數據恢復技術發展的客觀因素
據有關數據統計,每年有70%以上的用戶在使用優盤、移動硬碟等存儲設備時因為誤刪、病毒破壞、物理損壞、硬體故障等問題遭遇過數據丟失災難……諸多事件說明我們在享受數據信息帶來便利的同時,也不得不面對數據丟失帶來的巨大損失。
相對於有價的存儲介質(硬碟、隨身碟、CF卡、FLASH存儲),無價的數據更顯得彌足珍貴,於是找回丟失的數據、儘可能 降低損失程度成為了一件迫在眉睫的事情。面對巨大的信息安全漏洞,數據恢復技術同時也應運而生。而所謂數據恢復技術,簡單的說就是通過各種手段把丟失和遭到破壞的數據還原為正常數據。
傳統機械硬碟數據恢復技術概論
數據恢復恢復過程主要是將保存在存儲介質上的資料重新拼接整理,即使資料被誤刪或者硬碟驅動器出現故障,只要在存儲介質的存儲區域沒有嚴重受損的情況下,還是可以通過數據恢復技術將資料完好無損的恢復出來。
當存儲介質(包括硬碟、移動硬碟、隨身碟、軟碟、快閃記憶體、磁帶等)由於軟體問題(如誤刪除、病毒、系統故障等)或硬體原因(如震盪、撞擊、電路板或磁頭損壞、機械故障等)導致數據丟失時,
其中,軟體問題,如由格式化誤刪或者病毒引起的資料損失的情況下,大部分數據通過數據恢復軟體(如Easyrecover 、FinalData、Recover my file等),加上一些使用技巧和經驗,仍能將恢復的,除非數據已被完全覆蓋。因為損失的只有資料的連線環節,重新恢復連線資料區連線環節的話,便可以重新將資料恢復。
而因為硬碟本身問題而無法讀取資料時,需要通過專業的數據恢復工程師配合專業數據恢復設備(如效率源Data Compass、開盤機、DCK硬碟複製機等),在無塵環境下維修和更換髮生故障的零件,但因硬碟的款式繁多,而且每個品牌或者型號會使用不同的零件,所以專業數據恢復公司會建立了完善的零件庫,存儲大部分介質的零件,以配合數據恢復技術服務。
固態硬碟的數據恢復技術
根據權威數據恢復機構51Recovery了解,數據恢復技術是信息技術中一項新興的高新技術,由於存儲介質的高速發展,因此這項技術也是在不斷發展中。固態硬碟作為一種革新性品,代表未來存儲技術發展的方向,雖然有些廠商已經在設計的時候已經設計ECC校驗,或許通過更換內部部件、軟體等維修方式,相對這種技術還是有很大的局限性。當負責儲存數據的快閃記憶體顆粒有毀損,現時的數據修復技術是不可能在損壞的晶片中救回數據。因此,目前來看針對固態硬碟發生故障,還沒有一套完整的數據恢復解決方案。
數據恢復技術的原理
1.數據恢復原理一-分區表
數據恢復原理與分區表關係緊密。在主引導區中,從地址BE開始,到FD結束為止的64個位元組中的內容就是通常所說的分區表。無論系統中建立多少個邏輯磁碟,在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁碟。需要特別注意的是,由於主分區之後的各個分區是通過一種單向鍊表的結構來實現連結的,因此,若單向鍊表發生問題,將導致邏輯磁碟的丟失。這就是當硬碟被CIH病毒破壞後,我們可以通過KV3000的F10功能來找到丟失的D,E及以後的邏輯分區的原因。
2.數據恢復原理二-目錄區與數據區
目錄區DIR:是Directory即根目錄區的簡寫,在FAT12和FAT16格式中,DIR緊接在第二FAT表之後,而在FAT32格式中,根目錄區的位置可以在分區中的任意位置,其起始位置是由引導扇區給出的。單有FAT表還不能確定檔案在磁碟中的具體位置,只有FAT表和DIR區配合使用,才能準確定位檔案的確切位置。
數據區(DATA) 在DIR區之後,才是真正意義上的數據存儲區,即DATA區。
DATA雖然占據了硬碟的絕大部分空間,但沒有了前面的各部分,它對於我們來說,也只能是一些枯燥的二進制代碼,沒有任何意義。
3.數據恢復原理三-引導扇區與分配表作業系統引導扇區(OBR)
OBR(OS Boot Record)即作業系統引導扇區,通常位於硬碟的0磁軌1柱面1扇區(這是對於DOS來說的,對於那些以多重引導方式啟動的系統則位於相應的主分區/擴展分區的第一個扇區),是作業系統可直接訪問的第一個扇區,它也包括一個引導程式和一個被稱為BPB(BIOS Parameter Block)的本分區參數記錄表。檔案分配表(FAT)
FAT(File Allocation Table)即檔案分配表,是DOS/Win9x系統的檔案定址系統。為了防止意外損壞,FAT一般做兩個(也可以設定為一個),第二FAT為第一FAT的備份, FAT區緊接在OBR之後(對於FAT32格式,位置是從引導扇區開始的第32個扇區就是第一個FAT表的位置),其大小由這個分區的空間大小及檔案分配單元的大小決定。
數據恢復技術案例
一、恢復重裝XP後的Ubuntu引導分區
windows xp崩潰了,於是重裝xp,把原來的Ubuntu引導分區表mbr給衝掉了,不過沒關係,修復一下mbr就可以了。 首先說一下mbr的作用:當我們啟動計算機時。計算機首先運行Power On Self Test(POST),即加電自檢。POST檢測系統的總記憶體以及其他硬體設備的現狀。如果計算機系統的BIOS(基礎輸入/輸出系統)是即插即用的,那么計算機硬體設備將經過檢驗以及完成配置。計算機的基礎輸入/輸出系統(BIOS)定位計算機的引導設備,然後MBR(Master Boot Record-硬碟主導記錄)被載入並運行。如果用戶僅安裝Windows98,則被自動引導到桌面。如果是WindowsXP/2000/2003,那么則會將控制權交給NTLDR-系統載入器,調用Boot.ini,顯示多重選單檔案。抹MBR就是抹硬碟引導記錄。
當我們重裝了windows以後,由於硬碟mbr被重寫,即把原來mbr中grub的信息清除了,那么grub自然就不能啟動了,也就不能引導linux了,此時很多人可能就只能重裝linux了,但其實只需簡單的對mbr修復一下就可以了。
下面就說一下修復mbr的方法:
首先,把Ubuntu的安裝光碟放進去,然後啟動.正常進入安裝界面,打開終端:
1、輸入:sudo grub,於是變成
grub>
2、先找到你的ubuntu的啟動分區在哪(就是你的/boot目錄所在的分區)
輸入:find /boot/grub/stage1
我機器上回車之後顯示:(hd0,2) 這裡hd0是指第一個硬碟,2代表第3個分區,即Ubuntu根目錄所在分區(0代表第一個分區)。
3、輸入:grub>root (hd0,2)
4、輸入:grub>setup (hd0)
如果出現successed,就表示成功了。
5、輸入:grub>quit,然後重啟。
對於有多個硬碟的朋友,請但是注意一點,如果你的windows裝在第一塊磁碟,而linux裝在第二塊磁碟,而你的bios設定為從第一塊磁碟啟動,那么在進行以上第3步的時候,一定要把參數設為你的第一塊磁碟。即要把grub裝入引導硬碟的mbr里,當然,比較傻瓜的,你可以將grub裝入每塊硬碟的mbr,不信你試試看,肯定可以啟動,這只是一個先後次序問題
二、NTFS格式大硬碟數據恢復特殊案例
一塊80G 邁拓金九硬碟,某天突然進不了分區,提示為“無法訪問X: 參數錯誤”。硬碟上為該公司為本市攝製和編輯的運動會視頻和音頻檔案,攝錄磁帶中已清除,運動會也不可能再開一次。先前到某電腦公司去試過,結果沒能解決問題。廣告公司經理和我的一個朋友是朋友,知道此事後就轉來我處。
修復過程:該硬碟為只有一個NTFS分區的數據盤,先在DOS下用扇區編輯軟體查看LBA0--63扇區,結果發現分區表和63扇區都有錯誤,1—62扇區間有大量扇區被寫上不明代碼,87-102扇區不正常,先手工修復分區表,恢復63引導扇區,刪除1—62扇區間的代碼。87-102扇區之間暫不處理,到WINDOWS下檢查,結果還是出現同樣的提示,試用恢復軟體1,可以看到目錄結構,再試FINALDATE,這個軟體此時太不盡人意;用恢復軟體1選擇某目錄進行試恢復,結果28個試恢復檔案只恢復2個,其餘的全部為0位元組,恢復工作陷入困境。再次對79-102扇區進行分析,79扇區面目全非,被嚴重篡改破壞,80-86扇區被清空,87-102扇區的內容也不正常。經過一番苦思冥想,對某些扇區進行備份後做清除,備份被放到1-62扇區之間,以備不測時改回原樣。
再次在WINDOWS下用恢復軟體1進行恢復,讓其讀該盤約10秒鐘,停止掃描,看到的內容和前面提到的相同,試恢復一個資料夾,從恢復過程能看到這時恢復動作正常了,隨後對其餘的檔案和資料夾進行恢復,近3個多小時後,63.9G資料全部恢復,檔案中幾乎就AVI、WAV、PSD和其它格式的圖形檔案,逐個打開完全正常。恢復工作順利結束,大功告成。
後來一個朋友說這個分區應該是2000格式化出來的,mft在分區的前面,很容易被破壞,象此案里裡面87-102扇區里大約有6個左右的用戶檔案/資料夾是恢復不出來的,但102~~以後的檔案應該能完全恢復的。在ntfs裡面,一般90扇區以後的mft才是用戶的檔案信息,前面的是系統的一些元檔案,對數據恢復影響不大的。
個人覺得ntfs還是比較先進的,檔案碎片都放在一個mft裡面,只要這個扇區沒有被破壞,就可以恢復。
NTFS的結構確實比較複雜,正常情況下所有的操作MFT中有記錄。但是,那些扇區被使用,那些沒被使用,這些概念還是很有用的。
實驗盤被刪除79-102扇區內容後,開機後不需要第三方軟體,檔案和目錄直接可以讀出拷貝到其它地方。查看被刪除扇區內容,95扇區後的內容都自動修復了,80-94嘛......看來MFT中應該還有一個備份,或是具有自動修復功能。
故障盤為何就不能自動修復?且不讓訪問。故障盤中某些扇區看來是被利用了。它的數據恢復是通過第三方軟體得到的,對第三方軟體來講,就算格式化了,絕大部分數據還是能找回來的。