只要找到一个文件的起始保存位置,那么这个文件就有可能被恢复(当然了,这需要一个前提,那 就是你没有覆盖这个文件…)。 硬盘分区方式 我们平时说到的分区概念,不外乎三种:主分区、扩展分区和逻辑分区。 主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。在主分区 中,不允许再建立其它逻辑磁盘。 扩展分区的概念则比较复杂,也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区 表保留了64个字节的存储空间,而每个分区的参数占据16个字节,故主引导扇区中总计可以存储4 个分区的数据。操作系统只允许存储4个分区的数据,如果说逻辑磁盘就是分区,则系统最多只允许 4个逻辑磁盘。对于具体的应用,4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供 操作系统使用,系统引入了扩展分区的概念。 所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针 这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩 展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区(实际上也就是下一个逻辑磁盘) 的起始位置,以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘,在主引导 扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘 需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因 此,若单向链表发生问题,将导致逻辑磁盘的丢失 数据存储原理 既然要进行数据的恢复,当然数据的存储原理我们不能不提,在这之中,我们还要介绍一下数 据的删除和硬盘的格式化相关问题 文件的读取 操作系统从目录区中读取文件信息(包括文件名、后缀名、文件大小、修改日期和文件在数据 区保存的第一个簇的簇号),我们这里假设第一个簇号是0023 操作系统从0023簇读取相应的数据,然后再找到FAT的0023单元,如果内容是文件结束标志(FF) 则表示文件结束,否则内容保存数据的下一个簇的簇号,这样重复下去直到遇到文件结束标志 文件的写入 当我们要保存文件时,操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信 息,然后在Data区找到闲置空间将文件保存,并将Data区的第一个簇写入DIR区,其余的动作和上边 的读取动作差不多。 文件的删除 Win9x的文件删除工作却是很简单的,简单到只在目录区做了一点小改动——将目录区的文件的 第一个字符改成了E5就表示将改文件删除了。 附录 Fdisk和 Format的一点小说明 和文件的删除类似,利用 Fdisk删除再建立分区和利用 Format格式化逻辑磁盘(假设你格式化的 时候并没有使用/U这个无条件格式化参数)都没有将数据从DATA区直接删除,前者只是改变了分区 表,后者只是修改了FAT表,因此被误删除的分区和误格式化的硬盘完全有可能恢复 系统启动流程 各种不同的操作系统启动流程不尽相同,我们这里以Win9x/DS的启动流程为例。 第一阶段:系统加电自检POST过程。POST是 Power on self Test的缩写,也就是加电自检的意思 微机执行内存 FFFFOH处的程序(这里是一段固化的ROM程序),对系统的硬件(包括内存)进行检查 第二阶段:读取分区记录和引导记录。当微机检查到硬件正常并与CMS设置相符后,按照CMOS 设置从相应设备启动(我们这里假设从硬盘启动),读取硬盘的分区记录(DPT)和主引导记录(MBR)。 第三阶段:读取D0S引导记录。微机正确读取分区记录和主引导记录后,如果主引导记录和分区 表校验正确,则执行主引导记录并进一步读取D0S引导记录(位于每一个主分区的第一个扇区),然 后执行该DOS引导记录只要找到一个文件的起始保存位置，那么这个文件就有可能被恢复（当然了，这需要一个前提，那 就是你没有覆盖这个文件……）。 硬盘分区方式 我们平时说到的分区概念，不外乎三种:主分区、扩展分区和逻辑分区。 主分区是一个比较单纯的分区，通常位于硬盘的最前面一块区域中，构成逻辑C磁盘。在主分区 中，不允许再建立其它逻辑磁盘。 扩展分区的概念则比较复杂，也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区 表保留了64个字节的存储空间，而每个分区的参数占据16个字节，故主引导扇区中总计可以存储4 个分区的数据。操作系统只允许存储4个分区的数据，如果说逻辑磁盘就是分区，则系统最多只允许 4个逻辑磁盘。对于具体的应用，4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供 操作系统使用，系统引入了扩展分区的概念。 所谓扩展分区，严格地讲它不是一个实际意义的分区，它仅仅是一个指向下一个分区的指针， 这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外，仅需要存储一个被称为扩 展分区的分区数据，通过这个扩展分区的数据可以找到下一个分区（实际上也就是下一个逻辑磁盘） 的起始位置，以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘，在主引导 扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。 需要特别注意的是，由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的，因 此，若单向链表发生问题，将导致逻辑磁盘的丢失。 数据存储原理 既然要进行数据的恢复，当然数据的存储原理我们不能不提，在这之中，我们还要介绍一下数 据的删除和硬盘的格式化相关问题…… 文件的读取 操作系统从目录区中读取文件信息（包括文件名、后缀名、文件大小、修改日期和文件在数据 区保存的第一个簇的簇号），我们这里假设第一个簇号是0023。 操作系统从0023簇读取相应的数据，然后再找到FAT的0023单元，如果内容是文件结束标志（FF）， 则表示文件结束，否则内容保存数据的下一个簇的簇号，这样重复下去直到遇到文件结束标志。 文件的写入 当我们要保存文件时，操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信 息，然后在Data区找到闲置空间将文件保存，并将Data区的第一个簇写入DIR区，其余的动作和上边 的读取动作差不多。 文件的删除 Win9x的文件删除工作却是很简单的，简单到只在目录区做了一点小改动——将目录区的文件的 第一个字符改成了E5就表示将改文件删除了。 附录: -------------------------------------------------------------------------------- Fdisk和Format的一点小说明 和文件的删除类似，利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘（假设你格式化的 时候并没有使用/U这个无条件格式化参数）都没有将数据从DATA区直接删除，前者只是改变了分区 表，后者只是修改了FAT表，因此被误删除的分区和误格式化的硬盘完全有可能恢复…… 系统启动流程 各种不同的操作系统启动流程不尽相同，我们这里以Win9x/DOS的启动流程为例。 第一阶段:系统加电自检POST过程。POST是Power On Self Test的缩写，也就是加电自检的意思， 微机执行内存FFFF0H处的程序（这里是一段固化的ROM程序），对系统的硬件（包括内存）进行检查。 第二阶段:读取分区记录和引导记录。当微机检查到硬件正常并与CMOS设置相符后，按照CMOS 设置从相应设备启动（我们这里假设从硬盘启动），读取硬盘的分区记录（DPT）和主引导记录（MBR）。 第三阶段:读取DOS引导记录。微机正确读取分区记录和主引导记录后，如果主引导记录和分区 表校验正确，则执行主引导记录并进一步读取DOS引导记录（位于每一个主分区的第一个扇区），然 后执行该DOS引导记录