蘇鵬沖
中國人民公安大學 北京 100038
當前政府部門辦公、事業(yè)單位運轉、企業(yè)公司經營等等,都離不了計算機數(shù)據(jù)的支持,而計算機數(shù)據(jù)本身是易丟失或易破壞的,一方面是人為有意的操作,即不法人員為了隱瞞一些真相,特意對數(shù)據(jù)進行刪除或格式化操作;另一方面是非有意的刪除,比如電腦突然死機或者斷電后的硬盤數(shù)據(jù)丟失、系統(tǒng)崩盤、誤操作導致U盤等介質重要文件刪除等。因此探究數(shù)據(jù)丟失的原因,按原因不同而按不同方法恢復數(shù)據(jù)尤為必要。
數(shù)據(jù)恢復簡單說來就是找回丟失的數(shù)據(jù),具體說來是把遭受破壞、誤操作、或由硬件缺陷導致的丟失數(shù)據(jù)還原成正常數(shù)據(jù)。
造成數(shù)據(jù)丟失的原因多種多樣,比如硬件問題中的磁頭損壞、電路故障、固件損壞,再比如軟件問題中的操作系統(tǒng)或應用軟件錯誤、人為誤刪除以及惡意程序導致的文件損壞或丟失等等。
數(shù)據(jù)搶救的對象一般是硬盤、U盤等數(shù)據(jù)載體,一切涉及硬件修理、由硬件損壞或失效造成的數(shù)據(jù)恢復均歸入硬恢復,如磁道損壞、磁盤劃傷、磁組損壞、主電機損壞、電路板芯片及其他原器件燒壞等,這就涉及到存儲介質本身需要進行修理或更換部件,才可以正常地進行訪問;而如病毒感染、誤格式化、誤分區(qū)、誤克隆、誤操作、網絡刪除、操作時斷電等,其現(xiàn)象一般表現(xiàn)為無操作系統(tǒng),讀盤錯誤,文件找不到、打不開,報告無分區(qū)、未格式化、密碼丟失、亂碼等,這些問題的解決歸于軟恢復,可以嘗試用恢復軟件等措施來進行恢復。
數(shù)據(jù)恢復是從計算機安全與計算機維護發(fā)展起來的新領域。隨著計算機在各個行業(yè)和各個領域大量廣泛的應用,保護數(shù)據(jù)安全日益為人們所重視。在對計算機應用的過程中,病毒的破壞、黑客的入侵、人為誤操作、人為惡意破壞、系統(tǒng)的不穩(wěn)定、存儲介質的損壞等等原因,都有可能造成重要數(shù)據(jù)的丟失。一旦數(shù)據(jù)出現(xiàn)丟失或者損壞,都將給企業(yè)和個人帶來巨大的損失。對于企業(yè),客戶資料、技術文件、財務帳務等數(shù)據(jù)的損毀,將會導致企業(yè)陷人困境甚至有倒閉的危險;對于個人,數(shù)據(jù)已經成為我們工作、生活中不可缺少的因素,數(shù)據(jù)的丟失會嚴重影響我們的工作、生活質量。
網絡的普及帶動了信息化的大發(fā)展,共享的信息化程度越高,數(shù)據(jù)備份和恢復措施就越重要。當無法預計的各種事故或災難導致數(shù)據(jù)丟失時,如果能夠及時采取數(shù)據(jù)恢復措施,保護業(yè)務系統(tǒng)數(shù)據(jù)的完整性與安全性,保證業(yè)務系統(tǒng)的連續(xù)可用,就可以將企業(yè)或組織的損失降低到最低,維護好自身利益。
數(shù)據(jù)恢復技術可以歸納為四種主要的分類方法,按恢復對象類別來分,按數(shù)據(jù)的存儲介質來分,按數(shù)據(jù)的文件的格式來分和按數(shù)據(jù)恢復的方法來分。
硬恢復,指的是由于硬件故障所造成的數(shù)據(jù)丟失,如磁盤電路板損壞、盤體壞、磁道壞、磁盤片損壞、硬盤內部系統(tǒng)區(qū)嚴重損壞等,這種情況幾乎都會出現(xiàn)系統(tǒng)不認盤或認盤困難等癥狀,恢復起來難度較大,必須更換或修復硬件才能達到恢復數(shù)據(jù)的方法,如果是內部盤片數(shù)據(jù)區(qū)嚴重劃傷,會造成數(shù)據(jù)徹底丟失,而無法恢復數(shù)據(jù)。
軟恢復,指的是存儲系統(tǒng),或操作系統(tǒng),或文件系統(tǒng)層次上的數(shù)據(jù)丟失,這種丟失是多方面的,如系統(tǒng)軟硬件故障、死機、病毒破壞、黑客攻擊、木馬破壞、誤操作、陣列數(shù)據(jù)丟失等等。這方面的主要難點是:文件碎片的恢復處理、文檔修復和密碼恢復。
數(shù)據(jù)恢復技術按數(shù)據(jù)的存儲介質來分類,可以分為硬盤數(shù)據(jù)恢復技術、軟盤數(shù)據(jù)恢復技術、光盤數(shù)據(jù)恢復技術、U盤(閃存盤)數(shù)據(jù)恢復技術、數(shù)碼卡(如:SD、CF卡等)數(shù)據(jù)恢復技術、RAID(磁盤陣列)數(shù)據(jù)恢復技術和網絡存儲設備(DAS直接附加存儲、NAS網絡附加存儲、SAN存儲區(qū)域網絡)數(shù)據(jù)恢復技術。
鑒于各種操作系統(tǒng)的文件格式不同,如Window的FTA與NTFS 兩種文件格式,Linux下的ext2等,數(shù)據(jù)恢復技術又可分為Windows下的數(shù)據(jù)恢復技術、UNIX/Linux系統(tǒng)的數(shù)據(jù)恢復技術、蘋果MAC OS系統(tǒng)的數(shù)據(jù)恢復技術及數(shù)據(jù)庫修復技術。
數(shù)據(jù)恢復技術按數(shù)據(jù)恢復的方法來分類, 可分為軟恢復法和物理恢復法。軟恢復法就是用數(shù)據(jù)恢復軟件或手工編寫恢復程序和更改某些設置達到恢復數(shù)據(jù)的方法。物理恢復法是數(shù)據(jù)的存儲介質硬件發(fā)生了物理損壞,必須更換或修復硬件才能達到恢復數(shù)據(jù)的方法。
分析數(shù)據(jù)丟失的眾多原因,我們遇到的最多的情況一是硬件方面的原因,二就是軟件方面的原因。因此在這里我們重點關注硬盤物理上的數(shù)據(jù)恢復和軟恢復。值得注意的是在真實恢復案例中,通常情況下不能直接進行更改和恢復硬盤上的數(shù)據(jù),需要通過硬盤復制機拷貝到副本硬盤,然后對副本硬盤進行數(shù)據(jù)恢復。
(1) 硬盤壞扇區(qū)的數(shù)據(jù)恢復
硬盤被分割為以扇區(qū)為單位的存儲單元用于存儲數(shù)據(jù)。每個硬盤都有成千上萬的扇區(qū)。壞扇區(qū)是計算機硬盤中無法寫入數(shù)據(jù)的地方,幾乎所有的硬盤都有一些壞扇區(qū)。硬盤在存儲數(shù)據(jù)前,其中的壞扇區(qū)被標記出來以使計算機不在這些扇區(qū)中寫入數(shù)據(jù)??赏ㄟ^運行scandisk來達到這一目的。
通常壞扇區(qū)有兩種類型:一種為硬盤格式化時由于磨損而產生的軟損壞扇區(qū)??蓪⑺鼈儤擞洺鰜砘蛲ㄟ^再次格式化來修復;另一種是無法修復的物理損壞,數(shù)據(jù)將永遠無法寫入到這種扇區(qū)中。如果硬盤中有這種壞扇區(qū),這塊硬盤就快壽終正寢了。
為避免由于壞扇區(qū)而造成損失,應該每隔6個月進行一次檢測,同時,應避免硬盤受到撞擊或顛簸。如果有一些連續(xù)的壞扇區(qū),則表示硬盤磨損得已經很厲害了。如果壞扇區(qū)的數(shù)量增長很快,最好將全部數(shù)據(jù)備份并嚴密地監(jiān)視其工作情況,這也許是更換硬盤的時候了。
(2) 硬盤固件
所謂固件(Firmware)就是寫入EROM或EPROM(可編程只讀存儲器)中的程序,通俗的理解就是“固化的軟件”。更簡單的說,F(xiàn)irmware就是BIOS的軟件,但又與普通軟件完全不同,它是固化在集成電路內部的程序代碼,負責控制和協(xié)調集成電路的功能。
硬盤的固件出現(xiàn)問題后,通常情況下會有在計算機的BOIS里無法識別硬盤、無法識別硬盤的容量、型號出現(xiàn)亂碼等異?,F(xiàn)象,而造成這些現(xiàn)象的原因是由于突然斷電及壞扇區(qū)等,造成固件信息的丟失或損壞,從而導致硬盤無法識別或誤認,致使數(shù)據(jù)無法正常讀取。
固件本身主要是由相應的模塊構成的,這些模塊就是硬盤自身運行的指令集,而模塊其實也是文件,并且有自身的結構。固件如果出現(xiàn)故障,究其原因也就是某些模塊損壞了,硬盤的模塊有些是可以用相同型號硬盤中的同類模塊替換的,而有些則不能隨便替換。對于能夠替換的模塊,可以找到一塊跟故障盤同型號的好盤,將其相應的模塊備份出來,然后寫入故障盤覆蓋掉損壞的模塊就可以了。對于不能替換的模塊,可以采用修復的方法將其修好。當損壞的模塊被替換或修復后,故障盤的固件也就修好了。
在日常分析硬盤時,經常會遇到經過全盤加密的硬盤,或者由于固件損壞導致無法正常讀取的硬盤,這些都需要我們通過專業(yè)的設備進行改寫固件。當前中比較流行的設備有PC-3000、效率源、HRT等。
(1) 主引導記錄(MBR)的恢復
計算機在運行中突然斷電、非法關機、非法重啟或者計算機病毒的破壞都會導致硬盤MBR扇區(qū)損壞。MBR扇區(qū)不隨操作系統(tǒng)的不同而改變,即不同的操作系統(tǒng)可能會存在相同的MBR,即使不同,MBR也不會夾帶操作系統(tǒng)的性質,具有公共引導的特性。所以要恢復MBR扇區(qū)就變得很簡單。
MBR扇區(qū)的結構由引導代碼、分區(qū)表、結束標志三部分組成,所以恢復MBR也就需要分別恢復這三個結構。MBR的引導代碼具有公共引導特性,那么就可以到另一塊硬盤的MBR扇區(qū)中復制這段代碼,粘貼到該硬盤即可。
(2) 刪除文件的恢復
文件被刪除后,如果目錄項或$MFT記錄、文件數(shù)據(jù)區(qū)域都沒有被覆蓋的,可以通過恢復軟件在列表里直接恢復,在實際的應用中一般結合文件過濾功能,快速定位出所有被刪除的文件。
文件被刪除后,目錄項或$MFT記錄已經被覆蓋,但文件數(shù)據(jù)區(qū)域還完整存在介質中的,也就是無法在數(shù)據(jù)恢復軟件的列表里直接查看到被刪除的文件名稱,這種情況下就需要熟悉特定類型文件的簽名特征,再根據(jù)文件的簽名特征進行數(shù)據(jù)恢復,這個恢復過程可以通過很多方式進行實現(xiàn),包括第三方數(shù)據(jù)恢復軟件和專業(yè)的取證分析軟件,當然也可以通過新建關鍵詞的方式進行定位相關文件簽名特征的存儲位置,再進行手工恢復文件。
另外,在某些情況下,有些數(shù)據(jù)是經過特殊處理的,即經過了特殊處理,變成了文件里內嵌另外一種類型的文件。如一張jpg圖片嵌套在一個Word文件里,這就需要通過jpg的頭部簽名特征進行搜索,找到該圖片文件。
(3) 分區(qū)格式化和分區(qū)丟失的恢復
在人們使用計算機的過程中,經常會發(fā)生對分區(qū)進行了誤格式化,或者由于人為惡意的破壞、意外斷電導致分區(qū)表無法讀取、指向錯誤,主引導記錄的結束標識符丟失等。無論是分區(qū)格式化或者分區(qū)丟失,我們通常都可以利用各種恢復工具進行恢復數(shù)據(jù),包括有FinalData、EasyRecovery等。
(4) 殘缺文件的修復
在數(shù)據(jù)恢復過程中,通過前面的恢復操作會得到大量被刪除的數(shù)據(jù)。一般情況下大部分可以正常訪問,但也經常遇到一些被恢復的文件是不能直接打開的,即文件有些殘缺。另外,在計算機的使用過程中,由于病毒、誤操作、突然斷電、或各種用戶不知道的原因,導致文件或資料不能打開是經常遇到的情況。前面提到的各種殘缺數(shù)據(jù),都需要用到文件的修復技術。文件的修復可以通過很多工具來完成,如前面提到的FinalData、EasyRecovery、Adroit圖片修復工具等等。
數(shù)據(jù)恢復可以說是一個工程,對于復雜的數(shù)據(jù)損壞情況,要恢復不是靠一兩種軟件就可以完成,往往需要數(shù)個工程師依靠經驗,輔以各種硬件恢復工具、恢復軟件才能恢復好數(shù)據(jù)。數(shù)據(jù)恢復是出現(xiàn)問題之后的一種補救措施,既不是預防措施,也不是備份,在一些特殊情況下數(shù)據(jù)將很難被恢復,如數(shù)據(jù)被覆蓋、低級格式化清零、磁盤盤片嚴重損傷等,所以最好的防治數(shù)據(jù)丟失、恢復數(shù)據(jù)的手段是對重要的數(shù)據(jù)養(yǎng)成備份的好習慣。
[1] 鮑麗春.計算機數(shù)據(jù)恢復技術探討[J].報理論與實踐.2012.
[2] 李曉中,喬晗,馬鑫.數(shù)據(jù)恢復原理與實踐[M].北京:國防工業(yè)出版社.2011.
[3] 馬丁.數(shù)據(jù)恢復與取證[M].內部資料.2011.
[4] 魯恩銘.硬盤格式化數(shù)據(jù)恢復技術研究與實現(xiàn)[D].四川師范大學.2008.