恢复隐藏分区分享经验学习.doc

机器：Acer 5583WIMI隐藏分区版本：eRecovery V2背景：安装GHOST操作系统时，因为GHOST光盘自动覆盖第一个分区，所以隐藏分区被覆盖了大部分。及时按下Ctrl + C之后，用ImageExplorer还能看到主体的目录结构，甚至某些文件夹还以注册表的一些字符串命名。但是当时图片没有抓下来。隐藏分区没有删除预备工具：1.??Acer eSolution V2光盘，已经打好patch和eBoot_ToolKit_V2( 0315)补丁2.??刻录出来的正版系统恢复光盘（应用程序光盘忘记刻了） 隐藏分区对比分析 1.? ?eSolution V2光盘里面的WinPE环境，用光盘启动，按F1可以引导到此环境下图片附件: 1.eSolution V2的WinPE界面.jpg (2007-3-29 02:01 PM, 78.99 K)2.??光盘根目录中有eRY-D2D.GHO文件，它是隐藏分区的精简版本，没有系统镜像，应用程序盘（autorun.exe）里面删除了所有驱动和应用程序。因为隐藏分区被损坏，深层目录无法读取。但是经过对比，两者结构大体一致，是匹配的。所以不必担心隐藏分区的版本问题。注意这个Autorun.inf文件夹，它可以防止通过“自动播放”功能运行的病毒。图片都是我试验成功以后，全部重做一次抓到的。可惜再破坏一次隐藏分区以后，ImageExplorer却不能读取隐藏分区了。自然也看不到以注册表字符串命名文件夹的奇妙景象了 图片附件: 2.隐藏分区结构示意.JPG (2007-3-29 02:01 PM, 68.16 K) 修改隐藏分区的文件系统标志 简要分析：隐藏分区的文件存储结构是标准的FAT32，对应的文件系统标志是0B。为了保护隐藏分区，出厂前该标志被修改成12，在Windows磁盘管理中看到是“EISA配置”，右击它只有帮助菜单可以用，防止正常使用时被删除或者格式化。1.??用WinPM把这个标志改回来图片附件: 3.准备用WinPM修改隐藏分区的文件系统标志.jpg (2007-3-29 02:01 PM, 3.32 K)2.??启动以后，右击隐藏分区：图片附件: 4.右击隐藏分区可以看到菜单.jpg (2007-3-29 02:01 PM, 87.69 K)3.??修改分区ID：图片附件: 5.修改分区ID为0B.jpg (2007-3-29 02:01 PM, 32.14 K)4.??确定以后，点击左上角的应用，修改即可生效图片附件: 6.点击左上角的应用.jpg (2007-3-29 02:44 PM, 5.03 K) GHOST恢复隐藏分区 1.??启动GHOST图片附件: 7.启动Ghost.jpg (2007-3-29 02:44 PM, 9.03 K)2.??选择eSolution光盘的eRY-D2D.gho文件图片附件: 8.选择eSolution光盘的eRY-D2D.gho文件.jpg (2007-3-29 02:44 PM, 32.14 K)3.??恢复到隐藏分区，选择第一个分区哦，别选错了图片附件: 9.恢复到隐藏分区.jpg (2007-3-29 02:44 PM, 25.72 K)4.??恢复的过程图片附件: 10.恢复的过程.jpg (2007-3-29 02:44 PM, 38.56 K)5.??完成以后不要重启，选择Continue，后面还有一步图片附件: 11.完成以后不要重启，还有一步.jpg (2007-3-29 02:50 PM, 8.61 K)6.??退出GHOST图片附件: 12.退出GHOST.jpg (2007-3-29 02:50 PM, 4.64 K) 修复MBR 简要分析：MBR（Master Boot Record）就是我们经常说的硬盘“主引导记录”。其内部存储的代码，是机器在自检之后首先执行的。它会判断用户是否按下ALT + F10详情请看Acer eRecovery 不完全攻略 （之二）［完结篇］七楼中附录的剖析为了保证ALT+F10快捷键正常工作，用这个工具修复MBR引导程序图片附件: 13.用这个工具修复MBR恢复ALT+F10快捷键.jpg (2007-3-29 02:50 PM, 2.81 K)这里点击接受即可图片附件: 14.这里点接受即可.jpg (2007-3-29 02:50 PM, 28.9 K) 系统光盘放入隐藏分区 ? 完成了以上操