数据恢复技术是一门新兴技术,它通过各种手段把丢失和遭到破坏的数据还原为正常数据。
客观因素
据有关数据统计,每年有70%以上的用户在使用优盘、移动硬盘等存储设备时因为误删、病毒破坏、物理损坏、硬件故障等问题遭遇过数据丢失灾难……诸多事件说明我们在享受数据信息带来便利的同时,也不得不面对数据丢失带来的巨大损失。
相对于有价的存储介质(硬盘、U盘、CF卡、FLASH存储),无价的数据更显得弥足珍贵,于是找回丢失的数据尽可能 降低损失程度成为了一件迫在眉睫的事情。面对巨大的信息安全漏洞,数据恢复技术同时也应运而生。而所谓数据恢复技术,简单的说就是通过各种手段把丢失和遭到破坏的数据还原为正常数据。
概论
数据恢复恢复过程主要是将保存在存储介质上的资料重新拼接整理,即使资料被误删或者
硬盘驱动器出现故障,只要在存储介质的
存储区域没有严重受损的情况下,还是可以通过数据恢复技术将资料完好无损的恢复出来。
当存储介质(包括硬盘、移动硬盘、U盘、
软盘、闪存、磁带等)由于软件问题(如误删除、病毒、系统
故障等)或硬件原因(如震荡、撞击、电路板或磁头损坏、机械故障等)导致数据丢失时,便可通过数据恢复技术把资料全部或者部分还原。因此,数据恢复技术分为:软件问题数据恢复技术和硬件问题数据恢复技术。
其中,软件问题,如由格式化误删或者病毒引起的资料损失的情况下,大部分数据通过
数据恢复软件(如
Easyrecovery、FinalData、Recovery my file等),加上一些使用技巧和经验,仍能将恢复的,除非数据已被完全覆盖。因为损失的只有资料的连接环节,重新恢复连接资料区连接环节的话,便可以重新将资料恢复。
而因为硬盘本身问题而无法读取资料时,需要通过专业的
数据恢复工程师配合专业数据恢复设备(开盘机、DCK硬盘复制机等),在无尘环境下维修和更换发生故障的零件,但因硬盘的款式繁多,而且每个品牌或者型号会使用不同的零件,所以专业数据恢复公司会建立了完善的零件库,存储大部分介质的零件,以配合数据恢复技术服务。
固态硬盘
根据权威数据恢复机构
51Recovery了解,数据恢复技术是信息技术中一项新兴的高新技术,由于存储介质的高速发展,因此这项技术也是在不断发展中。
固态硬盘作为一种革新性品,代表未来存储技术发展的方向,虽然有些厂商已经在设计的时候已经设计ECC校验,或许通过更换内部部件、软件等维修方式,相对这种技术还是有很大的局限性。当负责储存数据的闪存颗粒有毁损,现时的
数据修复技术是不可能在损坏的芯片中救回数据。因此,目前来看针对
固态硬盘发生故障,还没有一套完整的数据恢复解决方案。
原理
数据恢复原理与
分区表关系紧密。在
主引导区中,从地址BE开始,到FD结束为止的64个字节中的内容就是通常所说的
分区表。无论系统中建立多少个逻辑
磁盘,在
主引导扇区中通过一个
扩展分区的参数就可以逐个找到每一个逻辑磁盘。需要特别注意的是,由于
主分区之后的各个分区是通过一种
单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑
磁盘的丢失。这就是当硬盘被CIH病毒破坏后,我们可以通过KV3000的F10功能来找到丢失的D,E及以后的
逻辑分区的原因。
2.数据恢复原理二-目录区与数据区
目录区DIR:是Directory即根目录区的简写,在FAT12和FAT16格式中,DIR紧接在第二FAT表之后,而在FAT32格式中,根目录区的位置可以在分区中的任意位置,其起始位置是由
引导扇区给出的。单有FAT表还不能确定文件在
磁盘中的具体位置,只有FAT表和DIR区配合使用,才能准确定位文件的确切位置。
数据区(DATA) 在DIR区之后,才是真正意义上的数据存储区,即DATA区。
DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的
二进制代码,没有任何意义。
3.数据恢复原理三-
引导扇区与分配表操作系统引导扇区(
OBR)
OBR(OS Boot Record)即操作系统
引导扇区,通常位于硬盘的0
磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的
主分区/
扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。
文件分配表(FAT)
FAT(File Allocation Table)即
文件分配表,是DOS/Win9x系统的文件
寻址系统。为了防止意外损坏,FAT一般做两个(也可以设置为一个),第二FAT为第一FAT的备份, FAT区紧接在
OBR之后(对于FAT32格式,位置是从
引导扇区开始的第32个扇区就是第一个FAT表的位置),其大小由这个分区的空间大小及文件
分配单元的大小决定。
案例
windows xp崩溃了,于是重装xp,把原来的Ubuntu引导分区表mbr给冲掉了,不过没关系,修复一下mbr就可以了。 首先说一下mbr的作用:当我们启动计算机时。计算机首先运行Power On Self Test(POST),即加电自检。POST检测系统的总内存以及其他硬件设备的现状。如果
计算机系统的BIOS(基础输入/输出系统)是
即插即用的,那么
计算机硬件设备将经过检验以及完成配置。计算机的基础输入/输出系统(BIOS)定位计算机的引导设备,然后MBR(Master Boot Record-硬盘主导记录)被加载并运行。如果用户仅安装Windows98,则被自动引导到
桌面。如果是WindowsXP/2000/2003,那么则会将控制权交给NTLDR-系统加载器,调用Boot.ini,显示多重选单文件。抹MBR就是抹硬盘
引导记录。
当我们重装了windows以后,由于硬盘mbr被重写,即把原来mbr中grub的信息清除了,那么grub自然就不能启动了,也就不能引导linux了,此时很多人可能就只能重装linux了,但其实只需简单的对mbr修复一下就可以了。
下面就说一下修复mbr的方法:
首先,把Ubuntu的安装光盘放进去,然后启动.正常进入安装界面,打开终端:
1、输入:sudo grub,于是变成
grub>
2、先找到你的ubuntu的
启动分区在哪(就是你的/boot目录所在的分区)
输入:find /boot/grub/stage1
我机器上回车之后显示:(hd0,2) 这里hd0是指第一个硬盘,2代表第3个分区,即Ubuntu根目录所在分区(0代表第一个分区)。
3、输入:grub>root (hd0,2)
4、输入:grub>setup (hd0)
如果出现successed,就表示成功了。
5、输入:grub>quit,然后重启。
对于有多个硬盘的朋友,请但是注意一点,如果你的windows装在第一块
磁盘,而linux装在第二块磁盘,而你的bios设置为从第一块磁盘启动,那么在进行以上第3步的时候,一定要把参数设为你的第一块磁盘。即要把grub装入引导硬盘的mbr里,当然,比较傻瓜的,你可以将grub装入每块硬盘的mbr,不信你试试看,肯定可以启动,这只是一个先后次序问题
二、NTFS格式大硬盘数据恢复特殊案例
一块80G
迈拓金九硬盘,某天突然进不了分区,提示为“无法访问X: 参数错误”。硬盘上为该公司为本市摄制和编辑的运动会视频和音频文件,摄录磁带中已清除,运动会也不可能再开一次。先前到某电脑公司去试过,结果没能解决问题。广告公司经理和我的一个朋友是朋友,知道此事后就转来我处。
修复过程:该硬盘为只有一个NTFS分区的数据盘,先在DOS下用
扇区编辑软件查看LBA0--63扇区,结果发现
分区表和63扇区都有错误,1—62扇区间有大量扇区被写上不明代码,87-102扇区不正常,先手工修复分区表,恢复63
引导扇区,删除1—62扇区间的代码。87-102
扇区之间暂不处理,到WINDOWS下检查,结果还是出现同样的提示,试用恢复软件1,可以看到目录结构,再试FINALDATE,这个软件此时太不尽人意;用恢复软件1选择某目录进行试恢复,结果28个试恢复文件只恢复2个,其余的全部为0字节,恢复工作陷入困境。再次对79-102
扇区进行分析,79扇区面目全非,被严重篡改破坏,80-86扇区被清空,87-102扇区的内容也不正常。经过一番苦思冥想,对某些
扇区进行备份后做清除,备份被放到1-62扇区之间,以备不测时改回原样。
再次在WINDOWS下用恢复软件1进行恢复,让其读该盘约10秒钟,停止扫描,看到的内容和前面提到的相同,试恢复一个文件夹,从恢复过程能看到这时恢复动作正常了,随后对其余的文件和文件夹进行恢复,近3个多小时后,63.9G资料全部恢复,文件中几乎就AVI、WAV、PSD和其它格式的图形文件,逐个打开完全正常。恢复工作顺利结束,大功告成。
后来一个朋友说这个分区应该是2000格式化出来的,mft在分区的前面,很容易被破坏,象此案里里面87-102
扇区里大约有6个左右的用户文件/文件夹是恢复不出来的,但102~~以后的文件应该能完全恢复的。在ntfs里面,一般90
扇区以后的mft才是用户的文件信息,前面的是系统的一些元文件,对数据恢复影响不大的。
个人觉得ntfs还是比较先进的,
文件碎片都放在一个mft里面,只要这个
扇区没有被破坏,就可以恢复。
NTFS的结构确实比较复杂,正常情况下所有的操作MFT中有记录。但是,那些
扇区被使用,那些没被使用,这些概念还是很有用的。
实验盘被删除79-102
扇区内容后,开机后不需要
第三方软件,文件和目录直接可以读出拷贝到其它地方。查看被删除
扇区内容,95扇区后的内容都自动修复了,80-94嘛......看来MFT中应该还有一个备份,或是具有自动修复功能。
故障盘为何就不能自动修复?且不让访问。
故障盘中某些
扇区看来是被利用了。它的数据恢复是通过
第三方软件得到的,对第三方软件来讲,就算格式化了,绝大部分数据还是能找回来的。