瞬间破解OFFICE（DOC\XLS）密码，试过10位以上的，但只适用于RC4（好像只是40位）加密过的，其他不适用。

其原理应该是类似于WWW.XMD5.ORG一样，从高度遍历的密钥数据库中查找相关记录（这个应该相当快的），40位的加密也不够强大。

另外，网上竟然有人拿他炒，吹嘘自己如何如何了的，可迅速解OFFICE密码。虽说吹牛的人并不脸红，但。。。。拿别人的东西说事，偶看不起！！！

友情链接，你可以选择当中交换链接 raid数据恢复 上海数据恢复 数据恢复 松花粉 硬盘之家 数据库恢复 上海数据恢复 数据恢复 杭州raid数据恢复 南京raid数据恢复 温州raid数据恢复 苏州raid数据恢复 无锡raid数据恢复 镇江raid数据恢复 长沙raid数据恢复 南昌raid数据恢复 广州raid数据恢复 济南raid数据恢复 天津raid数据恢复 北京raid数据恢复 大连raid数据恢复 青岛raid数据恢复 杭州数据恢复 南京数据恢复 温州数据恢复 苏州数据恢复 无锡数据恢复 镇江数据恢复 长沙数据恢复 南昌数据恢复 广州数据恢复 济南数据恢复 天津数据恢复 北京数据恢复 大连数据恢复 青岛数据恢复 raid数据恢复 硬盘修复 disksos 数据恢复 raid数据恢复 数据恢复

    迈拓公司今天发布了其外部存储和备份解决方案的新系列Maxtor OneTouch III，为家庭用户、创意人员和企业高级主管提供广泛的功能、容量和性能，从而使数据备份和保护变得轻而易举。迈拓OneTouch III存储解决方案系列产品将于2006年第一季度末在亚太地区开始渠道发售，其容量从100GB到1TB（1,000GB）不等，为PC和Mac用户提供易用的自动备份和恢复功能。目前，整个迈拓OneTouch III系列产品已集成新的软件工具，包括将两个或多个计算机之间的数据进行同步的功能和系统恢复功能，该功能有助于在PC系统遭受到破坏性间谍软件攻击后将其恢复到一个更加健全的状态。
  
    同时支持FireWire 800/FireWire 400/USB 2.0三用接口的迈拓OneTouch III解决方案，已荣获2006年CES电脑配件类的创新工程设计大奖。其符合工业高标准的产品质量、可完全发挥的用途与功能、独特产品特色和美观的设计品质都是此次获奖的原因所在。为了满足主流的专业创意人员和商务人士的需求，迈拓为其OneTouch III提供了FireWire 400和USB 2.0双接口，以实现快速方便地备份图片、音乐和数据。针对家庭PC市场，迈拓推出单一的USB 2.0的接口型号，提供基本的文件级备份功能。
  
    与2005年10月推出的1TB的迈拓OneTouch III, Turbo Edition一样，扩展后的迈拓OneTouch III系列延续其创新的工业设计、改良后友好的用户界面以及由屡获殊荣的咨询公司frog design inc.重新设计的零售包装。此外，迈拓 OneTouch III系列还以加固的防噪音功能为另一特色、其内置硬盘盒和防震装置增强了额外的耐用程度和硬盘保护功能。全新的用户界面对于Mac和PC用户都很容易操作，使建立和管理数据备份、文件存档和系统设置更加简便易行。所有的迈拓OneTouch外部存储和备份系统都带有迈拓DriveLock™这项附加的数据安全功能，提供一个密码保护选项，在硬盘丢失或被盗时保护存储内容。
  
    “对于个人和企业来说，数字娱乐和数据都已成为我们日常生活中不可或缺的一部分，但绝大多数人仍未养成通过备份来保护有价值的文件的习惯，”迈拓品牌产品部销售副总裁Stacey Lund说，“迈拓致力于为市场提供创新的解决方案，使您轻松简单地丰富、共享和保护您的数字化生活。我们全新的迈拓OneTouch III系列从里到外付诸的精心设计，可让您以最轻松、最可靠的方式来备份和存储图片、视频、游戏、音乐、商务数据和个人信息。”
  
    迈拓根据客户需求和创新科技为其OneTouch III存储解决方案的新系列增加了Sync同步功能，此功能可让您在同一操作平台上自动同步两个或多个系统之间的文件。客户日益希望能在家庭和办公室之间自动轻松地共享数据，同步两台计算机上的文件和文件夹。为了防御间谍软件、广告软件和导致系统变慢或当机的计算机问题，新的迈拓OneTouch III产品系列还配备了系统恢复(System Rollback)功能，该功能可及时将系统恢复到更健康的状态，同时保存Word和Excel文档、图片、音乐和其它数字文件中最近的用户数据。可及时恢复的系统程序包括操作系统、设置和应用程序。
  
    迈拓OneTouch III外部存储和备份解决方案将于2006年第一季度末在亚太地区主要零售商、分销商、网上商店以及网站www.maxstore.com上有售。
  
    制造商对迈拓OneTouch III系列产品的建议零售价（MSRP）从159.95美元（100GB仅配USB 2.0版本）到479.95美元（500GB配三用接口）不等。1TB迈拓 OneTouch III, Turbo Edition的制造商建议零售价为899.95美元。

摘要 该文以SCO UNIX 3.2.4.1版本为例,分析其文件卷结构和磁盘块管理方式,并在此基础上讲述了误删文件恢复的方法。
我们知道,UNIX操作系统是以文件卷作为其文件系统的存储格式的。对于UNIX用户尤其是系统管理员而言,要想更好地掌握UNIX操作系统,熟悉文件卷的结构是很有必要的。由于SCOUNIX在全球的微机UNIX操作系统市场中所占份额最大,在我国更是处于垄断地位,而它的文件卷结构和磁盘块管理方式都和其它UNIX SYSTEM V不完全一样,介绍这方面信息的资料也很少。本文就以SCO UNIX 3.2.4.1版本为例,彻底分析它的文件卷结构和磁盘块管理方式,并在此基础上,讲述一个数据恢复应用--恢复误删的文件。

一、文件卷的结构
文件卷是由大小相同的磁盘块序列组成的。在文件卷偏移量512字节处,有一个长度为512字节的超级块,其后是若干i节点块、位图索引块、位图块、数据块等,如图1所示。
图1
其中,位图索引块和位图块是SCO UNIX专有的,它们含有关于磁盘块管理的重要数据,一般情况下,位图块不止一个,它们的数量和块号是由位图索引块中的数据决定的。4.1版本中,磁盘块的大小是1024字节,因此引导块和超级块合占0号磁盘块。若块尺寸为512字节,则0号块是引导块,1号块是超级块。其中超级块含有文件卷的许多重要信息,如文件卷的大小、位图索引块的位置等。其数据结构放在文件中,具体结构如下:
struct filsys
{
ushort s-isize;
daddr-t s-fsize;
short s-nfree;
daddr-t sfree[NICFREE];
…
};
其中:s-nfree、sfree[NICFREE]是SCO UNIX涉及磁盘块管理的两项重要数据,在其它UNIX SYSTEM V中也有这两项数据,但二者的含义不同。s-nfree是SCO UNIX的文件卷标志,恒为-1;sfree[NICFREE]是位图索引块地址表,表中的数据是位图索引块的块号,对于容量小于2GB的文件卷,只有sfree[0]含有数据。
我们来看一看子文件卷/dev/user的超级块内容:
# hd -abx -s 0x200 -n 0x200 /dev/user
0200 1d 06 00 00 a0 86 01 00 ff ff 00 00 1e 06 00 00
0210 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
*
02d0 00 00 00 00 00 00 00 00 8d 00 8c 00 8b 00 8a 00
02e0 89 00 88 00 87 00 86 00 85 00 84 00 83 00 82 00
02f0 81 00 80 00 7f 00 7e 00 7d 00 7c 00 *** 00 7a 00
0300 79 00 78 00 77 00 76 00 75 00 74 00 73 00 72 00
0310 71 00 70 00 6f 00 6e 00 6d 00 6c 00 6b 00 6a 00
0320 69 00 68 00 67 00 66 00 65 00 64 00 63 00 62 00
0330 61 00 60 00 5f 00 5e 00 5d 00 5c 00 5b 00 5a 00
0340 59 00 58 00 57 00 56 00 55 00 54 00 53 00 52 00
0350 51 00 50 00 4f 00 4e 00 4d 00 4c 00 4b 00 4a 00
0360 49 00 48 00 47 00 46 00 45 00 44 00 43 00 42 00
0370 41 00 40 00 3f 00 3e 00 3d 00 3c 00 3b 00 3a 00
0380 39 00 38 00 37 00 36 00 35 00 34 00 33 00 32 00
0390 31 00 30 00 2f 00 2e 00 2c 00 10 00 1d 00 00 00
03a0 00 00 00 00 74 65 0e 31 01 00 90 01 00 00 00 00
03b0 74 7f 01 00 86 61 00 00 00 00 00 00 00 00 00 00
03c0 00 00 00 00 10 00 00 00 01 00 00 00 1d 06 00 00
03d0 1d 06 00 00 00 e0 14 f1 00 00 00 00 00 00 00 00
03e0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
03f0 00 00 00 00 c4 37 18 4b 21 7e 18 fd 02 00 00 00
0400
从上可见,文件卷/dev/user只有一个位图索引块,其块号是0x61e它在文件卷中的偏移量是0x61e*0x400=0x187400字节。位图索引块的数据结构是长整型数组,数组中的数据是它所管理的位图块的块号。
下面是位图索引块0x61e的数据。
# hd alx -s 0x187800 -n 0x400 /dev/user
187800 0000061d 0000261d 0000461d 0000661d
187810 0000861d 0000a61d 0000c61d 0000e61d
187820 0001061d 0001261d 0001461d 0001661d
187830 0001861d 00000000 00000000 00000000
187840 00000000 00000000 00000000 00000000
*
187c00
由此可见,该位图索引块管理的位图块有0x61d,0x261d,……,0x1861d。位图块的数据结构可以看作是一个长度为1024字节的二进制数。该数中的每一位都是反映某个磁盘块使用情况的标志位。若该位为1,则表明该磁盘块未被使用,是空闲块;若该位为0,则表明该磁盘块已被使用。该标志位所代表的磁盘块的块号等于位图块号加上标志位在二进制数中的偏移量。下面是位图块0x61d的数据。
# hd -abx -s 0x187400 -n 0x400 /dev/user
187400 00 1c 00 00 00 00 20 00 80 ff 00 00 07 9c ff ff
187410 f8 ff 80 ff ff ff ff ff ff ff ff ff ff ff fe ff
187420 00 00 ff ff 00 00 00 00 00 00 00 00 00 00 ff ff
187430 ff ff bf ff 00 00 00 00 00 00 f8 ff ff ff ff ff
187440 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
*
187800

二、误删文件的恢复
在UNIX系统下,常常发生误删文件的情况,造成意外损失。其实,只要在文件恢复之前不向系统申请分配磁盘块和写数据,误删的文件是完全可以恢复的。因为删除一个文件,只是释放了该文件所占用的i节点和磁盘块资源,而记录文件数据的磁盘块的内容还未被清除。只要找到这些磁盘块,重建文件的i节点,便可恢复误删的文件了。

1.SCO UNIX分配磁盘块算法
由于一个磁盘块的大小为1024字节,所以一个位图块可以管理0x400*8=0x2000个磁盘块。那么,下一个位图块的块号就是0x61d+0x2000=0x261d。这与位图索引块中的数据是相符的。那么,位图块0x61d管理着块号为0x61d-0x261c的磁盘块。由以上数据可见,在这个位图块中,第一个被使用的磁盘块块号是0x61d,即位图块本身。第一个空闲块块号由0x187401处字节0x1c的第2位指示,是0x627。由于该位图块是文件卷中的第一个位图块,所以0x627号磁盘块也是文件卷中的第一个空闲块。当我们向系统申请磁盘块时,系统通过超级块、位图索引块、位图块来寻找那些标志位为1的块,然后将相应的标置位置0。当释放一个磁盘块时,系统就将相应的标志位置1。现在,我们就可以判断出文件卷中的每一个磁盘块是否被使用了。但是仅赁这些还不能完全恢复误删的文件,我们还得了解SCO UNIX分配磁盘块的算法。为了使一个文件所占用的磁盘块相对集中,SCO UNIX是按照特定的算法来选择空闲块分配给文件的。假设某文件所占用的最后一个磁盘块的块号为m,现在要再分配一磁盘块给该文件,若该文件是新文件则m=0。分配算法的流程图如图2。
图2
现在我们在文件卷/dev/user下创建一个新文件1.tmp,根据以上磁盘块分配算法,可以推测它将占据磁盘块0x627,那么0x187401处的字节的第2位将置0,变为0x18。
# cat> 1.tmp
1234567 ^c
# hd -abx -s 0x187400 -n 0x400 /dev/user
187400 00 18 00 00 00 00 20 00 80 ff 00 00 07 9c ff ff
187410 f8 ff 80 ff ff ff ff ff ff ff ff ff ff ff fe ff
187420 00 00 ff ff 00 00 00 00 00 00 00 00 00 00 ff ff
187430 ff ff bf ff 00 00 00 00 00 00 f8 ff ff ff ff ff
187440 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
*
187800
磁盘块0x627的内容如下:
# hd -s 0x189c00 -n 0x400 /dev/user
189c00 31 32 33 34 35 36 37 1a 00 00 00 00 00 00 00 00 1
234567……
189c10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
……………
*
18a000
我们再把1.tmp删除,释放磁盘块0x62f,则0x187401处字节又成为0x1c。
# rm 1.tmp
# hd -abx -s 0x187400 -n 0x400 /dev/user
187400 00 1c 00 00 00 00 20 00 80 ff 00 00 07 9c ff ff
187410 f8 ff 80 ff ff ff ff ff ff ff ff ff ff ff fe ff
187420 00 00 ff ff 00 00 00 00 00 00 00 00 00 00 ff ff
187430 ff ff bf ff 00 00 00 00 00 00 f8 ff ff ff ff ff
187440 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
*
187800
磁盘块0x627的内容没有丢失:
# hd -s 0x189c00 -n 0x400 /dev/user
189c00 31 32 33 34 35 36 37 1a 00 00 00 00 00 00 00 00
1234567……
189c10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
……………
*
18a000
由于系统每次分配磁盘块给文件时,都遵循这一算法,所以当文件被删除后,我们同样可以按照这一算法推算出原本属于该文件的磁盘块号,这样我们就能完全恢复误删的文件了。

2.误删文件的恢复
根据以上SCO UNIX文件卷结构和磁盘块管理的特点,笔者编制了一恢复误删文件的程序并投入使用,挽救了许多数据。限于篇幅,这里只给出软件的构思和磁盘块分配算法函数getNextFreeBlock(long BN)的源代码。软件构思是这样的,首先在被误删文件的文件卷下,创建一新文件,不向该文件写任何数据即关闭它,然后调用系统函数stat (char* path, structstat* buf)得到该文件的i节点,再根据磁盘块分配算法在文件卷上寻找将分配的空闲块,将块号填入i节点的磁盘块地址表并把相应位图块中的标志位置0;由于SCO UNIX把已分配磁盘块中未被使用的字节全部署0,所以我们只要找到一个尾部字节全部为0的磁盘块,就可以认为它是文件的最后一个磁盘块了,由这些磁盘块的数量和最后一个磁盘块中有效字节的长度,可以算出文件的字节长度,将此长度值也填入i节点,再把该i节点写回文件卷即可。i节点的数据结构在文件中,如下:
struct dinode
{
ushort dimode;
short dinlink;
ushort diuid;
ushort digid;
off-t disize;
char diaddr[40]; /*磁盘块地址表*/
.
.
.
};
对于大文件的一次间址块、二次间址块和三次间址块的块号,只要稍做处理即可找到,这里不再赘述,留给读者思考。
函数getNextFreeBlock(long BN)的返回值是文件卷中下一个将要分配的空闲块的块号,失败时返回-1,表明已无空闲块可分配。输入参数是起始块号,若是分配给文件的第一块,则BN为0。源代码如下,其中BBIT存放的是文件卷位图索引块的数据。函数readABlock (longBN, void* buf)的功能是将文件卷的BN号磁盘块的内容读入缓冲区buf。
extern long BBIT[0x100];
long getNextFreeBlock(long BN)
{
long lg;
ushort uBuf[0x200];
int i,k,m,n;
if (BN>superBlock,s-fsize)
return -1;
sync();
for (k=BN{
readABlock(BBIT[k],uBuf);
for (m=(BBIT[k]{
n=(BBIT[k]+m*0x10)>BN?0:(BN-BBIT[k]-m*0x10+1);
while (n<0x10&&(uBuf[m]&(1<++n;
if (n!=0x10)
{
lg=BBIT[k]+m*0x10+n;
i=0x10-(BN-BBIT[0])%0x10;
if (BN==0||lg(((lg-BBIT[0])%0x10)=0&&uBuf[m]==0xffff))
return lg;
}
}
}
return -1;
}
注意,在恢复文件之后,为了使系统的内存超级块和文件卷上的超级块保持一致,对于子文件卷和根文件卷,应分别执行以下命令:
# fsck -f y /dev/user
# fsck -f y -b /dev/root
显然,掌握了SCO UNIX文件卷的结构特点和磁盘块的管理方式后,我们还能进行更多的应用。比如磁盘块使用情况图、文件磁盘块规整等等。由于当前涉及SCO UNIX内核设计方面的资料太少,笔者对它也只有一个初步地探索。在这里,笔者殷切地希望此篇拙作还能起一抛砖引玉之用。

以上信息由 RAID磁盘阵列数据恢复  共同收集发布

就算硬盘的日常使用与维护再好，都有可能产生坏道（其中的原因很多，比如：硬盘的质量问题等）。一旦硬盘出现了坏道，大家也不必惊慌，我把一些识别与修复硬盘坏道的方法告诉大家，帮助大家度过难关。
　　硬盘的坏道共分两种：逻辑坏道和物理坏道。逻辑坏道为软坏道，大多是软件的操作和使用不当造成的，可以用软件进行修复；物理坏道为真正的物理性坏道，它表明硬盘的表面磁道上产生了物理损伤，大都无法用软件进行修复，只能通过改变硬盘分区或扇区的使用情况来解决。
　　知道了硬盘产生坏道的原理，现在让我们来看看硬盘产生坏道的一般现象。
　　在你打开、运行或拷贝某一文件、程序时，硬盘的操作速度变慢，长时间反复读盘，然后出错，或Windows提示“无法读取或无法写入文件”，严重时出现蓝屏等现象。
　　硬盘读写的声音由原来的“嚓嚓”的摩擦声变为怪声。
　　每次进入系统时都自动运行Scandisk进行硬盘扫描，或硬盘扫描时出现红色的“B”的标记。
　　在排除病毒的情况下，电脑启动时无法从硬盘引导。自检时，屏幕提示“Hard disk drive failure”或“Hard drive controller failure”及类似信息。
　　硬盘无法启动时，用软盘进行引导，出现“Sector not found”或“General error in reading drive C”等信息。还有就是可以转到硬盘所在盘符，但无法进入。
　　格式化硬盘时，到某一进度停滞不前，最后报错退出。
　　对硬盘用“Fdisk”命令进行分区时，到某一进度会反复进进退退，不能完成。
　　如果你在日常对电脑的使用过程中，出现了上述情况或类似现象，那可要小心了，你的硬盘可能已经出现坏道！
　　首先，我们先确认硬盘的坏道是逻辑坏道还是物理坏道，方法很简单。在电脑刚刚启动时，按“F8”键，选择“Command Prompt only”进入DOS模式（操作系统必须为Win95/98，若为Win2000/XP请使用DOS启动盘），执行“scandisk x:”（X为盘符），Scandisk程序便会检查硬盘，对产生的逻辑坏道会自行弹出对话框，选择“Fix it”对逻辑坏道进行初级修复。如扫描程序在某一进度停滞不前，那么硬盘就有了物理坏道。
　　对于已进行初步修复的仍有逻辑坏道的硬盘，正常启动后回到Windows下，进入“我的电脑”中选择有逻辑坏道的硬盘，单击鼠标右键，选择“属性”→“工具”→“开始检查”就弹出“磁盘扫描程序”，选中“完全”并将“自动修复错误”打上勾（如图1），单击“开始”，就开始对该分区进行扫描和修复。
　　而对于有物理坏道的硬盘，上述方法就无能为力了，但也不是没有办法。
　　最简单的方法就是，如果硬盘还没过质保期，就去找销售商，让其想办法（别忘了带发票）。但如果过了质保期或遇到了*商，就只好自己想办法了，下面我就介绍一种用“PartitionMagic”（分区魔术师，以下简称PM）修复硬盘的方法。
　　道理很简单，通过对硬盘的重新分区，隐藏有物理坏道的硬盘空间，对其实行隔离。具体的作法是：首先启动PM，选中“Operations”菜单下的“Check”命令，对硬盘进行直接扫描，标记坏簇后，选中“Operations”菜单下的 “Advanced”→“bad sector retset”（如图2），最后把坏簇分成一个独立的分区，再通过“Hide partiton”命令将分区隐藏，至此大功告成。
　　如果电脑启动时出现信息“TRACK 0 BAD,DISK UNUSABLE”，那么修复起来就比较麻烦，因为此信息说明硬盘的零磁道损坏了，一般出现这种情况，大多数人就把硬盘作报废处理。但并非绝对不能修复，原理十分简单，只要用1扇区代替0扇区就行了，下面让我们试试吧！
　　这次请“DiskMan”来帮助我们，它是一款比较常用的硬盘工具，大家可以在华军软件园下载（bj.onlinedown.net）。下载后在纯DOS运行，在“硬盘”菜单中选中要修改的盘（一般为C盘），然后依次进入“工具”→“参数修改”→将“起始柱面”的值由“0”改为“1”，确定后保存退出。就可以对硬盘进行重新分区了。
　　如果出现问题后上述方法均不奏效，那只好使用终极大法——低级格式化。这是笔者最不推荐使用的一种方法，因为低格会重新划分磁道和扇区、标准地址信息、设置交*因子等信息，会对硬盘造成剧烈磨损，对于已存在物理坏道的硬盘更是雪上加霜，且低格会将所有的数据清空，更是一个不可逆的过程。因此不到万不得已，千万不要低格。常用的低格工具有DM万用版，LFORMAT等，均可在华军软件园下载。切记，低格后的硬盘一定要用 “FORMAT”进行高级格式化后才能使用。

 

说到数据恢复，我们就不能不提到硬盘的数据结构、文件的存储原理，甚至操作系统的启动流程，这些是你在恢复硬盘数据时不得不利用的基本知识。即使你不需要恢复数据，理解了这些知识（即使只是稍微多知道一些），对于你平时的电脑操作和应用也是很有帮助的。
我们就从硬盘的数据结构谈起吧……

硬盘数据结构

初买来一块硬盘，我们是没有办法使用的，你需要将它分区、格式化，然后再安装上操作系统才可以使用。就拿我们一直沿用到现在的Win9x/Me系列来说，我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT、DIR和Data等五部分（其中只有主引导扇区是唯一的，其它的随你的分区数的增加而增加）。

主引导扇区

主引导扇区位于整个硬盘的0磁道0柱面1扇区，包括硬盘主引导记录MBR（Main Boot Record）和分区表DPT（Disk Partition Table）。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序（也就是操作系统引导扇区）调入内存加以执行。至于分区表，很多人都知道，以80H或00H为开始标志，以55AAH为结束标志，共64字节，位于本扇区的最末端。值得一提的是，MBR是由分区程序（例如DOS 的Fdisk.exe）产生的，不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一个，只要它能完成前述的任务即可，这也是为什么能实现多系统启动的原因（说句题外话:正因为这个主引导记录容易编写，所以才出现了很多的引导区病毒）。

操作系统引导扇区

OBR（OS Boot Record）即操作系统引导扇区，通常位于硬盘的0磁道1柱面1扇区（这是对于DOS来说的，对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区），是操作系统可直接访问的第一个扇区，它也包括一个引导程序和一个被称为BPB（BIOS Parameter Block）的本分区参数记录表。其实每个逻辑分区都有一个OBR，其参数视分区的大小、操作系统的类别而有所不同。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件（例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS）。如是，就把第一个文件读入内存，并把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元（Al[] Unit，以前也称之为簇）的大小等重要参数。OBR由高级格式化程序产生（例如DOS 的Format.com）。

文件分配表

FAT(File Al[] Table)即文件分配表，是DOS/Win9x系统的文件寻址系统，为了数据安全起见，FAT一般做两个，第二FAT为第一FAT的备份, FAT区紧接在OBR之后，其大小由本分区的大小及文件分配单元的大小决定。关于FAT的格式历来有很多选择，Microsoft 的DOS及Windows采用我们所熟悉的FAT12、FAT16和FAT32格式，但除此以外并非没有其它格式的FAT，像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。

目录区

DIR是Directory即根目录区的简写，DIR紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置，FAT还必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件（目录）的起始单元（这是最重要的）、文件的属性等。定位文件位置时，操作系统根据DIR中的起始单元，结合FAT表就可以知道文件在磁盘的具体位置及大小了。在DIR区之后，才是真正意义上的数据存储区，即DATA区。

数据区

DATA虽然占据了硬盘的绝大部分空间，但没有了前面的各部分，它对于我们来说，也只能是一些枯燥的二进制代码，没有任何意义。在这里有一点要说明的是，我们通常所说的格式化程序（指高级格式化，例如DOS下的Format程序），并没有把DATA区的数据清除，只是重写了FAT表而已，至于分区硬盘，也只是修改了MBR和OBR，绝大部分的DATA区的数据并没有被改变，这也是许多硬盘数据能够得以修复的原因。但即便如此，如MBR/OBR/FAT/DIR之一被破坏的话，也足够咱们那些所谓的DIY老鸟们忙乎半天了……需要提醒大家的是，如果你经常整理磁盘，那么你的数据区的数据可能是连续的，这样即使MBR/FAT/DIR全部坏了，我们也可以使用磁盘编辑软件（比如DOS下的DiskEdit），只要找到一个文件的起始保存位置，那么这个文件就有可能被恢复（当然了，这需要一个前提，那就是你没有覆盖这个文件……）。

硬盘分区方式

我们平时说到的分区概念，不外乎三种:主分区、扩展分区和逻辑分区。

主分区是一个比较单纯的分区，通常位于硬盘的最前面一块区域中，构成逻辑C磁盘。在主分区中，不允许再建立其它逻辑磁盘。

扩展分区的概念则比较复杂，也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间，而每个分区的参数占据16个字节，故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据，如果说逻辑磁盘就是分区，则系统最多只允许4个逻辑磁盘。对于具体的应用，4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用，系统引入了扩展分区的概念。

所谓扩展分区，严格地讲它不是一个实际意义的分区，它仅仅是一个指向下一个分区的指针，这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外，仅需要存储一个被称为扩展分区的分区数据，通过这个扩展分区的数据可以找到下一个分区（实际上也就是下一个逻辑磁盘）的起始位置，以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘，在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。

需要特别注意的是，由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的，因此，若单向链表发生问题，将导致逻辑磁盘的丢失。

数据存储原理

既然要进行数据的恢复，当然数据的存储原理我们不能不提，在这之中，我们还要介绍一下数据的删除和硬盘的格式化相关问题……

文件的读取

操作系统从目录区中读取文件信息（包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号），我们这里假设第一个簇号是0023。

操作系统从0023簇读取相应的数据，然后再找到FAT的0023单元，如果内容是文件结束标志（FF），则表示文件结束，否则内容保存数据的下一个簇的簇号，这样重复下去直到遇到文件结束标志。

文件的写入

当我们要保存文件时，操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信息，然后在Data区找到闲置空间将文件保存，并将Data区的第一个簇写入DIR区，其余的动作和上边的读取动作差不多。

文件的删除

看了前面的文件的读取和写入，你可能没有往下边继续看的信心了，不过放心，Win9x的文件删除工作却是很简单的，简单到只在目录区做了一点小改动――将目录区的文件的第一个字符改成了E5就表示将改文件删除了。

Fdisk和Format的一点小说明

和文件的删除类似，利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘（假设你格式化的时候并没有使用/U这个无条件格式化参数）都没有将数据从DATA区直接删除，前者只是改变了分区表，后者只是修改了FAT表，因此被误删除的分区和误格式化的硬盘完全有可能恢复……

编辑：数据恢复

在Internet大众化及Web技术飞速演变的今天，在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升，以及基子Web的攻击和破坏的增长，安全风险达到了前所未有的高度。由于众多安全工作集中在网络本身上面，Web应用程序几乎被遗忘了。也许这是因为应用程序过去常常是在一台计算机上运行的独立程序，如果这台计算机安全的话，那么应用程序就是安全的。如今，情况大不一样了，Web应用程序在多种不同的机器上运行：客户端、Web服务器、数据库服务器和应用服务器。而且，因为他们一般可以让所有的人使用，所以这些应用程序成为了众多攻击活动的后台旁路。

   由于Web服务器提供了几种不同的方式将请求转发给应用服务器，并将修改过的或新的网页发回给最终用户，这使得非法闯入网络变得更加容易。

   而且，许多程序员不知道如何开发安全的应用程序。他们的经验也许是开发独立应用程序或Intranet Web应用程序，这些应用程序没有考虑到在安全缺陷被利用时可能会出现灾难性后果。

   其次，许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。这些攻击行动直接通过了周边防火墙安全措施，因为端口80或443（SSL，安全套接字协议层）必须开放，以便让应用程序正常运行。Web应用程序攻击包括对应用程序本身的DoS（拒绝服务）攻击、改变网页内容以及盗走企业的关键信息或用户信息等。

   总之，Web应用攻击之所以与其他攻击不同，是因为它们很难被发现，而且可能来自任何在线用户，甚至是经过验证的用户。迄今为止，该方面尚未受到重视，因为企业用户主要使用防火墙和入侵检测解决方案来保护其网络的安全，而防火墙和入侵检测解决方案发现不了Web攻击行动。

   常见的Web应用安全漏洞

   下面将列出一系列通常会出现的安全漏洞，并且简单解释一下这些漏洞是如何产生的。

   已知弱点和错误配置

   已知弱点包括Web应用使用的操作系统和第三方应用程序中的所有程序错误或者可以被利用的漏洞。这个问题也涉及到错误配置，包含有不安全的默认设置或管理员没有进行安全配置的应用程序。一个很好的例子就是你的Web服务器被配置成可以让任何用户从系统上的任何目录路径通过，这样可能会导致泄露存储在Web服务器上的一些敏感信息，如口令、源代码或客户信息等。

   隐藏字段

   在许多应用中，隐藏的HTML格式字段被用来保存系统口令或商品价格。尽管其名称如此，但这些字段并不是很隐蔽的，任何在网页上执行“查看源代码”的人都能看见。许多Web应用允许恶意的用户修改HTML源文件中的这些字段，为他们提供了以极小成本或无需成本购买商品的机会。这些攻击行动之所以成功，是因为大多数应用没有对返回网页进行验证；相反，它们认为输入数据和输出数据是一样的。

   后门和调试漏洞

   开发人员常常建立一些后门并依靠调试来排除应用程序的故障。在开发过程中这样做可以，但这些安全漏洞经常被留在一些放在Internet上的最终应用中。一些常见的后门使用户不用口令就可以登录或者访问允许直接进行应用配置的特殊URL。

   跨站点脚本编写

   一般来说，跨站点编写脚本是将代码插入由另一个源发送的网页之中的过程。利用跨站点编写脚本的一种方式是通过HTML格式，将信息帖到公告牌上就是跨站点脚本编写的一个很好范例。恶意的用户会在公告牌上帖上包含有恶意的JavaScript代码的信息。当用户查看这个公告牌时，服务器就会发送HTML与这个恶意的用户代码一起显示。客户端的浏览器会执行该代码，因为它认为这是来自Web服务器的有效代码。

   参数篡改

   参数篡改包括操纵URL字符串，以检索用户以其他方式得不到的信息。访问Web应用的后端数据库是通过常常包含在URL中的SQL调用来进行的。恶意的用户可以操纵SQL代码，以便将来有可能检索一份包含所有用户、口令、信用卡号的清单或者储存在数据库中的任何其他数据。

   更改cookie

   更改cookie指的是修改存储在cookie中的数据。网站常常将一些包括用户ID、口令、帐号等的cookie存储到用户系统上。通过改变这些值，恶意的用户就可以访问不属于他们的帐户。攻击者也可以窃取用户的cookie并访问用户的帐户，而不必输入ID和口令或进行其他验证。

   输入信息控制

   输入信息检查包括能够通过控制由CGI脚本处理的HTML格式中的输入信息来运行系统命令。例如，使用CGI脚本向另一个用户发送信息的形式可以被攻击者控制来将服务器的口令文件邮寄给恶意的用户或者删除系统上的所有文件。

   缓冲区溢出

   缓冲区溢出是恶意的用户向服务器发送大量数据以使系统瘫痪的典型攻击手段。该系统包括存储这些数据的预置缓冲区。如果所收到的数据量大于缓冲区，则部分数据就会溢出到堆栈中。如果这些数据是代码，系统随后就会执行溢出到堆栈上的任何代码。Web应用缓冲区溢出攻击的典型例子也涉及到HTML文件。如果HTML文件上的一个字段中的数据足够的大，它就能创造一个缓冲器溢出条件。

   直接访问浏览

   直接访问浏览指直接访问应该需要验证的网页。没有正确配置的Web应用程序可以让恶意的用户直接访问包括有敏感信息的URL或者使提供收费网页的公司丧失收入。

   Web应用安全两步走

   Web应用攻击能够给企业的财产、资源和声誉造成重大破坏。虽然Web应用增加了企业受攻击的危险，但有许多方法可以帮助减轻这一危险。首先，必须教育开发人员了解安全编码方法。仅此项步骤就会消除大部分Web应用的安全问题。其次，坚持跟上所有厂商的最新安全补丁程序。如果不对已知的缺陷进行修补，和特洛伊木马一样，攻击者就能很容易地利用你的Web应用程序穿过防火墙访问Web服务器、数据库服务器、应用服务器等等。将这两项步骤结合起来，就会大大减少Web应用受到攻击的风险。同时管理人员必须采取严格措施，以保证不让任何东西从这些漏洞中溜过去。

电脑办公存在的最大风险莫过于数据丢失，辛勤劳作的结果往往只因为一个小小的失误而付诸东流；因此，掌握一定的数据恢复知识是每一个电脑办公人员都需具备的技术素质。然而，什么是数据恢复、数据丢失之后怎样才能恢复？面对种种疑问下的数据恢复工作，你知道怎么应对吗？

问：上次我在整理系统时，误将一个系统文件删除了，导致计算机运行不正常，请问有没  


  


有办法恢复？

答：如果文件被删到回收站，可以通过回收站的还原功能来恢复：打开"回收站"，并选中被删的文件；然后单击"回收站任务"栏中的"还原此项目"即可。如果回收站中找不到被删的文件，也可以通过"系统还原"来恢复，操作如下：鼠标依次单击"开始→程序→附件→系统工具→系统还原"，打开"系统还原"向导；在向导界面中选择"恢复我的计算机到一个较早的时间"复选框，单击"下一步"继续；在"日历"中选择系统还原点，此还原点应该选择文件删除之前的日期，单击"下一步"继续；确认还原点，单击"下一步"，系统重启后即可。

问：由于突然断电，我编辑的Word文档没有及时保存，请问如何找回没有保存的Word数据？

答：在使用Word 2002 或是Word 2003这两个版本中，当你遭遇突然断电后，再次启动系统并打开Word后，系统会自动弹出一个列表，从中找到那个没有保存的文件并打开，再将其重新保存即可。以后，在编辑重要的Word文档时，请设置自动保存功能，让系统每隔多少时间保存一次，这样风险会变小很多。

问：你好！我的一份Word文档，在执行"打开"操作时弹出文件损坏的提示，也查看不到任何内容，请问该如何恢复？

答：如果Word文档受损，可以通过Word文件转换器从任意文件中恢复文档，操作如下：打开或新建一个Word文档；单击"工具"菜单中的"选项"命令，在弹出的"选项"对话框中选择"常规"选项卡，并选中"打开时确认转换"复选框，单击确定按钮；单击"文件"菜单中的"打开"命令，在"文件类型"中选择"从任意文件中恢复文本"；将"查找范围"定位到受损的Word文档，并单击"打开"按钮即可。

硬盘是计算机中极为重要的存储设备，计算机工作所用到的全部文件系统和数据资料的绝大多数都存储在硬盘中。硬盘是产生计算机软故障最主要的地方，常见的硬盘软故障有：硬盘重要参数及文件丢失，电脑不能起动；碎片过多，电脑运行速度变慢；硬盘分区后丢失容量等。对付硬盘软故障，只要我们肯动脑并利用一些硬盘维护工具，发挥一不怕苦、二不怕（硬盘）死的革命精神，外加胆大心细，当然还要掌握硬盘基本常识，这样就可以轻松搞定（说的容易、做起来可不简单 ）。因此，我收集了大量的资料整理汇编了“硬盘软故障完全修复手册”，希望能在与大家一起学习的过程中掌握硬盘常见故障的排除方法，做到“自已动手、丰衣足食”，凡事不求人的目的。
大家知道，一个硬盘要能存放文件，必须经过硬盘分区，格式化等操作步骤，因为经过这些步骤之后，在硬盘中就建立起了主分区，引导分区，确定了FAT16或FAT32文件表。主分区的作用是保存硬盘中各逻辑分区在盘片上起始位置和终止位置及分区的容量大小。引导分区的作用是在固定的位置存放有操作系统文件，在电脑送电或复位时，由BIOS程序将处于固定位置的系统文件装入内存，再将电脑控制权交给系统文件人而完成引导过程。扩展分区作为一个主分区占用了主分区表的一个表项。在扩展分区起始位置所指示的扇区（即该分区的第一个扇区）中，包含有第一个逻辑分区表，同样从1BEH字节开始，每个分区表项占用16个字节。逻辑分区表一般包含两个分区表项，一个指向某逻辑分区，另一个则指向下一个扩展分区。下一个扩展分区的首扇区又包含了一个逻辑分区表，
这样以此类推，扩展分区中就可以包含多个逻辑分区。下面我们就来学习一下硬盘数据的基本结构。
★ 硬盘的数据结构 ★
① MBR（Main Boot Record 主引导记录区）
MBR位于整个硬盘的0磁道0柱面1扇区，包括硬盘引导程序和分区表。在总共512字节的硬盘主引导扇区中，MBR只占用了其中的446个字节，其最后两个字节“55 AA”是分区的结束标志。另外的64个字节交给了DPT（Disk Partition Table 硬盘分区表），从1BEH字节开始，共占用64个字节，包含四个分区表项。每个分区表项的长度为16个字节，它包含一个分区的引导标志、系统标志、起始和结尾的柱面号、扇区号、磁头号以及本分区前面的扇区数和本分区所占用的扇区数。其中“引导标志”表明此分区是否可引导，即是否活动分区。当引导标志为“80”时，此分区为活动分区；“系统标志”决定了该分区的类型，如“06”为FAT16分区，“0B”为FAT32分区，“07”为NTFS分区，“63”为UNIX分区，等；起始和结尾的柱面号、扇区号、磁头号指明了该分区的起始和终止位置。
我们假设一个硬盘分区表从1BEH字节开始的16个字节为 80 01 01 00 06 0D 68 6D 28 00 00 00 78 20 03 00
硬盘分区表项的16个字节分配如下：
第1字节：是一个分区的激活标志，表示系统可引导。如是0则表示非活动分区。
　　 第2字节：该分区起始磁头（HEAD）号
　　 第3字节：该分区起始扇区（Sector）号
　　 第4字节：该分区起始的柱面（Cylinder）号
　　 第5字节：该分区系统类型标志
第6—8字节：该分区终止磁头（HEAD）号、分区结束的扇区号、分区结束的柱面号
　　 第9-12字节：该分区首扇区的相对扇区号
　　 第13-16字节：该分区占用的扇区总数
　　 以上参数我们可以用NU 8.0中DISKEDIT工具软件可轻松获取，其功能非常强大，但应用不当会有很大错误，请各位注意使用方法。操作步骤如下：
以一台硬盘为270 MB，分为C盘（100 MB）和D盘（170 MB）的机子（老掉牙了 ^_^）为例，在纯DOS下启动DISKEDIT → 在对象菜单（Object）上选中驱动器（Drive）和物理磁盘选项后确定 → 在对象菜单（Object）上选中分区表（Partition Table） → 在显示菜单（View）中选择十六进制（Hex）
以下数据为主分区信息：
000001B0: 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 80 01
000001C0: 01 00 06 0D 68 6D 28 00 - 00 00 78 20 03 00 00 00
000001D0: 41 6E 05 0D E8 AE A0 20 - 03 00 30 EE 04 00 00 00
000001E0: 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00
000001F0: 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 55 AA
② DBR（Dos Boot Record 操作系统引导记录区）
它通常位于硬盘的0磁道1柱面1扇区，是操作系统可直接访问的第一个扇区，它包括一个引导程序和一个被称为BPB（BIOS Parameter Block）的本分区参数记录表。引导程序的主要任务是当MBR将系统控制权交给它时，判断本分区跟目录前两个文件是不是操作系统的引导文件（以DOS为例，即是Io.sys和Msodos.sys）。如果确定存在，就把它们读入内存，并把控制权交给该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元的大小等重要参数。DBR是由高级格式化程序（即Format等程序）所产生的。
③ FAT（File Allocation Table 文件分配表）
FAT是DOS、Windows 9X系统的文件寻址格式，位于DBR之后。
在解释文件分配表的概念的时候，我们有必要谈谈簇（Cluster）的概念。文件占用磁盘空间，基本单位不是字节而是簇。一般情况下，软盘每簇是1个扇区，硬盘每簇的扇区数与硬盘的总容量大小有关，可能是4、8、16、32、64……
同一个文件的数据并不一定完整地存放在磁盘的一个连续的区域内，而往往会分成若干段，像一条链子一样存放。这种存储方式称为文件的链式存储。由于硬盘上保存着段与段之间的连接信息（即FAT），操作系统在读取文件时，总是能够准确地找到各段的位置并正确读出。
为了实现文件的链式存储，硬盘上必须准确地记录哪些簇已经被文件占用，还必须为每个已经占用的簇指明存储后继内容的下一个簇的簇号。对一个文件的最后一簇，则要指明本簇无后继簇。这些都是由FAT表来保存的，表中有很多表项，每项记录一个簇的信息。由于FAT对于文件管理的重要性，所以为了安全起见，FAT有一个备份，即在原FAT的后面再建一个同样的FAT。初形成的FAT中所有项都标明为“未占用”，但如果磁盘有局部损坏，那么格式化程序会检测出损坏的簇，在相应的项中标为“坏簇”，以后存文件时就不会再使用这个簇了。FAT的项数与硬盘上的总簇数相当，每一项占用的字节数也要与总簇数相适应，因为其中需要存放簇号。FAT的格式有多种，最为常见的是FAT16和FAT32。
④ DIR （Directory 根目录区）
DIR位于第二个FAT表之后，记录着根目录下每个文件（目录）的起始单元，文件的属性等。定位文件位置时，操作系统根据DIR中的起始单元，结合FAT表就可以知道文件在硬盘中的具体位置和大小了。
⑤ DATA（数据区）
数据区是真正意义上的数据存储的地方，位于DIR区之后，占据硬盘的大部分空间。当将数据复制到硬盘时，数据就存放在DATA区。