数据恢复与软故障处理基本指南(2)

核心提示： ③ 反汇编主引导区内容：判定MBR的代码区是否正常，对于数据区的基本情况，数据恢复与软故障处理基本指南(2)(8)，我们可以通过直观观察得出，但对于存在引导型病毒，如果用DEBUG做则要写一段子程序，不过程序的主要技巧就是利用int 25绝对磁盘读中断读出的内容，或者引导区出现异常代码的情

③ 反汇编主引导区内容：判定MBR的代码区是否正常，对于数据区的基本情况，我们可以通过直观观察得出，但对于存在引导型病毒，或者引导区出现异常代码的情况，我们可能需要分析MBR中代码区的指令。这一般要对已经读入内存的引导区进行反汇编。反汇编用指令U，续前例：

-u300 l15D ；反汇编主引导扇区代码区内容

126C:0300 33C0 XOR AX,AX

126C:0302 8ED0 MOV SS,AX

…………

126C:045C 65 DB 65

126C:045D 6D DB 6D

④ 写内存单元，在我们的前例中，主分区类型是0B是FAT32的，假定这个类型实际是NTFS的，我们该如何修改呢？由于主分区类型的偏移是4C3H，我们可以用E命令写到内存单元中，从附表中查得NTFS的类型为07。因此-e4c3 7再比如说，假定我们想把无效的分区表清零，那么，我们应当用另一个命令F，这个命令可以用填充一个内存地址范围。清零分区表的操作就是-f4be 4ff 00，以下两个操作也比较常见。

重置80标记，-e4be 80

重置55AA标记，-f4ff 4fe 55 aa

不要忘记了，此时仅仅是改动了内存中的数据，并未写到硬盘上。因此需要用int 13中断把改写的结果，写回硬盘。续前例，

-a100

126C:0100 mov ax,301 ； 写操作一个扇区

-g=100 ；执行

其实，我们相当于修改了刚才输入的读主引导扇区程序，使程序变为。

126C:0100 mov ax,301 ； 写操作一个扇区

126C:0103 mov bx,300 ；从内存地址300

126C:0106 mov cx,1 ；0面1扇

126C:0109 mov dx,80 ；80H为硬盘，头为0

126C:010C int 13

126C:010E int 3 ；断点

⑤ 绝对磁盘内容的读出与写入

类似操作在FAT32结构硬盘被CIH破坏的修复中比较常见，我们后面将讲到恢复的基本思路就是用第二FAT表覆盖第一FAT表。那么无疑要读出第二FAT表的内容，再回写到第一FAT表的位置上。一般的来说，大量连续扇区的读出写入DISKEDIT进行非常方便，如果用DEBUG做则要写一段子程序，不过程序的主要技巧就是利用int 25绝对磁盘读中断读出的内容，而用int 26绝对磁盘写做内容写入。