数据恢复的准备知识

126C:0100 mov ax,301 ； 写操作一个扇区
126C:0103 mov bx,300 ；从内存地址300
126C:0106 mov cx,1 ；0面1扇
126C:0109 mov dx,80 ；80H为硬盘，头为0
126C:010C int 13
126C:010E int 3 ；断点
⑤ 绝对磁盘内容的读出与写入
类似操作在FAT32结构硬盘被CIH破坏的修复中比较常见，我们后面将讲到恢复的基本思路就是用第二FAT表覆盖第一FAT表。那么无疑要读出第二FAT表的内容，再回写到第一FAT表的位置上。一般的来说，大量连续扇区的读出写入DISKEDIT进行非常方便，如果用DEBUG做则要写一段子程序，不过程序的主要技巧就是利用int 25绝对磁盘读中断读出的内容，而用int 26绝对磁盘写做内容写入。
5、数据可恢复的前提
有人觉得这个题目说法比较奇特，但数据恢复，作为一个数据再现的过程，一定要解决两个问题，第一是从哪里恢复的问题，第二是怎么恢复的问题。解决了这两个问题，我们事实上就把握了数据恢复的全部思想脉络。而这一部分就是从哪里恢复的问题。
①、 有效而及时的备份中是数据恢复最可靠的来源，在许多人倡导备份到秒的今天，恐怕不会有人怀疑这点。而有些备份机制则是系统内建的，比如两份FAT表。
②、 数据的实际有效性的判定是关键，对我们来说，硬盘无法自举、文件找不到、文件打不开等现象，其实并不与数据丢失画等号。因为此时往往数据只是从操作系统的角度是一种逻辑丢失，而从物理扇区意义上，它仍然存在或部分存在。最明显的就是文件删除的例子，事实上，这只是把文件首字节，改为0E而已。而此时文件体依然存在。
③、 数据损坏过程的可逆性分析：对数据的改变无非两种，取代和变换，前者是不可逆的，而后者则是可逆的。我们以杀毒为例，对于大多文件性病毒来说，那些以附加而非代换方式感染的文件型病毒，理想的杀毒过程就是感染的逆过程。这种分析也常见与重要信息被隐藏搬移或者被加密的情况，但分析将比较复杂。