数据恢复技术基础第六讲.docVIP

〔据恢复技术基础 四川师范大学计算机科学学院郭果 第六讲DOS分区体系及MBR分析 这一讲的内容.? 1、概述2、DOS 1、 概述 2、 DOS分区体系 3、 MBR分析一主分区 4、 EBR （虚拟MBR）分析??扩展分区 一、概述 5、 5、 DOS分区体系下的数据恢复 根据前面的介绍，我们知道，要想使用硬盘来存储数据，首先要 将硬盘进行分区（常规情况下，低级格式化可以不用做！），规划出合 理的逻辑区域，然后，对各个区域进行高级格式化来建立相应的文件 系统，以后，操作系统才能够在这些分区上进行数据的存储与管理了。 在有正确分区的计算机中，计算机系统的启动程序通过记录在分 区表（或叫磁盘标签）中的分区信息对各个分区进行识别与管理。如 果这些信息被损坏，就会表现为分区不可见，数据丢失等等问题。 由于可能要安装不同的操作系统来管理硬盘，管理数据，这就是 环境的差异，因此，就有了各种不同的分区体系，如DOS分区体系、 Apple分区体系、DSB分区体系、Sun Solaris分区体系、GPT分区体 系以及移动介质分区系统等等。这些分区体系就是我们应该深入学习 的，是数据恢复技术的基本内容。 后面我们重点学DOS分区体系。 二、DOS分区体系 DOS分区是使用最多的分区类型。在多年来，DOS分区体系一 直是INTELIA32硬件平台（i386/x89等）的分区体系。Microsoft将 使用DOS分区体系的磁盘称为（主引导记录“Master Boot Recorder”） MBR磁盘。 DOS分区体系不仅仅是DOS操作系统或WINDOWS操作系统 使用的一种分区系统，也就是说，DOS分区并不是以操作系统的不 同而划定的分区体系，它是指“主引导记录（MBR）”的分区体系。 能使用DOS分区体系的操作系统除了微软的DOS和WINDOWS 外，还有如Linux以及基于IA32平台的FreeBSD和OpenBSD等操 作系统都能使用DOS分区体系。 DOS分区是最常见也是最复杂的分区体系。 微软的另外一种分区体系是GPT（全局ID分区表“ GUID Partition Table”）磁盤。GPT是windows Server 2003屮能使用的一种磁盤架构， 是一种基于Itanium计算机中的可扩展固件接口（Extensible Firmware Interface, EFI）使用的磁盘分区架构。 这种64位的Itanium版WINDOWS系统采用的磁盘布局，与传 统的32位磁盘布局架构（DOS分区体系）完全不同。 DOS分区体系与GPT分区体系的区别： GPT允许每个磁盘有多达128个分区，而MBR体系最多只能有 4个主分区（或3个主分区加一个扩展分区和无限制的逻辑驱动器 等）； GPT支持高达18千兆兆字节（EB，exabytes）的卷，而MBR 体系磁盘支持的最人卷为2TB； GPT允许将主磁盘分区表和备份磁盘分区表用于冗余，支持唯 一的磁盘和分区ID,以及性能更加稳定等等。 如果在“磁盘管理”中的磁盘属性对话框中观察“卷”，如果使 用的是GPT分区，磁盘显示为GUID分区表（GPT）磁盘；如果使 用MBR分区，就显示为主启动记录（MBR）磁盘。 三、MBR分析一主分区 参见实验教材“实验十”! 、EBR （虚拟MBR）分析??扩展分区 参见实验教材“实验H”！ 五、DOS分区体系下的数据恢复 在数据恢复的过程中（包括电了取证），常常需要对分区（或卷） 进行分析。在分区表结构正常的情况下，可以使用自动分析软件对整 个磁盘或磁盘的镜像进行分析。但是，有时候分区表会遭到破坏，或 者文件系统出现问题，自动分析软件就无法正常地解释出数据内容， 这时候就需要我们技术人员进行手工分析了。 技术人员不仅仅需要对现在存在的分区结构及文件系统进行分 析，还需要对磁盘的整个布局结构进行详细的分析，以寻找出所有曾 经可能存在的分区及文件系统。 因为我们所需要的数据也许并不是由现有的分区及文件系统进 行管理的，而是很由可能存在于以前的分区布局及文件系统中。而且， 并不是磁盘上的所有扇区都被分配给分区和文件系统使用，而是会有 若干数量的保留及隐藏扇区。在这部分扇区中，很有可能保留有存在 于以前的文件系统上的数据，也有可能被有意用于隐藏一些敏感的数 据内容。 要对磁盘进行分析，一般地，首先要根据某些特征找到分区表， 再根据分区表中提供的分区起始位置、分区大小等信息确定一个卷所 在的位置。之后，根据卷内的管理信息确定其文件系统类型、管理方 式等，进而提取出宥用的数据。 如果分区表已经被破坏，就要首先根据磁盘.h的文件系统信息或 其他残留分区信息重建分区表，然后，再进行后续的工作。 特别对于RAID屮的卷，如果卷是由磁盘上的多个不连续的空间 组成的，或是由多个磁