用MHDD清除主引导扇区“55AA”标志
1.为什么要清除“55AA”标志
我们都知道,主引导扇区的最后两个字节为有效标志“
55AA
”,如果没有该标志,系统将会认为磁盘没有被初始化。因此,“
55AA
”标志对于磁盘来讲是非常重要的。但在数据恢复过程中,有时我们不得不在进入系统前将该标志进行清除。通常,在下列情况下可以考虑清除“
55AA
”标志。
u 需要恢复数据的硬盘存在病毒
当需要恢复数据的磁盘中存在病毒时,清除“
55AA
”标志可以使整个硬盘的分区失效,病毒也就无法继续传染。某些病毒的传染性非常强,当直接将染有这种病毒的硬盘挂接在正常的计算机上,进入操作系统后即开始传染,使数据恢复用机被病毒感染并导致死机,致使数据恢复工作无法进行。这时,我们可以在
DOS
下使用
MHDD
清除染毒磁盘的“
55AA
”标志,然后再进行后续的恢复工作。
u 重要位置处于坏扇区
如果磁盘存在坏扇区,而某个分区的引导记录扇区又恰好处在坏扇区位置时,将会使恢复用机很难顺利进入操作系统。即便进入操作系统后,也会因长时间无法读取出坏扇区的数据而不能进入就绪状态,甚至导致死机,使数据恢复工作无法进行。这时,我们也可以在
DOS
下先行使用
MHDD
将故障盘的“
55AA
”标志清除后再进行后续的工作。
u 磁盘逻辑参数矛盾
磁盘的逻辑参数存在矛盾时,也有可能导致数据恢复用机无法正常进入操作系统,或进入操作系统后即死机。比如,各个分区间的大小及位置关系矛盾,或某个分区引导扇区中的
BPB
参数出现错误,都有可能导致系统死机。清除“
55AA
”标志后,磁盘的主引导扇区失效,分区表也就失去了作用。这时操作系统会将磁盘识别为一个没有被初始化的磁盘进行加载,不会再调用分区表及各个逻辑分区的参数,也就不会发生死机的现象。
2.清除“55AA”标志的方法
使用
MHDD
清除“
55AA
”标志非常简单,因为它提供了一个专门用于清除和写入“
55AA
”标志的命令“
switchmbr
”。
步骤1
进入
MHDD
程序并选择要操作的磁盘,然后在程序界面中输入命令
swichmbr
后按
Enter
键,即出现图
9.5
所示内容。
可以看到,执行这个命令后,程序读取磁盘的
0
号扇区,并提示找到了
AA55
。我们说“
55AA
”是在十六进制编辑软件中看到的字节放置顺序,这是使用
little-endian
格式存放的顺序,真正的十六进制则为
0xAA55
,所以
MHDD
将其表述为
AA55
。
然后,程序询问是否要清除这个标志,要清除则按“
Y
”键,否则按“
N
”键。
步骤2
按“
Y
”后程序立即执行清除操作,清除成功后即显示“
Done
”,表示操作成功完成。如图
9.6
所示。
如果执行
switchmbr
命令后程序没有找到“
55AA
”标志,则会给出提示并询问是否要写入该标志,这时按“
Y
”则会在磁盘的
0
号扇区写入“
55AA
”标志。
摘自《数据重现--文件系统原理精解与数据恢复最佳实践
本文转自老骥伏枥51CTO博客,原文链接:http://blog.51cto.com/sjhfml/129534,如需转载请自行联系原作者
