刚买来一块硬盘，我们是没有办法使用的，你需要将它分区、格式化，然后再安装上操作系统才可以使用。就拿我们一直沿用到现在的 Win9x/Me系列来说，我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT、DIR和Data等五部分（其中只有主引导扇区是唯一的，其它 的随你的分区数的增加而增加）。     　　1.主引导扇区     　　主引导扇区位于整个硬盘的0磁道0柱面1扇区，包括硬盘主引导记录MBR（MainBootRecord）和分区表DPT（DiskPartitionTable）。其 中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序（也就是操作系统引导扇区 ）调入内存加以执行。至于分区表，很多人都知道，以80H或00H为开始标志，以55AAH为结束标志，共64字节，位于本扇区的最末端。值得一提 的是，MBR是由分区程序（例如DOS的Fdisk.exe）产生的，不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一 个，只要它能完成前述的任务即可，这也是为什么能实现多系统启动的原因（说句题外话:正因为这个主引导记录容易编写，所以才出现了很多 的引导区病毒）。     　2.操作系统引导扇区     OBR（OSBootRecord）即操作系统引导扇区，通常位于硬盘的0磁道1柱面1扇区（这是对于DOS来说的，对于那些以多重引导方式启动的系统则 位于相应的主分区/扩展分区的第一个扇区），是操作系统可直接访问的第一个扇区，它也包括一个引导程序和一个被称为BPB（BIOS ParameterBlock）的本分区参数记录表。其实每个逻辑分区都有一个OBR，其参数视分区的大小、操作系统的类别而有所不同。引导程序的主 要任务是判断本分区根目录前两个文件是否为操作系统的引导文件（例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS）。如是，就 把第一个文件读入内存，并把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大 小、FAT个数、分配单元（AllocationUnit，以前也称之为簇）的大小等重要参数。OBR由高级格式化程序产生（例如DOS的Format.com）。     　3.文件分配表     　FAT(FileAllocationTable)即文件分配表，是DOS/Win9x系统的文件寻址系统，为了数据安全起见，FAT一般做两个，第二FAT为第一FAT的 备份,FAT区紧接在OBR之后，其大小由本分区的大小及文件分配单元的大小决定。关于FAT的格式历来有很多选择，Microsoft的DOS及Windows 采用我们所熟悉的FAT12、FAT16和FAT32格式，但除此以外并非没有其它格式的FAT，像WindowsNT、OS/2、UNIX/Linux、Novell等都有自己的 文件管理方式。     　4.目录区     　DIR是Directory即根目录区的简写，DIR紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置，FAT还必须和DIR配合才能准确定位 文件的位置。DIR记录着每个文件（目录）的起始单元（这是最重要的）、文件的属性等。定位文件位置时，操作系统根据DIR中的起始单元， 结合FAT表就可以知道文件在磁盘的具体位置及大小了。在DIR区之后，才是真正意义上的数据存储区，即DATA区。     　5.数据区     　DATA虽然占据了硬盘的绝大部分空间，但没有了前面的各部分，它对于我们来说，也只能是一些枯燥的二进制代码，没有任何意义。在这里 有一点要说明的是，我们通常所说的格式化程序（指高级格式化，例如DOS下的Format程序），并没有把DATA区的数据清除，只是重写了FAT表 而已，至于分区硬盘，也只是修改了MBR和OBR，绝大部分的DATA区的数据并没有被改变，这也是许多硬盘数据能够得以修复的原因。但即便如 此，如MBR/OBR/FAT/DIR之一被破坏的话，也足够咱们那些所谓的DIY老鸟们忙乎半天了……需要提醒大家的是，如果你经常整理磁盘，那么你 的数据区的数据可能是连续的，这样即使MBR/FAT/DIR全部坏了，我们也可以使用磁盘编辑软件（比如DOS下的DiskEdit），只要找到一个文件 的起始保存位置，那么这个文件就有可能被恢复（当然了，这需要一个前提，那就是你没有覆盖这个文件……）。     　硬盘分区方式     　我们平时说到的分区概念，不外乎三种:主分区、扩展分区和逻辑分区。     　主分区是一个比较单纯的分区，通常位于硬盘的最前面一块区域中，构成逻辑C磁盘。在主分区中，不允许再建立其它逻辑磁盘。     　扩展分区的概念则比较复杂，也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间，而每个分区的 参数占据16个字节，故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据，如果说逻辑磁盘就是分区，则系统最 多只允许4个逻辑磁盘。对于具体的应用，4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用，系统引入了扩展分 区的概念。     　　所谓扩展分区，严格地讲它不是一个实际意义的分区，它仅仅是一个指向下一个分区的指针，这种指针结构将形成一个单向链表。这样在 主引导扇区中除了主分区外，仅需要存储一个被称为扩展分区的分区数据，通过这个扩展分区的数据可以找到下一个分区（实际上也就是下一 个逻辑磁盘）的起始位置，以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘，在主引导扇区中通过一个扩展分区的参 数就可以逐个找到每一个逻辑磁盘。     　需要特别注意的是，由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的，因此，若单向链表发生问题，将导致逻辑磁盘的 丢失。     　　数据存储原理     　　既然要进行数据的恢复，当然数据的存储原理我们不能不提，在这之中，我们还要介绍一下数据的删除和硬盘的格式化相关问题……     　　文件的读取     　　操作系统从目录区中读取文件信息（包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号），我们这里假设 第一个簇号是0023。   　　操作系统从0023簇读取相应的数据，然后再找到FAT的0023单元，如果内容是文件结束标志（FF），则表示文件结束，否则内容保存数据的 下一个簇的簇号，这样重复下去直到遇到文件结束标志。   　文件的写入   　当我们要保存文件时，操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信息，然后在Data区找到闲置空间将文件保存 ，并将Data区的第一个簇写入DIR区，其余的动作和上边的读取动作差不多。   　　文件的删除   　　看了前面的文件的读取和写入，你可能没有往下边继续看的信心了，不过放心，Win9x的文件删除工作却是很简单的，简单到只在目录区做 了一点小改动——将目录区的文件的第一个字符改成了E5就表示将改文件删除了。   　Fdisk和Format的一点小说明   　和文件的删除类似，利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘（假设你格式化的时候并没有使用/U这个无条件格式化参数） 都没有将数据从DATA区直接删除，前者只是改变了分区表，后者只是修改了FAT表，因此被误删除的分区和误格式化的硬盘完全有可能恢复……   硬盘引导的条件：   1.硬盘物理性正确：用DISKEDIT能看到物理硬盘或用CMOSSETUP时能识别硬盘参数或用IDE软件能测出硬盘参数。  2.主引导区（0CYLINDER0SIDE1SECTOR）正确：结束部分要有55AA，分区表内要有一个80标记，代表可激活，主引导区代码正确，有80标 记对应的分区结束部分有55AA。   分区表位置信息举例：(从1BE开始)   80000200010351300100000003510000   ①②③④⑤⑥   它们各自的含义如下：   ①可自举分区；   ②分区起始地址为0头0柱面2扇区；   ③DOS分区，04或06代表DOS分区，05代表扩展分区，65代表NOVELL分区；   ④分区终止地址为3头304柱面17扇区；   ⑤区相对扇区号为1；   ⑥分区实用扇区数为20739个。   3.引导区正确：   BPB表代码要正确：   EB3C904d53444f53352e300002040100020002   abcdefg   0000F850002700080027000000 hijklmn   a代表JMP   b版本号   c每个扇区的字节数   d每个簇的扇区数   e保留扇区数   fFAT的个数   g根目录项的个数   h扇区的总数   i介质说明符   j每个FAT所占的扇区数   K每个磁道的扇区数   l磁头个数   m隐藏扇区的个数   n存放计算的驱动器号和磁头号   结束部分为55AA，并且最后部分的英文字母(屏幕的右侧)为IOSYSMSDOSSYS。   4.根目录上前两条必须是引导文件IO.SYS、MSDOS.SYS，且必须存放在连续的扇区。   5.引导文件IO.SYS、MSDOS.SYS和COMMAND.COM文件要正确。   修复硬盘：   1.准备好工具盘TOOLS、杀病毒盘VRVNT和引导盘。   2.检查CMOS配置是否正确。   3.用DISKEDIT备份系统数据。备份分区表、BOOT区和FAT1、FAT2。   注意：备份至软盘，不要在硬盘上备份或做其它COPY动作。   4.用DISKEDIT分析硬盘。根据硬盘引导的条件，判断硬盘故障的原因，采用不同的修复方法。   5.若不满足硬盘引导第五条件，用干净、正确的系统文件COPY或REPLACE。   6.若不满足硬盘引导第四条件，用DISKEDIT将根目录上的CHAINLINK前约20个簇填为0，然且用SYSc:命令TRANSFER系统。   7.若不满足硬盘引导第三条件，用VRVNT盘，将配置项中的校验开关改为覆盖方式，然后用修复引导区进行修复（即使在C盘不出现的情况下也 可进行）。   8.若不满足硬盘引导第二条件，首先要了解该硬盘的分区情况。   A.若只有一个C盘，用系统盘引导，运行TOOLS盘中的NOFDISK，该软件必须驻留在内存中，可用MI/A查看，然后运行FDISK，先将原有分区删除 ，然后重新进行分区，即可修复分区表。   B.若有多个逻辑硬盘   如果能知道各个逻辑硬盘的确切大小，则用以上方法即可恢复，即用FDISK将原有的各逻辑硬盘重新进行分区（必须驻留NOFDISK)。   如果不知道各个逻辑硬盘的情况，用DISKEDIT中的FIND菜单寻找学符串00000055AA，并判断是否为EXTEND分区的分区信息，如果找到，即 可知道EXTEND分区的起始位置，并可推算DOS主分区的起始和结束位置，并推算相关的参数，由于备逻辑盘是连续的，由EXTEND分区信息，可找 到各逻辑硬盘的分区信息，并推算出EXTEND分区的结束位置及相关参数，将推算出的相关信息写入主分区表中，即可恢复分区表。   注意：EXTEND分区为05，DOS分区为04或06。   用DISKEDIT中的OBJECT菜单选择PHYSICALSECTOR，键入0,0,1，即可进入主引导区。用VIEW菜单中的ASPARTITIONTABLE项可看分区结构。一 般情况下主引导区BIGDOS的起始位置SIDE=1SECTOR=1，EXTEND分区的起始位置SIDE=0SECTOR=1，而ENDINGLOCATION处SIDE和SECTOR必然是 最大值。可直接在该分区表中修改数据。光标移至任意处回车，可显示该数据处的分区结构，并可通过F2和F6切换。后一个分区的STARTING LOCATION必然是前一个分区ENDINGLOCATION的下一个扇区。NUMBEROFSECTORS可通过分区的ENDINGLOCATION和STARTINGLOCATION计算出， 例如，STARTINGLOCATION的SIDE=1，CYLINDER=0，SECTOR=1，ENDINGLOCATION的SIDE=7，CYLINDER=262，SECTOR=39则通过以下式子计算：   主引导区的RELATIVESECTORS是SECTOR的最大值。   EXTEND分区的RELATIVESECTORS=主引导区的RELATIVESECTORS+主引导区的NUMBEROFSECTORS。   EXTEND分区的NUMBEROFSECTORS=本分区的ENDINGLOCATION(换算为SECTORS)－本分区的RELATIVESECTORS。   下面是某116M硬盘（参数为CYLINDER=760HEAD=8SECTOR=39）共分有：   C盘（DOS引导盘）大小为40M   DOS扩充盘大小为76M   DOS扩充盘上的逻辑驱动器为：   D:32ME:3MF:4MG:6MH:7MI:7MJ:17M   StartingLocationEndingLocationRelativeNumberof   SystemBootSideCylinderSectorSideCylinderSertorSertorsSertors   BIGDOSYes1017262393982017   h1c1s1h2c2s2r1n1   EXTENDNo0263177603982056155376   h3c3s3h4c4s4r2n2   unusedNo00000000   unusedNo00000000   即：r1=s2   n1=(h2+1)*(c2+1)*s2-s2   r2=r1+n1   n2=(h4+1)*(c4+1)*s4-r2   光标停留在EXTEND行，按回车键出现下列DOS扩展分区逻辑分区表：   StartingLocationEndingLocationRelativeNumberof   SystemBootSideCylinderSectorSideCylinderSertorSertorsSertors   DOS-16No126317472393965481   h5c5s5h6c6s6r3n3   EXTENDNo04731749239655206240   h7c7s7h8c8s8r4n4   unusedNo00000000     unusedNo00000000     公式：r3=s6   n3=(h6+1)*(c6+1)*s6-r3-r2   r4=r3+n3   n4=(h8+1)*(c8+1)*s8-r4-r2     光标停留在EXTEND行，按回车键出现下列DOS扩展分区逻辑分区表：     StartingLocationEndingLocationRelativeNumberof   SystemBootSideCylinderSectorSideCylinderSertorSertorsSertors   DOS-12No14731749239396201   h9c9s9h10c10s10r5n5   EXTENDNo04931751939717608424   h11c11s11h12c12s12r6n6   unusedNo00000000     unusedNo00000000     公式：r5=s10   n5=(h10+1)*(c10+1)*s10-r5-r2-r4   r6=r4+r5+n5   n6=(h12+1)*(c12+1)*s12-r2-r6     光标停留在EXTEND行，按回车键出现下列DOS扩展分区逻辑分区表：     StartingLocationEndingLocationRelativeNumberof   SystemBootSideCylinderSectorSideCylinderSertorSertorsSertors   DOS-12No14931751939398385   h13c13s13h14c14s14r7n7   EXTENDNo052017559398018412480   h15c15s15h16c16s16r8n8   unusedNo00000000     unusedNo00000000     公式：r7=s14   n7=(h14+1)*(c14+1)*s14-r7-r2-r4-n4   r8=r5+r6+n6-r7   n8=(h16+1)*(c16+1)*s16-r2-r8     光标停留在EXTEND行，按回车键出现下列DOS扩展分区逻辑分区表：     StartingLocationEndingLocationRelativeNumberof   SystemBootSideCylinderSectorSideCylinderSertorSertorsSertors   DOS-12No152017559393912441   EXTENDNo056017605399266414352   unusedNo00000000   unusedNo00000000   光标停留在EXTEND行，按回车键出现下列DOS扩展分区逻辑分区表：   StartingLocationEndingLocationRelativeNumberof   SystemBootSideCylinderSectorSideCylinderSertorSertorsSertors   DOS-12No156017605393914313   EXTENDNo0606176513910701614352   unusedNo00000000   unusedNo00000000   光标停留在EXTEND行，按回车键出现下列DOS扩展分区逻辑分区表：   StartingLocationEndingLocationRelativeNumberof   SystemBootSideCylinderSectorSideCylinderSertorSertorsSertors   DOS-12No160617651393914313   EXTENDNo0652177603912136834008   unusedNo00000000   unusedNo00000000   光标停留在EXTEND行，按回车键出现下列DOS扩展分区逻辑分区表：   StartingLocationEndingLocationRelativeNumberof   SystemBootSideCylinderSectorSideCylinderSertorSertorsSertors   DOS-16No165217760393933969   unusedNo00000000   unusedNo00000000   unusedNo00000000   C.若有NOVELL分区，采用B方法，NOVELL分区为65。   9.若不满足硬盘引导的多个条件，则按分区表，BOOT区等顺序修复。   10.在修复前或修复后均用VRVNT查找病毒，发现后消除病毒。  
上一篇:新数据保护方案称59秒恢复数据
下一篇:硬盘数据恢复流程