前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的數(shù)據(jù)恢復(fù)主題范文,僅供參考,歡迎閱讀并收藏。
如何保護(hù)自己的重要數(shù)據(jù)?說(shuō)到這個(gè)問(wèn)題,不能不提到一家公司――翰凱科技有限公司。事實(shí)上,翰凱科技有限公司并不為一般人所熟知,但數(shù)據(jù)恢復(fù)行業(yè)內(nèi)的人員卻很熟悉,這是因?yàn)楹矂P科技有限公司相當(dāng)于保險(xiǎn)業(yè)的再保險(xiǎn)公司,之前只為大客戶和業(yè)內(nèi)用戶提供技術(shù)支持服務(wù),并不為一般小客戶提供直接服務(wù)。而我作為該公司專家組組長(zhǎng),總是遇到大量的客戶數(shù)據(jù)被人為毀壞的實(shí)際情況,一方面為這個(gè)行業(yè)的部分從業(yè)人員缺乏職業(yè)道德而痛心,另一方面也為這些客戶數(shù)據(jù)無(wú)法恢復(fù)感到痛心。
在此再次強(qiáng)調(diào),一般情況下,客戶出現(xiàn)的數(shù)據(jù)丟失情況都是可以恢復(fù)的,只在極少數(shù)情況下,或故意破壞的數(shù)據(jù)才會(huì)無(wú)法恢復(fù)。因?yàn)槿魏螖?shù)據(jù)的破壞都有一個(gè)過(guò)程,一般不會(huì)一次性被破壞得無(wú)可救藥。但電子數(shù)據(jù)又是十分脆弱的,雖然恢復(fù)比較難,但破壞起來(lái)極為容易。一些不負(fù)責(zé)任的公司常常在自己不能恢復(fù)數(shù)據(jù)的情況下,對(duì)客戶的重要數(shù)據(jù)進(jìn)行破壞,如進(jìn)行覆蓋,或者用強(qiáng)磁對(duì)盤(pán)片進(jìn)行磁化等,還聲稱自己恢復(fù)不了,誰(shuí)也恢復(fù)不了。目前,由于國(guó)家還沒(méi)有規(guī)范這方面的市場(chǎng),因此造成許多用戶啞巴吃黃連。
在此,強(qiáng)烈建議用戶平時(shí)要做好備份,保護(hù)好自己的數(shù)據(jù)。一塊備份磁盤(pán)并不需要多少投入,而一旦出現(xiàn)數(shù)據(jù)丟失,恢復(fù)起來(lái)卻很麻煩,如果情況不理想,還可能被破壞而無(wú)法恢復(fù),即使能夠恢復(fù),也費(fèi)時(shí)費(fèi)力費(fèi)錢。在這里介紹一下出現(xiàn)問(wèn)題后的備份方法,用于解決一般的邏輯問(wèn)題。如果硬件出現(xiàn)問(wèn)題,如磁盤(pán)加電后出現(xiàn)不正常的聲音,請(qǐng)不要再加電嘗試,應(yīng)盡快找專業(yè)人員進(jìn)行處理。
邏輯問(wèn)題是指,雖然在資源管理器中不能看到磁盤(pán),但盤(pán)的聲音正常,在BIOS中能夠正常查看到磁盤(pán)參數(shù),或者在磁盤(pán)管理中能夠看到磁盤(pán)。
以Windows 2000 Professional為例,操作步驟如下:在“我的電腦”上點(diǎn)擊鼠標(biāo)右鍵,選擇“管理”,然后就會(huì)出現(xiàn)一個(gè)對(duì)話框,選擇“磁盤(pán)管理”。
只要我們?cè)凇按疟P(pán)管理”中能看到所要恢復(fù)數(shù)據(jù)的那塊硬盤(pán),就表示硬盤(pán)本身沒(méi)有物理?yè)p壞,只是上面的數(shù)據(jù)出現(xiàn)了問(wèn)題。下面,我們看看如何自己做一個(gè)真正的備份。
這次介紹的工具是WINHEX,它是真正懂?dāng)?shù)據(jù)恢復(fù)的工程師最愛(ài)使用的工具之一,網(wǎng)上可以找到各種版本。
因?yàn)槲覀冎皇怯盟鼇?lái)做備份,因此不用考慮其他的因素,只需要點(diǎn)擊主介面即可。點(diǎn)擊后出現(xiàn)所示的對(duì)話框。
下面解釋一下各個(gè)選項(xiàng)?!癝ource:medium”就是制作鏡像的源,這里叫做克隆(Clone),是因?yàn)橐凑丈葏^(qū)進(jìn)行復(fù)制,而不是只復(fù)制看得見(jiàn)的文件,這樣才能夠?qū)⑿枰謴?fù)的數(shù)據(jù)保存下來(lái),因?yàn)樾枰謴?fù)的數(shù)據(jù)存儲(chǔ)在磁盤(pán)上,而在操作系統(tǒng)下是看不到的。
下面的“Destination:raw image file”就是我們要復(fù)制的地方,也就是選擇把我們需要做備份的“源”存放在哪里。源和目標(biāo)既可以是磁盤(pán)介質(zhì)(medium),也可以是文件(raw image file)。所謂的文件,就是將磁盤(pán)的原始內(nèi)容保存為一個(gè)一模一樣的文件,可以直接對(duì)這個(gè)文件進(jìn)行操作,就像在操作磁盤(pán)一樣,也可以將這個(gè)文件的內(nèi)容再還原到磁盤(pán)上。
選擇做標(biāo)記的地方,用于選擇要復(fù)制的源盤(pán)。
這里我們選擇“Physucal Media”中的“HD1:IC35L040AVER07-0(38.3 GB,USB)”,也就是“磁盤(pán)1”。所謂的“Logical Drivers”和“Physucal Media”,分別指的是實(shí)際的物理磁盤(pán)和分區(qū)后在資源管理器中看到的邏輯盤(pán)符,也就是所謂的C、D、E、F之類的盤(pán)。
目標(biāo)我們選擇為文件。
一般選擇“Copy entire medium”,也就是克隆整個(gè)磁盤(pán),選擇文件是防止選擇錯(cuò)誤將磁盤(pán)覆蓋了。當(dāng)然需要有足夠的空間來(lái)存儲(chǔ)這個(gè)文件。選擇“OK”,如果空間足夠,就可以開(kāi)始進(jìn)行鏡像了,鏡像完成后,就可以放心大膽地找數(shù)據(jù)恢復(fù)公司了。
再解釋一下覆蓋的概念。最常見(jiàn)的就是GHOST系統(tǒng),或重裝系統(tǒng)造成了數(shù)據(jù)的部分覆蓋。
關(guān)鍵詞:NTFS格式 主文件表 數(shù)據(jù)恢復(fù)
中圖分類號(hào):TP309.3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2013)07-0227-01
引言
在信息高速發(fā)展的當(dāng)代,計(jì)算機(jī)在大眾的工組生活中扮演的角色越來(lái)越重要,幾乎所有的企事業(yè)單位、商業(yè)組織、普通個(gè)人都使用計(jì)算來(lái)來(lái)輔助工作,獲取處理信息,同時(shí)也會(huì)將隨之產(chǎn)生的數(shù)據(jù)存儲(chǔ)在計(jì)算機(jī)硬盤(pán)中,一旦發(fā)生數(shù)據(jù)丟失,如何能夠?qū)?shù)據(jù)恢復(fù)是非常重要的,這就使得數(shù)據(jù)恢復(fù)技術(shù)成為一個(gè)不可或缺的關(guān)鍵技術(shù)。
當(dāng)前,微軟公司的Windows操作系統(tǒng)在計(jì)算中操作系統(tǒng)中占據(jù)了多數(shù)份額,其文件系統(tǒng)廣泛應(yīng)用的是NTFS文件系統(tǒng)。因此本文就針對(duì)NTFS文件系統(tǒng)下的數(shù)據(jù)恢復(fù)進(jìn)行分析。
1 NTFS文件系統(tǒng)的磁盤(pán)分析
簇是NTFS文件系統(tǒng)的基本分配單位,簇的大小是在對(duì)硬盤(pán)進(jìn)行格式化過(guò)程中由程序自動(dòng)分配的,NTFS文件系統(tǒng)通過(guò)邏輯簇號(hào)LCN和虛擬簇號(hào)VCN對(duì)簇進(jìn)行定位。LCN從0開(kāi)始對(duì)卷中的所有簇順序編號(hào),VCN也是從0開(kāi)始,負(fù)責(zé)對(duì)屬于具體文件的簇順序編號(hào),從而實(shí)現(xiàn)對(duì)文件數(shù)據(jù)的引用。
(1)NTFS分區(qū)由兩部分構(gòu)成,一是分區(qū)引導(dǎo)扇區(qū)和主文件表MFT,二是供文件存儲(chǔ)的區(qū)域,MFT占據(jù)了NTFS磁盤(pán)空間前12%位置,剩下的88%的區(qū)域才可以用來(lái)存儲(chǔ)文件。當(dāng)MFT分配的空間不夠使用時(shí),系統(tǒng)會(huì)繼續(xù)為其分配空間,但是不一定與開(kāi)始12%的空間保持連續(xù)性。
(2)分區(qū)引導(dǎo)扇區(qū)是用來(lái)保存卷文件的結(jié)構(gòu)信息和引導(dǎo)程序的,其中包括三個(gè)重要參數(shù):起始簇號(hào)、每簇所占扇區(qū)數(shù)、每扇區(qū)字節(jié)數(shù)。
(3)主文件表MFT是由文件記錄組成,文件在磁盤(pán)上的存儲(chǔ)位置是通過(guò)MFT來(lái)確定的。MFT中從0開(kāi)始對(duì)文件進(jìn)行編號(hào),前16分配給系統(tǒng)文件,這16個(gè)文件在MFT表中具有固定的地址,其他文件地址則由MFT隨機(jī)分配。為防止關(guān)鍵數(shù)據(jù)丟失,NTFS系統(tǒng)對(duì)MFT的前16個(gè)文件數(shù)據(jù)進(jìn)行了備份。
2 基于NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)原理
NTFS文件系統(tǒng)的管理模式是磁盤(pán)上所有的數(shù)據(jù)都是以文件的形式進(jìn)行存儲(chǔ),MFT記錄了每一個(gè)文件的存儲(chǔ)位置,每建立一個(gè)文件,MFT就增加一個(gè)文件記錄,此文件記錄并不隨著文件被刪了而被MFT刪除。在數(shù)據(jù)恢復(fù)時(shí)可以對(duì)文件記錄進(jìn)行分析,確認(rèn)其是否被刪除。
(1)分析MFT文件記錄,NTFS建立屬性/屬性值的集合來(lái)處理文件,能夠直接存在MFT中的屬性稱為常駐屬性;如果屬性太大,NTFS就會(huì)將其存儲(chǔ)在MFT之外的位置,這就是非常駐屬性。
(2)文件記錄起始位置,文件記錄從“FILE”開(kāi)始,其字位為“46 49 4C 45”,標(biāo)志字節(jié)是自偏移0x16,刪除的文件為00H,正常的文件為01H,刪除的目錄為02H,正的目錄為03H表示;偏移0x2CH起的4個(gè)字節(jié)表示了文件號(hào)的低32位。
(3)分析文件名屬性,文件名屬性用于存儲(chǔ)文件名,類型為0x30是常駐屬性,數(shù)據(jù)恢復(fù)時(shí)必須獲取文件名。
(4)分析數(shù)據(jù)流屬性,其類型為0x80的常駐屬性,包含了其屬性常駐的標(biāo)識(shí)位、起始與結(jié)束VCN等方面內(nèi)容。如果數(shù)據(jù)值存儲(chǔ)在MFT中,可以直接在文件記錄中對(duì)數(shù)據(jù)操作;數(shù)據(jù)運(yùn)行列表中記錄了各數(shù)據(jù)塊的起始運(yùn)行LCN和以及所占用的簇?cái)?shù),從而可以通過(guò)定位對(duì)文件的數(shù)據(jù)進(jìn)行操作。
3 NTFS文件系統(tǒng)下數(shù)據(jù)恢復(fù)步驟
結(jié)合前文的研究,NTFS文件系統(tǒng)中,文件被錯(cuò)誤刪除,系統(tǒng)就會(huì)將文件記錄的標(biāo)志字修改為00/02H,而其它的屬性不做修改?;谝陨现R(shí)NTFS文件系統(tǒng)下數(shù)通過(guò)對(duì)主文件表MFT進(jìn)行掃描;確定被刪除文件的記錄并對(duì)其進(jìn)行分析,進(jìn)而得到文件的數(shù)據(jù)區(qū)。最后判斷文件數(shù)據(jù)區(qū)的完整性就可以選擇是否對(duì)已刪除文件進(jìn)行數(shù)據(jù)恢復(fù)??蓪?shù)據(jù)恢復(fù)的過(guò)程分為磁盤(pán)掃描和數(shù)據(jù)恢復(fù)兩個(gè)階段。
3.1 磁盤(pán)掃描
磁盤(pán)掃描的工作主要是通過(guò)分析MFT中的文件記錄,得到全部已刪除文件的文件記錄,重新建立起初始的目錄關(guān)系,便于數(shù)據(jù)恢復(fù)使用。磁盤(pán)掃描的具體步驟如下:(1)讀取要恢復(fù)數(shù)據(jù)磁盤(pán)引導(dǎo)扇區(qū)的BPB參數(shù);(2)找到NTFS格式分區(qū)中的MFT;(3)取得被刪除文件其文件記錄的存貯物理地址。
3.2 數(shù)據(jù)恢復(fù)
文件被刪除以后如果可以確定文件的數(shù)據(jù)區(qū)完整,未被新的數(shù)據(jù)覆蓋,那么此文件就可以完全恢復(fù);否則,一旦文件的數(shù)據(jù)區(qū)域被新的文件占用,那么這個(gè)文件就無(wú)法完全恢復(fù)。
數(shù)據(jù)恢復(fù)的具體步驟為:(1)在數(shù)組里面讀出要恢復(fù)的文件其物理存儲(chǔ)地址,同過(guò)對(duì)數(shù)據(jù)流屬性的分析,確認(rèn)其屬性是否常駐;(2)通過(guò)對(duì)元數(shù)據(jù)文件bitmap進(jìn)行分析進(jìn)而判斷文件數(shù)據(jù)區(qū)是否完整;(3)對(duì)被刪除文件進(jìn)行恢復(fù),如果能恢復(fù)完整的文件,則需要重新建立文件并按照逐一字位恢復(fù)的順序?qū)ζ溥M(jìn)行存儲(chǔ);如果不能恢復(fù)完整的數(shù)據(jù),則用戶就可根據(jù)自己的要求,有選擇性的對(duì)數(shù)據(jù)區(qū)域進(jìn)行還原。
4 實(shí)際檢驗(yàn)
按照前文的分析,筆者采用采用了當(dāng)下比較流行的數(shù)據(jù)恢復(fù)工具Recuva,進(jìn)行實(shí)際測(cè)試。結(jié)果證實(shí)了前文所分析的內(nèi)容,當(dāng)能從獲得準(zhǔn)確的MFT中文件存儲(chǔ)的記錄,并且未在被刪除文件數(shù)據(jù)區(qū)域內(nèi)存儲(chǔ)新文件時(shí)候,其恢復(fù)數(shù)據(jù)的完整性非常好,實(shí)際證明了與原數(shù)據(jù)的一致性,實(shí)驗(yàn)證明了前文所分析理論的正確性。
5 結(jié)語(yǔ)
本文同過(guò)分析了NTFS文件系統(tǒng)中MFT、文件記錄等內(nèi)容,找出文件被刪除后文件記錄的變化,進(jìn)而總結(jié)NTFS文件系統(tǒng)中數(shù)據(jù)恢復(fù)的操作方法及步驟,對(duì)今后需要進(jìn)行數(shù)據(jù)恢復(fù)工作的讀者提供了一定的理論支持。相信隨著數(shù)據(jù)恢復(fù)工具的不斷發(fā)展,數(shù)據(jù)恢復(fù)工作將越來(lái)越貼近于大眾。
1、點(diǎn)擊打開(kāi)360安全衛(wèi)士軟件;
2、點(diǎn)擊選擇功能大全選項(xiàng),選擇文件恢復(fù)功能;
3、點(diǎn)擊彈出來(lái)的頁(yè)面的右下角,添加小工具選項(xiàng);
4、打開(kāi)360文件恢復(fù)功能,開(kāi)始搜索;
5、在搜索框里輸入所要恢復(fù)的文件的名稱,點(diǎn)擊搜索;
關(guān)鍵詞:關(guān)鍵詞:數(shù)據(jù)恢復(fù);丟失原因;恢復(fù)方式;技術(shù)層次;恢復(fù)案例;恢復(fù)技巧
中圖分類號(hào):TP274 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
1. 研究現(xiàn)狀
計(jì)算機(jī)的數(shù)據(jù)恢復(fù)涉及軟件恢復(fù)、硬件恢復(fù)、數(shù)據(jù)庫(kù)恢復(fù)等方面的技術(shù)。目前國(guó)內(nèi)在軟恢復(fù)方面研究的較深,但與國(guó)外專業(yè)公司相比,仍然有一定的差距。而數(shù)據(jù)的硬件恢復(fù)、數(shù)據(jù)庫(kù)和異形系統(tǒng)方面,美國(guó)和俄羅斯研究理論較深,這是因?yàn)橹饕夹g(shù)都掌握在西方國(guó)家。目前對(duì)數(shù)據(jù)覆蓋的恢復(fù)技術(shù),美國(guó)研究較為深入,美國(guó)軍方可以對(duì)覆蓋6~9次的數(shù)據(jù)進(jìn)行恢復(fù),俄羅斯可以對(duì)覆蓋3~4次的數(shù)據(jù)進(jìn)行恢復(fù),IBM公司耗資6億美元的研究成果是可以恢復(fù)覆蓋2~3次的數(shù)據(jù)。
早在上個(gè)世紀(jì)八十年代,國(guó)外就開(kāi)始了對(duì)數(shù)據(jù)恢復(fù)的研究,比我國(guó)早了二十多年,所以無(wú)論從理論上還是技術(shù)上,他們都占有很大的優(yōu)勢(shì)。國(guó)外在數(shù)據(jù)恢復(fù)領(lǐng)域的最新進(jìn)展,其不僅將數(shù)據(jù)安全的問(wèn)題考慮在內(nèi),更是將數(shù)據(jù)加密技術(shù)、數(shù)據(jù)安全保障技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)三者結(jié)合起來(lái)形成一個(gè)數(shù)據(jù)安全保護(hù)體系,這也是數(shù)據(jù)安全領(lǐng)域的一個(gè)重要發(fā)展趨勢(shì)。
我國(guó)在數(shù)據(jù)恢復(fù)領(lǐng)域從無(wú)到有,雖發(fā)展迅猛,但畢竟起步較晚,許多理論雖然還不太完善,但在數(shù)據(jù)恢復(fù)技術(shù)的標(biāo)準(zhǔn)制定上,我國(guó)也制定一些標(biāo)準(zhǔn),并對(duì)一些具體的數(shù)據(jù)丟失問(wèn)題提出了針對(duì)性的解決辦法,基本涵蓋了數(shù)據(jù)恢復(fù)技術(shù)的操作規(guī)范與適用標(biāo)準(zhǔn)。因此,可以說(shuō)我國(guó)盡管在數(shù)據(jù)恢復(fù)領(lǐng)域落后西方國(guó)家,但我國(guó)無(wú)論是在科研投入上還是在成果產(chǎn)出上在近幾年都取得了可喜的成績(jī),也從另一個(gè)方面印證了數(shù)據(jù)安全、數(shù)據(jù)恢復(fù)領(lǐng)域的重要價(jià)值與商業(yè)潛能。
2. 數(shù)據(jù)恢復(fù)技術(shù)的分析
2.1 數(shù)據(jù)恢復(fù)的概念
所謂數(shù)據(jù)恢復(fù)技術(shù),簡(jiǎn)單的說(shuō)就是通過(guò)各種手段把丟失和遭到破壞的數(shù)據(jù)還原為正常數(shù)據(jù),也就是恢復(fù)至它的本來(lái)面目。數(shù)據(jù)恢復(fù)恢復(fù)過(guò)程主要是將保存在存儲(chǔ)介質(zhì)上的數(shù)據(jù)重新拼接整理,即使數(shù)據(jù)被誤刪或者磁盤(pán)驅(qū)動(dòng)器出現(xiàn)故障,只要在存儲(chǔ)介質(zhì)的存儲(chǔ)區(qū)域沒(méi)有嚴(yán)重受損的情況下,還是可以通過(guò)數(shù)據(jù)恢復(fù)技術(shù)將數(shù)據(jù)完好無(wú)損的恢復(fù)出來(lái)。數(shù)據(jù)恢復(fù)不僅對(duì)已經(jīng)丟失文件進(jìn)行恢復(fù),還可以恢復(fù)物理?yè)p傷的磁盤(pán)數(shù)據(jù),也可以恢復(fù)不同操作系統(tǒng)的數(shù)據(jù)。
2.2 數(shù)據(jù)的丟失原因
造成數(shù)據(jù)丟失原因比較多,主要惡意程序、惡意破壞、誤操作、操作系統(tǒng)應(yīng)用軟件錯(cuò)誤、硬件失效、加密和權(quán)限、掉電、內(nèi)存溢出和升級(jí)等9個(gè)方面錯(cuò)誤。
2.3 數(shù)據(jù)恢復(fù)方式
數(shù)據(jù)恢復(fù)是指通過(guò)技術(shù)手段,將保存在存儲(chǔ)介質(zhì)等設(shè)備上損壞或丟失的電子數(shù)據(jù)進(jìn)行搶救和恢復(fù)的技術(shù)。由于國(guó)外的較早,所以已經(jīng)形成了較為完整數(shù)據(jù)恢復(fù)體系。根據(jù)恢復(fù)的方式可以將數(shù)據(jù)恢復(fù)分為硬恢復(fù)(硬件問(wèn)題)、軟恢復(fù)(文件系統(tǒng)問(wèn)題)、大型數(shù)據(jù)庫(kù)系統(tǒng)、異型系統(tǒng)數(shù)據(jù)恢復(fù)、數(shù)據(jù)覆蓋后數(shù)據(jù)恢復(fù)五類。具體如圖1.1所示。
A、硬恢復(fù)。它是指的是由于硬件故障所造成的數(shù)據(jù)丟失,如磁盤(pán)電路板損壞、盤(pán)體壞、磁道壞、磁盤(pán)片損壞、磁盤(pán)內(nèi)部系統(tǒng)區(qū)嚴(yán)重?fù)p壞等,這種情況下,幾乎都會(huì)出現(xiàn)系統(tǒng)不認(rèn)盤(pán)或認(rèn)盤(pán)困難等癥狀?;謴?fù)起來(lái)難度較大,若是內(nèi)部盤(pán)片數(shù)據(jù)區(qū)嚴(yán)重劃傷,那么會(huì)造成數(shù)據(jù)徹底丟失,而無(wú)法恢復(fù)。稍有常識(shí)的用戶,在出現(xiàn)這種情況(如移動(dòng)磁盤(pán)跌落)后,不會(huì)反復(fù)加電嘗試,也就不會(huì)人為的造成大面積的劃傷,因此,這種情況一般還是能夠恢復(fù)大部分?jǐn)?shù)據(jù)的。
B、軟恢復(fù)。指的是存儲(chǔ)、操作、文件等系統(tǒng)層次上數(shù)據(jù)的丟失,這種丟失是多方面的,例如系統(tǒng)軟硬件故障、死機(jī)、病毒破壞、黑客攻擊、木馬破壞、誤操作、陣列數(shù)據(jù)丟失等;對(duì)于一般文件系統(tǒng)來(lái)說(shuō),這方面的研究工作起步較早,國(guó)內(nèi)外研究的都比較深。這方面的主要難點(diǎn)是:文件碎片的恢復(fù)、文檔修復(fù)及密碼恢復(fù)。
軟件恢復(fù)可分為系統(tǒng)級(jí)恢復(fù)與文件級(jí)恢復(fù)。系統(tǒng)級(jí)恢復(fù)就是操作系統(tǒng)不能啟動(dòng)時(shí),利用各種修復(fù)軟件對(duì)系統(tǒng)進(jìn)行修復(fù),使其正常工作,從而恢復(fù)數(shù)據(jù)。文件級(jí)恢復(fù),就只是指存儲(chǔ)介質(zhì)上的某個(gè)應(yīng)用文件損壞,如OFFICE文件損壞,用修復(fù)軟件對(duì)其修復(fù),恢復(fù)文件的數(shù)據(jù)。
C、大型數(shù)據(jù)庫(kù)系統(tǒng)恢復(fù)。大型數(shù)據(jù)庫(kù)系統(tǒng)往往存儲(chǔ)著一些非常重要的數(shù)據(jù)。組成復(fù)雜,一般都會(huì)有較完善的保護(hù)措施,所以一般不會(huì)出現(xiàn)問(wèn)題,但只要出現(xiàn)問(wèn)題,基本上都是很難處理的問(wèn)題,恢復(fù)的難度比較大。
D、異型操作系統(tǒng)的數(shù)據(jù)恢復(fù)。指的是不常用的、比較少見(jiàn)的操作系統(tǒng)下的數(shù)據(jù)恢復(fù),如MAC、OS2、嵌入式系統(tǒng)、手持系統(tǒng)、實(shí)時(shí)系統(tǒng)等。
E、數(shù)據(jù)被覆蓋恢復(fù)。數(shù)據(jù)被覆蓋后,恢復(fù)難度非常大,這與其他四類數(shù)據(jù)恢復(fù)有著質(zhì)的區(qū)別,目前只有磁盤(pán)廠商及少數(shù)幾個(gè)國(guó)家的特殊部門能夠做到,它的應(yīng)用一般都與國(guó)家安全有關(guān)。
3. 數(shù)據(jù)恢復(fù)的技術(shù)層次
按照技術(shù)研發(fā)的難易程度與開(kāi)發(fā)層次分類,數(shù)據(jù)恢復(fù)技術(shù)可以分為如下四個(gè)層次。
3.1 軟件恢復(fù)與簡(jiǎn)單硬件替代
這種數(shù)據(jù)恢復(fù)技術(shù)就是使用網(wǎng)上能夠找到的數(shù)據(jù)恢復(fù)軟件,例如Easy recovery、Recover、Lost&Found、FinalData、Disk ReCover等等,使用這類工具可以對(duì)多丟失的數(shù)據(jù)進(jìn)行恢復(fù)??梢曰謴?fù)誤刪除、錯(cuò)誤格式化,分區(qū)表?yè)p壞,同時(shí)這類丟失數(shù)據(jù)以后 磁盤(pán)又沒(méi)有用其他數(shù)據(jù)覆蓋的數(shù)據(jù),這些軟件對(duì)這樣的數(shù)據(jù)的恢復(fù)的成功率達(dá)90%以上。這種簡(jiǎn)易數(shù)據(jù)恢復(fù)前提是在計(jì)算機(jī)的BIOS中能夠識(shí)別磁盤(pán)。
3.2 專業(yè)數(shù)據(jù)恢復(fù)工具恢復(fù)數(shù)據(jù)
目前很多公司都在開(kāi)發(fā)專業(yè)數(shù)據(jù)恢復(fù)工具對(duì)數(shù)據(jù)進(jìn)行恢復(fù),最流行的數(shù)據(jù)恢復(fù)工具有俄羅斯著名磁盤(pán)實(shí)驗(yàn)室ACE Laboratoy研究所開(kāi)發(fā)的商用的專業(yè)修復(fù)磁盤(pán)綜合工具PC3000、HIT2.0、數(shù)據(jù)恢復(fù)機(jī)Hardware Info、HIE200等等,PC3000和HRT2.0可以對(duì)磁盤(pán)壞扇區(qū)進(jìn)行修復(fù),可以更改磁盤(pán)的固件程序。HIE200可以對(duì)磁盤(pán)數(shù)據(jù)進(jìn)行硬拷貝。這些工具的特點(diǎn)都用硬件加密,如果使用必需進(jìn)行購(gòu)買。目前市場(chǎng)上擁有這些工具的數(shù)據(jù)恢復(fù)中心寥寥無(wú)幾。
3.3 軟硬件結(jié)合數(shù)據(jù)恢復(fù)
用數(shù)據(jù)恢復(fù)的專門設(shè)備對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。用這種方法恢復(fù)數(shù)據(jù),關(guān)鍵在于恢復(fù)用的儀器設(shè)備。這些設(shè)備都需要放置在超凈無(wú)塵工作間里面,而且這些設(shè)備內(nèi)部的工作臺(tái)也是級(jí)別非常高的超凈空間。這些設(shè)備的恢復(fù)原理也是大同小異,都是把磁盤(pán)拆開(kāi),把磁碟放進(jìn)機(jī)器的超凈工作臺(tái)上,然后用激光束對(duì)盤(pán)片表面進(jìn)行掃描,因?yàn)楸P(pán)面上的磁信號(hào)其實(shí)是數(shù)字信號(hào)(0和1),所以相應(yīng)地,反映到激光束發(fā)射的信號(hào)上也是不同的。這些儀器就是通過(guò)這樣的掃描,一絲不漏地把整個(gè)磁盤(pán)的原始信號(hào)記錄在儀器附帶的電腦里面,然后再通過(guò)專門的軟件分析來(lái)進(jìn)行數(shù)據(jù)恢復(fù)??梢哉f(shuō),這種設(shè)備的數(shù)據(jù)恢復(fù)率是相當(dāng)驚人的,即使是位于物理壞道上面的數(shù)據(jù),由于多種信息的缺失而無(wú)法找出準(zhǔn)確的數(shù)據(jù)值,也可以通過(guò)大量的運(yùn)算,在多種可能的數(shù)據(jù)值之間進(jìn)行逐一代入,結(jié)合其他相關(guān)扇區(qū)的數(shù)據(jù)信息,進(jìn)行邏輯合理性校驗(yàn),從而找出邏輯上最符合的真值。也可以采用變通的辦法,就是在百級(jí)的超凈實(shí)驗(yàn)室內(nèi)對(duì)于盤(pán)腔損壞的磁盤(pán),在此超凈實(shí)驗(yàn)室中開(kāi)盤(pán),取下盤(pán)片,安裝到同型號(hào)的好磁盤(pán)上,同樣可達(dá)到數(shù)據(jù)恢復(fù)的目的。
3.4 深層信號(hào)還原法
上面分析的數(shù)據(jù)恢復(fù)都有一個(gè)前提,就是數(shù)據(jù)沒(méi)有被覆蓋。對(duì)于已經(jīng)被覆蓋的數(shù)據(jù)、完全低格、全盤(pán)清零、強(qiáng)磁場(chǎng)破壞的磁盤(pán),仍然有終極的數(shù)據(jù)恢復(fù)方式,這種數(shù)據(jù)恢復(fù)方法叫,“深層信號(hào)還原"。
從磁盤(pán)磁頭的角度來(lái)看,把數(shù)據(jù)拷貝到原來(lái)沒(méi)有數(shù)據(jù)的新盤(pán)和拷貝進(jìn)有數(shù)據(jù)的舊盤(pán),是沒(méi)有分別的,因?yàn)檫@時(shí)候磁頭所讀取到的數(shù)字信號(hào)都是一樣的。但是對(duì)于磁介質(zhì)晶體來(lái)說(shuō),情況就有點(diǎn)不一樣了,以前的數(shù)據(jù)雖然被覆蓋了,但在介質(zhì)的深層,仍然會(huì)留著原有數(shù)據(jù)的“殘影",通過(guò)使用不同波長(zhǎng)、不同強(qiáng)度的射線對(duì)這個(gè)晶體進(jìn)行照射,可以產(chǎn)生不同的反射、折射和衍射信號(hào),這就是說(shuō),用這些設(shè)備發(fā)出不同的射線去照射磁盤(pán)盤(pán)面,然后通過(guò)分析各種反射、折射和衍射信號(hào),就可以幫助“看到”在不同深度下這個(gè)磁介質(zhì)晶體的殘影。根據(jù)目前的資料,大概可以觀察到4-5層,也就是說(shuō),即使一個(gè)數(shù)據(jù)被不同的其他數(shù)據(jù)重復(fù)覆蓋四次,仍然有被“深層信號(hào)還原”設(shè)備讀出來(lái)的可能性。當(dāng)然,這樣的操作成本無(wú)疑是非常高的,也只能用在國(guó)家安全級(jí)別的用途上,目前世界范圍內(nèi)也沒(méi)有幾個(gè)國(guó)家可以擁有這樣的技術(shù),只有極少數(shù)規(guī)模龐大的計(jì)算機(jī)公司和不計(jì)成本的政府機(jī)關(guān)能擁有這樣級(jí)別的數(shù)據(jù)恢復(fù)設(shè)備而且這樣的設(shè)備。
除了以上這些數(shù)據(jù)恢復(fù)的方式外,數(shù)據(jù)恢復(fù)的難易程度還與設(shè)備和操作系統(tǒng)有關(guān)。單機(jī)的磁盤(pán)和WINDOWS操作系統(tǒng)的數(shù)據(jù)恢復(fù)相對(duì)簡(jiǎn)單。而服務(wù)器的磁盤(pán)陣列和UNⅨ等網(wǎng)絡(luò)操作系統(tǒng)的數(shù)據(jù)恢復(fù)就比較復(fù)雜,因而數(shù)據(jù)恢復(fù)的收費(fèi)比單機(jī)高得多。
4. 數(shù)據(jù)恢復(fù)案例實(shí)踐
目前數(shù)據(jù)恢復(fù)所用的常用軟件有R-Studio、Winhex、Easyrecovery等,正常的格式化、誤刪除、無(wú)格式等原因?qū)е碌臄?shù)據(jù)丟失情況,可通過(guò)以上幾款主流數(shù)據(jù)恢復(fù)軟件進(jìn)行邏輯恢復(fù);常用的硬件檢測(cè)、恢復(fù)工具有MHDD、PC-3000、PC-3000 Flash等,其主要針對(duì)存儲(chǔ)介質(zhì)的固件損壞、核心損壞、閃存電路板損壞等情況可進(jìn)行快捷的恢復(fù)操作。
4.1 U盤(pán)提示格式化修復(fù)恢復(fù)實(shí)驗(yàn)
眾所周知,目前市場(chǎng)及網(wǎng)絡(luò)上銷售的U盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)的規(guī)格質(zhì)量參差不齊。在我們對(duì)U盤(pán)的日常使用中,會(huì)經(jīng)常遇到在將U盤(pán)連接到電腦上,系統(tǒng)會(huì)提示“您的U盤(pán)需要格式化”、U盤(pán)無(wú)法正常訪問(wèn)的情況。
此次實(shí)驗(yàn)就是針對(duì)U盤(pán)提示格式化的情況,來(lái)實(shí)現(xiàn)U盤(pán)中數(shù)據(jù)的恢復(fù)。對(duì)于硬盤(pán)分區(qū)打開(kāi)提示格式化也一樣用。
步驟:先把你的U盤(pán)插入數(shù)據(jù)恢復(fù)一體機(jī),進(jìn)入恢復(fù)模式后,首先可以看到U盤(pán)的信息在第一個(gè)盤(pán)符。通過(guò)掃描,首先可以看到U盤(pán)的信息在第一個(gè)盤(pán)符。
選定U盤(pán)盤(pán)符,點(diǎn)紅色標(biāo)記處開(kāi)始鏡像,做鏡像是為了掃描的快些(如果是硬盤(pán)可以不做鏡像)。
掃描打開(kāi)鏡像文件。
成功打開(kāi)鏡像文件;
選擇鏡像文件的盤(pán)符,選擇開(kāi)始掃描;這是彈出來(lái)個(gè)對(duì)話框,可以設(shè)置你要掃描的扇區(qū)起始范圍,文件系統(tǒng)類型。
顯示掃描結(jié)果;
雙擊打開(kāi)綠色表示的鏡像文件;展開(kāi)鏡像文件的目錄結(jié)果;
列出此分區(qū)存在的所有已刪除和丟失的文件,通過(guò)復(fù)選框選擇所需要恢復(fù)的文件;
點(diǎn)擊恢復(fù)所有標(biāo)記文件或所有文件,會(huì)彈出來(lái)個(gè)對(duì)話框,選擇需要恢復(fù)文件的保存位置(注意:不要保存在原盤(pán))。如果需要讓你更名的文件,你可以選擇跳過(guò)所有。
打開(kāi)之前定義的存儲(chǔ)位置,可見(jiàn),數(shù)據(jù)已經(jīng)成功恢復(fù)了。
確認(rèn)數(shù)據(jù)恢復(fù)成功后,方可將U盤(pán)正確格式化、初始化。
4.2 數(shù)據(jù)邏輯銷毀實(shí)驗(yàn)
在日常生活中,我們都會(huì)有捐贈(zèng)物品的時(shí)候。比如說(shuō)老電腦因?yàn)榕渲貌粷M足自己的需要,而轉(zhuǎn)贈(zèng)給了自己親朋好友,或者有人直接捐給了希望工程。在給別人的時(shí)候,存儲(chǔ)在硬盤(pán)中的信息多多少少都有一些私密文件,我們通常用刪除或者格式化的操作來(lái)清理,但就因?yàn)檫@樣不經(jīng)意的時(shí)候,我們隱私數(shù)據(jù)又被別人恢復(fù)回來(lái)了,那么如何才能更安全的來(lái)銷毀我們自己隱私的數(shù)據(jù)呢?下面我就來(lái)談一談,怎樣用Winhex安全清除硬盤(pán)上的數(shù)據(jù)(防止數(shù)據(jù)泄密)。
步驟:首先打開(kāi)要清除的對(duì)象硬盤(pán),Ctrl+A或者點(diǎn)擊Winhex菜單欄“Edit”/“Select All”。
然后,Ctrl+L或者Winhex菜單欄”Edit”/”Fill Block”。
按照上圖的指示,下一步會(huì)彈出以下窗口。
默認(rèn)要填充的數(shù)據(jù)是”00”,也可以自己定義,或者讓W(xué)inhex隨機(jī)填充,最好使用默認(rèn)的”00”,然后點(diǎn)擊”O(jiān)K”按鈕,Winhex就開(kāi)始對(duì)選擇硬盤(pán)進(jìn)行數(shù)據(jù)填充了,填充過(guò)程是個(gè)漫長(zhǎng)的過(guò)程,填充完畢后,關(guān)閉軟件,數(shù)據(jù)安全填充就完成了。
4.3 Victoria-MHDD圖形界面版硬盤(pán)檢測(cè)案例
Victoria具有Windows下的MHDD美稱,眾所周知,MHDD是檢測(cè)硬盤(pán)的軟件工具,由于此軟件是 運(yùn)行在DOS環(huán)境下,使用起來(lái),比較麻煩和困難,而Victoria彌補(bǔ)了這個(gè)缺點(diǎn)和不足,即擁有MHDD的大部分的功能,同時(shí)還能運(yùn)行在Windows界面下,操作起來(lái)極其方便和簡(jiǎn)單。
Victoria主要的功能是檢查硬盤(pán),具體來(lái)說(shuō),就是檢測(cè)硬盤(pán)是否存在壞道,更為重要的是Vicatoria還具備修復(fù)壞道的功能。點(diǎn)擊Victoria軟件的標(biāo)簽按鈕”標(biāo)準(zhǔn)”,在右上邊的面板中顯示的就是能識(shí)別到的所有硬盤(pán)。
選中你要檢測(cè)的硬盤(pán),點(diǎn)擊”硬盤(pán)信息”按鈕,你就可以看到此硬盤(pán)的具體信息。
檢測(cè)硬盤(pán)是否有壞道,需要切換到標(biāo)簽”測(cè)試”下。
接下來(lái)點(diǎn)擊”開(kāi)始”按鈕,進(jìn)行測(cè)試,在右邊的面板中,有四個(gè)單選按鈕,默認(rèn)選擇”忽略”。
硬盤(pán)檢測(cè)完成,會(huì)出現(xiàn)如下結(jié)果樣式。
簡(jiǎn)單解釋一下,右邊硬盤(pán)狀態(tài)7個(gè)顏色塊表示的意義,如下圖所示:
硬盤(pán)檢測(cè)最終結(jié)果會(huì)顯示在軟件下邊的狀態(tài)面板中,更為詳細(xì)的信息會(huì)記錄在Victoria軟件安裝目錄下的LOGS目錄下的eventlog.txt文件中。
以上就是Victoria硬盤(pán)檢測(cè)軟件的基本使用辦法。
5. 數(shù)據(jù)恢復(fù)的操作技巧
5.1 恢復(fù)過(guò)程中的掃描技巧。一般來(lái)說(shuō),誤刪除文件會(huì)馬上發(fā)現(xiàn)自己的誤操作,所以剛刪除的文件在磁盤(pán)文件分配表處于較靠前的位置,可以利用這一點(diǎn),加快恢復(fù)的速度。如您使用Easy Recover,在選定了目標(biāo)分區(qū)后,只要掃描5%左右的目錄樹(shù),就可終止掃描,然后進(jìn)入下一步,這樣一般都能找到。這種方式比完全掃描后再找恢復(fù)文件要容易,若您掃描所有文件,可能會(huì)有數(shù)萬(wàn)個(gè)甚至10多萬(wàn)個(gè)已經(jīng)刪除的列表,此時(shí)您要找自己想恢復(fù)的目標(biāo)就較困難了,因?yàn)樵谀臋C(jī)器里,不同時(shí)期可能產(chǎn)生過(guò)同一個(gè)文件名的幾個(gè)文件,為了防止混亂,恢復(fù)軟件一般會(huì)把這些類似的文件標(biāo)記為數(shù)字開(kāi)頭編號(hào)結(jié)尾的文件,您無(wú)法按首字母來(lái)找,要靠眼睛一個(gè)個(gè)識(shí)別,太多的選擇會(huì)讓您眼花繚亂。可以在終止掃描時(shí),選擇保存當(dāng)前掃描進(jìn)度,如果5%的數(shù)量沒(méi)找到您的目標(biāo),可以按此進(jìn)度繼續(xù)掃描,不必從頭開(kāi)始一次。注意這個(gè)保存操作也不要放到目標(biāo)分區(qū)里,要另外指定路徑存盤(pán)。DOS時(shí)代的UNDELETE軟件,只能處理FAT的格式,而且對(duì)于長(zhǎng)文件名結(jié)構(gòu)無(wú)能為力。
5.2 如辦公軟件WORD字處理軟件,除了用恢復(fù)工具,還能進(jìn)入其安裝目錄,找到隱藏的臨時(shí)文件直接恢復(fù)。因?yàn)檫@類軟件都會(huì)對(duì)您當(dāng)前操作的文件生成一個(gè)備份文件,而且不自動(dòng)刪除,所以您可以在DOS狀態(tài)下,在目標(biāo)目錄鍵入ATTRIB*.*-h消除臨時(shí)文件的隱藏狀態(tài),然后把后綴名改為*.DOC,就可能已經(jīng)成功恢復(fù)了。當(dāng)然,得到的臨時(shí)文件可能會(huì)有10多個(gè),名字也是多樣的,您可嘗試逐個(gè)打開(kāi)并找到有效的一個(gè)。
5.3 對(duì)于NTFS的格式,切記不要急于重裝系統(tǒng) 。若你使用的是NTFS格式,但Windows運(yùn)行出了問(wèn)題。即使分區(qū)表沒(méi)有損壞,還能看到該分區(qū),也不要急忙重裝系統(tǒng)。因?yàn)镹TFS是有權(quán)限加密的,而且在一個(gè)操作系統(tǒng)下,密鑰是唯一的,若您重裝了系統(tǒng),即便是同一個(gè)版本,也有可能讀不出NTFS加密的文件夾。低級(jí)格式化更是不要輕易嘗試。
5.4 對(duì)于誤格式化了分區(qū),有條件的話,最好先用Ghost備份鏡像全盤(pán)到另外一個(gè)硬盤(pán),再嘗試各種工具進(jìn)行恢復(fù)操作。
通過(guò)以上幾個(gè)實(shí)踐案例及總結(jié)的一些技巧,已經(jīng)可以簡(jiǎn)單感受到數(shù)據(jù)恢復(fù)軟件工具的使用情況。雖然過(guò)程簡(jiǎn)要,但是要真正了解、熟悉數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)恢復(fù)方法,仍需通過(guò)長(zhǎng)期的理論探究、實(shí)踐及應(yīng)用過(guò)程。
要】由于互聯(lián)網(wǎng)的普及,計(jì)算機(jī)在使用時(shí)會(huì)接觸到許多“陷阱”。用戶儲(chǔ)存在計(jì)算機(jī)內(nèi)的數(shù)據(jù)的威脅也成倍增加。因此,了解數(shù)據(jù)的安全,數(shù)據(jù)的恢復(fù)技術(shù)變得越來(lái)越重要。本文詳細(xì)介紹數(shù)據(jù)恢復(fù)的的基本概念和原理,以及一些數(shù)據(jù)恢復(fù)的方法。
【關(guān)鍵詞】計(jì)算機(jī)硬盤(pán);數(shù)據(jù)恢復(fù);硬盤(pán)的存儲(chǔ)結(jié)構(gòu)
1、引言
隨著計(jì)算機(jī)在各個(gè)領(lǐng)域和行業(yè)中的普及和應(yīng)用,計(jì)算機(jī)的使用越來(lái)越頻繁,信息數(shù)據(jù)量也成倍的增長(zhǎng)。由于各種原因,導(dǎo)致計(jì)算機(jī)硬件不能正常工作,從而造成數(shù)據(jù)丟失的事件也越來(lái)越多。數(shù)據(jù)的意外丟失令當(dāng)事人,特別是規(guī)模較大的公司,研究機(jī)構(gòu),政府部門和其他企業(yè)造成巨大的經(jīng)濟(jì)損失,筆者就以上問(wèn)題進(jìn)行如下闡述。
2、數(shù)據(jù)恢復(fù)
目前,“數(shù)據(jù)恢復(fù)”作為挽救數(shù)據(jù)的有效方法和手段越來(lái)越受到業(yè)界的重視。
數(shù)據(jù)恢復(fù)是指用相應(yīng)的各種技術(shù)方法把計(jì)算機(jī)存儲(chǔ)介質(zhì)(硬盤(pán)、軟盤(pán)等)上損壞的數(shù)據(jù)重新找回,使其得以再用。我們所討論的數(shù)據(jù)的恢復(fù)是基于硬盤(pán)這種最通用的存儲(chǔ)介質(zhì)的。
假若硬盤(pán)因?yàn)榇蓬^缺損、電機(jī)故障、盤(pán)片劃傷等原因?qū)е虏荒苷9ぷ?,這種純物理故障只有將硬盤(pán)交給專業(yè)人員進(jìn)行開(kāi)盤(pán)操作了。由于維修環(huán)境和條件相當(dāng)苛刻、數(shù)據(jù)修復(fù)相關(guān)技術(shù)難度很大,不具通用性。
對(duì)于軟件故障導(dǎo)致的數(shù)據(jù)災(zāi)難的數(shù)據(jù)恢復(fù),首先,有一個(gè)前提要強(qiáng)調(diào)一下,那就是計(jì)算機(jī)里數(shù)據(jù)的存取特征:數(shù)據(jù)取出時(shí)的復(fù)制性,數(shù)據(jù)存儲(chǔ)時(shí)的覆蓋性。通俗地說(shuō),數(shù)據(jù)在從存儲(chǔ)單元里取出時(shí)取出的是副本,是“復(fù)印件”;而數(shù)據(jù)在寫(xiě)入存儲(chǔ)單元時(shí)會(huì)取代存儲(chǔ)單元里原有的數(shù)據(jù)。因此,如果硬盤(pán)中的原有數(shù)據(jù)被新數(shù)據(jù)完全覆蓋或多次被部分覆蓋,就基本上沒(méi)有恢復(fù)的可能。
2.1硬盤(pán)的存儲(chǔ)結(jié)構(gòu)
想對(duì)硬盤(pán)進(jìn)行數(shù)據(jù)恢復(fù),我們就必須先了解硬盤(pán)的存儲(chǔ)結(jié)構(gòu),以便在恢復(fù)數(shù)據(jù)時(shí)好對(duì)癥下藥。
一塊新硬盤(pán)需要將其分區(qū)、高級(jí)格式化,安裝上操作系統(tǒng)以后才可以使用。而在這一過(guò)程中,硬盤(pán)被分成了五個(gè)部分:即主引導(dǎo)記錄區(qū)(MBR)、操作系統(tǒng)引導(dǎo)記錄區(qū)(DBR)、文件分區(qū)表區(qū)(FAT)、根目錄區(qū)(DIR)、數(shù)據(jù)區(qū)(DATA)。如圖1:
MBR區(qū)(Main Boot Record)位于整個(gè)磁盤(pán)的0磁道0柱面1扇區(qū),共占用512字節(jié)。這512字節(jié)里主引導(dǎo)記錄占了446字節(jié),硬盤(pán)分區(qū)表(DPT)占64字節(jié),用來(lái)存儲(chǔ)硬盤(pán)主引導(dǎo)分區(qū)信息,最后2字節(jié)“55AA”是主引導(dǎo)扇區(qū)的結(jié)束標(biāo)志。主引導(dǎo)記錄是由分區(qū)程序(如Fdisk.exe)所產(chǎn)生的,它不依賴任何操作系統(tǒng),其主要作用是檢查分區(qū)表是否正確并且在系統(tǒng)硬件完成自檢后引導(dǎo)主分區(qū)上已安裝的操作系統(tǒng),并將控制權(quán)交給啟動(dòng)程序。這里有必要
指出一點(diǎn):不同操作系統(tǒng)的FDISK寫(xiě)入主引導(dǎo)記錄內(nèi)容是不同的。硬盤(pán)分區(qū)表里記錄了四個(gè)分區(qū)的信息,每個(gè)分區(qū)占16個(gè)字節(jié)。里面包括了分區(qū)狀態(tài)(占1字節(jié),用來(lái)標(biāo)識(shí)分區(qū)是否為活動(dòng)分區(qū))、分區(qū)類型(占1字節(jié))以及起始和結(jié)束的扇區(qū)、柱面、磁道等信息。因此,若硬盤(pán)分區(qū)表出現(xiàn)問(wèn)題就會(huì)出現(xiàn)分區(qū)丟失等故障。
DBR 區(qū)(DOS Boot Record)位于硬盤(pán)的0 磁道1 柱面1 扇區(qū),是操作系統(tǒng)可以直接訪問(wèn)的第一個(gè)扇區(qū),它包括一個(gè)引導(dǎo)程序和一個(gè)被稱為BPB(BIOS Parameter Block)的分區(qū)參數(shù)記錄表。操作系統(tǒng)引導(dǎo)記錄由高級(jí)格式化程序(如)產(chǎn)生。這里引導(dǎo)程序的主要任務(wù)是當(dāng)MBR 將系統(tǒng)控制權(quán)交給它時(shí),判斷本分區(qū)和當(dāng)前目錄的前兩個(gè)文件是否操作系統(tǒng)的引導(dǎo)文件。如果確定存在,就把它讀入內(nèi)存,并把控制權(quán)交給該文件。BPB參數(shù)塊記錄著本分區(qū)的起始扇區(qū)、結(jié)束扇區(qū)、文件存儲(chǔ)格式、硬盤(pán)介質(zhì)描述符、根目錄大小、FAT 個(gè)數(shù)以及分配單元的大小等重要參數(shù)。
FAT 區(qū)(File Allocation Table)是操作系統(tǒng)的文件尋址系統(tǒng),是FAT文件系統(tǒng)給文件分配磁盤(pán)使用空間的表。文件的存放是以鏈?zhǔn)酱鎯?chǔ)的方式將文件分為若干段存放在磁盤(pán)的非連續(xù)區(qū)域內(nèi)的,通過(guò)指針把文件的若干段聯(lián)系在一起,當(dāng)讀寫(xiě)一個(gè)文件時(shí),操作系統(tǒng)通過(guò)FAT表就可以知道文件存放的位置,從而可以準(zhǔn)確地讀出文件。FAT表存放在DBR 區(qū)之后,從各分區(qū)的邏輯1 扇區(qū)開(kāi)始存放,其大小隨分區(qū)大小不同而不同。同時(shí),為了防止意外損壞,F(xiàn)AT一般有兩個(gè),第二FAT 作為第一FAT的備份。
根目錄區(qū)(DIRECTORY)就是文件的目錄,它與FAT配合起到給文件正確定位的作用。
數(shù)據(jù)區(qū)(DATA)是真正存儲(chǔ)數(shù)據(jù)的區(qū)域,即文件真正存放的區(qū)域。
2.2硬盤(pán)軟故障導(dǎo)致硬盤(pán)數(shù)據(jù)丟失的數(shù)據(jù)恢復(fù)
基于以上前提,可以得出結(jié)論:由于硬盤(pán)軟故障導(dǎo)致的數(shù)據(jù)災(zāi)難,在一定前提下,其數(shù)據(jù)恢復(fù)是完全可以實(shí)現(xiàn)的。正常情況下,可以恢復(fù)80%~90%的數(shù)據(jù),100%的恢復(fù)也是可能的。硬盤(pán)軟故障的數(shù)據(jù)恢復(fù)主要可以從以下幾個(gè)方面入手:
2.2.1主引導(dǎo)區(qū)恢復(fù)
目前很多惡意程序都喜歡攻擊硬盤(pán)的主引導(dǎo)區(qū)與分區(qū)表,攻擊成功就會(huì)造成主引導(dǎo)區(qū)損壞。有時(shí)候磁盤(pán)分區(qū)軟件的誤操作以及中途斷電也會(huì)造成主引導(dǎo)區(qū)損壞。出現(xiàn)此類故障時(shí),計(jì)算機(jī)常有“Disk Boot Failure,Insert System Disk And Press Enter”、“Miss Operation System”等提示。通常來(lái)說(shuō),一旦主引導(dǎo)記錄和分區(qū)表被破壞,硬盤(pán)里的數(shù)據(jù)雖然無(wú)法訪問(wèn),但也沒(méi)有丟失。所以可以利用軟件修復(fù)損壞的主引導(dǎo)區(qū),這樣就能找到丟失的數(shù)據(jù)。用系統(tǒng)引導(dǎo)盤(pán)啟動(dòng)系統(tǒng)。然后鍵入“C:”,看看能否讀出C盤(pán)的內(nèi)容。之后使用Fdisk/mbr 命令進(jìn)行無(wú)條件重寫(xiě)主引導(dǎo)區(qū),這樣既可以使主引導(dǎo)區(qū)恢復(fù)正常,也可以保留C盤(pán)原有的數(shù)據(jù)。另外,值得注意的是,F(xiàn)disk/mbr 對(duì)于解決主引導(dǎo)區(qū)病毒也是非常有效的。
2.2.2分區(qū)表恢復(fù)
分區(qū)表故障經(jīng)常表現(xiàn)為:進(jìn)入操作系統(tǒng)后發(fā)現(xiàn)部分分區(qū)丟失,或是磁盤(pán)管理器中顯示錯(cuò)誤的容量等故障現(xiàn)象。與主引導(dǎo)區(qū)相比,分區(qū)表被破壞時(shí)的修復(fù)相對(duì)要復(fù)雜一些。一般而言,要修復(fù)分區(qū)表可通過(guò)查找備份的分區(qū)并復(fù)制相應(yīng)的扇區(qū)。因此我們使用分區(qū)表的備份覆蓋被破壞的分區(qū)就可以將故障解決了。但是在部分情況下,分區(qū)表的備份無(wú)法找到,此時(shí)只能手動(dòng)修改。使用WinHex 等軟件直接操作分區(qū)表數(shù)據(jù)。在軟件操作界面里,查找從“80”始到“55AA”結(jié)束的DPT 硬盤(pán)分區(qū)表信息(如圖2),這樣可以得知硬盤(pán)分區(qū)的基本信息。然后,尋找下一個(gè)“55AA”標(biāo)志,因?yàn)椤?5AA”之后就是下一個(gè)分區(qū)的開(kāi)頭(如圖3)。只要找到“55AA”的位置,就可以推算出分區(qū)的磁頭、扇區(qū)和柱面數(shù)字再折算成16 進(jìn)制并回寫(xiě)到相應(yīng)位置即可修復(fù)分區(qū)表。
2.2.3DBR修復(fù)
前文提到過(guò),DBR(操作系統(tǒng)引導(dǎo)記錄區(qū))是由高級(jí)格式化程序Format 產(chǎn)生的,因此DBR 也是一段信息代碼,同樣可能遭到破壞,最終導(dǎo)致無(wú)法進(jìn)入操作系統(tǒng),部分文件夾信息也會(huì)丟失。該類故障常出現(xiàn)以下現(xiàn)象:在windows下無(wú)法打開(kāi)某個(gè)分區(qū),雙擊分區(qū)圖標(biāo)時(shí)提示“該分區(qū)未格式化”,進(jìn)入DOS 系統(tǒng),使用“DIR”命令會(huì)出現(xiàn)提示“General Fail Reading Driver”。應(yīng)注意的是,此時(shí)千萬(wàn)不要格式化程序,因?yàn)楦袷交绦驎?huì)重寫(xiě)DBR,這樣固然能解決問(wèn)題,但分區(qū)里原有的數(shù)據(jù)也會(huì)丟失,這與挽救數(shù)據(jù)的最終目的是相違背的。這時(shí)須將問(wèn)題硬盤(pán)作為從盤(pán)掛接,隨后直接打開(kāi)Winhex 時(shí)選擇該磁盤(pán),直接在右上方的“訪問(wèn)”下拉列表中選擇DBR故障分區(qū),然后打開(kāi)“起始扇區(qū)模板”修復(fù)即可。
2.2.4零磁道損壞的修復(fù)
對(duì)于硬盤(pán)而言,零磁道是最為關(guān)鍵的地方,因?yàn)橛脖P(pán)的分區(qū)表信息就在其中。一旦零磁道損壞,那么硬盤(pán)將無(wú)法啟動(dòng)。其實(shí),零磁道損壞只是物理壞道的特殊情況,所不同的只是損壞之處十分敏感。對(duì)于帶有物理壞道的硬盤(pán),最簡(jiǎn)單的數(shù)據(jù)恢復(fù)方法就是將該硬盤(pán)設(shè)置為從盤(pán),然后使用另一塊正常的硬盤(pán)作為主盤(pán)引導(dǎo)進(jìn)入操作系統(tǒng)。在磁盤(pán)管理器里對(duì)壞盤(pán)進(jìn)行盤(pán)符分配,如果成功,直接拷貝就能成功挽救并保存數(shù)據(jù)。但若壞道過(guò)多,那就只能嘗試其它方法,比如:使用帶有扇區(qū)復(fù)制功能的磁盤(pán)訪問(wèn)工具對(duì)扇區(qū)進(jìn)行復(fù)制,并將復(fù)制出的扇區(qū)數(shù)據(jù)復(fù)制到完好的硬盤(pán)上。“效率源”就是具有這種功能的工具之一。當(dāng)數(shù)據(jù)成功挽救之后,接下來(lái)可以嘗試修復(fù)該硬盤(pán),此時(shí)可以采取修改硬盤(pán)分區(qū)表存儲(chǔ)位置,然后再屏蔽壞道的方法來(lái)處理。
2.2.5文件誤刪除的數(shù)據(jù)恢復(fù)
這類問(wèn)題主要是由用戶誤操作引起的,實(shí)際上,所謂的刪除是在被刪除的區(qū)域做了一個(gè)可覆蓋標(biāo)記,數(shù)據(jù)并沒(méi)有真的被刪除。也就是說(shuō),只要將這些可覆蓋標(biāo)記更改過(guò)來(lái),數(shù)據(jù)就可以恢復(fù)。但值得注意的是:如果在加了可覆蓋標(biāo)記的區(qū)域里重新寫(xiě)入了數(shù)據(jù),即新數(shù)據(jù)部分或全部覆蓋了原有數(shù)據(jù),那么原有數(shù)據(jù)就很難被恢復(fù)。因此,當(dāng)執(zhí)行誤刪除操作以后,切記不要對(duì)硬盤(pán)進(jìn)行數(shù)據(jù)寫(xiě)入操作,以免誤刪除數(shù)據(jù)被覆蓋而不可恢復(fù)。這里可以利用一些著名的文件恢復(fù)軟件進(jìn)行文件恢復(fù)。如:EasyRecovery,它通過(guò)使用一種復(fù)雜的模式識(shí)別技術(shù)找回分布在硬盤(pán)上不同地方的文件碎片,并根據(jù)統(tǒng)計(jì)信息對(duì)這些文件碎片進(jìn)行重整。接著在內(nèi)存里建立一個(gè)虛擬的文件系統(tǒng)并列出所有的文件和目錄。由此可以找回誤刪除的文件。
關(guān)鍵詞 Windows操作平臺(tái) 數(shù)據(jù)丟失 數(shù)據(jù)恢復(fù)
中圖分類號(hào):TP309.3 文獻(xiàn)標(biāo)識(shí)碼:A
0引言
數(shù)據(jù)恢復(fù)就是把遭受破壞,或由于硬件缺陷導(dǎo)致不可訪問(wèn)或不可獲得,或由于病毒、誤操作等各種原因?qū)е碌臄?shù)據(jù)還愿成正常數(shù)據(jù)。
1數(shù)字恢復(fù)的相關(guān)軟件及其恢復(fù)操作
目前常用的數(shù)據(jù)恢復(fù)軟件有:Disk Recovery、Easy Recovery、File Rescue Plus、File Scavenger、Final Data、Final Recovery、Handy Recovery、Recover My Files、Search and Recover、易我數(shù)據(jù)恢復(fù)向?qū)У龋腋鱾€(gè)恢復(fù)數(shù)據(jù)軟件也有些許不同之處。針對(duì)硬盤(pán)數(shù)據(jù)出現(xiàn)丟失的不同情況及恢復(fù)分為以下兩種:
1.1分區(qū)表的恢復(fù)
分區(qū)表?yè)p壞的原因有很多種,其中最常見(jiàn)的是病毒性破壞、誤操作導(dǎo)致分區(qū)表?yè)p壞、自然因素?fù)p壞分區(qū)表、分區(qū)表丟失與被隱藏等,總之是使分區(qū)表全部丟失或者部分丟失導(dǎo)致的原有的分區(qū)的數(shù)據(jù)在操作平臺(tái)中不可見(jiàn)、無(wú)法讀取、寫(xiě)不進(jìn)數(shù)據(jù)等。但這種情況下的數(shù)據(jù)丟失通常都是整個(gè)分區(qū)的數(shù)據(jù)丟失,需要恢復(fù)的也是整個(gè)分區(qū)的數(shù)據(jù)。
遇到這種情況,我們一般使用超級(jí)硬盤(pán)恢復(fù)數(shù)據(jù)軟件。該軟件可以很方便地恢復(fù)出分區(qū)表受損后的數(shù)據(jù),包括由于MBR破壞、重新分區(qū)、修復(fù)壞道后導(dǎo)致分區(qū)丟失、在DOS系統(tǒng)下面用?fdisk/mbr命令清空分區(qū)表、在磁盤(pán)管理中刪除分區(qū)等等導(dǎo)致分區(qū)不可見(jiàn)、無(wú)法讀取、無(wú)法寫(xiě)進(jìn)等情況。掃描速度快,安全性能比較高。
假設(shè)有一個(gè)160G的移動(dòng)硬盤(pán),這個(gè)移動(dòng)硬盤(pán)原先有4個(gè)分區(qū),包括NTFS分區(qū)和FAT32分區(qū),里面存放了影音圖片和工作文件,但因?yàn)橹苯訌?qiáng)制拔掉USB接口造成了分區(qū)丟失,現(xiàn)在全部分區(qū)都看不到,硬盤(pán)也變成了未指派狀態(tài),如圖1所示。
使用超級(jí)硬盤(pán)數(shù)據(jù)恢復(fù)軟件恢復(fù)這類錯(cuò)誤的步驟如下:
(1)運(yùn)行超級(jí)硬盤(pán)數(shù)據(jù)恢復(fù)軟件后,選第3項(xiàng),恢復(fù)丟失的分區(qū),點(diǎn)下一步。
(2)選擇這個(gè)移動(dòng)硬盤(pán)“磁盤(pán)2”,再點(diǎn)下一步按鈕后,就開(kāi)始進(jìn)行對(duì)分區(qū)的掃描。
(3)等待掃描完畢,超級(jí)硬盤(pán)數(shù)據(jù)恢復(fù)軟件就可以列出了丟失的這幾個(gè)分區(qū),可以根據(jù)之前你對(duì)相關(guān)卷標(biāo)、大小等信息來(lái)確認(rèn)你要恢復(fù)的分區(qū),然后選擇要恢復(fù)的分區(qū)點(diǎn)擊下一步直到結(jié)束完成對(duì)文件的恢復(fù)。
1.2刪除文件及格式化數(shù)據(jù)的恢復(fù)
Windows操作系統(tǒng)刪除文件時(shí)會(huì)把文件先放到回收站里,如果確定不用刪除文件還能在回收站內(nèi)找回來(lái),若要?jiǎng)h除就清空回收站再釋放空間。也可以使用Shift + Del不通過(guò)回收站直接刪除文件并釋放空間,如刪除的文件過(guò)大,操作系統(tǒng)會(huì)提示文件不能放入回收站而直接刪除并釋放空間。
目前常用的恢復(fù)軟件是Easy Recovery。通常Easy Recovery不會(huì)向原始驅(qū)動(dòng)器寫(xiě)入任何東西,它主要是在內(nèi)存中重建文件分區(qū)表,使數(shù)據(jù)能夠安全地傳輸?shù)狡渌?qū)動(dòng)器中,可以從被病毒破壞或是已經(jīng)格式化的硬盤(pán)中恢復(fù)數(shù)據(jù)。
現(xiàn)假設(shè)F盤(pán)里的一個(gè)文件“王鐵林.docx”不小心丟失,這時(shí)想要找回來(lái),回收站里也沒(méi)有了。
我們使用Easy Recovery軟件進(jìn)行恢復(fù)的步驟如下:
(1)啟動(dòng)Easy Recovery,點(diǎn)擊“繼續(xù)”啟動(dòng)Easy Recovery軟件的界面。如圖2所示。
(2)選擇媒體類型,選擇“硬盤(pán)驅(qū)動(dòng)器”,點(diǎn)擊“繼續(xù)”。
(3)選擇要恢復(fù)的磁盤(pán)盤(pán)符F:盤(pán),點(diǎn)擊繼續(xù)。
(4)選擇要進(jìn)行的恢復(fù)方案,掃描完成后,再將文件保存到預(yù)先準(zhǔn)備好的磁盤(pán)或者是移動(dòng)設(shè)備中去,盡量不要保存在掃描盤(pán)內(nèi),以免數(shù)據(jù)被覆蓋。
2總結(jié)
上面介紹了分區(qū)表的恢復(fù)及刪除文件及格式化數(shù)據(jù)的恢復(fù)的具體方法。但是無(wú)論數(shù)據(jù)行業(yè)再如何發(fā)達(dá),數(shù)據(jù)恢復(fù)終究也只是一種災(zāi)后重建的手段,無(wú)法確定能完全恢復(fù)被刪除的數(shù)據(jù),真正的數(shù)據(jù)保護(hù)應(yīng)該還是個(gè)人要養(yǎng)成合理使用存儲(chǔ)設(shè)備及相關(guān)的電子設(shè)施的習(xí)慣,以減少出現(xiàn)數(shù)據(jù)丟失的情況,這樣才是最好的保護(hù)了數(shù)據(jù),而不要等到數(shù)據(jù)失去了才苦苦地找尋數(shù)據(jù)恢復(fù)的方法。
參考文獻(xiàn)
關(guān)鍵詞: 智能手機(jī); SD卡; 數(shù)據(jù)恢復(fù); 邏輯故障
中圖分類號(hào):TP391 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1006-8228(2017)03-20-03
Abstract: Today's Smartphone features more and more powerful, requires a lot of storage space, so a memory card is needed to store the data, as the phone memory has been unable to meet the requirement. Taking the SD card as an example, this paper analyzes the physical structure of the card and the principle of data storage, studies the data recovery process after generating a logical fault, and uses software WinSDCard and Winhex to recover the data. The test results show that the method has a good recovery effect, and can be used for personal data recovery, mobile phone forensics, etc.
Key words: Smartphone; SD card; data recovery; logical fault
0 引言
智能手機(jī)在人們的工作和學(xué)習(xí)中扮演著越來(lái)越重要的角色,智能手機(jī)具備的功能越來(lái)越多,存儲(chǔ)的數(shù)據(jù)量和所需的存儲(chǔ)空間也越來(lái)越大。當(dāng)手機(jī)本身的存儲(chǔ)空間不能滿足需求時(shí),就需要安裝數(shù)據(jù)存儲(chǔ)卡。然而,用戶在使用智能手機(jī)的過(guò)程中,由于各種主觀或客觀的原因,存儲(chǔ)卡會(huì)經(jīng)常出現(xiàn)重要數(shù)據(jù)丟失和損壞的情況,給用戶造成非常大的損失。因此,為了盡可能替用戶恢復(fù)數(shù)據(jù),挽回?fù)p失,就需要探究手機(jī)存儲(chǔ)卡的數(shù)據(jù)恢復(fù)方法。
目前,常用的手機(jī)存儲(chǔ)卡主要有RS-MMC卡、SD卡等類型[1]。筆者以SD存儲(chǔ)卡為例,在分析其數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)與原理的基礎(chǔ)上,使用WinSDCard和Winhex數(shù)據(jù)恢復(fù)軟件,研究了數(shù)據(jù)恢復(fù)的具體方法。
1 SD卡數(shù)據(jù)存儲(chǔ)原理
SD卡(Secure Digital Memory Card)是一種基于半導(dǎo)體Flash技術(shù)的新一代記憶設(shè)備。SD卡由日本松下、東芝及美國(guó)SanDisk公司于1999年8月共同開(kāi)發(fā)研制[2]。SD卡體積小,其大小猶如一張郵票,重量只有2克,具有高記憶容量、數(shù)據(jù)傳輸速度快、可熱插拔、極大的移動(dòng)靈活性以及很好的安全性等優(yōu)良的特性,它被廣泛地用于便攜式裝置上,例如數(shù)碼相機(jī)、數(shù)碼攝像、個(gè)人數(shù)碼助理(外語(yǔ)縮寫(xiě)PDA)、智能手機(jī)和多媒體播放器等。
SD卡可以通過(guò)市面上很普遍的USB接口讀卡器即可將存儲(chǔ)的測(cè)量數(shù)據(jù)讀出,省略了耗時(shí)長(zhǎng)且不安全的數(shù)據(jù)導(dǎo)出過(guò)程,價(jià)格便宜,容量較大,非常適合于長(zhǎng)期測(cè)量系統(tǒng)的數(shù)據(jù)存儲(chǔ)[3]。SD卡支持SD模式和SPI模式,其中SPI模式中使用的SPI接口在單片機(jī)系統(tǒng)中應(yīng)用非常廣泛,在SPI總線模式下,CS為主控制器向卡發(fā)送的片選信號(hào),SCLK為主控制器向卡發(fā)送的時(shí)鐘信號(hào)。DI(Data In)為主控制器向卡發(fā)送的單向數(shù)據(jù)信號(hào),DO(Data Out)為卡向主控制器發(fā)送的單向數(shù)據(jù)信號(hào)[3]。SD卡的內(nèi)部結(jié)構(gòu)如圖1所示。
2 SD卡數(shù)據(jù)損壞的原因
在日常使用中,SD卡會(huì)由于各種原因?qū)е聰?shù)據(jù)損壞,其原因可以歸納為物理?yè)p壞和邏輯故障兩大類。
2.1 物理?yè)p壞
物理?yè)p壞主要是由于硬件發(fā)生故障、受損而造成的[4-5],具體表現(xiàn)形式及損壞原因如表1所示。
2.2 邏輯故障
邏輯損壞主要是由于軟件受損而造成的[4-5],主要原因有以下幾種。
⑴ 惡意破壞:主要包括各種病毒、木馬對(duì)數(shù)據(jù)的損害,造成數(shù)據(jù)丟失。
⑵ 誤刪除、誤格式化,將文件的首字節(jié)改為E5H。
⑶ 系y故障:比如在讀寫(xiě)數(shù)據(jù)時(shí),意外停止、撥出;拷貝數(shù)據(jù)未正式結(jié)束,就撥出、強(qiáng)行停止;在從電腦退出時(shí),未按正常退出步驟操作,人為(彈)撥出等,造成數(shù)據(jù)無(wú)法找到,手機(jī)不能識(shí)別SD卡。
SD卡出現(xiàn)邏輯故障后,數(shù)據(jù)之間的關(guān)系出現(xiàn)錯(cuò)誤,但是只要SD卡未有重復(fù)讀寫(xiě)的操作,數(shù)據(jù)仍可以部分使用,數(shù)據(jù)恢復(fù)的希望還是比較大的。
3 SD卡數(shù)據(jù)恢復(fù)方法介紹
3.1 物理?yè)p壞的修復(fù)及避免方法
SD卡一旦由于物理原因造成數(shù)據(jù)損壞,必須請(qǐng)專業(yè)的硬件維修機(jī)構(gòu)對(duì)數(shù)據(jù)進(jìn)行恢復(fù),需要對(duì)SD卡進(jìn)行芯片級(jí)的維修,這不僅費(fèi)用昂貴,而且數(shù)據(jù)也不一定能完全恢復(fù),還容易造成電路燒毀,SD卡可能直接報(bào)廢,給用戶造成巨大的損失。因此,用戶在使用智能手機(jī)存儲(chǔ)卡時(shí)應(yīng)注意以下幾點(diǎn),以避免發(fā)生物理?yè)p壞,造成重要數(shù)據(jù)損毀。
⑴ 及時(shí)對(duì)數(shù)據(jù)進(jìn)行備份。用戶應(yīng)定期將文件拷貝至手機(jī)內(nèi)存、電腦、移動(dòng)硬盤(pán)或云盤(pán)。
⑵ 在讀/寫(xiě)SD卡數(shù)據(jù)時(shí),不要拔出SD卡。有些卡在系統(tǒng)拷貝進(jìn)度條消失后仍處于工作狀態(tài),應(yīng)等待讀寫(xiě)狀態(tài)燈熄滅后再拔下讀卡器或存儲(chǔ)卡。
⑶ 避免熱插拔SD卡。若在開(kāi)機(jī)狀態(tài)插入新的SD卡,由于手機(jī)沒(méi)有對(duì)卡進(jìn)行初始化,可能造成無(wú)法正常識(shí)別,還可能損壞手機(jī)和存儲(chǔ)卡。
⑷ 在智能手機(jī)電池電量不足時(shí),盡量少讀寫(xiě)SD卡。
3.2 邏輯故障的數(shù)據(jù)恢復(fù)方法
對(duì)于邏輯故障引起的數(shù)據(jù)丟失和損壞,只要數(shù)據(jù)區(qū)沒(méi)有被徹底覆蓋,用戶通過(guò)相關(guān)軟件的使用,一般都可以順利恢復(fù)。比如誤刪除操作,實(shí)際上此時(shí)保存在硬盤(pán)中的文件并沒(méi)有真正被完全覆蓋,而是把指向數(shù)據(jù)存儲(chǔ)空間的鏈條刪除了,真正的數(shù)據(jù)還是以二進(jìn)制的方式存儲(chǔ)在SD上。只要這些數(shù)據(jù)不被覆蓋,通過(guò)一些數(shù)據(jù)恢復(fù)軟件,尋找主文件表中數(shù)據(jù)的存放位置,對(duì)這些存儲(chǔ)數(shù)據(jù)的SD卡進(jìn)行掃描,通過(guò)掃描找到存在的數(shù)據(jù)殘段并進(jìn)行數(shù)據(jù)修復(fù)并備份修復(fù)好的數(shù)據(jù)[6]。數(shù)據(jù)恢復(fù)流程見(jiàn)圖2。
接下來(lái),本文結(jié)合WinSDCard(SD存儲(chǔ)卡數(shù)據(jù)備份軟件)和Winhex數(shù)據(jù)恢復(fù)軟件,介紹如何對(duì)數(shù)據(jù)出現(xiàn)邏輯故障的SD存儲(chǔ)卡的數(shù)據(jù)進(jìn)行恢復(fù)。主要過(guò)程分為兩步:
第一步:利用WinSDCard軟件將SD存儲(chǔ)卡的數(shù)據(jù)復(fù)制成為一個(gè)RAW原始映像文件。
運(yùn)行WinSDCard,然后插入裝有SD卡的讀卡器,WinSDCard會(huì)發(fā)現(xiàn)新插入的SD存儲(chǔ)卡。選中該盤(pán)符,點(diǎn)擊“Backup Image工作模式”,然后備份數(shù)據(jù)成為鏡像文件。
第二步:使用Winhex軟件恢復(fù)數(shù)據(jù)。
啟動(dòng)Winhex, 打開(kāi)鏡像后的文件。選擇“工具/磁盤(pán)工具”菜單,使用“通過(guò)文件類型恢復(fù)”的功能菜單,在彈出的窗口中選擇以下幾種方式,對(duì)SD存儲(chǔ)卡數(shù)據(jù)進(jìn)行恢復(fù)操作:
⑴ “選擇文件類型”:是指需要指定文件類型,如果要恢復(fù)的文件類型是WORD,那么就選擇“Msword”文件類型;如果要添加沒(méi)有在列表中的文件型,可以選擇“自定義”文件類型;
⑵ “輸出文件夾”:是存放恢復(fù)后的文件,默認(rèn)路徑為“C:Recovery Disk U”,也可以自行設(shè)置文件路徑;
⑶ “為每個(gè)文件類型創(chuàng)建子文件夾”選項(xiàng)是為每一種文件類型建立一個(gè)子目錄,默認(rèn)選中該功能;
⑷ “僅在選塊中搜索”:是選擇搜索模式,如果SD存儲(chǔ)卡的容量不是很大,可以選擇這個(gè)模式;如果SD存儲(chǔ)卡容量很大,可以選擇“搜索全部扇區(qū)邊界”模式,如果想更精確,可以選擇“完整的字節(jié)級(jí)搜索”字節(jié)搜索模式,這個(gè)模式的速度慢些;
⑸ 最后,點(diǎn)擊“確定”,等待文件恢復(fù)。
經(jīng)過(guò)上述步驟,數(shù)據(jù)恢復(fù)結(jié)束,退出程序。
4 結(jié)論
為測(cè)試采用本文方法恢復(fù)數(shù)據(jù)的效果,筆者首先對(duì)MICRO SD存儲(chǔ)卡中的圖片、文檔和視頻等不同數(shù)據(jù)類型的文件作刪除操作,之后利用WinSDCard和Winhex軟件恢復(fù)數(shù)據(jù)。實(shí)驗(yàn)證明,采用該方法恢復(fù)了95%的被刪除的文件,而且內(nèi)容恢復(fù)準(zhǔn)確率達(dá)97%。
本文分析了SD存儲(chǔ)卡的物理結(jié)構(gòu)和數(shù)據(jù)存儲(chǔ)原理,重點(diǎn)研究了SD卡的邏輯故障,提出了利用WinSDCard和Winhex軟件進(jìn)行數(shù)據(jù)恢復(fù)的方法,實(shí)踐證明有很好的數(shù)據(jù)恢復(fù)效果。在實(shí)際操作中,為進(jìn)一步提高內(nèi)容恢復(fù)的準(zhǔn)確率,還需嘗試不同的數(shù)據(jù)恢復(fù)軟件。
參考文獻(xiàn)(References):
[1] 陶榮,饒佳藝,嚴(yán)麗娜等.智能手機(jī)RS-MMC存儲(chǔ)卡數(shù)據(jù)恢復(fù)研究[J].電子設(shè)計(jì)工程,2012.20(17):180-182
[2] 周立功.ARM嵌入式系統(tǒng)軟件開(kāi)發(fā)實(shí)例(二)[M].北京航空航天大學(xué)出版社,2006.
[3] 劉素花,龔德俊,徐永平等.SD卡在海洋數(shù)據(jù)存儲(chǔ)中的應(yīng)用[J].海洋科學(xué),2009.33(3):16-20
[4] 李志強(qiáng).常見(jiàn)硬盤(pán)數(shù)據(jù)損壞的類型及恢復(fù)方法[J].硅谷,2011.23:124-126
關(guān)鍵詞: 手機(jī)取證; Android手機(jī); 數(shù)據(jù)存儲(chǔ); 數(shù)據(jù)恢復(fù)
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1006-8228(2017)04-29-03
Abstract: How to extract and recover data from deleted or corrupted data is one of the most important issues in mobile phone forensics. This paper studies the SQLite data storage structure and the addressing of the Btree page tree structure of Android mobile phone, to recovery the deleted data by traversing the leaf pages. The research status of domestic and foreign data recovery methods are introduced, which provide the reference for the further research of Android mobile phone data recovery.
Key words: mobile phone forensic; Android mobile phone; data storage; data recovery
0 引言
隨著移動(dòng)通信技術(shù)的發(fā)展和智能手機(jī)的普及,手機(jī)犯罪呈高發(fā)態(tài)勢(shì)。據(jù)Gartner的數(shù)據(jù)顯示[1],2015年Android手機(jī)市場(chǎng)占有率高達(dá)80%,所以Android手機(jī)已經(jīng)成為主要的數(shù)據(jù)取證源之一。如何從Android手機(jī)中提取和恢復(fù)數(shù)據(jù),成為司法取證的一個(gè)課題。本文主要基于Android系統(tǒng),歸納主流的手機(jī)數(shù)據(jù)恢復(fù)技術(shù),概括國(guó)內(nèi)外研究成果與現(xiàn)狀,并對(duì)Android手機(jī)數(shù)據(jù)恢復(fù)技術(shù)發(fā)展作了總結(jié)與展望。
1 手機(jī)數(shù)據(jù)存儲(chǔ)分類
根據(jù)Android手機(jī)內(nèi)部存儲(chǔ)機(jī)制,手機(jī)數(shù)據(jù)存儲(chǔ)方式主要分為內(nèi)部存儲(chǔ)和外部存儲(chǔ)兩種。其中內(nèi)部存儲(chǔ)主要有SIM卡和手機(jī)機(jī)身內(nèi)存,外部存儲(chǔ)主要有手機(jī)外部存儲(chǔ)卡。此外,短信服務(wù)提供商和移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商也包含相對(duì)應(yīng)的有效信息。
⑴ SIM卡即手機(jī)卡。也稱客戶識(shí)別模塊卡,主要用來(lái)鑒別網(wǎng)絡(luò)用戶身份信息,存儲(chǔ)客戶信息等。卡上所有的數(shù)據(jù)都是以文件的形式存儲(chǔ)在卡上相應(yīng)的數(shù)據(jù)存儲(chǔ)區(qū)域,其中SIM卡里存儲(chǔ)的數(shù)據(jù)由四部分組成。第一部分是固定存放的數(shù)據(jù)。該類數(shù)據(jù)信息在移動(dòng)設(shè)備被出售之前由SIM卡中心提前寫(xiě)入。包含國(guó)際移動(dòng)用戶識(shí)別號(hào)、鑒權(quán)密鑰、加密算法等一些固定不變的信息。第二部分是暫時(shí)存放的相關(guān)網(wǎng)絡(luò)數(shù)據(jù)。如LAI(位置區(qū)域識(shí)別碼)、TMSI(移動(dòng)用戶暫時(shí)識(shí)別碼)、禁止接入的公共電話網(wǎng)代碼等。第三部分是與業(yè)務(wù)相關(guān)的代碼,如PIN(個(gè)人識(shí)別碼)、PUK(解鎖碼)、計(jì)費(fèi)費(fèi)率等。第四部分是用戶存儲(chǔ)的電話號(hào)碼簿信息。比如手機(jī)用戶隨時(shí)輸入的電話號(hào)碼等。
⑵ 手機(jī)內(nèi)存。手機(jī)內(nèi)存分為兩塊:RAM(動(dòng)態(tài)存儲(chǔ)區(qū))和ROM(靜態(tài)存儲(chǔ)區(qū))。其中,動(dòng)態(tài)存儲(chǔ)區(qū)又稱隨機(jī)存儲(chǔ)區(qū),用來(lái)臨時(shí)保存數(shù)據(jù),突然斷電時(shí)會(huì)丟失存放的數(shù)據(jù)信息;靜態(tài)存儲(chǔ)區(qū)又稱只讀存儲(chǔ)區(qū),用來(lái)存放用戶數(shù)據(jù)文件,對(duì)突然出現(xiàn)斷電的情況也不受影響,起到保護(hù)的作用。
⑶ 手機(jī)擴(kuò)展存儲(chǔ)卡。手機(jī)擴(kuò)展存儲(chǔ)卡通常使用FAT文件系統(tǒng),常用的外置存儲(chǔ)卡有TF卡、CF卡等,屬于閃存卡。手機(jī)擴(kuò)展存儲(chǔ)卡是為了擴(kuò)大手機(jī)內(nèi)存容量,減少手機(jī)自身內(nèi)存占用,一般用來(lái)存放大量的音頻、視頻、圖片等文件,如果對(duì)這些信息進(jìn)行恢復(fù),往往也能獲得有價(jià)值的線索。
2 基于SQLite的數(shù)據(jù)恢復(fù)方法
SQLite數(shù)據(jù)庫(kù)在Android手機(jī)中應(yīng)用廣泛,具有量級(jí)輕、資源占用率低、易移植等優(yōu)點(diǎn)。在Android系統(tǒng)中,大部分?jǐn)?shù)據(jù)存放在SQLite數(shù)據(jù)庫(kù)中,比如短消息、通訊錄和通話錄等,這些數(shù)據(jù)有較多價(jià)值。所以本文以SQLite數(shù)據(jù)庫(kù)為研究對(duì)象,描述SQLite數(shù)據(jù)庫(kù)的存儲(chǔ)原理及數(shù)據(jù)恢復(fù)方法。
2.1 SQLite存儲(chǔ)原理
關(guān)鍵詞:關(guān)鍵詞:磁盤(pán); 數(shù)據(jù)恢復(fù); 固件
中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
在硬盤(pán)數(shù)據(jù)恢復(fù)過(guò)程中,常會(huì)遇到由于硬盤(pán)固件區(qū)損壞而丟失數(shù)據(jù)的故障硬盤(pán),此時(shí)可通過(guò)數(shù)據(jù)恢復(fù)工具的硬盤(pán)固件區(qū)修復(fù)技術(shù)來(lái)完成硬盤(pán)數(shù)據(jù)恢復(fù)。
1. 磁盤(pán)固件
固件(Firmware)是固化在硬盤(pán)ROM芯片或負(fù)道上(保留區(qū))的軟件,硬盤(pán)固件區(qū)保留著引導(dǎo)硬盤(pán)所需的關(guān)鍵信息,固件完成硬盤(pán)初始化啟動(dòng),包括以下重要信息:
伺服信息或伺服字段:用于磁頭定位。
低級(jí)格式化:磁道起始信息標(biāo)志信息,劃分磁道扇區(qū)。
駐留軟固件微程序:初始化診斷、控制主軸電機(jī)、控制磁盤(pán)控制器。緩沖Ram數(shù)據(jù)交換。
配置表和設(shè)置:磁盤(pán)空間的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)。
缺陷表:硬盤(pán)的生產(chǎn)技術(shù)不能實(shí)現(xiàn)無(wú)缺陷,缺陷表包括P表和G表,由工廠測(cè)試時(shí)填寫(xiě),缺陷對(duì)用戶來(lái)說(shuō)是隱藏的,只有專門的程序能訪問(wèn)。
當(dāng)硬盤(pán)開(kāi)始工作,先進(jìn)行“初始化”,讀取硬盤(pán)保留區(qū)的固件信息,若能正常讀出和較驗(yàn)正常,硬盤(pán)進(jìn)入準(zhǔn)備狀態(tài),若出現(xiàn)固件故障,硬盤(pán)就無(wú)法進(jìn)入準(zhǔn)備狀態(tài),表現(xiàn)為無(wú)法檢測(cè)硬盤(pán)可檢測(cè)到無(wú)法讀寫(xiě)操作。這時(shí)就要修復(fù)硬盤(pán)固件以修復(fù)硬盤(pán)。
效率源有目前國(guó)內(nèi)規(guī)模最大的硬盤(pán)數(shù)據(jù)恢復(fù),硬盤(pán)維修研究機(jī)構(gòu)。在十年專業(yè)的硬盤(pán)數(shù)據(jù)恢復(fù),硬盤(pán)維修經(jīng)驗(yàn)基礎(chǔ)上。先后開(kāi)發(fā)出了希捷、西數(shù)、邁拓、富士通等多款專業(yè)都硬盤(pán)數(shù)據(jù)恢復(fù)軟件和硬盤(pán)維修軟件。
2. 固件修復(fù)的實(shí)現(xiàn)
2.1 裝入管理
裝入管理的作用主要是把硬盤(pán)的資源信息裝入到程序中,包括硬盤(pán)屬于什么系列,個(gè)體的型號(hào),以及該硬盤(pán)的參數(shù)。一個(gè)正常能識(shí)別的硬盤(pán),直接點(diǎn)擊就可以從硬盤(pán)獲取,程序會(huì)自動(dòng)裝入相關(guān)的資源文件,同時(shí)在最下路徑欄生成對(duì)應(yīng)硬盤(pán)型號(hào)以及路徑的文件文件夾,在對(duì)應(yīng)的文件夾中生成這個(gè)硬盤(pán)的資源文件。
不能識(shí)別的硬盤(pán),程序同樣可以根據(jù)電路板類型讀出該硬盤(pán)屬于什么系列,以及相應(yīng)的ROM版本。在左邊列出了目前所有硬盤(pán)的系列,如果有不支持的類型,只要將資源文件發(fā)經(jīng)開(kāi)發(fā)商,就可以升級(jí)更新程序支持這種硬盤(pán)。
診斷:當(dāng)硬盤(pán)裝入之后,點(diǎn)擊診斷按鈕,左邊會(huì)顯示出當(dāng)前硬盤(pán)診斷信息。
2.2備份固件
程序保留了以前DOS版本的備份方式,同樣是模塊和磁道,可以將對(duì)應(yīng)模塊點(diǎn)擊勾選上,希捷讀取,在當(dāng)前路徑下就會(huì)備份生成出對(duì)應(yīng)的模塊,同時(shí)在讀取的時(shí)候下方會(huì)有進(jìn)度條顯示。DOS版本的固件同樣適用于WIN版,只需要修改一下文件名,修改方式為將K7_1.MOD修改為1.MOD,如此類推。
圖1 備份固件操作過(guò)程界面
2.3 回寫(xiě)固件
可實(shí)現(xiàn)高速回寫(xiě),點(diǎn)擊需要回寫(xiě)的模塊名,會(huì)彈出對(duì)話框,選定到對(duì)應(yīng)的模塊即可。如回寫(xiě)ATA,就選到1號(hào),對(duì)應(yīng)的模塊可以到備份固件查看,下方會(huì)顯示回寫(xiě)進(jìn)度。
圖2 回寫(xiě)固件操作過(guò)程界面
注意:校準(zhǔn)完成回寫(xiě)ATA模塊之后必須通病修復(fù),還需要手支輸入一次型號(hào)和容量,方能認(rèn)盤(pán)。
圖3 固件檢測(cè)與修復(fù)操作界面
通病修復(fù):此功能也是數(shù)據(jù)恢復(fù)和不識(shí)別硬盤(pán)修復(fù)的利器,對(duì)于部分電腦主板不識(shí)別,使用MHDD工具檢測(cè)硬盤(pán)時(shí),BUSY長(zhǎng)亮的情況,用本功能只需要約兩分鐘即可使硬盤(pán)恢復(fù)正常,同時(shí)故障硬盤(pán)數(shù)據(jù)將全部保留,修復(fù)后可以直接啟動(dòng)或拷貝數(shù)據(jù)。Windows版本程序在校準(zhǔn)完成之后,回寫(xiě)ATA模塊和通病修復(fù)完成后,必須對(duì)硬盤(pán)進(jìn)行其他操作和參數(shù)修改,將原盤(pán)型號(hào)和容量寫(xiě)回去。
修復(fù)只讀:希捷硬盤(pán)在檢測(cè)自身固件時(shí),如果發(fā)現(xiàn)有比較嚴(yán)重的錯(cuò)誤,或者說(shuō)是致命錯(cuò)誤的時(shí)候,硬盤(pán)會(huì)自動(dòng)進(jìn)入只讀模式。這種模式硬盤(pán)只允許讀取文件,不允許寫(xiě)入文件或?qū)τ脖P(pán)進(jìn)行分區(qū)等?!靶迯?fù)只讀”功能就是專門針對(duì)這種情況設(shè)計(jì)的,修復(fù)硬盤(pán)固件區(qū)的致命缺陷,使硬盤(pán)重新具有寫(xiě)入功能。
3.缺陷操作
圖4 缺陷操作過(guò)程界面
修復(fù)固件后,該硬盤(pán)的缺陷會(huì)暴露出來(lái),所以必須修復(fù)缺陷。
執(zhí)行清空道表清除硬盤(pán)內(nèi)部已經(jīng)存在的磁道缺陷列表。清除后,需要進(jìn)行全盤(pán)清零操作方可生效。道表也可以理解為經(jīng)過(guò)壓縮之后的P表。清除道表后,硬盤(pán)將產(chǎn)生大量的連續(xù)壞道,并造成數(shù)據(jù)區(qū)數(shù)據(jù)嚴(yán)重錯(cuò)位,有重要數(shù)據(jù)的硬盤(pán)使用本功能以前請(qǐng)先備份,以免造成數(shù)據(jù)的丟失。
執(zhí)行清空P表清除硬盤(pán)內(nèi)部已經(jīng)存在的P-List缺陷列表,清除后,需要進(jìn)行全盤(pán)清零操作方可生效。清除P-List缺陷列表后,硬盤(pán)將產(chǎn)生大量的壞道,并造成數(shù)據(jù)區(qū)數(shù)據(jù)嚴(yán)重錯(cuò)位,有重要數(shù)據(jù)的硬盤(pán)使用本功能以前請(qǐng)先備份,以免造成數(shù)據(jù)的丟失。
執(zhí)行清空G表清除硬盤(pán)內(nèi)部已經(jīng)存在的G-List表,一般硬盤(pán)在G-List表支持容量較少,希捷酷魚(yú)列表的硬盤(pán)G-List表最大支持1020個(gè),因些通常情況下使用軟件加入后會(huì)出現(xiàn)壞道無(wú)法加入的情況情況。這時(shí)可以選清除G-List表。進(jìn)行全盤(pán)擦除不穩(wěn)定扇區(qū)后,再進(jìn)行G-List表壞道加入。
清空后執(zhí)行掃描缺陷,會(huì)掃描出硬盤(pán)的缺陷,之后加入P表和G表,以保證硬盤(pán)的缺陷全部隱藏,硬盤(pán)正常運(yùn)行。
4.小結(jié)
現(xiàn)代硬盤(pán)的保留區(qū)對(duì)用戶是隱藏的,包括固件區(qū)和用于替代缺陷的保留區(qū),只有在驅(qū)動(dòng)器的工廠模式下才能訪問(wèn),當(dāng)固件區(qū)出現(xiàn)問(wèn)題,會(huì)直接影響硬盤(pán)的識(shí)別和讀寫(xiě)操作。利用效率源的固件修復(fù)功能可以成功的修復(fù)固件區(qū),在修復(fù)后用修復(fù)缺陷功能修復(fù)硬盤(pán)的缺陷,以保證硬盤(pán)完全修復(fù)。
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:CSCD期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)