月 日一位先生拿来一块硬盘 这块硬盘大小 G 分为三个区 C盘 D盘 E盘都有重要图片数据 分区类型为FAT 位 操作系统为WIN 第二版
接上硬盘 开机通过BIOS检测出硬盘大小 G 用软盘引导进入A提示符 执行KV 当进入KV 主画面时按F 键 进入主引导扇区 能看到 和 AA 的分区标志 此分区表信息如下
BFE C FF F
AC C C FF FFE FFE AC C FB CB
AA
往后翻很容易看出这全是被CIH所破坏后的代码 这现象表明用户用KV 的F 功能自动修复 但没有成功 启动F →F 搜索硬盘分区信息 搜索信息如下
C FF BFE FFFF F
B CB
AA
判断此分区并不是D盘的分区表而是E盘的分区表
按原 扇区的D盘起始扇区位置算出D盘的起始扇区为 扇区 按F 翻到该扇区发现此扇区都是一些乱码很显然不是D盘的分区表
按F 键搜索recycled搜索D盘的目录区 发现在 扇区为D盘的目录区 按F 键搜索 AA搜索D盘的分区表位置 发现在 扇区 此分区表信息如下
C BFE FFE F
B CB C FF FFE FFFF FB CB
AA
再往后翻 扇区是一份完整的I/O表 由此可见这一分区就是D盘的分区表 判断完后可采用手动修复 具体方法如下
C盘的扇区数为 =
将此数也换算为十六进制 C 并以高位在后排为 C 并记下
D盘的扇区数为
将此数也换算为十六进制 C B 并以高位在后排为 B C 并记下
用F 进入D盘分区表所在位置 即第 区 此分区表信息如下
C FF BFE FFE F (I)
B CB C FF FFE FFFF FB CB
AA
将下划线部分由 F 代替 B 则是C FF FFE FFE并记下
扩展分区总扇区数为 + +( × )= 并换算为十六进制为 FE 并以高位在后排为 FE 并记下
因此推断主引导扇区( 扇区)的第二 第三关键代码如下
BFE FFFF F
( ) ( ) ( )
C C FF FFE FFEB C FE
( ) ( ) ( ) ( )
AA
( )
说明
( )处 为系统引导指针代码
( )处 B 为C盘文件格式标志( 为FAT 位 B 为 G以下FAT 位 C 为 G以上FAT 位) 故此处为 B
( )处为 F 表示 个隐含扇区
( )处为C盘绝对扇区数 即用D盘分区表所在的扇区位置减 故此处填写为 C
( )处为指向扩展分区 与D盘分区表的(I)处的 C FF BFE FFE 一致 但一般情况大于 G的硬盘在红色斜体字处为 F FAT 位的为 故将 B 改为 F 则排为 C FF FFE FFE
( )处 B C 为D盘起始位置 将D盘分区表的扇区位置化为十六进制 以高往低位排 故此处应该?quot;B C
( )处 FE 为扩展分区总扇区数 即将扩展分区总扇区数化为十六进制 并以高位在后排 故此处为 FE
( )处为重要扇区标志 即为 AA F FF 这几个字节在第二FAT表前一个扇区 经过搜索 结果在 扇区 发现此硬盘的FAT表 的前一扇区 再翻一页 经过检查是FAT表 此扇区数是
运用KV F 内的 Ctr+O 功能将 扇区清 并将上述十六进制代码写入 扇区的第二 第三关键代码 并用KV F 内的 Ctr+F 保存
翻到 扇区 此扇区为D盘的引导扇区 因为此硬盘三个区是平分的 所以三个区的BOOT区应该是一样的 直接把此扇区写入到C盘的BOOT区(即 扇区)
再从 扇区往后翻 发现此硬盘的FAT表 已经被CIH病毒给破坏了 但此硬盘的FAT表 是好的 因为CIH不破坏FAT 位的第二个FAT表 运用F 搜索字符串功能 搜索第二个FAT表的开头字符串 F FFFF FFFFF 搜索到的扇区数为 扇区 接着用KV 的Ctrl+F 功能 将此FAT表 处开始写入到FAT表 可运用 Ctr+F 完成
写入成功后 按Ctrl+Atl+Del键 重新启动 发现三个分区的数据已全部恢复 但是系统不能引导 用WINDOWS 相同版本的系统盘传一下系统 具体操作如下
先进入C:WINDOWSCOMMAND:>键入SYS A: C: 重新启动计算机 终于成功的进入了WINDOWS 系统 这样大功告成
可见KV 的 硬盘救护箱 是很方便的
