一、基础知识

　　1、DOS（DOS兼容系统硬盘数据）的构成

　　主分区和扩展分区结构基本相似，以下以主分区为例。

　　主引导记录（MBR）：MBR占一个扇区，在CYL 0、SIDE 0 、SEC 1，由代码区和分区表构成。其中代码区可以由FDISK/MBR重建。

　　系统扇区：CYL 0、SIDE 0 、SEC 1-CYL 0、SIDE 0 、SEC 63，共62个扇区。

　　引导区（BOOT）：CYL 0、SIDE 1 、SEC 1 这是我们过去称的DOS引导区。也占一个扇区。

　　隐藏扇区：CYL 0、SIDE 0 、SEC 1，如果是FAT16那么占一个扇区，如果是FAT32则由此占32个扇区。

　　文件分配表：一般有两个FAT表，FAT12、FAT16的第一FAT表一般均在0-1-2，FAT32的第一FAT表在0-1-33。FAT表是记录文件占用扇区连接的地方，如果两个FAT表都坏了，后果不堪设想。由于FAT表的长度与当前分区的大小有关所以FAT2 的地址是需要计算的。

　　根目录区：（ROOT）这里记录了根目录里的目录文件项等，ROOT区跟在FAT2后面。

　　数据区：跟在ROOT区后面，这才是数据内容。

　　2、主引导记录简单说明

　　主引导记录是硬盘引导的起点，关于代码区不多说了，其分区表，比较重要的是2个标志，在偏移1BE，处的80 的标记表示系统可引导，且整个分区表只能有一个80标记。 另一个就是结尾的55 AA标记。用来表示主引导记录是一个有效的记录。

　　其实，无论MBR还是隐含扇区还是BOOT区，都不重要，这些重建都比较容易。对数据恢复来说，能否成功的找回数据文件是重要的。另外，由于FAT表记录了文件在硬盘上占用扇区的链表，如果2个FAT表都完全损坏了。那么恢复文件，特别是占用多个不连续扇区文件就相当困难了。

　　基本思路是：

　　1、FAT2没有损坏的情况，用FAT2覆盖FAT1。

　　2、FAT2也已经损坏的情况，我一般是只期待找回其中某些关键的文件了。我们最期待的是这些文件是连续的。如果不连续的话，也并非没有可能，但这往往还要知道文件的一些细节，包括对一些文件本身的连接结构有了解。如果FAT2没有完全破坏，是有一定用处的，另外，一般来说，FAT16的硬盘因为FAT表*前破坏的比较严重，一般两个FAT表都坏了，小硬盘也很难恢复了。

二、一个基本恢复被CIH破坏硬盘数据的例子

　　一直有朋友问手工恢复的技巧，近来恢复了多块被CIH破坏的硬盘，之所以选取这一次，是因为尽管恢复成功，但其中犯了一些错误，值得注意。

　　委托恢复用户：某银行系统

　　硬盘情况：CIH发作有该单位电脑人员曾用KV300 F10进行修复，但没有成功，又恢复了保存的MBR。

　　准备好软盘3张：

　　DISK1 ：WIN98启动盘（带DEBUG）

　　DISK2：DISKEDIT等工具（此盘不要写保护）

　　DISK3：DOS下杀CIH的工具

　　把我的硬盘摘下，挂上待恢复的的硬盘，开机，进入SETUP，检测硬盘，把参数记下。

　　CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA。

　　用准备好的软盘启动：

　　A：>C：

　　显示Invalid drive specification

　　FDISK/MBR重建主引导记录（这是个习惯），重新软盘引导（可能没有必要）：此时已经看的见C：硬盘。启动DISKEDIT，启动过程中显示Invalid media type reading DRIVER C,哎呀，算了，还是先用DEBUG 清空分区表, 并置80和55aa标志。重新启动，再运行DISKEDIT，显示设定为READ ONLY， 没关系，把CONFIGURATION中的只读选项去掉，存盘，好了，可以编辑了。

　　由于当时接的硬盘有多块，我把这块当成了是一块只有C分区（这是等待修复的另一块硬盘），所以没看别的东西，我们期待FAT2没有损坏，以用FAT2覆盖FAT1，在这个时候DISKEDIT要比DEBUG容易的多，在FIND OBJECT中选择 FAT，查一下起始扇区，好的，在CYL 0 SIDE68 SEC 14，0000H，F8 FF FF 0F （FAT32的），好的，FAT2没坏。其实如果不用DISKEDIT的可以用DEBUG查，偏移0000的F8 FF FF。

　　由于以为只有C分区，所以，上来就在FIND中查找IOSYS（IO 和SYS中要有空格）以查找ROOT区。找到后观察，是否有C： 下常见文件。好的，ROOT区没被破坏。记下了该扇区：CYL 0 、SIDE 68 、SEC 14，备用。

　　FAT1一般前面已经被破坏了，但后面应该还在，这可以作为检查。因为是32位的，FAT1 一般在CYL 0 SIDE1 SEC 33。 因为有了ROOT 区然后应该计算FAT表的长度了，因为FAT2到ROOT前一扇区为止，所以非常简单。然后可以用FAT2覆盖FAT1，这里用DEBUG还是DISKEDIT都可以，如果用DEBUG一般是用INT 25读绝对扇区，再用INT 26写入，不过一般要分几次。记得保留断点呀：-）用DISKEDIT可以MARK FAT2的内容COPY下来，在WRITE到FAT1。

　　然后可以恢复主引导记录、隐含扇区和BOOT区，可以先用NDD修复分区表，然后可以考虑用标准覆盖法，如果你希望下一步由NORTON Utilities ，来接手这些都可以不做。我从另一台FAT32上取来了，相应的部分，写了进去。我这是发现好象有一个D盘。先看一下在说吧。好了，关机串上我的硬盘，用NORTON Utilities扫描C盘，文件基本恢复，对C盘杀毒，WHY，没有发现病毒，换了2种杀毒软件还是没有病毒，更糟糕的是，显示C盘是948M，有一个D盘，但是95下无法浏览，DOS 下乱码。于是打电话核实当时的情况，原来是26日那天，放进一张光盘，光驱灯亮了一会，就硬盘狂响，蓝屏死机了。应该证实我的推断一样，是光盘的AUTORUN程序有CIH病毒。所以说没有实时防御能力的软件是没有意义的。另外，他们的硬盘确实分两个区，而且重要文件在D区。（气死我了！）

　　然后在修复D盘吧，再回到DOS，用DEBUG查找结束标志为55AA 的扇区，由结构判定是否为扩展分区。此时可算出大小来返主分区表。当然，许多工具也可以很好的完成这一工作。如果你没有把握，就用他们完成好了。

经验总结

1、你不要听信或者凭记忆想一块硬盘该是怎么样的，一定要自己去看，我就是犯了这个错误。

2、KV300 F10确实如一些网友所讲，有一定隐患，如果银行的电脑人员在用KV300 F10处理之前没有备份，可能要给我找些麻烦。

3、恢复数据要本着几项原则:

a、先备份，这也是而后我写HD-MIRROR的原因；

b、优先抢救最关键的数据；

c、在稳妥的情况下先把最稳定的鸡蛋捞出来（理应先修复扩展分区，再修复C），最好修复一部分备份一部分；

d、要先作好准备，不要忙中出错，由于我的机器没有装过NORTON，先解压，习惯的敲了一个D：TEMP,这才想起来文件险些解在没有完全修好的C盘上。

其实看来，如果FAT2没有损坏的情况下，恢复C盘数据是非常容易的，可以编程实现。如果FAT2损坏了，最容易恢复的当然是只占用一个扇区的文件和连续的文件。