大容量硬盘(8GB)数据恢复一例.docVIP

【摘要】 本文以信息系统安全为宗旨，以硬盘数据恢复为主线，详细介绍了硬盘分区表、I/O参数块BPB、FAT 表、长文件名等概念，深入浅出，用一个大容量、多分区硬盘遭病毒袭击后通过重新填写分区表成功恢复全部数据的实际例子，验证了文中所介绍的概念和方法的可应用性。【关键词】信息安全 计算机 硬盘 数据恢复 分区表 FAT表 I/O表 BPB 长文件名　　在信息技术作为一个产业蓬勃发展，并为各行各业服务的今天，网络和计算机的信息安全问题已经越来越引人注目地提到日程上来。如所周知，由于计算机病毒以及类似的恶意攻击程序通过数据存储媒介（软盘、数据光盘、优盘等）、互联网电子邮件以及非常领域内的技术手段等途径的肆虐，硬盘数据丢失已成为令企业、学校信息管理人员甚至个人电脑的拥有者头痛的事情。这里所说的硬盘数据丢失，并不是指若干年前由于硬盘存取技术的局限造成盘片磁介质表面的物理损伤（坏道、坏扇区）引起的个别文件丢失，而是由于主引导扇区中的分区表、基本分区I/O表、逻辑分区的引导扇区被改写或者清零，造成系统不能启动，用DOS启动软盘引导后发现有些驱动器的盘符丢失，甚至全部丢失，根本看不到任何盘符的情况。 　　对于此类硬盘数据丢失的恢复，需要对硬盘的数据结构有较为清晰的了解。本文旨在通过对一例40GB硬盘的数据恢复过程的解读，伴读者走进这个似为神秘的领域，使对硬盘数据结构有一定了解的读者能试着自己动手恢复大量丢失了的硬盘数据。 　　了解一下硬盘数据丢失的原因，会对查找故障点及解决问题的思路有所帮助。对一块找上门来求助恢复数据的硬盘，如果硬盘的主人对原来的分区情况无法提供有用信息（这在多数情况下是正常的），在什么情况下丢失的也不清楚，则修复起来就会困难一些；如果知道先前有几个分区以及每个分区的大小，甚至能了解数据是在遭受了何种病毒袭击后丢失的，那么针对该病毒特征所做的数据恢复工作就会顺利一些。 　　造成硬盘数据丢失的原因有以下几种： 目标为主引导扇区的计算机病毒袭击（如CIH、POLY BOOT等）； 恶意攻击程序的破坏；--从实质上讲，恶意攻击程序与计算机病毒没有大的区别，只不过前者的作用范围和具体目标有限，比起后者来，名不见经传而已，但其破坏作用不可小视。 使用测试级的硬盘分区工具软件对硬盘做了分区操作； 虽然使用了主流分区软件，但在分区或修改分区过程中有误操作； 其它（如硬盘对拷时，旧版本拷盘软件对新型大容量硬盘的几何构成参数识别不正确，导致拷贝完成后大容量硬盘的分区表有误）。 　　图1为某40GB硬盘的分区示意图，它使我们对硬盘的数据结构有一个基本了解。各分区长度为：第一分区 -- 6.32GB；第二分区 -- 6.32GB；第三分区 -- 6.32GB；第一逻辑分区 -- 19.86GB；第二逻辑分区 -- 2.15GB。图中用淡红色标明的扇区（尤以主引导扇区和第一分区引导扇区为最）是易受病毒攻击的扇区。 一．主引导扇区　　主引导扇区即主引导记录mbr(Master Boot Record)，是硬盘的第一个物理扇区（0柱面，0磁头，1扇区），也就是硬盘的0扇区。在它的512个字节中，包括三部分： 主引导程序代码，占446字节 硬盘分区表HDPT，占用64字节 主引导扇区结束标志AA55H 　　主引导程序代码又称第一关键代码，它的作用是找出系统当前的活动分区，负责把对应的一个操作系统的引导记录即当前活动分区的引导记录载入内存。此后，主引导记录就把控制权转给该分区的引导记录。IBM微型机及其兼容机用DOS的实用程序FDISK分区后，主引导程序代码是通用的。在主引导扇区中，从偏移000H开始到偏移1BEH结束的这446字节内容可以用带参数/mbr的FDISK命令FDISK /mbr重写，除了一并改写分区表之外，不会触及硬盘中其它数据。如果主引导记录被病毒覆盖、清零，或者被某些分区软件（如System Commander Deluxe 4.0）改写，则可以用相应DOS版本的FDISK /mbr命令加以更正。 　　硬盘分区表分为四小部分，每一小部分表示一个分区的信息，占16字节。这64字节的硬盘分区表又称为主引导扇区上的第二关键代码。在这里我们可以看出，硬盘的总分区数为什么不能大于4。此外，其中可激活分区数不得大于3，扩展分区数不得大于1，当前活动分区数必须等于1。图2为硬盘分区表的结构示意图。从偏移1BEH开始到偏移1FEH结束的64个字节是硬盘分区表。 　　分区表的每一部分长16字节。第0个字节是自举标志，其值为80H时，表示该分区是当前活动分区，可引导；其值为00H时，表示该分区不可引导。 　　第4字节是分区类型。如果分区不是NetWare服务器或Linux分区，则两个16进制数各表示不