Seite 1 BENUTZERHANDBUCH ZUM PROGRAMMPAKET PC-FATAL Zurckgewinnen gelschter Dateien und Verzeichnisse Sichern und restaurieren zerstrter Dateibelegungstabellen Beheben von Verkettungsfehlern in den Dateibelegungstabellen Schutz der Dateibelegungstabellen vor Vernderungen durch Viren (c) Copyright 1993 Fa. C. Killet Softwareentwicklung, Postfach 400258, 4152 (47896) Kempen. Die hier beschriebene Software ist urheberrechtlich geschtzt. Sie darf ohne Zustimmung der Fa. C. Killet weder verndert, verkauft noch weitergegeben werden. Als Sharewareversion gekennzeichnete Produkte drfen jedoch ausdrcklich uneingeschrnkt kostenlos oder gegen eine geringe Kopiergebhr weitergegeben werden. Haftung und Garantie Die Fa. C. Killet bernimmt die Garantie fr die Lesbarkeit des direkt bei ihr erworbenen Datentrgers und fr die Verwendbarkeit der bei ihr erworbenen Software in Hhe des Kaufpreises. Darber hinaus gibt die Fa. C. Killet keine Garantien irgendeiner Art. Unter keinen Umstnden ist die Fa. C. Killet haftbar fr jedwede Folgeschden, Verluste und entgangene Gewinne, die durch den Gebrauch oder die Nichtverwendbarkeit der Software entstehen. Die Kopier- und Versandgebhr fr Shareware- produkte gilt dabei nicht als Kaufpreis. Unterschied der Sharewareversionen zu den Originalprogrammen Die Sharewareprogramme entsprechen den Bestimmungen der "Association of Shareware Professionals" (ASP) und der "Autoren und Hndlervereinigung Deutschsprachiger Shareware" (DS). In bereinstimmung mit deren Richt- linien sind sie in keiner Weise eingeschrnkt. Nach einem Aufruf wird lediglich ein Hinweisbildschirm mit der Mglichkeit des Ausdrucks eines Registrierungsformulars ausgegeben. Anwender drfen die Shareware einen Monat lang testen und nutzen. Danach kann entweder die Registrierung beim der Fa. C. Killet gegen ein geringes Entgeld (siehe Registrierungs- formular oder Datei "BESTELL.TXT") erfolgen oder die Shareware mu wieder gelscht werden. UPDATE-Service Registrierte Anwender knnen gegen eine Gebhr von derzeit DM 20.-- jederzeit die neuste Version von PC-FATAL bei der Fa. C. Killet bestellen. UPDATES bleiben zu der bisher benutzten Version voll kompatibel. Die Programme werden jedoch stndig verfeinert und ergnzt. PC-FATAL - Datensicherheit hat Vorrang! Wie der Name dieser Software schon andeutet, knnen damit einige fatale Ereignisse, die sich auf die Datenstruktur eines Personal-Computer auswirken, wieder rckgngig gemacht werden. So knnen durch Fehleingabe versehentlich gelschte Dateien und Verzeichnisse auf einfache Weise zurckgewonnen werden. Verkettungsfehler innerhalb der Dateibelegungs- tabellen (FAT's) knnen wieder rckgngig gemacht und damit der Inhalt der betroffenen Dateien wiederhergestellt werden. Die Strke der Programmsammling liegt in der Mglichkeit, Dateibelegungstabellen aller Laufwerke in Dateien zu sichern und diese in die eigene Datensicherung mit aufzunehmen. Dazu mu man wissen, da bei einen Virenangriff fast immer die Dateibelegungstabellen zerstrt werden. PC-FATAL ist in der Lage, Dateibelegungstabellen aus der Datensicherung heraus zu rekonstruieren und so zumindest den Datenbestand der Festplatte wieder Seite 2 herzustellen, der vor der Datensicherung bestand. Darber hinaus stellt PC-FATAL alle wichtigen Kenndaten aus dem Biosparameterblock, smtliche Kenndaten gelschter und ungelschter Dateien und Verzeichnisse und die Ansicht der Dateibelegungstabellen in dezimaler Form zur Verfgung. Konsequenterweise mu derjenige, der ein Virenschutzprogramm benutzt, auch PC-FATAL zur Hand haben. Das Programmpaket PC-FATAL besteht aus drei Einzelprogrammen zum Beheben fataler Fehler am Personal Computer. Die drei Komponenten werden hier der Reihe nach beschrieben. Was das Programm RETTE leistet .... Das Programm RETTE ermglicht das Wiederherstellen versehentlich oder durch technischen Defekt gelschter Dateien und Verzeichnisse. Auch das Zurckgewinnen der verbliebenen Daten aus inzwischen teilweise durch andere Daten berschriebene Dateien und Verzeichnisse ist mglich. Dazu kann der Inhalt der zu rettenden Datei bildschirmweise eingelesen und in eine Wahldatei geschrieben werden. Durch den Wechsel der Darstellungsart kann zwischen der Darstellung gelschter Eintrge und vorhandener Eintrge gewhlt werden. Zum Schutz der wichtigen Dateibelegungstabelle (FAT), die die interne Datenstruktur eines Laufwerks enthlt, kann diese in einer Datei gespeichert und im Bedarfsfall zurckgeschrieben werden. Eine weitere Funktion des Programms stellt alle das jeweilige Laufwerk und Verzeichnis betreffenden Informationen am Bildschirm dar. Das Programm ist cursor- und mengesteuert aufgebaut und stellt dadurch keine Ansprche an die Anwender. Auerdem ist es durch Menleisten und Hinweisfenster sehr bersichtlich gestaltet. Durch Blttern mit Hilfe der Funktionstasten knnen alle in alphabetischer Reihenfolge sortierten Laufwerke und Verzeichnisse eines Systems erreicht werden. Die im jeweiligen Verzeichnis gefundenen gelschten oder normalen Dateien und Unterverzeichnisse werden mit ihren dateispezifischen Informationen dem Namen nach sortiert am Bildschirm aufgefhrt. Es werden bis zu 20 Laufwerke mit jeweils bis zu 256 Verzeichnissen mit jeweils bis zu 256 Eintrgen verwaltet. Unter dem Betriebssystem DOS ab Version 3.0 werden farbige und monochrome Bildschirme untersttzt. Die neueren DOS- Versionen, die ab DOS 4.0 eine von den tieferen Versionen abweichende Datenstruktur aufweisen, werden ebenfalls untersttzt. ber die Datenorganisation auf dem Datentrger .... Ein Datentrger kann in ein oder mehrere Laufwerke (Partitions) aufgeteilt sein. Jedes Laufwerk kann durch eine hirachisch geordnete Verzeichnisstruktur gegliedert werden. Jedes Verzeichnis (Directory) kann Dateien oder wiederum Verzeichnisse enthalten. Verzeichnisse werden vom Betriebssystem wie Dateien behandelt. Da jederzeit die Mglichkeit bestehen mu, den Inhalt von Dateien zu verkleinern, zu vergrern, zu lschen oder neue Dateien anzulegen, wird deutlich, da die interne Datenstruktur nicht mit der hier beschriebenen Gliederung bereinstimmen kann. Deshalb ist ein Laufwerk in viele Belegungs- einheiten (Cluster) aufgeteilt, in die die Daten einer Datei portionsweise abgelegt sind. Die Daten einer Datei knnen dabei in mehreren Belegungseinheiten aufgeteilt vorliegen, die wiederum im Speichermedium verstreut angeordnet sein knnen. Zur Organisation der verstreuten Belegungseinheiten benutzt das Betriebssystem die Dateibelegungstabelle oder engl. "file allocation table" (FAT). Jede Seite 3 Belegungseinheit besitzt in der FAT einen festen Speicherplatz, dessen Inhalt die Position der nchsten Belegungseinheit in der FAT enthlt. Die letzte Einheit einer Datei enthlt eine Endemarkierung. Beim Zugriff auf eine Datei holt sich das Betriebssystem die FAT-Position der ersten Belegungseinheit aus dem Verzeichniseintrag. Da der Inhalt der FAT-Position jeweils auf die nchste FAT-Position verweist, kann das Betriebssystem anhand dieser Verkettung bis zur Endemarkierung auf alle Belegungseinheiten zugreifen. Wie das Betriebssystem Dateien lscht .... Es wre sehr umstndlich und zeitaufwendig, wenn das Betriebssystem zum Lschen einer Datei anhand der Verkettung in der FAT jede Belegungs- einheit aufsuchen und diese mit Nullen oder Leerzeichen berschreiben wrde. Stattdessen werden lediglich die zur Datei gehrenden FAT-Eintrge mit einer Null beschrieben. Zustzlich wird die Datei im Verzeichniseintrag durch berschreiben des ersten Zeichens des Dateinamen als gelscht gekennzeichnet. Die Inhalte der Belegungs- einheiten selbst bleiben dabei unverndert. Sie sind allerdings durch ihren jeweils mit Null gekennzeichneten FAT-Eintrag zum berschreiben freigegeben. Wie eine Datei zurckgewonnen werden kann .... Solange die FAT-Eintrge einer gelschten Datei noch Null sind, existieren ihre Daten in den Belegungseinheiten. Natrlich knnen diese von anderen, inzwischen auch wieder gelschten Dateien berschrieben worden sein. In vielen Fllen ist es aber noch mglich, eine gelschte Datei zu retten. Dazu wird zunchst das erste Zeichen des Dateinamens im Verzeichniseintrag wiederhergestellt. Aus der ebenfalls im Verzeichniseintrag enthaltenen Dateigre lt sich die Anzahl der ehemals benutzten Belegungseinheiten berechnen. Mit Hilfe der FAT-Position der ersten Belegungseinheit knnen die Verkettung in der FAT wiederhergestellt und die Belegungseinheiten der Datei wieder zugeordnet werden. Wenn eine Datei inzwischen berschrieben ist .... Oft kommt es vor, da ein Teil der ehemaligen FAT-Verkettung schon von anderen Dateien benutzt und die dazugehrenden Belegungseinheiten berschrieben sind. Die ehemaligen Belegungseinheiten knnen aber am Bildschirm gesichtet und noch Brauchbares selektiert in eine neue Datei geschrieben werden. Natrlich mu sich diese neue Datei in einem anderen Laufwerk befinden, weil sie sonst zufllig dieselben Belegungseinheiten benutzen knnte, die gerade gerettet werden sollen. Wiederherstellung gelschter Dateien Nach dem Programmstart findet das Programm RETTE alle gelschten Dateien im aktuellen Laufwerk und Verzeichnis und schreibt deren Namen und Umgebungsvariablen auf den Bildschirm. Dargestellt werden die Dateiattribute, das Erzeugungsdatum und die Erzeugungszeit, die Dateigre, die Startbelegungseinheit (Startcluster) und der Startsektor. Das erste Zeichen des Dateinamens wird als Fragezeichen dargestellt, da es vom Betriebssystem mit der Lschkennung berschrieben ist. Jeder Eintrag enthlt den Hinweis, ob die Datei noch zu retten ist oder inzwischen vollstndig oder teilweise berschrieben ist. Dieser Sachverhalt wird zustzlich durch eine unterschiedliche Farbgebung hervorgehoben. Es ist mglich, das Fragezeichen einer noch zu rettenden Seite 4 Datei durch ein Zeichen des Alphabeths zu berschreiben und die Datei damit wiederherzustellen. Wenn der dadurch generierte Dateiname schon im aktuellen Verzeichnis vorhanden ist, fordert das Programm zur Eingabe eines anderen Zeichens auf. Gelschte Verzeichnisse lassen sich ebenfalls zurckgewinnen. Allerdings ist die Manahme auf die Gre einer Belegungseinheit begrenzt, was fr Verzeichnisse in den meisten Fllen ausreicht. In der obersten Bildschirmzeile wird das jeweils aktuelle Laufwerk und Verzeichnis angezeigt, die unterste Zeile erlutert die Tastenbelegung. Ausschnitt aus dem Managementbildschirm fr gelschte Eintrge ͻ Verzeichnis: D:\PROGRAMM\RETTE DateiAttribDatumZeitGreClustSektorRegenerbkt͹ ?$EDIT$$.CKP A----- 11.02.1995 19.17 17334 2919 11829 berschrieben ?ETTE.BAK A----- 11.02.1995 19.17 25105 2705 10973 berschrieben ?ETTE.BAK A----- 11.02.1995 18.03 24477 2084 8489 berschrieben ?ILD.001 A----- 11.02.1995 16.23 2050 93 525 regenerierbar ?ILD.002 A----- 11.02.1995 16.23 2050 444 1929 regenerierbar ?ILD.003 A----- 11.02.1995 16.40 2050 1467 6021 regenerierbar ?ILD.004 A----- 11.02.1995 16.42 2050 1470 6033 regenerierbar ?ILD.005 A----- 11.02.1995 16.58 2050 1895 7733 regenerierbar ?ILD.006 A----- 11.02.1995 16.59 2050 1944 7929 regenerierbar ?LP.PRF A----- 11.02.1995 19.17 313 2911 11797 berschrieben ?OC.PRF A----- 11.02.1995 19.17 313 2918 11825 berschrieben ?XT.PRF A----- 11.02.1995 19.17 1502 3105 12573 berschrieben ͹ vV:F1 nV:F2 vL:F3 nL:F4 Rett:A-Z Inh:F7 Inf:F8 lDbt:F9 sDbt:F10 End:ES ͼ Die Tasten , und Mit diesen Tasten kann das hell unterlegte Markierungsfeld zum Markieren eines beliebigen Dateieintrags ber den Bildschirm bewegt werden. Am oberen oder unteren Rand des Darstellungsbereichs werden durch das Bettigen der Tasten weitere, auerhalb des Darstellungsbereichs vorhandene Dateieintrge ber den Bildschirm gescrollt. Die Tasten und Auerhalb des Darstellungsbereichs vorhandene Dateieintrge lassen sich mit Hilfe dieser Tasten jeweils 15 Zeilen aufwrts und abwrts scrollen. Die Tasten (vV) und (nV) Mit der Taste kann in alphabetischer Ordnung das jeweils nchste Verzeichnis am Bildschirm dargestellt werden. Die Taste dagegen wechselt in das vorherige Verzeichnis. Durch dauerhaftes Drcken einer der Tasten ist das schnelle Blttern durch die Verzeichnisse mglich. Die Tasten (vL) und (nL) Mit der Taste ist der Wechsel in das in der alphabetischen Ordnung nchste Laufwerk mglich. Die Taste aktiviert das vorherige Laufwerk. Durch dauerhaftes Drcken einer der Tasten ist das schnelle Blttern durch die Laufwerke mglich. Beim Laufwerkswechsel wird automatisch das im neuen Laufwerk zuletzt aktuelle Verzeichnis angesprungen. Seite 5 Die Taste (Art) Mit der Taste wird die Art der dargestellten Dateien und Verzeich- nisse gewechselt. Nach dem Aufruf des Programms werden standardmig gelschte Eintrge dargestellt. Nach dem ersten Drcken von kommen vorhandene, nicht gelschte Eintrge zur Darstellung. Ein weiterer Tastendruck wechselt wieder zu den gelschten Eintrgen. Die Darstellung der vorhandenen Eintrge dient zum Ermitteln der zu den Eintrgen gehrenden Kenndaten. Ausschnitt aus dem Managementbildschirm fr vorhandene Eintrge ͻ Verzeichnis: D:\FORTRAN\LIB DateiAttribDatumZeitGreClustSektorRegenerbkt͹ DIRM.LST A----- 05.02.1993 16.02 495 9007 36181 D.vorhanden! FORGRAPH.LIB ------ 17.05.1990 19.41 27648 1755 7173 D.vorhanden! FORSUB -D---- 06.05.1990 21.38 U-Verz 3 165 V.vorhanden! FORSUB.LIB A----- 07.02.1995 22.05 204288 11441 45917 D.vorhanden! FORSUB7 -D---- 31.07.1992 15.21 U-Verz 53 365 V.vorhanden! FORSUB7.LIB A----- 07.02.1995 22.08 204288 12050 48353 D.vorhanden! FORSUBA -D---- 22.09.1991 15.53 U-Verz 36 297 V.vorhanden! FORSUBA.LIB A----- 07.02.1995 22.07 204800 11746 47137 D.vorhanden! FORSUBS.LIB A----- 07.02.1993 09.45 200192 8632 34681 D.vorhanden! ͹ vV:F1 nV:F2 vL:F3 nL:F4 Art:F6 Inh:F7 Inf:F8 lDbt:F9 sDbt:F10 End:ESC ͼ Die Taste (Inh) Mit der Taste kann der Inhalt gelschter und bereits teilweise berschriebener Dateien am Bildschirm dargestellt und in einer Wahldatei gerettet werden. Nheres dazu wird spter beschrieben. Die Taste (Inf) Durch das Bettigen der Taste werden das aktuelle Laufwerk und Verzeichnis betreffende wichtige Daten am Bildschirm angezeigt. Neben der DOS-Versionsnummer werden die Laufwerkskenndaten aus dem Laufwerksparameterblock (auch Biosparameterblock oder BPB), Startsektor und Startcluster des aktuellen Verzeichnisses und Angaben zur Speicher- kapazitt des Laufwerks gemacht. Ausschnitt aus dem Hinweisbildschirm fr Kenndaten ͻ Datei: D:\PROGRAMM\RETTE\?XT.PRF ͹ DOS-Versionsnummer: 3.30 Anzahl der Bytes pro Sektor: 512 Anzahl der Sektoren pro Belegungseinheit: 4 Gesamtzahl der Sektoren: 65484 Gesamtzahl der Belegungseinheiten: 16330 Anzahl der Dateibelegungstabellen: 2 Anzahl Bits pro Eintrag in der Dateibelegungstabelle: 16 Anzahl der Sektoren pro Dateibelegungstabelle: 64 Anzahl der Byte pro Dateibelegungstabelle: 32768 Anzahl der reservierten Sektoren: 1 Startsektor des Stammverzeichnisses: 129 Mgliche Anzahl Eintrge im Stammverzeichnis: 512 Seite 6 Startsektor des Datenbereichs: 161 Startsektor dieses Verzeichnisses: 225 Startbelegungseinheit dieses Verzeichnisses: 18 Speichervermgen des Laufwerks in Byte: 33445376 Freier Speicherplatz im Laufwerk in Byte: 14532608 ͹ vV:F1 nV:F2 vL:F3 nL:F4 Rett:A-Z Inh:F7 Inf:F8 lDbt:F9 sDbt:F10 End:ES ͼ Die Taste (lDbt) Beim Schreiben in Dateien mu schreibend auf die Dateibelegungstabelle (FAT) zugegriffen werden. Da die FAT aber der wichtigste Teil eines Laufwerks ist - DOS verwaltet sogar eine oder mehrere Kopien der FAT aus Sicherheitsgrnden gleichzeitig - ist dabei ein wohl geringes Risiko des totalen Datenverlustes durch Soft- oder Hardwarefehler, durch Strom- ausfall oder durch Fehlbedienung gegeben. Ein greres Risiko geht von Computervieren aus, die direkt die Dateibelegungstabellen verndern knnen. Deshalb besteht die Mglichkeit, mit Hilfe der Taste die komplette FAT des aktuellen Laufwerks in einer Datei zu sichern. Die Datei mit dem Namen "RETTELW?.FAT" enthlt eine genaue Kopie der FAT und ist im Wurzelverzeichnis des Laufwerks abgelegt. Das Fragezeichen im Dateinamen steht fr den jeweiligen Laufwerkskennbuchstaben. Wer ganz sicher gehen will, kopiert die Datei auf eine leere Diskette, da sie im Falle der vollstndigen Zerstrung der FAT vom Betriebssystem nicht mehr aufgefunden werden kann. Mit einiger Fachkenntnis kann die Datei sogar zum Beheben bestimmter Dateizuordnungsfehler mit entsprechender Software bearbeitet werden (z. B. mit dem Programm KORFAT aus dem Programmpaket PC-FATAL des Autoren). Bitte beachten Sie, da in der Datei der Zustand des Laufwerks zum Zeitpunkt ihrer Erzeugung gespeichert ist! Die Taste (sDbt) Diese Option ermglicht das Zurckschreiben der in einer Datei gesicherten FAT in ein Laufwerk. Dazu mu sich die Datei "RETTELW?.FAT" im Wurzelverzeichnis des zu bearbeitenden Laufwerks befinden. Bitte beachten Sie: DIESE OPTION DARF NUR IM UERSTEN NOTFALL BENUTZT WERDEN. Alle seit dem Erzeugungszeitpunkt der Datei erzeugten oder vernderten Daten gehen unwiederruflich verloren! Aus Sicherheitsgrnden erzeugt das Programm nach dem Bettigen der -Taste einen Warnbildschirm mit der Abfrage, ob die vorhandene FAT tatschlich berschrieben werden soll oder nicht. Wenn von der Option trotzdem Gebrauch gemacht werden mu, berschreibt das Programm die vorhandene FAT und deren Kopien mit dem Dateiinhalt. Danach ruft es die Betriebssystemroutine "CHKDSK" mit dem Schalter "/f" auf. Die Routine berprft die FAT und stellt Inkonsequenzen zwischen den Verzeichnis- eintrgen und der neuen FAT fest. Wenn Inkonsequenzen festgestellt werden, erfolgt eine Abfrage, ob diese behoben werden sollen oder nicht. Beantworten Sie die Frage positiv indem Sie "J" bzw. "Y" eingeben. Ausschnitt aus dem Warnbildschirm vor dem Zurckschreiben einer FAT ͻ Zurckschreiben der gesicherten Dateibelegungstabelle des Laufwerks D ͹ Seite 7 Die Dateibelegungstabelle darf nur im uersten Notfall auf den Datentrger zurckgeschrieben werden! Es ist mglich, da dabei Dateien oder Verzeichnisse verloren gehen! Mchten Sie trotzdem eine Dateibelegungstabelle zurckschreiben? ͹ Ja: J Nein: N ͼ Die -Taste Mit dieser Taste wird das Programm RETTE beendet. In der untersten Bildschirmzeile steht der DOS-Prompt fr weitere Befehle zur Verfgung. Man befindet sich im vor dem Programmaufruf aktiven Laufwerk und Verzeichnis. Wiederherstellung berschriebener gelschter Dateien Mit der Taste kann der Inhalt der markierten gelschten oder teilweise wieder berschriebenen Datei am Bildschirm dargestellt und in eine Wahldatei gerettet werden. Es werden Dateiblcke verwendet, deren Gre sich entweder auf die Gre der Belegungseinheiten (Cluster) bezieht, oder die aus Grnden der Darstellbarkeit auf 1024 Bytes begrenzt ist. Das Darstellungsfeld enthlt den ersten Block der gewhlten Datei. Steuerzeichen und binre Nullen sind auf dem Bildschirm durch einen Punkt (ASCII 250) ersetzt. In der untersten Zeile des Darstellungsfeldes werden die Gesamtzahl der Blcke, die Blockgre, die aktuelle Blocknummer, die aktuelle Belegungseinheit und der dargestellte Dateibereich relativ zum Dateianfang aufgefhrt. In der obersten Bildschirmzeile steht der aktuelle Dateiname, in der untersten Zeile werden Hinweise zur Tastenbelegung gegeben. Die Funktionstasten bis und bis werden wie oben beschrieben verwendet. Diese Option funktioniert auch in der Darstellungsart fr normale Eintrge. Ausschnitt aus der Darstellung des Inhalts einer gelschten Datei ͻ Datei: D:\PROGRAMM\RETTE\?XT.PRF ͹ PBRP+^_]UVWS+SsDtVW v _^u _^]U vtP.P]U v v v+PFtNP~pF v dBAKTMPDisplay configuration NOT supported-- Edit or terminated.$File specification is NOT defined.Output file al ready exists. Want to OVER WRITE? {Y or N} Z01 FVtV^_]ː+^_]ːUW v vK FVu _]+~ &=9w&*-0G&=0sۉ~FN _]ːʎں#%!VSP'B۸ TX[^ˋt\ uTËt;u;TuD3҃ Seite 8 sHtRP XZBÃ;r3PSQRVWUt Anz:0002 Blkgr:1024 Blknr:0001 Clus:003105 Bytes 000001 bis 001024 ͹ v.V:F1 n.V:F2 v.L:F3 n.L:F4 s.Bl:F5 v.Bl:CU n.Blk:CD 1.Blk:PU l.Blk:PD ͼ Die Taste (s.Blk) Der am Bildschirm angezeigte Block wird in seiner Originalform in eine Datei geschrieben. Beim ersten Bettigen der Taste wird zum Anlegen der Datei deren Name eingelesen. Es ist sinnvoll, die Datei in einem anderen Laufwerk anzulegen, da sie sonst zufllig dieselben Belegungseinheiten benutzen knnte, die gerade gerettet werden sollen. Ein alternatives Laufwerk wird vom Programm schon vorgegeben; es kann durch eigene Angaben berschrieben werden. Alle weiteren mit der Taste aktivierten Blcke werden an die Datei angehngt. Die -Taste (v.Blk) Diese Taste stellt den vorherigen Block zur Verfgung. Die -Taste (n.Blk) Diese Taste stellt den nchsten Block zur Verfgung. Die -Taste (1.Blk) Diese Taste stellt den ersten Block einer Datei zur Verfgung. Die -Taste (l.Blk) Diese Taste stellt den letzten Block zur Verfgung. Die -Taste oder jede andere Taste (E) Es wird zum Hauptbildschirm zurckgesprungen. Hier knnen weitere gelschte Dateien angewhlt werden. Was das Programm LESFAT leistet .... Das Programm liest die Dateibelegungstabellen (FAT's) der in einem Parameterstring bergebenen Laufwerke in Dateien ein. Die Dateien mit einer genauen Kopie der Dateibelegungstabellen werden jeweils im Stammverzeichnis der Laufwerke unter dem Namen "RETTELW?.FAT" abgelegt. Das Fragezeichen im Dateinamen steht fr den jeweiligen Laufwerks- kennbuchstaben. Die Dateibelegungstabelle gehrt zu den wichtigsten Teilen eines Laufwerks - DOS verwaltet sogar eine oder mehrere Kopien der FAT aus Sicherheitsgrnden gleichzeitig. Bei allen Dateioperationen besteht ein geringes Risiko des totalen Datenverlustes durch Software- oder Hardwarefehler, durch Stromausfall oder durch Fehlbedienung. Ein greres Risiko besteht durch eine Vielzahl von Computervieren, die direkt auf die FAT eines Laufwerks zugreifen und diese zerstren. Im Falle eines Falles kann derjenige, der seine FAT's durch Aufruf des Programms LESFAT aus der Startdatei "AUTOEXEC.BAT" heraus gesichert hat, diese mit Hilfe des Programms RETTE wiederherstellen. Wer ganz sicher gehen will, kopiert die Dateien "RETTELW?.FAT" auf eine Diskette und kennzeichnet diese unverwechselbar. Bitte beachten Sie, da in den Dateien "RETTELW?.FAT" der Zustand der Laufwerke zum Zeitpunkt ihrer Seite 9 Erzeugung gespeichert ist! Das Programm LESFAT hat die folgende Aufrufsyntax: LESFAT Beispiel: LESFAT ACD Fehlerhafte Kennungen werden ignoriert. Wenn ein Fehler auftritt, erfolgt eine entsprechende Meldung am Bildschirm. Wenn eine FAT nicht gesichert werden konnte, enthlt die Umgebungsvariable "ERRORLEVEL" nach dem Beenden des Programms eine Eins. Wenn alle FAT's der im Parameter bergebenen Laufwerke in FAT-Dateien gesichert werden konnten, enthlt "ERRORLEVEL" eine Null. Was das Programm KORFAT leistet .... Die zu dem Programmpaket PC-FATAL gehrenden Programme RETTE und LESFAT ermglichen das Speichern der Dateibelegungstabellen (FAT's) der verschiedenen Laufwerke in Dateien. KORFAT stellt diese Dateien in einer lesbaren und verstndlichen Form mit Zahlen des Dezimalsystems am Bildschirm dar und ermglicht Vernderungen darin. Mit einiger Sachkenntnis gelingt es, darin vorhandene fehlerhafte Verkettungen wiederherzustellen, ohne das Risiko durch den direkten Eingriff in die physikalisch im Speichermedium vorhandene FAT einzugehen. Erst nach Abschlu der notwendigen nderungen kann die FAT mit Hilfe des Programms RETTE durch die korrigierte FAT-Datei berschrieben werden. Sicherheits- halber hat man sich vorher eine Sicherungskopie der FAT-Datei hergestellt, um notfalls den alten Zustand wiederherstellen zu knnen. KORFAT ist eine wichtige Hilfe im Falle eines Virenbefalls. Manipulationen durch Computervieren lassen sich damit unter Umstnden beheben. Bei Virenbefall knnen durch die Ansicht der vernderten FAT Rckschlsse auf den Typ des Computervirus gezogen werden. Die Darstellung einer Dateibelegungstabelle .... Da die FAT's selbst, und deren genaues Abbild in mit PC-FATAL erzeugten FAT-Dateien in binrer Form vorliegen, ist ein Listing und die Einsicht in den Aufbau einer Dateibelegungstabelle weder am Bildschirm noch am Drucker mglich. Bescheidene Ergebnisse liefern gngige kommerzielle Programme oder das DOS-Programm DEBUG, die hchstens eine Darstellung in hexadezimaler Form ermglichen. Ein Auszug aus der FAT einer Festplatte mit einem bekannten kommerziellen Programm sieht ungefhr so aus: Displacement ----------------- Hex Codes-------------------- 0000(0000) F8 FF FF FF FF FF 04 00 08 15 FF FF 07 00 30 23 0016(0010) 09 00 84 27 FF FF FF FF FF FF FF FF FF FF FF FF 0032(0020) FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 0048(0030) FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 0064(0040) FF FF FF FF 23 00 4E 05 25 00 A4 24 FF FF FF FF 0080(0050) FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 0096(0060) FF FF FF FF FF FF FF FF FF FF 36 00 4B 24 38 00 0112(0070) C5 28 FF FF FF FF FF FF FF FF FF FF FF FF FF FF 0128(0080) FF FF FF FF FF FF 44 00 45 00 46 00 47 00 48 00 0144(0090) 49 00 4A 00 4B 00 4C 00 4D 00 4E 00 4F 00 50 00 Seite 10 Festplatten, die mehr als 4085 Eintrge in der FAT haben knnen, werden so wie hier, mit jeweils zwei Byte pro Eintrag dargestellt. Wer hufig mit hexadezimalen Zahlen zu tun hat, wird vieleicht noch in der Lage sein, die FAT-Eintrge einigermaen zu verfolgen. Derselbe FAT-Auszug wird mit dem Programm KORFAT in einer lesbaren Form mit Zahlen des Dezimalsystems dargestellt: 0 => 65528 65535 65535 4 5384 65535 7 9008 9 10116 <= 9 10 => 65535 65535 65535 65535 65535 65535 65535 65535 65535 65535 <= 19 20 => 65535 65535 65535 65535 65535 65535 65535 65535 65535 65535 <= 29 30 => 65535 65535 65535 65535 35 1358 37 9380 65535 65535 <= 39 40 => 65535 65535 65535 65535 65535 65535 65535 65535 65535 65535 <= 49 50 => 65535 65535 65535 54 9291 56 10437 65535 65535 65535 <= 59 60 => 65535 65535 65535 65535 65535 65535 65535 68 69 70 <= 69 70 => 71 72 73 74 75 76 77 78 79 80 <= 79 Rechts und links sind die Byte-Positionen innerhalb der FAT dargestellt, die einen direkten Bezug zu den Belegungseinheiten der Festplatte darstellen. Dazwischen werden jeweils zehn FAT-Eintrge dargestellt. Jede Position ist aus zwei Byte oder 16 Bit errechnet. Die Positionen Null und Eins in jeder FAT beschreiben den verwendeten Datentrger. (Media-Descriptor-Bytes). KORFAT stellt sie in grner Farbe dar. Mit einer intensiven Farbe werden die jeweils letzten Belegungseinheiten kenntlich gemacht, die zu einer Datei gehren. Der korrespondierende FAT-Eintrag hat immer Zahlen zwischen 65528 und 65535 (Autor hat bisher jedoch immer nur die 65535 dafr gefunden!). Die rosa dargestellte Null reprsentiert eine noch freie Belegungseinheit. Zahlen bis 65519 dienen zur Verkettung der von einer Datei benutzten Belegungseinheiten. Braun dargestellte Zahlen zwischen 65520 und 65527 zeigen defekte Belegungs- einheiten an, die vom Betriebssystem auf diese Weise gekennzeichnet worden sind. Dateibelegungstabellen, die mit weniger als 4086 Eintrgen auskommen, benutzen fr jede Belegungseinheit nur 1 1/2 Byte oder 12 Bit zur Adressierung. Das ist bei den meisten Disketten und bei kleinen Festplattenpartitionen so. Der Fachmann wird bei der Interprtation eines solchen FAT-Dumps einer 360kB-Diskette erhebliche Schwierigkeiten haben: 0000(0000) FD FF FF 03 40 00 05 60 00 07 80 00 09 A0 00 0B 0016(0010) C0 00 0D E0 00 0F 00 01 11 20 01 13 40 01 15 60 0032(0020) 01 17 80 01 19 A0 01 1B C0 01 1D E0 01 1F 00 02 0048(0030) 21 20 02 23 40 02 25 60 02 27 80 02 29 A0 02 2B 0064(0040) C0 02 2D E0 02 2F 00 03 31 20 03 33 40 03 35 60 0080(0050) 03 37 80 03 39 A0 03 3B C0 03 3D E0 03 3F 00 04 0096(0060) 41 20 04 43 40 04 45 60 04 47 80 04 49 A0 04 4B 0112(0070) C0 04 4D E0 04 4F 00 05 51 20 05 53 40 05 55 60 0128(0080) 05 57 80 05 59 A0 05 5B C0 05 5D E0 05 5F 00 06 0144(0090) 61 20 06 63 40 06 65 60 06 67 80 06 69 A0 06 6B KORFAT stellt dieselbe Dateibelegungstabelle ebenfalls in einer lesbaren Form dar: Seite 11 0 => 4093 4095 3 4 5 6 7 8 9 10 <= 9 10 => 11 12 13 14 15 16 17 18 19 20 <= 19 20 => 21 22 23 24 25 26 27 28 29 30 <= 29 30 => 31 32 33 34 35 36 37 38 39 40 <= 39 40 => 41 42 43 44 45 46 47 48 49 50 <= 49 50 => 51 52 53 54 55 56 57 58 59 60 <= 59 60 => 61 62 63 64 65 66 67 68 69 70 <= 69 70 => 71 72 73 74 75 4095 77 78 79 80 <= 79 Wie bei der 16-Bit-FAT werden auch hier die ersten beiden Eintrge zur Beschreibung des Speichermediums benutzt. Zahlen zwischen 4088 und 4095 zeigen die letzte Belegungseinheit einer Datei an (Autor kennt nur die 4095). Die Null reprsentiert eine freie Belegungseinheit. Zahlen bis 4079 dienen zur Verkettung der Belegungseinheiten innerhalb der FAT. Eintrge zwischen 4080 und 4087 zeigen defekte Belegungseinheiten an. Die farbliche Gestaltung der 12-Bit-FAT entspricht der der 16-Bit-FAT. Ob es sich um eine 12-Bit- oder um eine 16-Bit-FAT handelt, erkennt KORFAT automatisch. Wie die Verkettung innerhalb der Dateibelegungstabelle funktioniert .... Die Nummer der ersten Belegungseinheit einer Datei steht zusammen mit den anderen dateispezifischen Daten wie Dateigre, Dateiattribut, Datum und Uhrzeit der Dateierzeugung im Inhaltsverzeichnis (Directory). Im Beispiel ist das die Nummer 2. An der korespondierenden Position in der FAT wird die Nummer der nchsten Belegungseinheit aufgefunden (3). Die korrespondierende Position weist nun wieder auf die nchste Belegungseinheit u.s.w. (Im Beispiel sind das die 3, 4, 5, 14 und 15, 16 17). Der im FAT-Eintrag 17 gefundene 4095 stellt die letzte Belegungs- einheit der Datei dar. Zu der Datei gehren damit die Belegungseinheiten 2, 3, 4, 5, 14, 15, 16 und 17. Wenn jede Belegungseinheit 512 Bytes gro ist, bentigt die Datei physikalisch 4 kB Speicherplatz. 2 Ŀ Ŀ   0 => 4093 4095 0003 0004 0005 0014 0007 0008 0009 0010 <= 9 (2) (3) (4) (5) Ŀ Ŀ   10 => 0011 0012 0013 4095 0015 0016 0017 4095 0019 4095 <= 19 (14) (15) (16) (17) Der Zugriff auf die Dateibelegungstabelle .... Oben beschriebene Programme greifen im Gegensatz zu KORFAT nicht auf eine von der tatschlichen FAT unabhngigen Datei, sondern direkt auf dieselbe im dafr vorgesehenen Speicherbereich des Laufwerks zu. Mit diesen Programmen durchgefhrte nderungen in einer FAT knnen fatale Folgen bis hin zum totalen Datenverlust haben. KORFAT ermglicht nderungen in mittels RETTE oder LESFAT erzeugten FAT-Dateien, die ein genaues Abbild der FAT zum Zeitpunkt des Sicherns enthalten. Diese FAT-Dateien knnen - falls notwendig - explizit mit Hilfe des Programms RETTE ber die tatschliche FAT geschrieben werden. Seite 12 Bedienung des Programms KORFAT .... Die Bedienung des Programms ist sehr einfach. Die Tastenbelegung ist, so weit wie mglich, mit der des Programms RETTE quivalent. Innerhalb des hell unterlegten Korrekturfeldes knnen nderungen an einem FAT-Eintrag vorgenommen werden. Es sind alle Zifferntasten und die Einfge- und Lschtaste zugelassen. Das Programm lsst nur sinnvolle nderungen zu. So sind bei einer 12-Bit FAT-Datei nur Eintrge bis 4095 zulssig. Mit der -Taste wird die neue Eingabe besttigt und das Korrekturfeld wird zum nchsten FAT-Eintrag bewegt. Die Tasten und Mit diesen Tasten kann man das hell unterlegte Korrekturfeld zeilenweise durch die FAT-Datei bewegen. Beim berschreiten des oberen oder unteren Randes wird automatisch eine Zeile in den Darstellungsbereich gescrollt. Die Tasten und Mit diesen Tasten kann man das Korrekturfeld spaltenweise durch die FAT- Datei bewegen. Beim berschreiten des rechten oder linken Randes wird in die nchste bzw. vorherige Zeile gesprungen. Gegebenenfalls wird eine Zeile in den Darstellungsbereich gescrollt. Die Tasten und Mit diesen Tasten kann seitenweise innerhalb der FAT-Datei geblttert werden. Die Tasten und Die Tasten bewegen das Korrekturfeld auf den ersten bzw. letzten Eintrag innerhab der FAT-Datei. Die Tasten (v.Lwk) und (n.Lwk) Mit der Taste ist der Wechsel in die in der alphabetischen Ordnung nchsten FAT-Datei mglich. Die Taste aktiviert die vorherige FAT-Datei. Durch dauerhaftes Drcken einer der Tasten ist das schnelle Blttern durch die FAT-Dateien mglich. Die FAT-Dateien mssen sich dazu im Stammverzeichnis des jeweiligen Laufwerks befinden (beim Erzeugen mit RETTE oder LESFAT werden sie automatisch dorthin geschrieben). Wenn eine FAT-Datei nicht existiert, versucht das Programm eine Datei im nchsten Laufwerk zu ffnen. Wenn keine FAT-Dateien in den Stammverzeichnissen vorhanden sind, erfolgt die Aufforderung zur Angabe eines Dateinamens. Die Taste (Wahldatei) Diese Taste ermglicht die Eingabe eines beliebigen Dateinamens mit Laufwerksangabe und Verzeichnispfad. Die unter diesem Dateinamen abgelegte FAT-Datei wird vom Programm zur Ansicht und Korrektur zur Verfgung gestellt. Doch Vorsicht! Es ist mglich, auch Dateien zu benutzen, die nichts mit dem Programmpaket RETTE FAT zu tun haben. Es wird ausdrcklich darauf hingewiesen, da schon die nderung eines einzigen Bytes in einer Programmdatei (.COM, .EXE) das darin abgelegte Computerprogramm unbrauchbar macht! Seite 13 Ausschnitt aus dem Managementbildschirm des Programms (schematisch!) ͻ Die Dateibelegungstabelle des Laufwerks D wird dargestellt! ͹ 6320 => 6321 6322 6323 6324 6325 6326 6327 6328 6330 <= 6329 6330 => 6331 6332 6333 6334 6335 6336 6337 6338 0 <= 6339 6340 => 0 0 0 0 0 0 0 0 0 <= 6349 6350 => 0 0 0 0 0 0 0 0 0 <= 6359 6360 => 0 0 0 0 0 0 0 0 0 <= 6369 6370 => 0 0 0 0 65535 0 0 0 65535 <= 6379 6380 => 0 0 0 0 0 0 0 0 0 <= 6389 6390 => 0 0 0 0 0 0 6397 6398 6400 <= 6399 6400 => 6401 6402 6403 6404 65535 0 0 0 0 <= 6409 6410 => 0 0 0 0 0 0 0 0 0 <= 6419 6420 => 0 0 0 0 0 0 0 0 0 <= 6429 6430 => 0 0 0 0 0 0 0 6438 6440 <= 6439 6440 => 6441 6442 6443 6444 6445 6446 6447 6448 6450 <= 6449 6450 => 6451 6452 6453 6454 6455 6456 6457 6458 6460 <= 6459 6460 => 65535 6462 6463 6464 6465 6466 6467 6468 6470 <= 6469 6470 => 6471 6472 6473 6474 6475 6476 6477 6478 6480 <= 6479 6480 => 6481 6482 6483 6484 65535 0 0 0 0 <= 6489 ͹ Bew.: Vor.Lwk.: N.Lwk.: Wahldatei: Ende: ͼ Vorgehensweise zum Schutz der FAT's vor Virenbefall und Verlust .... Sichern Sie Ihre FAT's bei jeder Datensicherung mit Hilfe des Programms LESFAT. Beispiel: LESFAT CDEF. Nehmen Sie die FAT-Dateien in ihre Datensicherung auf. Nach der Zerstrung einer Original-FAT haben Sie so noch eine Kopie zur Hand, die mit dem Programm RETTE zurck- gespeichert werden kann. Rckspeichern einer FAT nach Virenbefall oder Verlust .... Sofern das Laufwerk, dessen FAT zerstrt ist noch zugnglich ist, kann die FAT durch Zurckspeichern einer gesicherten FAT-Datei wieder her- gestellt werden. Kopieren Sie dazu das Programm RETTE und die gesicherte FAT-Datei in eine Systemdiskette oder auf ein noch funktionsfhiges Festplattenlaufwerk. Schalten Sie gegebenenfalls einen PATH zum Programm RETTE. Kopieren Sie die zum befallenen Laufwerk gehrende FAT-Datei in das Stammverzeichnis des Laufwerks. Wechseln Sie in das Stammverzeichnis des befallenen Laufwerks (alle anderen Verzeichnisse sind mglicherweise nicht zugnglich!). Rufen Sie das Programm RETTE auf und restaurieren Sie die FAT mittels des Menpuntes "schreibe Dateibelegungstabelle" (sDbt). Bedenken Sie, da die neue FAT nur den Zustand whrend ihrer Sicherung reprsentiert. So knnen seitdem genderte Dateien unter Umstnden teilweise verloren gegangen sein. Da RETTE das DOS-Programm CHKDSK mit dem Parameter /f aufruft, werden solche nicht zuzuordnenden Ketten von Dateibelegungseinheiten im Stammverzeichnis unter den Namen FILE????.CHK abgelegt. Sofern es sich um ASCII- oder Textdateien handelte, knnen Sie den Inhalt wieder verwerten. Nun ist es Ihre Sache, die Ursache fr die Zerstrung der FAT zu finden und zu beseitigen. Seite 14 Beheben von Verkettungsfehlern .... Erzeugen Sie eine FAT-Datei in dem Laufwerk, dessen Dateibelegungs- tabelle den Verkettungsfehler enthlt. Stellen Sie eine Sicherungskopie dieser FAT-Datei her. Stellen Sie eine Sicherungskopie der Datei her, die den Verkettungsfehler enthlt. Kopieren Sie sie am besten auf eine Diskette, um die fehlerhafte FAT nicht zu ndern. Ab nun sollten keine Dateimanipulationen mehr auf dem Laufwerk durchgefhrt werden, damit die FAT nicht verndert wird. Rufen Sie das Programm RETTE auf. Wechseln Sie in die Darstellungsart fr normale Eintrge (). Suchen Sie in der Laufwerks- und Verzeichnishirachie nach der Datei mit Verkettungs- fehler. Unter "Cluster" finden Sie die Startbelegungseinheit dieser Datei. Rufen Sie nun das Programm KORFAT auf und aktivieren Sie mit der Option (Wahldatei) die gesicherte FAT-Datei. Bewegen Sie das hell unterlegte Eingabefeld auf die Position der Startbelegungseinheit der Datei mit Verkettungsfehlern. Nun knnen Sie die Verkettung der Belegungseinheiten dieser Datei verfolgen und korrigieren. Wenn Sie sicher sind, da alle nderungen korrekt sind, verlassen Sie das Programm KORFAT und kopieren die korrigierte FAT-Datei in das dazugehrende Laufwerk zurck. Rufen Sie das Programm RETTE auf und restaurieren Sie die FAT mittels des Menpuntes "schreibe Datei- belegungstabelle" (sDbt). Beachten Sie die Warnungen des Programms und des Handbuchs! Kontrollieren Sie, ob der Verkettungsfehler in der Datei wirklich beseitigt ist. Wenn etwas schiefgeht, knnen Sie die FAT mit der Sicherungskopie der FAT-Datei wieder restaurieren.