-
數據恢復技術
鎖定
數據恢復技術是一門新興技術,它通過各種手段把丟失和遭到破壞的數據還原為正常數據。
數據恢復技術客觀因素
據有關數據統計,每年有70%以上的用户在使用優盤、移動硬盤等存儲設備時因為誤刪、病毒破壞、物理損壞、硬件故障等問題遭遇過數據丟失災難……諸多事件説明我們在享受數據信息帶來便利的同時,也不得不面對數據丟失帶來的巨大損失。
相對於有價的存儲介質(硬盤、U盤、CF卡、FLASH存儲),無價的數據更顯得彌足珍貴,於是找回丟失的數據儘可能 降低損失程度成為了一件迫在眉睫的事情。面對巨大的信息安全漏洞,數據恢復技術同時也應運而生。而所謂數據恢復技術,簡單的説就是通過各種手段把丟失和遭到破壞的數據還原為正常數據。
數據恢復技術概論
當存儲介質(包括硬盤、移動硬盤、U盤、軟盤、閃存、磁帶等)由於軟件問題(如誤刪除、病毒、系統故障等)或硬件原因(如震盪、撞擊、電路板或磁頭損壞、機械故障等)導致數據丟失時,便可通過數據恢復技術把資料全部或者部分還原。因此,數據恢復技術分為:軟件問題數據恢復技術和硬件問題數據恢復技術。
其中,軟件問題,如由格式化誤刪或者病毒引起的資料損失的情況下,大部分數據通過數據恢復軟件(如Easyrecovery、FinalData、Recovery my file等),加上一些使用技巧和經驗,仍能將恢復的,除非數據已被完全覆蓋。因為損失的只有資料的連接環節,重新恢復連接資料區連接環節的話,便可以重新將資料恢復。
而因為硬盤本身問題而無法讀取資料時,需要通過專業的數據恢復工程師配合專業數據恢復設備(開盤機、DCK硬盤複製機等),在無塵環境下維修和更換髮生故障的零件,但因硬盤的款式繁多,而且每個品牌或者型號會使用不同的零件,所以專業數據恢復公司會建立了完善的零件庫,存儲大部分介質的零件,以配合數據恢復技術服務。
數據恢復技術固態硬盤
根據權威數據恢復機構51Recovery瞭解,數據恢復技術是信息技術中一項新興的高新技術,由於存儲介質的高速發展,因此這項技術也是在不斷髮展中。固態硬盤作為一種革新性品,代表未來存儲技術發展的方向,雖然有些廠商已經在設計的時候已經設計ECC校驗,或許通過更換內部部件、軟件等維修方式,相對這種技術還是有很大的侷限性。當負責儲存數據的閃存顆粒有毀損,現時的數據修復技術是不可能在損壞的芯片中救回數據。因此,目前來看針對固態硬盤發生故障,還沒有一套完整的數據恢復解決方案。
數據恢復技術原理
1.數據恢復原理一-分區表
數據恢復原理與分區表關係緊密。在主引導區中,從地址BE開始,到FD結束為止的64個字節中的內容就是通常所説的分區表。無論系統中建立多少個邏輯磁盤,在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁盤。需要特別注意的是,由於主分區之後的各個分區是通過一種單向鏈表的結構來實現鏈接的,因此,若單向鏈表發生問題,將導致邏輯磁盤的丟失。這就是當硬盤被CIH病毒破壞後,我們可以通過KV3000的F10功能來找到丟失的D,E及以後的邏輯分區的原因。
2.數據恢復原理二-目錄區與數據區
目錄區DIR:是Directory即根目錄區的簡寫,在FAT12和FAT16格式中,DIR緊接在第二FAT表之後,而在FAT32格式中,根目錄區的位置可以在分區中的任意位置,其起始位置是由引導扇區給出的。單有FAT表還不能確定文件在磁盤中的具體位置,只有FAT表和DIR區配合使用,才能準確定位文件的確切位置。
數據區(DATA) 在DIR區之後,才是真正意義上的數據存儲區,即DATA區。
DATA雖然佔據了硬盤的絕大部分空間,但沒有了前面的各部分,它對於我們來説,也只能是一些枯燥的二進制代碼,沒有任何意義。
OBR(OS Boot Record)即操作系統引導扇區,通常位於硬盤的0磁道1柱面1扇區(這是對於DOS來説的,對於那些以多重引導方式啓動的系統則位於相應的主分區/擴展分區的第一個扇區),是操作系統可直接訪問的第一個扇區,它也包括一個引導程序和一個被稱為BPB(BIOS Parameter Block)的本分區參數記錄表。文件分配表(FAT)
FAT(File Allocation Table)即文件分配表,是DOS/Win9x系統的文件尋址系統。為了防止意外損壞,FAT一般做兩個(也可以設置為一個),第二FAT為第一FAT的備份, FAT區緊接在OBR之後(對於FAT32格式,位置是從引導扇區開始的第32個扇區就是第一個FAT表的位置),其大小由這個分區的空間大小及文件分配單元的大小決定。
數據恢復技術案例
一、恢復重裝XP後的Ubuntu引導分區
windows xp崩潰了,於是重裝xp,把原來的Ubuntu引導分區表mbr給沖掉了,不過沒關係,修復一下mbr就可以了。 首先説一下mbr的作用:當我們啓動計算機時。計算機首先運行Power On Self Test(POST),即加電自檢。POST檢測系統的總內存以及其他硬件設備的現狀。如果計算機系統的BIOS(基礎輸入/輸出系統)是即插即用的,那麼計算機硬件設備將經過檢驗以及完成配置。計算機的基礎輸入/輸出系統(BIOS)定位計算機的引導設備,然後MBR(Master Boot Record-硬盤主導記錄)被加載並運行。如果用户僅安裝Windows98,則被自動引導到桌面。如果是WindowsXP/2000/2003,那麼則會將控制權交給NTLDR-系統加載器,調用Boot.ini,顯示多重選單文件。抹MBR就是抹硬盤引導記錄。
當我們重裝了windows以後,由於硬盤mbr被重寫,即把原來mbr中grub的信息清除了,那麼grub自然就不能啓動了,也就不能引導linux了,此時很多人可能就只能重裝linux了,但其實只需簡單的對mbr修復一下就可以了。
下面就説一下修復mbr的方法:
首先,把Ubuntu的安裝光盤放進去,然後啓動.正常進入安裝界面,打開終端:
1、輸入:sudo grub,於是變成
grub>
2、先找到你的ubuntu的啓動分區在哪(就是你的/boot目錄所在的分區)
輸入:find /boot/grub/stage1
我機器上回車之後顯示:(hd0,2) 這裏hd0是指第一個硬盤,2代表第3個分區,即Ubuntu根目錄所在分區(0代表第一個分區)。
3、輸入:grub>root (hd0,2)
4、輸入:grub>setup (hd0)
如果出現successed,就表示成功了。
5、輸入:grub>quit,然後重啓。
對於有多個硬盤的朋友,請但是注意一點,如果你的windows裝在第一塊磁盤,而linux裝在第二塊磁盤,而你的bios設置為從第一塊磁盤啓動,那麼在進行以上第3步的時候,一定要把參數設為你的第一塊磁盤。即要把grub裝入引導硬盤的mbr裏,當然,比較傻瓜的,你可以將grub裝入每塊硬盤的mbr,不信你試試看,肯定可以啓動,這只是一個先後次序問題
二、NTFS格式大硬盤數據恢復特殊案例
一塊80G邁拓金九硬盤,某天突然進不了分區,提示為“無法訪問X: 參數錯誤”。硬盤上為該公司為本市攝製和編輯的運動會視頻和音頻文件,攝錄磁帶中已清除,運動會也不可能再開一次。先前到某電腦公司去試過,結果沒能解決問題。廣告公司經理和我的一個朋友是朋友,知道此事後就轉來我處。
修復過程:該硬盤為只有一個NTFS分區的數據盤,先在DOS下用扇區編輯軟件查看LBA0--63扇區,結果發現分區表和63扇區都有錯誤,1—62扇區間有大量扇區被寫上不明代碼,87-102扇區不正常,先手工修復分區表,恢復63引導扇區,刪除1—62扇區間的代碼。87-102扇區之間暫不處理,到WINDOWS下檢查,結果還是出現同樣的提示,試用恢復軟件1,可以看到目錄結構,再試FINALDATE,這個軟件此時太不盡人意;用恢復軟件1選擇某目錄進行試恢復,結果28個試恢復文件只恢復2個,其餘的全部為0字節,恢復工作陷入困境。再次對79-102扇區進行分析,79扇區面目全非,被嚴重篡改破壞,80-86扇區被清空,87-102扇區的內容也不正常。經過一番苦思冥想,對某些扇區進行備份後做清除,備份被放到1-62扇區之間,以備不測時改回原樣。
再次在WINDOWS下用恢復軟件1進行恢復,讓其讀該盤約10秒鐘,停止掃描,看到的內容和前面提到的相同,試恢復一個文件夾,從恢復過程能看到這時恢復動作正常了,隨後對其餘的文件和文件夾進行恢復,近3個多小時後,63.9G資料全部恢復,文件中幾乎就AVI、WAV、PSD和其它格式的圖形文件,逐個打開完全正常。恢復工作順利結束,大功告成。
後來一個朋友説這個分區應該是2000格式化出來的,mft在分區的前面,很容易被破壞,象此案裏裏面87-102扇區裏大約有6個左右的用户文件/文件夾是恢復不出來的,但102~~以後的文件應該能完全恢復的。在ntfs裏面,一般90扇區以後的mft才是用户的文件信息,前面的是系統的一些元文件,對數據恢復影響不大的。
NTFS的結構確實比較複雜,正常情況下所有的操作MFT中有記錄。但是,那些扇區被使用,那些沒被使用,這些概念還是很有用的。
