硬盘数据恢复技术原理及其实现
hp硬盘中的恢复分区
hp硬盘中的恢复分区1.引言1.1 概述概述部分应该对读者提供关于HP硬盘恢复分区的基本概念和背景信息,让读者对该主题有一个初步的了解。
因此,我们可以根据以下的内容来编写概述部分:概述部分:HP硬盘恢复分区是指为了解决操作系统损坏或数据丢失等问题而在HP计算机的硬盘上划分的特定区域。
这个恢复分区是一个隐藏的分区,其主要目的是在系统发生故障时,通过恢复分区中储存的备份系统和文件来快速恢复和修复计算机。
与传统的备份方法相比,HP硬盘恢复分区提供了更便捷和高效的故障恢复解决方案。
通过HP硬盘恢复分区,用户可以将计算机系统恢复到出厂设置或备份的最新状态。
无论是因为病毒感染、系统错误、重要文件丢失,还是其他各种原因,HP硬盘恢复分区都可以帮助用户迅速恢复系统并重建数据。
此外,HP硬盘恢复分区还提供了系统修复工具和驱动程序,以确保恢复后的系统能够正常运行。
然而,HP硬盘恢复分区也有其局限性。
首先,恢复分区的容量通常是有限的,因此,用户需要定期备份重要文件以确保数据的完整性和安全性。
此外,恢复分区的操作也可能会对用户自定义的配置和文件产生一定的影响,因此,在使用恢复分区之前,建议用户先备份重要数据并了解恢复分区操作的影响。
总之,HP硬盘恢复分区作为一种高效和便捷的故障恢复解决方案,为用户提供了快速恢复操作系统和数据的方法。
然而,用户在使用恢复分区时需要谨慎,确保数据的备份和了解操作的局限性。
在未来,我们期望HP硬盘恢复分区能够进一步完善和发展,以满足不断增长的用户需求。
1.2 文章结构本文将以以下几个部分进行论述:1. 引言:在本节中,将对HP硬盘恢复分区的概念进行概述。
首先解释什么是恢复分区以及其作用。
随后,介绍本文的目的和意义。
2. 正文:本节将详细介绍HP硬盘恢复分区的操作方法。
首先,会对恢复分区的具体定义进行阐述,解释其实质和原理。
随后,将介绍具体的操作步骤和技巧,并提供相关的指导和建议。
3. 结论:在本节中,将对HP硬盘恢复分区的优势和局限性进行分析和总结。
基于NTFS文件系统的数据恢复编程技术
基于NTFS文件系统的数据恢复编程技术作者:高洪涛李孟林赵璇元来源:《信息安全与技术》2015年第06期【摘要】文章针对由主观因素造成计算机中数据丢失的情况提出了一种Windows NTFS 文件系统下数据恢复的实现方法,介绍了NTFS 数据恢复编程的原理,设计了数据恢复的编程框架,并结合实际编程完成了数据恢复的实现,最后通过测试验证了程序的功能可用性。
本程序创新性采用自定义结构体的方式扫描MFT表,速度飞快,同时能读出Linux环境下用DD 命令拷贝的文件,所有数据恢复操作均在内存中进行,不会对磁盘写入任何数据。
【关键词】 NTFS;数据恢复;编程1 引言随着信息化社会的快速发展及电脑的广泛应用,使用计算机进行犯罪的案件越来越多,给人们和社会造成了巨大的财产损失。
然而,为了逃脱公安机关的打击,犯罪分子经常将计算机上的犯罪数据信息彻底删除,或将分区甚至整个硬盘进行格式化操作,从而使得重要的犯罪证据丢失,给案件的取证带来极大的困难。
因此,如何迅速准确地在计算机上恢复出犯罪证据,成为切实打击犯罪的一个关键因素。
在NTFS卷中,虽然文件被删除了,但其MFT表项并没有清空。
不过删除文件的同时,MFT被清空的可能性也存在,在极端情况下,如系统分配给MFT的空间已经接近用完时,系统在删除文件的同时也会将MFT清空,并直接用其他文件的MFT覆盖该文件的MFT。
一般情况下,只要MFT表项没有清空,则文件MFT表项中80属性值就不会清空,也就是说文件数据还存在磁盘上,故文件数据就存在恢复的可能。
2 编程需要的原理要想进行数据恢复,就必须知道文件存储的原理,本文首先对NTFS 文件系统、主文件表MFT结构以及文件的几个关键属性(即文件名、标准信息、数据流等)进行分析。
2.1 NTFS文件系统概述NTFS是随着 Windows NT操作系统而产生的,全称为“New Technology File System”,中文意为新技术文件系统,简称“NTFS”。
浅谈Windows数据恢复原理及其实现资料
硬盘数据恢复技术探讨金元兵唐华灵西南大学信息管理系,重庆荣昌 402460摘要:数据恢复技术是保证计算机数据安全的重要技术,是当前各行各业信息化关注的热点问题。
文章通过对硬盘的数据存储结构的分析,探讨了硬盘数据恢复的基本技术,并结合实际软件开发讨论了数据恢复方法及其实现。
关键词:数据恢复;删除恢复;格式化恢复;Raw恢复the Analysis of Hard Disk Data Recovery TechnologyJin Yuanbin Tang HualingDepartment of the Information Management Southwest University, ChongQing RongChang 402460Abstract: Data recovery, which is vital to keep safe to computer data. nowadays, business information is a hot issue. Through the analysis of the hard disk data storage structure, and the technology of data recovery, in conjunction with the discussion of the actual software development and data recovery methods to achieve.Key Word: Data recovery; Deleted recovery; Formated recovery; Raw recovery;1 引言随着科学技术的迅猛发展,信息化已经成为当前各行各业关注的重点问题。
而数据作为信息化管理的核心部分,其安全性已受到了人们越来越多的重视,如何能够迅速而正确地恢复数据也就成了至关重要的问题。
计算机与办公设备维护技能作业指导书
计算机与办公设备维护技能作业指导书第1章计算机硬件维护基础 (5)1.1 计算机硬件概述 (5)1.2 硬件维护工具与设备 (5)1.3 计算机硬件维护方法 (5)1.4 硬件故障排查与处理 (6)第2章计算机软件维护技巧 (6)2.1 软件维护概述 (6)2.2 操作系统优化与维护 (6)2.2.1 定期更新操作系统 (6)2.2.2 系统清理 (6)2.2.3 磁盘整理 (6)2.2.4 系统备份与恢复 (7)2.3 应用软件维护 (7)2.3.1 软件更新 (7)2.3.2 软件卸载 (7)2.3.3 软件设置优化 (7)2.4 软件故障处理策略 (7)2.4.1 故障诊断 (7)2.4.2 故障排除 (7)2.4.3 预防措施 (7)2.4.4 数据恢复 (7)第3章电脑操作系统安装与升级 (7)3.1 操作系统安装准备 (7)3.1.1 确认电脑硬件配置:在进行操作系统安装之前,需详细检查电脑的硬件配置,以保证其满足操作系统安装的最低要求。
(7)3.1.2 选择合适的操作系统版本:根据用户需求及电脑硬件配置,选择合适的操作系统版本。
(7)3.1.3 准备安装介质:制作操作系统安装盘(如USB闪存盘、DVD光盘等),并保证其可正常使用。
(8)3.1.4 备份数据:在进行操作系统安装之前,务必备份电脑中的重要数据,以防数据丢失。
(8)3.1.5 调整BIOS设置:启动电脑时,进入BIOS设置,调整启动顺序、硬盘模式等参数,以便顺利安装操作系统。
(8)3.2 操作系统安装过程 (8)3.2.1 启动电脑并进入BIOS:重启电脑,根据提示进入BIOS设置。
(8)3.2.2 设置启动顺序:在BIOS设置中,将启动顺序调整为从安装介质(如USB闪存盘、DVD光盘等)启动。
(8)3.2.3 开始安装操作系统:保存BIOS设置并退出,启动安装程序,按照提示进行操作系统安装。
(8)3.2.4 分区与格式化硬盘:根据需求对硬盘进行分区和格式化。
数据恢复技术的应用与原理
数据恢复技术的应用与原理近年来,随着计算机和移动设备的广泛应用,数据的重要性愈发凸显。
然而,由于各种原因,我们常常会遇到数据丢失或损坏的情况,这不仅给我们的工作和生活带来了困扰,更对个人和企业的利益造成了不可估量的损失。
为了解决这一问题,数据恢复技术应运而生。
本文将介绍数据恢复技术的应用领域以及其原理。
一、数据恢复技术的应用领域1. 个人用户个人用户是数据恢复技术的重要应用对象。
个人用户的数据丢失或损坏可能是由于误操作、病毒攻击、硬件故障等原因引起的。
数据恢复技术可以帮助个人用户从磁盘、U盘、移动设备等存储介质中恢复误删除、被格式化或损坏的数据。
例如,当我们误删了重要的文件时,可以借助数据恢复技术将其找回,极大地方便了个人用户的日常使用。
2. 企业和组织对于企业和组织而言,数据的安全性和重要性更加突出。
数据丢失对企业造成的经济损失和声誉损害都是不可小觑的。
数据恢复技术可以帮助企业和组织从各种存储介质中恢复数据,以应对硬件故障、系统错误、黑客攻击等造成的数据丢失。
同时,数据恢复技术还可以用于恢复服务器、数据库等关键系统的数据,保障企业和组织的正常运转。
3. 科学研究科学研究过程中产生的数据是研究者辛辛苦苦收集和整理的宝贵财富,因此数据恢复技术在科学研究中也具有重要应用价值。
无论是实验数据的丢失还是实验设备的故障,都可能导致科学研究的中断和结果的丧失。
借助数据恢复技术,科研人员可以从崩溃的设备、受损的存储介质中恢复数据,保障研究工作的进行。
二、数据恢复技术的原理1. 逻辑恢复原理逻辑恢复是指通过软件手段恢复因误操作、病毒感染等导致的数据丢失。
逻辑恢复主要是通过对文件系统的分析,找回被删除、被覆盖或被格式化的文件。
恢复软件通过扫描存储介质,识别已删除文件的文件头信息,然后根据文件剩余的数据进行恢复。
逻辑恢复技术适用于较为简单的数据丢失情况,但对于严重的物理损坏或磁盘故障则无能为力。
2. 物理恢复原理物理恢复是指通过硬件手段恢复因硬件损坏、磁头崩溃等造成的数据丢失。
(完整版)数据恢复技术一
预备知识一
➢进制:二进制,十六进制。 ➢计算机中数据的单位:位,字节和字。
预备知识二
硬盘是用来存储数据的,为了使用和 管理的方便,这些数据以文件的形式存储 在硬盘上。任何操作系统都有自己的文件 管理系统。
扇区
➢ 硬盘利用特定的磁粒子的极性来记录数据。
➢ 在读取数据时,磁头将磁粒子的不同极性转 换成不同的电脉冲信号,再利用数据转换器 将这些原始信号变成电脑可以使用的数据。
(2)厂商标识和系统版本号
这段数据占8个(03~0A)字节,其内容随系统版本不同 而略有变化。
(3)磁盘参数块
磁盘参数块也称为BIOS参数块BPB (BIOS Parameter Block)。它从第12 (0BH)个字节开始,占用 52 (0B~3E, FAT12/FAT16格式)或80 (0B~5A, FAT32 格式)个字节,各字节内容及地址分配如表2-6所示。表 中记录了磁盘的每扇区字节数、磁头数、目录起始簇等 重要信息,该部分的内容随磁盘类型的不同而变化。
数据恢复技术
1、为什么要学?
1、信息化的今天,电子设备普及,数据量 剧增。无论个人、公司、企业还是国家机关 ,都越来越依赖计算机系统。个人档案、文 件、电子邮件、公司财务记录、销售合同、 甚至国家机密等,无一不存储于计算机中, 设想如果系统崩溃,硬盘故障,数据损失将 会出现何种后果?
形形色色的电子设备
3、硬盘有价,数据无价。
4、病毒,如木马、病毒、蠕虫、以及恶意 代码等几乎只要入侵了我们的系统,我们的 系统面临前所未有的威胁,毫无抵抗能力, 任由其毁坏数据、破坏系统或者控制系统。
5、在遭遇不可预测的遭难时,比如说是系 统瘫痪,服务器里的数据全被请除,如果不 能恢复,那么这个公司将遭受灭顶之灾。
磁盘存储结构与文件恢复实验(FAT文件系统)
磁盘存储结构与⽂件恢复实验(FAT⽂件系统)实验地点:主楼A2-412⼀、实验室名称:主楼实验室A2-412⼆、实验项⽬名称:磁盘存储结构与⽂件恢复实验三、实验学时:6学时四、实验原理:在Debug环境下利⽤基本汇编程序对引导扇区、⽂件分配表、⽬录表等结构进⾏显⽰,并进⾏分析;使⽤⼯具软件WINHEX对指定的⽂件(被删除⽂件)进⾏恢复。
五、实验⽬的:1)了解⽂件系统在磁盘上的存储映像和它在系统安全中的地位和作⽤;2)了解⽂件⽬录结构及其访问⽅式;3)掌握使⽤系统基本汇编程序进⾏磁盘和⽂件结构访问的技术和编程⽅法,为数据恢复奠定基础。
六、实验内容:1)在DEGUB下,使⽤汇编指令读取MBS引导扇区,记录并分析说明结构。
2)在DEGUB下,使⽤汇编指令读取DBS引导扇区,记录并分析说明结构。
3)在DEGUB下,使⽤汇编指令读取FAT、FDT,记录并分析说明结构。
4)⽣成⼀个简单⽂本⽂件(*.txt⽂件),结合FAT,FDT信息,使⽤汇编指令,在硬盘上查找并读出该⽂件,记录并说明查找过程。
5)删除⽣成的⽂本⽂件,查看该⽂件在FAT、FDT所对应的⽂件存储状态以及该⽂件在数据区对应扇区的内容,说明⽂件删除操作的原理。
6)使⽤WINHEX软件进⾏⽂件恢复操作练习。
七、实验器材(设备、元器件):PC微机⼀台(⾄少具有⼀个FAT格式磁盘分区),VMware Workstation6.0虚拟机软件,DOS7.0,WINHEX软件。
⼋、实验步骤:任务⼀、读取MBS引导扇区1.在DEGUB下,使⽤汇编指令读取MBS引导扇区。
2.根据显⽰的信息,分析说明MBS结构及字节含义和具体数值。
任务⼆、读取DBS引导扇区和磁盘参数块BPB1.在DEGUB下,使⽤汇编指令读取DBS引导扇区。
2.根据显⽰信息,分析说明引导扇区结构。
3.根据显⽰信息说明磁盘参数块BPB结构及各段含义和具体数值。
任务三、读取FAT表1.⽣成⼀个简单⽂本⽂件(*.txt⽂件),取“长⽂件名”。
什么是硬盘镜像?
什么是硬盘镜像?硬盘镜像是一种备份和复制计算机硬盘数据的技术。
通过创建硬盘的镜像副本,用户可以在需要时恢复数据或者将数据迁移到其他硬件设备。
下面将详细介绍硬盘镜像的原理和应用。
一、硬盘镜像的原理1. 数据的二进制复制硬盘镜像是通过对硬盘上的数据进行二进制复制实现的。
当创建硬盘镜像时,操作系统会逐个读取硬盘上的数据,并将其复制到指定的位置。
这样,就可以完整地保存硬盘上的所有数据,包括文件、操作系统、分区等。
2. 数据的压缩与加密为了减小镜像文件的体积并保护数据的安全性,硬盘镜像通常采用压缩和加密技术。
压缩可以将数据文件压缩为较小的体积,有助于在存储和传输过程中节省空间和时间。
而加密则能够对数据进行保护,防止未授权的访问和篡改。
二、硬盘镜像的应用1. 系统备份与恢复硬盘镜像可用于系统备份与恢复。
通过创建系统镜像,用户可以在系统崩溃、病毒入侵或者人为误操作等情况下,快速恢复到正常工作状态。
镜像恢复的过程类似于重新安装操作系统,但比传统的重新安装更为快捷。
2. 数据迁移和克隆硬盘镜像还可用于数据迁移和克隆。
当用户需要将数据从一台计算机迁移到另一台计算机时,可以先创建源硬盘的镜像,然后将镜像文件复制到目标硬盘上,最后通过恢复镜像将源数据完整地复制到目标硬盘上。
3. 数据恢复与取证硬盘镜像在数据恢复和取证领域也有重要应用。
当硬盘遭受物理损坏或者数据被删除、格式化等情况时,通过对硬盘进行镜像复制,可以避免原数据的进一步破坏,并提供一个可靠的数据源以便进行数据恢复。
4. 虚拟机和容器管理在虚拟化和容器化技术中,硬盘镜像用于创建虚拟机和容器的基础镜像。
虚拟机镜像是一个包含操作系统和应用程序的虚拟硬盘,它可以被加载到虚拟机中,允许用户在同一物理主机上运行多个虚拟机。
容器镜像则包含一个应用程序及其所有依赖项,并以轻量、可移植的方式进行部署。
总结:硬盘镜像是一种重要的数据备份和复制技术,它能够帮助用户保护数据、恢复系统、迁移数据和进行数据恢复等操作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
硬盘数据恢复技术探讨曾志摘要:数据恢复技术是保证计算机数据安全的重要技术,是当前各行各业信息化关注的热点问题。
文章通过对硬盘的数据存储结构的分析,探讨了硬盘数据恢复的基本技术,并结合实际软件开发讨论了数据恢复方法及其实现。
关键词:数据恢复;删除恢复;格式化恢复;Raw恢复1 引言随着科学技术的迅猛发展,信息化已经成为当前各行各业关注的重点问题。
而数据作为信息化管理的核心部分,其安全性已受到了人们越来越多的重视,如何能够迅速而正确地恢复数据也就成了至关重要的问题。
本文结合数据恢复软件开发实例,讨论数据恢复的方法实现。
2 数据恢复的分类从数据恢复方式来看,主要有软件恢复方式、软硬件结合恢复方式和深层信号还原方式三种。
软件恢复方式主要是在硬盘还可以使用的情况下用数据恢复软件恢复数据,这种恢复方式恢复成本低,但对于那些已经坏掉的硬盘就显得无能为力了。
软硬件结合方式则是先修复硬盘或开盘读出盘片中的数据后再用软件恢复数据,这种方式的数据恢复率是相当惊人的,即使是位于物理坏道上面的数据,由于多种信息的缺失而无法找出准确的数据值,也可以通过大量的运算,在多种可能的数据值之间进行逐一代入,结合其他相关扇区的数据信息,进行逻辑合理性校验,从而找出逻辑上最符合的真值,但这种方式还是不能恢复被覆盖了的数据。
深层信号还原方式则通过分析盘片表面的深层磁介质状态,通过使用不同波长、不同强度的射线对这个晶体进行照射,可以产生不同的反射、折射和衍射信号,然后通过分析各种反射、折射和衍射信号,就可以帮助我们“看到”在不同深度下这个磁介质晶体的残影。
但由于这种方式现实技术复杂、恢复成本高,而且目前世界范围内也没有几个国家可以拥有这样的技术,只有极少数规模庞大的计算机公司和不计成本的政府机关能拥有这样级别的数据恢复设备。
3 硬盘的存储结构图1表示了硬盘的存储结构,包括MBR区、DBR区、FAT区、Dir区和数据区五个部分。
图1MBR(Main Boot Record)区位于整个硬盘的0磁道0柱面1扇区,共占512字节。
它由 446字节的主引导程序,64字节的分区表记录和2字节的结束标记(“55AA”)组成。
它的具体内容由分区程序产生,不属于任何一个操作系统,其主要作用是检查分区表是否正确并读出引导分区中的操作系统引导程序。
它不能被操作系统直接访问,一般通过Int 13或扩展Int 13读取数据。
在DOS或Win9x下运行Debug命令,然后依次输入下面的代码读取MBR内容:-a 汇编指令XXXX:0100 mov ax, 201 ah为操作方式,2为读,3为写;al读写的扇区数XXXX:0103 mov bx, 400 bx为读写数据所在的内存地址XXXX:0106 mov cx, 1 高10位为柱面号,低6位为扇区号XXXX:0109 mov dx, 80 dh为磁头号,dl为驱动器号XXXX:010C int 13 调磁盘读写中断XXXX:010E int 3 断点中断XXXX:010F-g=100 执行上述汇编-d 400 显示MBR内容DBR(DOS Boot Record)区位于0磁道1柱面1扇区,是操作系统可以直接访问的第一个扇区,它包含引导程序和BPB(BIOS Parameter Block)。
它由格式化程序产生,不同的分区格式的DBR有所不同。
FAT (File Allocation Table )区文件系统给文件分配空间的一张表,它的每一项都与磁盘的数据块一一对应。
在FAT16中每项占用2字节,FAT32中每项占用4字节。
因此在知道分区大小的情况下不难算出FAT 的长度。
为了防止FAT 意外损坏,系统特在FAT 后面备份了一个一模一样的FAT ,当第一个FAT 遭破坏后可以将第二个FAT 恢复后继续使用。
FAT16分区的FAT 长度计算公式为:FAT 扇区数 = 51242 每簇扇区数根目扇区数 - 2 扇区数FAT -保留扇区数-扇区总+⨯⨯数分区 FAT32分区的FAT 长度计算公式为:FAT 扇区数 = 51284 每簇扇区数 2 扇区数FAT -保留扇区数-扇区总+⨯⨯数分区 若结果不为整数时,则按进一法取整。
下面为FAT16分区的计算例子:由240975个扇区组成的FAT16分区中,保留扇区数为6,根目录扇区数为32,每个簇4个扇区组成,求FAT 至少应该包含多少个扇区?FAT = {[(240975 – 6 – 2 × FAT – 32) / 4] × 2 + 4} ≈ 234.839,取整为235,所以该分区的FAT 表至少应该由235个扇区组成。
Dir(Directory)区为文件目录表,它与FAT 配合确定文件的具体位置。
注意,在Dir 区仅保存文名、长度、起始位置、创建时间、修改日间和最后访问日期。
数据区即文件真正存放的位置,保存着文件的详细内容。
4 数据恢复技术4.1 删除恢复4.1.1 FAT 分区文件恢复在FAT 分区中,当我们删除一个文件时仅仅修改了FAT 区和Dir 区的数据内容。
在这个过程中,系统将Dir 区中对应文件的第一个字节改为“E5H ”,然后再将对应的FAT 记录清零释放使用空间,将对应的区域标记为未使用,而修改数据区的内容。
下面是对删除Test.txt 文件前和删除文件后的对比分析图:图2 删除Test.txt文件前的资源管理器图3 删除Test.txt文件后的资源管理器图4 删除Test.txt文件前的FAT图6 删除Test.txt文件前的Dir图7 删除Test.txt文件后的Dir图8 删除Test.txt文件前的数据区因此,当一个文件是连续存放的时,我们可以比较容易地恢复删除的文件。
但有时我们可能会修改某些文件内容或者磁盘剩余空间不是很大的候时,都可能使文件零散存放,这时在恢复数据时就只能从多方面来判断分析数据才能正确地恢复数据。
4.1.2 NTFS 分区文件恢复NTFS 分区与FAT 类似,只是在删除文件时不是修改的FAT 和Dir ,而是修改的MFT 和位图记录。
删除文件的过程中将对应文件的MFT 记录中偏移16H 的2字节改为0即代表该MFT 记录已经被删除,然后再将该MFT 记录在MFT 位图中所对应的位清零,最后将文件所对应的位图清零就完成了文件的删除操作。
MFT 记录及数据流格式请参考 /ntfs 。
MFT 记录的数据(80H )中详细的记录的文件各数据段的起始位置和长度,可以方便的恢复数据,而不用像FAT 那样为文件不是连续存放担心恢复效果。
4.2 格式化恢复4.2.1 FAT 分区当我们重新格式化磁盘时仅仅重写了DBR 、FAT 和根目录区的数据,所以分区、格式化后仍然可以恢复磁盘中的数据。
但由于分区被重新格式化后无法找到以前分区的根目录入口,并且无法准确知道以前分区的簇大小。
因此格式化恢复的重难点在于确定簇大小和根目录的位置。
用过DOS 系统的人都知道用Dir 显示子目录内容时会发现里面有“.”和“..”两个目录,其中“.”代表当前目录,“..”代表上一级目录。
下面我们先看一下FAT32中的FDT (File Directory Table )结构,如图10所示:图 10 FAT32的FDT 表项分析文件名 扩展名 属性 未用 文件创建时间 16位文件长度在格式化恢复时,首先确定数据区的起始位置和簇大小,然后再搜索分区中的残留目录数据,最后恢复数据。
确定数据区的起始位置的基本步骤是:逐一读取分区中的扇区内容,判断扇区中的数据是不是子目录数据,即判断偏移0字节、32字节、33字节处是否为“.”(“2EH”)且是否为目录。
若是,则确定扇区所对应的簇号,并计算簇大小,然后再根据“数据区起始扇区号 = 当前扇区号– (当前簇号– 2) ×每簇扇区数”,公式减2是因为在FAT中前两个簇号为保留簇号,未使用;否则继续搜索下一个扇区。
然后再继续搜索子目录数据,直到搜索完整个分区。
这种方式有的优点是:①实现简单,不需要掌握其体的文件格式;②搜索速度较快。
缺点是:①它只能找出每个目录中第一个簇内的FDT,当一个目录中的文件较多时无法找到存储在后面的FDT;②当文件不是连续存放时恢复难度较大。
4.2.2 NTFS分区恢复NTFS分区中的数据,主要通过查找分区中残留的MFT记录来恢复数据。
仔细阅读NTFS分区资料后会发现所有的文件描述信息都存储在文件的MFT记录中,其中包括文件名,大小,起始位置,长度,创建日期等信息;其次是每个MFT记录头都以“FILE”标记开头。
因此恢复NTFS分区中的文件可以分为以下几步:①在分区中查找以“FILE”开头的扇区;②进一步分析扇区中的内容并判断是否为真正的MFT记录;③按照MFT记录格式解释读出的数据内容;④根据文件的大小和文件所占用的簇数计算出以前分区的簇大小;⑤恢复数据。
由于在MFT的数据流中详细地记录了文件的存储位置,所以在NTFS分区中采用格式化恢复方式恢复数据的成功比FAT分区高得多。
4.3 Raw恢复在恢复数据时,可能会遇到目录结构或MFT已经完全破坏了的情况,而文件真正的数据内容并没有被覆盖,此时删除恢复和格式化恢复方式就显得无能为力了。
Raw恢复是一种文件搜索算法,使用这种方式将读取分区中的所有扇区,从而搜索特定的文件头标记。
基本步骤为:首先将从扇区中读出的数据与数据库中的数据比较,判断是否为已知的文件格式;再根据文件头和数据库中的数据确定文件大小;最后恢复连续区域内的特定大小的数据;采用这种恢复方式的优点是恢复成功率高。
缺点有:①查找文件速度慢,每读出一个扇区数都要与数据库中的数据进行比较;②实现难度大,需要程序员查阅大量的数据资料并了解各种类型文件的文件头;③由于文本文件是无格式文件,没有文件头,因此无法恢复纯文本文件;④由于这种方式是从文件头开始处连续读取指定大小的数据到特定文件中,所以无法正确恢复零散存放的文件。
5 结束语本文虽然讨论了Windows系统下各种数据恢复技术,但数据恢复毕竟只是数据丢失后的一个补救措施。
我们应该养成备份重要数据的良好习惯,特别是操作员应该时刻备份数据,谨防数据丢失。
参考文献:[1] 戴士剑,涂彦晖.数据恢复技术(第二版).北京电子工业出版社,2005[2] /computer/soft/2007/4578.asp[3] /page/e2007/0104/5692.html[4] /ntfs。