3.4.2.10.5.2 在转换表恢复中的使用
　　在恢复转换表中使用EXPLORER,是当更新偏移表时，不需重启，就能看到重建分区表的变化时才有机会的。例如，当需要读1000号扇区的数据，从偏移表中看到从999号扇区开始，向前偏移了一个扇区，这样，1001号扇区才是我们真正要读取的。
　　在通过区段文件时，有机会或得这个文件的扇区链表(尽可能按对象模式图工作)，并用偏移图和确定的部分来关联所有的没有确定的偏移。
　　3.4.2.10.5.3 数据逻辑结构恢复的使用
　　当一个实验的磁盘用Explorer模式有不明确的结果时，数据恢复模式的使用是纠正这个磁盘的基础。
　　很不幸的是，描述怎么样使用它是相当的困难，所以我们给一个实例：
　　从一个被 WIN95CIH病毒破坏的FAT32分区的硬盘中读取数据。
　　我们知道，这种病毒破坏主引导记录、文件分配表副本（没有机会进一步扩展）。
　　用系统的特定故障搜索文件分配表副本和文件分配表文件夹（开始模糊定义）。
　　我们编辑与分区表一样的零扇区（主引导记录），写一个关于分区的记录。
　　我们编辑第63扇区作为FAT32导入点（for simplicity it is possible to boot the approprate preparation from a file ）.我们首先要知道文件分配表的副本的数量、存储的扇区的数量、文件分配表的大小，我们假定第一个副本是从95（63+32）开始，到第二个副本的最前面直接终止（用搜索模式查找）。
如果你在前面的数字方面没有什么错误的话，接着重新扫描这个磁盘，你将会看到正确的分区类型和第一个扇区根目录文件夹的位置。
　　充分确定了簇的大小和分区数据才可能去复制，连接了PC3000系统的硬盘是比较好做到的！
整个过程用时5分钟。这是一件相当简单的事情！
　　文件分配表被严重破坏（例如文件分配表全部被破坏）的分区的数据恢复是不可能实现的，然而，用户可以利用Explorer模式提供的数据结构中隐藏信息来帮忙。
　　更进一步来讲，计划从本质上发展这个综合的恢复逻辑结构的工具，然而，至少现在这个综合工具对于了解硬盘数据结构的人是非常有用的。
　　当用户按不同的键就实现不同的功能、输出一些象（"Easy Recovery"）这类数据恢复软件没有的结果。
　　3．5主要的操作模式
　　以下是三个主要的操作模式：
　　1、建立硬盘镜相文件模式
　　2、这个模式是把先前的镜相文件输出到一个与PC3000卡相连的另外一个硬盘上。
　　3、这个模式是从与PC3000卡相连的有缺陷的硬盘直接拷贝数据到另外一个作为第二主盘的硬盘上
　　用户的在所有的操作中有以下几点是相同的：
　　关闭被打开的任务。关闭任务开关会断开与PC3000卡相连的硬盘的连接。
　　连接与PC3000卡上的硬盘，硬盘上的数据会被读出或输出。
　　打开先前创造的任务。
　　用一个确切的模式操作读取或写下数据，改变参数，进一步来分析操作这个过程。
　　当你认为可以的时候关闭任务或结束进程。
　　从图形上看来这几个从缺陷盘上拷贝数据的模式非常简单：（图略）
　　在工作区的顶部有一个模式名称的标识。
　　在左侧的顶部是与PC3000卡相连的硬盘的参数。
　　在右侧的顶部显示的是对于某个单独模式的当前运行过程的关键信息。
　　在工作区中间显示的是程序进度的标志。
　　在工作区的右边有控制程序的按钮。
　　在工作区的底部显示的是当前寄存器上的硬盘的状态指示灯。
　　模式的控制特别的注意一下。这样，对数据的读写和输出的认识相对要简单一些，控制面版也是很相似，不同的是每一种动作输出的详细特性。
　　在所有的操作模式过程中，"start" "stop" "parameters" "statistics" "map" "repeat" 和"finish".这些按钮的功能非常相似的：
　　"start"和"stop"按钮是允许和禁止进程的操作。
　　"finish"按钮关闭当前已经打开的任务。
　　"parameters"按钮允许用户查看和改变当前工作模式的参数。按下它会出现一个对应的改变参数的模式窗口。
　　"map"按钮可以开关扫描程的地图。
　　"repeat"按钮重新开始结束的改变了参数的进程
　　按钮的有效性取决于当前任务的执行的情况。例如：当正在扫描或输出时，按钮"parameters"是不可用的（灰色）。
　　3.5.1缺陷硬盘的映象文件的创建
　　这个是从缺陷硬盘中读出数据并保存在一个已经格式化的普通硬盘上的模式，在这个硬盘中创建一个最大为1G的二进制文件的文件夹（imgXXX.bin,XXX是文件的数目）。最初，这个模式打算作为从缺陷硬盘中读取数据的主要模式。
　　它的主要优点是可以从缺陷硬盘中重复的读出最初的数据便于以后分析和恢复数据。
　　这个模式最根本的缺陷是很浪费时间，因为它是一对一的两个过程，扫描后然后输出，对于一个大于1G的盘大约要20-30分钟。也就是说，一个容量为30G的硬盘输出数据大约要12-15小时，大量的时间扫描会导致硬盘的破坏加深。
　　鉴于以上情况，在开始读取数据之前，扫描过程中的参数定义是非常重要的，扫描要达到什么样的目的，事先要明确，然后通过控制按钮"patameters"来设置必要的参数。
　　在按了这个按钮之后屏幕上会出现一个设置扫描参数的窗口：（图略）
　　在创建了一个任务后，所有的参数都作为一个默认的值被确定下来，改变这些参数必须要按"Apply"按钮来应用它们。
　　下面是扫描参数的列表：
　　参数名称
　　1 开始的LBA地址
　　2 结束的LBA地址
　　3 读取等待
　　4 电源开关
　　5 跳过的大小
　　6 重复读取
　　7 重复的准备
　　8 使用硬件重复
　　9 跳过读取失败的扇区
　　10 读取时忽略CRC（CRC 循环冗余码校验）
　　定义你要读取的缺陷盘的扇区范围。
　　"读取等待"参数定义读取硬盘的响应时间，单位为毫秒。如果读取失败，15秒后将会出现一个信息框或按钮，允许结束等待。
　　"电源开关"参数的设置单位是毫秒，设置当停止读取缺陷硬盘是电源自动开关的时间间隔，这主要是提供一个自动开关硬盘电源的环境。
　　"跳过的大小"是设置当等待读取硬盘时，读不出来硬盘自动断开电源时，为了加快读取，只有跳过，这时的扇区的大小，这个参数主要是针对破坏严重的硬盘，例如磁头坏了。
　　"重复读取"参数是设置读取错误的扇区而企图重复去读取它的次数，然而，有一点要注意的是，如果这个参数的次数超过3次，即使可能已经成功的读取了，分析统计的大量可信数据将被保存下来。
　　"重复的准备"参数用来设置读取那些即将受损的硬盘扇区的重复次数，这个参数仅仅用于万一"跳过坏扇区"没有确定时。
　　"读取时忽略CRC"对于扫描大量坏扇区的硬盘很有用。如果没有循环冗余码校验，读取数据就要快得多啦！当然，这样读取数据的可靠性就要差一些。
　　以下作为一个分开的部分，就是万一程序不能进入准备的模式来使用的：
　　1 硬盘电源开关
　　2 硬件重启
　　3 程序重启
　　4 初始化
　　5 重新校准
　　这些参数是在硬盘确定的时间没有进入事先准备的模式定义的执行方式。
　　为了程序执行得顺利，我们要从上到下按顺序设定好这些参数，换句话来说，程序执行的环境依赖于我们设定的参数结构。
　　例如，如果程序一开始硬盘就开始敲盘，这时"开关硬盘电源"的功能显得非常重要啦。
　　这一点是非常有用的，万一在扫描一个大硬盘的时候我们没有注意到程序的进度而这个硬盘突然不退出工作模式开始敲盘，接着就会敲坏盘，如果这时我们不能及时把硬盘从这种环境中断开，以后取出数据是不可能的。
　　在默认的情况下，这些设置所有的点都是打开的。然而，用户可以通过自己对某一特定的情形的判断来改变这些设置。
　　3.5.2把镜相的数据输出到另一个好硬盘上
　　记录器模式运行后，从缺陷硬盘被读出的数据被作为文件的形式保存在当前任的子目录中。
　　连一个容量差不多或比它容量大的盘到这个PC3000的功能卡上再打开相应的任务。
　　表面上看来这个模式与前面的没有什么不同，唯一的本质区别在联了一个好的硬盘和这个模式运行的意义（一个是从缺陷硬盘上读取数据然后保存成文件，一个是把文件区对区的拷贝到另一个好盘上）。
　　假如联接的硬盘是一个真正的好硬盘的话，出现的参数设置列表项目很少的，只有从先前保存文件拷贝扇区的开始的LBA和结束的LBA .
　　细微的差别在于当一个扇区没有被读取时（出现错误或跳过的情况）可能数据会被重新排列，按下输出参数设置"跳过坏扇区"的按钮时对于你来说是非常有用的：（图略）
　　按下输出窗口参数设置下面的按钮时，每种情况都被写到好的硬盘上。
　　按下"默认"按钮，所有的参数按系统默认的设置。
　　按下"应用"和"拒绝"按钮就表时不要求特别的注释。
　　在你确定用默认的设置参数然后按下"开始"按钮时，数据将会成功的输出到硬盘上，除非你中途打断它。
　　一旦你按了"完成"按钮时，任务将会被关闭。
　　3.5.3不用建立镜相从联接的缺陷硬盘拷贝数据到另一个硬盘上
　　这种工作模式与上面模式描述的是不同的，它不是把PC-3000的卡上的缺陷硬盘读成文件，而是直接拷贝到第二主硬盘上。
　　这种模式的根本好处是节省时间，然而用户却失去了重复读取缺陷硬盘数据并输出到另一硬盘的机会。
要用这个模式，通常在开机之前首先要接一个和缺陷硬盘容量相当或还要大的硬盘在电脑的第二条IDE线上，并把硬盘设成第二主盘，在设备管理器的硬盘项中断开第二硬盘，这样就断开了操作系统对这个硬盘的控制，连接第二硬盘的端口被关闭。这样DE程序就可以直接控制这个硬盘了。
　　如果这些要求没有达到，按这个"开始"钮，就会出现第二主盘硬盘初始化出错的提示框，而且出错的指示灯还会亮起来！
　　用户要记住一点的是，重启电脑操作系统后，操作系统都能认出第二硬盘并且禁止程序占用它的端口。这样就要求我们打开硬件管理器来关闭这个硬盘，然后扫描的数据才对顺利的拷贝到第二硬盘上。
　　必须要按以说的要求去做是这个模式的麻烦的地方，然而这种模式对于大容量硬盘的数据恢复是节约成倍的时间，这对于我们来说才是重要的。

相关文章：
数据恢复DE说明书一
数据恢复DE说明书二
数据恢复DE说明书三
数据恢复DE说明书四
数据恢复DE说明书五
数据恢复DE说明书六
数据恢复DE说明书七
数据恢复DE说明书八
数据恢复DE说明书九
数据恢复DE说明书十