青海网站建设、网络推广最好的公司--您身边的网站建设专家,马上拿起电话,联系我们:0971-8235355   
青海西宁网站建设、网站制作公司-西宁威势电子信息服务有限公司 首页 |  公司简介 |  网站建设 |  网络推广 |  空间租用 |  域名注册 |  企业邮局 |  网络安全 |  网站编程 |  客服中心 |  联系我们 |  人才招聘
 
西宁威势最新网站制做案例展示
Lastest Project
 
西宁网站建设  
当前位置为:首页 >> 安全防护 >> 正文  
电脑重要数据备份与恢复速查手册

文章来源: 西宁威势电子信息服务有限公司     发布时间:2008-11-28    浏览次数:4801    tags:数据备份与恢复

文/龚胜

有备无患:重要数据备份

概述篇

  一、上网相关数据的备份

  1.IE收藏夹及QQ聊天记录的备份

  WIN9x中IE的“收藏夹”位于C:\Windows\Favorites目录下,备份很简单,进入C:\Windows\Favorites文件夹,将该文件夹中的文件全部备份即可;将备份数据重新拷入C:\Windows\Favorites即可还原。

  WIN2K/XP中IE的“收藏夹”位于各自用户的“Favorites”目录下,备份和恢复的方法类似。当然也可以使用IE“文件”菜单中的“导入/导出”功能进行备份和恢复。

  QQ的好友列表是放在服务器上的,因此一般来说我们不需要备份。而聊天记录则保存在本地硬盘上,要备份的话可以使用QQ自带的“消息管理器”,将聊天记录导出即可。

  2.电子邮件及新闻组的备份

  首先应对注册表的相关部分备份,运行Regedit.exe文件,打开注册表编辑器,找到“Hkey-crrrent-user\Software=Microsoft\Internet AccountManager\Accounts”分支,其下分别有:00000001及0000000a等多个子键(视邮箱与新闻组多少而定),分别代表了你的邮箱与新闻组;点击accounts主键,然后选择“注册表”菜单中的“导出注册表文件”命令,将该键下各子键的注册表导出并保存。然后还要对目录文件进行备份,备份Windows安装目录下的“application data/microsoft/outlook”目录里的所有信息。另外,备份Outlook Express所带的通讯簿的办法是在通讯簿中单击“文件”菜单,选择“导出”项,然后单击“通讯簿”,再选择导出的格式即可。备份的恢复为上面操作逆过程。

  Foxmail数据的备份就比较简单了,第一次使用Foxmail以后,软件将会在其安装目录下面自动建立一个名为Mail和一个Address的子目录,分别存放有你收发的邮件以及地址簿。只须将这两个目录复制到别处,即可完成备份操作。

  二、系统重要数据的备份

  1.系统注册表的备份

  注册表对系统正常运行是极端重要的,如果注册表遭到破坏,那么系统就可能出现无法访问硬件设备、无法运行应用程序、应用程序运行不正常等问题,甚至于系统无法启动,系统、应用程序、数据等遭到毁坏。注册表虽然在逻辑上讲是一个数据库,但为了易于管理和使用,系统把它物理地分为两个文件:USER.DAT(用户设置)和SYSTEM.DAT(系统设置)。因此注册表的备份有很多方法:

  首先建议在你的windows“基本稳定”后(即不再频繁安装或删除软件后),将注册表文件(system.dat,user.dat)作一备份。当注册表出问题后,就很容易恢复了。此外Windows系统启动后,会自动对这两个注册表文件进行备份:USER.DAT自动备份为USER.DAO,SYSTEM.DAT自动备份为SYSTEM.DAO。

  2.备份CMOS、BIOS数据及硬盘分区表

  首先谈一下BIOS和CMOS的区别与联系。简单说,BIOS是主板上的一块EPROM或EEPROM芯片,里面装有系统的重要信息和设置系统参数的设置程序(BIOS Setup程序);CMOS是主板上的一块可读写的RAM 芯片,里面装的是关于系统配置的具体参数,其内容可通过设置程序进行读写。

  要备份BIOS数据,可以运行主板BIOS的升级文件,在出现是否备份旧的BIOS数据时,回答“Y”即可。而CMOS数据没有太大的必要备份,因为在默认状态下,系统也能正常工作,如果确实要备份,可以使用NU软件包中的一个名为“RESCUE”的软件。

  另外使用NU软件包也可以备份硬盘分区表、主引导程序等重要数据。而大多数防病毒软件(如瑞星、KV系列)也都提供了对硬盘分区备份的支持。

  3.输入法词组的备份

  下面介绍一下当前常用输入法自定义词组的备份方法:

  智能ABC

  智能ABC输入法是最适宜普通用户使用的最优秀中文输入法之一,它除了能自定义词组外还能智能记忆用户输入的词组。所有的自定义词组全部保存在tmmr.rem和user.rem文件中(路径为C:\WINDOWS\SYSTEM),因此在删除或重装Windows系统之前,只须将这两个文件保存即可。 中文五笔

  中文五笔输入法造出的词组保存在wbx.emb文件中(路径为C:\Windows\System),因此,你在删除或重装Windows系统之前,只须将wbx.emb文件保存即可。

  微软拼音

  微软拼音输入法在国内拥有庞大的用户群,能输入繁体汉字是它最大的特点。该输入法也具有造词功能,它所有的自定义词组全部保存在pjyyp.upt文件中(路径为C:\Windows)。用户只须对该文件备份即完成了对微软拼音输入法中自定义词组的备份。

  此外象紫光拼音、拼音加加等输入法则自带了自造词组的备份及恢复工具。

  4.驱动程序的备份

  如果事先能将电脑硬件的驱动程序进行备份,是很有用的。最简单的方法是使用“驱动精灵”这款软件来备份驱动程序。大家也可以手工进行备份,比如要备份MODEM驱动程序的步骤如下:

  Win95/98的硬件驱动程序都对应着一个INF文件,包含有驱动程序文件列表和注册表更新数据等信息;首先想法找到MODEM对应的INF文件,方法是打开“设备管理-->MODEM属性-->驱动程序->升级驱动程序-->下一步 ”,搜索后在屏幕上应该会列出这个INF文件的名称和路径,将它复制到软盘上,然后用文本编辑器将它打开,并将[SourceDisksFiles]字段下列出的 “*.dll、*.vxd、*.drv、*.exe、*.ini”等驱动程序的文件名记录下来,然后通过“查找”功能将它们一一找出。最后将找到的显卡驱动程序文件和安装信息文件备份到软盘或其他存储介质中。注意别漏掉安装信息INF文件本身,因为系统在安装硬件的驱动程序时,一般情况下是先找到“*.inf”文件,然后根据该文件中所包含的硬件信息和内容来进行安装的。这样MODEM的驱动程序就备份好了。很显然,用类似的方法也可以备份显卡、声卡等设备的驱动程序。将所有备份好的文件,刻录到光盘上,一张包含电脑各种驱动程序的光盘就做好了。

  另外,为保险起见,我们还可以再将C:\Windows下的System、Inf和System32三个文件夹中的所有文件刻录到光盘上备份下来。因为它们囊括了系统中所有硬件的驱动程序及相关信息。

  三、加密软盘的备份

  备份杀毒软件的加密软盘

  使用正版杀毒软件的朋友,很担心使用比较频繁的安装软盘损坏,但面对经过加密处理的软盘,用HD-COPY等常规工具无法备份。难道真的就没有办法了吗?

  可以使用一款国产的优秀软盘备份工具:HTH来备份这类加密软盘。这是一款DOS软件,中文界面,因此先要启动一个DOS下的中文环境(比如“TW”这个袖珍中文系统),再运行此软件,进入“工程管理”按三下回车键,接着退出。再选择“磁道检测”,一般用默认参数(0、0、80、1)后按下F2键,开始检测,此时该软件会逐磁道,逐扇区地对磁盘进行全面检测。检测完毕后将生成两个检测信息文件,分别表示磁盘中普通磁道和特殊磁道的数量位置等信息。再进入“读扇区数据”,依次按下F2、F3、F5、F7、F8等键。读取结束后,软盘上加密扇区数据及文件数据的镜像文件就已经完全备份在HTH所在的目录中了。然后我们再准备一张优质的空白软盘(注意打开写保护)插入软驱,在菜单中选“格式化磁道”,依次执行 F2、F3、F4 ,完成后继续在菜单中选“复制扇区数据”,依次执行 F8、F9即可。

  四、备份系统分区

  自己制作系统恢复光盘

  现在不少品牌机都附带有一张“系统恢复光盘”,系统垮掉后,恢复起来很方便。自己如何制做一张可直接启动并恢复机器的“系统恢复光盘”呢?

  要制作自己的“系统恢复光盘”并不是一件难事。安装好系统及常用软件后,进行系统个性化设置和优化整理、磁盘扫描。在DOS下运行Ghost,选择“LOCAL-PARTION-TO IMGE”,将系统区备份为一个镜像文件。建议选最大压缩,确认后开始执行备份(注意备份出的单个镜像文件大小不要超过700M)。

  然后我们要准备一张具有FORMAT等相关工具软件并可驱动光驱的可引导软盘。最方便的方法就是在WIN98中制作一张启动盘,在“添加/删除程序”属性面板中选择“启动盘”选项卡,点击“创建启动盘”按钮就可以了(别忘了在软驱中插张质量好的高密软盘)。制作完毕后,应当使用该盘进行启动测试。看是否可正常引导目标系统,且分配驱动器号给CD ROM。然后我们将Ghost.exe文件拷贝到软盘。然后用EDIT 编辑自动批处理文件 autoexec.bat,加入一行用GHOST自动恢复分区的命令。

  最后刻录启动光盘,刻录软件我们可以使用最常用的Easy CD Creator 。在添加制作好的镜像文件后,单击工具栏上“新建”按钮旁边的小箭头,并从下拉列表中选择“可引导CD”。软件会提示插入一张可引导软盘到软盘驱动器并单击“确定”,刻录完毕后恢复光盘就做好了。

  五、其他备份相关技巧

  1.改变常见软件的默认保存路径

  C盘由于读写最为频繁,且不少病毒(如CIH)都将C盘作为破坏的首要对象,因此建议大家不要把重要的个人数据文件放在C盘,比如可以把“我的文档”设置到其他盘的某目录上,C盘只用来安装系统和应用程序。稳定一段时间后,可将C盘用GHOST做一备份,一旦被破坏,恢复起来也很简单、快速。 Word文件默认保存路径是C:\My Documents目录。默认保存路径修改方法:打开Word程序,单击菜单栏“工具”下的“选项”命令,接着在出现的“选项”对话框中选择“文件位置”标签页面,再选择文件类型,按“更改”按钮,将位置指定为专用数据分区的某个文件夹,然后按“确定”即可。

  同样,Excel默认保存路径也是C:\My Documents目录。默认保存路径修改方法:打开Excel程序,单击菜单栏“工具”下的“选项”命令,接着在出现的“选项”对话框中选择“常规”标签页面,将“默认工作目录”改成专用数据分区的某个文件夹,然后按“确定”即可。当然我们也可以直接修改“我的文档”属性,将其默认目录修改到其他分区即可。

  2.用双硬盘保障数据安全

  如果只要求离线备份,你可以使用诺顿的GHOST软件,GHOST对硬盘按扇区进行物理层的读写,可以保证对拷后两块硬盘信息完全一样,但用GHOST备份时需人工干预,做不到数据备份的实时性。如果要求实时备份的话,建议配合RAID卡或安装WIN 2K/XP,作成RAID1,可以简单的实现MIRROR(镜象)功能,也就是一个做主硬盘,一个做备份硬盘(实时备份)。这样的话,读的速度会有提高,写的速度会稍微变慢,而且容量只是一个盘的容量,但安全性大大提高了。所有的硬盘,不论它有多么高的平均故障时间间隔,最后都会不可避免地出现各种故障,文件结构错误、簇丢失、甚至分区表的物理损伤。因此,为了尽量减少计算机的意外故障,在负担重要任务的计算机上采用RAID技术是保证数据安全非常有效的方法。

  磁盘阵列有两种方法可以实现,即软件阵列与硬件阵列。软件阵列是指通过网络操作系统自身提供的磁盘管理功能将系统中多块硬盘配置成逻辑盘,组成阵列。软件阵列的优点是不需要添加新的配件,使用成本较低,但是会占用一定的系统资源,目前常用的操作系统WINDOWS NT/2K/XP都可以提供对RAID 0、RAID 1及RAID 5的支持。而硬件阵列是使用专门的磁盘阵列卡来实现的,能够提供在线扩容、动态修改阵列级别、自动数据恢复、驱动器漫游、超高速缓冲等功能。不仅如此,由于磁盘阵列卡拥有一个专门的处理器及存贮器,用于高速处理、缓存数据。这样一来,服务器对磁盘的操作就可以直接通过磁盘阵列卡来进行处理,因此不需要占用CPU及系统内存资源,可大大提高磁盘子系统的性能,但高性能磁盘阵列卡的价格也比较昂贵。一般来说对于普通小型办公网络,完全可以使用软件阵列,而对于大型的专业网络,则应当使用硬件阵列。

亡羊补牢:“数据灾难”的恢复

  对计算机用户来说,因硬盘故障、误操作、病毒等原因导致的数据丢失或文件损坏简直就是一场灾难。很多时候硬盘里的数据比硬盘本身甚至整台电脑更值钱。如果你没有经常备份你宝贵的数据,一旦遇到数据丢失的灾难,要恢复起来就很难了。但通过一些软件和方法,还是有可能恢复一些重要数据的。出现数据丢失的灾难后,你首先应该“保护好灾难现场”,在确定恢复计划前,不要再对硬盘进行任何写操作。

  一、硬盘重要区域出错的修复

  1.主引导程序出错的修复

  主引导程序位于硬盘的主引导扇区,主要用于检测硬盘分区的正确性,并确定活动分区,负责把引导权移交给活动分区的操作系统。此段程序损坏将无法从硬盘引导,但从软驱或光驱启动之后可对硬盘进行读写。修复此故障最简单的方法就是使用DOS的FDISK/mbr,将直接修复硬盘的主引导程序。因为FDISK.EXE之中包含有完整的硬盘主引导程序。此外在硬盘主引导扇区中还存在一个重要的部分,那就是其最后的两个字节应为“55aa”,此字节为扇区的有效标志。当从硬盘、软盘或光盘启动时,将检测这两个字节,如果存在则认为有硬盘存在,否则将不承认硬盘。若此标志丢失,一般可使用DEBUG进行恢复处理。

  如果只是主引导记录和系统文件损坏,可以从软盘启动,首先查一下有无病毒,再执行FDISK /MBR ,然后执行SYS A: C:,盘上数据可能还可挽救。但如果FAT表或数据区本身被破坏就没有多少修复的可能了。

  2.硬盘启动文件出错的处理

  DOS引导系统主要由DOS引导扇区和DOS系统文件组成。当DOS引导扇区无引导标志、或系统文件遭到破坏时,系统启动将显示为:“Mmissing Operating System”。系统文件主要包括IO.SYS、MSDOS.SYS、COMMAND.COM,这三个文件是DOS启动的必备文件。在Windows 95以后,MSDOS.SYS变成了一个文本文件,是启动Windows必须的文件(只启动DOS可不需要),但IO.SYS和COMMAND.COM仍为系统启动的必备文件。DOS引导出错时,可从软盘或光盘引导系统后使用SYS A: C:命令传送系统,即可修复故障,一般而言包括引导扇区及系统文件都可自动修复到正常状态。

  3.硬盘FAT表或根目录出错的修复

  FAT表记录着硬盘数据的存储地址,每一个文件都有一组FAT链指定其存放的簇地址。FAT表的损坏意味着文件内容的丢失。DOS系统(WIN9X的文件系统也是基于DOS系统的)本身提供了两套完全一样的FAT表,如果当前使用的FAT表损坏,可用第二个进行覆盖修复。但由于不同规格的磁盘其FAT表的长度及第二个FAT表的地址也是不固定的,所以修复时必须正确查找其正确位置,一些工具软件如NDD等本身具有这样的修复功能,使用也非常的方便。但是大多数时候第二个FAT表也会同时损坏,我们只能使用CHKDSK或SCANDISK命令进行修复,得到一系列*.CHK文件,这便是丢失FAT链的扇区数据。如果是文本文件则可从中提取出完整的或部分的文件内容。对于其他类型的文件则基本就没有修复的可能了。

  根目录中记录着硬盘中文件的文件名等数据,其中最重要的一项是该文件的起始簇号。如果根目录损坏将丢失大量的文件。当然也可使用CHKDSK或SCANDISK程序恢复,从硬盘中搜索出*.CHK文件,由于目录表损坏时仅是首簇号丢失,每一个*.CHK文件即是一个完整的文件,将其改为原来的名字(如果能判断出来)即可恢复大多数文件。

  4.硬盘分区表损坏的修复

  硬盘主引导记录(MBR)所在的扇区是病毒重点攻击的地方,通过破坏主引导扇区中的DPT(分区表),就可以轻易地损毁硬盘分区信息,达到对资料的破坏目的。一般而言分区丢失,是因为分区表损坏导致,而分区上保存的数据一般还完好,所以,我们可以使用专门的软件来进行修复。

  你可以试试硬盘分区表维护软件Diskman。Diskman可以判断分区的“系统参数”是否正确,当然也可让Diskman自动检查硬盘分区参数,按照提示修改错误的参数,实在不行还可利用其“重建分区”功能重建分区。DiskMan可通过未被破坏的分区引导记录信息重新建立分区表。DiskMan将首先搜索0柱面0磁头从2扇区开始的隐含扇区,寻找被病毒挪动过的分区表。紧接着搜索每个磁头的第一个扇区。整个搜索过程是采用“自动”或“交互”两种方式进行。自动方式保留发现的每一个分区,适用于大多数情况。交互方式对发现的每一个分区都会给出提示,由用户选择是否保留。若采用自动方式重建的分区表不正确,我们还可以采用交互方式重新进行搜索。

  在分区恢复上,国内著名的杀毒软件KV3000系列和瑞星都提供了完整的解决方案。但一般要求有备份的分区表,若未备份KV3000也提供了相应的修复方法,不过成功率相对就要低很多了。

  5.硬盘遭遇“逻辑锁”的处理

  计算机在引导系统时将会搜索所有逻辑盘的顺序,“逻辑锁”修改了正常的主引导分区记录,将扩展分区的第一个逻辑盘指向自己,DOS在启动时查找到第一个逻辑盘后,查找下个逻辑盘总是找到是自己,这样一来就形成了死循环,这就是使用软驱、光驱、双硬盘都不能正常启动的原因。要解决此问题并不复杂,方法一是修改DOS启动文件,准备一张WIN98的系统盘,然后在一台正常的机器上,使用你熟悉的二进制编辑工具(debug或者windows下的ultraedit都行)修改软盘上的IO.SYS文件,具体修改是在这个文件里面搜索第一个“55aa”字符串,找到以后修改为任何其他数值即可。用这张修改过的系统软盘你就可以顺利地带着被锁的硬盘启动了。其实如果你能找到其他非微软的DOS启动盘,也可以在带“锁”的电脑上直接启动。

  方法二是找到和硬盘配套的DM软件,然后把DM拷到一张系统盘上。接上被锁硬盘,开机,进入CMOS设置,将所有IDE硬盘设为NONE,保存设置,重启动,这时系统即可“带锁”启动。启动后运行DM,你会发现DM可以绕过BIOS,识别出硬盘,选中该硬盘,分区格式化,就OK了。不过这种方法的弱点是硬盘上的数据将全部丢失。

  二、硬盘数据丢失的恢复

  1.文件删除后的恢复

  以前在DOS下,误删除文件后,可用UNDELETE、UNREASE等工具恢复。WINDOWS下我们也可以立即使用RecoverNT、EasyRecovery等软件进行恢复。这些软件是在Windows 环境下使用,具有反删除及文件修复功能的工具软件,兼容FAT16、FAT32、NTFS等文件系统。这些软件的使用方法十分简单,运行后会自动扫描磁盘驱动器信息,选择要恢复资料的硬盘分区,再按照提示要求,点击“下一步”后软件将自动扫描分区,之后会把所有详细文件信息显示出来,其中包括已经被删除的文件。紧接着要选中你想恢复的文件,选择“下一步”选择好保存的位置,即可找回误删除的文件。

  但这些反删除软件都不是万能的,能否恢复、能恢复多少,都只能看你运气了。说到底,计算机是很脆弱的。我们一定要养成定期备份重要数据的习惯。尤其在拆卸硬盘、使用PQ、GHOST之类“危险软件”前,更是不能偷懒或心存侥幸。“硬盘有价数据无价”,一块硬盘的价值最多数千元,但硬盘中的数据可能要值数百万,丢失宝贵数据后 “精神损失”更是无法估量。

  2.误格式化分区后数据的恢复

  在DOS高版本状态下,格式化时并未清除硬盘数据区的数据,因此你可以试试一些数据修复的工具软件,看能否尽量挽救你的数据。用format格式化操作,在缺省状态下都会建立用于恢复格式化的磁盘信息,就是把DOS引导扇区、目录表等保存到磁盘的最后几个扇区中,而数据区中的内容没有改变。因此你可以使用UnFormat命令来恢复由Format命令清除的磁盘。UnFormat命令除了反格式化功能,它还能重新修复和建立硬盘驱动器上的损坏分区表。另外DOS还提供了一个“miror”命令用于纪录当前的磁盘的信息,供格式化或删除文件之后的恢复使用,大家可以将这个命令加到AUTOEXEC.BAT中,这样恢复删除文件及UNFORMAT成功的可能性就大大提高了。

  但随着操作系统的发展和硬盘容量的增长,目前UnFormat已经显得有点“力不从心”了,很多情况下都无法完成恢复格式化的工作,在这种情况下我们可以使用其他恢复软件来进行数据恢复。将被破坏的硬盘装到另一台有装Windows的电脑上并设成从盘,然后使用Easyrecovery 6.0、Finaldata2.0、RecoverNT3.0等软件进行恢复。要记住格式化后数据能否被恢复最关键的一点就是:被格式化的硬盘千万不能再写任何数据进去。

  3.硬盘出现硬件故障后的数据恢复

  硬盘由于存在机械运动部件,可以说是电脑中故障率最高的重要配件。硬盘损坏的情况比较复杂。除了可以通过“低格”等方法修复的“软故障”外,硬件故障主要分为电路板故障(一般是芯片烧毁),和盘体(主要是磁头、盘片损坏)故障两大类。硬盘物理故障包括了磁头偏移、磁头损坏、电路板问题、芯片信息丢失、马达不转等,最直观的现象就是进入主板BIOS设置后,无法识别硬盘。一般来说电路板故障修复的可能性较大,可以通过更换芯片或整个电路板修复,大多数情况下数据还可保留,而盘体故障则基本上没有修复的可能。不过如果损坏的硬盘上有重要数据,那你也不要放弃,可以找技术力量雄厚的维修点,打开盘体,重新更换和定位磁头,读出数据,甚至可以使用特殊的设备直接读出盘片上的数据。 硬盘另一种比较轻微的物理故障,是盘片被划伤,导致出现物理坏道,这种情况下主板BIOS能正常识别出硬盘,我们可以设法通过一些工具软件加以修复,并恢复部分数据。

  1.恢复CMOS设置错误引起的数据丢失

  CMOS中存储了硬盘的重要信息,主要有硬盘类型、容量、柱面数、磁头数、每道扇区数、寻址方式等内容,对硬盘参数加以说明,以便计算机正确访问硬盘。当CMOS因故掉电或发生错误时(启动时一般会提示“CMOS checksum error”或类似信息),硬盘设置可能会丢失或错误,硬盘访问也就无法正确进行。

  比如CMOS中的硬盘类型小于实际的硬盘容量,则硬盘后面的扇区将无法读写,如果有多个分区则靠后的分区可能丢失。还有一个重要的故障原因,由于目前的IDE都支持逻辑参数类型(LBA),如果在CMOS中改为其它的模式,因为其映射关系已经改变,将无法读取原来的正确硬盘位置,则会发生硬盘的读写错误故障。遇到这些情况我们就必须重新设置硬盘参数,如果事先已记下硬盘参数或者有某些防病毒软件事先备份的CMOS信息,只需手工恢复即可;否则也可使用BIOS设置(setup)中的“自动检测硬盘类型”(HD type auto detection)功能,一般也能得到正确的结果。

  2.数据恢复的好工具:PowerQuest Lost & Found

  在盘片没有受到物理损坏的前提下,你可以试试一些数据修复的工具软件,看能否尽量挽救你的数据。Lost&Found是目前比较好的灾难恢复工具。Lost&Found1.01正式版(1.05MB),由出品PartitionMagic的PowerQuest公司所出的新产品,硬盘资料复原工具,是一套恢复硬盘因病毒感染,意外格式化等因素所导至损失的资料工具软件,能将已删除的文件资料找出并救回,也能找出已重新格式化的硬盘,被破坏的FAT分配表,启动扇区等等,几乎能找出及发现任何在硬盘上的资料(支持FAT16和FAT32及长文件名),并尽可能的救回,并提供了分析和提示恢复的可能性功能,救回来的资料能选择在原来所在位置恢复或储存到其它可写入资料的的硬盘,ZIP,MO支持所有IDE,EIDE及SCSI设备,亦提供了自动备份目录,文件和系统配置文件,能在任何时间恢复。要注意的一点是,尽量用一个很大的硬盘来装恢复的数据(最好挂双硬盘),如果目标盘的容量小于源盘的容量,下场会很惨!

  3.遭遇CIH后数据的恢复

  CIH病毒发作后开始对硬盘进行破坏,将其垃圾代码以2048个扇区为单位,覆盖主引导扇区和BOOT引导扇区,并依次改写各硬盘(包括各逻辑盘)中的数据,将硬盘中的所有数据破坏殆尽。至此,计算机就处于完全瘫痪和死循环状态。不过只要能够重建主引导扇区、重新恢复分区表,就有希望恢复硬盘中的数据。下面就让我们来看看恢复被CIH破坏硬盘的实例:

  首先修复硬盘分区表信息。被CIH病毒破坏的硬盘,其分区表已被彻底改写,用A盘启动也无法找到硬盘。所以,要恢复C分区的数据,首先要恢复硬盘分区表,同时也就恢复了除C以外的其他逻辑分区的数据。修复分区表的方法很多,如使用KV300、NDD、VRVFIX等,下面介绍VRVFIX的具体使用方法:

  a.准备一张无病毒的启动盘,注意要根据原有操作系统及分区情况制作系统引导盘(FAT16或FAT32)。

  b.把下载的VRVFIX.EXE文件拷入该引导盘,要确保还有足够剩余空间,并打开写保护。

  c.用这张引导盘引导染毒的电脑(当然是在BIOS未被破坏或已修复的前提下),运行VRVFIX.EXE,按回车键开始计算分区信息并自动恢复,当出现提示时,按回车键,直到出现“Make Partition Table ok”。

  d.至此,修复完成,用引导盘重新引导系统,除C盘以外的其他逻辑分区(D、E、F...)的数据已经修复,但仍然无法访问C分区。

  完成了以上的工作后,就可以着手恢复C分区上的数据了。C分区无法被访问,主要是因为其目录结构被CIH病毒破坏了,要恢复C分区的目录结构,需要用到一个叫Tiramisu的工具软件,可以去http://www.ontrack.com下载。针对FAT16和FAT32,Tiramisu有ForFAT16版和ForFAT32版,应根据染毒硬盘的分区情况选择。

  4.Windows下数据恢复工具--GOBACK

  Windows系统的不稳定是众所周知的,稍不留心数据就可能丢失,除了提前备份重要文件外,还有什么好方法吗?我们可以试试WildFile出品的硬盘恢复工具Goback,它能恢复几分钟、几个小时甚至是几天前的硬盘数据,还能恢复从回收站删除的文件。它居然不占硬盘空间,而且非常简单易用。

  安装完成并重启,在DOS界面出现“If you having PC PROBLEMS,press the SPACEBAR now.”表示如果你的电脑有问题,请按空格键。这时你可以按下空格键,在接下来的选项中把系统恢复到几分钟、几个小时甚至是几天前的硬盘状态。

  如果你在GoBack启动时不按空格键,Goback对话框会在五秒以后消失,然后正常登录Windows。在出现Windows桌面以后,从程序里打开GoBack。Goback以图标的方式表示系统的安全记录点(即可恢复的时间点)、曾运行过的程序、系统重大活动的记录(如非正常关机,重启)和对文件的操作(如新建,删除)等信息。Goback正是依据它所记录的硬盘信息来进行恢复的,而且记录这些信息并不占太多的硬盘空间,这一点完全不同于备份,所以它特别适合小硬盘的用户。Goback在安装完了以后,会自动在鼠标右键添加功能项“Show Revisions”。如果你不想恢复整个硬盘,那也可以对单个文件进行恢复(对文件夹无效),Goback会如实的对文件的变化进行记录,而且能恢复到这个文件最初的安装状态。

  另外值得一提的是,现在有些主板BIOS中集成了“数据恢复”功能,能对硬盘数据的保护发挥一定作用。

  三、软盘修复和数据的恢复

  1.软盘修复和数据的恢复

  由于软盘和软驱天生的弱点,软盘上存储的资料数据很容易丢失。一般来说软盘损坏、数据丢失的情况可以分为三大类:

  一种情况是零磁道坏,无法看到盘符和列出目录,屏幕显示的错误信息一般为:“General Failure error Reading drive AAbort, Retry, Ignore?”

  第二种情况是最常见的,即软盘的某一个部分损坏,可以列出目录,但有某一个文件或某几个文件无法读出或读出后文件损坏。屏幕显示的错误信息一般为:

  “Sector not found error Reading drive A Abort, Retry, Ignore?”或“Data error Reading drive A Abort, Retry, Ignore?”

  第三种情况是受到了物理损坏,比如盘片发生了霉变、盘上有划痕、磁粉脱落等。

  要恢复软盘数据需要借助一些工具软件进行恢复。最常用HD-COPY,是一位德国人编写的磁盘对拷程序。主程序只有40多K,但功能非常强大,具有格式化软盘、软盘扩容、修复坏软盘、保存软盘信息、读取坏软盘、压缩文件、清洗软驱磁头等功能。其读取坏盘数据的功能非常强,它可以对坏道反复读取(最多次数可达一百次),在确认实在无法读出坏道信息的情况下就会将损坏的部分空在一边将有用的尽可能的保存起来。HD-COPY用法很简单,这里就不多谈了,如果只是零磁道坏,那么软盘上数据恢复的可能性很大。通常情况下只要用HD-COPY将其做一个映象,再将映象存到另一张好软盘中去,数据即可恢复。而对于磁盘数据区被损坏的情况,用HD-COPY可以尽可能的读取,如果是文本文件,恢复的数据还是很有价值的,但对于exe、dll之类的文件恢复后也没有什么实际意义了。当然,除了HD-COPY外,还有其他一些软盘数据的恢复工具和方法,大家可上网查找。

  2.用DISKEDIT和DEBUG找回丢失的文件

  在使用电脑时,文件丢失的现象并不少见。文件丢失问题往往是因为文件分配表(FAT表)出错造成的,下面介绍一种利用NORTON中的DISKEDIT命令和DOS系统下的DEBUG命令来绕过文件系统,直接从扇区中找回丢失文件的方法。该方法无论是对软盘还是硬盘都很适用。

  启动DISKEDIT.EXE,按<Alt>键选“Object”项中的“Drive…”选项(或直接按功能键<Alt>+<D>),再选择相应的逻辑盘。然后选“Object”项中的“Sector…”选项,将“Data area”(数据区)所显示的起始扇区号填入“Starting Sector”(起始扇区)项。将屏幕改为十六进制形式。

  按<Alt>键选“Tools”项中的“Find…”,在ASCⅡ栏中输入需找回文件的关键词(可以是字符、文字、数字,也可以是其它符号),按回车键开始查找。如果硬盘容量较大且文件位置偏后,则查找时间较长。找到后,屏幕会出现相应内容,首先判断所显示内容是否就是要寻找的内容。如果所显示内容不是要寻找的内容,请继续向下查找;如果所显示内容正是要查找的内容,则使用<PageUp>键向前翻,直到找到这段内容的开头,记下起始绝对扇区号(屏幕下方Sector后面的数字),再用<PageDown>键向后翻,直到找到这部分内容的末尾,记下终止绝对扇区号(屏幕下方Sector后面的数字)。由于文件在磁盘上的存储并非都是连续的,所以为保证寻找内容的完整,还要执行“Find Again…”项继续查找,直到记下每段内容的起始和终止的绝对扇区号。须要说明的是,寻找内容如果是汉字,须小心辨别。

  按上面的查找方法,确定丢失的文件所分布的具体扇区后,我们就可以使用DEBUG将该区域的内容读出并写成文件。具体方法需对DEBUG的操作较熟悉,在此不多谈。该方法操作简单,可靠性强,适用恢复重要的文本文件,有一定的实用价值。要注意的一点是,文件丢失后不要再向该盘写内容,否则可能恢复不全。

  四、其他重要文件的修复及恢复 1.损坏影视文件的修复

  RMFix是一款修复受损RM文件的强大工具,可以对不能播放或未下载完全的RM文件进行修复,还能够对不能拖动播放的RM文件重建索引数据,使其能够随意播放。RM文件受损通常是由于索引数据有问题造成的,只需重建索引数据即可。具体修复方法是: 把待修复的RM文件拖拽到RMFix程序图标上,这时RMFix会以DOS模式运行并显示一菜单,按“R”键即可重建索引数据。对于只能播放一部分影像的RM文件,则按“A”键切换为自动修复模式,按“2”键开始检查所有的数据块,RMFix将对整个文件扫描并修复损坏的据块。完成后再开始重建索引数据,然后此RM文件就可以正常播放了。RM文件一旦受损还可以借助RealMedia Analyzer来修复:启动该程序进入DOS操作界面,输入“rma -f aaa.rm”命令,这样RMA程序就能自动对视频文件进行扫描,在扫描过程中遇到有坏的数据块时,还会自动进行修复,直到所有数据全部修复完好。

  对于目前常见的DivX格式文件,我们可以用DivFix来修复。它能够让你观看尚未下载完成的DivX(AVI)电影,并且可以对文件中的错误索引进行重建,同时进行错误检测,能够自动检查音/视频流中的错误信息。将残缺视频文件导入DivFix程序后,点击“Rebuild Index”按钮,DivFix即会为此文件重新建立一个索引,就可以在播放时快进、倒退或用鼠标直接拖动时间条了。

  而修复ASF和WMV文件,通常使用ASFTools,运行该软件后点击“Add”按钮,添加需要处理的文件,接下来,只需要按下“Make Seekable”按钮和“Repair”按钮,ASFTools即可开始对所选文件进行修复了。还有“Fixvideo”这款软件也能简单快速修复损毁了的、没下载完成、无法拖动或无法播放的divx、avi、asf、wmv、rmvb等各种格式的视频文件。

  2.恢复误删的数码照片

  现在数码相机已经很普及了,因种种原因导致存储卡上拍摄的照片丢失是很常见的。当然,我们可以使用前面为大家介绍到的一些数据恢复软件,但建议大家最好使用专门的数码照片恢复软件——比如用“DIR”来恢复损坏的数码照片。这款软件使用特别简单,只需将相机中的存储卡取出,用读卡器连接到电脑,运行“DIR”后,选择存储卡所在的盘符,软件就能自动扫描,并恢复卡上所有能恢复的图片文件。

  3.修复损坏的OFFICE文档

  首先试试Excel自身的文档修复功能,运行Excel XP,在文件菜单中选择“打开并修复”命令,可以修复部分受损的XLS文档。如果无效的话,推荐使用Excel Recovery这款软件,是一个专门修复Excel电子表格数据的文件,功能非常强大。首先,它支持Excel97、Excel95以及Excel5.0等多达5种格式的Excel文件,能将损坏的表格单元数据包括文本、数字、公式值等一一恢复。其次,它能够修补受损的多重分页文件结构。另外,它使用非常简单、方便。安装之后,打开主程序,选择需要修复的文档,此时Excel Recovery自动对XLS文档进行数据分析,一般能够修复其中的大多数数据。另外对于损坏的WORD文档的修复,方法也是类似的。

  在实际应用中,由于读写频繁,数据库文件时常可能被损坏。使用软磁盘传递数据库文件时,可能发生数据库文件的静态损坏,但更严重的问题是发生数据库文件的动态损坏。如果不能修复损坏的数据库文件,不仅影响应用系统的正常运行,而且将给用户造成极大的损失。关于受损数据库文件的修复,涉及较多的专业知识,有很多专门的文章谈及,在此就不赘述了。 4.注册表的恢复

  由于注册表的重要性,Windows系统在C:\WINDOWS\SYSBCKUP目录中以CAB文件格式备份了最近五天开机后的系统文件。其备份文件名分别是rb000.cab、rb001.cab、rb002.cab、rb003.cab和rb005.cab。该CAB压缩包中包括了User.dat、System.dat、System.ini和Win.ini等系统文件。要从上面五个CAB文件中提取相应的系统文件可用Windows自带的Scanreg.exe命令,进入纯DOS方式,在DOS提示符下运行Scanreg命令;点击Start按钮,scanreg将对核心系统文件进行检测,当一切正常时,将进入下一个操作界面。按“View Backups……”按钮,Scanreg将显示C:\WINDOWS\SYSBCKUP中的注册表备份文件,选择其中的一个CAB包后点击“Restore”按钮进行恢复,完成后点击“OK”按钮重新启动计算机,损坏的注册表就恢复正常了。

  如果Windows 启动或者运行时故障太多,以前又忘记了给Windows 95/98运行最正常时的系统注册表作过备份,或者根本启动不了Windows 95/98,则我们可以使用System.1ST恢复系统注册表。Windows 98在成功地安装后会把第一次正常运行的Windows 95/98系统信息保存在启动盘(通常为C盘)根目录下的System.1ST这个HSR(隐藏、系统、只读)属性的文件中,并且不会随Windows 95/98的系统配置改变而改变。因此,我们在没有其他办法的情况下,可使用这个文件进行最保守的恢复。


上一篇:一次失败的入侵有感
下一篇:《入侵三步曲之扫描-溢出-上传木马》
评论列表
正在加载评论……
  
评论   
呢  称:
验证码: 若看不清请点击更换!
内  容:
 
 
  在线洽谈咨询:
点击这里,在线洽谈   点击这里,在线洽谈   点击这里,在线洽谈
与我交谈  与我交谈 与我交谈
乘车路线    汇款方式   加盟合作  人才招聘  
公司地址:青海省西宁市西关大街73号(三二四部队招行所四楼)     青ICP备13000578号-1 公安机关备案号:63010402000123    
QQ:147399120    mail:lostlove000@163.com    电话: 13897410341    邮编:810000
© Copyright( 2008-2009) QhWins.Com All Rights Reserved    版权所有:西宁威势电子信息服务有限公司 未经书面制授权,请勿随意转载!
业务:青海网站制做青海网站建设青海网页设计西宁网站制做西宁网站建设青海域名注册青海网络推广青海网站推广青海空间租用青海软件开发网站安全网络安全