硬盤數(shù)據(jù)恢復(fù)技術(shù)原理及其實(shí)現(xiàn)

《硬盤數(shù)據(jù)恢復(fù)技術(shù)原理及其實(shí)現(xiàn)》由會(huì)員分享，可在線閱讀，更多相關(guān)《硬盤數(shù)據(jù)恢復(fù)技術(shù)原理及其實(shí)現(xiàn)（8頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、硬盤數(shù)據(jù)恢復(fù)技術(shù)探討 金元兵 唐華靈 西南大學(xué)信息管理系，重慶 榮昌 402460 摘 要：數(shù)據(jù)恢復(fù)技術(shù)是保證計(jì)算機(jī)數(shù)據(jù)安全的重要技術(shù)，是當(dāng)前各行各業(yè)信息化關(guān)注的熱點(diǎn)問題。文章通過(guò)對(duì)硬盤的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)的分析，探討了硬盤數(shù)據(jù)恢復(fù)的基本技術(shù)，并結(jié)合實(shí)際軟件開發(fā)討論了數(shù)據(jù)恢復(fù)方法及其實(shí)現(xiàn)。 關(guān)鍵詞：數(shù)據(jù)恢復(fù)；刪除恢復(fù)；格式化恢復(fù)；Raw恢復(fù) the Analysis of Hard Disk Data Recovery Technology Jin Yuanbin Tang Hualing Department of the Information Manage

2、ment Southwest University, ChongQing RongChang 402460 Abstract: Data recovery, which is vital to keep safe to computer data. nowadays, business information is a hot issue. Through the analysis of the hard disk data storage structure, and the technology of data recovery, in conjunction with the di

3、scussion of the actual software development and data recovery methods to achieve. Key Word: Data recovery; Deleted recovery; Formated recovery; Raw recovery; 1 引言 隨著科學(xué)技術(shù)的迅猛發(fā)展，信息化已經(jīng)成為當(dāng)前各行各業(yè)關(guān)注的重點(diǎn)問題。而數(shù)據(jù)作為信息化管理的核心部分，其安全性已受到了人們?cè)絹?lái)越多的重視，如何能夠迅速而正確地恢復(fù)數(shù)據(jù)也就成了至關(guān)重要的問題。本文結(jié)合數(shù)據(jù)恢復(fù)軟件開發(fā)實(shí)例，討論數(shù)據(jù)恢復(fù)的方法實(shí)現(xiàn)。 2 數(shù)據(jù)恢復(fù)的分類

4、 從數(shù)據(jù)恢復(fù)方式來(lái)看，主要有軟件恢復(fù)方式、軟硬件結(jié)合恢復(fù)方式和深層信號(hào)還原方式三種。 軟件恢復(fù)方式主要是在硬盤還可以使用的情況下用數(shù)據(jù)恢復(fù)軟件恢復(fù)數(shù)據(jù)，這種恢復(fù)方式恢復(fù)成本低，但對(duì)于那些已經(jīng)壞掉的硬盤就顯得無(wú)能為力了。軟硬件結(jié)合方式則是先修復(fù)硬盤或開盤讀出盤片中的數(shù)據(jù)后再用軟件恢復(fù)數(shù)據(jù)，這種方式的數(shù)據(jù)恢復(fù)率是相當(dāng)驚人的，即使是位于物理壞道上面的數(shù)據(jù)，由于多種信息的缺失而無(wú)法找出準(zhǔn)確的數(shù)據(jù)值，也可以通過(guò)大量的運(yùn)算，在多種可能的數(shù)據(jù)值之間進(jìn)行逐一代入，結(jié)合其他相關(guān)扇區(qū)的數(shù)據(jù)信息，進(jìn)行邏輯合理性校驗(yàn)，從而找出邏輯上最符合的真值，但這種方式還是不能恢復(fù)被覆蓋了的數(shù)據(jù)。深層信號(hào)還原方式則通過(guò)分析盤片表

5、面的深層磁介質(zhì)狀態(tài)，通過(guò)使用不同波長(zhǎng)、不同強(qiáng)度的射線對(duì)這個(gè)晶體進(jìn)行照射，可以產(chǎn)生不同的反射、折射和衍射信號(hào)，然后通過(guò)分析各種反射、折射和衍射信號(hào)，就可以幫助我們“看到”在不同深度下這個(gè)磁介質(zhì)晶體的殘影。但由于這種方式現(xiàn)實(shí)技術(shù)復(fù)雜、恢復(fù)成本高，而且目前世界范圍內(nèi)也沒有幾個(gè)國(guó)家可以擁有這樣的技術(shù)，只有極少數(shù)規(guī)模龐大的計(jì)算機(jī)公司和不計(jì)成本的政府機(jī)關(guān)能擁有這樣級(jí)別的數(shù)據(jù)恢復(fù)設(shè)備。 3 硬盤的存儲(chǔ)結(jié)構(gòu) 圖1表示了硬盤的存儲(chǔ)結(jié)構(gòu)，包括MBR區(qū)、DBR區(qū)、FAT區(qū)、Dir區(qū)和數(shù)據(jù)區(qū)五個(gè)部分。 MBR區(qū) （0磁道0柱面1扇區(qū)） DBR區(qū) （0磁道1柱面1扇區(qū)） FAT區(qū) FAT1 FAT2

6、 Dir區(qū) 數(shù)據(jù)區(qū) 圖1 MBR（Main Boot Record）區(qū)位于整個(gè)硬盤的0磁道0柱面1扇區(qū)，共占512字節(jié)。它由 446字節(jié)的主引導(dǎo)程序，64字節(jié)的分區(qū)表記錄和2字節(jié)的結(jié)束標(biāo)記（“55AA”）組成。它的具體內(nèi)容由分區(qū)程序產(chǎn)生，不屬于任何一個(gè)操作系統(tǒng)，其主要作用是檢查分區(qū)表是否正確并讀出引導(dǎo)分區(qū)中的操作系統(tǒng)引導(dǎo)程序。它不能被操作系統(tǒng)直接訪問，一般通過(guò)Int 13或擴(kuò)展Int 13讀取數(shù)據(jù)。在DOS或Win9x下運(yùn)行Debug命令，然后依次輸入下面的代碼讀取MBR內(nèi)容： -a 匯編指令 XXXX:0100 mov ax, 2

7、01 ah為操作方式,2為讀,3為寫；al讀寫的扇區(qū)數(shù) XXXX:0103 mov bx, 400 bx為讀寫數(shù)據(jù)所在的內(nèi)存地址 XXXX:0106 mov cx, 1 高10位為柱面號(hào)，低6位為扇區(qū)號(hào) XXXX:0109 mov dx, 80 dh為磁頭號(hào)，dl為驅(qū)動(dòng)器號(hào) XXXX:010C int 13 調(diào)磁盤讀寫中斷 XXXX:010E int 3 斷點(diǎn)中斷 XXXX:010F -g=100 執(zhí)行上述匯編 -d 400

8、 顯示MBR內(nèi)容 DBR（DOS Boot Record）區(qū)位于0磁道1柱面1扇區(qū)，是操作系統(tǒng)可以直接訪問的第一個(gè)扇區(qū)，它包含引導(dǎo)程序和BPB(BIOS Parameter Block)。它由格式化程序產(chǎn)生，不同的分區(qū)格式的DBR有所不同。 FAT（File Allocation Table）區(qū)文件系統(tǒng)給文件分配空間的一張表，它的每一項(xiàng)都與磁盤的數(shù)據(jù)塊一一對(duì)應(yīng)。在FAT16中每項(xiàng)占用2字節(jié)，F(xiàn)AT32中每項(xiàng)占用4字節(jié)。因此在知道分區(qū)大小的情況下不難算出FAT的長(zhǎng)度。為了防止FAT意外損壞，系統(tǒng)特在FAT后面?zhèn)浞萘艘粋€(gè)一模一樣的FAT，當(dāng)?shù)谝粋€(gè)FAT遭破壞后可以將第

9、二個(gè)FAT恢復(fù)后繼續(xù)使用。FAT16分區(qū)的FAT長(zhǎng)度計(jì)算公式為： FAT扇區(qū)數(shù) = FAT32分區(qū)的FAT長(zhǎng)度計(jì)算公式為： FAT扇區(qū)數(shù) = 若結(jié)果不為整數(shù)時(shí)，則按進(jìn)一法取整。 下面為FAT16分區(qū)的計(jì)算例子： 由240975個(gè)扇區(qū)組成的FAT16分區(qū)中，保留扇區(qū)數(shù)為6，根目錄扇區(qū)數(shù)為32，每個(gè)簇4個(gè)扇區(qū)組成，求FAT至少應(yīng)該包含多少個(gè)扇區(qū)？ FAT = {[(240975 – 6 – 2 FAT – 32) / 4] 2 + 4} ≈ 234.839，取整為235，所以該分區(qū)的FAT表至少應(yīng)該由235個(gè)扇區(qū)組成。 Dir(Directory)區(qū)為文件目錄表，它與FA

10、T配合確定文件的具體位置。注意，在Dir區(qū)僅保存文名、長(zhǎng)度、起始位置、創(chuàng)建時(shí)間、修改日間和最后訪問日期。 數(shù)據(jù)區(qū)即文件真正存放的位置，保存著文件的詳細(xì)內(nèi)容。 4 數(shù)據(jù)恢復(fù)技術(shù) 4.1 刪除恢復(fù) 4.1.1 FAT分區(qū)文件恢復(fù) 在FAT分區(qū)中，當(dāng)我們刪除一個(gè)文件時(shí)僅僅修改了FAT區(qū)和Dir區(qū)的數(shù)據(jù)內(nèi)容。在這個(gè)過(guò)程中，系統(tǒng)將Dir區(qū)中對(duì)應(yīng)文件的第一個(gè)字節(jié)改為“E5H”，然后再將對(duì)應(yīng)的FAT記錄清零釋放使用空間，將對(duì)應(yīng)的區(qū)域標(biāo)記為未使用，而修改數(shù)據(jù)區(qū)的內(nèi)容。下面是對(duì)刪除Test.txt文件前和刪除文件后的對(duì)比分析圖: 圖2 刪除Test.txt文件前的資源管理器 圖3 刪除Te

11、st.txt文件后的資源管理器 圖4 刪除Test.txt文件前的FAT 圖5 刪除Test.txt文件后的FAT 圖6 刪除Test.txt文件前的Dir 圖7 刪除Test.txt文件后的Dir 圖8 刪除Test.txt文件前的數(shù)據(jù)區(qū) 圖9 刪除Test.txt文件前的數(shù)據(jù)區(qū) 因此，當(dāng)一個(gè)文件是連續(xù)存放的時(shí)，我們可以比較容易地恢復(fù)刪除的文件。但有時(shí)我們可能會(huì)修改某些文件內(nèi)容或者磁盤剩余空間不是很大的候時(shí)，都可能使文件零散存放，這時(shí)在恢復(fù)數(shù)據(jù)時(shí)就只能從多方面來(lái)判斷分析數(shù)據(jù)才能正確地恢復(fù)數(shù)據(jù)。 4.1.2 NTFS分區(qū)文件恢復(fù) NTFS分區(qū)與FA

12、T類似，只是在刪除文件時(shí)不是修改的FAT和Dir，而是修改的MFT和位圖記錄。刪除文件的過(guò)程中將對(duì)應(yīng)文件的MFT記錄中偏移16H的2字節(jié)改為0即代表該MFT記錄已經(jīng)被刪除，然后再將該MFT記錄在MFT位圖中所對(duì)應(yīng)的位清零，最后將文件所對(duì)應(yīng)的位圖清零就完成了文件的刪除操作。MFT記錄及數(shù)據(jù)流格式請(qǐng)參考 http://www.reddragonfly.org/ntfs。 MFT記錄的數(shù)據(jù)（80H）中詳細(xì)的記錄的文件各數(shù)據(jù)段的起始位置和長(zhǎng)度，可以方便的恢復(fù)數(shù)據(jù)，而不用像FAT那樣為文件不是連續(xù)存放擔(dān)心恢復(fù)效果。 4.2 格式化恢復(fù) 4.2.1 FAT分區(qū) 當(dāng)我們重新格式化磁盤時(shí)僅僅重寫了DB

13、R、FAT和根目錄區(qū)的數(shù)據(jù)，所以分區(qū)、格式化后仍然可以恢復(fù)磁盤中的數(shù)據(jù)。但由于分區(qū)被重新格式化后無(wú)法找到以前分區(qū)的根目錄入口，并且無(wú)法準(zhǔn)確知道以前分區(qū)的簇大小。因此格式化恢復(fù)的重難點(diǎn)在于確定簇大小和根目錄的位置。用過(guò)DOS系統(tǒng)的人都知道用Dir顯示子目錄內(nèi)容時(shí)會(huì)發(fā)現(xiàn)里面有“.”和“..”兩個(gè)目錄，其中“.”代表當(dāng)前目錄，“..”代表上一級(jí)目錄。下面我們先看一下FAT32中的FDT（File Directory Table）結(jié)構(gòu)，如圖10所示: 未 用 存 檔 子目錄 卷 標(biāo) 系 統(tǒng) 隱 含 讀 寫 7 6 5 4 3 2 1

14、 0 屬性 擴(kuò)展名 文件名 文件創(chuàng)建時(shí)間 未用 起始簇號(hào)的高16位 最近修改日期 最近訪問日期 文件長(zhǎng)度 文件創(chuàng)建日期 最近修改時(shí)間 起始簇號(hào)的低16位 圖 10 FAT32的FDT表項(xiàng)分析 在格式化恢復(fù)時(shí)，首先確定數(shù)據(jù)區(qū)的起始位置和簇大小，然后再搜索分區(qū)中的殘留目錄數(shù)據(jù)，最后恢復(fù)數(shù)據(jù)。確定數(shù)據(jù)區(qū)的起始位置的基本步驟是：逐一讀取分區(qū)中的扇區(qū)內(nèi)容，判斷扇區(qū)中的數(shù)據(jù)是不是子目錄數(shù)據(jù)，即判斷偏移0字節(jié)、32字節(jié)、33字節(jié)處是否為“.”（“2EH”）且是否為目錄。若是，則確定扇區(qū)所對(duì)應(yīng)的簇號(hào)，并計(jì)算簇大小，然后再根據(jù)“數(shù)據(jù)區(qū)起始扇區(qū)號(hào) = 當(dāng)前扇

15、區(qū)號(hào) – (當(dāng)前簇號(hào) – 2) 每簇扇區(qū)數(shù)”，公式減2是因?yàn)樵贔AT中前兩個(gè)簇號(hào)為保留簇號(hào)，未使用；否則繼續(xù)搜索下一個(gè)扇區(qū)。然后再繼續(xù)搜索子目錄數(shù)據(jù)，直到搜索完整個(gè)分區(qū)。 這種方式有的優(yōu)點(diǎn)是： ①實(shí)現(xiàn)簡(jiǎn)單，不需要掌握其體的文件格式； ②搜索速度較快。 缺點(diǎn)是： ①它只能找出每個(gè)目錄中第一個(gè)簇內(nèi)的FDT，當(dāng)一個(gè)目錄中的文件較多時(shí)無(wú)法找到存儲(chǔ)在后面的FDT； ②當(dāng)文件不是連續(xù)存放時(shí)恢復(fù)難度較大。 4.2.2 NTFS分區(qū) 恢復(fù)NTFS分區(qū)中的數(shù)據(jù)，主要通過(guò)查找分區(qū)中殘留的MFT記錄來(lái)恢復(fù)數(shù)據(jù)。仔細(xì)閱讀NTFS分區(qū)資料后會(huì)發(fā)現(xiàn)所有的文件描述信息都存儲(chǔ)在文件的MFT記錄中，其中包括文

16、件名，大小，起始位置，長(zhǎng)度，創(chuàng)建日期等信息；其次是每個(gè)MFT記錄頭都以“FILE”標(biāo)記開頭。因此恢復(fù)NTFS分區(qū)中的文件可以分為以下幾步： ①在分區(qū)中查找以“FILE”開頭的扇區(qū)； ②進(jìn)一步分析扇區(qū)中的內(nèi)容并判斷是否為真正的MFT記錄； ③按照MFT記錄格式解釋讀出的數(shù)據(jù)內(nèi)容； ④根據(jù)文件的大小和文件所占用的簇?cái)?shù)計(jì)算出以前分區(qū)的簇大??； ⑤恢復(fù)數(shù)據(jù)。 由于在MFT的數(shù)據(jù)流中詳細(xì)地記錄了文件的存儲(chǔ)位置，所以在NTFS分區(qū)中采用格式化恢復(fù)方式恢復(fù)數(shù)據(jù)的成功比FAT分區(qū)高得多。 4.3 Raw恢復(fù) 在恢復(fù)數(shù)據(jù)時(shí)，可能會(huì)遇到目錄結(jié)構(gòu)或MFT已經(jīng)完全破壞了的情況，而文件真正的數(shù)據(jù)內(nèi)容

17、并沒有被覆蓋，此時(shí)刪除恢復(fù)和格式化恢復(fù)方式就顯得無(wú)能為力了。 Raw恢復(fù)是一種文件搜索算法，使用這種方式將讀取分區(qū)中的所有扇區(qū)，從而搜索特定的文件頭標(biāo)記?；静襟E為：首先將從扇區(qū)中讀出的數(shù)據(jù)與數(shù)據(jù)庫(kù)中的數(shù)據(jù)比較，判斷是否為已知的文件格式；再根據(jù)文件頭和數(shù)據(jù)庫(kù)中的數(shù)據(jù)確定文件大?。蛔詈蠡謴?fù)連續(xù)區(qū)域內(nèi)的特定大小的數(shù)據(jù)； 采用這種恢復(fù)方式的優(yōu)點(diǎn)是恢復(fù)成功率高。 缺點(diǎn)有： ①查找文件速度慢，每讀出一個(gè)扇區(qū)數(shù)都要與數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行比較； ②實(shí)現(xiàn)難度大，需要程序員查閱大量的數(shù)據(jù)資料并了解各種類型文件的文件頭； ③由于文本文件是無(wú)格式文件，沒有文件頭，因此無(wú)法恢復(fù)純文本文件； ④由于這種方式是從文件頭開始處連續(xù)讀取指定大小的數(shù)據(jù)到特定文件中，所以無(wú)法正確恢復(fù)零散存放的文件。 5 結(jié)束語(yǔ) 本文雖然討論了Windows系統(tǒng)下各種數(shù)據(jù)恢復(fù)技術(shù)，但數(shù)據(jù)恢復(fù)畢竟只是數(shù)據(jù)丟失后的一個(gè)補(bǔ)救措施。我們應(yīng)該養(yǎng)成備份重要數(shù)據(jù)的良好習(xí)慣，特別是操作員應(yīng)該時(shí)刻備份數(shù)據(jù)，謹(jǐn)防數(shù)據(jù)丟失。 參考文獻(xiàn)： [1] 戴士劍,涂彥暉.數(shù)據(jù)恢復(fù)技術(shù)(第二版).北京電子工業(yè)出版社,2005 [2] [3] [4] http://www.reddragonfly.org/ntfs 7