刘海峰
(山西省国土资源学校,山西 晋中 030620)
【摘要】本文详细分析了硬盘的数据结构、文件的存储原理以及文件系统(FAT、FAT32、NTFS)。从数据丢失和破坏的原因入手,重点研究了数据恢复的方法和恢复原理,并使用数据恢复软件对丢失的数据进行了恢复,将数据损失减少到最低。
教育期刊网 http://www.jyqkw.com
关键词 数据恢复;硬盘;存储原理
在信息化时代,计算机数据安全已越来越为人们所关注,因此研究数据丢失的原因、预防办法以及数据恢复技术越来越显得重要。由于数据恢复技术的特殊性,其应用的范围不仅在于将失去的重要数据进行恢复,使所有权人的数字财富免受突出其来的损失,更重要的是,随着信息化社会里一切资料和信息的数字化保存趋势,过去传统性的军事、商业、竞争情报收集与挖掘,以及针对各种各类犯罪行为而展开的司法意义上的数字化取证技术,都不可避免地与数据恢复技术产生不同应用层面的关联。
数据恢复简单地说,就是把遭受破坏或者硬件缺陷导致不可访问或由于误操作等各种原因导致丢失的数据,通过还原成正常的数据,即恢复至它本来的“面目”。
1 数据出现丢失和破坏包括三个方面
1.1 恶意的程序。最常见的恶意程序就是病毒。
1.2 其他恶意的破坏。常见的是系统正常的删除、移动、格式化等操作,还有的是网络上的非法用户对该系统进行任何操作。
1.3 硬件失效。这也是数据丢失的最大原因之一。
2 硬盘的逻辑结构
2.1 硬盘工作原理
硬盘存储数据是根据电、磁转换原理实现的。硬盘由一个或几个表面镀有磁性物质的金属或玻璃等物质盘片以及盘片两面所安装的磁头和相应的控制电路组成,其中盘片和磁头密封在无尘的金属壳中。
硬盘工作时,盘片以设计转速高速旋转,设置在盘片表面的磁头则在电路控制下径向移动到指定位置然后将数据存储或读取出来。当系统向硬盘写入数据时,磁头中“写数据”电流产生磁场使盘片表面磁性物质状态发生改变,并在写电流磁1场消失后仍能保持,这样数据就存储下来了;当系统从硬盘中读数据时,磁头经过盘片指定区域,盘片表面磁场使磁头产生感应电流或线圈阻抗产生变化,经相关电路处理后还原成数据。
2.2 硬盘的数据信息构成
硬盘的数据信息由五部分组成:1、主引导纪录MBR;2、DOS引导记录DBR;3、文件分配表FAT;4、文件目录表FDT;5、用户数据区DATA。其中,MBR由分区软件创建,DBR区、FAT区、FDT区,DATA区由高级格式化创建。我们平时保存的文件都放在数据DATA区中。
3 数据损坏类型及相关恢复方法
3.1 文件存储与读取原理
当我们存储一个文件的时候,操作系统首先会在一个记录所有空间使用情况的文件分配表中,找到足够容纳我们的新文件的空间,然后把文件内容写到相对应的硬盘扇区上,最后在分配表中标出该空间被占用了。当我们删除一个文件的时候,一般并不对实际文件所占用的扇区进行操作,而是仅仅在该分配表中标记哪些空间是空白的,可以分配给别的文件使用。事实上在这个时候,要删除的文件的实际内容并没有受到破坏,可以恢复回来。但是如果我们删除一个文件后,在原来文件所在的扇区上,又重新创建了一个文件,那么被删除文件所占用的扇区就有可能被新创建的文件所使用,这时候就无法恢复原来被删除的文件了。
3.2 硬盘数据损坏类型及相应的恢复方法
3.2.1 文件删除及其恢复
文件删除后的恢复方法相对简单。操作系统删除文件的操作进行了两方面个操作:(1)将文件在磁盘的文件目录表中的相应文件目录登记项的第一个字节更改了E5H;(2)将文件所占簇号在文件分配表中的记录清零,以释放该文件所占空间。文件数据信息仍然“保留”在硬盘数据区中。因此此类型的数据恢复只要通过某些硬盘管理工具或者数据恢复软件(比如EasyRecovery),按照有关的设置进行。被彻底删除的文件还是很容易被恢复过来。必须注意的是,恢复后的数据一定不能存放在原来的硬盘分区。
3.2.2 硬盘重分区或其它情况下的分区表损坏分析。
第一种情况,在windows下一般利用DOS下的fdisk命令或者其它硬盘分区工具重新对硬盘进行分区后改写了硬盘分区表,也就是修改了硬盘的逻辑0扇区。
第二种情况,由于个人误操作或者病毒入侵修改了硬盘逻辑0扇区(即硬盘主引导记录)从而使得系统无法启动。
解决方法:
将硬盘挂接到另一台计算机上进入系统。在系统下启动winhex打开挂接的硬盘,首先查看此硬盘的逻辑0扇区结尾标识是否为55AA.若不是将之修改为55AA,将硬盘接到原计算机上开机是否能启动系统。
若重分区后不能对系统进行格式化。则可能是硬盘MBR引导程序损坏。进入DOS系统用fdisk/mbr修复硬盘逻辑0扇区的错误。
若确定是分区表损坏。如果之前曾用磁盘医生备份过硬盘分区表,可以使用磁盘医生恢复硬盘的分区表。如果是手动备份的。可以使用WinHex十六进制数据查看工具修复硬盘分区表。
如果实在对硬盘的分区表没有任何备份。则只有将硬盘接到其它电脑上。使用有关数据恢复工具类似FinalData数据恢复之类的数据恢复工具扫描硬盘上的目录与文件。但是恢复的程度无法保证。
3.2.3 硬盘格式化情况下数据恢复
硬盘格式化就是重写了硬盘文件分配表。同样硬盘上的实际数据还是没消失。此时硬盘一般无法再引导系统,如果要恢复数据,最好不要对硬盘进行任何操作。
此类情况下数据恢复我们可以考虑一点就是一般情况下每个硬盘分区中FAT(文件分配表)都有一个备份。首先我们必须利用硬盘分区大小,分区格式,簇大小计算出硬盘FAT大小。查找硬盘第一个FAT位置,再计算出硬盘第二个FAT所在扇区。使用有关磁盘操作工具或者winhex工具恢复文件分配表。
3.2.4 恢复已经备份的分区表恢复
当系统由于误操作或者病毒破坏而使系统无法启动,经检查是硬盘的分区表损坏。如果在硬盘刚分区时有正好进行过硬盘分区表的备份。此时可以用以下的方法试着恢复硬盘分区表,这样系统又可以完好如初,且整个文件系统也不会有任何破坏。总的来说,硬盘的分区结构就是一个链式结构。
硬盘的逻辑0扇区就是主引导记录(MBR)其中偏移1BEH--偏移1FDH是硬盘的主分区表。总共64个字节,第16个字节记录一个分区的情况。一般硬盘可以有一个主分区一个扩展分区。其中扩展分区有多个逻辑分区。
上面我们使用的工具是WinHex。使用这个工具我们可以在windows界面下看到硬盘所有数据,以十六进制数表示一个字节。同时我们可以用这个工具修改硬盘上的数据。这也正是我们修复硬盘分区表的关键所在。
总之,数据恢复是出现问题之后的一种补救措施,既不是预防措施,也不是备份。在一些特殊情况下数据将很难被恢复,如数据被覆盖,低级格式化清零,磁盘盘片严重损伤等。平时除了要做好数据备份,还要根据实际情况制定一套详尽的数据安全保护措施,减少数据灾难发生的可能性,做到未雨绸缪,不必等到数据丢失后才来恢复。
教育期刊网 http://www.jyqkw.com
参考文献
[1]张尧学,史美林,张高.计算机操作系统教程[M].3版.北京:清华大学出版社,2006.
[2]姜灵敏.微机硬盘管理技术[M].北京:人民邮电出版社,1999.
[3]张树.硬盘故障处理与数据维护[M].北京:电子科技出版社,1997.
[责任编辑:汤静]