数据恢复技术研究.docVIP

数据恢复技术研究 　　摘要：数据恢复已成为信息安全领域研究的一大热点。该文讨论了数据丢失的一般原因，分析了数据恢复的原理，可行性及策略，介绍了常用的数据恢复软件，最后指出了数据恢复面临的困难及其前景。 　　关键词：数据恢复；数据销毁；MBR 　　中图分类号：TP311文献标识码：A 文章编号：1009-3044(2008)23-948-02 　　计算机在人们日常生活和工作中的地位日趋重要， 其中存储了大量与人们工作和生活有关的信息，一旦这些存储在计算机中的重要数据丢失其后果将不堪设想，因此恢复这些丢失的重要数据及其重要。 　　 　　1 数据恢复的概念 　　 　　“数据恢复” 技术，就是面对计算机系统遭受误操作、病毒侵袭、硬件故障、黑客攻击等事件后， 将用户的数据从各种存储设备中拯救出来， 从而将损失减到最小的技术。从数据恢复的目的来看，它属于计算机安全，而恢复的手段又与计算机维护有着紧密的联系，因此可以说数据恢复是从计算机安全与计算机维护发展起来的新领域。随着信息化热潮在中国的不断推进， 信息安全逐渐被人们所重视，使数据恢复的重要性正在被业广泛关注。 　　 　　2 数据丢失的原因 　　 　　数据丢失通常可分为两种情况：硬故障原因和软故障原因。其中硬故障是指硬盘由于自然灾害或者人为因素受到物理性损伤导致数据无法正常读取。 　　软故障是指硬盘物理性能完好只是由于用户的错误操作或由于病毒以及人为操作错误造成的数据丢失，常见有：误 　　格式化或误分区、误克隆、误删除或覆盖、意外电磁干扰、黑客利用漏洞非法入侵用户、网络环境的病毒感染、零磁道损坏、主引导程序损坏、FAT表破坏、DBR故障和硬盘逻辑锁等。在出现以上情况时，导致数据丢失与破坏、操作系统丢失， 无法正常启动、磁盘读写错误， 找不到所需文件、文件打不开或文件打开后乱码、硬盘没有分区、或提示某个硬盘分区没有格式化系统错误或瘫痪等具体特征。 　　 　　3 数据恢复的原理 　　 　　3.1 硬盘存储结构 　　一块新硬盘，必须经过分区、格式化、安装操作系统后方能使用。经过分区、格式化之后， 在硬盘中就建立起了主引导扇区包括主引导记录MBR 和分区表DPT 、操作系统引导扇区DBR 、主引导记录FAT、根目录区DIR 和数据区Data 计五个部份。 　　MBR位于整个硬盘的 0 柱面 0 磁头 1 扇区， bios 在执行自己固有的程序以后就会jump 到 MBR 中的第一条指令。将系统的控制权交由 MBR 来执行。MBR 不随操作系统的不同而不同，意即不同的操作系统可能会存在相同的 MBR ，即使不同， MBR 也不会夹带操作系统的性质。 　　DBR通常占用分区的第 0 扇区共 512 个字节 ，是操作系统可以直接访问的第一个扇区，它包括一个引导程序和一个本分区参数记录块（B P B）。引导程序的主要任务是当MBR 将系统控制权交给它时，判断本分区根目录前两个文件是不是操作系统的引导文件。如果是就将其读入内存，并把控制权交给该文件。BPB 记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元的大小等重要参数 　　FAT表是Microsoft在FAT文件系统中用于磁盘数据（文件）索引和定位引进的一种链式结构。为了数据安全起见，FAT一般做两个，第二FAT为第一FAT 的备份，FAT 区紧接在DBR 之后，其大小由本分区的大小及文件单元的大小决定。 　　DIR位于Fat2之后，记录着文件的起始单元， 它与Fat相互配合， 准确定位一个文件在硬盘中的具体位。 　　Data：前面四部分的功能仅是用来启动和管理硬盘的， 只占用很小一部分空间。其余的绝大部分空间是用来存储用户需要的文件的，即数据区。 　　3.2 文件的读写及删除的原理 　　文件写入：操作系统首先在DIR区找到空位记录文件名、文件类型等基本信息，然后在数据区的空白位置写人文件内容，并将data区的第一个分配单元写回DIR区。 　　文件读取：操作系统首先从DIR区中找到该文件的基本信息及第1个分配单元内容，并查找Fat中对应的单元号，然后找到对应于该号的data区的内容， 如此重复直到遇到文件的结束标志ff时，读取完成。 　　文件删除：用户对文件的删除，包括彻底删除，实际上并未将文件内容从data数据区中进行清除，而只是在目录区中将该文件的首字节改为“E5 ”标志。 　　 　　4 数据恢复的可行性分析及其策略 　　 　　硬故障原因造成数据丢失的情况很少，而且损坏程度较轻的数据一般可以通过硬盘修复工具或者相关的软件来恢复数据， 较重的则应到专业公司开盘处理来恢复数据。 　　下面主要讨论软恢复，又分为没有覆盖数据的恢复及被覆盖数据