公務(wù)員期刊網(wǎng) 精選范文 數(shù)據(jù)恢復(fù)范文

數(shù)據(jù)恢復(fù)精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的數(shù)據(jù)恢復(fù)主題范文,僅供參考,歡迎閱讀并收藏。

數(shù)據(jù)恢復(fù)

第1篇:數(shù)據(jù)恢復(fù)范文

如何保護(hù)自己的重要數(shù)據(jù)?說到這個(gè)問題,不能不提到一家公司――翰凱科技有限公司。事實(shí)上,翰凱科技有限公司并不為一般人所熟知,但數(shù)據(jù)恢復(fù)行業(yè)內(nèi)的人員卻很熟悉,這是因?yàn)楹矂P科技有限公司相當(dāng)于保險(xiǎn)業(yè)的再保險(xiǎn)公司,之前只為大客戶和業(yè)內(nèi)用戶提供技術(shù)支持服務(wù),并不為一般小客戶提供直接服務(wù)。而我作為該公司專家組組長(zhǎng),總是遇到大量的客戶數(shù)據(jù)被人為毀壞的實(shí)際情況,一方面為這個(gè)行業(yè)的部分從業(yè)人員缺乏職業(yè)道德而痛心,另一方面也為這些客戶數(shù)據(jù)無法恢復(fù)感到痛心。

在此再次強(qiáng)調(diào),一般情況下,客戶出現(xiàn)的數(shù)據(jù)丟失情況都是可以恢復(fù)的,只在極少數(shù)情況下,或故意破壞的數(shù)據(jù)才會(huì)無法恢復(fù)。因?yàn)槿魏螖?shù)據(jù)的破壞都有一個(gè)過程,一般不會(huì)一次性被破壞得無可救藥。但電子數(shù)據(jù)又是十分脆弱的,雖然恢復(fù)比較難,但破壞起來極為容易。一些不負(fù)責(zé)任的公司常常在自己不能恢復(fù)數(shù)據(jù)的情況下,對(duì)客戶的重要數(shù)據(jù)進(jìn)行破壞,如進(jìn)行覆蓋,或者用強(qiáng)磁對(duì)盤片進(jìn)行磁化等,還聲稱自己恢復(fù)不了,誰也恢復(fù)不了。目前,由于國(guó)家還沒有規(guī)范這方面的市場(chǎng),因此造成許多用戶啞巴吃黃連。

在此,強(qiáng)烈建議用戶平時(shí)要做好備份,保護(hù)好自己的數(shù)據(jù)。一塊備份磁盤并不需要多少投入,而一旦出現(xiàn)數(shù)據(jù)丟失,恢復(fù)起來卻很麻煩,如果情況不理想,還可能被破壞而無法恢復(fù),即使能夠恢復(fù),也費(fèi)時(shí)費(fèi)力費(fèi)錢。在這里介紹一下出現(xiàn)問題后的備份方法,用于解決一般的邏輯問題。如果硬件出現(xiàn)問題,如磁盤加電后出現(xiàn)不正常的聲音,請(qǐng)不要再加電嘗試,應(yīng)盡快找專業(yè)人員進(jìn)行處理。

邏輯問題是指,雖然在資源管理器中不能看到磁盤,但盤的聲音正常,在BIOS中能夠正常查看到磁盤參數(shù),或者在磁盤管理中能夠看到磁盤。

以Windows 2000 Professional為例,操作步驟如下:在“我的電腦”上點(diǎn)擊鼠標(biāo)右鍵,選擇“管理”,然后就會(huì)出現(xiàn)一個(gè)對(duì)話框,選擇“磁盤管理”。

只要我們?cè)凇按疟P管理”中能看到所要恢復(fù)數(shù)據(jù)的那塊硬盤,就表示硬盤本身沒有物理損壞,只是上面的數(shù)據(jù)出現(xiàn)了問題。下面,我們看看如何自己做一個(gè)真正的備份。

這次介紹的工具是WINHEX,它是真正懂?dāng)?shù)據(jù)恢復(fù)的工程師最愛使用的工具之一,網(wǎng)上可以找到各種版本。

因?yàn)槲覀冎皇怯盟鼇碜鰝浞荩虼瞬挥每紤]其他的因素,只需要點(diǎn)擊主介面即可。點(diǎn)擊后出現(xiàn)所示的對(duì)話框。

下面解釋一下各個(gè)選項(xiàng)?!癝ource:medium”就是制作鏡像的源,這里叫做克隆(Clone),是因?yàn)橐凑丈葏^(qū)進(jìn)行復(fù)制,而不是只復(fù)制看得見的文件,這樣才能夠?qū)⑿枰謴?fù)的數(shù)據(jù)保存下來,因?yàn)樾枰謴?fù)的數(shù)據(jù)存儲(chǔ)在磁盤上,而在操作系統(tǒng)下是看不到的。

下面的“Destination:raw image file”就是我們要復(fù)制的地方,也就是選擇把我們需要做備份的“源”存放在哪里。源和目標(biāo)既可以是磁盤介質(zhì)(medium),也可以是文件(raw image file)。所謂的文件,就是將磁盤的原始內(nèi)容保存為一個(gè)一模一樣的文件,可以直接對(duì)這個(gè)文件進(jìn)行操作,就像在操作磁盤一樣,也可以將這個(gè)文件的內(nèi)容再還原到磁盤上。

選擇做標(biāo)記的地方,用于選擇要復(fù)制的源盤。

這里我們選擇“Physucal Media”中的“HD1:IC35L040AVER07-0(38.3 GB,USB)”,也就是“磁盤1”。所謂的“Logical Drivers”和“Physucal Media”,分別指的是實(shí)際的物理磁盤和分區(qū)后在資源管理器中看到的邏輯盤符,也就是所謂的C、D、E、F之類的盤。

目標(biāo)我們選擇為文件。

一般選擇“Copy entire medium”,也就是克隆整個(gè)磁盤,選擇文件是防止選擇錯(cuò)誤將磁盤覆蓋了。當(dāng)然需要有足夠的空間來存儲(chǔ)這個(gè)文件。選擇“OK”,如果空間足夠,就可以開始進(jìn)行鏡像了,鏡像完成后,就可以放心大膽地找數(shù)據(jù)恢復(fù)公司了。

再解釋一下覆蓋的概念。最常見的就是GHOST系統(tǒng),或重裝系統(tǒng)造成了數(shù)據(jù)的部分覆蓋。

第2篇:數(shù)據(jù)恢復(fù)范文

關(guān)鍵詞:NTFS格式 主文件表 數(shù)據(jù)恢復(fù)

中圖分類號(hào):TP309.3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2013)07-0227-01

引言

在信息高速發(fā)展的當(dāng)代,計(jì)算機(jī)在大眾的工組生活中扮演的角色越來越重要,幾乎所有的企事業(yè)單位、商業(yè)組織、普通個(gè)人都使用計(jì)算來來輔助工作,獲取處理信息,同時(shí)也會(huì)將隨之產(chǎn)生的數(shù)據(jù)存儲(chǔ)在計(jì)算機(jī)硬盤中,一旦發(fā)生數(shù)據(jù)丟失,如何能夠?qū)?shù)據(jù)恢復(fù)是非常重要的,這就使得數(shù)據(jù)恢復(fù)技術(shù)成為一個(gè)不可或缺的關(guān)鍵技術(shù)。

當(dāng)前,微軟公司的Windows操作系統(tǒng)在計(jì)算中操作系統(tǒng)中占據(jù)了多數(shù)份額,其文件系統(tǒng)廣泛應(yīng)用的是NTFS文件系統(tǒng)。因此本文就針對(duì)NTFS文件系統(tǒng)下的數(shù)據(jù)恢復(fù)進(jìn)行分析。

1 NTFS文件系統(tǒng)的磁盤分析

簇是NTFS文件系統(tǒng)的基本分配單位,簇的大小是在對(duì)硬盤進(jìn)行格式化過程中由程序自動(dòng)分配的,NTFS文件系統(tǒng)通過邏輯簇號(hào)LCN和虛擬簇號(hào)VCN對(duì)簇進(jìn)行定位。LCN從0開始對(duì)卷中的所有簇順序編號(hào),VCN也是從0開始,負(fù)責(zé)對(duì)屬于具體文件的簇順序編號(hào),從而實(shí)現(xiàn)對(duì)文件數(shù)據(jù)的引用。

(1)NTFS分區(qū)由兩部分構(gòu)成,一是分區(qū)引導(dǎo)扇區(qū)和主文件表MFT,二是供文件存儲(chǔ)的區(qū)域,MFT占據(jù)了NTFS磁盤空間前12%位置,剩下的88%的區(qū)域才可以用來存儲(chǔ)文件。當(dāng)MFT分配的空間不夠使用時(shí),系統(tǒng)會(huì)繼續(xù)為其分配空間,但是不一定與開始12%的空間保持連續(xù)性。

(2)分區(qū)引導(dǎo)扇區(qū)是用來保存卷文件的結(jié)構(gòu)信息和引導(dǎo)程序的,其中包括三個(gè)重要參數(shù):起始簇號(hào)、每簇所占扇區(qū)數(shù)、每扇區(qū)字節(jié)數(shù)。

(3)主文件表MFT是由文件記錄組成,文件在磁盤上的存儲(chǔ)位置是通過MFT來確定的。MFT中從0開始對(duì)文件進(jìn)行編號(hào),前16分配給系統(tǒng)文件,這16個(gè)文件在MFT表中具有固定的地址,其他文件地址則由MFT隨機(jī)分配。為防止關(guān)鍵數(shù)據(jù)丟失,NTFS系統(tǒng)對(duì)MFT的前16個(gè)文件數(shù)據(jù)進(jìn)行了備份。

2 基于NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)原理

NTFS文件系統(tǒng)的管理模式是磁盤上所有的數(shù)據(jù)都是以文件的形式進(jìn)行存儲(chǔ),MFT記錄了每一個(gè)文件的存儲(chǔ)位置,每建立一個(gè)文件,MFT就增加一個(gè)文件記錄,此文件記錄并不隨著文件被刪了而被MFT刪除。在數(shù)據(jù)恢復(fù)時(shí)可以對(duì)文件記錄進(jìn)行分析,確認(rèn)其是否被刪除。

(1)分析MFT文件記錄,NTFS建立屬性/屬性值的集合來處理文件,能夠直接存在MFT中的屬性稱為常駐屬性;如果屬性太大,NTFS就會(huì)將其存儲(chǔ)在MFT之外的位置,這就是非常駐屬性。

(2)文件記錄起始位置,文件記錄從“FILE”開始,其字位為“46 49 4C 45”,標(biāo)志字節(jié)是自偏移0x16,刪除的文件為00H,正常的文件為01H,刪除的目錄為02H,正的目錄為03H表示;偏移0x2CH起的4個(gè)字節(jié)表示了文件號(hào)的低32位。

(3)分析文件名屬性,文件名屬性用于存儲(chǔ)文件名,類型為0x30是常駐屬性,數(shù)據(jù)恢復(fù)時(shí)必須獲取文件名。

(4)分析數(shù)據(jù)流屬性,其類型為0x80的常駐屬性,包含了其屬性常駐的標(biāo)識(shí)位、起始與結(jié)束VCN等方面內(nèi)容。如果數(shù)據(jù)值存儲(chǔ)在MFT中,可以直接在文件記錄中對(duì)數(shù)據(jù)操作;數(shù)據(jù)運(yùn)行列表中記錄了各數(shù)據(jù)塊的起始運(yùn)行LCN和以及所占用的簇?cái)?shù),從而可以通過定位對(duì)文件的數(shù)據(jù)進(jìn)行操作。

3 NTFS文件系統(tǒng)下數(shù)據(jù)恢復(fù)步驟

結(jié)合前文的研究,NTFS文件系統(tǒng)中,文件被錯(cuò)誤刪除,系統(tǒng)就會(huì)將文件記錄的標(biāo)志字修改為00/02H,而其它的屬性不做修改?;谝陨现R(shí)NTFS文件系統(tǒng)下數(shù)通過對(duì)主文件表MFT進(jìn)行掃描;確定被刪除文件的記錄并對(duì)其進(jìn)行分析,進(jìn)而得到文件的數(shù)據(jù)區(qū)。最后判斷文件數(shù)據(jù)區(qū)的完整性就可以選擇是否對(duì)已刪除文件進(jìn)行數(shù)據(jù)恢復(fù)。可將數(shù)據(jù)恢復(fù)的過程分為磁盤掃描和數(shù)據(jù)恢復(fù)兩個(gè)階段。

3.1 磁盤掃描

磁盤掃描的工作主要是通過分析MFT中的文件記錄,得到全部已刪除文件的文件記錄,重新建立起初始的目錄關(guān)系,便于數(shù)據(jù)恢復(fù)使用。磁盤掃描的具體步驟如下:(1)讀取要恢復(fù)數(shù)據(jù)磁盤引導(dǎo)扇區(qū)的BPB參數(shù);(2)找到NTFS格式分區(qū)中的MFT;(3)取得被刪除文件其文件記錄的存貯物理地址。

3.2 數(shù)據(jù)恢復(fù)

文件被刪除以后如果可以確定文件的數(shù)據(jù)區(qū)完整,未被新的數(shù)據(jù)覆蓋,那么此文件就可以完全恢復(fù);否則,一旦文件的數(shù)據(jù)區(qū)域被新的文件占用,那么這個(gè)文件就無法完全恢復(fù)。

數(shù)據(jù)恢復(fù)的具體步驟為:(1)在數(shù)組里面讀出要恢復(fù)的文件其物理存儲(chǔ)地址,同過對(duì)數(shù)據(jù)流屬性的分析,確認(rèn)其屬性是否常駐;(2)通過對(duì)元數(shù)據(jù)文件bitmap進(jìn)行分析進(jìn)而判斷文件數(shù)據(jù)區(qū)是否完整;(3)對(duì)被刪除文件進(jìn)行恢復(fù),如果能恢復(fù)完整的文件,則需要重新建立文件并按照逐一字位恢復(fù)的順序?qū)ζ溥M(jìn)行存儲(chǔ);如果不能恢復(fù)完整的數(shù)據(jù),則用戶就可根據(jù)自己的要求,有選擇性的對(duì)數(shù)據(jù)區(qū)域進(jìn)行還原。

4 實(shí)際檢驗(yàn)

按照前文的分析,筆者采用采用了當(dāng)下比較流行的數(shù)據(jù)恢復(fù)工具Recuva,進(jìn)行實(shí)際測(cè)試。結(jié)果證實(shí)了前文所分析的內(nèi)容,當(dāng)能從獲得準(zhǔn)確的MFT中文件存儲(chǔ)的記錄,并且未在被刪除文件數(shù)據(jù)區(qū)域內(nèi)存儲(chǔ)新文件時(shí)候,其恢復(fù)數(shù)據(jù)的完整性非常好,實(shí)際證明了與原數(shù)據(jù)的一致性,實(shí)驗(yàn)證明了前文所分析理論的正確性。

5 結(jié)語

本文同過分析了NTFS文件系統(tǒng)中MFT、文件記錄等內(nèi)容,找出文件被刪除后文件記錄的變化,進(jìn)而總結(jié)NTFS文件系統(tǒng)中數(shù)據(jù)恢復(fù)的操作方法及步驟,對(duì)今后需要進(jìn)行數(shù)據(jù)恢復(fù)工作的讀者提供了一定的理論支持。相信隨著數(shù)據(jù)恢復(fù)工具的不斷發(fā)展,數(shù)據(jù)恢復(fù)工作將越來越貼近于大眾。

第3篇:數(shù)據(jù)恢復(fù)范文

1、點(diǎn)擊打開360安全衛(wèi)士軟件;

2、點(diǎn)擊選擇功能大全選項(xiàng),選擇文件恢復(fù)功能;

3、點(diǎn)擊彈出來的頁面的右下角,添加小工具選項(xiàng);

4、打開360文件恢復(fù)功能,開始搜索;

5、在搜索框里輸入所要恢復(fù)的文件的名稱,點(diǎn)擊搜索;

第4篇:數(shù)據(jù)恢復(fù)范文

關(guān)鍵詞:關(guān)鍵詞:數(shù)據(jù)恢復(fù);丟失原因;恢復(fù)方式;技術(shù)層次;恢復(fù)案例;恢復(fù)技巧

中圖分類號(hào):TP274    文獻(xiàn)標(biāo)識(shí)碼:A    文章編號(hào):

    1. 研究現(xiàn)狀

   計(jì)算機(jī)的數(shù)據(jù)恢復(fù)涉及軟件恢復(fù)、硬件恢復(fù)、數(shù)據(jù)庫恢復(fù)等方面的技術(shù)。目前國(guó)內(nèi)在軟恢復(fù)方面研究的較深,但與國(guó)外專業(yè)公司相比,仍然有一定的差距。而數(shù)據(jù)的硬件恢復(fù)、數(shù)據(jù)庫和異形系統(tǒng)方面,美國(guó)和俄羅斯研究理論較深,這是因?yàn)橹饕夹g(shù)都掌握在西方國(guó)家。目前對(duì)數(shù)據(jù)覆蓋的恢復(fù)技術(shù),美國(guó)研究較為深入,美國(guó)軍方可以對(duì)覆蓋6~9次的數(shù)據(jù)進(jìn)行恢復(fù),俄羅斯可以對(duì)覆蓋3~4次的數(shù)據(jù)進(jìn)行恢復(fù),IBM公司耗資6億美元的研究成果是可以恢復(fù)覆蓋2~3次的數(shù)據(jù)。

    早在上個(gè)世紀(jì)八十年代,國(guó)外就開始了對(duì)數(shù)據(jù)恢復(fù)的研究,比我國(guó)早了二十多年,所以無論從理論上還是技術(shù)上,他們都占有很大的優(yōu)勢(shì)。國(guó)外在數(shù)據(jù)恢復(fù)領(lǐng)域的最新進(jìn)展,其不僅將數(shù)據(jù)安全的問題考慮在內(nèi),更是將數(shù)據(jù)加密技術(shù)、數(shù)據(jù)安全保障技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)三者結(jié)合起來形成一個(gè)數(shù)據(jù)安全保護(hù)體系,這也是數(shù)據(jù)安全領(lǐng)域的一個(gè)重要發(fā)展趨勢(shì)。

    我國(guó)在數(shù)據(jù)恢復(fù)領(lǐng)域從無到有,雖發(fā)展迅猛,但畢竟起步較晚,許多理論雖然還不太完善,但在數(shù)據(jù)恢復(fù)技術(shù)的標(biāo)準(zhǔn)制定上,我國(guó)也制定一些標(biāo)準(zhǔn),并對(duì)一些具體的數(shù)據(jù)丟失問題提出了針對(duì)性的解決辦法,基本涵蓋了數(shù)據(jù)恢復(fù)技術(shù)的操作規(guī)范與適用標(biāo)準(zhǔn)。因此,可以說我國(guó)盡管在數(shù)據(jù)恢復(fù)領(lǐng)域落后西方國(guó)家,但我國(guó)無論是在科研投入上還是在成果產(chǎn)出上在近幾年都取得了可喜的成績(jī),也從另一個(gè)方面印證了數(shù)據(jù)安全、數(shù)據(jù)恢復(fù)領(lǐng)域的重要價(jià)值與商業(yè)潛能。

    2. 數(shù)據(jù)恢復(fù)技術(shù)的分析

    2.1 數(shù)據(jù)恢復(fù)的概念

    所謂數(shù)據(jù)恢復(fù)技術(shù),簡(jiǎn)單的說就是通過各種手段把丟失和遭到破壞的數(shù)據(jù)還原為正常數(shù)據(jù),也就是恢復(fù)至它的本來面目。數(shù)據(jù)恢復(fù)恢復(fù)過程主要是將保存在存儲(chǔ)介質(zhì)上的數(shù)據(jù)重新拼接整理,即使數(shù)據(jù)被誤刪或者磁盤驅(qū)動(dòng)器出現(xiàn)故障,只要在存儲(chǔ)介質(zhì)的存儲(chǔ)區(qū)域沒有嚴(yán)重受損的情況下,還是可以通過數(shù)據(jù)恢復(fù)技術(shù)將數(shù)據(jù)完好無損的恢復(fù)出來。數(shù)據(jù)恢復(fù)不僅對(duì)已經(jīng)丟失文件進(jìn)行恢復(fù),還可以恢復(fù)物理損傷的磁盤數(shù)據(jù),也可以恢復(fù)不同操作系統(tǒng)的數(shù)據(jù)。

    2.2 數(shù)據(jù)的丟失原因

    造成數(shù)據(jù)丟失原因比較多,主要惡意程序、惡意破壞、誤操作、操作系統(tǒng)應(yīng)用軟件錯(cuò)誤、硬件失效、加密和權(quán)限、掉電、內(nèi)存溢出和升級(jí)等9個(gè)方面錯(cuò)誤。

    2.3 數(shù)據(jù)恢復(fù)方式

    數(shù)據(jù)恢復(fù)是指通過技術(shù)手段,將保存在存儲(chǔ)介質(zhì)等設(shè)備上損壞或丟失的電子數(shù)據(jù)進(jìn)行搶救和恢復(fù)的技術(shù)。由于國(guó)外的較早,所以已經(jīng)形成了較為完整數(shù)據(jù)恢復(fù)體系。根據(jù)恢復(fù)的方式可以將數(shù)據(jù)恢復(fù)分為硬恢復(fù)(硬件問題)、軟恢復(fù)(文件系統(tǒng)問題)、大型數(shù)據(jù)庫系統(tǒng)、異型系統(tǒng)數(shù)據(jù)恢復(fù)、數(shù)據(jù)覆蓋后數(shù)據(jù)恢復(fù)五類。具體如圖1.1所示。

 

    A、硬恢復(fù)。它是指的是由于硬件故障所造成的數(shù)據(jù)丟失,如磁盤電路板損壞、盤體壞、磁道壞、磁盤片損壞、磁盤內(nèi)部系統(tǒng)區(qū)嚴(yán)重?fù)p壞等,這種情況下,幾乎都會(huì)出現(xiàn)系統(tǒng)不認(rèn)盤或認(rèn)盤困難等癥狀?;謴?fù)起來難度較大,若是內(nèi)部盤片數(shù)據(jù)區(qū)嚴(yán)重劃傷,那么會(huì)造成數(shù)據(jù)徹底丟失,而無法恢復(fù)。稍有常識(shí)的用戶,在出現(xiàn)這種情況(如移動(dòng)磁盤跌落)后,不會(huì)反復(fù)加電嘗試,也就不會(huì)人為的造成大面積的劃傷,因此,這種情況一般還是能夠恢復(fù)大部分?jǐn)?shù)據(jù)的。

   B、軟恢復(fù)。指的是存儲(chǔ)、操作、文件等系統(tǒng)層次上數(shù)據(jù)的丟失,這種丟失是多方面的,例如系統(tǒng)軟硬件故障、死機(jī)、病毒破壞、黑客攻擊、木馬破壞、誤操作、陣列數(shù)據(jù)丟失等;對(duì)于一般文件系統(tǒng)來說,這方面的研究工作起步較早,國(guó)內(nèi)外研究的都比較深。這方面的主要難點(diǎn)是:文件碎片的恢復(fù)、文檔修復(fù)及密碼恢復(fù)。

    軟件恢復(fù)可分為系統(tǒng)級(jí)恢復(fù)與文件級(jí)恢復(fù)。系統(tǒng)級(jí)恢復(fù)就是操作系統(tǒng)不能啟動(dòng)時(shí),利用各種修復(fù)軟件對(duì)系統(tǒng)進(jìn)行修復(fù),使其正常工作,從而恢復(fù)數(shù)據(jù)。文件級(jí)恢復(fù),就只是指存儲(chǔ)介質(zhì)上的某個(gè)應(yīng)用文件損壞,如OFFICE文件損壞,用修復(fù)軟件對(duì)其修復(fù),恢復(fù)文件的數(shù)據(jù)。

    C、大型數(shù)據(jù)庫系統(tǒng)恢復(fù)。大型數(shù)據(jù)庫系統(tǒng)往往存儲(chǔ)著一些非常重要的數(shù)據(jù)。組成復(fù)雜,一般都會(huì)有較完善的保護(hù)措施,所以一般不會(huì)出現(xiàn)問題,但只要出現(xiàn)問題,基本上都是很難處理的問題,恢復(fù)的難度比較大。

    D、異型操作系統(tǒng)的數(shù)據(jù)恢復(fù)。指的是不常用的、比較少見的操作系統(tǒng)下的數(shù)據(jù)恢復(fù),如MAC、OS2、嵌入式系統(tǒng)、手持系統(tǒng)、實(shí)時(shí)系統(tǒng)等。

    E、數(shù)據(jù)被覆蓋恢復(fù)。數(shù)據(jù)被覆蓋后,恢復(fù)難度非常大,這與其他四類數(shù)據(jù)恢復(fù)有著質(zhì)的區(qū)別,目前只有磁盤廠商及少數(shù)幾個(gè)國(guó)家的特殊部門能夠做到,它的應(yīng)用一般都與國(guó)家安全有關(guān)。

    3. 數(shù)據(jù)恢復(fù)的技術(shù)層次

    按照技術(shù)研發(fā)的難易程度與開發(fā)層次分類,數(shù)據(jù)恢復(fù)技術(shù)可以分為如下四個(gè)層次。

    3.1 軟件恢復(fù)與簡(jiǎn)單硬件替代

    這種數(shù)據(jù)恢復(fù)技術(shù)就是使用網(wǎng)上能夠找到的數(shù)據(jù)恢復(fù)軟件,例如Easy recovery、Recover、Lost&Found、FinalData、Disk ReCover等等,使用這類工具可以對(duì)多丟失的數(shù)據(jù)進(jìn)行恢復(fù)??梢曰謴?fù)誤刪除、錯(cuò)誤格式化,分區(qū)表損壞,同時(shí)這類丟失數(shù)據(jù)以后 磁盤又沒有用其他數(shù)據(jù)覆蓋的數(shù)據(jù),這些軟件對(duì)這樣的數(shù)據(jù)的恢復(fù)的成功率達(dá)90%以上。這種簡(jiǎn)易數(shù)據(jù)恢復(fù)前提是在計(jì)算機(jī)的BIOS中能夠識(shí)別磁盤。

   3.2 專業(yè)數(shù)據(jù)恢復(fù)工具恢復(fù)數(shù)據(jù)

    目前很多公司都在開發(fā)專業(yè)數(shù)據(jù)恢復(fù)工具對(duì)數(shù)據(jù)進(jìn)行恢復(fù),最流行的數(shù)據(jù)恢復(fù)工具有俄羅斯著名磁盤實(shí)驗(yàn)室ACE Laboratoy研究所開發(fā)的商用的專業(yè)修復(fù)磁盤綜合工具PC3000、HIT2.0、數(shù)據(jù)恢復(fù)機(jī)Hardware Info、HIE200等等,PC3000和HRT2.0可以對(duì)磁盤壞扇區(qū)進(jìn)行修復(fù),可以更改磁盤的固件程序。HIE200可以對(duì)磁盤數(shù)據(jù)進(jìn)行硬拷貝。這些工具的特點(diǎn)都用硬件加密,如果使用必需進(jìn)行購買。目前市場(chǎng)上擁有這些工具的數(shù)據(jù)恢復(fù)中心寥寥無幾。

    3.3 軟硬件結(jié)合數(shù)據(jù)恢復(fù)

    用數(shù)據(jù)恢復(fù)的專門設(shè)備對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。用這種方法恢復(fù)數(shù)據(jù),關(guān)鍵在于恢復(fù)用的儀器設(shè)備。這些設(shè)備都需要放置在超凈無塵工作間里面,而且這些設(shè)備內(nèi)部的工作臺(tái)也是級(jí)別非常高的超凈空間。這些設(shè)備的恢復(fù)原理也是大同小異,都是把磁盤拆開,把磁碟放進(jìn)機(jī)器的超凈工作臺(tái)上,然后用激光束對(duì)盤片表面進(jìn)行掃描,因?yàn)楸P面上的磁信號(hào)其實(shí)是數(shù)字信號(hào)(0和1),所以相應(yīng)地,反映到激光束發(fā)射的信號(hào)上也是不同的。這些儀器就是通過這樣的掃描,一絲不漏地把整個(gè)磁盤的原始信號(hào)記錄在儀器附帶的電腦里面,然后再通過專門的軟件分析來進(jìn)行數(shù)據(jù)恢復(fù)。可以說,這種設(shè)備的數(shù)據(jù)恢復(fù)率是相當(dāng)驚人的,即使是位于物理壞道上面的數(shù)據(jù),由于多種信息的缺失而無法找出準(zhǔn)確的數(shù)據(jù)值,也可以通過大量的運(yùn)算,在多種可能的數(shù)據(jù)值之間進(jìn)行逐一代入,結(jié)合其他相關(guān)扇區(qū)的數(shù)據(jù)信息,進(jìn)行邏輯合理性校驗(yàn),從而找出邏輯上最符合的真值。也可以采用變通的辦法,就是在百級(jí)的超凈實(shí)驗(yàn)室內(nèi)對(duì)于盤腔損壞的磁盤,在此超凈實(shí)驗(yàn)室中開盤,取下盤片,安裝到同型號(hào)的好磁盤上,同樣可達(dá)到數(shù)據(jù)恢復(fù)的目的。

   3.4 深層信號(hào)還原法

    上面分析的數(shù)據(jù)恢復(fù)都有一個(gè)前提,就是數(shù)據(jù)沒有被覆蓋。對(duì)于已經(jīng)被覆蓋的數(shù)據(jù)、完全低格、全盤清零、強(qiáng)磁場(chǎng)破壞的磁盤,仍然有終極的數(shù)據(jù)恢復(fù)方式,這種數(shù)據(jù)恢復(fù)方法叫,“深層信號(hào)還原"。

    從磁盤磁頭的角度來看,把數(shù)據(jù)拷貝到原來沒有數(shù)據(jù)的新盤和拷貝進(jìn)有數(shù)據(jù)的舊盤,是沒有分別的,因?yàn)檫@時(shí)候磁頭所讀取到的數(shù)字信號(hào)都是一樣的。但是對(duì)于磁介質(zhì)晶體來說,情況就有點(diǎn)不一樣了,以前的數(shù)據(jù)雖然被覆蓋了,但在介質(zhì)的深層,仍然會(huì)留著原有數(shù)據(jù)的“殘影",通過使用不同波長(zhǎng)、不同強(qiáng)度的射線對(duì)這個(gè)晶體進(jìn)行照射,可以產(chǎn)生不同的反射、折射和衍射信號(hào),這就是說,用這些設(shè)備發(fā)出不同的射線去照射磁盤盤面,然后通過分析各種反射、折射和衍射信號(hào),就可以幫助“看到”在不同深度下這個(gè)磁介質(zhì)晶體的殘影。根據(jù)目前的資料,大概可以觀察到4-5層,也就是說,即使一個(gè)數(shù)據(jù)被不同的其他數(shù)據(jù)重復(fù)覆蓋四次,仍然有被“深層信號(hào)還原”設(shè)備讀出來的可能性。當(dāng)然,這樣的操作成本無疑是非常高的,也只能用在國(guó)家安全級(jí)別的用途上,目前世界范圍內(nèi)也沒有幾個(gè)國(guó)家可以擁有這樣的技術(shù),只有極少數(shù)規(guī)模龐大的計(jì)算機(jī)公司和不計(jì)成本的政府機(jī)關(guān)能擁有這樣級(jí)別的數(shù)據(jù)恢復(fù)設(shè)備而且這樣的設(shè)備。

    除了以上這些數(shù)據(jù)恢復(fù)的方式外,數(shù)據(jù)恢復(fù)的難易程度還與設(shè)備和操作系統(tǒng)有關(guān)。單機(jī)的磁盤和WINDOWS操作系統(tǒng)的數(shù)據(jù)恢復(fù)相對(duì)簡(jiǎn)單。而服務(wù)器的磁盤陣列和UNⅨ等網(wǎng)絡(luò)操作系統(tǒng)的數(shù)據(jù)恢復(fù)就比較復(fù)雜,因而數(shù)據(jù)恢復(fù)的收費(fèi)比單機(jī)高得多。

    4. 數(shù)據(jù)恢復(fù)案例實(shí)踐

    目前數(shù)據(jù)恢復(fù)所用的常用軟件有R-Studio、Winhex、Easyrecovery等,正常的格式化、誤刪除、無格式等原因?qū)е碌臄?shù)據(jù)丟失情況,可通過以上幾款主流數(shù)據(jù)恢復(fù)軟件進(jìn)行邏輯恢復(fù);常用的硬件檢測(cè)、恢復(fù)工具有MHDD、PC-3000、PC-3000 Flash等,其主要針對(duì)存儲(chǔ)介質(zhì)的固件損壞、核心損壞、閃存電路板損壞等情況可進(jìn)行快捷的恢復(fù)操作。

    4.1 U盤提示格式化修復(fù)恢復(fù)實(shí)驗(yàn)

    眾所周知,目前市場(chǎng)及網(wǎng)絡(luò)上銷售的U盤等移動(dòng)存儲(chǔ)介質(zhì)的規(guī)格質(zhì)量參差不齊。在我們對(duì)U盤的日常使用中,會(huì)經(jīng)常遇到在將U盤連接到電腦上,系統(tǒng)會(huì)提示“您的U盤需要格式化”、U盤無法正常訪問的情況。

   此次實(shí)驗(yàn)就是針對(duì)U盤提示格式化的情況,來實(shí)現(xiàn)U盤中數(shù)據(jù)的恢復(fù)。對(duì)于硬盤分區(qū)打開提示格式化也一樣用。

    步驟:先把你的U盤插入數(shù)據(jù)恢復(fù)一體機(jī),進(jìn)入恢復(fù)模式后,首先可以看到U盤的信息在第一個(gè)盤符。通過掃描,首先可以看到U盤的信息在第一個(gè)盤符。

 

    選定U盤盤符,點(diǎn)紅色標(biāo)記處開始鏡像,做鏡像是為了掃描的快些(如果是硬盤可以不做鏡像)。

 

    掃描打開鏡像文件。

 

    成功打開鏡像文件;

 

    選擇鏡像文件的盤符,選擇開始掃描;這是彈出來個(gè)對(duì)話框,可以設(shè)置你要掃描的扇區(qū)起始范圍,文件系統(tǒng)類型。

 

    顯示掃描結(jié)果;

 

    雙擊打開綠色表示的鏡像文件;展開鏡像文件的目錄結(jié)果;

 

    列出此分區(qū)存在的所有已刪除和丟失的文件,通過復(fù)選框選擇所需要恢復(fù)的文件;

 

    點(diǎn)擊恢復(fù)所有標(biāo)記文件或所有文件,會(huì)彈出來個(gè)對(duì)話框,選擇需要恢復(fù)文件的保存位置(注意:不要保存在原盤)。如果需要讓你更名的文件,你可以選擇跳過所有。

 

    打開之前定義的存儲(chǔ)位置,可見,數(shù)據(jù)已經(jīng)成功恢復(fù)了。

 

    確認(rèn)數(shù)據(jù)恢復(fù)成功后,方可將U盤正確格式化、初始化。

    4.2 數(shù)據(jù)邏輯銷毀實(shí)驗(yàn)

    在日常生活中,我們都會(huì)有捐贈(zèng)物品的時(shí)候。比如說老電腦因?yàn)榕渲貌粷M足自己的需要,而轉(zhuǎn)贈(zèng)給了自己親朋好友,或者有人直接捐給了希望工程。在給別人的時(shí)候,存儲(chǔ)在硬盤中的信息多多少少都有一些私密文件,我們通常用刪除或者格式化的操作來清理,但就因?yàn)檫@樣不經(jīng)意的時(shí)候,我們隱私數(shù)據(jù)又被別人恢復(fù)回來了,那么如何才能更安全的來銷毀我們自己隱私的數(shù)據(jù)呢?下面我就來談一談,怎樣用Winhex安全清除硬盤上的數(shù)據(jù)(防止數(shù)據(jù)泄密)。

    步驟:首先打開要清除的對(duì)象硬盤,Ctrl+A或者點(diǎn)擊Winhex菜單欄“Edit”/“Select All”。

 

    然后,Ctrl+L或者Winhex菜單欄”Edit”/”Fill Block”。

 

    按照上圖的指示,下一步會(huì)彈出以下窗口。

 

    默認(rèn)要填充的數(shù)據(jù)是”00”,也可以自己定義,或者讓W(xué)inhex隨機(jī)填充,最好使用默認(rèn)的”00”,然后點(diǎn)擊”O(jiān)K”按鈕,Winhex就開始對(duì)選擇硬盤進(jìn)行數(shù)據(jù)填充了,填充過程是個(gè)漫長(zhǎng)的過程,填充完畢后,關(guān)閉軟件,數(shù)據(jù)安全填充就完成了。

    4.3 Victoria-MHDD圖形界面版硬盤檢測(cè)案例

    Victoria具有Windows下的MHDD美稱,眾所周知,MHDD是檢測(cè)硬盤的軟件工具,由于此軟件是 運(yùn)行在DOS環(huán)境下,使用起來,比較麻煩和困難,而Victoria彌補(bǔ)了這個(gè)缺點(diǎn)和不足,即擁有MHDD的大部分的功能,同時(shí)還能運(yùn)行在Windows界面下,操作起來極其方便和簡(jiǎn)單。

 

    Victoria主要的功能是檢查硬盤,具體來說,就是檢測(cè)硬盤是否存在壞道,更為重要的是Vicatoria還具備修復(fù)壞道的功能。點(diǎn)擊Victoria軟件的標(biāo)簽按鈕”標(biāo)準(zhǔn)”,在右上邊的面板中顯示的就是能識(shí)別到的所有硬盤。

 

    選中你要檢測(cè)的硬盤,點(diǎn)擊”硬盤信息”按鈕,你就可以看到此硬盤的具體信息。

 

   檢測(cè)硬盤是否有壞道,需要切換到標(biāo)簽”測(cè)試”下。

 

    接下來點(diǎn)擊”開始”按鈕,進(jìn)行測(cè)試,在右邊的面板中,有四個(gè)單選按鈕,默認(rèn)選擇”忽略”。

    硬盤檢測(cè)完成,會(huì)出現(xiàn)如下結(jié)果樣式。

 

    簡(jiǎn)單解釋一下,右邊硬盤狀態(tài)7個(gè)顏色塊表示的意義,如下圖所示:

 

硬盤檢測(cè)最終結(jié)果會(huì)顯示在軟件下邊的狀態(tài)面板中,更為詳細(xì)的信息會(huì)記錄在Victoria軟件安裝目錄下的LOGS目錄下的eventlog.txt文件中。

 

 

    以上就是Victoria硬盤檢測(cè)軟件的基本使用辦法。

    5. 數(shù)據(jù)恢復(fù)的操作技巧

    5.1 恢復(fù)過程中的掃描技巧。一般來說,誤刪除文件會(huì)馬上發(fā)現(xiàn)自己的誤操作,所以剛刪除的文件在磁盤文件分配表處于較靠前的位置,可以利用這一點(diǎn),加快恢復(fù)的速度。如您使用Easy Recover,在選定了目標(biāo)分區(qū)后,只要掃描5%左右的目錄樹,就可終止掃描,然后進(jìn)入下一步,這樣一般都能找到。這種方式比完全掃描后再找恢復(fù)文件要容易,若您掃描所有文件,可能會(huì)有數(shù)萬個(gè)甚至10多萬個(gè)已經(jīng)刪除的列表,此時(shí)您要找自己想恢復(fù)的目標(biāo)就較困難了,因?yàn)樵谀臋C(jī)器里,不同時(shí)期可能產(chǎn)生過同一個(gè)文件名的幾個(gè)文件,為了防止混亂,恢復(fù)軟件一般會(huì)把這些類似的文件標(biāo)記為數(shù)字開頭編號(hào)結(jié)尾的文件,您無法按首字母來找,要靠眼睛一個(gè)個(gè)識(shí)別,太多的選擇會(huì)讓您眼花繚亂。可以在終止掃描時(shí),選擇保存當(dāng)前掃描進(jìn)度,如果5%的數(shù)量沒找到您的目標(biāo),可以按此進(jìn)度繼續(xù)掃描,不必從頭開始一次。注意這個(gè)保存操作也不要放到目標(biāo)分區(qū)里,要另外指定路徑存盤。DOS時(shí)代的UNDELETE軟件,只能處理FAT的格式,而且對(duì)于長(zhǎng)文件名結(jié)構(gòu)無能為力。

    5.2 如辦公軟件WORD字處理軟件,除了用恢復(fù)工具,還能進(jìn)入其安裝目錄,找到隱藏的臨時(shí)文件直接恢復(fù)。因?yàn)檫@類軟件都會(huì)對(duì)您當(dāng)前操作的文件生成一個(gè)備份文件,而且不自動(dòng)刪除,所以您可以在DOS狀態(tài)下,在目標(biāo)目錄鍵入ATTRIB*.*-h消除臨時(shí)文件的隱藏狀態(tài),然后把后綴名改為*.DOC,就可能已經(jīng)成功恢復(fù)了。當(dāng)然,得到的臨時(shí)文件可能會(huì)有10多個(gè),名字也是多樣的,您可嘗試逐個(gè)打開并找到有效的一個(gè)。

    5.3 對(duì)于NTFS的格式,切記不要急于重裝系統(tǒng) 。若你使用的是NTFS格式,但Windows運(yùn)行出了問題。即使分區(qū)表沒有損壞,還能看到該分區(qū),也不要急忙重裝系統(tǒng)。因?yàn)镹TFS是有權(quán)限加密的,而且在一個(gè)操作系統(tǒng)下,密鑰是唯一的,若您重裝了系統(tǒng),即便是同一個(gè)版本,也有可能讀不出NTFS加密的文件夾。低級(jí)格式化更是不要輕易嘗試。

    5.4 對(duì)于誤格式化了分區(qū),有條件的話,最好先用Ghost備份鏡像全盤到另外一個(gè)硬盤,再嘗試各種工具進(jìn)行恢復(fù)操作。

    通過以上幾個(gè)實(shí)踐案例及總結(jié)的一些技巧,已經(jīng)可以簡(jiǎn)單感受到數(shù)據(jù)恢復(fù)軟件工具的使用情況。雖然過程簡(jiǎn)要,但是要真正了解、熟悉數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)恢復(fù)方法,仍需通過長(zhǎng)期的理論探究、實(shí)踐及應(yīng)用過程。

第5篇:數(shù)據(jù)恢復(fù)范文

要】由于互聯(lián)網(wǎng)的普及,計(jì)算機(jī)在使用時(shí)會(huì)接觸到許多“陷阱”。用戶儲(chǔ)存在計(jì)算機(jī)內(nèi)的數(shù)據(jù)的威脅也成倍增加。因此,了解數(shù)據(jù)的安全,數(shù)據(jù)的恢復(fù)技術(shù)變得越來越重要。本文詳細(xì)介紹數(shù)據(jù)恢復(fù)的的基本概念和原理,以及一些數(shù)據(jù)恢復(fù)的方法。

【關(guān)鍵詞】計(jì)算機(jī)硬盤;數(shù)據(jù)恢復(fù);硬盤的存儲(chǔ)結(jié)構(gòu)

1、引言

隨著計(jì)算機(jī)在各個(gè)領(lǐng)域和行業(yè)中的普及和應(yīng)用,計(jì)算機(jī)的使用越來越頻繁,信息數(shù)據(jù)量也成倍的增長(zhǎng)。由于各種原因,導(dǎo)致計(jì)算機(jī)硬件不能正常工作,從而造成數(shù)據(jù)丟失的事件也越來越多。數(shù)據(jù)的意外丟失令當(dāng)事人,特別是規(guī)模較大的公司,研究機(jī)構(gòu),政府部門和其他企業(yè)造成巨大的經(jīng)濟(jì)損失,筆者就以上問題進(jìn)行如下闡述。

2、數(shù)據(jù)恢復(fù)

目前,“數(shù)據(jù)恢復(fù)”作為挽救數(shù)據(jù)的有效方法和手段越來越受到業(yè)界的重視。

數(shù)據(jù)恢復(fù)是指用相應(yīng)的各種技術(shù)方法把計(jì)算機(jī)存儲(chǔ)介質(zhì)(硬盤、軟盤等)上損壞的數(shù)據(jù)重新找回,使其得以再用。我們所討論的數(shù)據(jù)的恢復(fù)是基于硬盤這種最通用的存儲(chǔ)介質(zhì)的。

假若硬盤因?yàn)榇蓬^缺損、電機(jī)故障、盤片劃傷等原因?qū)е虏荒苷9ぷ?,這種純物理故障只有將硬盤交給專業(yè)人員進(jìn)行開盤操作了。由于維修環(huán)境和條件相當(dāng)苛刻、數(shù)據(jù)修復(fù)相關(guān)技術(shù)難度很大,不具通用性。

對(duì)于軟件故障導(dǎo)致的數(shù)據(jù)災(zāi)難的數(shù)據(jù)恢復(fù),首先,有一個(gè)前提要強(qiáng)調(diào)一下,那就是計(jì)算機(jī)里數(shù)據(jù)的存取特征:數(shù)據(jù)取出時(shí)的復(fù)制性,數(shù)據(jù)存儲(chǔ)時(shí)的覆蓋性。通俗地說,數(shù)據(jù)在從存儲(chǔ)單元里取出時(shí)取出的是副本,是“復(fù)印件”;而數(shù)據(jù)在寫入存儲(chǔ)單元時(shí)會(huì)取代存儲(chǔ)單元里原有的數(shù)據(jù)。因此,如果硬盤中的原有數(shù)據(jù)被新數(shù)據(jù)完全覆蓋或多次被部分覆蓋,就基本上沒有恢復(fù)的可能。

2.1硬盤的存儲(chǔ)結(jié)構(gòu)

想對(duì)硬盤進(jìn)行數(shù)據(jù)恢復(fù),我們就必須先了解硬盤的存儲(chǔ)結(jié)構(gòu),以便在恢復(fù)數(shù)據(jù)時(shí)好對(duì)癥下藥。

一塊新硬盤需要將其分區(qū)、高級(jí)格式化,安裝上操作系統(tǒng)以后才可以使用。而在這一過程中,硬盤被分成了五個(gè)部分:即主引導(dǎo)記錄區(qū)(MBR)、操作系統(tǒng)引導(dǎo)記錄區(qū)(DBR)、文件分區(qū)表區(qū)(FAT)、根目錄區(qū)(DIR)、數(shù)據(jù)區(qū)(DATA)。如圖1:

MBR區(qū)(Main Boot Record)位于整個(gè)磁盤的0磁道0柱面1扇區(qū),共占用512字節(jié)。這512字節(jié)里主引導(dǎo)記錄占了446字節(jié),硬盤分區(qū)表(DPT)占64字節(jié),用來存儲(chǔ)硬盤主引導(dǎo)分區(qū)信息,最后2字節(jié)“55AA”是主引導(dǎo)扇區(qū)的結(jié)束標(biāo)志。主引導(dǎo)記錄是由分區(qū)程序(如Fdisk.exe)所產(chǎn)生的,它不依賴任何操作系統(tǒng),其主要作用是檢查分區(qū)表是否正確并且在系統(tǒng)硬件完成自檢后引導(dǎo)主分區(qū)上已安裝的操作系統(tǒng),并將控制權(quán)交給啟動(dòng)程序。這里有必要

指出一點(diǎn):不同操作系統(tǒng)的FDISK寫入主引導(dǎo)記錄內(nèi)容是不同的。硬盤分區(qū)表里記錄了四個(gè)分區(qū)的信息,每個(gè)分區(qū)占16個(gè)字節(jié)。里面包括了分區(qū)狀態(tài)(占1字節(jié),用來標(biāo)識(shí)分區(qū)是否為活動(dòng)分區(qū))、分區(qū)類型(占1字節(jié))以及起始和結(jié)束的扇區(qū)、柱面、磁道等信息。因此,若硬盤分區(qū)表出現(xiàn)問題就會(huì)出現(xiàn)分區(qū)丟失等故障。

DBR 區(qū)(DOS Boot Record)位于硬盤的0 磁道1 柱面1 扇區(qū),是操作系統(tǒng)可以直接訪問的第一個(gè)扇區(qū),它包括一個(gè)引導(dǎo)程序和一個(gè)被稱為BPB(BIOS Parameter Block)的分區(qū)參數(shù)記錄表。操作系統(tǒng)引導(dǎo)記錄由高級(jí)格式化程序(如)產(chǎn)生。這里引導(dǎo)程序的主要任務(wù)是當(dāng)MBR 將系統(tǒng)控制權(quán)交給它時(shí),判斷本分區(qū)和當(dāng)前目錄的前兩個(gè)文件是否操作系統(tǒng)的引導(dǎo)文件。如果確定存在,就把它讀入內(nèi)存,并把控制權(quán)交給該文件。BPB參數(shù)塊記錄著本分區(qū)的起始扇區(qū)、結(jié)束扇區(qū)、文件存儲(chǔ)格式、硬盤介質(zhì)描述符、根目錄大小、FAT 個(gè)數(shù)以及分配單元的大小等重要參數(shù)。

FAT 區(qū)(File Allocation Table)是操作系統(tǒng)的文件尋址系統(tǒng),是FAT文件系統(tǒng)給文件分配磁盤使用空間的表。文件的存放是以鏈?zhǔn)酱鎯?chǔ)的方式將文件分為若干段存放在磁盤的非連續(xù)區(qū)域內(nèi)的,通過指針把文件的若干段聯(lián)系在一起,當(dāng)讀寫一個(gè)文件時(shí),操作系統(tǒng)通過FAT表就可以知道文件存放的位置,從而可以準(zhǔn)確地讀出文件。FAT表存放在DBR 區(qū)之后,從各分區(qū)的邏輯1 扇區(qū)開始存放,其大小隨分區(qū)大小不同而不同。同時(shí),為了防止意外損壞,F(xiàn)AT一般有兩個(gè),第二FAT 作為第一FAT的備份。

根目錄區(qū)(DIRECTORY)就是文件的目錄,它與FAT配合起到給文件正確定位的作用。

數(shù)據(jù)區(qū)(DATA)是真正存儲(chǔ)數(shù)據(jù)的區(qū)域,即文件真正存放的區(qū)域。

2.2硬盤軟故障導(dǎo)致硬盤數(shù)據(jù)丟失的數(shù)據(jù)恢復(fù)

基于以上前提,可以得出結(jié)論:由于硬盤軟故障導(dǎo)致的數(shù)據(jù)災(zāi)難,在一定前提下,其數(shù)據(jù)恢復(fù)是完全可以實(shí)現(xiàn)的。正常情況下,可以恢復(fù)80%~90%的數(shù)據(jù),100%的恢復(fù)也是可能的。硬盤軟故障的數(shù)據(jù)恢復(fù)主要可以從以下幾個(gè)方面入手:

2.2.1主引導(dǎo)區(qū)恢復(fù)

目前很多惡意程序都喜歡攻擊硬盤的主引導(dǎo)區(qū)與分區(qū)表,攻擊成功就會(huì)造成主引導(dǎo)區(qū)損壞。有時(shí)候磁盤分區(qū)軟件的誤操作以及中途斷電也會(huì)造成主引導(dǎo)區(qū)損壞。出現(xiàn)此類故障時(shí),計(jì)算機(jī)常有“Disk Boot Failure,Insert System Disk And Press Enter”、“Miss Operation System”等提示。通常來說,一旦主引導(dǎo)記錄和分區(qū)表被破壞,硬盤里的數(shù)據(jù)雖然無法訪問,但也沒有丟失。所以可以利用軟件修復(fù)損壞的主引導(dǎo)區(qū),這樣就能找到丟失的數(shù)據(jù)。用系統(tǒng)引導(dǎo)盤啟動(dòng)系統(tǒng)。然后鍵入“C:”,看看能否讀出C盤的內(nèi)容。之后使用Fdisk/mbr 命令進(jìn)行無條件重寫主引導(dǎo)區(qū),這樣既可以使主引導(dǎo)區(qū)恢復(fù)正常,也可以保留C盤原有的數(shù)據(jù)。另外,值得注意的是,F(xiàn)disk/mbr 對(duì)于解決主引導(dǎo)區(qū)病毒也是非常有效的。

2.2.2分區(qū)表恢復(fù)

分區(qū)表故障經(jīng)常表現(xiàn)為:進(jìn)入操作系統(tǒng)后發(fā)現(xiàn)部分分區(qū)丟失,或是磁盤管理器中顯示錯(cuò)誤的容量等故障現(xiàn)象。與主引導(dǎo)區(qū)相比,分區(qū)表被破壞時(shí)的修復(fù)相對(duì)要復(fù)雜一些。一般而言,要修復(fù)分區(qū)表可通過查找備份的分區(qū)并復(fù)制相應(yīng)的扇區(qū)。因此我們使用分區(qū)表的備份覆蓋被破壞的分區(qū)就可以將故障解決了。但是在部分情況下,分區(qū)表的備份無法找到,此時(shí)只能手動(dòng)修改。使用WinHex 等軟件直接操作分區(qū)表數(shù)據(jù)。在軟件操作界面里,查找從“80”始到“55AA”結(jié)束的DPT 硬盤分區(qū)表信息(如圖2),這樣可以得知硬盤分區(qū)的基本信息。然后,尋找下一個(gè)“55AA”標(biāo)志,因?yàn)椤?5AA”之后就是下一個(gè)分區(qū)的開頭(如圖3)。只要找到“55AA”的位置,就可以推算出分區(qū)的磁頭、扇區(qū)和柱面數(shù)字再折算成16 進(jìn)制并回寫到相應(yīng)位置即可修復(fù)分區(qū)表。

2.2.3DBR修復(fù)

前文提到過,DBR(操作系統(tǒng)引導(dǎo)記錄區(qū))是由高級(jí)格式化程序Format 產(chǎn)生的,因此DBR 也是一段信息代碼,同樣可能遭到破壞,最終導(dǎo)致無法進(jìn)入操作系統(tǒng),部分文件夾信息也會(huì)丟失。該類故障常出現(xiàn)以下現(xiàn)象:在windows下無法打開某個(gè)分區(qū),雙擊分區(qū)圖標(biāo)時(shí)提示“該分區(qū)未格式化”,進(jìn)入DOS 系統(tǒng),使用“DIR”命令會(huì)出現(xiàn)提示“General Fail Reading Driver”。應(yīng)注意的是,此時(shí)千萬不要格式化程序,因?yàn)楦袷交绦驎?huì)重寫DBR,這樣固然能解決問題,但分區(qū)里原有的數(shù)據(jù)也會(huì)丟失,這與挽救數(shù)據(jù)的最終目的是相違背的。這時(shí)須將問題硬盤作為從盤掛接,隨后直接打開Winhex 時(shí)選擇該磁盤,直接在右上方的“訪問”下拉列表中選擇DBR故障分區(qū),然后打開“起始扇區(qū)模板”修復(fù)即可。

2.2.4零磁道損壞的修復(fù)

對(duì)于硬盤而言,零磁道是最為關(guān)鍵的地方,因?yàn)橛脖P的分區(qū)表信息就在其中。一旦零磁道損壞,那么硬盤將無法啟動(dòng)。其實(shí),零磁道損壞只是物理壞道的特殊情況,所不同的只是損壞之處十分敏感。對(duì)于帶有物理壞道的硬盤,最簡(jiǎn)單的數(shù)據(jù)恢復(fù)方法就是將該硬盤設(shè)置為從盤,然后使用另一塊正常的硬盤作為主盤引導(dǎo)進(jìn)入操作系統(tǒng)。在磁盤管理器里對(duì)壞盤進(jìn)行盤符分配,如果成功,直接拷貝就能成功挽救并保存數(shù)據(jù)。但若壞道過多,那就只能嘗試其它方法,比如:使用帶有扇區(qū)復(fù)制功能的磁盤訪問工具對(duì)扇區(qū)進(jìn)行復(fù)制,并將復(fù)制出的扇區(qū)數(shù)據(jù)復(fù)制到完好的硬盤上。“效率源”就是具有這種功能的工具之一。當(dāng)數(shù)據(jù)成功挽救之后,接下來可以嘗試修復(fù)該硬盤,此時(shí)可以采取修改硬盤分區(qū)表存儲(chǔ)位置,然后再屏蔽壞道的方法來處理。

2.2.5文件誤刪除的數(shù)據(jù)恢復(fù)

這類問題主要是由用戶誤操作引起的,實(shí)際上,所謂的刪除是在被刪除的區(qū)域做了一個(gè)可覆蓋標(biāo)記,數(shù)據(jù)并沒有真的被刪除。也就是說,只要將這些可覆蓋標(biāo)記更改過來,數(shù)據(jù)就可以恢復(fù)。但值得注意的是:如果在加了可覆蓋標(biāo)記的區(qū)域里重新寫入了數(shù)據(jù),即新數(shù)據(jù)部分或全部覆蓋了原有數(shù)據(jù),那么原有數(shù)據(jù)就很難被恢復(fù)。因此,當(dāng)執(zhí)行誤刪除操作以后,切記不要對(duì)硬盤進(jìn)行數(shù)據(jù)寫入操作,以免誤刪除數(shù)據(jù)被覆蓋而不可恢復(fù)。這里可以利用一些著名的文件恢復(fù)軟件進(jìn)行文件恢復(fù)。如:EasyRecovery,它通過使用一種復(fù)雜的模式識(shí)別技術(shù)找回分布在硬盤上不同地方的文件碎片,并根據(jù)統(tǒng)計(jì)信息對(duì)這些文件碎片進(jìn)行重整。接著在內(nèi)存里建立一個(gè)虛擬的文件系統(tǒng)并列出所有的文件和目錄。由此可以找回誤刪除的文件。

第6篇:數(shù)據(jù)恢復(fù)范文

關(guān)鍵詞 Windows操作平臺(tái) 數(shù)據(jù)丟失 數(shù)據(jù)恢復(fù)

中圖分類號(hào):TP309.3 文獻(xiàn)標(biāo)識(shí)碼:A

0引言

數(shù)據(jù)恢復(fù)就是把遭受破壞,或由于硬件缺陷導(dǎo)致不可訪問或不可獲得,或由于病毒、誤操作等各種原因?qū)е碌臄?shù)據(jù)還愿成正常數(shù)據(jù)。

1數(shù)字恢復(fù)的相關(guān)軟件及其恢復(fù)操作

目前常用的數(shù)據(jù)恢復(fù)軟件有:Disk Recovery、Easy Recovery、File Rescue Plus、File Scavenger、Final Data、Final Recovery、Handy Recovery、Recover My Files、Search and Recover、易我數(shù)據(jù)恢復(fù)向?qū)У?,而且各個(gè)恢復(fù)數(shù)據(jù)軟件也有些許不同之處。針對(duì)硬盤數(shù)據(jù)出現(xiàn)丟失的不同情況及恢復(fù)分為以下兩種:

1.1分區(qū)表的恢復(fù)

分區(qū)表損壞的原因有很多種,其中最常見的是病毒性破壞、誤操作導(dǎo)致分區(qū)表損壞、自然因素?fù)p壞分區(qū)表、分區(qū)表丟失與被隱藏等,總之是使分區(qū)表全部丟失或者部分丟失導(dǎo)致的原有的分區(qū)的數(shù)據(jù)在操作平臺(tái)中不可見、無法讀取、寫不進(jìn)數(shù)據(jù)等。但這種情況下的數(shù)據(jù)丟失通常都是整個(gè)分區(qū)的數(shù)據(jù)丟失,需要恢復(fù)的也是整個(gè)分區(qū)的數(shù)據(jù)。

遇到這種情況,我們一般使用超級(jí)硬盤恢復(fù)數(shù)據(jù)軟件。該軟件可以很方便地恢復(fù)出分區(qū)表受損后的數(shù)據(jù),包括由于MBR破壞、重新分區(qū)、修復(fù)壞道后導(dǎo)致分區(qū)丟失、在DOS系統(tǒng)下面用?fdisk/mbr命令清空分區(qū)表、在磁盤管理中刪除分區(qū)等等導(dǎo)致分區(qū)不可見、無法讀取、無法寫進(jìn)等情況。掃描速度快,安全性能比較高。

假設(shè)有一個(gè)160G的移動(dòng)硬盤,這個(gè)移動(dòng)硬盤原先有4個(gè)分區(qū),包括NTFS分區(qū)和FAT32分區(qū),里面存放了影音圖片和工作文件,但因?yàn)橹苯訌?qiáng)制拔掉USB接口造成了分區(qū)丟失,現(xiàn)在全部分區(qū)都看不到,硬盤也變成了未指派狀態(tài),如圖1所示。

使用超級(jí)硬盤數(shù)據(jù)恢復(fù)軟件恢復(fù)這類錯(cuò)誤的步驟如下:

(1)運(yùn)行超級(jí)硬盤數(shù)據(jù)恢復(fù)軟件后,選第3項(xiàng),恢復(fù)丟失的分區(qū),點(diǎn)下一步。

(2)選擇這個(gè)移動(dòng)硬盤“磁盤2”,再點(diǎn)下一步按鈕后,就開始進(jìn)行對(duì)分區(qū)的掃描。

(3)等待掃描完畢,超級(jí)硬盤數(shù)據(jù)恢復(fù)軟件就可以列出了丟失的這幾個(gè)分區(qū),可以根據(jù)之前你對(duì)相關(guān)卷標(biāo)、大小等信息來確認(rèn)你要恢復(fù)的分區(qū),然后選擇要恢復(fù)的分區(qū)點(diǎn)擊下一步直到結(jié)束完成對(duì)文件的恢復(fù)。

1.2刪除文件及格式化數(shù)據(jù)的恢復(fù)

Windows操作系統(tǒng)刪除文件時(shí)會(huì)把文件先放到回收站里,如果確定不用刪除文件還能在回收站內(nèi)找回來,若要?jiǎng)h除就清空回收站再釋放空間。也可以使用Shift + Del不通過回收站直接刪除文件并釋放空間,如刪除的文件過大,操作系統(tǒng)會(huì)提示文件不能放入回收站而直接刪除并釋放空間。

目前常用的恢復(fù)軟件是Easy Recovery。通常Easy Recovery不會(huì)向原始驅(qū)動(dòng)器寫入任何東西,它主要是在內(nèi)存中重建文件分區(qū)表,使數(shù)據(jù)能夠安全地傳輸?shù)狡渌?qū)動(dòng)器中,可以從被病毒破壞或是已經(jīng)格式化的硬盤中恢復(fù)數(shù)據(jù)。

現(xiàn)假設(shè)F盤里的一個(gè)文件“王鐵林.docx”不小心丟失,這時(shí)想要找回來,回收站里也沒有了。

我們使用Easy Recovery軟件進(jìn)行恢復(fù)的步驟如下:

(1)啟動(dòng)Easy Recovery,點(diǎn)擊“繼續(xù)”啟動(dòng)Easy Recovery軟件的界面。如圖2所示。

(2)選擇媒體類型,選擇“硬盤驅(qū)動(dòng)器”,點(diǎn)擊“繼續(xù)”。

(3)選擇要恢復(fù)的磁盤盤符F:盤,點(diǎn)擊繼續(xù)。

(4)選擇要進(jìn)行的恢復(fù)方案,掃描完成后,再將文件保存到預(yù)先準(zhǔn)備好的磁盤或者是移動(dòng)設(shè)備中去,盡量不要保存在掃描盤內(nèi),以免數(shù)據(jù)被覆蓋。

2總結(jié)

上面介紹了分區(qū)表的恢復(fù)及刪除文件及格式化數(shù)據(jù)的恢復(fù)的具體方法。但是無論數(shù)據(jù)行業(yè)再如何發(fā)達(dá),數(shù)據(jù)恢復(fù)終究也只是一種災(zāi)后重建的手段,無法確定能完全恢復(fù)被刪除的數(shù)據(jù),真正的數(shù)據(jù)保護(hù)應(yīng)該還是個(gè)人要養(yǎng)成合理使用存儲(chǔ)設(shè)備及相關(guān)的電子設(shè)施的習(xí)慣,以減少出現(xiàn)數(shù)據(jù)丟失的情況,這樣才是最好的保護(hù)了數(shù)據(jù),而不要等到數(shù)據(jù)失去了才苦苦地找尋數(shù)據(jù)恢復(fù)的方法。

參考文獻(xiàn)

第7篇:數(shù)據(jù)恢復(fù)范文

關(guān)鍵詞: 智能手機(jī); SD卡; 數(shù)據(jù)恢復(fù); 邏輯故障

中圖分類號(hào):TP391 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1006-8228(2017)03-20-03

Abstract: Today's Smartphone features more and more powerful, requires a lot of storage space, so a memory card is needed to store the data, as the phone memory has been unable to meet the requirement. Taking the SD card as an example, this paper analyzes the physical structure of the card and the principle of data storage, studies the data recovery process after generating a logical fault, and uses software WinSDCard and Winhex to recover the data. The test results show that the method has a good recovery effect, and can be used for personal data recovery, mobile phone forensics, etc.

Key words: Smartphone; SD card; data recovery; logical fault

0 引言

智能手機(jī)在人們的工作和學(xué)習(xí)中扮演著越來越重要的角色,智能手機(jī)具備的功能越來越多,存儲(chǔ)的數(shù)據(jù)量和所需的存儲(chǔ)空間也越來越大。當(dāng)手機(jī)本身的存儲(chǔ)空間不能滿足需求時(shí),就需要安裝數(shù)據(jù)存儲(chǔ)卡。然而,用戶在使用智能手機(jī)的過程中,由于各種主觀或客觀的原因,存儲(chǔ)卡會(huì)經(jīng)常出現(xiàn)重要數(shù)據(jù)丟失和損壞的情況,給用戶造成非常大的損失。因此,為了盡可能替用戶恢復(fù)數(shù)據(jù),挽回?fù)p失,就需要探究手機(jī)存儲(chǔ)卡的數(shù)據(jù)恢復(fù)方法。

目前,常用的手機(jī)存儲(chǔ)卡主要有RS-MMC卡、SD卡等類型[1]。筆者以SD存儲(chǔ)卡為例,在分析其數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)與原理的基礎(chǔ)上,使用WinSDCard和Winhex數(shù)據(jù)恢復(fù)軟件,研究了數(shù)據(jù)恢復(fù)的具體方法。

1 SD卡數(shù)據(jù)存儲(chǔ)原理

SD卡(Secure Digital Memory Card)是一種基于半導(dǎo)體Flash技術(shù)的新一代記憶設(shè)備。SD卡由日本松下、東芝及美國(guó)SanDisk公司于1999年8月共同開發(fā)研制[2]。SD卡體積小,其大小猶如一張郵票,重量只有2克,具有高記憶容量、數(shù)據(jù)傳輸速度快、可熱插拔、極大的移動(dòng)靈活性以及很好的安全性等優(yōu)良的特性,它被廣泛地用于便攜式裝置上,例如數(shù)碼相機(jī)、數(shù)碼攝像、個(gè)人數(shù)碼助理(外語縮寫PDA)、智能手機(jī)和多媒體播放器等。

SD卡可以通過市面上很普遍的USB接口讀卡器即可將存儲(chǔ)的測(cè)量數(shù)據(jù)讀出,省略了耗時(shí)長(zhǎng)且不安全的數(shù)據(jù)導(dǎo)出過程,價(jià)格便宜,容量較大,非常適合于長(zhǎng)期測(cè)量系統(tǒng)的數(shù)據(jù)存儲(chǔ)[3]。SD卡支持SD模式和SPI模式,其中SPI模式中使用的SPI接口在單片機(jī)系統(tǒng)中應(yīng)用非常廣泛,在SPI總線模式下,CS為主控制器向卡發(fā)送的片選信號(hào),SCLK為主控制器向卡發(fā)送的時(shí)鐘信號(hào)。DI(Data In)為主控制器向卡發(fā)送的單向數(shù)據(jù)信號(hào),DO(Data Out)為卡向主控制器發(fā)送的單向數(shù)據(jù)信號(hào)[3]。SD卡的內(nèi)部結(jié)構(gòu)如圖1所示。

2 SD卡數(shù)據(jù)損壞的原因

在日常使用中,SD卡會(huì)由于各種原因?qū)е聰?shù)據(jù)損壞,其原因可以歸納為物理損壞和邏輯故障兩大類。

2.1 物理損壞

物理損壞主要是由于硬件發(fā)生故障、受損而造成的[4-5],具體表現(xiàn)形式及損壞原因如表1所示。

2.2 邏輯故障

邏輯損壞主要是由于軟件受損而造成的[4-5],主要原因有以下幾種。

⑴ 惡意破壞:主要包括各種病毒、木馬對(duì)數(shù)據(jù)的損害,造成數(shù)據(jù)丟失。

⑵ 誤刪除、誤格式化,將文件的首字節(jié)改為E5H。

⑶ 系y故障:比如在讀寫數(shù)據(jù)時(shí),意外停止、撥出;拷貝數(shù)據(jù)未正式結(jié)束,就撥出、強(qiáng)行停止;在從電腦退出時(shí),未按正常退出步驟操作,人為(彈)撥出等,造成數(shù)據(jù)無法找到,手機(jī)不能識(shí)別SD卡。

SD卡出現(xiàn)邏輯故障后,數(shù)據(jù)之間的關(guān)系出現(xiàn)錯(cuò)誤,但是只要SD卡未有重復(fù)讀寫的操作,數(shù)據(jù)仍可以部分使用,數(shù)據(jù)恢復(fù)的希望還是比較大的。

3 SD卡數(shù)據(jù)恢復(fù)方法介紹

3.1 物理損壞的修復(fù)及避免方法

SD卡一旦由于物理原因造成數(shù)據(jù)損壞,必須請(qǐng)專業(yè)的硬件維修機(jī)構(gòu)對(duì)數(shù)據(jù)進(jìn)行恢復(fù),需要對(duì)SD卡進(jìn)行芯片級(jí)的維修,這不僅費(fèi)用昂貴,而且數(shù)據(jù)也不一定能完全恢復(fù),還容易造成電路燒毀,SD卡可能直接報(bào)廢,給用戶造成巨大的損失。因此,用戶在使用智能手機(jī)存儲(chǔ)卡時(shí)應(yīng)注意以下幾點(diǎn),以避免發(fā)生物理損壞,造成重要數(shù)據(jù)損毀。

⑴ 及時(shí)對(duì)數(shù)據(jù)進(jìn)行備份。用戶應(yīng)定期將文件拷貝至手機(jī)內(nèi)存、電腦、移動(dòng)硬盤或云盤。

⑵ 在讀/寫SD卡數(shù)據(jù)時(shí),不要拔出SD卡。有些卡在系統(tǒng)拷貝進(jìn)度條消失后仍處于工作狀態(tài),應(yīng)等待讀寫狀態(tài)燈熄滅后再拔下讀卡器或存儲(chǔ)卡。

⑶ 避免熱插拔SD卡。若在開機(jī)狀態(tài)插入新的SD卡,由于手機(jī)沒有對(duì)卡進(jìn)行初始化,可能造成無法正常識(shí)別,還可能損壞手機(jī)和存儲(chǔ)卡。

⑷ 在智能手機(jī)電池電量不足時(shí),盡量少讀寫SD卡。

3.2 邏輯故障的數(shù)據(jù)恢復(fù)方法

對(duì)于邏輯故障引起的數(shù)據(jù)丟失和損壞,只要數(shù)據(jù)區(qū)沒有被徹底覆蓋,用戶通過相關(guān)軟件的使用,一般都可以順利恢復(fù)。比如誤刪除操作,實(shí)際上此時(shí)保存在硬盤中的文件并沒有真正被完全覆蓋,而是把指向數(shù)據(jù)存儲(chǔ)空間的鏈條刪除了,真正的數(shù)據(jù)還是以二進(jìn)制的方式存儲(chǔ)在SD上。只要這些數(shù)據(jù)不被覆蓋,通過一些數(shù)據(jù)恢復(fù)軟件,尋找主文件表中數(shù)據(jù)的存放位置,對(duì)這些存儲(chǔ)數(shù)據(jù)的SD卡進(jìn)行掃描,通過掃描找到存在的數(shù)據(jù)殘段并進(jìn)行數(shù)據(jù)修復(fù)并備份修復(fù)好的數(shù)據(jù)[6]。數(shù)據(jù)恢復(fù)流程見圖2。

接下來,本文結(jié)合WinSDCard(SD存儲(chǔ)卡數(shù)據(jù)備份軟件)和Winhex數(shù)據(jù)恢復(fù)軟件,介紹如何對(duì)數(shù)據(jù)出現(xiàn)邏輯故障的SD存儲(chǔ)卡的數(shù)據(jù)進(jìn)行恢復(fù)。主要過程分為兩步:

第一步:利用WinSDCard軟件將SD存儲(chǔ)卡的數(shù)據(jù)復(fù)制成為一個(gè)RAW原始映像文件。

運(yùn)行WinSDCard,然后插入裝有SD卡的讀卡器,WinSDCard會(huì)發(fā)現(xiàn)新插入的SD存儲(chǔ)卡。選中該盤符,點(diǎn)擊“Backup Image工作模式”,然后備份數(shù)據(jù)成為鏡像文件。

第二步:使用Winhex軟件恢復(fù)數(shù)據(jù)。

啟動(dòng)Winhex, 打開鏡像后的文件。選擇“工具/磁盤工具”菜單,使用“通過文件類型恢復(fù)”的功能菜單,在彈出的窗口中選擇以下幾種方式,對(duì)SD存儲(chǔ)卡數(shù)據(jù)進(jìn)行恢復(fù)操作:

⑴ “選擇文件類型”:是指需要指定文件類型,如果要恢復(fù)的文件類型是WORD,那么就選擇“Msword”文件類型;如果要添加沒有在列表中的文件型,可以選擇“自定義”文件類型;

⑵ “輸出文件夾”:是存放恢復(fù)后的文件,默認(rèn)路徑為“C:Recovery Disk U”,也可以自行設(shè)置文件路徑;

⑶ “為每個(gè)文件類型創(chuàng)建子文件夾”選項(xiàng)是為每一種文件類型建立一個(gè)子目錄,默認(rèn)選中該功能;

⑷ “僅在選塊中搜索”:是選擇搜索模式,如果SD存儲(chǔ)卡的容量不是很大,可以選擇這個(gè)模式;如果SD存儲(chǔ)卡容量很大,可以選擇“搜索全部扇區(qū)邊界”模式,如果想更精確,可以選擇“完整的字節(jié)級(jí)搜索”字節(jié)搜索模式,這個(gè)模式的速度慢些;

⑸ 最后,點(diǎn)擊“確定”,等待文件恢復(fù)。

經(jīng)過上述步驟,數(shù)據(jù)恢復(fù)結(jié)束,退出程序。

4 結(jié)論

為測(cè)試采用本文方法恢復(fù)數(shù)據(jù)的效果,筆者首先對(duì)MICRO SD存儲(chǔ)卡中的圖片、文檔和視頻等不同數(shù)據(jù)類型的文件作刪除操作,之后利用WinSDCard和Winhex軟件恢復(fù)數(shù)據(jù)。實(shí)驗(yàn)證明,采用該方法恢復(fù)了95%的被刪除的文件,而且內(nèi)容恢復(fù)準(zhǔn)確率達(dá)97%。

本文分析了SD存儲(chǔ)卡的物理結(jié)構(gòu)和數(shù)據(jù)存儲(chǔ)原理,重點(diǎn)研究了SD卡的邏輯故障,提出了利用WinSDCard和Winhex軟件進(jìn)行數(shù)據(jù)恢復(fù)的方法,實(shí)踐證明有很好的數(shù)據(jù)恢復(fù)效果。在實(shí)際操作中,為進(jìn)一步提高內(nèi)容恢復(fù)的準(zhǔn)確率,還需嘗試不同的數(shù)據(jù)恢復(fù)軟件。

參考文獻(xiàn)(References):

[1] 陶榮,饒佳藝,嚴(yán)麗娜等.智能手機(jī)RS-MMC存儲(chǔ)卡數(shù)據(jù)恢復(fù)研究[J].電子設(shè)計(jì)工程,2012.20(17):180-182

[2] 周立功.ARM嵌入式系統(tǒng)軟件開發(fā)實(shí)例(二)[M].北京航空航天大學(xué)出版社,2006.

[3] 劉素花,龔德俊,徐永平等.SD卡在海洋數(shù)據(jù)存儲(chǔ)中的應(yīng)用[J].海洋科學(xué),2009.33(3):16-20

[4] 李志強(qiáng).常見硬盤數(shù)據(jù)損壞的類型及恢復(fù)方法[J].硅谷,2011.23:124-126

第8篇:數(shù)據(jù)恢復(fù)范文

關(guān)鍵詞: 手機(jī)取證; Android手機(jī); 數(shù)據(jù)存儲(chǔ); 數(shù)據(jù)恢復(fù)

中圖分類號(hào):TP309 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1006-8228(2017)04-29-03

Abstract: How to extract and recover data from deleted or corrupted data is one of the most important issues in mobile phone forensics. This paper studies the SQLite data storage structure and the addressing of the Btree page tree structure of Android mobile phone, to recovery the deleted data by traversing the leaf pages. The research status of domestic and foreign data recovery methods are introduced, which provide the reference for the further research of Android mobile phone data recovery.

Key words: mobile phone forensic; Android mobile phone; data storage; data recovery

0 引言

隨著移動(dòng)通信技術(shù)的發(fā)展和智能手機(jī)的普及,手機(jī)犯罪呈高發(fā)態(tài)勢(shì)。據(jù)Gartner的數(shù)據(jù)顯示[1],2015年Android手機(jī)市場(chǎng)占有率高達(dá)80%,所以Android手機(jī)已經(jīng)成為主要的數(shù)據(jù)取證源之一。如何從Android手機(jī)中提取和恢復(fù)數(shù)據(jù),成為司法取證的一個(gè)課題。本文主要基于Android系統(tǒng),歸納主流的手機(jī)數(shù)據(jù)恢復(fù)技術(shù),概括國(guó)內(nèi)外研究成果與現(xiàn)狀,并對(duì)Android手機(jī)數(shù)據(jù)恢復(fù)技術(shù)發(fā)展作了總結(jié)與展望。

1 手機(jī)數(shù)據(jù)存儲(chǔ)分類

根據(jù)Android手機(jī)內(nèi)部存儲(chǔ)機(jī)制,手機(jī)數(shù)據(jù)存儲(chǔ)方式主要分為內(nèi)部存儲(chǔ)和外部存儲(chǔ)兩種。其中內(nèi)部存儲(chǔ)主要有SIM卡和手機(jī)機(jī)身內(nèi)存,外部存儲(chǔ)主要有手機(jī)外部存儲(chǔ)卡。此外,短信服務(wù)提供商和移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商也包含相對(duì)應(yīng)的有效信息。

⑴ SIM卡即手機(jī)卡。也稱客戶識(shí)別模塊卡,主要用來鑒別網(wǎng)絡(luò)用戶身份信息,存儲(chǔ)客戶信息等??ㄉ纤械臄?shù)據(jù)都是以文件的形式存儲(chǔ)在卡上相應(yīng)的數(shù)據(jù)存儲(chǔ)區(qū)域,其中SIM卡里存儲(chǔ)的數(shù)據(jù)由四部分組成。第一部分是固定存放的數(shù)據(jù)。該類數(shù)據(jù)信息在移動(dòng)設(shè)備被出售之前由SIM卡中心提前寫入。包含國(guó)際移動(dòng)用戶識(shí)別號(hào)、鑒權(quán)密鑰、加密算法等一些固定不變的信息。第二部分是暫時(shí)存放的相關(guān)網(wǎng)絡(luò)數(shù)據(jù)。如LAI(位置區(qū)域識(shí)別碼)、TMSI(移動(dòng)用戶暫時(shí)識(shí)別碼)、禁止接入的公共電話網(wǎng)代碼等。第三部分是與業(yè)務(wù)相關(guān)的代碼,如PIN(個(gè)人識(shí)別碼)、PUK(解鎖碼)、計(jì)費(fèi)費(fèi)率等。第四部分是用戶存儲(chǔ)的電話號(hào)碼簿信息。比如手機(jī)用戶隨時(shí)輸入的電話號(hào)碼等。

⑵ 手機(jī)內(nèi)存。手機(jī)內(nèi)存分為兩塊:RAM(動(dòng)態(tài)存儲(chǔ)區(qū))和ROM(靜態(tài)存儲(chǔ)區(qū))。其中,動(dòng)態(tài)存儲(chǔ)區(qū)又稱隨機(jī)存儲(chǔ)區(qū),用來臨時(shí)保存數(shù)據(jù),突然斷電時(shí)會(huì)丟失存放的數(shù)據(jù)信息;靜態(tài)存儲(chǔ)區(qū)又稱只讀存儲(chǔ)區(qū),用來存放用戶數(shù)據(jù)文件,對(duì)突然出現(xiàn)斷電的情況也不受影響,起到保護(hù)的作用。

⑶ 手機(jī)擴(kuò)展存儲(chǔ)卡。手機(jī)擴(kuò)展存儲(chǔ)卡通常使用FAT文件系統(tǒng),常用的外置存儲(chǔ)卡有TF卡、CF卡等,屬于閃存卡。手機(jī)擴(kuò)展存儲(chǔ)卡是為了擴(kuò)大手機(jī)內(nèi)存容量,減少手機(jī)自身內(nèi)存占用,一般用來存放大量的音頻、視頻、圖片等文件,如果對(duì)這些信息進(jìn)行恢復(fù),往往也能獲得有價(jià)值的線索。

2 基于SQLite的數(shù)據(jù)恢復(fù)方法

SQLite數(shù)據(jù)庫在Android手機(jī)中應(yīng)用廣泛,具有量級(jí)輕、資源占用率低、易移植等優(yōu)點(diǎn)。在Android系統(tǒng)中,大部分?jǐn)?shù)據(jù)存放在SQLite數(shù)據(jù)庫中,比如短消息、通訊錄和通話錄等,這些數(shù)據(jù)有較多價(jià)值。所以本文以SQLite數(shù)據(jù)庫為研究對(duì)象,描述SQLite數(shù)據(jù)庫的存儲(chǔ)原理及數(shù)據(jù)恢復(fù)方法。

2.1 SQLite存儲(chǔ)原理

第9篇:數(shù)據(jù)恢復(fù)范文

關(guān)鍵詞:關(guān)鍵詞:磁盤; 數(shù)據(jù)恢復(fù); 固件

中圖分類號(hào):TP3    文獻(xiàn)標(biāo)識(shí)碼:A     文章編號(hào):

    在硬盤數(shù)據(jù)恢復(fù)過程中,常會(huì)遇到由于硬盤固件區(qū)損壞而丟失數(shù)據(jù)的故障硬盤,此時(shí)可通過數(shù)據(jù)恢復(fù)工具的硬盤固件區(qū)修復(fù)技術(shù)來完成硬盤數(shù)據(jù)恢復(fù)。

    1. 磁盤固件

    固件(Firmware)是固化在硬盤ROM芯片或負(fù)道上(保留區(qū))的軟件,硬盤固件區(qū)保留著引導(dǎo)硬盤所需的關(guān)鍵信息,固件完成硬盤初始化啟動(dòng),包括以下重要信息:

    伺服信息或伺服字段:用于磁頭定位。

    低級(jí)格式化:磁道起始信息標(biāo)志信息,劃分磁道扇區(qū)。

    駐留軟固件微程序:初始化診斷、控制主軸電機(jī)、控制磁盤控制器。緩沖Ram數(shù)據(jù)交換。

    配置表和設(shè)置:磁盤空間的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)。

    缺陷表:硬盤的生產(chǎn)技術(shù)不能實(shí)現(xiàn)無缺陷,缺陷表包括P表和G表,由工廠測(cè)試時(shí)填寫,缺陷對(duì)用戶來說是隱藏的,只有專門的程序能訪問。

    當(dāng)硬盤開始工作,先進(jìn)行“初始化”,讀取硬盤保留區(qū)的固件信息,若能正常讀出和較驗(yàn)正常,硬盤進(jìn)入準(zhǔn)備狀態(tài),若出現(xiàn)固件故障,硬盤就無法進(jìn)入準(zhǔn)備狀態(tài),表現(xiàn)為無法檢測(cè)硬盤可檢測(cè)到無法讀寫操作。這時(shí)就要修復(fù)硬盤固件以修復(fù)硬盤。

    效率源有目前國(guó)內(nèi)規(guī)模最大的硬盤數(shù)據(jù)恢復(fù),硬盤維修研究機(jī)構(gòu)。在十年專業(yè)的硬盤數(shù)據(jù)恢復(fù),硬盤維修經(jīng)驗(yàn)基礎(chǔ)上。先后開發(fā)出了希捷、西數(shù)、邁拓、富士通等多款專業(yè)都硬盤數(shù)據(jù)恢復(fù)軟件和硬盤維修軟件。

    2. 固件修復(fù)的實(shí)現(xiàn)

    2.1 裝入管理

    裝入管理的作用主要是把硬盤的資源信息裝入到程序中,包括硬盤屬于什么系列,個(gè)體的型號(hào),以及該硬盤的參數(shù)。一個(gè)正常能識(shí)別的硬盤,直接點(diǎn)擊就可以從硬盤獲取,程序會(huì)自動(dòng)裝入相關(guān)的資源文件,同時(shí)在最下路徑欄生成對(duì)應(yīng)硬盤型號(hào)以及路徑的文件文件夾,在對(duì)應(yīng)的文件夾中生成這個(gè)硬盤的資源文件。

    不能識(shí)別的硬盤,程序同樣可以根據(jù)電路板類型讀出該硬盤屬于什么系列,以及相應(yīng)的ROM版本。在左邊列出了目前所有硬盤的系列,如果有不支持的類型,只要將資源文件發(fā)經(jīng)開發(fā)商,就可以升級(jí)更新程序支持這種硬盤。

    診斷:當(dāng)硬盤裝入之后,點(diǎn)擊診斷按鈕,左邊會(huì)顯示出當(dāng)前硬盤診斷信息。

    2.2備份固件

    程序保留了以前DOS版本的備份方式,同樣是模塊和磁道,可以將對(duì)應(yīng)模塊點(diǎn)擊勾選上,希捷讀取,在當(dāng)前路徑下就會(huì)備份生成出對(duì)應(yīng)的模塊,同時(shí)在讀取的時(shí)候下方會(huì)有進(jìn)度條顯示。DOS版本的固件同樣適用于WIN版,只需要修改一下文件名,修改方式為將K7_1.MOD修改為1.MOD,如此類推。

 

                                     圖1 備份固件操作過程界面

    2.3 回寫固件

    可實(shí)現(xiàn)高速回寫,點(diǎn)擊需要回寫的模塊名,會(huì)彈出對(duì)話框,選定到對(duì)應(yīng)的模塊即可。如回寫ATA,就選到1號(hào),對(duì)應(yīng)的模塊可以到備份固件查看,下方會(huì)顯示回寫進(jìn)度。

 

                               圖2 回寫固件操作過程界面

    注意:校準(zhǔn)完成回寫ATA模塊之后必須通病修復(fù),還需要手支輸入一次型號(hào)和容量,方能認(rèn)盤。

 

                               圖3 固件檢測(cè)與修復(fù)操作界面

    通病修復(fù):此功能也是數(shù)據(jù)恢復(fù)和不識(shí)別硬盤修復(fù)的利器,對(duì)于部分電腦主板不識(shí)別,使用MHDD工具檢測(cè)硬盤時(shí),BUSY長(zhǎng)亮的情況,用本功能只需要約兩分鐘即可使硬盤恢復(fù)正常,同時(shí)故障硬盤數(shù)據(jù)將全部保留,修復(fù)后可以直接啟動(dòng)或拷貝數(shù)據(jù)。Windows版本程序在校準(zhǔn)完成之后,回寫ATA模塊和通病修復(fù)完成后,必須對(duì)硬盤進(jìn)行其他操作和參數(shù)修改,將原盤型號(hào)和容量寫回去。

    修復(fù)只讀:希捷硬盤在檢測(cè)自身固件時(shí),如果發(fā)現(xiàn)有比較嚴(yán)重的錯(cuò)誤,或者說是致命錯(cuò)誤的時(shí)候,硬盤會(huì)自動(dòng)進(jìn)入只讀模式。這種模式硬盤只允許讀取文件,不允許寫入文件或?qū)τ脖P進(jìn)行分區(qū)等?!靶迯?fù)只讀”功能就是專門針對(duì)這種情況設(shè)計(jì)的,修復(fù)硬盤固件區(qū)的致命缺陷,使硬盤重新具有寫入功能。

    3.缺陷操作

 

                                       圖4 缺陷操作過程界面

    修復(fù)固件后,該硬盤的缺陷會(huì)暴露出來,所以必須修復(fù)缺陷。

    執(zhí)行清空道表清除硬盤內(nèi)部已經(jīng)存在的磁道缺陷列表。清除后,需要進(jìn)行全盤清零操作方可生效。道表也可以理解為經(jīng)過壓縮之后的P表。清除道表后,硬盤將產(chǎn)生大量的連續(xù)壞道,并造成數(shù)據(jù)區(qū)數(shù)據(jù)嚴(yán)重錯(cuò)位,有重要數(shù)據(jù)的硬盤使用本功能以前請(qǐng)先備份,以免造成數(shù)據(jù)的丟失。

    執(zhí)行清空P表清除硬盤內(nèi)部已經(jīng)存在的P-List缺陷列表,清除后,需要進(jìn)行全盤清零操作方可生效。清除P-List缺陷列表后,硬盤將產(chǎn)生大量的壞道,并造成數(shù)據(jù)區(qū)數(shù)據(jù)嚴(yán)重錯(cuò)位,有重要數(shù)據(jù)的硬盤使用本功能以前請(qǐng)先備份,以免造成數(shù)據(jù)的丟失。

    執(zhí)行清空G表清除硬盤內(nèi)部已經(jīng)存在的G-List表,一般硬盤在G-List表支持容量較少,希捷酷魚列表的硬盤G-List表最大支持1020個(gè),因些通常情況下使用軟件加入后會(huì)出現(xiàn)壞道無法加入的情況情況。這時(shí)可以選清除G-List表。進(jìn)行全盤擦除不穩(wěn)定扇區(qū)后,再進(jìn)行G-List表壞道加入。

    清空后執(zhí)行掃描缺陷,會(huì)掃描出硬盤的缺陷,之后加入P表和G表,以保證硬盤的缺陷全部隱藏,硬盤正常運(yùn)行。

    4.小結(jié)

    現(xiàn)代硬盤的保留區(qū)對(duì)用戶是隱藏的,包括固件區(qū)和用于替代缺陷的保留區(qū),只有在驅(qū)動(dòng)器的工廠模式下才能訪問,當(dāng)固件區(qū)出現(xiàn)問題,會(huì)直接影響硬盤的識(shí)別和讀寫操作。利用效率源的固件修復(fù)功能可以成功的修復(fù)固件區(qū),在修復(fù)后用修復(fù)缺陷功能修復(fù)硬盤的缺陷,以保證硬盤完全修復(fù)。