| 一����、數據恢復的概述
數據恢復是指由于各種原因導致數據損失時把保留在存儲介質上的數據重新恢復的過程�����。從數據恢復的目的來看,它屬于計算機安全領域,而恢復的手段又與計算機的維護有著緊密的聯系,因此可以說數據恢復是從計算機安全與計算機維護兩方面發展起來的新領域�。近年來隨著信息化的飛速發展,辦公電子化已經是大勢所趨,不僅僅是IT相關領域的企業,傳統企業以及學校���、政府機關也開始全方位啟用信息化存儲模式,從而大大提高了相應部門的辦公效率,但是隨之而來的便是由于數據文件受病毒入侵或者因數據存儲介質發生故障等情況而導致數據損壞��、丟失的問題,面對這一情況我們有必要對數據丟失的原因進行進一步的分析���。
二���、數據丟失的原因
造成數據丟失的原因大致可以分為兩類:即邏輯方面的問題和硬件方面的問題,或者稱為軟故障和硬故障�。
1.軟故障
1)磁道伺服信息出錯:是指因為某個物理磁道的伺服信息受損或失效,導致該物理磁道無法被訪問�。
2)系統信息區出錯:是指硬盤的系統信息區(硬盤內部的一個系統保留區,里面又分成若干模塊,保存了許多硬盤出廠的參數��、設置信息和內部控制程序)在通電自檢時讀不出某些模塊的信息或者校驗不正常,導致硬盤無法進入準備狀態���。
3)扇區邏輯錯誤:是指因為校驗錯誤����、扇區標志錯誤�����、地址信息錯誤��、壞塊標記錯誤等原因導致該扇區失效��。
4)惡意程序的破壞:大家最熟悉的惡意程序就是病毒,病毒的感染就是一種破壞�。一個病毒無論修改硬盤的引導區���、可執行程序,都能改變正常的數據�����。惡意程序還包括特洛伊木馬等,它們造成的破壞可能是最難恢復的���。
5)誤操作:很多數據丟失源于使用者的操作失誤,比如誤刪除��、誤格式化等等����。
6)操作系統或應用軟件的錯誤引起數據丟失:隨著操作系統和應用程序代碼量的成倍增加,BUG也在不斷增加����。
7)突然掉電引起的數據丟失:可能不僅僅是內存數據的丟失,有時也可能造成磁盤數據的丟失,或導致系統無法正常啟動���。
8)內存溢出:導致內存溢出或者進程非法終止等低層錯誤的原因很多,它與掉電一樣,會使你損失當前的工作數據���。
2.硬故障
1)磁頭組件損壞或有誤差:主要指硬盤中磁頭組件的某部分被損壞,造成磁頭無法正常讀寫的情況�。磁頭組件損壞的方式和可能性非常多,主要包括磁頭粉塵��、磁頭磨損��、磁頭懸臂變形��、磁線圈受損��、移位等����。
2)控制電路損壞:是指硬盤的電子線路板中的某一部分線路斷路或短路,或者某些電氣元件或IC芯片損壞等等,導致硬盤在通電后盤片不能正常起轉,或者起轉后磁頭不能正確尋道等��。
3)綜合性損壞:主要是指因為一些微小的變化使硬盤產生的種種問題��。有些是硬盤在使用過程中因為發熱或者其他原因導致部分芯片老化;有些是硬盤在受到震動后,外殼或盤面或馬達主軸產生了微小的變化或位移;有些是硬盤本身在設計方面就存在散熱��、摩擦或結構上的缺陷��。種種原因導致硬盤不穩定,經常丟失數據或者出現邏輯錯誤,工作噪音大,讀寫速度慢,甚至有時不能正常工作等�。
4)扇區物理性損壞:是指因為碰撞�、磁頭摩擦或其他原因導致磁盤盤面出現的物理性損壞,比如盤片劃傷�、掉磁等���。
針對以上的種種問題,我們該如何具體進行數據恢復,還需要對其原理進行進一步的研究����。
三����、數據恢復的原理
通常我們使用計算機所要應用到的數據均存儲于計算機硬盤之中,當發生數據損壞或丟失的狀況需要從相應的存儲介質上恢復數據時,我們首先要了解存儲介質的具體結構,即硬盤存儲結構以及相應操作的基本原理����。
1.硬盤存儲結構
硬盤分成主引導區(MBR—MasterBootRecord)����、操作系統引導區(DBR—DosBootRecord)���、文件分配表(FAT—FileAllocationTable)�、目錄區(DIR)和數據區(DATA)五部分��。MBR記錄中包含了硬盤的一系列參數和一段引導程序;其中的硬盤引導程序的主要作用是檢查分區表是否正確并在系統硬件完成自檢后引導具有激活標志的分區上的操作系統,并將控制權交給啟動程序�。MBR是由分區程序所產生的,它不依賴任何操作系統,而且硬盤引導程序也是可以改變的,從而實現多系統共存����。DBR是操作系統可以直接訪問的第一個扇區,它包括一個引導程序和一個被稱為BPB(BIOSParameterBlock)的分區參數記錄表�����。引導程序的主要任務是當MBR將系統控制權交給它時,判斷本分區根目錄前兩個文件是不是操作系統的引導文件�。如果確定存在,就把它讀入內存,并把控制權交給該文件���。BPB參數塊記錄著本分區的起始扇區����、結束扇區�����、文件存儲格式��、硬盤介質描述符�、根目錄大小��、FAT個數,分配單元的大小等重要參數���。DBR是由高級格式化程序所產生����。FAT的主要功能是管理硬盤分區,為了防止意外損壞,FAT一般做兩個(也可以設置為一個),第二FAT為第一FAT的備份���。同一個文件的數據并不一定完整地存放在磁盤的一個連續的區域內,而往往會分成若干段,像一條鏈子一樣存放����。由于硬盤上保存著段與段之間的連接信息,操作系統在讀取文件時,總是能夠準確的找到各段的位置并正確讀出��。在FAT之后便是目錄區與數據區,其中目錄區起到定位的作用�����。DIR記錄每個文件的起始單元和屬性,定位文件時,操作系統根據DIR的起始單元再結合FAT表,就可以知道文件在磁盤中的具體位置�。而數據區則是真正存儲數據的地方,但若沒有前幾個部分,存儲的數據就會是一些無用的二進制代碼��。
2.具體操作原理
在系統中的相應誤操作,并沒有將數據從硬盤的物理扇區中徹底刪除,只是對硬盤中的一部分信息做了修改�����。在執行“刪除文件”時,系統將文件所占的文件簇在FAT中的對應表項值全部置0,當系統在FAT中檢測到0時,就認為該文件簇處于空閑狀態,可以寫入其它文件����。但在新數據寫入前,老數據并沒有在硬盤中被刪除,直到新數據寫入其扇區,老數據才被真正覆蓋刪除�。同樣的,在高級格式化時,系統并沒有把DATA的數據全部清除,只是對相應的FAT表做了重寫����。對硬盤重新分區的操作,系統也并沒有修改DATA的數據,只是修改了MBR和DBR,但由于MBR和DBR的改變導致文件數據的路徑被破壞,這樣系統就不能找到和利用這些數據了��。
數據恢復培訓 http://www.ysyouxuan.com.cn |
