MHDD实用技巧-阿里云开发者社区

开发者社区> 安全> 正文

MHDD实用技巧

简介:


 MHDD清除主引导扇区“55AA”标志

1.为什么要清除“55AA”标志

我们都知道,主引导扇区的最后两个字节为有效标志“55AA”,如果没有该标志,系统将会认为磁盘没有被初始化。因此,“55AA”标志对于磁盘来讲是非常重要的。但在数据恢复过程中,有时我们不得不在进入系统前将该标志进行清除。通常,在下列情况下可以考虑清除“55AA”标志。
u  需要恢复数据的硬盘存在病毒
当需要恢复数据的磁盘中存在病毒时,清除“55AA”标志可以使整个硬盘的分区失效,病毒也就无法继续传染。某些病毒的传染性非常强,当直接将染有这种病毒的硬盘挂接在正常的计算机上,进入操作系统后即开始传染,使数据恢复用机被病毒感染并导致死机,致使数据恢复工作无法进行。这时,我们可以在DOS下使用MHDD清除染毒磁盘的“55AA”标志,然后再进行后续的恢复工作。
u  重要位置处于坏扇区
如果磁盘存在坏扇区,而某个分区的引导记录扇区又恰好处在坏扇区位置时,将会使恢复用机很难顺利进入操作系统。即便进入操作系统后,也会因长时间无法读取出坏扇区的数据而不能进入就绪状态,甚至导致死机,使数据恢复工作无法进行。这时,我们也可以在DOS下先行使用MHDD将故障盘的“55AA”标志清除后再进行后续的工作。
u  磁盘逻辑参数矛盾
磁盘的逻辑参数存在矛盾时,也有可能导致数据恢复用机无法正常进入操作系统,或进入操作系统后即死机。比如,各个分区间的大小及位置关系矛盾,或某个分区引导扇区中的BPB参数出现错误,都有可能导致系统死机。清除“55AA”标志后,磁盘的主引导扇区失效,分区表也就失去了作用。这时操作系统会将磁盘识别为一个没有被初始化的磁盘进行加载,不会再调用分区表及各个逻辑分区的参数,也就不会发生死机的现象。

2.清除“55AA”标志的方法

使用MHDD清除“55AA”标志非常简单,因为它提供了一个专门用于清除和写入“55AA”标志的命令“switchmbr”。
步骤 进入MHDD程序并选择要操作的磁盘,然后在程序界面中输入命令swichmbr后按Enter键,即出现图9.5所示内容。
可以看到,执行这个命令后,程序读取磁盘的0号扇区,并提示找到了AA55。我们说“55AA”是在十六进制编辑软件中看到的字节放置顺序,这是使用little-endian格式存放的顺序,真正的十六进制则为0xAA55,所以MHDD将其表述为AA55
然后,程序询问是否要清除这个标志,要清除则按“Y”键,否则按“N”键。
步骤 按“Y”后程序立即执行清除操作,清除成功后即显示“Done”,表示操作成功完成。如图9.6所示。
如果执行switchmbr命令后程序没有找到“55AA”标志,则会给出提示并询问是否要写入该标志,这时按“Y”则会在磁盘的0号扇区写入“55AA”标志。
 
摘自《数据重现--文件系统原理精解与数据恢复最佳实践
















本文转自老骥伏枥51CTO博客,原文链接:http://blog.51cto.com/sjhfml/129534,如需转载请自行联系原作者

版权声明:本文首发在云栖社区,遵循云栖社区版权声明:本文内容由互联网用户自发贡献,版权归用户作者所有,云栖社区不为本文内容承担相关法律责任。云栖社区已升级为阿里云开发者社区。如果您发现本文中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,阿里云开发者社区将协助删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章