硬盘数据恢复基础知识1、硬件或介质问题的情况①、硬盘坏：硬盘自检不到的情况一般是硬件故障，又可分为主版的硬盘控制器（包括IDE口）故障和硬盘本身的故障。

如果问题在主板上，那么数据应当没有影响。

如果出在硬盘上，也不是一定不能修复。

硬盘可能的故障又可能在控制电路、电机和磁头以及盘片。

如果是控制电路的问题，一般修好它，就可以读出数据。

但如果电机、磁头和盘片故障，即使修理也要返回原厂，数据恢复基本没有可操作性。

②、软盘坏：当软盘数据损坏时，可以有几种处理，一种是用NDD修复，他会强制读出你坏区中的东西，MOVE到空白扇区中，这就意味着如果你的磁盘很满操作是没法进行的。

你也可以用HDCOPY2.0以上版本READ软盘，他也会进行强读，使读入缓冲区的数据是完好的，你再写入一张好磁盘就可以了。

当然这些方式，要看盘坏的程度。

如果0磁道坏，数据也并非无法抢救，早先可以通过扇区读的方式，把后面的数据读出，不过一般来说，你依然可以HDCOPY来实验。

2、系统问题的情况①、在硬盘崩溃的情况下，我们经常要和一些提示信息打交道。

我们要了解他典型提示信息的含义，注意这些原因仅仅分析逻辑损坏而不是硬盘物理坏道的情况。

提示信息可能原因参考处理Invalid Partition Table分区信息中1BE、1CE、1DE处不符合只有一个80而其他两处为0用工具设定，操作在前面已经讲了。

Error Loading Operating System主引导程序读BOOT区5次没成功。

重建BOOT区Missing Operating System DOS引导区的55AA标记丢失用工具设定，把前面读写主引导区程序的DX=80改为180即可Non-System Disk or Disk ErrorBOOT区中的系统文件名与根目录中的前两个文件不同SYS命令重新传递系统，Disk Boot Failure读系统文件错误SYS命令重新传递系统，Invalid Driver Specifcationg如果试图切换到一个确实存在的逻辑分区出现以下信息，说明主分区表的分区记录被破坏了。

根据各分区情况重建分区表，或者用自动修复工具修复。

注意分区丢失是最常见的故障之一，此时不要紧张，一般的说此时数据并没有问题，如果你不了解处理的方法。

你可以选择我前面介绍的自动修复分区工具进行处理，他们大多只改写主分区表的数据区，不会影响你的其他数据。

特别提醒大家，这些工具有的不支持8.4G硬盘，有的与BIOS对硬盘的识别有关系。

如果你在一台机器上不行，可以换台BIOS不同的机器实验一下。

Bad or missing command interpreter这是说找不到，或者COMMAND文件坏了。

如果你COPY过去COMMAND文件还是如此，一般来说是感染了某种病毒。

Invalid media type reading drive X,Abort,Retry,Fail?该盘没有高级格式化，或BOOT区中I/O参数表被破坏。

这里情况较多，手工处理比较复杂，特别指出，此时DISKEDIT可能无法运行，建议用工具修复。

Incorrect DOS Version可能是文件版本不统一，对9X来说，有9595osr/2,98,98oem/2等版本，重新SYS时，不要弄错了。

用正确版本的启动盘重新SYS系统另外说明一下，对于比较老的机器还有1071和not found rom basic、ROM BASIC OK等提示，在目前机器中以消失。

另外，当代码区完全被破坏的情况下，系统关于无系统的提示是来自BIOS的，这条提示与BIOS的种类有关。

另外，FDISK/MBR对代码区的重建是我们经常采用的。

再介绍一种比较极端的情况，就是硬盘自检正常，而用软盘和硬盘都无法正常启动的情况，这可能是，病毒或恶意程序利用，DOS3以上版本启动中都要检索分区表这一特点，把分区表置为死循环。

造成启动中死机。

网上曾经流传过DOS6.22k修改方案，其实是修改西文MS-DOS6.22的IO.SYS，把C20306E80A 00077203替换为：C20390E80A00728090就可以启动被类似情况锁住的硬盘。

②、9X无法正常进入或工作：以下仅仅是对可能的软故障分析，没有考虑硬件故障.进入图形界面前死机情况比较复杂，可能与加载的某些驱动有关可以在START MS WINDOWS时，用F8激活菜单，设置为step by step，看是哪项使系统死机。

而后从CONFIG或者SYSTEM。

INI中删除进入图形界面后死机一般这与开机加载的程序有关进入安全模式（此时自动运行的程序将不能加载），对注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*中的键值和启动组中加载的程序进行分析。

必要的予以删除。

显示IEXPLORE.EXE错误，不能进行任何操作可能有某个系统的动态连接库损坏覆盖安装WIN9X，或从其他机器上COPY损坏的连接库。

（确定哪个库损坏一般比较困难）频繁出现出错各种信息一般是虚拟内存不足造成的看C盘是否剩余空间过少，或者打开的应用程序和窗口太多。

2、全盘崩溃和分区丢失首先重建MBR代码区，再根据情况修正分区表。

修正分区表的基本思路是查找以55AA为结束的扇区，再根据扇区结构和后面是否有FAT等情况判定是否为分区表，最后计算填回，主分区表，由于需要计算，过程比较烦琐，就不仔细介绍了，希望大家用前面介绍的工具，比如NDD处理。

如果文件仍然无法读取，要考虑用TIRAMINT等工具进行修复。

如果在FAT表彻底崩溃的情况下，恢复某个指定文件，可以用DISKEDIT或DEBUG查找已知信息。

比如文件为文本，文件中包含“软件狗”，那么我我们就要把他们转换为内码C8ED BC FE B9B7进行查找。

3、文件丢失、误格式化的情况一般的来说，文件删除仅仅是把文件的首字节，改为E5H，而并不破坏本身，因此可以恢复。

但由于对不连续文件要恢复文件链，由于手工交叉恢复对一般计算机用户来说并不容易，在这篇缩略版中就不讲了，建议用工具处理，如果已经安装了Norton Utilities，可以用他来查找。

另外，RECOVERNT等工具，都是恢复的利器。

特别注意的是，千万不要在发现文件丢失后，在本机安装什么恢复工具，你可能恰恰把文件覆盖掉了。

特别是你的文件在C盘的情况下，如果你发现主要文件被你失手清掉了，（比如你按SHIFT删除），你应该马上直接关闭电源，用软盘启动进行恢复或把硬盘串接到其他有恢复工具的机器处理。

误格式化的情况可以用等工具处理。

4、文件损坏的情况一般的说，恢复文件损坏需要清楚的了解文件的结构，并不是很容易的事情，而这方面的工具也不多。

不过一般的说，文件如果字节正常，不能正常打开往往是文件头损坏。

就文件恢复举几个简单例子。

类型特征处理ZIP、TGZ等压缩包无法解压ZIP文件损坏的情况下可以用一个名为ZIPFIX的工具处理。

不过如果你的文件是从FTP站点上下载的，那么有可能是你没有定义下载模式为BIN。

自解压文件无法解压可能是可执行文件头损坏，可以用对应压缩工具按一般压缩文件解压。

DBF文件死机后无法打开典型的文件头中的记录数与实际不匹配了，把文件头中的记录数向下调整，遗憾的是公式我找不到了。

5、硬盘被加密或变换：此时千万不要FDISK/MBR，SYS等处理，否则可能数据再也无法找回，一定要反解加密算法，或找到被移走的重要扇区。

对于那些加密硬盘数据的病毒，清除时一定要选择能恢复加密数据的可靠杀毒软件。

6、文件加密后密码遗忘：对于很多字处理软件的文件加密和ZIP等压缩包的加密，你是不能靠加密逆过程来完成的，因为那从理论上是异常困难的。

目前有一些相关的软件，他们的思想一般都是用一个大字典集中的数据循环用相同算法加密后与密码的密文匹配，直到一致时则说明找到了密码。

你可以去寻找这些软件，当然，有些软件是有后门的，比如DOS下的WPS，Ctrl+qiubojun就是通用密码。

Undiskp的作者冯志宏是解文件密码的个中高手，大家不妨去他的主页看看。

7、系统用户密码遗忘的处理：最简单的方法就是用软盘启动（NT的你也可以把盘挂接在其他NT上），找到支持该文件系统结构的软件（比如针对NT的NTFSDOS），利用他把密码文件清掉、或者是COPY出密码档案，用破解软件套字典来处理。

前者时间短但所有用户信息丢失，后者时间长，但保全了所有用户信息。

对UNIX系统，我建议你一定先做一张应急盘.数据恢复资料数据恢复理论篇要深入学习数据恢复，并非是一件容易的事，要想成为一个数据恢复专家，没有深厚的理论知识是不可能的，你必须了十分了解磁盘的逻辑结构，就让我们来看看需要学习的理论知识吧。

当我们对文件进行访问时，你有没有想过，操作系统是如何对文件进行操作的呢？这些文件又是如何存放在磁盘当中的呢？先来看看硬盘的总体结构，在介绍硬盘总体结构之前有必要介绍一下硬盘的参数，硬盘是以磁头（Heads），柱面(Cylinders)，扇区(Sectors)进行访问的。

其中: 磁头数(Heads)表示硬盘总共有几个磁头,也就是有几面盘片, 最大为255 (用8 个二进制位存储); 柱面数(Cylinders) 表示硬盘每一面盘片上有几条磁道,最大为1023 (用10 个二进制位存储); 扇区数(Sectors) 表示每一条磁道上有几个扇区,最大为63(用6 个二进制位存储). 每个扇区一般是512个字节,学习过汇编语言的朋友可能想到了，BIOS 中断13H的入口参数中，CH是磁道号其值为0H~FEH（最多255个磁道），CL中低6位为扇区号，其值为1H~3FH（最多63个扇区），DH为磁头号的低位，CL中的高2位为磁头号的高位，也就是说，磁头号最多由10位二进制数表示，（1111111111）2=（1023）10，也就是说最多可以表示的磁头数为1024个。

请大家记住这些在我们以后的学习中还会用到的，由此可以看出基于这种访问方式我们最大能访问的磁盘容量为：255 * 1023 * 63 * 512字节=8414461440/1048576=8024.66M只有大约8G的空间，这是因为早期磁盘还很小，想想当年你拥有一块200M硬盘时的喜悦心情吧！就好象当年的科学家们以为1K内存已经很大了一样，让电脑用户很长一段时间都为配置DOS下的内存而烦恼。

而今，你肯定拥有一块大于8G的硬盘了，你能够用她，应该多亏了一种较新的硬盘访问技术——扩展Int13H 技术。

采用线性寻址方式存取硬盘, 所以突破了8 G的限制, 而且还加入了对可拆卸介质（如活动硬盘）的支持，因为是谈数据恢复不是谈编程，关于扩展INT13H技术我在此就不详述了。