数据恢复专业技术原理专业技术应用专业技术戴士剑.pptVIP

数据恢复技术原理与应用 ;1. 数据恢复的概念与范畴; 数据恢复，简单的说，就是对一切计算机相关存储设备中丢失的数据进行恢复，这些数据包括所有存储在存储设备中的数据—系统数据与用户数据。 这里所说的恢复，指的并不是与备份相对应地那个恢复，而是指对于系统表现为不可见的“信息”，通过一定的技术手段，使之重现的恢复。; 这里所说的系统，包括当前所有的操作系统，除主流的Microsoft、UNIX、LINUX系列外，也包括MAC系列、各种数字设备/仪表使用的嵌入式系列以及实时操作系统等。 这里所说的存储设备，指的是断电后能保持的存储设备，一般并不包括易失性的存储设备，如内存等。; 这些存储设备，除了直接与计算机相连的，也包括其他所有同源的与计算机相关的存储设备。也就是说，数据恢复的工作对象涵盖了从最早的软盘，到后来逐渐发展起来的各种硬盘、光盘、移动存储设备，数码存储设备（各种存储卡），MP3、录音笔、数码相机、工控设备、嵌入式设备、PDA、手机等等，以及它们在各种系统下的各种组合，如工作在不同操作系统下的RAID、NAS、SAN等等，在数据不可访问时，都可以进行恢复。; 数据出现问题后为什么能够恢复，这与操作系统如何管理存储设备上的数据直接相关。这里以Windows系列为例来介绍这个问题，其他操作系统类似。 我们都知道，微软从DOS开始，使用的文件系统为FAT12，后来逐渐发展到FAT16、FAT32和NTFS，这些都只是操作系统管理存储介质中的数据的一种方式，是用来索引磁盘上的数据的，类似于图书分类索引，用于定位和管理磁盘上的数据。; 如FAT文件系统，在磁盘分区中，第一个扇区是引导扇区，引导扇区中有很多参数，操作系统在访问该分区时，就用这些参数来定位FAT文件系统中的其他系统数据，以确定该分区中数据的存储情况。微软操作系统访问数据时是以文件为单位进行访问的，也就是直接与用户打交道的数据单元是文件，如使用资源管理器对文件进行复制、删除、移动等等，就是修改数据，也是修改的文件的数据，这些数据都是依存于文件的，文件不存在了，数据也就不存在了。那么FAT文件系统是如何管理这些文件的呢？;首先，FAT对磁盘扇区的划分方式如下图所示。; 操作系统通过引导扇区获取磁盘分区的相关参数，确定两个FAT表的位置和大小，以及文件目录表（FDT）的位置，系统在查找文件/目录时，通过文件目录表来获取文件/目录的相关信息，如文件/目录名、大小、时间戳等，以及存储的首簇（系统在管理扇区时是以簇为单位的，一个簇可能是1、2、4、8、16、32、64个扇区等）号，根据首簇号一方面到数据区相应地簇号所对应的扇区找到首簇数据，另一方面从FAT表中找到后续的簇以及结束标示，其FAT表与数据区中的簇是一一对应的，FAT后面的数字12、16和32分别表示FAT表中用多少位来表示数据区中的一个簇，而数据区的实际数据只能通过文件/目录及子目录来解释。这样就确定了一个完整的文件/目录，如下图所示。 ;; FAT16文件系统的文件目录项（FDT）每一项用32个字节来定义，其含义如下图所示。; FAT32文件系统的文件目录项（FDT）每一项用32个字节来定义，其含义如下图所示。; 这样，系统在删除文件时，只是把FDT项的第一个字节（即文件名的首字母）改为十六进制的“E5”（即ASCII码的“？”），然后将相应的FAT表中所对应的簇改为“0”，以表示所对应的数据区中的簇为空，可以存入新的数据（FAT32还需要将FDT中表示起始簇号的高16位清0）。所以，对于这样删除的数据，虽然从操作系统或文件系统的角度来说，文件/目录确实已经不存在了，但通过直接对磁盘扇区进行操作，修改FDT并重新建立FAT表，就可以将文件或目录恢复回来。 当然，重建的过程比想象的要复杂的多。; 对于NTFS分区来说，采用了和FAT不一样的管理方式。所有存储在分区中的数据都是文件，其中这些文件分为两大类，一类是元数据文件，这些元数据文件，用于引导该分区，确定文件系统的相关参数，定位文件的存储情况，相当于FAT文件系统中的DBR、FAT和FDT，是用来管理分区的，它们所占用的空间称为主文件表（MFT）；另一类是普通文件，它的磁盘扇区使用情况如下图所示。;; MFT中有一个元数据文件专门用来记录所有文件/目录的相关信息，每个文件/目录占用一条，称为文件记录，文件记录固定为1KB大小，个别结构复杂的文件/目录还可能占用多条文件记录。它的删除与FAT文件系统类似，也有一个标志位，同时将记录簇使用情况的位图文件相应的位清空，所以，删除的文件同样可以恢复。NTFS文件记录的组织结构如下图所示。;; 对于这两种文件系