fù)的幾率為0。因此，誤刪除文件可以恢復(fù)的重要前提就是不要在刪除文件所在的分區(qū)進(jìn)行寫操作。 
病毒破壞 
1)、癥狀 
現(xiàn)在使用電腦的人基本都是談“毒”色變，病毒帶來(lái)的數(shù)據(jù)破壞往往不可預(yù)見(jiàn)（包括分區(qū)表破壞、數(shù)據(jù)覆蓋等；例如CIH病毒破壞的硬盤，其分區(qū)表已被徹底改寫，用A盤啟動(dòng)也無(wú)法找到硬盤），由此病毒破壞硬盤數(shù)據(jù)的癥狀也不好描述，基本上大部分的數(shù)據(jù)損壞情況都有可能是病毒引起的，所以最穩(wěn)妥的方法還是安裝一個(gè)優(yōu)秀的病毒防火墻。 
2)、解決方案 
由于病毒破壞硬盤數(shù)據(jù)的方法各異，恢復(fù)的方案就需要對(duì)癥下藥。一般以常見(jiàn)的CIH為例，因?yàn)樗钇毡?，也最容易判斷（一般是?月26日發(fā)作）。 
當(dāng)用戶的硬盤數(shù)據(jù)一旦被CIH病毒破壞后，使用KV3000的F10功能，可修復(fù)的程度如下: 
1.C盤容量為2.1G以上， 原FAT表是32位的，C分區(qū)的修復(fù)率為98%，D、E、F等分區(qū)的修復(fù)率為99%, 配合手工C、D、E、F等分區(qū)的修復(fù)率為*。 
2.硬盤容量為2.1G以下，原FAT表是16位的，C分區(qū)的修復(fù)率為0%，D、E、F等分區(qū)的修復(fù)率為99%, 配合手工D、E、F盤的修復(fù)率為*。 
因?yàn)樵瑿盤是16位的短FAT表，所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來(lái)，雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了，但文件的內(nèi)容影像還存儲(chǔ)在C盤內(nèi)的某些扇區(qū)上。推薦用KV3000找回C盤，再用文件修復(fù)軟件TIRAMISU.EXE可將C盤內(nèi)的部分文件影像找回來(lái)，如果原存放文件影像的簇是相連的，找回的文件就完整無(wú)損。 
但對(duì)于FAT16的C盤是不是中了CIH就沒(méi)救呢？你還是可以嘗試一下FIXMBR，它可以通過(guò)全盤搜索，決定硬盤分區(qū)，并重新構(gòu)造主引導(dǎo)扇區(qū)。由于軟件只修改主引導(dǎo)扇區(qū)記錄，對(duì)其它扇區(qū)不進(jìn)行寫操作，故一般不會(huì)帶來(lái)不安全目錄（如果修復(fù)得不理想，請(qǐng)DiskEdit等工具進(jìn)行手工修復(fù)）。注意:FIXMBR是一個(gè)比較老的程序，對(duì)WinNT、Linux以及FAT32考慮得不多。 
3)、不可恢復(fù)的情況 
由于病毒破壞硬盤的方式實(shí)在太多，而且大部分破壞都無(wú)法用一般軟件輕易恢復(fù)（如果你喜歡使用DiskEdit等磁盤扇區(qū)編輯工具，對(duì)某些情況還有一線希望），所以……遇到病毒破壞硬盤的情況你就祈禱吧（由此看來(lái)，安裝一個(gè)優(yōu)秀的病毒防火墻絕對(duì)是有必要的）! 
2、 分區(qū)表破壞 
分區(qū)表破壞是比較常遇到： 
A、破壞原因及恢復(fù)可行性分析 
分區(qū)表破壞，可能是數(shù)據(jù)損壞中除了物理?yè)p壞之外最嚴(yán)重的一種災(zāi)難性破壞。究其原因，不外乎以下幾種: 
1).個(gè)人誤操作刪除分區(qū)，只要沒(méi)有進(jìn)行其它的操作完全可以恢復(fù)。 
2).安裝多系統(tǒng)引導(dǎo)軟件或者采用第三方分區(qū)工具，有恢復(fù)的可能性。 
3).病毒破壞，可以部分或者全部恢復(fù)。 
4).利用Ghost克隆分區(qū)/硬盤破壞，只可以部分恢復(fù)或者不能恢復(fù)（用Ghost的朋友要小心了）。 
B、解決方案 
在Norton Utility系列工具中，功能十分強(qiáng)大，可以恢復(fù)分區(qū)記錄、FAT表，需要注意的是它對(duì)硬盤的操作不是只讀的，因此你需要每一步都做好Undo文件，這樣即使誤操作也可以恢復(fù)，Norton Disk Doctor配合DiskEdit在分區(qū)表不能恢復(fù)時(shí)也可以恢復(fù)部分文件，可惜Norton Disk Doctor不支持NTFS分區(qū)，這不能不說(shuō)是它的一大遺憾之處…… 
最專業(yè)的數(shù)據(jù)恢復(fù)公司出的軟件，當(dāng)然很有專業(yè)風(fēng)范，EasyRecovery支持的文件系統(tǒng)格式很多FAT、NTFS都支持，并且有專門的For Novell版本。EasyRecovery對(duì)于分區(qū)破壞和硬盤意外被格式化都可安全的恢復(fù)，你所要做的就是將數(shù)據(jù)損壞硬盤掛到另外一臺(tái)電腦上，盡情恢復(fù)就是了，不過(guò)EasyRecovery對(duì)于中文的文件名和目錄名效果不是很好（一些亂碼，但文章內(nèi)容絕對(duì)是正確的）。 
由出品PartitionMagic的PowerQuest公司所出的，硬盤資料復(fù)原工具。它是一套恢復(fù)硬盤因病毒感染，意外格式化等因素所導(dǎo)致的資料損失工具軟件，能將已刪除的文件資料找出并恢復(fù)，也能找出已重新格式化的硬盤、被破壞的FAT分配表、啟動(dòng)扇區(qū)等等，幾乎能找出及發(fā)現(xiàn)任何在硬盤上的資料（支持FAT16和FAT32及長(zhǎng)文件名）?；謴?fù)回來(lái)的資料能選擇在原來(lái)所在位置恢復(fù)或保存到其它可寫入資料的硬盤，也提供了自動(dòng)備份目錄、文件和系統(tǒng)配置文件的功能，能在任何時(shí)間恢復(fù)） 

3、全盤崩潰和分區(qū)丟失 
　　首先重建MBR代碼區(qū)，再根據(jù)情況修正分區(qū)表。修正分區(qū)表的基本思路是查找以55AA為結(jié)束的扇區(qū)，再根據(jù)扇區(qū)結(jié)構(gòu)和后面是否有FAT等情況判定是否為分區(qū)表，*計(jì)算填回主分區(qū)表，由于需要計(jì)算，過(guò)程比較煩瑣。如果文件仍然無(wú)法讀取，要考慮用Tiramint等工具進(jìn)行修復(fù)。如果在FAT表徹底崩潰，恢復(fù)某個(gè)指定文件，可以用DiskEdit或Debug查找已知信息。比如文件為文本，文件中包含“軟件狗”，那么我們就要把它們轉(zhuǎn)換為內(nèi)碼C8 ED BC FE B9 B7進(jìn)行查找。 

4、文件丟失、誤格式化的情況 
　　一般來(lái)說(shuō)，刪除文件僅僅是把文件的首字節(jié)，改為E5H，而并不破壞文件本身，因此可以恢復(fù)。但對(duì)不連續(xù)文件要恢復(fù)文件鏈，而由于手工交叉恢復(fù)對(duì)一般計(jì)算機(jī)用戶來(lái)說(shuō)并不容易，這里就就不講了，建議用工具處理，如果已經(jīng)安裝了Norton Utilities，可以用它來(lái)查找。另外，RecoverNT等工具都是恢復(fù)的利器。但是應(yīng)特別注意，千萬(wàn)不要在發(fā)現(xiàn)文件丟失后，在本機(jī)安裝什么恢復(fù)工具，你可能恰恰把文件覆蓋掉了。特別是如果你的文件在C盤，發(fā)現(xiàn)主要文件被你失手清掉了（比如你按SHIFT刪除），你應(yīng)該馬上直接關(guān)閉電源，用軟盤啟動(dòng)進(jìn)行恢復(fù)或把硬盤串接到其它有恢復(fù)工具的機(jī)器處理。 
5、文件損壞 
　　一般的說(shuō)，恢復(fù)損壞文件須要清楚地了解文件的結(jié)構(gòu)，但這并不是很容易的事情，而這方面的工具也不多。不過(guò)，文件如果字節(jié)正常，不能正常打開(kāi)往往是文件頭損壞。 
6、硬盤被加密或變換 
　　此時(shí)千萬(wàn)不要進(jìn)行FDISK/MBR，SYS等處理，否則數(shù)據(jù)再也無(wú)法找回，一定要反解加密算法，或找到被移走的重要扇區(qū)。對(duì)于那些加密硬盤數(shù)據(jù)的病毒，清除時(shí)一定要選擇能恢復(fù)加密數(shù)據(jù)的可靠殺毒軟件。 
7、文件加密后密碼遺忘 
　　對(duì)于很多字處理軟件的文件加密和ZIP等壓縮包的加密，你是不能靠加密逆過(guò)程來(lái)完成的，因?yàn)槟菑睦碚撋鲜钱惓＠щy的。目前有一些相關(guān)的軟件，他們的思想一般都是用一個(gè)大字典集中的數(shù)據(jù)循環(huán)用相同算法加密后與密碼的密文匹配，直到一致時(shí)則說(shuō)明找到了密碼。你可以去尋找這些軟件，當(dāng)然，有些軟件是有后門的，比如DOS 下的WPS，Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏是解文件密碼的個(gè)中高手，大家不妨去他的主頁(yè)看看。 

8、系統(tǒng)用戶密碼遺忘的處理 
　　最簡(jiǎn)單的方法就是用軟盤啟動(dòng)（NT的你也可以把盤掛接在其他NT上），找到支持該文件系統(tǒng)結(jié)構(gòu)的軟件（比如針對(duì)NT的NTFSDOS），利用他把密碼文件清掉、或者是COPY出密碼檔案，用破解軟件套字典來(lái)處理。前者時(shí)間短但所有用戶信息丟失，后者時(shí)間長(zhǎng)，但保全了所有用戶信息。對(duì)UNIX系統(tǒng)，建議你一定先做一張應(yīng)急盤。 
三、數(shù)據(jù)備份介紹 
雖然數(shù)據(jù)恢復(fù)技術(shù)可能將你的損失降到*，但是，誰(shuí)愿意在惶恐不安中，邊祈禱邊按下各類數(shù)據(jù)恢復(fù)軟件的“Recover”按鈕？也沒(méi)有人喜歡面對(duì)滿屏的16進(jìn)制代碼，帶著僥幸的心理調(diào)整硬盤分區(qū)表Data區(qū)的信息；所以，*的數(shù)據(jù)保全方法應(yīng)該是防患于未然——備份！ 
雖然，備份可以說(shuō)是一種悲觀的做法，可一旦不可預(yù)見(jiàn)的問(wèn)題發(fā)生，備份下來(lái)的資料也許是你*的救命稻草。 
1、 什么東西最該備份 
決定如何備份前，應(yīng)先考慮備份什么。硬盤里有三種東西:數(shù)據(jù)、應(yīng)用程序和操作系統(tǒng)。你可備份硬盤中的所有東西，也可只備份數(shù)據(jù)。 
進(jìn)行完整的備份是最簡(jiǎn)單的方法，至少?gòu)幕謴?fù)的角度看是這樣。如果整個(gè)硬盤完全損壞，你不需要從頭重裝操作系統(tǒng)和應(yīng)用程序；而是很快就可恢復(fù)運(yùn)行。但是反過(guò)來(lái)，進(jìn)行完整備份花的時(shí)間更長(zhǎng)，要用到更多帶有大容量存儲(chǔ)空間的移動(dòng)設(shè)備——即所謂外掛驅(qū)動(dòng)器，如CD-R或Zip驅(qū)動(dòng)器。 
另一個(gè)方法是只備份最重要的東西:數(shù)據(jù)。你不能很輕易地替換文檔、工作表或數(shù)據(jù)庫(kù)。備份所有數(shù)據(jù)的最簡(jiǎn)單的方法是把所有數(shù)據(jù)保存到一個(gè)地方。 
你還應(yīng)備份其它的重要文件，比如那些含有你所有設(shè)置的文件，包括瀏覽器的書簽（收藏夾）、cookie（含有密碼）、地址簿、配置設(shè)置、數(shù)據(jù)項(xiàng)與報(bào)告表、模板、宏等。Windows 2000把這些文件都放到一個(gè)名叫“Documents And Settings”的新文件夾中，所以找起來(lái)很方便。該文件夾中不僅包括My Documents文件夾，還包括了部分關(guān)于配置設(shè)置、收藏夾和cookie的注冊(cè)表信息。在Windows 95或98中，這些文件分布在多個(gè)Windows文件夾中，因此必須備份所有文件夾，以防遺漏。 
2、備份到哪里 
對(duì)于一般的個(gè)人用戶，你當(dāng)然可以將數(shù)據(jù)備份在本地硬盤的其它分區(qū)中；但如果不是實(shí)在別無(wú)選擇，請(qǐng)不要以為將重要數(shù)據(jù)備份到本地硬盤的其它分區(qū)上就是安全的，各種意外錯(cuò)誤或是病毒、木馬都很容易將你的整個(gè)硬盤數(shù)據(jù)毀于一旦。所以，我們的建議是將重要數(shù)據(jù)備份到本地硬盤以外的其它設(shè)備，如插拔式外部存儲(chǔ)設(shè)備（如Zip、Jaz驅(qū)動(dòng)器或USB/1394接口的活動(dòng)硬盤）等、CD-R/RW或者網(wǎng)絡(luò)上的其它硬盤。 



一、數(shù)據(jù)恢復(fù)基礎(chǔ)知識(shí) 
說(shuō)到數(shù)據(jù)恢復(fù)，我們就不能不提到硬盤的數(shù)據(jù)結(jié)構(gòu)、文件的存儲(chǔ)原理，甚至操作系統(tǒng)的啟動(dòng)流程，這些是你在恢復(fù)硬盤數(shù)據(jù)時(shí)不得不利用的基本知識(shí)。即使你不需要恢復(fù)數(shù)據(jù)，理解了這些知識(shí)（即使只是稍微多知道一些），對(duì)于你平時(shí)的電腦操作和應(yīng)用也是很有幫助的。 
我們就從硬盤的數(shù)據(jù)結(jié)構(gòu)談起吧…… 
1、 硬盤數(shù)據(jù)結(jié)構(gòu) 
剛出廠一塊硬盤，我們是沒(méi)有辦法使用的，你需要將它分區(qū)、格式化，然后再安裝上操作系統(tǒng)才可以使用。就拿我們一直沿用到現(xiàn)在的Win9x/Me系列來(lái)說(shuō)，我們一般要將硬盤分成主引導(dǎo)扇區(qū)、操作系統(tǒng)引導(dǎo)扇區(qū)、FAT、DIR和Data等五部分（其中只有主引導(dǎo)扇區(qū)是*的，其它的隨你的分區(qū)數(shù)的增加而增加）。 
主引導(dǎo)扇區(qū)： 
主引導(dǎo)扇區(qū)位于整個(gè)硬盤的0磁道0柱面1扇區(qū)，包括硬盤主引導(dǎo)記錄MBR（Main Boot Record）和分區(qū)表DPT（Disk Partition Table）。其中主引導(dǎo)記錄的作用就是檢查分區(qū)表是否正確以及確定哪個(gè)分區(qū)為引導(dǎo)分區(qū)，并在程序結(jié)束時(shí)把該分區(qū)的啟動(dòng)程序（也就是操作系統(tǒng)引導(dǎo)扇區(qū)）調(diào)入內(nèi)存加以執(zhí)行。至于分區(qū)表，很多人都知道，以80H或00H為開(kāi)始標(biāo)志，以55AAH為結(jié)束標(biāo)志，共64字節(jié)，位于本扇區(qū)的最末端。值得一提的是，MBR是由分區(qū)程序（例如DOS 的Fdisk.exe）產(chǎn)生的，不同的操作系統(tǒng)可能這個(gè)扇區(qū)是不盡相同。如果你有這個(gè)意向也可以自己去編寫一個(gè)，只要它能完成前述的任務(wù)即可，這也是為什么能實(shí)現(xiàn)多系統(tǒng)啟動(dòng)的原因（說(shuō)句題外話:正因?yàn)檫@個(gè)主引導(dǎo)記錄容易編寫，所以才出現(xiàn)了很多的引導(dǎo)區(qū)病毒）。 
操作系統(tǒng)引導(dǎo)扇區(qū)： 
OBR（OS Boot Record）即操作系統(tǒng)引導(dǎo)扇區(qū)，通常位于硬盤的0磁道1柱面1扇區(qū)（這是對(duì)于DOS來(lái)說(shuō)的，對(duì)于那些以多重引導(dǎo)方式啟動(dòng)的系統(tǒng)則位于相應(yīng)的主分區(qū)/擴(kuò)展分區(qū)的*個(gè)扇區(qū)），是操作系統(tǒng)可直接訪問(wèn)的*個(gè)扇區(qū)，它也包括一個(gè)引導(dǎo)程序和一個(gè)被稱為BPB（BIOS Parameter Block）的本分區(qū)參數(shù)記錄表。其實(shí)每個(gè)邏輯分區(qū)都有一個(gè)OBR，其參數(shù)視分區(qū)的大小、操作系統(tǒng)的類別而有所不同。引導(dǎo)程序的主要任務(wù)是判斷本分區(qū)根目錄前兩個(gè)文件是否為操作系統(tǒng)的引導(dǎo)文件（例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS）。如是，就把*個(gè)文件讀入內(nèi)存，并把控制權(quán)交予該文件。BPB參數(shù)塊記錄著本分區(qū)的起始扇區(qū)、結(jié)束扇區(qū)、文件存儲(chǔ)格式、硬盤介質(zhì)描述符、根目錄大小、FAT個(gè)數(shù)、分配單元（Allocation Unit，以前也稱之為簇）的大小等重要參數(shù)。OBR由高級(jí)格式化程序產(chǎn)生（例如DOS 的Format.com）。 

文件分配表： 
FAT(File Allocation Table)即文件分配表，是DOS/Win9x系統(tǒng)的文件尋址系統(tǒng)，為了數(shù)據(jù)安全起見(jiàn)，F(xiàn)AT一般做兩個(gè)，第二FAT為*FAT的備份, FAT區(qū)緊接在OBR之后，其大小由本分區(qū)的大小及文件分配單元的大小決定。 
FAT的格式歷來(lái)有很多選擇，Microsoft 的DOS及Windows采用我們所熟悉的FAT12、FAT16和FAT32格式，但除此以外并非沒(méi)有其它格式的FAT，像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。 
目錄區(qū)： 
DIR是Directory即根目錄區(qū)的簡(jiǎn)寫，DIR緊接在第二FAT表之后,只有FAT還不能定位文件在磁盤中的位置，F(xiàn)AT還必須和DIR配合才能準(zhǔn)確定位文件的位置。DIR記錄著每個(gè)文件（目錄）的起始單元（這是最重要的）、文件的屬性等。定位文件位置時(shí)，操作系統(tǒng)根據(jù)DIR中的起始單元，結(jié)合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區(qū)之后，才是真正意義上的數(shù)據(jù)存儲(chǔ)區(qū)，即DATA區(qū)。 
數(shù)據(jù)區(qū)： 
DATA雖然占據(jù)了硬盤的絕大部分空間，但沒(méi)有了前面的各部分，它對(duì)于我們來(lái)說(shuō)，也只能是一些枯燥的二進(jìn)制代碼，沒(méi)有任何意義。在這里有一點(diǎn)要說(shuō)明的是，我們通常所說(shuō)的格式化程序（指高級(jí)格式化，例如DOS下的Format程序），并沒(méi)有把DATA區(qū)的數(shù)據(jù)清除，只是重寫了FAT表而已，至于分區(qū)硬盤，也只是修改了MBR和OBR，絕大部分的DATA區(qū)的數(shù)據(jù)并沒(méi)有被改變，這也是許多硬盤數(shù)據(jù)能夠得以修復(fù)的原因。但即便如此，如MBR/OBR/FAT/DIR之一被破壞的話，也足夠咱們那些所謂的DIY老鳥(niǎo)們忙乎半天了……需要提醒大家的是，如果你經(jīng)常整理磁盤，那么你的數(shù)據(jù)區(qū)的數(shù)據(jù)可能是連續(xù)的，這樣即使MBR/FAT/DIR全部壞了，我們也可以使用磁盤編輯軟件（比如DOS下的DiskEdit），只要找到一個(gè)文件的起始保存位置，那么這個(gè)文件就有可能被恢復(fù)（當(dāng)然了，這需要一個(gè)前提，那就是你沒(méi)有覆蓋這個(gè)文件……）。 
2、硬盤分區(qū)方式 
我們平時(shí)說(shuō)到的分區(qū)概念，不外乎三種:主分區(qū)、擴(kuò)展分區(qū)和邏輯分區(qū)。 
主分區(qū)是一個(gè)比較單純的分區(qū)，通常位于硬盤的最前面一塊區(qū)域中，構(gòu)成邏輯C磁盤。在主分區(qū)中，不允許再建立其它邏輯磁盤。 
擴(kuò)展分區(qū)的概念則比較復(fù)雜，也是造成分區(qū)和邏輯磁盤混淆的主要原因。由于硬盤僅僅為分區(qū)表保留了64個(gè)字節(jié)的存儲(chǔ)空間，而每個(gè)分區(qū)的參數(shù)占據(jù)16個(gè)字節(jié)，故主引導(dǎo)扇區(qū)中總計(jì)可以存儲(chǔ)4個(gè)分區(qū)的數(shù)據(jù)。操作系統(tǒng)只允許存儲(chǔ)4個(gè)分區(qū)的數(shù)據(jù)，如果說(shuō)邏輯磁盤就是分區(qū)，則系統(tǒng)最多只允許4個(gè)邏輯磁盤。對(duì)于具體的應(yīng)用，4個(gè)邏輯磁盤往往不能滿足實(shí)際需求。為了建立更多的邏輯磁盤供操作系統(tǒng)使用，系統(tǒng)引入了擴(kuò)展分區(qū)的概念。 
所謂擴(kuò)展分區(qū)，嚴(yán)格地講它不是一個(gè)實(shí)際意義的分區(qū)，它僅僅是一個(gè)指向下一個(gè)分區(qū)的指針，這種指針結(jié)構(gòu)將形成一個(gè)單向鏈表。這樣在主引導(dǎo)扇區(qū)中除了主分區(qū)外，僅需要存儲(chǔ)一個(gè)被稱為擴(kuò)展分區(qū)的分區(qū)數(shù)據(jù)，通過(guò)這個(gè)擴(kuò)展分區(qū)的數(shù)據(jù)可以找到下一個(gè)分區(qū)（實(shí)際上也就是下一個(gè)邏輯磁盤）的起始位置，以此起始位置類推可以找到所有的分區(qū)。無(wú)論系統(tǒng)中建立多少個(gè)邏輯磁盤，在主引導(dǎo)扇區(qū)中通過(guò)一個(gè)擴(kuò)展分區(qū)的參數(shù)就可以逐個(gè)找到每一個(gè)邏輯磁盤。 
需要特別注意的是，由于主分區(qū)之后的各個(gè)分區(qū)是通過(guò)一種單向鏈表的結(jié)構(gòu)來(lái)實(shí)現(xiàn)鏈接的，因此，若單向鏈表發(fā)生問(wèn)題，將導(dǎo)致邏輯磁盤的丟失。 
3、數(shù)據(jù)存儲(chǔ)原理 
既然要進(jìn)行數(shù)據(jù)的恢復(fù)，當(dāng)然數(shù)據(jù)的存儲(chǔ)原理我們不能不提，在這之中，我們還要介紹一下數(shù)據(jù)的刪除和硬盤的格式化相關(guān)問(wèn)題…… 
文件的讀取 
操作系統(tǒng)從目錄區(qū)中讀取文件信息（包括文件名、后綴名、文件大小、修改日期和文件在數(shù)據(jù)區(qū)保存的*個(gè)簇的簇號(hào)），我們這里假設(shè)*個(gè)簇號(hào)是0023。 
操作系統(tǒng)從0023簇讀取相應(yīng)的數(shù)據(jù)，然后再找到FAT的0023單元，如果內(nèi)容是文件結(jié)束標(biāo)志（FF），則表示文件結(jié)束，否則內(nèi)容保存數(shù)據(jù)的下一個(gè)簇的簇號(hào)，這樣重復(fù)下去直到遇到文件結(jié)束標(biāo)志。 
文件的寫入 
當(dāng)我們要保存文件時(shí)，操作系統(tǒng)首先在DIR區(qū)中找到空區(qū)寫入文件名、大小和創(chuàng)建時(shí)間等相應(yīng)信息，然后在Data區(qū)找到閑置空間將文件保存，并將Data區(qū)的*個(gè)簇寫入DIR區(qū)，其余的動(dòng)作和上邊的讀取動(dòng)作差不多。 
文件的刪除 
看了前面的文件的讀取和寫入，你可能沒(méi)有往下邊繼續(xù)看的信心了，不過(guò)放心，Win9x的文件刪除工作卻是很簡(jiǎn)單的，簡(jiǎn)單到只在目錄區(qū)做了一點(diǎn)小改動(dòng)——將目錄區(qū)的文件的*個(gè)字符改成了E5就表示將改文件刪除了。 
Fdisk和Format的一點(diǎn)小說(shuō)明 
和文件的刪除類似，利用Fdisk刪除再建立分區(qū)和利用Format格式化邏輯磁盤（假設(shè)你格式化的時(shí)候并沒(méi)有使用/U這個(gè)無(wú)條件格式化參數(shù)）都沒(méi)有將數(shù)據(jù)從DATA區(qū)直接刪除，前者只是改變了分區(qū)表，后者只是修改了FAT表，因此被誤刪除的分區(qū)和誤格式化的硬盤完全有可能恢復(fù)…… 

系統(tǒng)啟動(dòng)流程 
各種不同的操作系統(tǒng)啟動(dòng)流程不盡相同，我們這里以Win9x/DOS的啟動(dòng)流程為例。 
*階段:系統(tǒng)加電自檢POST過(guò)程。POST是Power On Self Test的縮寫，也就是加電自檢的意思，微機(jī)執(zhí)行內(nèi)存FFFF0H處的程序（這里是一段固化的ROM程序），對(duì)系統(tǒng)的硬件（包括內(nèi)存）進(jìn)行檢查。 
第二階段:讀取分區(qū)記錄和引導(dǎo)記錄。當(dāng)微機(jī)檢查到硬件正常并與CMOS設(shè)置相符后，按照CMOS設(shè)置從相應(yīng)設(shè)備啟動(dòng)（我們這里假設(shè)從硬盤啟動(dòng)），讀取硬盤的分區(qū)記錄（DPT）和主引導(dǎo)記錄（MBR）。 
第三階段:讀取DOS引導(dǎo)記錄。微機(jī)正確讀取分區(qū)記錄和主引導(dǎo)記錄后，如果主引導(dǎo)記錄和分區(qū)表校驗(yàn)正確，則執(zhí)行主引導(dǎo)記錄并進(jìn)一步讀取DOS引導(dǎo)記錄（位于每一個(gè)主分區(qū)的*個(gè)扇區(qū)），然后執(zhí)行該DOS引導(dǎo)記錄。 
第四階段:裝載系統(tǒng)隱含文件。將DOS系統(tǒng)的隱含文件IO.SYS入內(nèi)存，加載基本的文件系統(tǒng)FAT，這時(shí)候一般會(huì)出現(xiàn)Starting Windows 9x...的標(biāo)志，IO.SYS將MS.SYS讀入內(nèi)存，并處理System.dat和User.dat文件，加載磁盤壓縮程序。 
第五階段:實(shí)DOS模式配置。系統(tǒng)隱含文件裝載完成，微機(jī)將執(zhí)行系統(tǒng)隱含文件，并執(zhí)行系統(tǒng)配置文件（Config.sys），加載Config.sys中定義的各種驅(qū)動(dòng)程序。 
第六階段:調(diào)入命令解釋程序(Command.com)。系統(tǒng)裝載命令管理程序，以便對(duì)系統(tǒng)的各種操作命令進(jìn)行協(xié)調(diào)管理（我們所使用的Dir、Copy等內(nèi)部命令就是由Command.com提供的）。 
第七階段:執(zhí)行批處理文件(Autoexec.bat)。微機(jī)將一步一步地執(zhí)行批處理文件中的各條命令。 
第八階段:加載Win.com。Win.com負(fù)責(zé)將Windows下的各種驅(qū)動(dòng)程序和啟動(dòng)執(zhí)行文件加以執(zhí)行，至此啟動(dòng)完畢。 
數(shù)據(jù)恢復(fù)的基礎(chǔ)知識(shí)到此就給你介紹得差不多了。如果你領(lǐng)會(huì)了以上的這些知識(shí)，相信加上工具軟件的輔助，恢復(fù)你丟失的數(shù)據(jù)簡(jiǎn)直是輕而易舉，這里就不再多說(shuō)，我們走入真正的實(shí)戰(zhàn)操作吧…… 

二、 硬盤數(shù)據(jù)恢復(fù)方案分析 
難道在硬盤數(shù)據(jù)由于各種原因被破壞后，我們就只能……？ 
當(dāng)然，我們*的期望還是——你永遠(yuǎn)不要用到下面的方法！因?yàn)樵偻陚涞氖潞蠼鉀Q方案，也不能保證所有數(shù)據(jù)的完好無(wú)缺。而要真正做到萬(wàn)無(wú)一失，更重要的工作還在于防患于未然。 
1、文件語(yǔ)刪除 
A、癥狀 
這可能是最簡(jiǎn)單同時(shí)也是最常見(jiàn)的數(shù)據(jù)損壞，直接的表述就是一般刪除文件后清空了回收站，或按住Shift鍵刪除，要不然就是在“回收站”的“屬性”中勾選了“刪除時(shí)不將文件移入回收站，而是徹底刪除”。 
B、解決方案 
既然是最常見(jiàn)的數(shù)據(jù)損壞，當(dāng)然也就是最容易恢復(fù)的，下面就根據(jù)不同的操作系統(tǒng)給出相應(yīng)的解決方案。 
1）.Win9x/Me下的解決方案 
也就是FAT16/32分區(qū)下的文件誤刪除恢復(fù)，這應(yīng)該是大部分恢復(fù)類軟件的基本功能；而我們拿來(lái)作例子的軟件Recover4all，所提供的功能僅為在Win9x/Me下恢復(fù)被誤刪除的文件——其實(shí)很多東西并不是一味求大求全就好，夠用已足夠，簡(jiǎn)單就是美。 
2）.WinNT/2000下的解決方案 
換種說(shuō)法，也就是如何恢復(fù)在NTFS分區(qū)下被誤刪除的文件。對(duì)于這種相對(duì)簡(jiǎn)單的需求，F(xiàn)ile Scavenger完全就可以勝任。當(dāng)然，F(xiàn)ile Scavenger是很具有針對(duì)性的——它只能在WinNT/2000系統(tǒng)下使用（同時(shí)必須以Administrator用戶登錄系統(tǒng)），而且只對(duì)NTFS格式的分區(qū)有效。不過(guò)它支持壓縮過(guò)的NTFS分區(qū)或文件夾中文件的恢復(fù)，并對(duì)格式化過(guò)的NTFS分區(qū)中的文件也有效（注意:File Scavenger只可以對(duì)格式化過(guò)的分區(qū)中的文件進(jìn)行恢復(fù)，并不能恢復(fù)整個(gè)被格式化過(guò)的分區(qū)）。 
C、不可恢復(fù)的情況 
如果文件在刪除之后，其存儲(chǔ)的磁盤空間進(jìn)行過(guò)寫操作，那在通常情況下恢復(fù)的幾率為0。因此，誤刪除文件可以恢復(fù)的重要前提就是不要在刪除文件所在的分區(qū)進(jìn)行寫操作。 
病毒破壞 
1)、癥狀 
現(xiàn)在使用電腦的人基本都是談“毒”色變，病毒帶來(lái)的數(shù)據(jù)破壞往往不可預(yù)見(jiàn)（包括分區(qū)表破壞、數(shù)據(jù)覆蓋等；例如CIH病毒破壞的硬盤，其分區(qū)表已被徹底改寫，用A盤啟動(dòng)也無(wú)法找到硬盤），由此病毒破壞硬盤數(shù)據(jù)的癥狀也不好描述，基本上大部分的數(shù)據(jù)損壞情況都有可能是病毒引起的，所以最穩(wěn)妥的方法還是安裝一個(gè)優(yōu)秀的病毒防火墻。 
2)、解決方案 
由于病毒破壞硬盤數(shù)據(jù)的方法各異，恢復(fù)的方案就需要對(duì)癥下藥。一般以常見(jiàn)的CIH為例，因?yàn)樗钇毡?，也最容易判斷（一般是?月26日發(fā)作）。 
當(dāng)用戶的硬盤數(shù)據(jù)一旦被CIH病毒破壞后，使用KV3000的F10功能，可修復(fù)的程度如下: 
1.C盤容量為2.1G以上， 原FAT表是32位的，C分區(qū)的修復(fù)率為98%，D、E、F等分區(qū)的修復(fù)率為99%, 配合手工C、D、E、F等分區(qū)的修復(fù)率為*。 
2.硬盤容量為2.1G以下，原FAT表是16位的，C分區(qū)的修復(fù)率為0%，D、E、F等分區(qū)的修復(fù)率為99%, 配合手工D、E、F盤的修復(fù)率為*。 
因?yàn)樵瑿盤是16位的短FAT表，所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來(lái)，雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了，但文件的內(nèi)容影像還存儲(chǔ)在C盤內(nèi)的某些扇區(qū)上。推薦用KV3000找回C盤，再用文件修復(fù)軟件TIRAMISU.EXE可將C盤內(nèi)的部分文件影像找回來(lái)，如果原存放文件影像的簇是相連的，找回的文件就完整無(wú)損。 
但對(duì)于FAT16的C盤是不是中了CIH就沒(méi)救呢？你還是可以嘗試一下FIXMBR，它可以通過(guò)全盤搜索，決定硬盤分區(qū)，并重新構(gòu)造主引導(dǎo)扇區(qū)。由于軟件只修改主引導(dǎo)扇區(qū)記錄，對(duì)其它扇區(qū)不進(jìn)行寫操作，故一般不會(huì)帶來(lái)不安全目錄（如果修復(fù)得不理想，請(qǐng)DiskEdit等工具進(jìn)行手工修復(fù)）。注意:FIXMBR是一個(gè)比較老的程序，對(duì)WinNT、Linux以及FAT32考慮得不多。 
3)、不可恢復(fù)的情況 
由于病毒破壞硬盤的方式實(shí)在太多，而且大部分破壞都無(wú)法用一般軟件輕易恢復(fù)（如果你喜歡使用DiskEdit等磁盤扇區(qū)編輯工具，對(duì)某些情況還有一線希望），所以……遇到病毒破壞硬盤的情況你就祈禱吧（由此看來(lái)，安裝一個(gè)優(yōu)秀的病毒防火墻絕對(duì)是有必要的）! 
2、 分區(qū)表破壞 
分區(qū)表破壞是比較常遇到： 
A、破壞原因及恢復(fù)可行性分析 
分區(qū)表破壞，可能是數(shù)據(jù)損壞中除了物理?yè)p壞之外最嚴(yán)重的一種災(zāi)難性破壞。究其原因，不外乎以下幾種: 
1).個(gè)人誤操作刪除分區(qū)，只要沒(méi)有進(jìn)行其它的操作完全可以恢復(fù)。 
2).安裝多系統(tǒng)引導(dǎo)軟件或者采用第三方分區(qū)工具，有恢復(fù)的可能性。 
3).病毒破壞，可以部分或者全部恢復(fù)。 
4).利用Ghost克隆分區(qū)/硬盤破壞，只可以部分恢復(fù)或者不能恢復(fù)（用Ghost的朋友要小心了）。 
B、解決方案 
在Norton Utility系列工具中，功能十分強(qiáng)大，可以恢復(fù)分區(qū)記錄、FAT表，需要注意的是它對(duì)硬盤的操作不是只讀的，因此你需要每一步都做好Undo文件，這樣即使誤操作也可以恢復(fù)，Norton Disk Doctor配合DiskEdit在分區(qū)表不能恢復(fù)時(shí)也可以恢復(fù)部分文件，可惜Norton Disk Doctor不支持NTFS分區(qū)，這不能不說(shuō)是它的一大遺憾之處…… 
最專業(yè)的數(shù)據(jù)恢復(fù)公司出的軟件，當(dāng)然很有專業(yè)風(fēng)范，EasyRecovery支持的文件系統(tǒng)格式很多FAT、NTFS都支持，并且有專門的For Novell版本。EasyRecovery對(duì)于分區(qū)破壞和硬盤意外被格式化都可安全的恢復(fù)，你所要做的就是將數(shù)據(jù)損壞硬盤掛到另外一臺(tái)電腦上，盡情恢復(fù)就是了，不過(guò)EasyRecovery對(duì)于中文的文件名和目錄名效果不是很好（一些亂碼，但文章內(nèi)容絕對(duì)是正確的）。 
由出品PartitionMagic的PowerQuest公司所出的，硬盤資料復(fù)原工具。它是一套恢復(fù)硬盤因病毒感染，意外格式化等因素所導(dǎo)致的資料損失工具軟件，能將已刪除的文件資料找出并恢復(fù)，也能找出已重新格式化的硬盤、被破壞的FAT分配表、啟動(dòng)扇區(qū)等等，幾乎能找出及發(fā)現(xiàn)任何在硬盤上的資料（支持FAT16和FAT32及長(zhǎng)文件名）。恢復(fù)回來(lái)的資料能選擇在原來(lái)所在位置恢復(fù)或保存到其它可寫入資料的硬盤，也提供了自動(dòng)備份目錄、文件和系統(tǒng)配置文件的功能，能在任何時(shí)間恢復(fù)） 

3、全盤崩潰和分區(qū)丟失 
　　首先重建MBR代碼區(qū)，再根據(jù)情況修正分區(qū)表。修正分區(qū)表的基本思路是查找以55AA為結(jié)束的扇區(qū)，再根據(jù)扇區(qū)結(jié)構(gòu)和后面是否有FAT等情況判定是否為分區(qū)表，*計(jì)算填回主分區(qū)表，由于需要計(jì)算，過(guò)程比較煩瑣。如果文件仍然無(wú)法讀取，要考慮用Tiramint等工具進(jìn)行修復(fù)。如果在FAT表徹底崩潰，恢復(fù)某個(gè)指定文件，可以用DiskEdit或Debug查找已知信息。比如文件為文本，文件中包含“軟件狗”，那么我們就要把它們轉(zhuǎn)換為內(nèi)碼C8 ED BC FE B9 B7進(jìn)行查找。 

4、文件丟失、誤格式化的情況 
　　一般來(lái)說(shuō)，刪除文件僅僅是把文件的首字節(jié)，改為E5H，而并不破壞文件本身，因此可以恢復(fù)。但對(duì)不連續(xù)文件要恢復(fù)文件鏈，而由于手工交叉恢復(fù)對(duì)一般計(jì)算機(jī)用戶來(lái)說(shuō)并不容易，這里就就不講了，建議用工具處理，如果已經(jīng)安裝了Norton Utilities，可以用它來(lái)查找。另外，RecoverNT等工具都是恢復(fù)的利器。但是應(yīng)特別注意，千萬(wàn)不要在發(fā)現(xiàn)文件丟失后，在本機(jī)安裝什么恢復(fù)工具，你可能恰恰把文件覆蓋掉了。特別是如果你的文件在C盤，發(fā)現(xiàn)主要文件被你失手清掉了（比如你按SHIFT刪除），你應(yīng)該馬上直接關(guān)閉電源，用軟盤啟動(dòng)進(jìn)行恢復(fù)或把硬盤串接到其它有恢復(fù)工具的機(jī)器處理。 
5、文件損壞 
　　一般的說(shuō)，恢復(fù)損壞文件須要清楚地了解文件的結(jié)構(gòu)，但這并不是很容易的事情，而這方面的工具也不多。不過(guò)，文件如果字節(jié)正常，不能正常打開(kāi)往往是文件頭損壞。 
6、硬盤被加密或變換 
　　此時(shí)千萬(wàn)不要進(jìn)行FDISK/MBR，SYS等處理，否則數(shù)據(jù)再也無(wú)法找回，一定要反解加密算法，或找到被移走的重要扇區(qū)。對(duì)于那些加密硬盤數(shù)據(jù)的病毒，清除時(shí)一定要選擇能恢復(fù)加密數(shù)據(jù)的可靠殺毒軟件。 
7、文件加密后密碼遺忘 
　　對(duì)于很多字處理軟件的文件加密和ZIP等壓縮包的加密，你是不能靠加密逆過(guò)程來(lái)完成的，因?yàn)槟菑睦碚撋鲜钱惓＠щy的。目前有一些相關(guān)的軟件，他們的思想一般都是用一個(gè)大字典集中的數(shù)據(jù)循環(huán)用相同算法加密后與密碼的密文匹配，直到一致時(shí)則說(shuō)明找到了密碼。你可以去尋找這些軟件，當(dāng)然，有些軟件是有后門的，比如DOS 下的WPS，Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏是解文件密碼的個(gè)中高手，大家不妨去他的主頁(yè)看看。 

8、系統(tǒng)用戶密碼遺忘的處理 
　　最簡(jiǎn)單的方法就是用軟盤啟動(dòng)（NT的你也可以把盤掛接在其他NT上），找到支持該文件系統(tǒng)結(jié)構(gòu)的軟件（比如針對(duì)NT的NTFSDOS），利用他把密碼文件清掉、或者是COPY出密碼檔案，用破解軟件套字典來(lái)處理。前者時(shí)間短但所有用戶信息丟失，后者時(shí)間長(zhǎng)，但保全了所有用戶信息。對(duì)UNIX系統(tǒng)，建議你一定先做一張應(yīng)急盤。 
三、數(shù)據(jù)備份介紹 
雖然數(shù)據(jù)恢復(fù)技術(shù)可能將你的損失降到*，但是，誰(shuí)愿意在惶恐不安中，邊祈禱邊按下各類數(shù)據(jù)恢復(fù)軟件的“Recover”按鈕？也沒(méi)有人喜歡面對(duì)滿屏的16進(jìn)制代碼，帶著僥幸的心理調(diào)整硬盤分區(qū)表Data區(qū)的信息；所以，*的數(shù)據(jù)保全方法應(yīng)該是防患于未然——備份！ 
雖然，備份可以說(shuō)是一種悲觀的做法，可一旦不可預(yù)見(jiàn)的問(wèn)題發(fā)生，備份下來(lái)的資料也許是你*的救命稻草。 
1、 什么東西最該備份 
決定如何備份前，應(yīng)先考慮備份什么。硬盤里有三種東西:數(shù)據(jù)、應(yīng)用程序和操作系統(tǒng)。你可備份硬盤中的所有東西，也可只備份數(shù)據(jù)。 
進(jìn)行完整的備份是最簡(jiǎn)單的方法，至少?gòu)幕謴?fù)的角度看是這樣。如果整個(gè)硬盤完全損壞，你不需要從頭重裝操作系統(tǒng)和應(yīng)用程序；而是很快就可恢復(fù)運(yùn)行。但是反過(guò)來(lái)，進(jìn)行完整備份花的時(shí)間更長(zhǎng)，要用到更多帶有大容量存儲(chǔ)空間的移動(dòng)設(shè)備——即所謂外掛驅(qū)動(dòng)器，如CD-R或Zip驅(qū)動(dòng)器。 
另一個(gè)方法是只備份最重要的東西:數(shù)據(jù)。你不能很輕易地替換文檔、工作表或數(shù)據(jù)庫(kù)。備份所有數(shù)據(jù)的最簡(jiǎn)單的方法是把所有數(shù)據(jù)保存到一個(gè)地方。 
你還應(yīng)備份其它的重要文件，比如那些含有你所有設(shè)置的文件，包括瀏覽器的書簽（收藏夾）、cookie（含有密碼）、地址簿、配置設(shè)置、數(shù)據(jù)項(xiàng)與報(bào)告表、模板、宏等。Windows 2000把這些文件都放到一個(gè)名叫“Documents And Settings”的新文件夾中，所以找起來(lái)很方便。該文件夾中不僅包括My Documents文件夾，還包括了部分關(guān)于配置設(shè)置、收藏夾和cookie的注冊(cè)表信息。在Windows 95或98中，這些文件分布在多個(gè)Windows文件夾中，因此必須備份所有文件夾，以防遺漏。 
2、備份到哪里 
對(duì)于一般的個(gè)人用戶，你當(dāng)然可以將數(shù)據(jù)備份在本地硬盤的其它分區(qū)中；但如果不是實(shí)在別無(wú)選擇，請(qǐng)不要以為將重要數(shù)據(jù)備份到本地硬盤的其它分區(qū)上就是安全的，各種意外錯(cuò)誤或是病毒、木馬都很容易將你的整個(gè)硬盤數(shù)據(jù)毀于一旦。所以，我們的建議是將重要數(shù)據(jù)備份到本地硬盤以外的其它設(shè)備，如插拔式外部存儲(chǔ)設(shè)備（如Zip、Jaz驅(qū)動(dòng)器或USB/1394接口的活動(dòng)硬盤）等、CD-R/RW或者網(wǎng)絡(luò)上的其它硬盤。