恢复隐藏分区分享经验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
机器:Acer 5583WIMI
隐藏分区版本:eRecovery V2
背景:安装GHOST操作系统时,因为GHOST光盘自动覆盖第一个分区,所以隐藏分区被覆盖了大部分。及时按下Ctrl + C之后,用ImageExplorer还能看到主体的目录结构,甚至某些文件夹还以注册表的一些字符串命名。但是当时图片没有抓下来。隐藏分区没有删除
预备工具:
1. Acer eSolution V2光盘,已经打好patch和eBoot_ToolKit_V2( 0315)补丁
2. 刻录出来的正版系统恢复光盘(应用程序光盘忘记刻了)
隐藏分区对比分析
1. eSolution V2光盘里面的WinPE环境,用光盘启动,按F1可以引导到此环境下
图片附件: 1.eSolution V2的WinPE界面.jpg (2007-3-29 02:01 PM, 78.99 K)
2. 光盘根目录中有eRY-D2D.GHO文件,它是隐藏分区的精简版本,没有系统镜像,应用程序盘(autorun.exe)里面删除了所有驱动和应用程序。因为隐藏分区被损坏,深层目录无法读取。但是经过对比,两者结构大体一致,是匹配的。所以不必担心隐藏分区的版本问题。
注意这个Autorun.inf文件夹,它可以防止通过“自动播放”功能运行的病毒。
图片都是我试验成功以后,全部重做一次抓到的。可惜再破坏一次隐藏分区以后,ImageExplorer
却不能读取隐藏分区了。自然也看不到以注册表字符串命名文件夹的奇妙景象了
图片附件: 2.隐藏分区结构示意.JPG (2007-3-29 02:01 PM, 68.16 K)
修改隐藏分区的文件系统标志
简要分析:隐藏分区的文件存储结构是标准的FAT32,对应的文件系统标志是0B。为了保护隐藏分区,出厂前该标志被修改成12,在Windows磁盘管理中看到是“EISA配置”,右击它只有帮助菜单可以用,防止正常使用时被删除或者格式化。
1. 用WinPM把这个标志改回来
图片附件: 3.准备用WinPM修改隐藏分区的文件系统标志.jpg (2007-3-29 02:01 PM, 3.32 K)
2. 启动以后,右击隐藏分区:
图片附件: 4.右击隐藏分区可以看到菜单.jpg (2007-3-29 02:01 PM, 87.69 K)
3. 修改分区ID:
图片附件: 5.修改分区ID为0B.jpg (2007-3-29 02:01 PM, 32.14 K)
4. 确定以后,点击左上角的应用,修改即可生效
图片附件: 6.点击左上角的应用.jpg (2007-3-29 02:44 PM, 5.03 K)
GHOST恢复隐藏分区1. 启动GHOST
图片附件: 7.启动Ghost.jpg (2007-3-29 02:44 PM, 9.03 K)
2. 选择eSolution光盘的eRY-D2D.gho文件
图片附件: 8.选择eSolution光盘的eRY-D2D.gho文件.jpg (2007-3-29 02:44 PM, 32.14 K)
3. 恢复到隐藏分区,选择第一个分区哦,别选错了
图片附件: 9.恢复到隐藏分区.jpg (2007-3-29 02:44 PM, 25.72 K)
4. 恢复的过程
图片附件: 10.恢复的过程.jpg (2007-3-29 02:44 PM, 38.56 K)
5. 完成以后不要重启,选择Continue,后面还有一步
图片附件: 11.完成以后不要重启,还有一步.jpg (2007-3-29 02:50 PM, 8.61 K)
6. 退出GHOST
图片附件: 12.退出GHOST.jpg (2007-3-29 02:50 PM, 4.64 K)
修复MBR
简要分析:MBR(Master Boot Record)就是我们经常说的硬盘“主引导记录”。其内部存储的代码,是机器在自检之后首先执行的。它会判断用户是否按下ALT + F10
详情请看Acer eRecovery 不完全攻略(之二)[完结篇]七楼中附录的剖析
为了保证ALT+F10快捷键正常工作,用这个工具修复MBR引导程序
图片附件: 13.用这个工具修复MBR恢复ALT+F10快捷键.jpg (2007-3-29 02:50 PM, 2.81 K)
这里点击接受即可
图片附件: 14.这里点接受即可.jpg (2007-3-29 02:50 PM, 28.9 K)
系统光盘放入隐藏分区
完成了以上操作之后,隐藏分区仅仅是被恢复成eRY-D2D.gho的样子
这时可以使用ALT + F10进入PE环境,但是仅仅能对第二个分区(平时看到的C:盘)格式化
不过整体框架已经出来了,如果您刻录了系统恢复光盘(当然是eRecovery V2版本才行哦),就一起来把光盘镜像整合到隐藏分区里吧!
1. 刚才GHOST操作完成之前,如果您没有重启,在Win PE环境里面把隐藏分区装载起来,就可以直接操作了。经过文件的逐一对比,下图中选中的两个文件存在于隐藏分区的根目录,而且内容一样。目录结构则同D2D文件夹完全一致!但是现在隐藏分区里,images文件夹中是空C:盘的镜像(所以刚才说可以完成格式化的功能),patch文件夹中则仅有一个patch.bat脚本(该文件在刻录光盘中同样存在)
图片附件: 15.系统恢复光盘和隐藏分区对比.JPG (2007-3-29 10:56 PM, 77.81 K)
2. 当然,您可以使用eSolution V2的“安装隐藏分区”把它装载到W:盘。如果您有Acer Empowering Technology自带的MBRwrWin.exe,就可以随心所欲了,在命令行中输入mbrwrwin mount hd0:1 W:即可,这里的W:可以自行修改成任意其他盘符
图片附件: 16.用eSolution光盘的安装隐藏分区工具.JPG (2007-3-29 10:56 PM, 60.32 K)