startnews萌新科技 http://blog.tom.com/lengxh zh newblog.tom.com RSS <![CDATA[ 看黑客如何避开安全设备 ]]> http://blog.tom.com/lengxh/article/743.html
黑客的聪明并不只是在于他们知道如何去入侵服务器,还在于他们知道如何去伪装自己的攻击。恶意的攻击者会使用多种逃避的手段来让自己不会被检测到,所以作为系统管理员,也应当了解这些手段以应付可能发生的攻击。 

    这篇文章的主要目的不是揭示黑客新的攻击手法,而是对那些黑客所用到的逃避检测的手法以及他们可能留下的证据做描述。这些手段的欺骗性很大,所以想检测到它们也更加的困难。 

网络服务器 

    我们的实验环境使用两种最常用的网络服务器,Apache和微软的InternetInformationServer(IIS)。我们在RedHatLinux上运行Apache1.3.9,在WindowsNT4.0上运行IIS4.0。并且两种都采用普通和允许SSL的版本,所以我们可以对加密和未加密的服务器的攻击做测试。 

16进制编码 

    一种最简单的将攻击伪装的手段就是修改URL请求。作为管理员,我们一般会在日志文件中查找某些字符串,或是一些普通文本的字符集。例如我们在请求中查找匹配已知漏洞的字符串。例如,我们在我们的IIS服务器中发现了如下的字符串,我们就知道有人正在查找是否有IIS中可以远程利用的MDAC漏洞: 

06:45:2510.0.2.79GET/msadc/302 


    要知道攻击者是如何躲过这种匹配检测的,请参考以下作为恶意攻击者策略一部分的请求。要确定msadc目录是否存在,攻击者可能键入以下内容: 

[root@localhost/root]#nc-n10.0.2.5580 
 
GET/msadcHTTP/1.0 


    这就会产生我们以上所见的日志文件。攻击者可以将请求进行十六进制的ASCII字符编码。在以上的例子中,字符串msadc在十六进制编码以后就会变为6D73616463。你可以使用WindowsCharmap程序来快速的进行字符的ASCII到十六进制的转换。以上的HTTP请求,将字符串msadc用十六进制编码以后,就变成了: 

[root@localhost]#nc-n10.0.2.5580 
 
GET/%6D%73%61%64%63HTTP/1.0 


IIS的日志文件显示: 

07:10:3910.0.2.31GET/msadc/302 


    应当注意的是,虽然采用了十六进制编码的手段,但是所产生的日志和没有使用十六进制编码的URL产生的是一样的。所以在这个例子里,编码并没有帮助攻击者逃避检测。但是,如果我们看看看Apache的日志情况,那么就是另外一个情形了。以下列出了攻击者使用来搜索某个CGI脚本的命令,后面跟着的是使用十六进制编码以后的同样命令: 

[root@localhost]#nc-n10.0.0.280 
 
HEAD/cgi-bin/test-cgiHTTP/1.0 
[root@localhost]#nc-n10.0.0.280 
HEAD/%63%67%69-bin/test-%63%67%69HTTP/1.0 


现在我们来查看一下access_log文件: 

10.10.10.10--[18/Oct/2000:08:22:47-0700]"HEAD/cgi-bin/test-cgiHTTP/1.0"2000 
 
10.10.10.10--[18/Oct/2000:08:23:47-0700]"HEAD/%63%67%69-bin/test-%63%67%69HTTP/1.0"2000 



    首先应注意到的是在这两个例子中都是200代码说明命令完成成功。但是在第二中情况中,日志中出现的是十六进制的值而不是明文的。如果我们是依赖于形式来对这种攻击进行检测的话,那么我们是不可能检测到所发生的攻击的。许多的入侵检测系统使用的格式匹配技术智能化都不高,并且有些产品不会将十六进制的URL转换过后进行匹配。但是不论所使用的入侵检测软件是否能够对十六进制的代码进行转换,所有的网络管理员都应当对这种伎俩有所了解。
代理服务器 

    因为对攻击者而言完全隐藏攻击行为是很难做到的,所以掩盖攻击的真实来源也就成为相当重要的课题了。如果黑客可以隐藏他的源IP地址的话,那么他就可以在不用担心被抓住的情况下进行攻击。而黑客用来隐藏他们的源IP地址的一种手段就是使用代理服务器。 

    代理服务器是被合法的用来从一个单一的访问点转发多种协议的。一般来说,内部用户必须通过代理服务器才能访问Internet,因此管理员就可以在代理服务器指定外部访问以及内部访问的限制策略。用户首先是和代理服务器建立连接,然后代理服务器就将连接请求转发到真正的目的地址。目的地址会记录下代理服务器的IP地址以作为请求的源地址,而不是最初发出请求的系统的IP地址。 

    但是不幸的是代理服务器在Internet上的放置太随意了。(可以查看Proxys-4-All来获得这些错误配置机器的列表。)这些服务器经常会存在配置错误使得Internet用户可以连接到这些代理服务器上。一旦某个Internet用户通过代理服务器连接到某个服务器上,该服务器就会将代理服务器的IP地址作为发出请求的源地址记录在日志中。而在被攻击服务器的日志中对攻击者的记录其IP地址是属于一个没有任何攻击行为的“无辜”主机的,而不是攻击者的真正地址。我们来看以下的例子。 

    下面的例子显示了黑客的攻击和攻击在日志中产生的相关信息。 

攻击者 
 
[root@10.1.1.1/]#nc-v10.8.8.880 
HEAD/HTTP/1.0 
日志文件 
10.1.1.1--[18/Oct/2000:03:31:58-0700]"HEAD/HTTP/1.0"2000 
    在下面这种情况中,我们看到攻击者达到了同样的目的,但是这次他使用了代理服务器。 
攻击者 
[root@10.1.1.1/]#nc-v216.234.161.8380 
HEAD


]]> 2006-10-08 10:25:09 <![CDATA[ 如何预防存储区域网络SAN风险和威胁 ]]> http://blog.tom.com/lengxh/article/742.html
  下图显示了攻击威胁对存储网络的各个可能切入点,每一个攻击点都有可能成为后续攻击的垫脚石。为了保证高度的安全保护,SAN系统管理员必须在入侵者和数据之间设置多个监测点。认识各个攻击点有助制定相应的抗击对策。就象一座城堡拥有多种抵御入侵者的武器,企业同样必须安装多个屏障来阻挡安全威胁。


  图注:本文介绍了7个攻击的入侵点。其中一个最重要的是带外以太网与交换机或其它设备的连接。限制这个连接的访问权限是保证安全的重要环节。

  攻击点跨越基础设施的多个层次。第1、5和6点从物理层上开始,在光缆连接到装置时发作。1到4点可能在物理连接完成后启动。如果掌握每个攻击点的具体威胁,则可以定出最有效的对策,本文将分析下列各类威胁:

  未经授权的访问
  欺骗 (Spoofing)
  数据盗窃(Sniffing)

未经授权的访问

  未经授权的访问是最为常见的安全威胁,它的成因可以是简单地接上了错误的电线,复杂者可以是将一台已被入侵的服务器连接到光纤网络上,未被授权的访问将导致其它形式的攻击,因此必须先作介绍。

  系统管理员可在下列攻击点控制未经授权访问的入侵:

  1. 带外管理应用程序:交换机有非光纤通道端口,例如以太网端口和串行端口,以满足管理工作的需要。通过建立一个独立于公司内联网的专用网络来管理SAN,便可以限制对以太网端口的访问。如果交换机是与企业内联网络连接的,可以使用防火墙和VPN限制对以太网端口的访问。通过控制物理访问和对使用者授权以鉴别,可以限制对串行端口(RS 232)的访问。物理访问连接以太网端口后,交换机还可以根据访问控制名单,限制访问交换机的程序,交换机也可以限制通过3号攻击点进行访问的程序或个别用户。

  2. 带内管理应用程序:未经授权访问也可通过带内管理应用程序入侵交换机。带内管理程序将访问诸如命名服务器和光纤网络配置服务器等光纤网络服务。管理访问控制名单(MACL)控制对光纤网络的访问。

  3. 用户到应用程序:一旦用户获得一个管理程序的物理访问权,他们需要登录到这个应用程序上。管理应用程序是根据用户的工作性质来给予不同程度的访问授权。管理应用程序需要支持访问控制名单和每个用户的角色。

  4. 设备到设备:当两个Nx_端口在光纤网络登录之后,一个Nx_端口可以端口登录(PLOGI)到另一个Nx_端口,分区及逻辑单元屏蔽可以在这环节限制设备的访问。每一个交换机上的活动区域设置会在光纤网络上执行分区限制。存储设备将维持有关逻辑单元屏蔽的信息。

  5. 设备对光纤网络:当一个设备(Nx_端口)连接到光纤网络(Fx_端口),设备将发送一个F端口登录(FLOGI)指令,这一指令包括了各种端口全球名字(WWN)的参数。交换机可以批准端口在光纤网络登录或拒绝FLOGI并中止连接。交换机需要维持一个准许连接WWN的访问控制列表。真正的数据威胁发生在设备登录至光纤网络和进入攻击点4或5之后。

  6. 交换机对交换机:当两台交换机连接时,交换链接参数(ELP)和内部链接服务(ILS)将发送类似交换机全球名字(WWN)的相关信息。一台交换机可以批准其它交换机组成一个更大的光纤网络,如果另一台交换机不被允许加入的话,则可以隔离链接。每个交换机都需维持一个授权交换机的访问控制名单(ACL)。

  7. 存储数据:存储的数据易于受到内部攻击、来自光纤网络的未经授权访问的攻击,和基于主机的攻击。例如存储协议全都是cleartext,因此存储、备份及主机管理员能在没有访问限制及登录的情况下访问未经处理的原始存储数据。存储加密码设备提供为存储数据提供一层保护,在有些情况下提供附加的应用层身份鉴别和访问控制。

   通过访问控制名单(ACL)控制访问只可以防止意外事故,但它不能防御那些假伪身份的攻击者。不幸的是,大多数网络盗贼能很容易地取得假冒身份。为了阻止诈骗者(盗用他人身份者)渗透入网络,那些获得授权的个体也必须经过身份鉴定。
]]> 2006-09-30 11:12:07 <![CDATA[ 如何修复WORD、EXCEL文件? ]]> http://blog.tom.com/lengxh/article/741.html Word文件修复

1.对于Word文档在打开过程中运行自动宏以及其他可能引发文件错误的自动命令,可以在按下“Shift”键的同时双击此文件打开它,这样可以有效阻止这些自动命令的运行,等正常打开文档后再另存一份即可。

2.用文件转换工具将该Word文档转换成纯文本文件,一般可以解决不能打开的问题。

3.用专业的数据修复软件来修复损坏的文档结构,比如OfficeRecovery、EasyRecovery FileRepair及OfficeFix等Office文件修复工具。

最终都没成功,在小王的“威逼利诱”下只得另辟蹊径了,考虑到用Word软件打开这个文档时会出现非法操作,用别的办公软件说不定可以打开它。首先想到的是Windows自带的写字板程序(因为它也支持Word文档的绝大部分格式):先按住“Shift”键再用鼠标右键单击该文档,在出现的右键菜单中点击“打开方式”命令,选定“WordPad”后点击“确定”按钮打开它,令人惊喜的是文档被正常打开了,而且文档内容未有丝毫损失,只是丢失了部分文档的字体字号及挪动了某些图表的位置,重新排一下版并将它保存下来(“保存类型”设置为“Word for Windows 6.0”),再用Word打开它,证实该文档已被完全修复。后来笔者又试着用WPS Office打开这个文档,发现文档内容及版式几乎没有丝毫改动,郁闷ing……

如果你也遇到Word文档打不开的情况,千万不要轻易言败呀。

Excel文件修复


1、转换格式法
就是将受损的Excel XP工作簿另存格式选为SYLK。如果可以打开受损文件,只是不能进行各种编辑和打印操作,那么建议首先尝试这种方法。

2、直接修复法
最新版本的Excel XP在“打开”窗口的“打开”按钮内有直接修复受损文件的“打开并修复”功能,这种方法适用于常规方法无法打开受损文件的情况。

3、偷梁换柱法
遇到无法打开受损的Excel XP文件时,也可以尝试使用Word来打开它。操作如下:
(1)运行Word程序,选择需要打开的Excel文件;
(2)如是首次运用Word程序打开Excel XP文件,可能会有“Microsoft Word无法导入指定的格式。这项功能目前尚未安装,是否现在安装?”的提示信息,此时可插入Microsoft Office安装盘进行安装;
(3)按照Word程序的提示选择修复整个工作簿还是某个工作表;
(4)先将文件中被损坏的数据删除,再将鼠标移动到表格中,并在菜单栏中依次执行“表格→转换→表格转换成文字”命令,选择制表符为文字分隔符,将表格内容转为文本内容,然后另存为纯文本格式文件;
(5)运行Excel XP程序,打开刚保存的文本文件;
(6)随后根据“文本导入向导”的提示就能顺利打开该文件了。

修复后的工作表与原工作表基本一样,不同的是表格中所有的公式都需重新设置,还有部分文字、数字格式丢失了。

4、自动修复法
此法适用于Excel XP程序运行出现故障关闭程序或断电导致的文件受损。重新运行Excel XP,它会自动弹出“文档恢复”窗口,并在该窗口中列出已自动恢复的所有文件。用鼠标选择要保留的文件,并单击指定文件名旁的箭头,根据需要选择“打开”、“另存为”、“显示修复”。
在缺省状态下Excel XP是不会启用自动修复功能的,因此预先设置:首先在菜单栏中依次点击“工具→选项”命令,在设置框中单击“保存”标签,将“禁用自动恢复”复选框取消,然后选中“保存自动恢复信息,每隔X分钟”复选项,并输入指定的间隔频率,最后点击“确定”完成设置。
如果还没有自动弹出“文档恢复”窗口,可以尝试用手工的方法打开自动恢复的文件:依次执行“文件→打开”命令,利用“查找范围”框定位并打开Excel XP保存自动恢复文件的文件夹,要是不知道那个文件夹的位置,可以查看“自动恢复文件保存位置”框中的路径,接着在“文件类型”选择对话框中,选中“所有文件(*.*)”选项,并选择要恢复的文件,最后单击“打开”按钮,打开文件进行自动修复。

5、工具修复法
如果上面的几种方法都不能修复文件,还可以借助专门用来修复受损Excel XP文件的“ExcelRecovery”。该软件会自动将修复程序加到Excel软件中,表现为在“文件”菜单下增添一项“Recovery”命令,它能自动以修复方式打开受损文件。 ]]> 2006-09-26 17:11:42 <![CDATA[ NTFS数据恢复和FAT分区数据恢复的不同 ]]> http://blog.tom.com/lengxh/article/740.html    在这个步步高教程之前的文章内,我们几乎讨论的都是关于存储在FAT或者FAT32文件系统上的数据恢复。现在我们把注意力放在存放在NTFS卷上的数据。
  因为NTFS文件系统与FAT和FAT32文件系统完全不同,数据恢复必须采用不同的方法。然而,也有例外,这篇教程的最后一部分将讨论无论任何系统格式下都能运行的最终(last ditch)恢复技术,但是现在我们要讨论的是NTFS文件系统从一个数据恢复点是如何工作的。
  如果你用Google搜索一下NTFS数据恢复技术,你可能得到最多的链接是关于卖数据恢复产品的网站。这是因为NTFS被设计可以自己执行数据恢复,而不需要使用第三方数据恢复软件或者操作。在这个工作中有两个主要技术来实现这个功能:簇重映射(cluster remapping)和事务日志(transaction logging)。
簇重映射
  簇重映射是通过自动方式把数据从硬盘包含坏的分区的簇上自动移动到良好的簇的技术。簇重映射的结构不用,取决于包含这个坏的扇区的卷是否是容错的,而且坏的扇区在读写过程中是否被发现。
  让我们讨论一下在没有容错的卷上写入的操作,当数据被写入NTFS卷,操作系统在写的操作时把检查扇区做为确认进程的一部分,如果操作系统检测到一个扇区是损坏的。Windows标记整个簇都是损坏的,这样它在将来就不往这个簇上存储数据。(这是因为簇不能被再细分)数据将被存储到良好的簇内,这样不会有数据损失。
  但是如果这个坏的扇区在读取时候被检测到,情况就不一样了。操作系统将返回一个读取错误的消息来响应被数据请求。这里有几种不同的理论关于接下来如何解决这个问题。一些资料表示,一旦这个读取错误发生,Windows把这个扇区和其中的簇标记为损坏,所以簇其中的数据将完全丢失。另外一些资料说,如果这个数据的一部分能读出来,Windows在标记这个扇区为损坏之前,把这些数据移到另一个簇。如果有读者知道关于权威地描述这个问题的微软资料,麻烦告知我(http://www.sitit.com)。 ]]> 2006-09-25 10:38:47 <![CDATA[ 使用KV3000恢复数据的具体办法 ]]> http://blog.tom.com/lengxh/article/739.html 使用KV3000修复硬盘数据
  手动重建主引导扇区和I/O表
  有一块容量为8.4G,分了C,D,E三个分区,安装的是WINDOWS98第二版的操作系统的硬盘,在使用过程中出现了如下现象:

  1.硬盘无法自引导,开机即显示“DISK BOOT FAILURE,INSERT SYSTEM DISK AND PRESS ENTER",在BIOS中可以检测到该硬盘为8.4G;
  2.用软盘可引导至A提示符下,键入C:,D:,E:回车后均显示“Invalid drive specification",之后仍在A提示符下。
  根据以上情况分析出现的问题:上述的错误提示,初步可以判断为硬盘的分区表或是主引导扇区0扇区——MBR出现错误所至(如果BIOS检测不到硬盘,则说明硬盘的电路板有问题)。现在用KV3000的F6(硬盘急救箱)功能查看该硬盘扇区。接下来用软盘启动计算机并运行KV3000.EXE,进入KV3000主画面,按下F6键,发现0面0磁道1扇区即通常所说的0扇区已经被清零了,再按下F6,启动搜索硬盘分区的功能,再按下F2可以搜索出硬盘各个分区,如下显示:
  Hard Disk Total sector Total Bytes Partition Table Sector
  Disk D:3.150G 6152832 003150249984 in 000004192965
  Disk E:3.150G 6152832 003150249984 in 000010345860
  注意:
  1.因为F2只是搜索硬盘扩展分区表,所以此时不显示主分区C;
  2.以上显示不一定是绝对正确的,要进一步判断其正确性。
  下面回到0扇区,按F3键,再输入4192965,即D区分区表所在扇区,直接翻到该扇区,发现确有一个分区表为:
  0001 41050BFE BF833F00
  000080E2 5D000000 818405FE 3F02BFE2 5D00BFE2 5D000000
  从这个表上看,第5个字节的位置是“0B”,表示该分区为FAT32格式。再向后翻63个扇区发现其I/O表也正常,后面的FAT(文件分配表)表及DIR(目录区)区也均在,可以初步认为该分区正确。用同样方法再检查10345860扇区即E盘分区表及以后扇区,判断基本正常,说明搜索到的应为正确分区表。
  接下来按F2查看C盘BOOT区,如果这时C盘BOOT区也就是63扇区正常,则可以用KV3000的F10功能键自动重建C盘主引导扇区,但此时发现该扇区也被清零,当然也必须手动重建,因为位于0磁道1柱面1扇区即63扇区的应该是DBR(Dos Boot Record)表,是操作系统引导记录区也叫做I/O表,如果DBR表被破坏,则会使操作系统在读写磁盘时无法进行磁盘定位,导致不能读取硬盘上的数据。
  现在该硬盘不能引导和读取数据的原因基本上已经找到,主要是0扇区和63扇区被清零,下面开始手动重建这两个扇区,恢复数据。
  一.重建硬盘主引导区(0扇区):
  该扇区由“主引导记录+分区表+55AA有效标志”组成,通常也可以分别称作第一关键字,第二关键字和第三关键字。主引导记录即第一关键字中包含了一段引导程序,其主要作用是检查分区表是否正确,并且在系统硬件完成自检后引导具有激活标志的分区上的操作系统,并将控制权交给启动程序。它是由分区程序(如Fdisk等)所产生的。KV3000在此方面具有强大的功能,第一关键字完全可以用KV3000/K来自动重建。
  下面只需将第二关键字(分区表)及第三关键字55AA标志手动重建。
  (1)第二关键字是从0扇区的第446字节处开始的,首先在这里建立“80”,该字节是一个分区的激活标志,表示系统可以引导,该字节为“80”表示此分区为活动分区;为“00"表示此分区不可自举,是非活动分区;
  (2)后面再填入一个字节“01”,表示该分区起始磁头号;
  (3)后面是“0100”,是一个字,表示该分区起始扇区号及起始柱面号,需要说明的是对于此硬盘,因为C区是小于8G的,所以这里的起始扇区号只用到了低六位,而其高两位给了起始柱面号作为起始柱面号的高两位,也就是说起始柱面号应为十位。
  (4)下面一个字节处应填写C盘文件格式标志,如果是FAT32格式且容量小于8G,此处应为“0B”,大于8G应为“0C”;FAT16格式为“06”,NTFS为“07”。对于此硬盘,从63扇区向后翻一个扇区即64扇区就发现有FAT表的标志(通常FAT表扇区的前四个字节处为“F8FFFF7F”),再往后翻可分析出是正确的FAT表,所以该分区为FAT16格式(一般FAT32的FAT表是从95扇区开始的),所以在此处填上“06”。
  (5)在(后面)结论一的第6个字节处填入“FE”,它表示该分区结束磁头号。从硬盘救护箱的顶部可查看到Head=255,表示该硬盘有255个磁头或说是255个面,因为磁头编号是从0开始,所以结束磁头号应为255-1=254,转化成十六进制即为“FE”。
  (6)再往后应为一个字,写入“7F04”,它表示该分区的结束扇区号和结束柱面号,依然如起始扇区和柱面号一样,结束扇区号只占低六位,结束号占十位。
  (7)后面的一个双字填写“3F000000”是绝对引导扇区,即63个隐含扇区。硬盘中涉及一种低位在前高位在后的存储数字方式,读出时应对其进行调整。即实际十六进制值为“0000003F”,转换后成为十进制值是63。
  (8)在结论一的A处也是一个双字,它表示C盘绝对扇区数,具体计算方法可用D区的分区表所在扇区位置减去63扇区,即4192965-63=4192902。再将其转换成十六进制,按低位在前高位在后的存储方式交换得“86FA3F00”。
  (9)在结论一中的A以后是指向以后分区的链表。“00”这个字节表示下一个分区是不可自举的非活动分区。
  (10)再往后1个字节也是“00”,它表示下一个分区的起始磁头号。
  (11)在结论一中的B处是一个字,是指向下一个分区的起始扇区号和柱面号,即把D区分区表的起始扇区和柱面号写过来即可,所以应填入“4105”。
  (12)在结论一中的C处,“0F”这个字节表示分区类型,通常“0F”代表主DOS分区,“05”代表扩展DOS分区,所以此处应填“0F”。
  (13)在结论一的D字节处表示下一个分区的结束磁头号,可以从D区的分区表中得出并照抄,即“FE”。
  (14)在结论一中的E处是一个字,代表下一个分区的结束扇区号和结束柱面号,同样可以从D区的分区表中得出并照抄,即“BF83”。
  (15)在结论一中的F处为一个双字,是下一个分区的起始扇区位置,按照搜索到的D区分区表所在位置应为4192965,把它转换成十六进制为“003FFAC5”,再按按低位在前高位在后存储格式调整成为“C5FA 3F00”。
  (16)在结论一中的G处也是一个双字,代表扩展分区的总扇区数,即应将搜索到的D区和E区的扇区数相加,再加上两个63(因每个分区都有63个隐含扇区,也应算在内),也就是说6152832+63+6152832+63=12305800,再转换成十六进制并按低位在前高位在后排列成为“7EC5 BB00”。
  以上为0扇区分区表的所有内容,已经推出,现只需按F1键翻到0扇区,再按F5功能键进入编辑状态,把上面推算出来的数字从446字节开始按顺序输入:
  8001 010006FE 7F043F00
  000086FA 3F000000 4105 0F FE BF83 C5FA 3F00 7EC5 BB000000
  A B C D E F G
  (结论一)
  然后再在该扇区最后两个字节处写入“55AA”,然后按Ctrl+F10功能键保存后,发现“80"和“55AA”处开始变红并闪烁。现在重新用软盘启动计算机,键入C:回车后已经可以进入,但DIR列表却显示:
  Invalid media type reading drive C
  Abort, Retry, Fail 
  这是63扇区仍为零的原因,再查看D,E分区,均已正常,说明最初的判断和刚刚填写的分区表均为正确的。现在还需使用KV3000/K命令重建0扇区的第一关键字MBR区,把0扇区补充完整,否则即使63扇区正确,硬盘也将无法自启动。方法是将KV3000的A号盘插入软驱,在A:>提示符下键入KV3000/K回车,出现界面后按下C,再按两次“Y”确认即可。现在重新启动,用KV3000的F6功能进入0扇区可以看出已基本正常。
  二.下面开始重建63扇区:
  因为前面已经判断出该分区应为FAT16格式,故此处需按FAT16的I/O表格式写入。
  (1)该扇区的前数3个字节处是一个跳转指令,它可以使启动程序跳转到引导代码,每个硬盘的这几个字节不尽相同,可先写入“EB3C90”。
  (2)从第4个字节到第11个字节处是一些厂商标识和操作系统的版本号,可暂时不填。
  (3)(参照结论二)在A的位置是一个字,它表示该硬盘每个扇区包含多少个字节,通常每个扇区都是512字节,把此数转换并调整后即成“00 02”。
  (4)后面的一个字节处为每个簇的扇区数,簇是数据文件在磁盘上存储的一个基本单位,因硬盘大小不一,所以簇所包含的扇区数也不同(它一定是2的整数倍),一般来说,此数可通过查看目录区扇区数的方法来确定,这里应填写“40”。(查找目录区的方法下会提到,此数为十六进制数)。
  (5)结论二中的B处为一个字,表示保留扇区(用于引导DOS等)数,此数可以理解为是从I/O表到FAT表1的相隔扇区数。因为该分区的I/O表向后翻1个扇区即64扇区就是FAT1表的头,故此处是“0001”,按低位在前高位在后写入应为“0100”。
  (6)再往后的一个字节处是文件分配表的份数,因为FAT表比较重要,且一旦被破坏将很难恢复,所以一般都有两份FAT表,FAT表2为FAT表1的备份,所以填写“02”。
  (7)结论二中的C处代表该硬盘根目录的项数(即所允许的最大目录项数),此处占两个字节,一般填入“0200”。
  (8)结论二中的D处是磁介质类型说明符,硬盘多为“F8”。
  (9)结论二中的E处表示每个FAT表所占用的扇区数。该数算法是先用KV3000硬盘救护箱的F4搜索字符串功能,查找“BOOTLOG.TXT"文件,这是C盘根目录下的一个文件(也可以搜索其它文件),即可找到目录区了,然后把这个扇区数记下,为576扇区,因为有两份FAT表,所以该FAT表的扇区数应为(576-64)/2=256,转换成十六进制为“0100h"再交换位以后此处应填入“0001”。
  (10)结论二中的F处是一个字,表示每磁道(柱面)的扇区数,查看顶部即知Sector=63,也就是说每磁道63个扇区,转换调整为“3F00”。
  (11)再往后的一个字处为该硬盘磁头数,依然查看顶部显示Head=255,转换成十六进制是“00FFh",按低位在前高位在后应写为“FF00”。
  (12)结论二中的G处是双字,表示当前分区前面的隐含扇区数,共有63扇区,故此处应写入“3F000000”。
  (13)结论二中的H处的双字表示该分区的总扇区数,此数不包含63个隐含扇区,它应该与结论一中的A标志位置处的数字相同,所以照抄过来即“86FA3F00”。
  现在依然用F5编辑功能将上述数字写入63扇区,并用Ctrl+F10键确认保存:
  EB3C9000 00000000 00000000 02400100 02000200 00F8 0001
  A B C D E
  3F00 FF00 3F000000 86FA3F00
  F G H
  (结论二)
  现在再用引导盘重新启动计算机,引导至DOS操作系统,查看各分区情况,发现均已正常,而且数据都在。此时我们还需用相同版本的WINDOWS98启动盘启动并执行SYS A:C:回车来传入系统文件,使WINDOWS98系统可以正常启动。(这样I/O表即可补充完整)。
  以上把主引导扇区0扇区及I/O表63扇区已重建完毕,重新启动计算机后发现硬盘已可以自引导并进入WINDOWS98系统,一切数据文件恢复正常。
  注:以上是以一个C区为FAT16分区格式的硬盘为例的修复过程,有一定的局限性,仅供参考,而且因为硬盘出现的问题是多种多样的,应对具体问题具体分析。 ]]> 2006-09-22 11:21:31 <![CDATA[ [原]数据恢复原理 ]]> http://blog.tom.com/lengxh/article/738.html
认识硬盘
    首先让我们来认识一下硬盘,现在的硬盘性质和原理和老式的留声机差不多,只不过设计更精密,磁头在高速的旋转脱离了盘片而在离盘片小距离的高度上旋转,磁头发射的激光从盘片上的凸凹反射激光而产生数据信号,当我们把硬盘通电以后,磁头就开始从盘片的外边沿滑入盘片,但是在进来以前是急快的旋转脱离盘片,以后都以相同的速度惯性的在高速的旋转,所以在通电以后如果突然受到外界的干扰以后,就会旋转不平衡,在移动的时候碰到了盘片而损坏盘片!
    另一种破坏硬盘盘片的情况是:也许有人会发现,上面的情况,磁头是从盘片的外边沿开始旋转,以一个高速的旋转速度悬在盘片上方一定的高度上旋转,当关闭停止时,它又会以一定的速度回到盘片的边沿上!如果说,当我们操作电脑时,如果强制关机,突然断电,那么磁头因为电压不稳定而来不及回到边沿而落到盘片上破坏了盘片上的凸凹介质,而损坏了盘片,时间久了就会破坏了数据结构,到最后而不能检测到硬盘!
数据恢复成功的优势
   数据丢失的朋友如果找过数据恢复的公司,并把数据从硬盘里恢复出来,不过有很多人会发现他需要的数据已经被破坏了,而不重要的数据却能找的出来,并且还是那些WORD,EXCEL等找到了却打不开,而且坏了,这是为什么呢?
   当我们把硬盘分好区,建立文件夹,保存数据,那样我们的数据位置就确定了,虽然那些分区是逻辑的,并不一定在一个盘片一个地方,但是我们保存,写,读数据时,都会找到那个地方然后把数据找出来,所以当我们写数据的时候,他会经常的到那个地方重复的扫描,时间久了,那个地方读的次数多了,就会被磁头的强激光照射而发热变形,导致数据的破坏!所以如果你经常的整块数据备份的话,那样数据保存到别的地方而能不因为硬盘损坏了而恢复不出完好的数据出来了!
数据覆盖,删除恢复原理
    数据恢复的原理,很多人对数据恢复感到陌生,有些人数据丢失却很害怕,不过有时候并没有想象那么可怕,如果你能从上面一直看下来,你如果了解了硬盘的结构以后你会发现,我们的数据保存到有存储介质的盘片上,当我们保存数据的时候,就会在盘片上做凸凹不平而保存数据。如果我们删除了文件的时候,我们并没有把所有的凸凹不平的介质抹掉,而是把它的地址给抹去,而让操作系统找不到这个文件,而认为它已经消失,可以在这个地方写数据,把原来的凸凹不平的数据信息给覆盖掉了,所以数据恢复的原理是,如果没被覆盖,我们就可以用软件,突破操作系统的寻址和编址方式,重新找到那些没被覆盖的地方的数据并组成一个文件,如果几个小地方被覆盖,可以用差错效验位来纠正,如果覆盖太多,那么就每办法恢复了!所以我们提倡如果发现文件丢失,立即找数据恢复公司恢复,不要做任何操作!
]]> 2006-09-19 16:24:47 <![CDATA[ IT灾难恢复基础之灾难恢复五步法 ]]> http://blog.tom.com/lengxh/article/737.html 公司数据灾难恢复五步操作法
在当今商业环境下,网络宕机就意味着公司将遭受巨大经济损失,而客户也会难以接受。做好灾难恢复准备的公司能够更好地维持运营、保住客户并避免长期损害。要在紧要关头进行灾难恢复,必须具备三个条件:人员、数据(包括数据处理所需的硬件和软件)和转移位置。最近Dynamic Markets公司为VERITAS所做的、对全球850多个IT 专业人员的独立调查显示:47%的公司把与潜在灾难相关的金融风险作为计算灾难恢复成本的主要标准。被调查的IT专业人员估计,恐怖主义袭击(他们认为这是公司的最大成本支出)所造成的损失和恢复的平均成本为1.15亿美元。
    日前,维尔软件公司(VERITAS)宣布推出IT公司灾难恢复五步操作法。
    1.联系相关人员。每个公司都需要有一种方法来迅速召集相关人员到灾难恢复现场。无需电话线或移动服务设备的通信方法,如卫星电话就是一个很好的选择。这种方法可以为不直接参与数据恢复的员工提供一条热线,使之能够获得最新信息,而您则可以集中精力完成手头的任务。
    2.快速找到您的灾难恢复计划 。在远离办公地点的地方(如车上、家里甚至公文包)保存灾难恢复计划副本,并将副本提供一份给您的非现场存储供应商。此次调查显示,60%以上的公司仅在某个位置保存灾难恢复计划 D D即主要数据中心,一旦主要数据中心不能用,就会遇到麻烦。
    3.联系您的供应商,寻求他们的帮助。许多公司从来没有实际施行过灾难恢复计划。事实上,此次调查显示,只有三分之一的公司实际进行过此类实施。如果您面临实际灾难恢复计划施行,请致电专家寻求援助。如果您要从磁带上恢复数据,您的非现场灾难恢复存储供应商应当把磁带送到恢复现场,以便您的备份软件供应商能够帮助恢复存档数据。
    4.调用您的次级站点。许多公司订购了一种次级灾难恢复“热站点”,可以在业务中断时与其他用户共同使用。重大事故发生时,如美国东北部最近发生的大停电,热站点可以迅速替补,确保尽快电话通告灾难的发生。为了确保备用站点的可用性,许多公司配备了他们自己的次级灾难恢复数据中心。采用VERITAS公司提供的高可用性灾难恢复软件,可以将业务从受灾站点切换到次级站点,而不会中断业务,这有助于将灾难对员工、客户和合作伙伴的影响降至最低。
    5.确定紧急次级站点。如果次级站点无法使用或者出现故障,就立刻想别的办法,即使其他所有措施都不能用,宾馆舞厅或会议中心配备的高带宽连接和空调设备也能够为灾难恢复提供足够的资源。
公司数据灾难恢复五步操作法
在当今商业环境下,网络宕机就意味着公司将遭受巨大经济损失,而客户也会难以接受。做好灾难恢复准备的公司能够更好地维持运营、保住客户并避免长期损害。要在紧要关头进行灾难恢复,必须具备三个条件:人员、数据(包括数据处理所需的硬件和软件)和转移位置。最近Dynamic Markets公司为VERITAS所做的、对全球850多个IT 专业人员的独立调查显示:47%的公司把与潜在灾难相关的金融风险作为计算灾难恢复成本的主要标准。被调查的IT专业人员估计,恐怖主义袭击(他们认为这是公司的最大成本支出)所造成的损失和恢复的平均成本为1.15亿美元。
    日前,维尔软件公司(VERITAS)宣布推出IT公司灾难恢复五步操作法。
    1.联系相关人员。每个公司都需要有一种方法来迅速召集相关人员到灾难恢复现场。无需电话线或移动服务设备的通信方法,如卫星电话就是一个很好的选择。这种方法可以为不直接参与数据恢复的员工提供一条热线,使之能够获得最新信息,而您则可以集中精力完成手头的任务。
    2.快速找到您的灾难恢复计划 。在远离办公地点的地方(如车上、家里甚至公文包)保存灾难恢复计划副本,并将副本提供一份给您的非现场存储供应商。此次调查显示,60%以上的公司仅在某个位置保存灾难恢复计划 D D即主要数据中心,一旦主要数据中心不能用,就会遇到麻烦。
    3.联系您的供应商,寻求他们的帮助。许多公司从来没有实际施行过灾难恢复计划。事实上,此次调查显示,只有三分之一的公司实际进行过此类实施。如果您面临实际灾难恢复计划施行,请致电专家寻求援助。如果您要从磁带上恢复数据,您的非现场灾难恢复存储供应商应当把磁带送到恢复现场,以便您的备份软件供应商能够帮助恢复存档数据。
    4.调用您的次级站点。许多公司订购了一种次级灾难恢复“热站点”,可以在业务中断时与其他用户共同使用。重大事故发生时,如美国东北部最近发生的大停电,热站点可以迅速替补,确保尽快电话通告灾难的发生。为了确保备用站点的可用性,许多公司配备了他们自己的次级灾难恢复数据中心。采用VERITAS公司提供的高可用性灾难恢复软件,可以将业务从受灾站点切换到次级站点,而不会中断业务,这有助于将灾难对员工、客户和合作伙伴的影响降至最低。
    5.确定紧急次级站点。如果次级站点无法使用或者出现故障,就立刻想别的办法,即使其他所有措施都不能用,宾馆舞厅或会议中心配备的高带宽连接和空调设备也能够为灾难恢复提供足够的资源。
公司数据灾难恢复五步操作法
在当今商业环境下,网络宕机就意味着公司将遭受巨大经济损失,而客户也会难以接受。做好灾难恢复准备的公司能够更好地维持运营、保住客户并避免长期损害。要在紧要关头进行灾难恢复,必须具备三个条件:人员、数据(包括数据处理所需的硬件和软件)和转移位置。最近Dynamic Markets公司为VERITAS所做的、对全球850多个IT 专业人员的独立调查显示:47%的公司把与潜在灾难相关的金融风险作为计算灾难恢复成本的主要标准。被调查的IT专业人员估计,恐怖主义袭击(他们认为这是公司的最大成本支出)所造成的损失和恢复的平均成本为1.15亿美元。
    日前,维尔软件公司(VERITAS)宣布推出IT公司灾难恢复五步操作法。
    1.联系相关人员。每个公司都需要有一种方法来迅速召集相关人员到灾难恢复现场。无需电话线或移动服务设备的通信方法,如卫星电话就是一个很好的选择。这种方法可以为不直接参与数据恢复的员工提供一条热线,使之能够获得最新信息,而您则可以集中精力完成手头的任务。
    2.快速找到您的灾难恢复计划 。在远离办公地点的地方(如车上、家里甚至公文包)保存灾难恢复计划副本,并将副本提供一份给您的非现场存储供应商。此次调查显示,60%以上的公司仅在某个位置保存灾难恢复计划 D D即主要数据中心,一旦主要数据中心不能用,就会遇到麻烦。
    3.联系您的供应商,寻求他们的帮助。许多公司从来没有实际施行过灾难恢复计划。事实上,此次调查显示,只有三分之一的公司实际进行过此类实施。如果您面临实际灾难恢复计划施行,请致电专家寻求援助。如果您要从磁带上恢复数据,您的非现场灾难恢复存储供应商应当把磁带送到恢复现场,以便您的备份软件供应商能够帮助恢复存档数据。
    4.调用您的次级站点。许多公司订购了一种次级灾难恢复“热站点”,可以在业务中断时与其他用户共同使用。重大事故发生时,如美国东北部最近发生的大停电,热站点可以迅速替补,确保尽快电话通告灾难的发生。为了确保备用站点的可用性,许多公司配备了他们自己的次级灾难恢复数据中心。采用VERITAS公司提供的高可用性灾难恢复软件,可以将业务从受灾站点切换到次级站点,而不会中断业务,这有助于将灾难对员工、客户和合作伙伴的影响降至最低。
    5.确定紧急次级站点。如果次级站点无法使用或者出现故障,就立刻想别的办法,即使其他所有措施都不能用,宾馆舞厅或会议中心配备的高带宽连接和空调设备也能够为灾难恢复提供足够的资源。
]]> 2006-09-18 15:32:16 <![CDATA[ ORACLE数据库恢复技术 ]]> http://blog.tom.com/lengxh/article/736.html
  一、恢复的意义
  当我们使用一个数据库时,总希望数据库的内容是可靠的、正确的,但由于计算机系统的
故障(硬件故障、网络故障、进程故障和系统故障)影响数据库系统的操作,影响数据库中数
据的正确性,甚至破坏数据库,使数据库中全部或部分数据丢失。因此当发生上述故障后,希
望能重新建立一个完整的数据库,该处理称为数据库恢复。恢复子系统是数据库管理系统的一
个重要组成部分。恢复处理随所发生的故障类型所影响的结构而变化。
  二、恢复的方法
  IMPORT方法:
  利用IMPORT,将最后一次EXPORT出来的数据文件IMPORT到新的数据库中,这种方式可以将
任何数据库对象恢复到它被导出时的状态,此后的变化将无法挽回。IMPORT的命令可以交互式
进行,各参数的具体含义见ORACLE EXP/IMP参数详解。这种方式适用于没有采用archive 模式
  安全的恢复方法:
  如果数据库运行在archive 模式下,那么一旦数据库损坏则可以通过冷备份(热备份)和归
  数据库控制文件恢复(假设所有控制文件均被破坏):
  数据库基于文件系统: 利用操作系统的tar、cp等命令即可。
  数据库基于裸设备:dd if=$ORACLE_BASE/con.bak of=/dev/rdrd/drd1 seek=12
  数据库数据文件恢复
  数据及索引表空间、系统表空间的恢复:
  回拷相关的数据库文件和该数据文件备份以来所有生成的所有逻辑日志文件并执行如下命
令:
  数据库临时文件和回滚表空间的恢复:简单地offline drop 并重建即可
  注意:如果数据库不运行在archive 模式下,则恢复只能恢复到上次备份时的状态。 关
于archive 模式的设定,以及备份的相关技术,参见ORACLE数据库备份技术
  三、ORACLE表空间恢复方案
  (一)、户表空间
  错误现象:
  在启动数据库时出现ORA-01157,ORA-01110或操作系统级错误例如ORA-07360,在关闭数
据库(使用shutdown normal或shutdown immediate) 时将导致错误ORA-01116,ORA-01110以
  解决:
  以下有两种解决方案:
  方案一、用户的表空间可以被轻易地重建
  即最近导出的对象是可用的或表空间中的对象可以被轻易地重建等。在这种情况下,最简
单的方法是offline并删除该数据文件,删除表空间并重建表空间以及所有的对象。
  重建表空间及所有对象。
  方案二、用户的表空间不能够被轻易地重建
  在大多数情况下,重建表空间是不可能及太辛苦的工作.方法是倒备份及做介质恢复.如果
您的系统运行在NOARCHIVELOG模式下,则只有丢失的数据,在online redo log中方可被恢复
  步骤如下:
  1)Restore the lost datafile from a backup
  如果 CHANGE# 大于最小的FIRST_CHANGE#则数据文件可以被恢复。
  如果 CHANGE# 小于最小的FIRST_CHANGE#则数据文件不可恢复。恢复最近一次的全备份或
采用方案一。
  5)svrmgrl> recover datafile filename;
  6)确认恢复成功   7)svrmgrl> alter database open resetlogs;
  只读表空间无需做介质恢复,只要将备份恢复即可。唯一的例外是:
  表空间在最后一次备份后被改为read-write 模式
  表空间在最后一次备份后被改为read-only 模式
  在这种情况下,均需进行介质恢复。
  (二)、临时表空间
  临时表空间并不包含真正的数据,恢复的方法是删除临时表空间并重建即可。
  (三)、系统表空间
  如果备份不可用,则只能采用重建数据库的方法
  (四)、回滚表空间
  有两种情况:
  1、数据库已经完全关闭(使用shutdown immediate或shutdown命令)
  1) 确认数据库完全关闭
  2) 修改init.ora文件,注释"rollback-segment"   3) svrmgrl> startup restrict mount
  4) svrmgrl> alter database datafile filename offline drop;
  5) svrmgrl> alter database open;
  基于出现的结果:"statement processed" 转(7);"ORA-00604,ORA-00376,ORA-01110"转
(6)
  6) svrmgrl> shutdown immediate
  8) 重建表空间及回滚段   9) svrmgrl> alter system disable restricted session;
  10) 修改init.ora文件
  2、数据库未完全关闭(数据库崩溃或使用shutdown abort命令关闭数据库)
  1) 恢复备份   2) svrmgrl> startup mount
  3) svrmgrl> select file#,name,status from v$datafile;
  svrmgrl> alter database datafile filename online;
  4) svrmgrl> select v1.group#,member,sequence#,first_change# from v$log v1,v$logfile v2 where v1.group#=v2.group#;
  5) svrmgrl> select file#,change# from v$recover_file; #参见方案2-4
  6) svrmgrl> recover datafile filename;
  7) svrmgrl> alter database open;
  3、数据库处于打开状态
  1) 删除回滚段和表空间
  2) 重建表空间和回滚段
  (五)、控制文件恢复
  1.所有的控制文件均被破坏
  将备份的控制文件拷贝至原目录下,对于RAW DEVICE(裸设备),则:dd if='con.bak'
  2.并非所有的控制文件均被破坏,用其他的控制文件启动数据库
  (六)、数据块及其中数据的挽救
  现象:执行ORACLE操作时出现ORA-01578错误
  分析:ORA-1578错误是当ORACLE认为一个数据块可能被破坏而发生的,通常引起该错误的
  I/O的硬件或firmware损坏
  操作系统I/O或cache故障
  内存或页交换出错
  部分数据文件被覆盖
  试图访问未格式化块
  磁盘修复
  其他原因
  解决步骤:
  查看log以及trace文件,检查是否有其他错误发生
  定位错误:   sql>select * from v$datafile where file#=;
  sql>select owner,segment_name,segment_type from dba_extents where file_id= and between block_id and block_id+blocks-1;
  基于返回的segment_type:
  segment类型为temporary或cache或无返回值,检查SQL语句是否正确。
  segment类型为rollback segment,则数据块需要恢复。
  segment类型为index,检查其所在的表。重建索引即可。   sql> select owner,table_name from dba_tables where cluster_name = name_of_segment
  仍然出现1578错误,数据库需要恢复。
  segment类型为表,拯救表中的数据。
  分析一个实体是否有永久性数据破坏   sql> analyze table table.name validate structure cascade;
  sql> analyze table clustername validate structure cascade;
  硬件错误的恢复
  数据库运行在ARCHIVE模式下
  OFFLINE相应的数据文件
  拷贝备份的数据文件
  rename the datafile to new location
  recover the datafile using archive log
  online数据文件
  数据库运行在非ARCHIVE模式下
  OFFLINE相应数据文件
  拷贝备份的数据文件,rename the datafile and online it
  拯救表中数据   例如:sql>select * from bigemp;
  ERROR:ORA-01578: ORACLE DATA block corrupted (file#8,block#8147) ORA-00110:
data file 8: ‘/oracle/usr714.dbf’ … … corrupt file id : 8=8(hex) corrupt
block id : 8147=1fd3(hex) first rowid in the corrupt block: 0000.1fd3.0000.0008
last rowid in the corrupt block: 0000.1fd2.7fff.0008 first rowid affer this
block: 0000.1fd4.0000.0008
  sql > create table temp as select * from bigemp where 1=2;
  在ORACLE 7.1以前版本,rowid range scan不存在时,可以通过索引达到以上相同的目的
  四、后记
  ORACLE的备份恢复技术可以说是博大精深,我所了解的只是很少的一部分,而且还不是很
透彻,希望这几篇文章对大家能有所帮助,也欢迎大家将自己遇到的备份和恢复的问题告诉我
,我将它整理起来,发表在这里,供所有有兴趣做的DBA朋友和数据管理员参考,也许您的举
  同时,我还要提醒所有的朋友,备份是非常、非常、非常、非常、非常、非常、非常、非
常、非常。。。重要的,有条件的话一定要采用ARCHIVE模式,否则,可能出了问题,哭都哭
  最后祝福大家永远不会用到这篇文章的内容。 ]]> 2006-09-12 12:43:15 <![CDATA[ sql数据库修复技术 ]]> http://blog.tom.com/lengxh/article/735.html SQLServer数据库备份有两种方式,一种是使用BACKUPDATABASE将数据库文件备份出去,另外一种就是直接拷贝数据库文件mdf和日志文件ldf的方式。下面将主要讨论一下后者的备份与恢复。本文假定您能熟练使用SQLServerEnterpriseManager(SQLServer企业管理器)和SQLServerQuweyAnalyser(SQLServer查询分析器)
1、正常的备份、sql数据库修复方式
正常方式下,我们要备份一个数据库,首先要先将该数据库从运行的数据服务器中断开,或者停掉整个数据库服务器,然后复制文件。
卸下数据库的命令:Sp_detach_db数据库名
连接数据库的命令:Sp_attach_db或者sp_attach_single_file_db
s_attach_db[@dbname=]′dbname′,[@filename1=]′filename_n′[,...16]
sp_attach_single_file_db[@dbname=]′dbname′,[@physname=]′physical_name′
使用此方法可以正确恢复SQLSever7.0和SQLServer2000的数据库文件,要点是备份的时候一定要将mdf和ldf两个文件都备份下来,mdf文件是数据库数据文件,ldf是数据库日志文件。
例子:
数据库修复包括:sql数据库修复sql数据库恢复sqlserver修复文件修复raid数据恢复sql数据库修复raid磁盘阵列sql恢复sqlserver恢复假设数据库为test,其数据文件为test_data.mdf,日志文件为test_log.ldf。下面我们讨论一下如何备份、恢复该数据库。
卸下数据库:sp_detach_db'test'
连接数据库:sp_attach_db'test','C:ProgramFilesMicrosoftSQLServerMSSQLDatatest_data.mdf','C:ProgramFilesMicrosoftSQLServerMSSQLDatatest_log.ldf'
sp_attach_single_file_db'test','C:ProgramFilesMicrosoftSQLServerMSSQLDatatest_data.mdf'
2、只有mdf文件的恢复技术
由于种种原因,我们如果当时仅仅备份了mdf文件,那么恢复起来就是一件很麻烦的事情了。
如果您的mdf文件是当前数据库产生的,那么很侥幸,也许你使用sp_attach_db或者sp_attach_single_file_db可以恢复数据库,但是会出现类似下面的提示信息
设备激活错误。物理文件名'C:ProgramFilesMicrosoftSQLServerMSSQLdatatest_Log.LDF'可能有误。
已创建名为'C:ProgramFilesMicrosoftSQLServerMSSQLDatatest_log.LDF'的新日志文件。
但是,如果您的数据库文件是从其他计算机上复制过来的,那么很不幸,也许上述办法就行不通了。你也许会得到类似下面的错误信息
服务器:消息1813,级别16,状态2,行1
未能打开新数据库'test'。CREATEDATABASE将终止。
设备激活错误。物理文件名'd:test_log.LDF'可能有误。
怎么办呢?别着急,下面我们举例说明恢复办法。
A.我们使用默认方式建立一个供恢复使用的数据库(如test)。可以在SQLServerEnterpriseManager里面建立。
B.停掉数据库服务器。
C.将刚才生成的数据库的日志文件test_log.ldf删除,用要恢复的数据库mdf文件覆盖刚才生成的数据库数据文件test_data.mdf。
D.启动数据库服务器。此时会看到数据库test的状态为“置疑”。这时候不能对此数据库进行任何操作。
E.设置数据库允许直接操作系统表。此操作可以在SQLServerEnterpriseManager里面选择数据库服务器,按右键,选择“属性”,在“服务器设置”页面中将“允许对系统目录直接修改”一项选中。也可以使用如下语句来实现。
usemaster
go
sp_configure'allowupdates',1
go
reconfigurewithoverride
go
F.设置test为紧急修复模式
updatesysdatabasessetstatus=-32768wheredbid=DB_ID('test')
此时可以在SQLServerEnterpriseManager里面看到该数据库处于“只读置疑脱机紧急模式”可以看到数据库里面的表,但是仅仅有系统表
G.下面执行真正的恢复操作,重建数据库日志文件
dbccrebuild_log('test','C:ProgramFilesMicrosoftSQLServerMSSQLDatatest_log.ldf')
执行过程中,如果遇到下列提示信息:
服务器:消息5030,级别16,状态1,行1
未能排它地锁定数据库以执行该操作。
DBCC执行完毕。如果DBCC输出了错误信息,请与系统管理员联系。
说明您的其他程序正在使用该数据库,如果刚才您在F步骤中使用SQLServerEnterpriseManager打开了test库的系统表,那么退出SQLServerEnterpriseManager就可以了。
正确执行完成的提示应该类似于:
警告:数据库'test'的日志已重建。已失去事务的一致性。应运行DBCCCHECKDB以验证物理一致性。将必须重置数据库选项,并且可能需要删除多余的日志文件。数据恢复sql数据库修复密码恢复sql数据库恢复硬盘异响坏道修复文件恢复sqlserver修复文件修复raid数据恢复sql数据库修复raid磁盘阵列sql恢复sqlserver恢复硬盘数据恢复硬盘坏道修复硬盘数据修复数据修复
DBCC执行完毕。如果DBCC输出了错误信息,请与系统管理员联系。
此时打开在SQLServerEnterpriseManager里面会看到数据库的状态为“只供DBO使用”。此时可以访问数据库里面的用户表了。
H.验证数据库一致性(可省略)
dbcccheckdb('test')
一般执行结果如下:
CHECKDB发现了0个分配错误和0个一致性错误(在数据库'test'中)。
DBCC执行完毕。如果DBCC输出了错误信息,请与系统管理员联系。
I.设置数据库为正常状态
sp_dboption'test','dbouseonly','false'
如果没有出错,那么恭喜,现在就可以正常的使用恢复后的数据库啦。
J.最后一步,我们要将步骤E中设置的“允许对系统目录直接修改”一项恢复。因为平时直接操作系统表是一件比较危险的事情。当然,我们可以在SQLServerEnterpriseManager里面恢复,也可以使用如下语句完成
sp_configure'allowupdates',0
go
reconfigurewithoverride
go ]]> 2006-09-06 15:57:25 <![CDATA[ 误删文件不再怕 被删除系统文件恢复全攻略 ]]> http://blog.tom.com/lengxh/article/734.html
  那数据为什么能恢复呢 这主要取决于硬盘数据的存储原理。先看一下硬盘上数据存放的原理吧。硬盘中由一组金属材料为基层的盘片组成,盘片上附着磁性涂层,靠硬盘本身转动和磁头的移动来读写数据的。其中最外面的一圈称为“0”磁道。上面记录了硬盘的规格、型号、主引导记录、目录结构等一系列最重要的信息。我们存放在硬盘上的每一个文件都在这里有登记,相当于文件的户口簿。在读取文件时,首先要寻找0磁道的有关文件的初始扇区,然后按图索骥,才能找到文件的老巢。但是删除就不一样了,系统仅仅对零磁道的文件信息打上删除标准。但这个文件本身并没有被清除。只是文件占用的空间在系统中被显示为释放,而且,当你下次往硬盘上存储文件时,系统将会优先考虑真正的空白区,只有这些区域被用完以后,才会覆盖上述被删文件实际占有的空间。另外,即使硬盘格式化后(如Format),只要及时抢救,还是有很大希望的。下面我就向大家做详细的介绍。

  EasyRecovery是一个威力非常强大的硬盘数据恢复工具,能够帮你恢复丢失的数据以及重建文件系统。下面我们就以EasyRecovery为例,介绍删除软件恢复的过程。

  一、回收站里被删除文件

  首先我们启动EasyRecovery,点击左边列表中的“数据修复”。

  数据修复里面有六个选项,我们点击“DeletedRecovery”,它的功能是查找并恢复已删除的文件。

  选择要恢复文件所在的分区,在默认情况下软件对分区执行的是快速扫描,如果你需要对分区进行更彻底的扫描,就在“完成扫描”前打上勾就行了,选择好分区后,我们点击“下一步”。点击下一步后,软件就开始扫描你刚才选择的分区了。

  经过3~4分钟的扫描后结果就出来了,你点击左面文件夹列表中的文件夹,在右面列出来到文件就是能被恢复的删除文件,选择一个要恢复的文件,一定要把前面的勾打上,然后点击“下一步”。

  选择好要恢复的文件后,我们就来选择恢复目标的选项,一般我们都是恢复到本地驱动器里的,那么我们点击后面的“浏览“来选择文件保存的目录(选择分区时请注意,保存的分区不能与文件原来所在的分区一样,否则不能保存)。

  点击下一步后,文件就开始恢复了,恢复完成后,弹出一个对话框显示文件恢复摘要,你可以进行保存或者打印,然后点击“完成”。一个文件就被恢复了。

  二、格式化后文件的恢复

  如果要恢复格式化后的文件,以前我们想都不敢想,现在不用怕了,因为我们有了EasyRecovery。

  在软件界面我们点击“FormatRecovery”,它的功能就是能从一个已经格式化的分区中恢复文件。

  先选择我们已经格式化的分区,然后再选择这个分区格式化前的文件系统格式,现在一般都是

  “FAT32”,选好后点击“下一步”。

  软件就开始进行文件的扫描了。

  扫描完成后,我们选择一个要恢复的文件,方法和前面的一样,然后点击“下一步”。

  然后我们来选择恢复文件要保存的目录,再点击“下一步”。

  接着文件就开始恢复了,恢复完成后,弹出一个对话框显示文件恢复摘要,你可以进行保存或者打印,最后点击“完成”。

  EasyRecovery

  不仅能恢复被删除的文件,它还能恢复被破坏的硬盘中像丢失的引导记录、BIOS 参数数据块、分区表、FAT表、引导区等都可以由它来进行恢复;而且最新的6.0版本使用了新的数据恢复引擎,能够对 ZIP 文件以及微软的 Office系列文档进行修复。如果你以前有重要的文件被误删除过,那就赶快安装EasyRecovery来恢复吧,只要时间相隔的不要太久(相隔太久原来删除的文件就有可能被覆盖掉的),相信一定能够恢复的!

  注:虽然说系统文件被删,我们能通过技术手段找回数据,但是建议大家在删除文件的时候还是要注意,必定恢复起来很麻烦,如果不能恢复,损失就比较大了
]]> 2006-08-29 15:10:04