WEB开发网
开发学院服务器存储技术 数据恢复与软故障处理基本指南(2) 阅读

数据恢复与软故障处理基本指南(2)

 2008-12-15 12:07:16 来源:WEB开发网   
核心提示: ③ 反汇编主引导区内容:判定MBR的代码区是否正常,对于数据区的基本情况,数据恢复与软故障处理基本指南(2)(8),我们可以通过直观观察得出,但对于存在引导型病毒,如果用DEBUG做则要写一段子程序,不过程序的主要技巧就是利用int 25绝对磁盘读中断读出的内容,或者引导区出现异常代码的情

③ 反汇编主引导区内容:判定MBR的代码区是否正常,对于数据区的基本情况,我们可以通过直观观察得出,但对于存在引导型病毒,或者引导区出现异常代码的情况,我们可能需要分析MBR中代码区的指令。这一般要对已经读入内存的引导区进行反汇编。反汇编用指令U,续前例:

-u300 l15D ;反汇编主引导扇区代码区内容

126C:0300 33C0 XOR AX,AX

126C:0302 8ED0 MOV SS,AX

…………

126C:045C 65 DB 65

126C:045D 6D DB 6D

④ 写内存单元,在我们的前例中,主分区类型是0B是FAT32的,假定这个类型实际是NTFS的,我们该如何修改呢?由于主分区类型的偏移是4C3H,我们可以用E命令写到内存单元中,从附表中查得NTFS的类型为07。因此-e4c3 7再比如说,假定我们想把无效的分区表清零,那么,我们应当用另一个命令F,这个命令可以用填充一个内存地址范围。清零分区表的操作就是-f4be 4ff 00,以下两个操作也比较常见。

重置80标记,-e4be 80

重置55AA标记,-f4ff 4fe 55 aa

不要忘记了,此时仅仅是改动了内存中的数据,并未写到硬盘上。因此需要用int 13中断把改写的结果,写回硬盘。续前例,

-a100

126C:0100 mov ax,301 ; 写操作一个扇区

-g=100 ;执行

其实,我们相当于修改了刚才输入的读主引导扇区程序,使程序变为。

126C:0100 mov ax,301 ; 写操作一个扇区

126C:0103 mov bx,300 ;从内存地址300

126C:0106 mov cx,1 ;0面1扇

126C:0109 mov dx,80 ;80H为硬盘,头为0

126C:010C int 13

126C:010E int 3 ;断点

⑤ 绝对磁盘内容的读出与写入

类似操作在FAT32结构硬盘被CIH破坏的修复中比较常见,我们后面将讲到恢复的基本思路就是用第二FAT表覆盖第一FAT表。那么无疑要读出第二FAT表的内容,再回写到第一FAT表的位置上。一般的来说,大量连续扇区的读出写入DISKEDIT进行非常方便,如果用DEBUG做则要写一段子程序,不过程序的主要技巧就是利用int 25绝对磁盘读中断读出的内容,而用int 26绝对磁盘写做内容写入。

上一页  3 4 5 6 7 8 9  下一页

Tags:数据恢复 故障 处理

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接