硬盘逻辑锁的修复[分享]

suncon · 发表于 2003-6-20 10:01:00

硬盘逻辑锁的修复
2001年1月8日，有一位姓孙的先生拿了一块硬盘，此硬盘为8.4G的，分两个区，装的是WIN98的系统，FAT32格式。

　　由于此用户昨日上网下载了一个小程序，当时也没在意，运行了一下。第二天重新启动时，发现启动不了，这下用户慌了，连忙进入CMOS检测硬盘，硬盘能检测到，用WIN98启动盘启动机器，还是启动不了。开始以为此启动盘坏了，又换了几张启动盘，还是一样不行，最后把此硬盘作为次硬盘，挂到另外一块装了WIN98系统的好硬盘上，想用这好的硬盘带动此被破坏的硬盘，发现还是启动不了，把此被破坏的硬盘一拿掉，这块好的硬盘就可启动。因为此被破坏的硬盘上有重要的数据，最后没办法，只好拿到我公司来了。

　　用KV3000的A盘启动，还没进入系统，就停住了，硬盘灯一直在亮着，一点反应也没有，初步估计可能是一种恶性的程序把此硬盘锁住了，造成软驱假坏，以致于启动不了。对付这种恶意破坏，在KV3000光盘中有一很好的方法，即制作一张特殊的启动盘。此启动盘可以从KV3000的光盘上制造而成。具体制作：利用HD－COPY把光盘上的BOOT2里的DOS620.IMG直接解压缩到一张空的软盘上即可，用此软盘即可。启动成功后，再换上KV3000的A盘，运行KV3000，按F6，发现0扇区的第一关键代码全为0，第二、三关键代码：

　　8001　0105AAAA　AAAAAAAA AAAAAAAA　AAAAAAAA　AAAAAAAA　AAAAAAAA　AAAAAAAA　AAAAAAAA AAAAAAAA　AAAAAAAA　AAAAAAAA　AAAAAAAA　AAAAAAAA　AAAAAAAA AAAAAAAA　AAAA55AA

　　以上的数据表明，此破坏代码是上海×××的恶意之作，已经破坏了很多硬盘。此硬盘上的主引导扇区（0扇区）已被严重的破坏，按F2查看，此硬盘的BOOT引导区（63扇区）发现此扇区是正确的，从0扇区开始往后翻页，结果在1扇区发现了此硬盘主引导扇区的内容，下面出现一行提示：F9=Save To Side 0 Cylinder 0 Sector l !!！，按F9直接把此扇区写入到0扇区。重新启动，已能进入系统，而且硬盘上的数据都存在。

　　修复方法：

　　方法一：手动修复硬盘，就是上面介绍的

　　方法二：在本站下载“DOS3.31完全版”和“KV3000破解版”，按照README把DOS3.31制作成引导软盘，再把KV3000的两个文件复制到软盘中（如果空间不够，可以删除一些外部命令文件），用这个二合一的软盘启动电脑，就可以直接用KV3000的F10系统测试与灾难修复功能进行恢复了。

　　方法三：将该硬盘设为None，然后使用DM分区程序可以对其进行重新分区格式化，但数据全部丢失。

　　方法四：修改DOS启动文件（不破坏数据）
　　首先准备一张DOS6.22的系统盘，带上debug、pctools5.0、fdisk等工具。然后在一台正常的机器上，使用你熟悉的二进制编辑工具（debug、pctools5.0，或者windows下的ultraedit都行）修改软盘上的IO.SYS文件（修改前记住改该文件的属性为正常），具体是在这个文件里面搜索第一个“55aa”字符串，找到以后修改为任何其他数值即可。用这张修改过的系统软盘你就可以顺利地带着被锁的硬盘启动了。不过这时由于该硬盘正常的分区表已经被黑客程序给恶意修改了，你无法用FDISK来删除和修改分区，而且仍无法用正常的启动盘启动系统，这时你可以用DEBUG来手工恢复。使用DEBUG手工修复硬盘步骤如下：
a:\debug
-a
-xxxx:100 mov ax,0201 读一个扇区的内容
-xxxx:103 mov bx,500 设置一个缓存地址
-xxxx:106 mov cx,0001 设置第一个硬盘的硬盘指针
-xxxx:109 mov dx,0080 读零磁头
-xxxx:10c int 13 硬盘中断
-xxxx:10e int 20
-xxxx:0110 退出程序返回到指示符
-g 运行
-d500 查看运行后500地址的内容
　　这时候会发现地址6be开始的内容是硬盘分区的信息，发现此硬盘的扩展分区指向自1己，这就使DOS或WINDOWS启动时查找硬盘逻辑盘进去死循环，在DEBUG指示符下用E命令修改内存数据具体如下：
E6BE
xx.0 xx.0 xx.0...............
.............................
.......................55 AA
　　55 AA表示硬盘有效的标记，不要修改，xx0表示把以前的数据“xx”改成0
　　再用硬盘中断13把修改好的数据写入硬盘就可以了，具体如下：
A:\debug
a 100 表示修改100地址的汇编指令
-xxxx:100 mov ax,0301 写硬盘一个扇区
-xxxx: 这里直接按回车
-g 运行
-q 退出
　　然后运行 FDISK/MBR（重置硬盘引导扇区的引导程序)，再重新启动电脑就行了。

　　方法五：感谢网友xhgc提供
需要在正常机器上作一个启动盘，做法如下：
xx

ebug
-A 0100
xxxx:0100 xor ax,ax
push ax
pop ds
push ax
pop es
mov cx,100
mov bx,7c00
xxxx：010c mov word ptr [bx],0
inc bx
inc bx
loop 10c
mov ax,0301
mov cx,0001
mov dx,80
mov bx,7c00
int 13
jmp ffff;0000
xxxx:0127
-w 100 0 0 1
-q

用它启动问题机，结果是问题机的硬盘主引导扇区全清零，然后自动重启，就可以用别的启动设备重装系统了。

硬盘逻辑锁的修复[分享]

发表回复

浏览过的版块


热搜: 防雾膜棒料红外反射膜光电二极管镀膜机反射膜光谱仪光电探头真空镀银滤光片光器件应用光学 zemax激光远心镜头 sio2 增透膜离子源栅网 zemax 论文高反膜半反半透膜