使用KV3000修复王修复硬盘数据(POLYBOOT病毒发作后的解决方法)

今天，两位先生搬着一台联想主机来到江民公司希望恢复数据。经了解，该用户是专程从河北来北京找到江民公司恢复数据的，这台机器存储着该单位近三年的火灾情况报告。用户报告：刚开机还能正常启动，但是重新启动后却出现以下提示：DISK BOOT FAILURE,INSERT SYSTEM DISK AND PRESS ENTER。使用系统软盘可以启动，而用软盘启动发现原来的两个分区C和D都不见了。

　　了解了上述情况，开始对机器进行进一步的检查，判断问题出现的原因。

　　开机后，进入BIOS检测硬盘，发现参数正常：是一块41G的硬盘，说明问题可能出在分区表上。再用软盘启动执行KV3000，用F6功能查看硬盘的分区信息，发现主引导扇区0扇区明显被覆盖过，并非正常的主引导信息，再翻到63扇区，发现有（局部）

　　EB58904D 5357494E 342E3100 02102000 02000000 00F80000
　　　　　　　　　　　　　　　　　　I
　　3F00FF00 3F000000 326F1C03 DC270000 00000000 02000000
　　　　　　　　　　　　　II　　III

　　经分析是一份完整的I/O表，但需判别其准确性：

　　（1）由I处的"2000"经调位后为"0020" （十六进制），再将其转换成十进制为32，说明第一份FAT表的起始位置在63+32=95扇区，下面用F3功能，直接翻到95扇区，及翻阅其后扇区，判断它是一份FAT表，且基本正常。

　　（2）由III处的"DC27"经调位后为"27DC"（十六进制）将其转换成十进制为"10204"，它表示一份FAT表的长度，因FAT表有两份，所以由10204*2+95=20503可知20503扇区应为目录区的起始扇区，再用F3翻到此扇区，分析其确为目录区。

　　（3）再由II处的"326F1C03"经同样方法计算可得C盘的总扇区数应为52195122扇区，则D盘的起始扇区就应该是52195122+63=52195185扇区。直接翻至该扇区发现确有一分区表为：

　　　　　　　　　　　　　　　　　0001 010C0CFE FF8C3F00
　　000000A8 AE010000

　　经查找这个分区的I/O表及FAT表和目录区确认这就是原来的D分区（方法与以上基本相同）。

　　通过以上分析，基本可以判定该硬盘分区丢失的原因就是主引导记录被覆盖所致。翻阅前63个隐含扇区时，发现61扇区为：

　　　　　　　　　　　　　　　　　　　　　　　　　　　8001 01000CFE 3F0C3F00
　　　　　　　0000326F 1C030000 010C0FFE FF8C716F 1C033FA8 AE010000
　　　　　　　　　　　IV

　　该扇区就是硬盘主引导记录0扇区的备份，因为它有很明显的两个关键字"80"和"55AA"，而且如果主引导区的IV处表示的C盘的总扇区数，正好和63扇区（引导区）的II处相吻合。

　　常见的引导型病毒POLYBOOT发作后会将主引导区即0扇区搬家移位至61扇区，并用一个错误的引导区或是乱码来覆盖0扇区，这样就会使硬盘所有的分区及数据丢失，所以通常情况只需用KV3000的硬盘修复功能将61扇区写回到0扇区就可恢复整个硬盘分区及数据。

　　通过以上分析结果，把61扇区写回0扇区。方法是翻到61扇区，按下F9功能键，这时KV3000会提示是否要把该扇区写到0扇区，此时按下Y键，机器会自动重启，依然用软盘启动，查看C和D两个分区时，发现数据已经恢复。现在再执行KV3000/K命令来彻底清除引导区病毒，这时发现确有这种POLYBOOT（WYX）病毒。

　　整个恢复过程需要熟练掌握KV3000的修复王的使用，要准确地判断正确的主引导信息。上述这种因POLYBOOT发作所致的情况用KV3000的F10功能键也可自动进行修复。如果能掌握整个的分析过程，当然手动计算来重建0扇区的内容也可以把数据完整的找回来，这样即使没有备份也不用怕了！

　　修复了用户宝贵数据，为用户挽回了巨大的损失，用户非常满意。实际上KV3000救护王的硬盘修复功能是十分强大的，在实际工作中灵活运用，可以达到很好的效果。

分区表修复方法.txt始终相信，这世间，相爱的原因有很多，但分开的理由只有一个--爱的还不够。人生有四个存折：健康情感事业和金钱。如果健康消失了，其他的存折都会过期。现在的硬盘容量越来越大、传输越来越快，价格也越来越便宜，可是在安全性与可靠性却没有多大的改进，说不定它哪天突然告诉您硬盘上有坏道，您保存上硬盘上的数据也“一命呜呼”了，更不用谈误删除、误格式化等错误操作和病毒所造成的损害了。因此，数据的备份与恢复就显得尤为重要了。

一、硬盘分区表及数据的恢复

对于电脑无法检测到硬盘的情况，首先要检查以下几点：硬盘驱动器与硬盘控制器的连线是否正常；硬盘驱动器电源线是否正常；如果存在多个设备则需检查硬盘之间或CDROM等设备之间是否存在冲突，或者是设备之间的主从关系不匹配；检查CMOS中的硬盘信息是否正确无误。若能正常动作则说明故障与硬盘无关，否则，可能您的硬盘已经遭到破坏。

硬盘的重要配置信息，比如主引导记录和FAT表可能被病毒破坏，也可能是由于突然断电或非正常关机造成数据丢失。若系统不能从硬盘启动，而可以从软盘启动，那么在从软盘启动后，可以试着访问硬盘，如果能够访问硬盘，说明很可能只是操作系统被破坏，可以通过重装操作系统来解决，或者直接将该硬盘接到其它计算机上把数据备份出来。如果不能访问硬盘，那么可能是主引导区或可引导分区的引导区被破坏，这时我们可以用DEBUG等工具软件查看硬盘的主引导区是否正常，或者用Fdisk/mbr命令重建主分区表的代码区，如果硬盘存在引导型病毒，该命令还可以将病毒清除。如果还是无法访问主引导区，则可能是硬盘有了硬件故障，不是用软件方法可以轻易修复的。

需要注意的是，再强有力的恢复工具也不能保证百分之百地恢复所的数据。因此，经常备份数据不仅是一个好习惯，而且对数据安全也非常有必要。另外，经常使用反病毒软件也是一种非常好的措施，并且要时常更新病毒数据库以便对付最新的病毒。下面要给大家介绍的就是利用现在比较流行的杀毒软件——KV3000来修复磁盘数据。

1.备份正确的硬盘主引导信息

在硬盘还能够启动时，我们应该备份硬盘主引导信息，以防不测。

命令格式如下：

KV3000/B；KV3000/HDPT.DAT

该命令将向A盘备份一个无病毒的硬盘主引导信息文件，名称分别为HDPT.DAT和HFBOOT.DAT。当硬盘主引导信息被病毒破坏或主引导记录损坏，导致硬盘不能启动时，再使用“KV3000/A:\\HDPT.DAT”命令格式恢复至已经被破坏的硬盘中，可解决大部分主引导信息损坏、系统不能启动的现象。

2.修复硬盘主引导信息

用软盘引导系统后，再执行KV3000，按下F6键，就可查看已经不能引导的硬盘隐含扇区，即查看硬盘0盘0柱1扇区引导信息是否正常。主引导信息是硬盘引导的起点，比较重要的是两个标志，即80H和55AA。80H一般在偏移1BE处，80是分区激活的标志，表示系统可引导，且整个分区表只能有一个80H标记；另一个就是结尾的55AA标记，用来表示主引导信息是一个有效的记录。另外，各个分区自身的引导信息，也是以55A结束。如果在硬盘的0面0柱1扇区没有找到关键代码，那么硬盘本身将不能自引导，即使用软盘引导后也不能进入硬盘。可在硬盘的隐含扇区内查找，找到后，系统会自动在表中出现闪动的红色“80”和“55AA”，并响一声来提示您，屏幕下方会提示“F9＝Save To Side 0Cylinder 0 Sector 1!!!”。这时，按下“F9”键，就可将刚找到的原硬盘主引导信息覆盖到硬盘0面0柱1扇区中，然后，计算机会重新引导硬盘，恢复硬盘的启动性能，在软盘引导后也能进入硬盘。

3.快速重建硬盘分区表

由于病毒的破坏或操作上的失误，致使硬盘主引导记录和分区表损坏，硬盘不能引导或软盘引导也不能进入硬盘时，如果先用KV3000/B的命令在软盘上备份过主引导记录，这时可用KV3000/HDPT.DAT命令再恢复硬盘主引导记录。如果先前没有备份过硬盘主引导信息，这时只有用KV3000的快速重建硬盘分区表的功能试一试。

软盘引导系统后，执行KV3000，按下“F10”键，就可对系统的有关参数和硬盘分区表快速测试，如果硬盘分区表不正常，KV3000会提示您先将坏分区表保存到软盘上，以防操作失败，再自动重建硬盘分区表，使硬盘起死回生。

如果硬盘只有一个分区（现在恐怕已不多见了），而且文件分配表（FAT表）、文件根目录表（ROOT表）已被病毒严重破坏，那么即使恢复了C盘分区表，也不能使C盘引导，需手工配合其它专用修复软件来恢复数据。但如果还有D、E等扩展分区，一般情况下，KV3000能找回后面没有被破坏的分区，重建一个新的硬盘主分区表，然后再用DOS系统软盘引导计算机后，就可进入硬盘的D、E等分区。

4.恢复硬盘数据

由于主分区（C:）上的目录区及FAT文件分配表的数据可能部分或全部被损坏，虽然文件的信息未被完全破坏，但是要完整地恢复如初是比较困难的。使用Norton NDD等软件可以尝试性地恢复文件数据的链接，但是不可能完全恢复回来，即数据不可能被完全组成有意义的文件。修复后如果目录区及FAT文件分配表的数据未被完全损坏，则一些文件将被完全拯救，另外一些被找回的文件可能文件名丢失或被组合成一个大文件。

零磁道处于硬盘上一个非常重要的位置，硬盘的主引导记录区（MBR）就在这个位置上。MBR位于硬盘的0磁道0柱面1扇区，其中存放着硬盘主引导程序和硬盘分区表。在总共512字节的硬盘主引导记录扇区中，446字节属于硬盘主引导程序，64字节属于硬盘分区表（DPT），两个字节（55AA）属于分区结束标志。由此可见，零磁道一旦受损，将使硬盘的主引导程序和分区表信息遭到严重破坏，从而导致硬盘无法自举。

零磁道损坏属于硬盘坏道之一，只不过由于它的位置太重要，因而一旦遭到破坏，就会产生严重的后果。

通常的维修方法是通过Pctools9.0的DE（磁盘编辑器）来修复（或者类似的可以对磁盘扇区进行编辑的工具也可以），其方法如下：

用Windows9x启动盘启动，插入含有Pctools9.0的光盘。运行PCT90目录下的de.exe，先进入“Options”菜单，选“Configuration”（配置）命令，按下“空格”键去掉ReadOnly（只读）前面的勾（按Tab键切换），之后，保存退出。

接着选择并执行主菜单“Select”（选择）中的Drive（驱动器），进去之后在“Drivetype”（驱动器类型）项中，选择Physical（物理的），并按空格选定，再按“Tab”键切换到“Drives”项，选中“Harddisk”（硬盘），最后，选择“OK”并回车。

之后，回到主菜单中，打开“Select”菜单，这时会出现PartitionTable（分区表），选中并进入，之后出现硬盘分区表信息。如果硬盘有两个分区，l分区就是C盘，该分区是从硬盘的0柱面开始的，那么，将1分区的BeginningCylinder（起始柱面）的0改成1就可以了。保存后退出。

要注意的是，在修改之前先将硬盘上的重要资料备份出来。重新启动，按Delete键进入回CMOS设置，选“IDEAUTODETECT”，可以看到CYLS数比原来减少了1，之后，保存设置并退出。重新分区、格式化，即可救活硬盘。

需要注意的是：由于DE工具仅对FAT16分区的硬盘有效，因此，对于FAT32分区的硬盘来说，可以通过分区大师（PQ）等磁盘工具，将FAR32转换为FAT16，然后再对其进行处理。

另外，有人还探索出了通过修改硬盘电机定位系统来改变零磁道位置和通过电路调整来改变磁头的分配逻辑，以达到重新定位零磁道的目的。当然这需要更深厚的硬件水平，实现起来也比较复杂。

分区表损坏的修复

硬盘主引导记录所在的扇区也是病毒重点攻击的地方，通过破坏主引导扇区中的DPT（分区表），即可轻易地损毁硬盘分区信息。分区表的损坏通常来说不是物理损坏，而是分区数据被破坏。因此，通常情况下，可以用软件来修复。

通常情况下，硬盘分区之后，备份一份分区表至软盘、光盘或者USB盘上是极为明智的。这个方面，国内著名的杀毒软件KV3000系列和瑞星都提供了完整的解决方案。另外，对于没有备份分区表的硬盘，也提供了相应的修复方法，不过成功率相对较低。

另外，中文磁盘工具DiskMan在这方面也是行家里手。重建分区表作为它的一个“杀手锏”功能，非常适合用来修复分区表损坏。

对于硬盘分区表被分区调整软件（或病毒）严重破坏，引起硬盘和系统瘫痪，DiskMan可通过未被破坏的分区引导记录信息重新建立分区表。在菜单的工具栏中选择“重建分区表”，DiskMan即开始搜索并重建分区。DiskMan将首先搜索0柱面0磁头从2扇区开始的隐含扇区，寻找被病毒挪动过的分区表。接下来搜索每个磁头的第一个扇区。搜索过程可以采用“自动”或“交互”两种方式进行。自动方式保留发现的每一个分区，适用于大多数情况。交互方式对发现的每一个分区都给出提示，由用户选择是否保留。当自动方式重建的分区表不正确时，可以采用交互方式重新搜索。

但是，需要注意的是，重建分区表功能不能做到百分之百的修复分区表，除非你以前曾经备份过分区表，然后通过还原以前备份的分区表来修复分区表损坏。因此可见，平时备份一份分区表是多么的必要！

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。