三、不可恢复的情况
如果文件在删除之后,其存储的磁盘空间进行过写操作,那在通常情况下恢复的几率为0。因此,误删除文件可以恢复的重要前提就是不要在删除文件所在的分区进行写操作。
病毒破坏
一、症状
现在使用电脑的人基本都是谈“毒”色变,病毒带来的数据破坏往往不可预见(包括分区表破坏、数据覆盖等;例如CIH病毒破坏的硬盘,其分区表已被彻底改写,用A盘启动也无法找到硬盘),由此病毒破坏硬盘数据的症状也不好描述,基本上大部分的数据损坏情况都有可能是病毒引起的,所以最稳妥的方法还是安装一个优秀的病毒防火墙。
二、解决方案
由于病毒破坏硬盘数据的方法各异,恢复的方案就需要对症下药。这里就以常见的CIH为例,因为它最普遍,也最容易判断(一般是在4月26日发作)。
当用户的硬盘数据一旦被CIH病毒破坏后,使用KV3000的F10功能,可修复的程度如下:
1.C盘容量为2.1G以上, 原FAT表是32位的,C分区的修复率为98%,D、E、F等分区的修复率为99%, 配合手工C、D、E、F等分区的修复率为100%。
2.硬盘容量为2.1G以下,原FAT表是16位的,C分区的修复率为0%,D、E、F等分区的修复率为99%, 配合手工D、E、F盘的修复率为100%。
因为原C盘是16位的短FAT表,所以C盘的FAT表和根目录下的文件目录都被CIH病毒乱码覆盖了。 KV3000可以把C盘找回来,虽然根目录的文件名字已被病毒乱码覆盖看不到了,但文件的内容影像还存储在C盘内的某些扇区上。推荐用KV3000找回C盘,再用文件修复软件TIRAMISU.EXE可将C盘内的部分文件影像找回来(需要了解这个软件的朋友可以访问Ontrack公司的主页http://www.ontrack.com……是不是在这个网站上找不到有关TIRAMISU的内容?呵呵,其实现在TIRAMISU已经被整合到Ontrack公司的旗舰产品——EasyRecovery中。相关的详细介绍可以参照本文的下一部分“分区表破坏”),如果原存放文件影像的簇是相连的,找回的文件就完整无损。
但对于FAT16的C盘是不是中了CIH就没救呢?你还是可以尝试一下FIXMBR(ftp://www.newhua.com/fixmbr102a.zip),它可以通过全盘搜索,决定硬盘分区,并重新构造主引导扇区。由于软件只修改主引导扇区记录,对其它扇区不进行写操作,故一般不会带来不安全目录(如果修复得不理想,请DiskEdit等工具进行手工修复)。注意:FIXMBR是一个比较老的程序,对WinNT、Linux以及FAT32考虑得不多。
三、不可恢复的情况
由于病毒破坏硬盘的方式实在太多,而且大部分破坏都无法用一般软件轻易恢复(如果你喜欢使用DiskEdit等磁盘扇区编辑工具,对某些情况还有一线希望),所以……遇到病毒破坏硬盘的情况你就祈祷吧(由此看来,安装一个优秀的病毒防火墙绝对是有必要的)!
分区表破坏
“天有不测风云,人有旦夕祸福”,这句话可真没有说错,在用电脑的几年时间内,分区表破坏的情形也经历了好几次。想起当初的手足无措,到后来的才敢下手,一直到现在还是战战兢兢,不过所谓的“愚者千虑,必有一得”,经过这么长时间的折磨,也终于给我摸出来一丝门路,不敢独享,希望和遇到有困境的朋友们共享,也希望大家和我多交流(E-mail:clinuxer@yeah.net)……
一、破坏原因及恢复可行性分析
分区表破坏,可能是数据损坏中除了物理损坏之外最严重的一种灾难性破坏。究其原因,不外乎以下几种:
1.个人误操作删除分区,只要没有进行其它的操作完全可以恢复。
2.安装多系统引导软件或者采用第三方分区工具,有恢复的可能性。
3.病毒破坏,可以部分或者全部恢复。
4.利用Ghost克隆分区/硬盘破坏,只可以部分恢复或者不能恢复(用Ghost的朋友要小心了)。
二、两点建议
据国外的一个专业数据修复公司调查,数据损坏以后很大程度上是可以恢复的,之所以有很多不能恢复的实例存在,90%以上是由于用户在后来的恢复过程中有误操作,从而造成了更大的破坏。所以希望朋友们牢记以下两点:
1.在硬盘数据出现丢失后,请立即关机,不要再对硬盘进行任何写操作,那样会增大修复的难度,也影响到修复的成功率.
2.你的每一步操作都应该是可逆的(就像Norton Disk Doctor中的Undo功能)或者对故障硬盘是只读的(大名大名鼎鼎的EasyRecovery和Lost&Found都是这种工作原理)。
三、解决方案
这个软件包含在Norton Utility系列工具中,功能十分强大,可以恢复分区记录、FAT表,需要注意的是它对硬盘的操作不是只读的,因此你需要每一步都做好Undo文件,这样即使误操作也可以恢复,Norton Disk Doctor配合DiskEdit在分区表不能恢复时也可以恢复部分文件,可惜Norton Disk Doctor不支持NTFS分区,这不能不说是它的一大遗憾之处……
最专业的数据恢复公司出的软件,当然很有专业风范,EasyRecovery支持的文件系统格式很多FAT、NTFS都支持,并且有专门的For Novell版本。EasyRecovery对于分区破坏和硬盘意外被格式化都可安全的恢复,你所要做的就是将数据损坏硬盘挂到另外一台电脑上,尽情恢复就是了,不过EasyRecovery对于中文的文件名和目录名效果不是很好(一些乱码,但文章内容绝对是正确的)。
由出品PartitionMagic的PowerQuest公司所出的,硬盘资料复原工具。它是一套恢复硬盘因病毒感染,意外格式化等因素所导致的资料损失工具软件,能将已删除的文件资料找出并恢复,也能找出已重新格式化的硬盘、被破坏的FAT分配表、启动扇区等等,几乎能找出及发现任何在硬盘上的资料(支持FAT16和FAT32及长文件名)。恢复回来的资料能选择在原来所在位置恢复或保存到其它可写入资料的硬盘,也提供了自动备份目录、文件和系统配置文件的功能,能在任何时间恢复)。要注意的一点是,尽量用一个很大的硬盘来装恢复的数据(最好挂双硬盘),如果目标盘的容量小于源盘的容量,下场会很惨!不过Lost&Found却是基于DOS的一种软件,这在“瘟到死”横行的今天,市场只有越来越小!
