[原创]长假后的挑战（全文完）

JR86

不错嘛。。说得挺真确的。。
支持LINUX..

jangancari加油。。
催稿。。。

jangancari

十一. 不入虎穴， 焉得虎子

何谓物理磁区(physical sector)呢？另一个常常和物理磁区一起听到的专有名词可能就是逻辑磁区(logical sector)了。  

在解释物理磁区和逻辑磁区前， 先说说在安装作业系统前， 我们是如何处理硬碟的。

第一， 创建Partition

第二， 格式化 （Format)

经过这两个步骤作出来的就是逻辑磁区了， 逻辑磁区里的空间是作业系统让使用者看到，用到的硬碟空间。

而物理磁区则是全部硬碟的空间（除了一部分硬碟的低级系统用来纪录坏磁区和收藏低级程序的空间）。

E 盘看不到就是作业系统认不到， 也就是消失在逻辑磁区了。 很有可能只是逻辑磁区的纪录乱了或不见了。

而我用Norton Disk Edit 是准备直接读取物理磁区(physical sector)， 看可不可能救到一些重要资料。

运行了Norton Disk Edit， 看看分区表 (Partition Table), 一个BIGDOS ， 一个unknown， 其他资料包括起始磁区，结束磁区都合理。

我心中一喜， 因为这有可能分区表的问题， 只要改回NTFS 就可能可以了。 我立即连按几下空白键(space bar)，想选择NTFS。

选择项已转了一圈回到了原来的分区选择， 竟然没有NTFS 。。。Zzzzzzz  再看看分区的Hex 码 ， 87。 查了互联网， 87 正是NTFS 。  

看来是这Norton DiskEdit 版本太旧了没有支援NTFS。 没法了， 只好试试到NTFS的物理磁区看看。

用了Goto sector 功能，去那问题分区的起始磁区，并显示其资料。

再查看互联网， 对照了NTFS 的启动磁区（Boot Sector）的Hex码。 哦， 中间几个位元（byte）有点不同。

我尝试根据互联网的启动磁区（Boot Sector）, 修改了E 盘的启动磁区（Boot Sector）， 重新启动电脑， 看能不能够找回资料。。。。

未完待续

现在我的心情简直是15桶水！！ 七上八下！！ 气死人了啦~~挑我的胃口！！快点啦~我要看结局~

8901

物理磁区(physical sector)

我个人不喜欢这个名词.
建议用"实磁区".
欢迎其他建议.

jangancari

8901 于 1-2-2005 12:51 PM  说 :
物理磁区(physical sector)

我个人不喜欢这个名词.
建议用"实磁区".
欢迎其他建议.

我也不太喜欢， 我是根据看过的电脑书籍翻译的。

halayow

jangancari 于 1-2-2005 01:50 PM  说 :
十一. 不入虎穴， 焉得虎子

何谓物理磁区(physical sector)呢？另一个常常和物理磁区一起听到的专有名词可能就是逻辑磁区(logical sector)了。  

在解释物理磁区和逻辑磁区前， 先说说 ...

一般如果在Hard Disk本身執行delete command被刪除的資料可以通過硬碟軟體如Final Data等救回，如果是通過網路分享的如Network Neighborhood被刪除能救到嗎?

Sirius

据我所知，那些所谓被删除了的file其实都还在HDD 里面，只是它会放一个tag 说，这里没有东西，要用的话，请便。所以最好不要动它，就是不要copy data进去。这是旧电脑时代的做法，现在还是一样吗?

试过用partition magic resize我的逻辑分区，结果有份resize的三个分区里面的资料全消失了。我猜测是FAT table出了问题，file依然还在里面。后来从朋友处找来一个s/w，将几GB的data全找回来。

johe07

那如果是病毒破坏的，还有可能拿回完整的文件？？

jangancari

halayow 于 1-2-2005 11:36 PM  说 :
一般如果在Hard Disk本身執行delete command被刪除的資料可以通過硬碟軟體如Final Data等救回，如果是通過網路分享的如Network Neighborhood被刪除能救到嗎?

原理来说是能， 但是， 你要到那架被删除掉文件的电脑执行你的软件， 因为FAT/MFT 不在你的电脑。

Sirius 于 2-2-2005 02:19 AM  说 :
据我所知，那些所谓被删除了的file其实都还在HDD 里面，只是它会放一个tag 说，这里没有东西，要用的话，请便。所以最好不要动它，就是不要copy data进去。这是旧电脑时代的做法，现在还是一样吗?

正是如此。 把这概念想像成资料库的一个Table ， 那个TAG 其实就是一个field ， 来决定是不是被删除。FAT16/32 还是这种概念， NTFS 就完全不同。

试过用partition magic resize我的逻辑分区，结果有份resize的三个分区里面的资料全消失了。我猜测是FAT table出了问题，file依然还在里面。后来从朋友处找来一个s/w，将几GB的data全找回来。

呵呵。。 很幸运哦。。 我做过几次这种东西都没问题。。
昨天用了一个开源码的pgmagic clone ， 叫QTParted （用QT 做GUI, parted 作backend）， resize partition 到99% 一直没进展， 我以为完蛋了。 幸好， 在30分钟后解决了。 开源码万岁！

johe07 于 2-2-2005 08:35 AM  说 :
那如果是病毒破坏的，还有可能拿回完整的文件？？

这要看病毒的破坏程度，但多数不行因为病毒通常以随机资料写入破坏文件。

jangancari

十二. NTFS 的奥秘

我登陆了视窗， 开启My Computer, 窗口随着后台服务的启动缓慢的在显示， 我的心忐忑不停， 看着Icon 一个个的显示。

终于看到了E盘。。。。。的Icon 显示出来。 我急忙单击了E盘的Icon, 画面缓缓在显示着 。。。

空的。

心冷了半截。

再启动电脑，进回去Disk Editor ， 改回原本的启动磁区（Boot Sector)。 我再继续搜寻启动磁区（Boot Sector)后面的资料，

想找找看文件目录表(File Allocation Table, FAT)。 画面随着Page Down键， 一直在改变。

停！ 看到了熟悉的文件名,  .dwg 的文件， 也就是AutoCAD 工程图的文件。很奇怪， 一个磁区一个文件名， 磁区里还有一些资料。

不太像FAT16/FAT32 的方式。。 难道这是NTFS 的文件储藏记录方式？我打算用FAT里文件起始位置及长度，去把重要资料抄出来的希望不是破灭了？！

“酱就显了啦 ~~~ 。。。。。”， 我暗道。

虽然如此， 我还是不放弃。 再搜寻互联网， 找找NTFS 的资料。 Google 果然不是盖的， 一找就找到一个好网页。

根据简说， 在显示出来的搜寻结果当中 ，看到了一个最适合的网页。 单击该链接，接到geocities的一个网页。

“The page is currently not available.  The page is exceeding the allocated bandwidth. Please try 1 hours later”, 画面这样显示着。

“酱就更显了啦 ~~~ 。。。。。”。

“咦， google 不是有cache 的咩? 不如就开Cache 的网页看， 反正应该差不多”，我忽然想到。

哈哈， 网页果然显示出来了。 这作者对NTFS 的启动磁区（Boot Sector)作了深入的研究， 包括反编译， 列出了NTFS 启动磁区的汇编源代码。

我以前可能会对这种东西有兴趣， 现在Linux的源代码都不得空看， 还要说看M$的东西。。

我就跳过去看解说， 原来NTFS 不是用FAT 的方式， 连概念也不同。 NTFS 用的是Master File Table （MFT)， 简单的来说， 每一个文件都有一个

对应的目录文件。如果文件小的话， 文件内容就一起放在目录文件里， 大的话， 就一部分放在目录文件里， 再用目录文件的记录找到接下来的内容。

这就是我看到一个磁区一个文件名的原因了， 因为我看到的是目录文件而不是文件本身。 我也没时间去详细研究，越看越头疼。。最重要的是，

我看到一段文字：“NTFS keep a backup boot sector in the last sector of the partition” , 这个可能就是关键了！

我再搜寻微软的网站， 看看有没有收获。 竟然给我找到一个  Recover corrupted NTFS boot sector 的文章。

里面说的正是， 如何用Norton Disk Edit 把备份的启动磁区（Boot Sector)restore 去原本的启动磁区（Boot Sector)。

我急忙把它打印下来， 跟着步骤一步一步作。。。

未完待续

johe07

这个故事，的确让我知道，也学到不少东西。让我开始对NTFS有兴趣咯。。。
谢谢jangancari无私的分享。

对于那篇教程和recover的方法很有兴趣。。。如果会了，那么资料的损失就可以减到最低。。。
赞啊。。。

其实，我所遇到的，大多是病毒破坏而被迫从灌运作系统。所以咯。。。 显咯。。。
之前因为不知道原来资料是可以这样抢救的。。。

Sirius

jangancari 于 2-2-2005 11:18 PM  说 :
呵呵。。 很幸运哦。。 我做过几次这种东西都没问题。。
昨天用了一个开源码的pgmagic clone ， 叫QTParted （用QT 做GUI, parted 作backend）， resize partition 到99% 一直没进展， 我以为完蛋了。 幸好， 在30分钟后解决了。 开源码万岁！

后来听朋友说，我应该先做defrag的，但是我以后都不敢试了 :p

QTParted真的很好用，但是我在Knoppix里面的QTParted发现了一个问题，就是它不能有效的format成ext2/ext3，在QTParted已经format了，显示也是ext2/ext3。但是我就是不能将其当作ext2/3来使用，只好用sfdisk了。

8901

jangancari 于 2005/2/3 12:13 AM  说 :
十二. NTFS 的奥秘

我登陆了视窗， 开启My Computer, 窗口随着后台服务的启动缓慢的在显示， 我的心忐忑不停， 看着Icon 一个个的显示。

终于看到了E盘。。。。。的Icon 显示出来。 我 ...

你的目的是救资料,为什么花时间救boot sector?

jangancari

8901 于 2-2-2005 01:10 PM  说 :



你的目的是救资料,为什么花时间救boot sector?

我这里指的boot sector 是包括Partition table 而言。 如果没弄错， NTFS 的file system 和boot sector 有关。 普通FAT 的boot sector 只有几个简单的机器语言， 就来个JMP ， NTFS 的boot sector 则不同。  其中一个原因是NTFS 里每个文件都有一个目录文件， 而目录文件本身也是一个文件， 照理应该要有所谓的目录文件的“目录文件”。  而这就坠入了是鸡与鸡蛋的问题， 解决方式好像是跟boot sector 有关系。 详细情况不是很熟悉， 不敢妄下定论。

jangancari

十三. 柳暗花明又一村

进行到一半， 咦怎么和步骤所说的不一样。我跟着步骤做， 做到一半却发现跟不下去。

我看来看去步骤上所要抄出来的磁区一点也不像启动磁区， 但我有看到一个类似启动磁区的磁区在下一页。

因为资料重要， 为了慎重起见， 还是不要乱来。 这时肚子突然咕噜咕噜叫了， 看一看手表， 竟然已经是下午一点左右， 午餐时间。

我竟然花了整个上午来做这个， 而且是做不出成绩那种。

“累啦 。。 先吃个午餐才回来。”，我也突然间觉得很累， 用脑真是累。

进到公司的食堂， 排队拿了份午餐。 颜色奇怪的炒饭和有点甜的咖哩。

我吃着午餐也想着还有什么法子。 不一会儿， 一顿午餐很快就在思索中吃完了。

吃完后， 休息一下， 看看电视机播出的“粉红豹”，幽默的情节让我心情放松不少。

回到办公室。 我习惯性的徘徊在电脑前， 不想立刻坐在电脑前。

可是还有未解决的问题悬着， 心里中有点不安。 就像程序里的臭虫还没解决那样， 哪放得下手？

我又站在电脑前搜寻google，想找free data recovery tools 。 就在几个连续搜索后， 我发现了一个开源码的tools.

一个不起眼的名字， “TestDrive”， 幸好有Win32 版本。我也没对它抱着太大的希望，Testdrive ， 好俗的一个名字。

安装了后， 运行Win32 版。 竟然是command prompt Text base ， 更加失望。 不过进一步想， 这类软件因为要直接修改硬件，

command prompt base 是很平常的。

Testdrive 搜查到2 个硬碟， 第一个是我本身的硬碟。 第二个则是有问题的硬碟。

我进入了第二个硬碟， 看到一个FAT32的分区， 就是那没问题的C 盘。 唉， 失望~~~~

不过， 我看到有个搜寻的功能， 我也当然不放过任何一丝希望来尝试。 搜寻了近十分钟， 奇迹出现了！

竟然搜到那个NTFS ! 我连忙用键盘把cursor移到那个分区， 用List 功能想看文件。

“The backup boot sector is not same as the original copy, do you want to load from backup copy”， 这时候出现这个讯息。

我选择不load ， 因为要load 待会儿再load 也不迟。 选了以后， List file  却列不出东西。

我再重复以上步骤搜寻， 这次我选择load 备份。 再用list file 功能， 尝试列出文件名字。

就在一个单击Enter 后， 文件名字一一被列出， 我心突然兴奋起来。

我有点不敢相信， 我再尝试进入一些Folder ， 文件名也显示出来， 应该成功了。。

不过， 也有可能看到的只是文件的目录， 内容还不知道有没有。 不理了， 重启电脑， 让Windows 重新载入这个分区的启动磁区。

进入Windows 后， 第一件事就是开My computer， 这次也一样出现F 盘。 我连忙单击F盘的ICON， 满怀希望的在等着。

荧幕上显示了F盘的文件和文件夹， 文件的长度也正常。 我这时虽然兴奋， 但也不敢怠慢， 再尝试copy 一些文件到我的硬碟。

Copy 顺利的完成表示着成功的机会大了一些， 我在尝试查看工程图文件的最新修改日期 2004 年 12 月 18 日。

刚好是两个星期放假开始的那一天， 可能救到比较旧的资料。 不过两个星期假期都没有工作， 加上开工后的几天， 网络都有问题，

资料都应该算新。

我看着手表， 就在二零零五年一月五日， 下午两点四十七分的此刻， 不可能的任务算是正式完成了。

我兴奋地告诉同事， 同事以一种不敢相信的眼神回报。故事就在这个不相信的眼神中结束了。。。。


故事结束， 全文还未完

jangancari

十四. 后记

呼 ~~ 终于写完了。 接下来其实还有点余波， 不过我写得很累了而且也是重复的经验， 所以偷懒不写咯。

那个2G Inbox 怎么样了？那问题我在当天四点五十六分左右解决了。  我本来想写完这段才结束的。

不过这段也蛮曲折的， 怕太长所以还是不写了。 基本上， 我找到一个日本人写的免费程序。

作者把那程序以LZW格式压缩， 我因为没用Winzip 所以开不到。找到program 开的时候， 却出现问题。

不是文件问题， 而是文件名应该是有日文， 所以只解开到三个乱码文件名的文件。

我猜测最大的文件就是执行文件， 自己改了名成 .exe, 果然开到。 最后成功救到里面的信件。

虽然到最后是用了tools 来完成任务， 但我觉得收获很多。 至少我现在就对网络设置和网络安全很有兴趣，

开始认真地学iptables 这Linux 的firewall 。

我写着一段故事， 本意不止是要写出这段事情而已。 我也希望借着这故事， 让大家学到一些知识和经验。

想以一种新方式， 不闷的方式， 来分享一些知识。 单纯的技术tutorial 看了会很闷的。

后来写到一半， 发觉其实很难写，写的很辛苦。 尤其在纯技术的方面， 因为不太清楚， 只好一笔带过， 以免误人子弟。

最后希望大家在读这故事时， 可以学到一些经验和知识， 不会怪我的文笔不好。谢谢支持的朋友们 ！

还有， 我写到这样辛苦， 还是原创那么多贴， 连加一分都没有   差点写到一半就要放弃了， 看到很多网友催稿， 才牺牲睡眠完成它。

加个分或精华啦 。。

这故事就以GPL Document License 发布吧， 欢迎转贴， 但请标明出处。

大家也可以给点意见。 接下来应该很少发贴了， 应该是专心学PHP 的时候了。 就算写， 也应该写些

Linux 基本教程， 志在协助新手接触Linux。


全文完

johe07

jangancari,你的文章，我很喜欢，因为真的让我学了很多新东西。我会把它存档起来。

抱歉，因为我们的催稿让你这么累。

（嘶喊着）＂呼吁坛主～～～，让帖成为精华吧！！！＂


我就是那个要学linux的新手。那就有待师傅多多指教了。

在未来的日子里，一起加油咯。。。^_^V

8901

呼吁坛主为楼主加分,且封此帖为精华.

JR86

哈哈。。终于升级为精华了。。
jangancari你有没有被加分哦??

johe07

是啊，为你高兴呢。。。^_^V