硬盤數據恢復技術探究

劉海峰

（山西省國土資源學校，山西 晉中 030620）

在信息化時代,計算機數據安全已越來越為人們所關注,因此研究數據丟失的原因、預防辦法以及數據恢復技術越來越顯得重要。由于數據恢復技術的特殊性，其應用的范圍不僅在于將失去的重要數據進行恢復，使所有權人的數字財富免受突出其來的損失，更重要的是，隨著信息化社會里一切資料和信息的數字化保存趨勢，過去傳統(tǒng)性的軍事、商業(yè)、競爭情報收集與挖掘，以及針對各種各類犯罪行為而展開的司法意義上的數字化取證技術，都不可避免地與數據恢復技術產生不同應用層面的關聯(lián)。

數據恢復簡單地說,就是把遭受破壞或者硬件缺陷導致不可訪問或由于誤操作等各種原因導致丟失的數據,通過還原成正常的數據，即恢復至它本來的“面目”。

1 數據出現(xiàn)丟失和破壞包括三個方面

1.1 惡意的程序。最常見的惡意程序就是病毒。

1.2 其他惡意的破壞。常見的是系統(tǒng)正常的刪除、移動、格式化等操作，還有的是網絡上的非法用戶對該系統(tǒng)進行任何操作。

1.3 硬件失效。這也是數據丟失的最大原因之一。

2 硬盤的邏輯結構

2.1 硬盤工作原理

硬盤存儲數據是根據電、磁轉換原理實現(xiàn)的。硬盤由一個或幾個表面鍍有磁性物質的金屬或玻璃等物質盤片以及盤片兩面所安裝的磁頭和相應的控制電路組成，其中盤片和磁頭密封在無塵的金屬殼中。

硬盤工作時，盤片以設計轉速高速旋轉，設置在盤片表面的磁頭則在電路控制下徑向移動到指定位置然后將數據存儲或讀取出來。當系統(tǒng)向硬盤寫入數據時，磁頭中“寫數據”電流產生磁場使盤片表面磁性物質狀態(tài)發(fā)生改變，并在寫電流磁1場消失后仍能保持，這樣數據就存儲下來了；當系統(tǒng)從硬盤中讀數據時，磁頭經過盤片指定區(qū)域，盤片表面磁場使磁頭產生感應電流或線圈阻抗產生變化，經相關電路處理后還原成數據。

2.2 硬盤的數據信息構成

硬盤的數據信息由五部分組成：1、主引導紀錄MBR；2、DOS引導記錄 DBR；3、文件分配表 FAT；4、文件目錄表 FDT；5、用戶數據區(qū)DATA。其中，MBR由分區(qū)軟件創(chuàng)建，DBR區(qū)、FAT區(qū)、FDT區(qū)，DATA區(qū)由高級格式化創(chuàng)建。我們平時保存的文件都放在數據DATA區(qū)中。

3 數據損壞類型及相關恢復方法

3.1 文件存儲與讀取原理

當我們存儲一個文件的時候，操作系統(tǒng)首先會在一個記錄所有空間使用情況的文件分配表中，找到足夠容納我們的新文件的空間，然后把文件內容寫到相對應的硬盤扇區(qū)上，最后在分配表中標出該空間被占用了。當我們刪除一個文件的時候，一般并不對實際文件所占用的扇區(qū)進行操作，而是僅僅在該分配表中標記哪些空間是空白的，可以分配給別的文件使用。事實上在這個時候，要刪除的文件的實際內容并沒有受到破壞，可以恢復回來。但是如果我們刪除一個文件后，在原來文件所在的扇區(qū)上，又重新創(chuàng)建了一個文件，那么被刪除文件所占用的扇區(qū)就有可能被新創(chuàng)建的文件所使用，這時候就無法恢復原來被刪除的文件了。

3.2 硬盤數據損壞類型及相應的恢復方法

分析：英語重客觀描寫，常以物或抽象觀念作主語。巫寧坤先生將該句譯為：“她那可愛的傲慢的表情曾經從報道阿希維爾、溫泉和棕櫚海灘的體育生活的許多報刊照片上朝外向我看過[5]”。此種譯法雖然保全了原文的句式，卻不符合漢語的表達習慣，即“表情”是無法實施“看”這一動作的。此處改成人作主語后更加符地道自然。

3.2.1 文件刪除及其恢復

文件刪除后的恢復方法相對簡單。操作系統(tǒng)刪除文件的操作進行了兩方面?zhèn)€操作：（1）將文件在磁盤的文件目錄表中的相應文件目錄登記項的第一個字節(jié)更改了E5H；（2）將文件所占簇號在文件分配表中的記錄清零，以釋放該文件所占空間。文件數據信息仍然“保留”在硬盤數據區(qū)中。因此此類型的數據恢復只要通過某些硬盤管理工具或者數據恢復軟件（比如EasyRecovery），按照有關的設置進行。被徹底刪除的文件還是很容易被恢復過來。必須注意的是，恢復后的數據一定不能存放在原來的硬盤分區(qū)。

3.2.2 硬盤重分區(qū)或其它情況下的分區(qū)表損壞分析。

第一種情況，在windows下一般利用DOS下的fdisk命令或者其它硬盤分區(qū)工具重新對硬盤進行分區(qū)后改寫了硬盤分區(qū)表，也就是修改了硬盤的邏輯0扇區(qū)。

第二種情況，由于個人誤操作或者病毒入侵修改了硬盤邏輯0扇區(qū)(即硬盤主引導記錄)從而使得系統(tǒng)無法啟動。

解決方法：

將硬盤掛接到另一臺計算機上進入系統(tǒng)。在系統(tǒng)下啟動winhex打開掛接的硬盤，首先查看此硬盤的邏輯0扇區(qū)結尾標識是否為55AA.若不是將之修改為55AA，將硬盤接到原計算機上開機是否能啟動系統(tǒng)。

若確定是分區(qū)表損壞。如果之前曾用磁盤醫(yī)生備份過硬盤分區(qū)表，可以使用磁盤醫(yī)生恢復硬盤的分區(qū)表。如果是手動備份的?？梢允褂肳inHex十六進制數據查看工具修復硬盤分區(qū)表。

如果實在對硬盤的分區(qū)表沒有任何備份。則只有將硬盤接到其它電腦上。使用有關數據恢復工具類似FinalData數據恢復之類的數據恢復工具掃描硬盤上的目錄與文件。但是恢復的程度無法保證。

3.2.3 硬盤格式化情況下數據恢復

硬盤格式化就是重寫了硬盤文件分配表。同樣硬盤上的實際數據還是沒消失。此時硬盤一般無法再引導系統(tǒng)，如果要恢復數據，最好不要對硬盤進行任何操作。

此類情況下數據恢復我們可以考慮一點就是一般情況下每個硬盤分區(qū)中FAT（文件分配表）都有一個備份。首先我們必須利用硬盤分區(qū)大小，分區(qū)格式，簇大小計算出硬盤FAT大小。查找硬盤第一個FAT位置，再計算出硬盤第二個FAT所在扇區(qū)。使用有關磁盤操作工具或者winhex工具恢復文件分配表。

3.2.4 恢復已經備份的分區(qū)表恢復

當系統(tǒng)由于誤操作或者病毒破壞而使系統(tǒng)無法啟動，經檢查是硬盤的分區(qū)表損壞。如果在硬盤剛分區(qū)時有正好進行過硬盤分區(qū)表的備份。此時可以用以下的方法試著恢復硬盤分區(qū)表，這樣系統(tǒng)又可以完好如初，且整個文件系統(tǒng)也不會有任何破壞。總的來說，硬盤的分區(qū)結構就是一個鏈式結構。

硬盤的邏輯0扇區(qū)就是主引導記錄（MBR）其中偏移1BEH--偏移1FDH是硬盤的主分區(qū)表。總共64個字節(jié)，第16個字節(jié)記錄一個分區(qū)的情況。一般硬盤可以有一個主分區(qū)一個擴展分區(qū)。其中擴展分區(qū)有多個邏輯分區(qū)。

上面我們使用的工具是WinHex。使用這個工具我們可以在windows界面下看到硬盤所有數據，以十六進制數表示一個字節(jié)。同時我們可以用這個工具修改硬盤上的數據。這也正是我們修復硬盤分區(qū)表的關鍵所在。

總之，數據恢復是出現(xiàn)問題之后的一種補救措施，既不是預防措施，也不是備份。在一些特殊情況下數據將很難被恢復，如數據被覆蓋，低級格式化清零，磁盤盤片嚴重損傷等。平時除了要做好數據備份，還要根據實際情況制定一套詳盡的數據安全保護措施，減少數據災難發(fā)生的可能性，做到未雨綢繆，不必等到數據丟失后才來恢復。

［1］張堯學,史美林,張高.計算機操作系統(tǒng)教程[M].3版.北京:清華大學出版社,2006.

［2］姜靈敏.微機硬盤管理技術[M].北京:人民郵電出版社,1999.

［3］張樹.硬盤故障處理與數據維護[M].北京:電子科技出版社,1997.