① 讀出主引導(dǎo)記錄:蘭州移動硬盤數(shù)據(jù)恢復(fù)系統(tǒng)級數(shù)據(jù)恢復(fù)可能涉及最多的程序之一�。例:
DEBUG
-a100 ���;從此處開始匯編
126C:0100 mov ax,201�; 讀操作一個扇區(qū)
126C:0103 mov bx,300; 送入地址300
126C:0106 mov cx,1 �����;0面1扇
126C:0109 mov dx,80 �����;80H為硬盤��,頭為0
126C:010C int 13
126C:010E int 3
126C:010F
-g=100 ���;
執(zhí)行
AX=0050 BX=0300 CX=0001 DX=0080 SP=FFEE BP=0000 SI=0000 DI=0000 DS=126C ES=126C SS=126C CS=126C IP=010E NV UP EI PL NZ NA PO NC
這里用了I/O中斷13,涉及的寄存器含義為ah,操作方式�����,02H為讀����,03H為寫,al送扇區(qū)數(shù)�����,bx送準(zhǔn)備裝入扇區(qū)的內(nèi)存偏移地址,cx送從哪一道哪一扇區(qū)開始����,我們一般依靠改換CX來讀寫不同邏輯盤某個邏輯扇區(qū)。dx送盤符和頭數(shù)INT 3是斷點中斷�,使程序運行到此停止。
② 顯示引導(dǎo)區(qū)內(nèi)容:我們把扇區(qū)讀到某個內(nèi)存地址并不是目的��。而是為了看到他的內(nèi)容���,在DEBUG中D命令可以方便的查看內(nèi)存單元的內(nèi)容���。續(xù)前例,如果我們要看到主引導(dǎo)區(qū)的內(nèi)容的話��,既然裝載到300�����。-d300 l200就可以查看了����,一個引導(dǎo)區(qū)的映象類似如下�,可以直觀的看 到我們前面所提到的代碼區(qū)和數(shù)據(jù)區(qū)�����。是否正常請大家自行分析一下
126C:0300 33 C0 8E D0 BC 00 7C FB-50 07 50 1F FC BE 1B 7C 3.....|.P.P....|
126C:0310 BF 1B 06 50 57 B9 E5 01-F3 A4 CB BE BE 07 B1 04 ...PW...........
126C:0320 38 2C 7C 09 75 15 83 C6-10 E2 F5 CD 18 8B 14 8B 8,|.u...........
126C:0330 EE 83 C6 10 49 74 16 38-2C 74 F6 BE 10 07 4E AC ....It.8,t....N.
126C:0340 3C 00 74 FA BB 07 00 B4-0E CD 10 EB F2 89 46 25 <.t...........F%
126C:0350 96 8A 46 04 B4 06 3C 0E-74 11 B4 0B 3C 0C 74 05 ..F...<.t...<.t.
126C:0360 3A C4 75 2B 40 C6 46 25-06 75 24 BB AA 55 50 B4 :.u+@.F%.u$..UP.
126C:0370 41 CD 13 58 72 16 81 FB-55 AA 75 10 F6 C1 01 74 A..Xr...U.u....t
126C:0380 0B 8A E0 88 56 24 C7 06-A1 06 EB 1E 88 66 04 BF ....V$.......f..
126C:0390 0A 00 B8 01 02 8B DC 33-C9 83 FF 05 7F 03 8B 4E .......3.......N
126C:03A0 25 03 4E 02 CD 13 72 29-BE 46 07 81 3E FE 7D 55 %.N...r).F..>.}U
126C:03B0 AA 74 5A 83 EF 05 7F DA-85 F6 75 83 BE 27 07 EB .tZ.......u....
126C:03C0 8A 98 91 52 99 03 46 08-13 56 0A E8 12 00 5A EB ...R..F..V....Z.
126C:03D0 D5 4F 74 E4 33 C0 CD 13-EB B8 00 00 00 00 00 00 .Ot.3...........
126C:03E0 56 33 F6 56 56 52 50 06-53 51 BE 10 00 56 8B F4 V3.VVRP.SQ...V..
126C:03F0 50 52 B8 00 42 8A 56 24-CD 13 5A 58 8D 64 10 72 PR..B.V$..ZX.d.r
126C:0400 0A 40 75 01 42 80 C7 02-E2 F7 F8 5E C3 EB 74 49 .@u.B......^..tI
126C:0410 6E 76 61 6C 69 64 20 70-61 72 74 69 74 69 6F 6E nvalid partition
126C:0420 20 74 61 62 6C 65 00 45-72 72 6F 72 20 6C 6F 61 table.Error loa
126C:0430 64 69 6E 67 20 6F 70 65-72 61 74 69 6E 67 20 73 ding operating s
126C:0440 79 73 74 65 6D 00 4D 69-73 73 69 6E 67 20 6F 70 ystem.Missing op
126C:0450 65 72 61 74 69 6E 67 20-73 79 73 74 65 6D 00 00 erating system..
126C:0460 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:0470 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:0480 00 00 00 8B FC 1E 57 8B-F5 CB 00 00 00 00 00 00 ......W.........
126C:0490 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04B0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01 ................
126C:04C0 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00 00 00 ......?...~.....
126C:04D0 81 FD 0F FE FF FF BD 86-BB 00 E0 A9 75 00 00 00 ............u...
126C:04E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA ..............U.
③ 反匯編主引導(dǎo)區(qū)內(nèi)容:判定MBR的代碼區(qū)是否正常��,對于數(shù)據(jù)區(qū)的基本情況����,我們可以通過直觀觀察得出,但對于存在引導(dǎo)型病毒�,或者引導(dǎo)區(qū)出現(xiàn)異常代碼的情況,蘭州移動硬盤數(shù)據(jù)恢復(fù)可能需要分析MBR中代碼區(qū)的指令����。這一般要對已經(jīng)讀入內(nèi)存的引導(dǎo)區(qū)進(jìn)行反匯編��。反匯編用指令U���,續(xù)前例:
-u300 l15D ��;反匯編主引導(dǎo)扇區(qū)代碼區(qū)內(nèi)容
126C:0300 33C0 XOR AX,AX
126C:0302 8ED0 MOV SS,AX
126C:045C 65 DB 65
126C:045D 6D DB 6D
④ 寫內(nèi)存單元����,在我們的前例中,主分區(qū)類型是0B是FAT32的�,假定這個類型實際是NTFS的,我們該如何修改呢���?由于主分區(qū)類型的偏移是4C3H�����,我們可以用E命令寫到內(nèi)存單元中�����,從附表中查得NTFS的類型為07�。因此-e4c3 7再比如說�,假定我們想把無效的分區(qū)表清零,那么�,我們應(yīng)當(dāng)用另一個命令F,這個命令可以用填充一個內(nèi)存地址范圍�。清零分區(qū)表的操作就是-f4be 4ff 00,以下兩個操作也比較常見�����。
重置80標(biāo)記,-e4be 80
重置55AA標(biāo)記�����,-f4ff 4fe 55 aa
不要忘記了�����,此時僅僅是改動了內(nèi)存中的數(shù)據(jù)��,并未寫到硬盤上����。因此需要用int 13中斷把改寫的結(jié)果,寫回硬盤�。續(xù)前例,
-a100
126C:0100 mov ax,301 ���; 寫操作一個扇區(qū)
-g=100 ��;執(zhí)行
其實�����,我們相當(dāng)于修改了剛才輸入的讀主引導(dǎo)扇區(qū)程序,使程序變?yōu)椤?/p>
126C:0100 mov ax,301 ; 寫操作一個扇區(qū)
126C:0103 mov bx,300 ����;從內(nèi)存地址300
126C:0106 mov cx,1 ;0面1扇
126C:0109 mov dx,80 �;80H為硬盤,頭為0
126C:010C int 13
126C:010E int 3 ���;斷點
⑤ 絕對磁盤內(nèi)容的讀出與寫入
類似操作在FAT32結(jié)構(gòu)硬盤被CIH破壞的修復(fù)中比較常見���,我們后面將講到恢復(fù)的基本思路就是用第二FAT表覆蓋第一FAT表。那么無疑要讀出第二FAT表的內(nèi)容�,再回寫到第一FAT表的位置上。一般的來說�����,蘭州移動硬盤數(shù)據(jù)恢復(fù)大量連續(xù)扇區(qū)的讀出寫入DISKEDIT進(jìn)行非常方便�,如果用DEBUG做則要寫一段子程序,不過程序的主要技巧就是利用int 25絕對磁盤讀中斷讀出的內(nèi)容���,而用int 26絕對磁盤寫做內(nèi)容寫入����。
版權(quán)聲明:本文圖片來源于網(wǎng)絡(luò),僅供學(xué)習(xí)交流使用����,不具有任何商業(yè)用途,版權(quán)歸原作者所有���,如有問題請及時聯(lián)系我們���,我們會盡快刪除。
