下载文档原格式
浅析计算机数据恢复技术的原理与实现[摘要] 数据恢复技术对于数据的信息安全意义重大,是应对数据灾难的有力技术手段。
概要的介绍了计算机数据恢复技术的基本概念,对计算机硬盘数据恢复的理论基础和实现原理进行了详细地探讨。
[关键词] 数据恢复技术硬盘逻辑结构与数据组织数据逻辑恢复引言:在当今这样一个信息和网络化的社会里,计算机在我们的工作和生活中扮演着日益重要的角色,计算机的应用正以前所未有的广度和深度深入到人类生产、生活的各个领域。
各企事业单位、乃至个人几乎每时每刻都在使用计算机获取和处理各类信息,产生大量的数据,并将其以数据文件的形式保存在计算机中。
这些数据信息对于我们个人和单位来说有些是十分重要的宝贵数据资源甚至可以称为数据财富,这些数据资源一旦损毁将会导致灾难性的后果,造成单位和个人重大的经济损失,甚至有些损失是不可挽回的。
但是,这些数据信息并不像我们认为的那么安全,误操作、网络入侵、计算机病毒攻击和各种软、硬件故障等天灾人祸都在时刻威胁着数据文件的安全。
为了更好的保护这些宝贵的数据资源,仅仅依靠事先采取的种种预防性的技术措施,如:数据备份、定期杀毒、网络防火墙等,并不能完全确保这些数据资源不会遭到意外地损坏,因为一旦上述的预防措施失效,数据的信息安全仍然很脆弱。
那么最好的解决方案当然是“双管齐下、防治结合”,就是既要采取积极有效、全面细致的数据安全预防措施,更要全面深入地掌握数据恢复技术,深入探究数据损毁的机制和实现数据恢复的技术原理和技术手段,不断提高应对突发的数据灾难事件的能力。
下面将就数据恢复技术的含义、类型以及数据恢复的理论基础和实现原理进行详细地探讨。
一、计算机数据恢复的概述1.数据恢复的含义:简单地说,数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据,即恢复至它本来的“面目”。
数据恢复不仅对已丢失的文件进行恢复,还可以恢复物理损伤的磁盘数据,也可以恢复不同操作系统的数据。
了解电脑的数据恢复和修复技术在数字化时代,电脑成为人们生活和工作中不可或缺的工具。
然而,随着电脑使用的日益普及,各种数据丢失和硬件故障的情况也层出不穷。
为了解决这些问题,电脑数据恢复和修复技术应运而生。
本文将介绍电脑数据恢复和修复技术的基本原理和常见方法。
一、电脑数据恢复技术电脑数据恢复技术是指通过各种方法将丢失或删除的数据恢复到原来的状态。
它主要涉及以下几个方面的技术:1. 数据回收和备份在进行数据恢复之前,首先要进行数据回收和备份。
回收指的是通过专业软件或硬件工具,将已经被删除或格式化的数据从存储介质中恢复出来。
备份则是指将重要的数据复制到其他存储介质中,以防止数据丢失。
2. 磁盘扇区读取数据恢复的基本原理是通过读取磁盘扇区中的二进制代码来还原数据。
由于磁盘扇区存储数据的方式非常复杂,需要借助专业的设备和技术才能进行读取。
3. 数据片段重组由于磁盘扇区的读取是以片段的形式进行的,而且常常受到物理损坏或逻辑错误的影响,因此需要对读取到的数据片段进行重组。
这一过程涉及到数据的解码、排序和组合等操作。
4. 数据修复和修正在进行数据恢复的过程中,有时会遇到数据损坏或错误的情况。
针对这种情况,需要通过相关的修复和修正技术来还原数据的完整性和准确性。
二、电脑硬件修复技术除了数据恢复技术,电脑硬件修复技术也是电脑维修中不可或缺的一部分。
它主要包括以下几个方面的技术:1. 主板修复主板是电脑的核心部件,一旦出现故障,将导致整个电脑无法正常运行。
主板修复技术包括检测和修复电路板上的元件,解决主板短路、电容爆炸和电路断开等问题。
2. 硬盘修复硬盘是电脑中存储数据的重要设备,由于长时间的使用和物理损坏等因素,硬盘故障是较为常见的问题之一。
硬盘修复技术可以通过更换磁头、修复磁盘驱动器和重装系统等方式来解决硬盘故障。
3. 显示器修复电脑显示器是信息输出的重要设备,如果出现故障将导致无法显示图像。
显示器修复技术主要包括更换显示芯片、修复背光灯和调整显示参数等操作。
电脑数据恢复原理嘿,朋友们!今天咱来聊聊电脑数据恢复原理这个有意思的事儿。
你想想啊,咱电脑里那可都是宝贝啊,各种照片、文档、资料啥的,那可都是咱的心血呀!有时候一不小心误删了,或者电脑出了啥毛病,数据丢了,那可真让人抓狂啊!就好像你辛辛苦苦搭的积木城堡,一下子被风吹倒了一样,心疼不?那这数据恢复到底是咋回事呢?其实啊,就跟找东西一样。
电脑的数据就像是你藏在一个大箱子里的各种小物件,虽然看不见,但它们都在那里。
当数据丢失了,就好像这些小物件被藏得更深了,或者被挪到别的地方去了。
而数据恢复呢,就是要把这些小物件给找回来。
咱可以这么理解,电脑的存储就像是一个大仓库,每个文件都有它自己的位置。
当你删除一个文件的时候,其实并不是真的把它给抹去了,只是在这个仓库的“目录”上把它标记为删除了,就好像在一个大地图上把某个地方划掉了,但那个地方其实还在。
而数据恢复软件呢,就是那个能找到这些被标记删除地方的“侦探”。
比如说,你不小心把一张特别珍贵的照片删了,哎呀,那叫一个着急啊!这时候数据恢复软件就出马了,它会在那个大仓库里到处找,看看能不能找到那张照片还“藏”在哪个角落里。
有时候可能找起来挺容易的,一下就找到了;可有时候就没那么简单了,得费点功夫,就像你找一只藏起来的小猫一样。
那数据恢复有没有可能失败呢?当然有啦!就好像你找东西,有时候就是找不到嘛。
比如说,如果你的数据被覆盖了,那就好比原来放东西的地方被新的东西给占了,那可就难找回啦。
或者如果电脑的存储出了大问题,那也不好弄呀。
所以啊,咱平时可得小心点,别随便乱删东西,就像你不会随便把家里的宝贝乱扔一样。
而且还要经常备份数据,就像你会把重要的东西多放几个地方一样,这样就算丢了一份,还有备份呢!咱还得注意,别随便用那些不靠谱的数据恢复软件,万一弄不好,反而把数据给弄没了,那不就得不偿失了嘛!要找就找那些靠谱的、专业的。
总之呢,电脑数据恢复原理其实并不复杂,就是要想办法把那些我们以为丢了的宝贝给找回来。
浅谈数据恢复技术的原理和硬盘数据恢复作者:董文亮陈思超万燕珍来源:《电脑迷·上旬刊》2018年第05期摘要:当前随着计算机信息技术普及,大量工作信息、个人信息采用电子数据的形式,存储于个人电脑、服务器、智能终端等电子设备上的存储介质上,从而导致日常工作和生活越来越严重依赖于电子设备和电子数据,数据的重要程度也越来越高。
在设备使用过程中,软件逻辑故障以及存储介质硬件故障,将导致数据丢失并造成无法挽回的损失,而数据恢复和硬盘维修这门专业性很强的技术,也越来越被各大企业重视。
关键词:硬盘;数据存储;数据恢复1 数据恢复技术的基本分类及技术层级:1.1数据恢复技术的基本分类1.软恢复:主要是恢复操作系统、文件系统层的数据。
这种丢失主要是软件逻辑故障、病毒木马、误操作等造成的数据丢失,物理介质没有发生实质性的损坏,一般来说这种情况下是可以修复的,一些专用的数据恢复软件都具备这种能力。
在所有的软损坏中,系统服务区出错属于比较复杂的,因为即使同一厂家生产的同一型号硬盘,系统服务区也不一定相同,而且厂家一般不会公布自己产品的系统服务区内容和读取的指令代码。
2.硬恢复:主要针对硬件故障而丢失的数据,如硬盘电路板、盘体、马达、磁道、盘片等损坏或者硬盘固件系统问题等导致的系统不认盘,恢复起来一般难度较大。
这时要注意不要尝试对硬盘反复加电,也就不会人为造成更大面积的划伤,这样还有可能能恢复大部分数据。
3.数据库系统或封闭系统恢复:这部分系统往往自身就非常复杂,有自己的一套完整的保护措施,一般的数据问题都可以靠自身冗余保证数据安全。
如SQL、Oracle、Sybase等大型数据库系统,以及MAC、嵌入式系统、手持终端系统,仪器仪表等系统往往恢复都有较大的难度。
4.覆盖恢复:恢复难度非常大,一般民用环境下因为需要投入的资源太大,往往得不偿失。
但是在尖端的国防军事等国家统筹或者个别掌握尖端科技的硬盘厂商能做到,具体技术都涉及核心机密,无法探知。
学会使用电脑软件进行数据恢复在现代信息化时代,电脑已经成为我们日常生活和工作中不可或缺的工具。
然而,随着电脑使用的普及,我们也不可避免地会遇到数据丢失的情况。
数据的丢失可能会给我们带来很多不便,甚至会对我们的工作和生活造成重大影响。
因此,学会使用电脑软件进行数据恢复是很重要的。
一、数据恢复的原理在深入了解电脑软件数据恢复之前,我们首先需要了解数据恢复的基本原理。
当我们的文件被删除或者储存设备发生故障导致数据丢失时,并不是真正意义上的数据完全消失,而是文件系统将其从可见状态变为隐藏状态。
因此,利用恢复工具能够找回这些隐藏的数据。
二、选择合适的数据恢复软件选择一款合适的数据恢复软件是数据恢复过程中的关键步骤。
市场上有很多不同的数据恢复软件可供选择,每一款软件都有其特点和适用范围。
在选择合适的软件时,我们需要考虑以下几个因素:1. 支持的存储设备类型:不同的数据恢复软件可能只支持特定类型的存储设备,例如硬盘、闪存驱动器、SD卡等。
因此,我们需要根据自己的需求选择支持相应设备类型的软件。
2. 恢复方式:不同的软件可能采用不同的恢复方式,包括快速扫描、深度扫描、分区恢复等。
我们需要根据实际情况选择合适的恢复方式。
3. 文件格式支持:数据恢复软件通常会支持多种文件格式,例如图片、视频、文档等。
我们需要确保选用的软件支持我们需要恢复的文件格式。
三、数据恢复步骤在选择了合适的数据恢复软件后,我们可以按照以下步骤进行数据恢复:1. 下载和安装软件:根据选定的软件,从官方网站上下载最新版本的软件,并按照安装指导进行安装。
2. 启动软件并选择恢复方式:打开软件后,根据实际情况选择合适的恢复方式。
如果不确定,可以先进行快速扫描。
3. 选择恢复目录:在软件中选择需要恢复数据的目录。
如果知道数据所在的具体位置,可以直接选择该目录进行扫描。
4. 扫描和恢复:软件会自动扫描选定的目录,并列出可恢复的文件。
我们可以在列表中选择需要恢复的文件,然后点击恢复按钮将其保存到指定位置。
了解电脑数据恢复的基本原理电脑数据恢复是一项重要的技术,它可以帮助用户恢复误删除、丢失或损坏的数据。
了解电脑数据恢复的基本原理对于平时使用电脑的人来说是非常有用的。
本文将介绍电脑数据恢复的基本原理,帮助读者更好地理解该技术的运作方式。
一、数据恢复概述在开始介绍电脑数据恢复的基本原理之前,我们首先需要了解数据恢复的概念。
数据恢复是指通过专业的软件和技术手段,从储存设备中恢复被删除、丢失或损坏的数据的过程。
这些储存设备包括硬盘、固态硬盘、闪存驱动器等。
二、数据删除的原理在理解数据恢复的原理之前,我们需要知道数据删除的原理。
当我们在电脑中删除一个文件时,实际上并不是将该文件从硬盘中彻底清除,而是通过修改磁盘文件系统中的文件表信息,告诉操作系统该文件所占用的空间可以被重用。
因此,被删除的文件依然存在于硬盘中,只是无法通过正常手段访问到而已。
三、数据恢复的原理电脑数据恢复的基本原理是通过扫描存储设备,寻找并重建被删除或损坏的文件。
具体而言,数据恢复软件通过以下过程进行数据恢复:1. 扫描存储设备数据恢复软件会对存储设备进行扫描,找到已被删除或损坏的文件。
这个过程需要对存储设备的每个扇区进行逐个扫描,以寻找文件的数据结构和标识信息。
2. 重建文件结构当数据恢复软件找到一个被删除或损坏的文件时,它会尝试重建文件的数据结构。
这个过程包括恢复文件名、日期、大小等属性,并确定文件的存储位置。
3. 恢复文件内容一旦文件的结构被重建,数据恢复软件将尝试从存储设备中读取文件的内容。
在某些情况下,可能只能恢复文件的部分内容,这取决于文件的状况和存储设备的状态。
四、数据恢复的限制尽管数据恢复技术可以在大多数情况下成功恢复数据,但仍然存在一些限制。
1. 物理损坏如果存储设备发生了物理损坏,如硬盘磁头损坏或磁盘驱动器无法正常工作,数据恢复将变得非常困难甚至不可能。
2. 被覆盖的数据当我们继续使用电脑并写入新的数据时,这些新数据可能会覆盖被删除的文件所占用的空间。
数据恢复原理详解数据恢复是一项关键的技术,用于从损坏、丢失或受损的存储设备中恢复数据。
无论是因为硬件故障、误操作、病毒感染还是其他原因,数据恢复都可以帮助用户恢复丢失的文件和信息。
本文将详细介绍数据恢复的原理,以及一些常用的数据恢复方法。
首先,要了解数据恢复的原理,我们需要了解数据在存储设备上的分布方式。
当我们将文件保存在硬盘、闪存驱动器或其他存储媒介上时,操作系统会将文件划分为一个个的数据块,并将这些数据块存储在不同的扇区或页中。
每个数据块都有一个唯一的地址,以便操作系统能够准确地找到它们。
当文件被删除或存储设备受损时,其实际数据并没有被立即擦除或损坏。
相反,操作系统只是将文件系统的索引表中的相应条目标记为“删除”或“空闲”。
这意味着文件系统不再将这些数据块视为占用的,并且可以被新的数据覆盖。
但是,在数据被覆盖之前,这些标记为“删除”的数据块仍然存在,并且可以通过数据恢复技术进行恢复。
数据恢复的原理可以分为两个主要步骤:数据采集和数据重建。
数据采集是指从损坏或受损的存储设备中读取数据的过程。
这可以通过物理读取、逻辑读取或其他方法来实现。
物理读取是直接从存储设备上读取数据,而逻辑读取则是通过操作系统来读取数据。
数据采集的主要目标是获取尽可能多的原始数据,以便在后续的数据重建过程中使用。
数据重建是将采集到的原始数据转换为可用文件的过程。
这包括解析文件系统的结构、还原文件的目录结构和文件分配表,以及将数据块组合成完整的文件。
数据重建需要依靠特定的算法和技术,根据数据的特征和结构来恢复文件。
例如,在恢复照片时,可以通过分析文件头和图像特征来确定图像文件的开始和结束位置,并将它们组合成完整的图像。
除了数据采集和数据重建,数据恢复还需要考虑文件的完整性和一致性。
在数据恢复过程中,可能会遇到某些数据块受损或缺失的情况。
为了确保恢复的文件能够正常使用,需要修复或补充这些损坏或缺失的数据块。
这可能涉及到数据的修复、数据的恢复或其他技术手段。
数据恢复的原理是什么
数据恢复的原理是通过对存储介质上已经被删除或损坏的数据进行分析和处理,以尽可能地恢复数据的完整性和可用性。
数据恢复的基本原理包括以下几个方面:
1. 删除数据的恢复:当用户删除文件时,操作系统并不会真正地从存储介质上删除文件的内容,而是将被删除的文件标记为可被覆盖的状态。
数据恢复过程通过扫描存储介质,找回被删除但尚未被覆盖的文件内容。
2. 文件系统恢复:当文件系统损坏时,数据可能会变得难以访问或不可见。
数据恢复过程通过对文件系统的分析和修复,重新建立文件的索引信息,使得数据再次可被访问。
3. 硬件故障恢复:硬件故障可能导致数据无法访问或存储介质损坏。
数据恢复过程通过对硬件进行修复或替换,以恢复数据的可访问性。
4. 数据片段的重建:在存储介质上,文件可能会被分散存储为多个数据片段,当某个数据片段损坏时,可能会导致文件无法完全访问。
数据恢复过程通过重建损坏的数据片段,使得文件内容再次完整可用。
5. 数据备份恢复:数据备份是数据恢复过程中的一种重要手段。
通过将数据定期备份到其他存储介质或远程服务器,并在数据损坏或丢失时进行恢复,可以最大程度地保证数据的完整性和可用性。
综上所述,数据恢复的原理主要涉及删除数据恢复、文件系统恢复、硬件故障恢复、数据片段的重建和数据备份恢复等方面,通过对存储介质和文件系统的分析和处理,以及硬件的修复和数据备份的应用,实现了数据的恢复和再利用。
电脑恢复删除数据的原理和方法Computer data recovery is a process that involves restoring lost or deleted data from a computer's storage media. 电脑数据恢复是一个过程,涉及从计算机存储介质中恢复丢失或删除的数据。
Whether it's a document, photo, video, or any other type of file, when something is accidentally deleted or lost due to a system failure, data recovery becomes necessary.当一些东西由于系统故障而被意外删除或丢失时,无论是文档、照片、视频还是任何其他类型的文件,数据恢复变得必要。
The principle behind computer data recovery lies in the fact that when data is deleted from a storage device, it is not actually removed from the drive. 电脑数据恢复背后的原理在于,当数据从存储设备中删除时,它实际上并没有从驱动器中删除。
Instead, the space occupied by the deleted data is marked as available for new data to be written over it, which means that until new data is written in its place, the deleted data remains recoverable.相反,被删除数据占据的空间被标记为可供新数据覆盖使用,这意味着在新数据写入此位置之前,被删除的数据仍然可恢复。
硬盘数据恢复技术探讨金元兵唐华灵西南大学信息管理系,重庆荣昌 402460摘要:数据恢复技术是保证计算机数据安全的重要技术,是当前各行各业信息化关注的热点问题。
文章通过对硬盘的数据存储结构的分析,探讨了硬盘数据恢复的基本技术,并结合实际软件开发讨论了数据恢复方法及其实现。
关键词:数据恢复;删除恢复;格式化恢复;Raw恢复the Analysis of Hard Disk Data Recovery TechnologyJin Yuanbin Tang HualingDepartment of the Information Management Southwest University, ChongQing RongChang 402460Abstract: Data recovery, which is vital to keep safe to computer data. nowadays, business information is a hot issue. Through the analysis of the hard disk data storage structure, and the technology of data recovery, in conjunction with the discussion of the actual software development and data recovery methods to achieve.Key Word: Data recovery; Deleted recovery; Formated recovery; Raw recovery;1 引言随着科学技术的迅猛发展,信息化已经成为当前各行各业关注的重点问题。
而数据作为信息化管理的核心部分,其安全性已受到了人们越来越多的重视,如何能够迅速而正确地恢复数据也就成了至关重要的问题。
本文结合数据恢复软件开发实例,讨论数据恢复的方法实现。
2 数据恢复的分类从数据恢复方式来看,主要有软件恢复方式、软硬件结合恢复方式和深层信号还原方式三种。
软件恢复方式主要是在硬盘还可以使用的情况下用数据恢复软件恢复数据,这种恢复方式恢复成本低,但对于那些已经坏掉的硬盘就显得无能为力了。
软硬件结合方式则是先修复硬盘或开盘读出盘片中的数据后再用软件恢复数据,这种方式的数据恢复率是相当惊人的,即使是位于物理坏道上面的数据,由于多种信息的缺失而无法找出准确的数据值,也可以通过大量的运算,在多种可能的数据值之间进行逐一代入,结合其他相关扇区的数据信息,进行逻辑合理性校验,从而找出逻辑上最符合的真值,但这种方式还是不能恢复被覆盖了的数据。
深层信号还原方式则通过分析盘片表面的深层磁介质状态,通过使用不同波长、不同强度的射线对这个晶体进行照射,可以产生不同的反射、折射和衍射信号,然后通过分析各种反射、折射和衍射信号,就可以帮助我们“看到”在不同深度下这个磁介质晶体的残影。
但由于这种方式现实技术复杂、恢复成本高,而且目前世界范围内也没有几个国家可以拥有这样的技术,只有极少数规模庞大的计算机公司和不计成本的政府机关能拥有这样级别的数据恢复设备。
3 硬盘的存储结构图1表示了硬盘的存储结构,包括MBR区、DBR区、FAT区、Dir区和数据区五个部分。
图1MBR(Main Boot Record)区位于整个硬盘的0磁道0柱面1扇区,共占512字节。
它由 446字节的主引导程序,64字节的分区表记录和2字节的结束标记(“55AA”)组成。
它的具体内容由分区程序产生,不属于任何一个操作系统,其主要作用是检查分区表是否正确并读出引导分区中的操作系统引导程序。
它不能被操作系统直接访问,一般通过Int 13或扩展Int 13读取数据。
在DOS或Win9x下运行Debug命令,然后依次输入下面的代码读取MBR内容:-a 汇编指令XXXX:0100 mov ax, 201 ah为操作方式,2为读,3为写;al读写的扇区数XXXX:0103 mov bx, 400 bx为读写数据所在的内存地址XXXX:0106 mov cx, 1 高10位为柱面号,低6位为扇区号XXXX:0109 mov dx, 80 dh 为磁头号,dl 为驱动器号XXXX:010C int 13 调磁盘读写中断XXXX:010E int 3 断点中断XXXX:010F-g=100 执行上述汇编-d 400 显示MBR 内容DBR (DOS Boot Record )区位于0磁道1柱面1扇区,是操作系统可以直接访问的第一个扇区,它包含引导程序和BPB(BIOS Parameter Block)。
它由格式化程序产生,不同的分区格式的DBR 有所不同。
FAT (File Allocation Table )区文件系统给文件分配空间的一张表,它的每一项都与磁盘的数据块一一对应。
在FAT16中每项占用2字节,FAT32中每项占用4字节。
因此在知道分区大小的情况下不难算出FAT 的长度。
为了防止FAT 意外损坏,系统特在FAT 后面备份了一个一模一样的FAT ,当第一个FAT 遭破坏后可以将第二个FAT 恢复后继续使用。
FAT16分区的FAT 长度计算公式为:FAT 扇区数 = 51242 每簇扇区数根目扇区数 - 2 扇区数FAT -保留扇区数-扇区总+⨯⨯数分区 FAT32分区的FAT 长度计算公式为:FAT 扇区数 = 51284 每簇扇区数 2 扇区数FAT -保留扇区数-扇区总+⨯⨯数分区 若结果不为整数时,则按进一法取整。
下面为FAT16分区的计算例子:由240975个扇区组成的FAT16分区中,保留扇区数为6,根目录扇区数为32,每个簇4个扇区组成,求FAT 至少应该包含多少个扇区?FAT = {[(240975 – 6 – 2 × FAT – 32) / 4] × 2 + 4} ≈ 234.839,取整为235,所以该分区的FAT 表至少应该由235个扇区组成。
Dir(Directory)区为文件目录表,它与FAT 配合确定文件的具体位置。
注意,在Dir 区仅保存文名、长度、起始位置、创建时间、修改日间和最后访问日期。
数据区即文件真正存放的位置,保存着文件的详细内容。
4 数据恢复技术4.1 删除恢复4.1.1 FAT分区文件恢复在FAT分区中,当我们删除一个文件时仅仅修改了FAT区和Dir区的数据内容。
在这个过程中,系统将Dir区中对应文件的第一个字节改为“E5H”,然后再将对应的FAT 记录清零释放使用空间,将对应的区域标记为未使用,而修改数据区的内容。
下面是对删除Test.txt文件前和删除文件后的对比分析图:图2 删除Test.txt文件前的资源管理器图3 删除Test.txt文件后的资源管理器图4 删除Test.txt文件前的FAT图5 删除Test.txt文件后的FAT图6 删除Test.txt文件前的Dir图7 删除Test.txt文件后的Dir图8 删除Test.txt文件前的数据区图9 删除Test.txt文件前的数据区因此,当一个文件是连续存放的时,我们可以比较容易地恢复删除的文件。
但有时我们可能会修改某些文件内容或者磁盘剩余空间不是很大的候时,都可能使文件零散存放,这时在恢复数据时就只能从多方面来判断分析数据才能正确地恢复数据。
4.1.2 NTFS分区文件恢复NTFS分区与FAT类似,只是在删除文件时不是修改的FAT和Dir,而是修改的MFT 和位图记录。
删除文件的过程中将对应文件的MFT记录中偏移16H的2字节改为0即代表该MFT记录已经被删除,然后再将该MFT记录在MFT位图中所对应的位清零,最后将文件所对应的位图清零就完成了文件的删除操作。
MFT记录及数据流格式请参考/ntfs。
MFT记录的数据(80H)中详细的记录的文件各数据段的起始位置和长度,可以方便的恢复数据,而不用像FAT 那样为文件不是连续存放担心恢复效果。
4.2 格式化恢复4.2.1 FAT 分区当我们重新格式化磁盘时仅仅重写了DBR 、FAT 和根目录区的数据,所以分区、格式化后仍然可以恢复磁盘中的数据。
但由于分区被重新格式化后无法找到以前分区的根目录入口,并且无法准确知道以前分区的簇大小。
因此格式化恢复的重难点在于确定簇大小和根目录的位置。
用过DOS 系统的人都知道用Dir 显示子目录内容时会发现里面有“.”和“..”两个目录,其中“.”代表当前目录,“..”代表上一级目录。
下面我们先看一下FAT32中的FDT (File Directory Table )结构,如图10所示:图 10 FAT32的FDT 表项分析在格式化恢复时,首先确定数据区的起始位置和簇大小,然后再搜索分区中的残留目录数据,最后恢复数据。
确定数据区的起始位置的基本步骤是:逐一读取分区中的扇区内容,判断扇区中的数据是不是子目录数据,即判断偏移0字节、32字节、33字节处是否为“.”(“2EH ”)且是否为目录。
若是,则确定扇区所对应的簇号,并计算簇大小,然后再根据“数据区起始扇区号 = 当前扇区号 – (当前簇号 – 2) × 每簇扇区数”,公式减2是因为在FAT 中前两个簇号为保留簇号,未使用;否则继续搜索下一个扇区。
然后再继续搜索子目录数据,直到搜索完整个分区。
这种方式有的优点是:①实现简单,不需要掌握其体的文件格式;②搜索速度较快。
缺点是:文件名 扩展名 属性 未用 文件创建时间 16位文件长度①它只能找出每个目录中第一个簇内的FDT,当一个目录中的文件较多时无法找到存储在后面的FDT;②当文件不是连续存放时恢复难度较大。
4.2.2 NTFS分区恢复NTFS分区中的数据,主要通过查找分区中残留的MFT记录来恢复数据。
仔细阅读NTFS分区资料后会发现所有的文件描述信息都存储在文件的MFT记录中,其中包括文件名,大小,起始位置,长度,创建日期等信息;其次是每个MFT记录头都以“FILE”标记开头。
因此恢复NTFS分区中的文件可以分为以下几步:①在分区中查找以“FILE”开头的扇区;②进一步分析扇区中的内容并判断是否为真正的MFT记录;③按照MFT记录格式解释读出的数据内容;④根据文件的大小和文件所占用的簇数计算出以前分区的簇大小;⑤恢复数据。
由于在MFT的数据流中详细地记录了文件的存储位置,所以在NTFS分区中采用格式化恢复方式恢复数据的成功比FAT分区高得多。
4.3 Raw恢复在恢复数据时,可能会遇到目录结构或MFT已经完全破坏了的情况,而文件真正的数据内容并没有被覆盖,此时删除恢复和格式化恢复方式就显得无能为力了。
