计算机上只有数据是最关键的，数据的丢失才是最大的损失。下面我来讲解一些数据恢复的基本知识。
首先申明一点，对于重要数据，备份数据才是防止数据丢失的根本方法，而数据恢复依赖于很多因素，很难完全恢复数据，一般是仅仅可以恢复部分数据。
数据恢复就是找回丢失的数据，例如彻底删除某个文件或文件夹，重新格式化磁盘，重新分区磁盘等等都会造成数据的丢失。更严重的数据丢失是存储介质硬件损坏，例如，硬盘不小心摔坏了、硬盘根本就不认了、硬盘有大量坏道等等。最值得注意的一点是，一旦意识到数据丢失了，立刻停止一些不必要的*作，误删、误格后，不要再往磁盘里写数据了！磁盘摔坏后，不要再加电了！磁盘出现坏道读不出来，不要反复读盘了等等。
硬盘故障大致可分为硬故障和软故障两大类。硬故障即PCBA板损坏、盘片划伤、芯片及其它原器件烧坏、断针断线、磁头音圈电机损坏等，是由于硬盘自身的机械零件或电子元器件损坏而引起。剧烈的震动、频繁开关机、电路短路、供电电压不稳定等比较容易引发硬盘物理性故障，硬件故障一般表现为CMOS不认硬盘，常有一种“咔嚓咔嚓”的磁组撞击声或电机不转、通电后无任何声音、磁头不对造成读写错误等现象，对上面描述的大部分情况，一般都要送到专门的数据恢复中心检测和恢复数据。
硬盘软故障即硬盘数据结构由于某种原因，比如说病毒导致硬盘数据结构混乱甚至不可被识别而形成的故障。一般来说，主板BIOS硬盘自动检测（IDE HDD AUTO DETECTION）功能能够检测到硬盘参数，均为软故障。一般情况下，硬盘在发生故障时系统会在屏幕上显示一些提示信息，所以我们可以按照屏幕显示的提示信息找到故障原因，有针对性地实施解决方案。软故障包括误分区、误格式化、误删除、误克隆、MBR丢失、BOOT扇区丢失、病毒破坏、黑客攻击、分区信息丢失、RAID0磁盘阵列、RAID1磁盘阵列、RAID5磁盘阵列失效等因素造成的数据丢失。硬盘软故障相对于物理故障来说，更容易修复些，而它对数据的损坏程序也比硬盘物理故障来得轻些。
下面主要说明一下硬盘发生软故障后数据恢复的大概方法，部分原理可以用于优盘，光盘等的数据恢复。

[ Last edited by didi_a on 2005-6-28 at 22:02 ]

硬盘内部结构
关于硬盘结构的文章已经非常多了，不过真正要说清楚的话，就算专门出一本书也说不完，因此这里就不再从头细细讲述了。
硬盘最基本的组成部分是由坚硬金属材料制成的涂以磁性介质的盘片，不同容量硬盘的盘片数不等。每个盘片有两面，都可记录信息。盘片被分成许多扇形的区域，每个区域叫一个扇区，每个扇区可存储128×2的N次方（N＝0.1.2.3）字节信息。在DOS中每扇区是128×2的2次方＝512字节，盘片表面上以盘片中心为圆心，不同半径的同心圆称为磁道。硬盘中，不同盘片相同半径的磁道所组成的圆柱称为柱面。磁道与柱面都是表示不同半径的圆，在许多场合，磁道和柱面可以互换使用，我们知道，每个磁盘有两个面，每个面都有一个磁头，习惯用磁头号来区分。扇区，磁道（或柱面）和磁头数构成了硬盘结构的基本参数。在老式硬盘中，采用的都是这种比较古老的CHS（Cylinder/Head/Sector）结构体系。因为很久以前，在硬盘的容量还非常小的时候，人们采用与软盘类似的结构生产硬盘。也就是硬盘盘片的每一条磁道都具有相同的扇区数，由此产生了所谓的3D参数（Disk Geometry），即是磁头数（Heads）、柱面数（Cylinders）、扇区数（Sectors）以及相应的3D寻址方式。对于现在的新硬盘来说，都已经全部不采用这样的结构，而是采用了更加科学的结构方式，目前的硬盘都是线性寻址也就是直接使用扇区号来访问硬盘，137G以下的硬盘使用32位整数作为扇区号，而137G以上的硬盘使用48位整数作为扇区号。
CHS结构体系
其中：磁头数表示硬盘总共有几个磁头，也就是有几面盘片，最大为255（用8个二进制位存储）；柱面数表示硬盘每一面盘片上有几条磁道，最大为1023（用10个二进制位存储）；扇区数表示每一条磁道上有几个扇区，最大为63（用6个二进制位存储）；每个扇区一般是512个字节，理论上讲你可以取任何一个你喜欢的数值，但好像至今还没有发现取别的值的。所以磁盘最大容量为：
255×1023×63×512/1048576＝8024MB（1M＝1048576Bytes）
或硬盘厂商常用的单位：
255×1023×63×512/1000000＝8414MB（1M＝1000000Bytes）
由于在老式硬盘的CHS结构体系中，每个磁道的扇区数相等，所以外道的记录密度要远低于内道，因此会浪费很多磁盘空间（软盘也是一样）。为了进一步提高硬盘容量，现在硬盘厂商都改用等密度结构生产硬盘。这也就是说，每个扇区的磁道长度相等，外圈磁道的扇区比内圈磁道多。采用这种结构后，硬盘不再具有实际的3D参数，寻址方式也改为线性寻址，即以扇区为单位进行寻址。而为了与使用3D寻址的老软件兼容（如使用BIOSInt13H接口的软件），厂商通常在硬盘控制器内部安装了一个地址翻译器，由它负责将老式3D参数翻译成新的线性参数。这也是为什么现在硬盘的3D参数可以有多种选择的原因（不同的工作模式可以对应不同的3D参数，如LBA、LARGE、NORMAL）。而随着磁盘密度的增加、机构的进一步复杂、功能和速度上的提高，如今的硬盘都会在磁盘里面划分出一个容量比较大的，称为“系统保留区”的区域，用于储存硬盘的各种信息、参数和控制程序，有的甚至把硬盘的Fireware也做到了系统保留区里面（原来这些信息都是储存在硬盘控制电路板的芯片上的）。这样虽然可以进一步简化生产的流程，加快生产速度和降低生产成本，但是从另一方面，却又大大增加了硬盘出现致命性损坏的几率和缩短了硬盘的使用寿命。

发觉硬盘故障，需要恢复数据的时候，第一步所要做的就是检测，判断磁盘的故障原因和数据损坏程度
只有明确磁盘的损坏程度和故障原因，才能采取正确的步骤恢复数据：
硬盘内部故障，表现形式一般是CMOS不能识别硬盘，硬盘异响，那么可能的故障原因物理磁道损坏、内电路芯片击穿、磁头损坏等等，可以采用的修复手段有：内电路检修、在超净间内打开盘腔修复，这种情况只能送到专业的数据恢复公司。
硬盘外电路故障，如果CMOS不能识别硬盘，硬盘无异响，那么可能的故障原因是外电路板损坏、芯片击穿、电压不稳烧毁等等，可以采取的手段是外电路检修，或者更换相同型号的硬盘的电路板，一般需要送到专业的数据恢复公司。
软故障，如果CMOS能识别硬盘，一般是硬盘软故障，破坏原因一般是系统错误造成数据丢失，误分区、误删除、误克隆、软件冲突、病毒破坏等等，可以采用的方法有专用数据恢复软件或者人工方式。
下面具体讲解软故障的数据恢复方法
1. 确认数据丢失的故障原因
1. 硬盘数据丢失，故障原因包括：
病毒破坏,误克隆,硬盘误格式化，分区表失丢，误删除文件，移动硬盘盘符认不出来(无法读取其中数据，硬盘零磁道损坏),硬盘误分区，盘片逻辑坏区，硬盘存在物理坏区。
2. 文档数据损坏,如Office 系列数据文件损坏，Zip、MPEG、asf、RM 等文件数据损坏。
2. 根据故障原因，采用相应的手段和步骤
1. 备份数据，根据数据的重要程度，决定是否需要备份数据，备份数据的一般步骤是
1. 卸下损坏硬盘，接到另外一台完好的机器，注意新机器上有足够的硬盘空间备份
2. 使用ghost的原始模式（raw），一个扇区一个扇区的把损坏磁盘备份到一个镜像文件中。如果硬盘上有物理坏道，最好是采用ghost的方式制作一个磁盘镜像，然后所有的*作都在磁盘镜像上进行，这样可以最大限度的保护原始磁盘不被进一步损坏，可以最大限度的恢复数据。 ——我猜想作者是说把磁盘内容克龙到另一块磁盘上做恢复的做作，以避免在原磁盘的写*作。
3. 修复硬盘数据。修复硬盘数据有2种类型，一种直接在原始硬盘修改，一种是把读出数据存储到其他的硬盘上。基本思路就是就是根据磁盘现有的信息最大限度的推断出丢失的分区和文件系统系统的信息，把受损的文件和系统还原，所以如果信息损失太多，那么是不可能恢复数据的。比如错误删除一个文件后，随即又拷贝了较大的文件过来，那么多半是被删除的文件被新拷贝过来的文件所覆盖，几乎是无法恢复了。
一个常识就是，如果想要恢复数据，那么不要在出问题的磁盘上运行scandisk或者Norton Disk Doctor等直接修复文件系统错误的软件，切记。

零磁道，MBR和分区表DPT：
零磁道处于硬盘上一个非常重要的位置，硬盘的主引导记录区（MBR）就在这个位置上。零磁道一旦受损，将使硬盘的主引导程序和分区表信息遭到严重破坏，从而导致硬盘无法自举。
MBR：
当通过Fdisk或其他分区工具对硬盘进行分区时，分区软件会在硬盘0柱面0磁头1扇区建立MBR（Main Boot Record）,即为主引导记录区，位于整个硬盘的第一个扇区,在总共512字节的主引导扇区中，主引导程序只占用了其中的446个字节，64个字节交给了DPT(Disk Partition Table硬盘分区表),最后两个字节（55 AA）属于分区结束标志。主引导程序的作用就是检查分区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序调入内存加以执行。
DPT：
分区表DPT（Disk Partition Table），把硬盘空间划分为几个独立的连续的存储空间，也就是分区。分区表DPT则以80H或00H为开始标志，以55AAH为结束标志。分区表决定了硬盘中的分区数量，每个分区的起始及终止扇区、大小以及是否为活动分区等。
通过破坏DPT，即可轻易地损毁硬盘分区信息。分区表分为主分区表和扩展分区表。
主分区表位于硬盘MBR的后部。从1BEH字节开始，共占用64个字节，包含四个分区表项，这也就是为什么一个磁盘的主分区和扩展分区之和总共只能有四个的原因。每个分区表项的长度为16个字节，它包含一个分区的引导标志、系统标志、起始和结尾的柱面号、扇区号、磁头号以及本分区前面的扇区数和本分区所占用的扇区数。其中”引导标志”表明此分区是否可引导，即是否活动分区。当引导标志为”80″时，此分区为活动分区；”系统标志”决定了该分区的类型，如”06″为DOS FAT16分区，”0b”为DOS FAT32分，”63″为UNIX分区等；起始和结尾的柱面号、扇区号、磁头号指明了该分区的起始和终止位置。
分区表项的16个字节分配如下：
第1字节: 引导标志
第2字节: 起始磁头
第3字节: 低6位为起始扇区, 高2位与第4字节为起始柱面
第4字节: 起始柱面的低8位
第5字节: 系统标志
第6字节: 终止磁头
第7字节: 低6位为终止扇区, 高2位与第8字节为终止柱面
第8字节: 终止柱面的低8位
第9-12字节: 该分区前的扇区数目
第13-16字节: 该分区占用的扇区数目
扩展分区作为一个主分区占用了主分区表的一个表项。在扩展分区起始位置所指示的扇区(即该分区的第一个扇区)中，包含有第一个逻辑分区表，同样从1BEH字节开始，每个分区表项占用16个字节。逻辑分区表一般包含两个分区表项，一个指向当前的逻辑分区，另一个则指向下一个扩展分区。下一个扩展分区的首扇区又包含了一个逻辑分区表，这样以此类推，扩展分区中就可以包含多个逻辑分区。为方便说明，我们把这一系列扩展分区和逻辑分区分别编号，主扩展分区为 1号扩展分区，第一个逻辑分区表所包含的两个分区分别标为 1号逻辑分区和 2号扩展分区，依次类推。
主分区表中的分区是主分区，而扩展分区表中的是逻辑分区，并且只能存在一个扩展分区。
FS即文件系统，位于分区之内，用于管理分区中文件的存储以及各种信息，包括文件名字，大小，时间，实际占用的磁盘空间等。windows 目前常用的文件系统包括FAT12，FAT16，FAT32和NTFS系统。
DBR（Dos Boot Record）是*作系统引导记录区。它位于硬盘的每个分区的第一个扇区，是*作系统可以直接访问的第一个扇区，它一般包括一个位于该分区的*作系统的引导程序和相关的分区参数记录表。
簇，是文件系统中最小的数据存储单元，由若干个连续的扇区组成，硬盘的扇区的大小是512字节（几乎是用于所有的硬盘），也就是既是一个字节的文件也要分配给它1个簇的空间，剩余的空间都被浪费了，簇越小，那么对小文件的存储的效率越高，簇越大，文件访问的效率高，但是浪费空间比较严重。
FAT(file allocation table)即文件分配表，记录了分区中簇的的使用情况，FAT表的大小与硬盘的分区的大小有关，为了数据安全起见，FAT一般做两个， 二FAT为第一FAT的备份，用于FAT12，FAT16，和FAT32文件系统。
DIR是DIRECTORY即根目录区的简写，根目录区存储了文件系统的根目录中的文件或者目录的信息（包括文件的名字，大小，所在的磁盘空间等等），FAT12，FAT16的DIR紧接在第二FAT表之后，而FAT32的根目录区可以在分区的任何一个簇。
MFT（Master File Table）是NTFS中存储有关文件的各种信息的数据结构，包括文件的大小，时间，所占据的数据空间等等。
以FAT32为例，FAT32分区的的0－2扇区为FAT32文件系统的DBR即引导扇区，3－5扇区为0－2扇区的备份。6－31扇区为空，32扇区开始为第一个FAT表，FAT表的大小与硬盘的分区的大小有关。随后是第2个FAT表，剩余的空间都是实际的文件所占用的，包括目录和文件。FAT32文件系统的根目录并不一定是数据区的第一个簇，它可以位于数据区的任何一个簇，这也是FAT32的根目录大小不在受255个文件限制的原因，这也是FAT32的文件名可以支持长文件名的原因之一。
分区表丢失，表现为硬盘原先所有分区或者部分分区没了，在磁盘管理器(winxp win2000 win2003)看到未分区的硬盘或者未分区的空间。有多种可能：
病毒，当年的cih病毒会用无效的数据填充分区表和第一个分区的数据，这种情况下，从前面介绍的分区的性质来看，c盘的数据很难恢复，而随后d盘和e盘等分区的实际数据并没有被破坏，而仅仅是分区表丢失而已，所以只要找到D盘和E盘等分区的正确的起始和结束位置，很容易恢复。
重新分区，使用fdisk对磁盘重新划分空间分布，那么原来的分区表被新的分区表取代，这个时候，同样是原来分区的数据没有损坏，仅仅是分区表指向了不正确的位置。

误删除文件的恢复
误删除文件的恢复的原理是什么呢？为什么删除文件后，又可以恢复回来？是不是所有的删除的文件都可以恢复？
当我们存储一个文件的时候，*作系统首先在一个记录所有空间使用情况的表格中，找到足够容纳我们的新文件的空间，然后把文件内容写到相对应的硬盘扇区上，最后在表格中标出该空间被占用了。
当我们删除一个文件的时候，一般并不对实际文件所占用的扇区进行*作，而是仅仅在该表格中指明那些空间是空白的了，可以分配给别的文件使用。在这个时候，被删除的文件的实际内容并没有受到破坏，可以恢复回来。如果我们删除一个文件后，又重新创建了一个文件，那么被删除文件所占用的扇区就有可能被新创建的文件所使用，这时候就无法恢复原来被删除的文件了。所以一旦错误的删除了文件，必须注意的就是不要对该文件所在的分区进行写*作了，否则有可能覆盖原来删除的文件，从而导致数据无法恢复。
对于误删除的文件，我们有很多选择，如finaldata,recover4all,easyrecovery，这些软件使用很简单，直接按照向导的指示就可以了。
下面介绍一种手工恢复被删除数据的方法，特别是使用这种自动化的方法恢复无效的时候，这种方法适合恢复有明显特征的结构简单的文件，如文本文件，如果格式复杂，就需要写一个类似的程序来恢复了。原理就是直接在分区中寻找被删除的文件的内容。
一个实例就是微软公司的vc6，vc6的ide有一个bug，一直没有修复，就是存储写好的程序代码的时候，偶然会弹出一个对话框说无法存储文件，这个时候必须再存一次才可以，如果你直接关闭vc6，就会发现刚才那个文件被删除了（这个bug是微软确认的，一直到vc6的sp5补丁也没有修复）。
我的一个朋友使用vc6的时候遇到了这个bug，而且他以为vc6出了问题，直接关闭了vc6，结果很费劲才调试好的很长的一的文件就失踪了。
我首先试用了finaldata和easyrecovery，结果找出很多以前删除的文件，就是没有需要的。没有办法的情况下，只好使用强行搜索的方法了
1. 运行winhex，选择tools菜单中的opendisk,选择误删除的文件所在的逻辑盘c盘，
2. 选择search菜单，使用find text命令，在打开的c盘上直接搜索程序代码中的特征串“增加了处理Reg_Expand_SZ”，
3. 经过一段时间后,把找到的代码所在扇区的前后几个扇区全部复制下来，拷贝到一个新的文件中，这样就找回了原来的代码。
对于恢复结构性很强的文档，如果自动化的方式不起作用，可以写一个小程序来搜索的同时加以判断，或者直接利用winhex提供的接口写一个脚本，如果数据很重要，这样的手段也是很需要的。如果文件分散在分区的多个位置，还需要根据文档的内部结构来重新组织文档，才能彻底恢复数据。
误格式化的原理也是非常类似，仅仅是快速格式化的时候，并没有覆盖原来的数据，所以可以恢复。

上面讲的我也不是全部懂， 贡献详细带图的文件， 送给有兴趣的朋友研究。

尽管Ghost的硬盘备份与恢复功能非常方便，但在用它恢复系统时一旦*作失误，后果将非常严重，最常见的错误是本来应该进行分区恢复的，结果却恢复了整个硬盘，造成硬盘逻辑分区资料丢失。前些日子我就有过这样的遭遇，但经过认真分析和*作，成功恢复了D盘、E盘和F盘的全部资料。现将此过程写出，供大家借鉴！

　　 不小心造成误*作

　　 恢复主分区备份时，应选择“Local→Partition→From Image”（本地→分区→从映像文件），误*作为“Local→Disk→From Image”（本地→硬盘→从映像文件）。因为我备份的是主分区数据，而D、E、F盘有许多日常工作资料，没有备份。误*作后整个硬盘只剩下一个C盘，D盘、E盘、F盘全都不见了。

　　 恢复全程回放

　　 考虑到Ghost在恢复数据时有自动分区和格式化功能，但通过我的实际经验，觉得它只是改变了启动扇区的数据，而实际数据应该还在，于是就开始了恢复过程。

　　 第一步:备份分区表

　　 找一块和原硬盘大小、分区一模一样的硬盘，以及江民KV3000的密钥盘，然后用该盘启动电脑，接着在DOS下用KV3000/B命令备份这块硬盘分区表的数据到A盘上的hdpt.dat文件(会提示你保存到另一张软盘上)。

小提示
★KV3000和/B之间不要加空格，否则会进入硬盘修复程序。
★如果使用的江民杀毒2003版本，请使用密钥盘中的JMHDFIX代替KV3000即可，其余参数不变。

　　 第二步:恢复分区表

　　 用上述启动盘启动被误*作要恢复数据的电脑，在DOS下用KV3000/hdpt.dat命令恢复分区表，重启，C盘被克隆的Windows 98照样运行，而丢失的D、E、F盘全都回来了，而且数据100%的恢复。

　　 第三步:追缴C盘数据

　　 恢复主分区后，C盘中有一些新存的数据也想恢复，怎么办呢？我在网上找到了在Windows下可恢复数据的软件Easy Recovery 5.1（Pro），它有恢复磁盘格式化（DISKFOMAT）的功能。一用还真不错，许多删除的数据全都找回来了，而且原来删除掉没被覆盖的数据都能恢复。

总结教训

　　 1.备份好分区表

　　 有了这次经历，感悟颇深，首先在使用新电脑或新分区后，要备份分区表。以防分区表被各种形式破坏后（如病毒等的破坏），可以用上面的方法恢复。

　　 2.资料不要放在C盘

　　 存储数据最好放在D、E、F盘中，不要放在C盘及桌面上。否则出现灾难后，将很难恢复。

　　 3.通过命令安全备份/恢复

　　 可把Ghost.exe拷贝到D盘根目录下（要注意，一定要使用Ghost 2001或先前版本，否则以下命令中某些参数不被支持），然后在D:\下生成一个名为backup.bat的命令，内容如下:

@echo off
Ghost.exe -clone,mode=pdump,src=1:1,dst=d:\win98.gho -z9 -sure
再在D:\下建立一个名为rest.bat的批处理文件，输入如下内容:
@echo off
Ghost.exe -clone,mode=pload,src=d:\win98.win98.gho:1,dst=1:1 -sure -rb

这样，只要用Windows 98启动盘启动电脑到DOS状态，切换到D盘根目录，输入backup能备份系统，而输入rest可以恢复系统，避免进入Ghost误*作而引起不必要的麻烦。

小提示

　　 另外，通过一张软盘也可以打造一张超级自动备份/恢复盘，具体实现方法，可以参见本刊2003年第3期第20页上《一张软盘同时搞惦系统备份与恢复》一文。

硬盘分区表及数据的恢复
现在的硬盘容量越来越大、传输越来越快，价格也越来越便宜，可是在安全性与可靠性却没有多大的改进，说不定它哪天突然告诉您硬盘上有坏道，您保存上硬盘上的数据也“一命呜呼”了，更不用谈误删除、误格式化等错误*作和病毒所造成的损害了。因此，数据的备份与恢复就显得尤为重要了。
一、硬盘分区表及数据的恢复
　　 对于电脑无法检测到硬盘的情况，首先要检查以下几点：硬盘驱动器与硬盘控制器的连线是否正常；硬盘驱动器电源线是否正常；如果存在多个设备则需检查硬盘之间或CDROM等设备之间是否存在冲突，或者是设备之间的主从关系不匹配；检查CMOS中的硬盘信息是否正确无误。若能正常动作则说明故障与硬盘无关，否则，可能您的硬盘已经遭到破坏。
　　 硬盘的重要配置信息，比如主引导记录和FAT表可能被病毒破坏，也可能是由于突然断电或非正常关机造成数据丢失。若系统不能从硬盘启动，而可以从软盘启动，那么在从软盘启动后，可以试着访问硬盘，如果能够访问硬盘，说明很可能只是*作系统被破坏，可以通过重装*作系统来解决，或者直接将该硬盘接到其它计算机上把数据备份出来。如果不能访问硬盘，那么可能是主引导区或可引导分区的引导区被破坏，这时我们可以用DEBUG等工具软件查看硬盘的主引导区是否正常，或者用Fdisk/mbr命令重建主分区表的代码区，如果硬盘存在引导型病毒，该命令还可以将病毒清除。如果还是无法访问主引导区，则可能是硬盘有了硬件故障，不是用软件方法可以轻易修复的。
　　 需要注意的是，再强有力的恢复工具也不能保证百分之百地恢复所的数据。因此，经常备份数据不仅是一个好习惯，而且对数据安全也非常有必要。另外，经常使用反病毒软件也是一种非常好的措施，并且要时常更新病毒数据库以便对付最新的病毒。下面要给大家介绍的就是利用现在比较流行的杀毒软件——KV3000来修复磁盘数据。
1.备份正确的硬盘主引导信息
　　 在硬盘还能够启动时，我们应该备份硬盘主引导信息，以防不测。
　　 命令格式如下：
　　 KV3000/B；KV3000/HDPT.DAT
　　 该命令将向A盘备份一个无病毒的硬盘主引导信息文件，名称分别为HDPT.DAT和HFBOOT.DAT。当硬盘主引导信息被病毒破坏或主引导记录损坏，导致硬盘不能启动时，再使用“KV3000/A:\HDPT.DAT”命令格式恢复至已经被破坏的硬盘中，可解决大部分主引导信息损坏、系统不能启动的现象。
2.修复硬盘主引导信息
　　 用软盘引导系统后，再执行KV3000，按下F6键，就可查看已经不能引导的硬盘隐含扇区，即查看硬盘0盘0柱1扇区引导信息是否正常。主引导信息是硬盘引导的起点，比较重要的是两个标志，即80H和55AA。80H一般在偏移1BE处，80是分区激活的标志，表示系统可引导，且整个分区表只能有一个80H标记；另一个就是结尾的55AA标记，用来表示主引导信息是一个有效的记录。另外，各个分区自身的引导信息，也是以55A结束。如果在硬盘的0面0柱1扇区没有找到关键代码，那么硬盘本身将不能自引导，即使用软盘引导后也不能进入硬盘。可在硬盘的隐含扇区内查找，找到后，系统会自动在表中出现闪动的红色“80”和“55AA”，并响一声来提示您，屏幕下方会提示“F9＝Save To Side 0Cylinder 0 Sector 1!!!”。这时，按下“F9”键，就可将刚找到的原硬盘主引导信息覆盖到硬盘0面0柱1扇区中，然后，计算机会重新引导硬盘，恢复硬盘的启动性能，在软盘引导后也能进入硬盘。
3.快速重建硬盘分区表
　　 由于病毒的破坏或*作上的失误，致使硬盘主引导记录和分区表损坏，硬盘不能引导或软盘引导也不能进入硬盘时，如果先用KV3000/B的命令在软盘上备份过主引导记录，这时可用KV3000/HDPT.DAT命令再恢复硬盘主引导记录。如果先前没有备份过硬盘主引导信息，这时只有用KV3000的快速重建硬盘分区表的功能试一试。
　　 软盘引导系统后，执行KV3000，按下“F10”键，就可对系统的有关参数和硬盘分区表快速测试，如果硬盘分区表不正常，KV3000会提示您先将坏分区表保存到软盘上，以防*作失败，再自动重建硬盘分区表，使硬盘起死回生。
　　 如果硬盘只有一个分区（现在恐怕已不多见了），而且文件分配表（FAT表）、文件根目录表（ROOT表）已被病毒严重破坏，那么即使恢复了C盘分区表，也不能使C盘引导，需手工配合其它专用修复软件来恢复数据。但如果还有D、E等扩展分区，一般情况下，KV3000能找回后面没有被破坏的分区，重建一个新的硬盘主分区表，然后再用DOS系统软盘引导计算机后，就可进入硬盘的D、E等分区。
4.恢复硬盘数据
　　 由于主分区（C:）上的目录区及FAT文件分配表的数据可能部分或全部被损坏，虽然文件的信息未被完全破坏，但是要完整地恢复如初是比较困难的。使用Norton NDD等软件可以尝试性地恢复文件数据的链接，但是不可能完全恢复回来，即数据不可能被完全组成有意义的文件。修复后如果目录区及FAT文件分配表的数据未被完全损坏，则一些文件将被完全拯救，另外一些被找回的文件可能文件名丢失或被组合成一个大文件。

对了，你的签名里有错字哦~~~

还有个问题
上次**作失误，把一个盘格式化了
之后用easyrecover恢复，文件是找回来了
但是很多excel和word都打不开了
修复也没用
还好那些文件有备份，如果没有就惨了
遇到这种情况还有什么方法恢复呢？

引用:

Originally posted by BlueElf at 2005-6-29 02:33 PM:
还有个问题
上次**作失误，把一个盘格式化了
之后用easyrecover恢复，文件是找回来了
但是很多excel和word都打不开了
修复也没用
还好那些文件有备份，如果没有就惨了
遇到这种情况还有什么方法恢复呢？

不好意思，来晚了。
偶上次碰到你这个问题的时候， 也是用的easyrecover，先恢复，然后用修复。由于不是自己的excel，所以我只能看到文档里面有资料，却不知道是否齐全。你可以自己试一下。

如何恢复硬盘中误删数据?拯救硬盘的十大绝招放送

每个用户的硬盘中都存放着大量的有用数据，而硬盘又是一个易出毛病的部件。为了有效的保存硬盘中的数据，除了有效的保存硬盘中的数据，备份工作以外，还要学会在硬盘出现故障时如何救活硬盘，或者提取其中的有用数据，把损失降到最小程度。

1、系统不承认硬盘
此类故障比较常见，即从硬盘无法启动，从A盘启动也无法进入C盘，使用CMOS中的自动监测功能也无法发现硬盘的存在。这种故障大都出现在连接电缆或IDE口端口上，硬盘本身的故障率很少，可通过重新插拔硬盘电缆或者改换IDE口及电缆等进行替换试验，可很快发现故障的所在。如果新接上的硬盘不承认，还有一个常见的原因就是硬盘上的主从条线，如果硬盘接在IDE的主盘位置，则硬盘必须跳为主盘状，跳线错误一般无法检测到硬盘。

2、CMOS引起的故障
CMOS的正确与否直接影响硬盘的正常使用，这里主要指其中的硬盘类型。好在现在的机器都支持"IDE auto detect"的功能，可自动检测硬盘的类型。当连接新的硬盘或者更换新的硬盘后都要通过此功能重新进行设置类型。当然，现在有的类型的主板可自动识别硬盘的类型。当硬盘类型错误时，有时干脆无法启动系统，有时能够启动，但会发生读写错误。比如CMOS中的硬盘类型小于实际的硬盘容量，则硬盘后面的扇区将无法读写，如果是多分区状态则个别分区将丢失。还有一个重要的故障原因，由于目前的IDE都支持逻辑参数类型，硬盘可采用Normal、LBA、Large等。如果在一般的模式下安装了数据，而又在CMOS中改为其他的模式，则会发生硬盘的读写错误故障，因为其物理地质的映射关系已经改变，将无法读取原来的正确硬盘位置。

3、主引导程序引起的启动故障
硬盘的主引导扇区是硬盘中的最为敏感的一个部件，其中的主引导程序是它的一部分，此段程序主要用于检测硬盘分区的正确性，并确定活动分区，负责把引导权移交给活动分区的DOS或其他*作系统。此段程序损坏将无法从硬盘引导，但从软区或光区之后可对硬盘进行读写。修复此故障的方法较为简单，使用高版本DOS的fdisk最为方便，当带参数/mbr运行时，将直接更换(重写)硬盘的主引导程序。实际上硬盘的主引导扇区正是此程序建立的，fdisk。exe之中包含有完整的硬盘主引导程序。虽然DOS版本不断更新，但硬盘的主引导程序一直没有变化，从DOS 3。x到目前有winDOS 95的DOS，所以只要找到一种DOS引导盘启动系统并运行此程序即可修复。另外，像kv300等其他工具软件也具有此功能。

4、分区表错误引导的启动故障
分区表错误是硬盘的严重错误，不同错误的程度会造成不同的损失。如果是没有活动分区标志，则计算机无法启动。但从软区或光区引导系统后可对硬盘读写，可通过fdisk重置活动分区进行修复。如果是某一分区类型错误，可造成某一分区的丢失。分区表的第四个字节为分区类型值，正常的可引导的大于32mb的基本DOS分区值为06，而扩展的DOS分区值是05。如果把基本DOS分区类型改为05则无法启动系统，并且不能读写其中的数据。如果把06改为DOS不识别的类型如efh，则DOS认为改分区不是DOS分区，当然无法读写。很多人利用此类型值实现单个分区的加密技术，恢复原来的正确类型值即可使该分区恢复正常。分区表中还有其他数据用于纪录分区的起始或终止地址。这些数据的损坏将造成该分区的混乱或丢失，一般无法进行手工恢复，唯一的方法是用备份的分区表数据重新写回，或者从其他的相同类型的并且分区状况相同的硬盘上获取分区表数据，否则将导致其他的数据永久的丢失。在对主引导扇区进行*作时，可采用nu等工具软件，*作非常的方便，可直接对硬盘主引导扇区进行读写或编辑。当然也可采用debug进行*作，但*作繁琐并且具有一定的风险。

5、分区有效标志错误引起的硬盘故障
在硬盘主引导扇区中还存在一个重要的部分，那就是其最后的两个字节:55aah，此字为扇区的有效标志。当从硬盘，软盘或光区启动时，将检测这两个字节，如果存在则认为有硬盘存在，否则将不承认硬盘。此标志时从硬盘启动将转入rom basic或提示放入软盘。从软盘启动时无法转入硬盘。此处可用于整个硬盘的加密技术。可采用debug方法进行恢复处理。另外，DOS引导扇区仍有这样的标志存在，当DOS引导扇区无引导标志时，系统启动将显示为:"missing operating system"。其修复的方法可采用的主引导扇区修复方法，只是地址不同，更方便的方法是使用下面的DOS系统通用的修复方法。

6、DOS引导系统引起的启动故障
DOS引导系统主要由DOS引导扇区和DOS系统文件组成。系统文件主要包括iosys、msdos.sys、command.com，其中command.com是DOS的外壳文件，可用其他的同类文件替换，但缺省状态下是DOS启动的必备文件。在Windows 95携带的DOS系统中，msdos.sys是一个文本文件，是启动windows必须的文件。但只启动DOS时可不用此文件。但DOS引导出错时，可从软盘或光盘引导系统，之后使用sys c:传送系统即可修复故障，包括引导扇区及系统文件都可自动修复到正常状态。

7、FAT表引起的读写故障
fat表纪录着硬盘数据的存储地址，每一个文件都有一组连接的fat链指定其存放的簇地址。fat表的损坏意味着文件内容的丢失。庆幸的是DOS系统本身提供了两个fat表，如果目前使用的fat表损坏，可用第二个进行覆盖修复。但由于不同规格的磁盘其fat表的长度及第二个fat表的地址也是不固定的，所以修复时必须正确查找其正确位置，由一些工具软件如nu等本身具有这样的修复功能，使用也非常的方便。采用debug也可实现这种*作，即采用其m命令把第二个fat表移到第一个表处即可。如果第二个fat表也损坏了，则也无法把硬盘恢复到原来的状态，但文件的数据仍然存放在硬盘的数据区中，可采用chkdsk或scandisk命令进行修复，最终得到*。chk文件，这便是丢失fat链的扇区数据。如果是文本文件则可从中提取并可合并完整的文件，如果是二进制的数据文件，则很难恢复出完整的文件。


8、目录表损坏引起的引导故障
目录表纪录着硬盘中文件的文件名等数据，其中最重要的一项是该文件的起始簇号，目录表由于没有自动备份功能，所以如果目录损坏将丢失大量的文件。一种减少损失的方法也是采用上面的chkdsk或scandisk程序的方法，从硬盘中搜索出chk文件，由目录表损坏时是首簇号丢失，在fat为损坏的情况下所形成的chk文件一般都比较完整的文件数据，每一个chk文件即是一个完整的文件，把其改为原来的名字可恢复大多数文件。

9、误删除分区时数据的恢复
当用fdisk删除了硬盘分区之后，表面现象是硬盘中的数据已经完全消失，在未格式化时进入硬盘会显示无效驱动器。如果了解fdisk的工作原理，就会知道，fdisk只是重新改写了硬盘的主引导扇区(0面0道1扇区)中的内容。具体说就是删除了硬盘分区表信息，而硬盘中的任何分区的数据均没有改变，可仿造上述的分区表错误的修复方法，即想办法恢复分区表数据即可恢复原来的分区即数据，但这只限于除分区或重建分区之后。如果已经对分区用format格式化，在先恢复分区后，在按下面的方法恢复分区数据。

10、误格式化硬盘数据的恢复
在DOS高版本状态下，格式化*作format在缺省状态下都建立了用于恢复格式化的磁盘信息，实际上是把磁盘的DOS引导扇区，fat分区表及目录表的所有内容复制到了磁盘的最后几个扇区中(因为后面的扇区很少使用)，而数据区中的内容根本没有改变。这样通过运行"unformat c:"即可恢复原来的文件分配表及目录表，从而完成硬盘信息的恢复。另外DOS还提供了一个miror命令用于纪录当前的磁盘的信息，供格式化或删除之后的恢复使用，此方法也比较有效。

注: 本贴为转贴,有意者可以试用,但本人不保证数据可以完全恢复.还是那句话: 如果数据对你或者公司很重要,请直接拿到专业的数据恢复公司好了.

再注: 欢迎大家把自己的实际经验共享!

格式化后的硬盘其实只需要恢复FAT FDT 文件就出来了..用一些数据恢复软件,如果出现计算错误的话,恢复出来的文件不是乱码就是打不开..
而这时手动恢复基本上能恢复..只要硬盘没有在次写入数据..这就需要专业知识了.

学习了。

引用:

Originally posted by 网颠 at 2005-10-21 05:39 PM:
格式化后的硬盘其实只需要恢复FAT FDT 文件就出来了..用一些数据恢复软件,如果出现计算错误的话,恢复出来的文件不是乱码就是打不开..
而这时手动恢复基本上能恢复..只要硬盘没有在次写入数据..这就需要专业知 ...

大多都是乱码，要不就是文件名是对了，打开却是空白的....
怎么手动恢复？

手动恢复说起来简单,实际上涉及很多理论.

硬盘存储数据是根据电、磁转换原理实现的。硬盘由一个或几个表面镀有磁性物质的金属或玻璃等物质盘片以及盘片两面所安装的磁头和相应的控制电路组成(图1)，其中盘片和磁头密封在无尘的金属壳中。
硬盘工作时，盘片以设计转速高速旋转，设置在盘片表面的磁头则在电路控制下径向移动到指定位置然后将数据存储或读取出来。当系统向硬盘写入数据时，磁头中“写数据”电流产生磁场使盘片表面磁性物质状态发生改变，并在写电流磁场消失后仍能保持，这样数据就存储下来了；当系统从硬盘中读数据时，磁头经过盘片指定区域，盘片表面磁场使磁头产生感应电流或线圈阻抗产生变化，经相关电路处理后还原成数据。因此只要能将盘片表面处理得更平滑、磁头设计得更精密以及尽量提高盘片旋转速度，就能造出容量更大、读写数据速度更快的硬盘。这是因为盘片表面处理越平、转速越快就能越使磁头离盘片表面越近，提高读、写灵敏度和速度；磁头设计越小越精密就能使磁头在盘片上占用空间越小，使磁头在一张盘片上建立更多的磁道以存储更多的数据。

二、硬盘的逻辑结构。
硬盘由很多盘片(platter)组成，每个盘片的每个面都有一个读写磁头。如果有N个盘片。就有2N个面，对应2N个磁头(Heads)，从0、1、2开始编号。每个盘片被划分成若干个同心圆磁道(逻辑上的，是不可见的。)每个盘片的划分规则通常是一样的。这样每个盘片的半径均为固定值R的同心圆再逻辑上形成了一个以电机主轴为轴的柱面(Cylinders)，从外至里编号为0、1、2……每个盘片上的每个磁道又被划分为几十个扇区(Sector)，通常的容量是512byte，并按照一定规则编号为1、2、3……形成Cylinders×Heads×Sector个扇区。这三个参数即是硬盘的物理参数。我们下面的很多实践需要深刻理解这三个参数的意义。

三、磁盘引导原理。

3.1 MBR(master boot record)扇区：
计算机在按下power键以后，开始执行主板bios程序。进行完一系列检测和配置以后。开始按bios中设定的系统引导顺序引导系统。假定现在是硬盘。Bios执行完自己的程序后如何把执行权交给硬盘呢。交给硬盘后又执行存储在哪里的程序呢。其实，称为mbr的一段代码起着举足轻重的作用。MBR(master boot record),即主引导记录，有时也称主引导扇区。位于整个硬盘的0柱面0磁头1扇区(可以看作是硬盘的第一个扇区)，bios在执行自己固有的程序以后就会jump到mbr中的第一条指令。将系统的控制权交由mbr来执行。在总共512byte的主引导记录中，MBR的引导程序占了其中的前446个字节(偏移0H~偏移1BDH)，随后的64个字节(偏移1BEH~偏移1FDH)为DPT(Disk PartitionTable，硬盘分区表)，最后的两个字节“55 AA”(偏移1FEH~偏移1FFH)是分区有效结束标志。
MBR不随*作系统的不同而不同，意即不同的*作系统可能会存在相同的MBR，即使不同，MBR也不会夹带*作系统的性质。具有公共引导的特性。
我们来分析一段mbr。下面是用winhex查看的一块希捷120GB硬盘的mbr。


更多内容:http://www.sjhf.net/Article/sjhfdoc/200404/1.html
http://www.sjhf.net/Article/sjhfdoc/200404/2.html
http://www.sjhf.net/Article/sjhfdoc/200404/3.html

[ Last edited by 网颠 on 2005-10-26 at 14:38 ]

很好的啊帖子啊啊啊！

好全面的帖子啊
感谢楼主,很有收获啊!

thanks