打印

电脑C盘被误GHOST,可不可以恢复呀?????

[复制链接]
12593|51
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
扬欣电子|  楼主 | 2008-5-25 01:56 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    起因:今天电脑在启动的过程中,卡巴斯基提示有木马,没有仔细看提示,顺手就选择了删除,结果系统就无法进入桌面了(桌面上的图标无法显示出来)。重新启动,弹出提示框:提示在SYSTEM32中有一个文件wininet.dll没有了。点击提示框的“X”,系统还会继续启动,但还是无法进入桌面了(桌面上的图标无法显示出来)。
    本想进入DOS,从其他电脑的XP系统中,拷一个相同的文件到本机的C盘的SYSTEM32中,希望可以修复本机的XP系统。
    过程:于是借了一个光盘,用光盘引导之后,进入了该光盘的界面,结果误选择了“快速恢复系统到C盘”,呜呜呜!是将该光盘中GHOST的系统恢复到了本机的C盘。再看本电脑,系统是有了,可是C盘的数据却全部没有了。但D、E、F盘还是正常的,数据也没丢,庆幸哟!
    用了EasyRecovery还是有许多数据没有恢复。
    本机在一年多前,做过GHOST的备份,于是只好再对C盘做GHOST的恢复,现在的C盘正常了,但是,C盘却是一年前的数据了。D、E、F还是目前的数据。
    请教:在这样两次GHOST之后,还有没有办法恢复原来的C盘呀???或者怎么找回C盘上这一年的数据呀????有没有更好的恢复软件呀???


    另外,强烈建议:21ICBBS中增加一个有关“数据备份与恢复”的栏目!!!!!

相关帖子

来自 2楼
PowerAnts| | 2008-5-26 11:53 | 只看该作者

介结俺的数据备份及系统优化方法

数据备份:
   
第一物理盘分4个区:C盘:系统;D盘:临时文件;E盘:工作盘;F盘:其它
第二物理盘为2.5寸盘,通过USB-IDE卡联接,每周插上去备份一下E盘马上拨掉;
(移动硬盘不保险,还是“内置”的好,平时不上电可靠性才高)
每月来一次增量刻录备份,每年来一次完整的刻录(保留3年的划破丢掉);

系统优化:

操作系统、系统补丁、杀毒软件、应用软件全部装在C盘,然后进行下面的设置:

1、“我的文档”属性设到E:My Documents;
2、IE属性设到D:
3、环境变量 temp、tmp均设为D:TEMP 

这样一来,C盘绝对不会产生及积累零碎文件,系统启动、程序运行相当讯速;

设置“计划任务”每周整理一次D盘,由于D盘只存放少量的临时数据,瞬间完成。别的分区基本上不用整理。

QQ、SKYPE、贸易通、旺旺、飞信、天天静听、暴风影音全部在别的电脑装好后拷贝过来放在E盘,当绿色软件用,避免注册表内有过多内容。而且历史信息不会丢失。

使用特权

评论回复
板凳
扬欣电子|  楼主 | 2008-5-25 02:09 | 只看该作者

今夜难眠了。

     望高手“出招”。

使用特权

评论回复
地板
xwj| | 2008-5-25 05:41 | 只看该作者

去花钱恢复数据,好象是按多少多少元1M计算的:-)


军方有根据剩磁原理来提取倍覆盖数据的设备,据说硬盘盘片上的数据至少要用随机数据彻底覆盖3~7次才会彻底无法读取
你还只Ghost了2次,而且Ghost的数据是确定的并能提供完整数据,因此通过读取剩磁、仔细调整反向磁场、再反向分析GHOST的操作来设计程序,反向、提取盘片上的数据是很有可能的,做的好应该是能恢复绝大部分数据的

没看到《越狱》里别人把硬盘格掉扔河里几个月,别人都能从他的硬盘里找到数据吗?



当然,要想恢复的话代价、难度绝对是相当高的,对于你的C盘数据,有那个必要吗?

如果你想不花钱自己搞定的话,我可以明确的告诉你:
没门!
窗也没有!!
连老鼠洞都没有!!!

使用特权

评论回复
5
PowerAnts| | 2008-5-25 08:40 | 只看该作者

硬盘数据恢复--从undelete说起

自MS-DOS 5.0起有了个undelete.exe和unformat.exe命令后,普通微机人便有机会接触到“数据恢复”这一操作了。

删除文件与格式化硬盘时,系统并没有将数据从硬盘上真正的擦除掉,只不过是擦掉文件分配表里对应的文件头第一个字母,在运用UNDELETE命今时,它会要求你定入第一个字母,便是这个原因。而格式化命令本身有很多参数,如果不加/u的参数,它会将FAT做一个备份,然后重建新的FAT,这是反格式化的前提。
利用OS的这些特点,winhex等软件便可以轻松地找回被删的数据及最大限度地恢复受损的文件。我曾经为朋友演示硬盘被格式化1次,与连续10次,都被winhex完全恢复。

传言中,美国FBI可以恢复覆盖7次的数据,让众多人陷入了技术漩涡,至少在国内,暂时还没有发现这样的报道。到目前为止,没有任何一款微机软件可以恢复被覆盖的数据。

从硬件层分析,倒是有可能的,由于磁头与磁介质间相对的高速运动,并且为了最大限度地增加记录密度,磁头对介质进行写操作时,不可能让该处的磁介质达到饱合,由于剩磁始终存在,会导至原来是1的部位,再写入1时,磁场更强,而原来是0的部位,磁场要弱一些。反之亦然。

因此,可以这么认为:如果有某种设备,能对高达数百兆比特率的数据流进行分析,便可以辩别磁场被覆盖前的状态,并还原出原来的数据。别以为现在有取样率G级的示波器,便认为这很容易。

由于磁盘是恒角速度运转,磁头需要加入读/写补偿,并且磁头的寻道存在误差,来自相邻磁极、相邻磁道的干扰都会影响回读的电平值。而以上这些因素,在硬盘工作时都因为整形而被滹除掉,可识别是1还是0

可以认为,那怕是恢复一次都是很困难的,7次真的不敢想。这需要高位的量化分析?需要多精密的磁头寻轨伺服能力?

ghost的操作,是扇区对扇区的直接写操作,是物理上的磁场覆盖,你怎么花钱都没办法,可能只有找FBI帮忙了。

使用特权

评论回复
6
chunyang| | 2008-5-25 10:14 | 只看该作者

已经没有可能了,非常专业的数据恢复方法不是谁都条件实

那些所谓的数据恢复公司也不过是主要针对故障下的“恢复”而已,要做到xwj说的那种,只有专门机构可以胜任。

使用特权

评论回复
7
扬欣电子|  楼主 | 2008-5-25 11:04 | 只看该作者

谢谢各位的赐教!

    本来是一知半解,现在学习了许多。能够恢复自然高兴,不能恢复也只能作罢了。不过利用这个机会,从中还是可以学到不少知识的。
    顺便再问:
    1、就本机的C盘而言,比如:在“我的文档”这个文件夹中,一年前(当时做GHOST时)还没有建立“A”文件夹,之后在日常的使用中,建立了这个“A”文件夹,并且陆续将一些资料存入其中。这次GHOST恢复之后,自然是没有这个“A”文件夹了。但是如PowerAnts高手所言:“ghost的操作,是扇区对扇区的直接写操作”,那么可否认为:存放“A”文件的扇区没有被覆盖还原,这个扇区的数据还是存在的,还是有可能恢复的??

    2、从数据恢复的角度看,文件夹的命名是否用英文比用中文更容易恢复??这次用EasyRecovery恢复数据,感觉系统原来建立的文件夹中的数据和用英文命名的文件夹的数据恢复的比用中文命名的文件夹中的数据恢复的完整。

使用特权

评论回复
8
liudewei| | 2008-5-25 15:42 | 只看该作者

就楼住的描述希望想当渺茫,如果你希望恢复的文件保存

在两个GHOST覆盖的扇区以外,用专用的工具是可能恢复的。
你今后可以这样:1、将我的文档设置位置到D:E:或f:
                2、经常备份到光碟或U盘

使用特权

评论回复
9
lyghj| | 2008-5-25 16:58 | 只看该作者

楼主的习惯不好

杀毒,整理硬盘,对现在的电脑来说太耗时了。

所以我一直都是这样用电脑:电脑拿来,先分区,最少三个。C盘装系统,D盘是工具软件(是待安装软件的备份,不是在系统中安装到D盘),E盘就是工作目录了,所以自己用的东西都保存在这里。

如果有一天电脑中毒了,或者你觉得速度太慢了,那就重新安装,一般来说也就一个小时,比杀毒或者整理硬盘快多了。而且我这样用只丢失过一次数据(2006年4月30日下午4时许,电脑在办公室被盗)。

没有买过品牌的台式电脑,不过笔记本都是一个分区,我一直觉得用一个分区的人会经常为丢失数据哭泣^_^

使用特权

评论回复
10
杨真人| | 2008-5-25 20:55 | 只看该作者

支持楼上.

使用特权

评论回复
11
awey| | 2008-5-25 21:27 | 只看该作者

笔记本只有一个分区,可用Norton PartitionMagic重新分区

使用特权

评论回复
12
cnchip| | 2008-5-26 00:16 | 只看该作者

如果无法到桌面

可以按CTRL/ALT/DEL三个键,然后手工指定运行explorer即可
如果提示找不到,那就从其它电脑复制一个过来,没有桌面,U盘还是可以用的,也没必要进DOS的!

关键的:你把文件放C盘干嘛!
我电脑要是出问题弄不好了,想都不想就GHOST了!
任何有用文件都不要放C盘,养成这个习惯!

关于7次的问题,确实,我电脑里安装过好几款涉及安全的软件,删除时的默认选项都至少是随机数据覆盖三次!

使用特权

评论回复
13
cnchip| | 2008-5-26 00:31 | 只看该作者

昨天去公司加班刚碰到类似问题,这样解决的:

可能是电脑中病毒了,Norton删掉了explorer文件,反正是这个文件没了,所以桌面也没了!具体原因我也不太清楚,印象中我前天没怎么仔细看norton就点了删除!

开机后,没有桌面!
调出任务管理器,输入explorer,提示找不到这个文件,我晕,居然找不到!
点击浏览直接去C:windows目录,真的没了!天,这可怎么办!

此刻第一反应是ghost,我一般懒得研究具体原因或者想其它办法,除非自己知道!但一想,不行,PCB催的紧,ghost里当时没有我用的软件,安装文件还在自己家里!

想了一会,ghost里不是有explorer吗,直接去备份目录,更晕,ghost浏览器没有!天哪!

再插入U盘,嘿,U盘里有!
首先用指定运行ghost浏览器,然后ghost浏览器窗口不就出来了吗?找到那个explorer文件,导出到win目录!

再指定运行它!搞定!

更值得庆幸的是,这个文件好像与浏览器还有关,因为从ghost导出后,我的浏览器也好了!此前无法进入网易邮箱!看来真中病毒了!

好了,希望有用,该睡觉了!

使用特权

评论回复
14
cnchip| | 2008-5-26 00:39 | 只看该作者

很久前win2000刚推出,那个所谓的输入法漏洞就是类似的方法

不过操作复杂的多,还要用到DOS命令!
经过一系列异类的操作,就绕过了windows的密码认证!

有不少windows漏洞都是这些异类操作弄的,只要你玩的够熟,别正面进攻,正面几乎不可能!走邪门歪道它就不行了!哈!

使用特权

评论回复
15
xwj| | 2008-5-26 06:57 | 只看该作者

呵呵,LS,输入法漏洞使用很简单啊

就是没屏蔽帮助,只要打开帮助,右键选择“跳至URL”就可以打开任意路径的目录或文件了

很多网吧屏蔽真实桌面和资源管理器或者盘符,也可以用这个方法打开


你说得东西跟输入法漏洞是无关的,“可以按CTRL/ALT/DEL三个键,然后手工指定运行explorer即可”也只有登录之后才行。不过没有桌面时系统已经登录了


LZ的问题主要还是他自己太不懂,前面犯了一系列的错误,并且随后又用一系列的错误操作严重破坏了恢复的条件,这时才想到想恢复
那当然是不可能了。

使用特权

评论回复
16
cnchip| | 2008-5-26 08:38 | 只看该作者

老大就是老大,我记得当时好像很复杂的,

你一个跳URL就行啦?厉害!

是的,必须登录,否则也无法启动explorer。

使用特权

评论回复
17
jazzyfox| | 2008-5-26 08:44 | 只看该作者

估计够呛!

理论上讲,GHOST是把每个扇区都覆盖了,不过由于**效应,还是有残留的印记可以读取出原来是什么数据,不过这个需要专门的设备,目前美国这方面的技术比较先进,不过价格相当的不便宜

使用特权

评论回复
18
yangzq| | 2008-5-26 08:57 | 只看该作者

放弃吧

一次也许还行,用了二次GHOST,一般是不可能了。有用的东西坚决不能放在C盘。

使用特权

评论回复
19
xwj| | 2008-5-26 10:00 | 只看该作者

其实,不做特殊设置的话,GHOST是按文件系统恢复的

只按照目录表的顺序读取有用数据,而不是“把每个扇区都覆盖”的

所以,GHOST可以用来做快速硬盘整理哦



当然,GHOST后前面的扇区必然全被覆盖,目录表必然丢失,最重要的是NTFS文件系统有一个称为主文件表的文件 MFT$,这个文件是看不到的,但一旦丢了或被覆盖了,基本上文件也是没法完整恢复的

使用特权

评论回复
20
Yellow_fox| | 2008-5-26 11:14 | 只看该作者

良好的习惯很重要

那就是多分几个盘,C盘只装系统,不存重要文档。

C盘装完后,可以GHOST备份一把,现在病毒肆虐,以后总有机会会用上的,艾

一旦发现不对头,或者系统崩溃,可以用GHOST恢复,速度很快的。

但病毒如果深入D,E等其他盘,重装后,就非得动用杀毒软件不可了。

PS:away大侠写的那个东东不错啊,东邪西毒南帝北丐都齐了,不过为何不见

中神通?呵。。。

使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

18

主题

440

帖子

0

粉丝