一.MBR分析及恢复方法
1.MBR结构分析
　　主引导扇区是硬盘的第一物理扇区。它由两个部分组成：即主引导记录MBR和硬盘分区表DPT。在总共512字节的主引导分区里其中MBR占446个字节(偏移0--偏移1BDH)，DPT占64个字节(偏移1BEH--偏移1FDH),最后两个字节“55，AA”(偏移1FEH偏移1FFH)是分区的结束标志。大致的结构如下图：

　　图一：主引导扇区结构图
　　主引导记录中包含了硬盘的一系列参数和一段引导程序。引导程序主要是用来在系统硬件自检完后引导具有激活标志的分区上的操作系统。它执行到最后的是一条JMP指令跳到操作系统的引导程序去。这里往往是引导型病毒的注入点，也是各种多系统引导程序的注入点。但是由于引导程序本身完成的功能比较简单，所以我们可以完全地判断该引导程序的合法性(看JMP指令的合法性)，因而也易于修复。象命令fdisk/mbr可以修复MBR和KV300这类软件可以查杀任意类型的引导型病毒，就是这个原因。
　　往下来是硬盘的分区表，由4个16字节的分区信息表组成。每个信息表的结构如下：
　　偏移 长度 所表达的意义
　　0 字节 分区状态： 如0-->非活动分区
　　80--> 活动分区
　　1 字节 该分区起始头(HEAD)
　　2 字 该分区起始扇区和起始柱面
　　4 字节 该分区类型：如82--> Linux Native分区,83--> Linux Swap 分区
　　5 字节 该分区终止头(HEAD)
　　6 字 该分区终止扇区和终止柱面
　　8 双字 该分区起始绝对分区
　　C 双字 该分区扇区数
　　最后的两个标志“55 AA”是分区表的结束标志，如果这两个标志被修改(有些病毒就会修改这两个标志)，则系统引导时将报告找不到有效的分区表。

2.恢复MBR的引导程序
命令: Fdisk /MBR
重写硬盘主引导区,注意中间有个空格
fdisk /mbr 命令适用于：
A. 主引导程序受损
　　此乃常见故障， 硬盘不能自举， 微机死锁， 或显示 boot failure－insert system diskette， ……之类； 经由软盘引导， fdisk 命令能列出分区信息。
　　取硬盘同版本 dos 软盘或应急盘引导， 运行 a>fdisk /mbr 命令，仅向主引导扇区写入当前系统固有的主引导程序， 硬盘即恢复自举能力， 如果 dos 引导信息及系统文件等均正常。
B. 清除嵌入式主引导型病毒
　　此类病毒常见， 它们仅以先导模块嵌入主引导程序， 不触动分区表及检验标志。
C. 清除 lilo 信息
　　在以系统自带的 linux load 过程中， 每修改主引导信息， 籍以引导 linux。 需要时， 删除 linux 分区后， 可用 fdisk /mbr 命令恢复系统固有的主引导程序。

3.备份和恢复分区表

　　一旦分区表被破坏，系统因为无法识别分区，会把硬盘作为一个未分区的裸盘处理，因此造成一些软破坏，DiskMan这个分区表修复维护工具可以帮我们找回硬盘的分区信息.它可以手工修改硬盘有中包括逻辑分区在内的所有数据，能重建被损坏的表，可以按使用者的意愿分区，从而使一个硬盘中多个操作系统共存。它的独特之处在于，采用全中文图形界面，无须任何汉字系统支持，以非常直观的图表提示了分区表的详细结构。
　
　　启动该软件后，它会自动检查硬盘分区参数，发现不合理参数时逐一给出提示。你可以手工修改错误的 参数，方法是:用光标上、下方向键选择(或鼠标点击)要修改的分区，按F11键进入修改状态。在弹出的“修改分区参数”窗口中，将光标移动到要修改的参数 项，键入设定的值后，选“确定”退出即可。对修改过的分区，其序号旁边被标记上蓝色的字母m。如果分区的大小或位置改动过，该分区将被视为新建立的分区， 其序号旁的标志变为红色的字母n，存盘后，该分区的原引导记录将不再起作用或被覆盖。

　　DiskMan中最重要的一项功能就是重建分区表了。如果你的硬盘分区表被分区调整软件(或病 毒)严重破坏，引起硬盘和系统瘫痪，DiskMan可通过未被破坏的分区引导记录信息重新建立分区表。在菜单的工具栏中选择“重建分区”，DiskMan 即开始搜索并重建分区。DiskMan将首先搜索0柱面0磁头从2扇区开始的隐含扇区，寻找被病毒挪动过的分区表。接下来搜索每个磁头的第一个扇区。搜索 过程可以采用“自动”或“交互”两种方式进行。自动方式保留发现的每一个分区，适用于大多数情况。交互方式对发现的每一个分区都给出提示，由用户选择是否 保留。当自动方式重建的分区表不正确时，可以采用交互方式重新搜索，如果重新找回分区，上面的数据都能保留。
　　利用DiskMan手工修改分区参数，需要熟悉分区各参数的意义;而用其“重建分区”功能，也不能保证百分之百正确恢复。所以保护分区表最保险的方法还是备份分区表信息。启动DiskMan后按F9，输入文件名，插入软盘后选择确定即可。如要还原， 只需按F10键，按提示操作，即可将硬盘分区信息完全恢复。
　　此外，DiskMan还能建立分区、激活分区、删除分区、隐藏分区、查看任意扇区数据。它的所有功能都可以通过快捷键和鼠标点击菜单的方式来完成，操作非常方便;并且，所有操作在未存盘前，都在内存中进行，不必担心误操作造成严重后果。

二.DBR的分析和恢复
　　DBR（DOS BOOT RECORD，DOS引导记录），位于柱面0，磁头1，扇区1，即逻辑扇区0。DBR分为两部分：DOS引导程序和BPB（BIOS参数块）。其中DOS引导程序完成DOS系统文件（IO.SYS，MSDOS.SYS）的定位与装载，而BPB用来描述本DOS分区的磁盘信息，BPB位于DBR偏移0BH处，共13字节。 它包含逻辑格式化时使用的参数，可供DOS计算磁盘上的文件分配表，目录区和数据区的起始地址，BPB之后三个字提供物理格式化（低格）时采用的一些参数。引导程序或设备驱动程序根据这些信息将磁盘逻辑地址（DOS扇区号）转换成物理地址（绝对扇区号）。
一般情况下，FAT32分区的DBR备份存储在分区6号扇区，将备份扇复制到0号扇（即DBR扇区）也就解决了

三.文件分配表的分析和恢复
　　Window以簇来管理硬盘空间,一个分区分成同等大小的簇，也就是连续空间的小块。簇的大小随着FAT文件系统的类型以及分区大小而不同，典型的簇大小介于2KB到32KB之间。每个文件根据它的大小可能占有一个或者多个簇；这样，一个文件就由这些这些（称为单链表）簇链所表示。然而，这些链并不一定一个接着一个在磁盘上存储，它们经常是在整个数据区域零散的储存。
　　文件分配表（FAT）是映射到分区每个簇的条目列表。每个条目记录下面五种信息中的一种。
链中下一个簇的地址
一个特殊的文件结束符（EOF）符号指示链的结束
一个特殊的符号标示坏簇
一个特殊的符号标示保留簇
0来表示空闲簇
　　每个版本的FAT文件系统使用不同大小的FAT条目。这个大小已经由名字表示出来，例如FAT16文件系统的每个条目使用16位表示，32位文件系统使用32位表示。这个不同意味着FAT32系统的文件分配表能比FAT16映射更多的簇，它也允许FAT32有更大的分区大小。这也使得FAT32比FAT16更能有效地利用磁盘空间，因为每个驱动器能够寻址更小的簇，这也就意味着更少的空间浪费。

FAT文件分配表出错，造成文件簇链空间分配错误等现象，该怎么修复呢？
　　文件分配表有两个，平时使用的是FAT1,FAT2作为备份，一旦FAT1遭到破坏，就可以用FAT2来更新FAT1，大多数具有扇区读写功能的软件都可以进行更新,不过困难在于需要分析和计算出FAT2的大小和位置.

四.常用的数据恢复软件介绍

1.强大的硬盘数据恢复工具EasyRecovery Pro_6.10
　　不得不先介绍它，因为它的确太强大了，都说它是专业的数据恢复软件呢！一款威力非常强大的硬盘数据恢复工具。能够帮你恢复丢失的数据以及重建文件系统。EasyRecovery 不会向你的原始驱动器写入任何东东，它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。该软件可以恢复大于 8.4GB 的硬盘。支持长文件名。 被破坏的硬盘中像丢失的引导记录、BIOS 参数数据块；分区表；FAT 表；引导区都可以由它来进行恢复。

2.Recover My Files_V3.98_5566
　　RecoverMyFiles下载介绍:Recover My Files可以恢复由于冒失删除的文档，甚至是磁盘格式化后的文件恢复工具，它可以自定义搜索的文件夹、文件类型，以提高搜索速度及准确性节约时间。在搜索过程中，提供了大量的信息，包括：文件名、文件/目录、尺寸、相关日期、状态、对一般性文档可直接预览等，让你更好地选择要恢复的文件。搜索全面，方便查找。

3.老牌的数据恢复工具FinalData2.0企业版
　　在Windows环境下删除一个文件，只有目录信息从FAT或者MFT（NTFS）删除。这意味着文件数据仍然留在你的磁盘上。所以，从技术角度来讲，这个文件是可以恢复的。FinalData就是通过这个机制来恢复丢失的数据的，在清空回收站以后也不例外。另外，FinalData可以很容易地从格式化后的文件和被病毒破坏的文件恢复。甚至在极端的情况下，如果目录结构被部分破坏也可以恢复，只要数据仍然保存在硬盘上。利用 “*.扩展名”方式搜索，更容易找到要恢复的文件哦。

4.易我数据恢复向导Drw_V2.1.0
　　《易我数据恢复向导》是首款国内自主研发的数据恢复软件，是一款功能强大的数据恢复软件。本软件在WINDOWS操作系统下，提供FAT12/ FAT16/FAT32/VFAT/NTFS/NTFS5分区的数据恢复，支持IDE/ATA、SATA、SCSI、USB、IEEE1394种类的硬盘或闪盘、软盘、数码相机、数码摄像机和USB种类的存储盘。本软件具有删除恢复、格式化恢复、高级恢复等非常强大的功能，可以针对不同情况的数据丢失来进行数据恢复。本软件能非常有效的恢复删除或丢失的文件、恢复格式化的分区以及恢复分区异常导致丢失的文件。

5.数据恢复软件FinalRecovery_v2.2.4.217
　　FinalRecovery 是一款强劲的反删除软件。它能以极快的速度扫描您的硬盘、软盘或可移动磁盘，并迅速找出已被删除的文件和文件夹；如果您同时删除了多层目录及其中的文件，您还可以用深度扫描模式尽可能挖掘出目录中每一个可能被恢复的文件和文件夹。专业用户能使用高级恢复功能，通过软件查看文件分配表和簇中的数据将文件恢复。当然您也可以通过查找功能搜索特定的文件或文件夹，搜索请点根目录。支持文件目录结构恢复。