推荐阅读:摘要:在计算机的使用过程中,经常会遇到由于病毒或用户的误操作而造成硬盘数据丢失的情况,给用户带来很大损失。通过对硬盘数据丢失原因的分析,指出了数据恢复的可行性前提条件,同时还进一步分析了几个常用数据恢复工具软件的主要功能,并简介了用Winhex
摘要:在计算机的使用过程中,经常会遇到由于病毒或用户的误操作而造成硬盘数据丢失的情况,给用户带来很大损失。通过对硬盘数据丢失原因的分析,指出了数据恢复的可行性前提条件,同时还进一步分析了几个常用数据恢复工具软件的主要功能,并简介了用Winhex软件手动恢复硬盘数据恢复的操作过程。
关键词:数据丢失 数据恢复 数据恢复软件
1引言
2 常见数据丢失原因及数据可恢复前提
在计算机使用过程中,数据丢失的原因最常见的就是病毒破坏。病毒的破坏可能造成资料被恶意删除,甚至硬盘被格式化。这种情况下,数据是可以被恢复的;有的时候,我们不小心将文件删除,并且清空了回收站,这样再找回来就比较难了,但是这种误删除文件也是可以恢复的;我们常常可能误使用了格式化命令,造成分区上的数据丢失,这种情况下,只要保护好现场,不再对硬盘进行写的操作,数据就可以恢复;硬盘分区操作失误或硬盘分区表破坏也会造成数据丢失,这种情况下,通常是可以恢复的。当然,一些犯罪分子为了掩盖罪行,会人为的将数据删除,因此,数据恢复对于我们警察也是一个重要的技术。
3硬盘的数据结构简介
说到数据恢复,就不得不提到硬盘的数据结构,这是数据恢复的根本依据。一块新的硬盘再买回来之后,必须首先分区,再用Format对相应的分区实行格式化,这样我们才能在这个硬盘上存储数据。一般硬盘主要分成主引导扇区(MBR)、操作系统引导扇区(OBR)、文件分配表(FAT)、目录区(DIR)和数据区(DATA)等五部分。通常所说的主引导扇区MBR在一个硬盘中是唯一的,MBR区只有在硬盘启动时才读取其内容,然后驻留内存。
(2)操作系统引导扇区(OBR)。通常位于硬盘的0磁道1柱面1扇区,是操作系统可直接访问的第一个扇区,包括一个引导程序和一个被称为 BPB 的本分区参数记录表。其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。
引导程序的主要任务是在根目录中寻找系统启动的文件,如果存在,就将其读入内存,并移交控制权给该文件。
(3)文件分配表(FAT)。是DOS/Windows系统的文件寻址系统。为了防止意外损坏,FAT一般做两个,第二FAT为第一FAT的备份。FAT区紧接在OBR之后,其大小由这个分区的空间大小及文件分配单元的大小决定。FAT32采用4个字节来表示簇的位置,分区最大容量32GB,与FAT16相比,其有效的节约了硬盘空间。
DIR记录着每个文件的文件名、扩展名、是否支持长文件名、起始单元、文件的属性、大小、创建日期、修改日期等内容。 (5)数据区(DATA)。在DIR区之后,才是真正意义上的数据存储区,即DATA区。 DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,对于我们来说,没有任何意义。
4 利用数据恢复软件实现数据恢复
4.1 FinalData与EasyRecovery数据恢复软件
EasyRecovery能够快速恢复丢失的数据以及重建文件系统。EasyRecovery不会向原始驱动器写入任何数据,它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。可以从被病毒破坏或是已经格式化的硬盘中恢复数据。FinalData可恢复因删除、格式化等原因丢失的文件。在Windows环境下删除一个文件,只有目录信息从FAT或者MFT删除。这意味着文件数据仍然保留在硬盘上。FinalData就是通过这个机制来恢复丢失的数据的,在清空回收站以后也不例外。[3]
这类软件恢复数据操作简单,可按软件提示一步一步操作,即可完成数据恢复。但是其只可以进行一些简单的恢复删除文件,如txt文本文档,word文档,ppt等文件。而且经常会出现恢复出来的已删除无法打开或打开后文件损坏的情况。经过实验验证,当像一个存储空间被占了三分之二以上的硬盘中存入文件后再删除,用该软件恢复后便会出现文件损坏的情况。这种情况下就应该采用Winhex软件来实现手动恢复。
4.2 Winhex数据恢复软件
Winhex主要用于电子数据分析与处理,功能很强,作数据恢复只是它的一小部分功能。主要功能包括:分析和数据恢复、多种数据恢复功能,可对特定文件类型进行恢复、数据擦除功能,可彻底清楚存储介质中的残留数据、可从硬盘或镜像文件中收集残留空间、空余空间、分区空隙中的信息等等。可进行文件的手动恢复。[4]
打开Winhex软件,然后打开被删除文件的硬盘,接下来打开FDT表,FDT表中记录了文件的一些属性信息,其中也有文件存的起始簇号,即使文件被删除了,FDT中也仍会有文件的属性信息,首先要找到该文件在FDT中的记录,采用搜索关键字的方法来在FDT中找该记录,用Encase伴侣来查找对应文件名文本的Unicode编码,用Winhex来查找文件名的Unicode编码,这样就知道了该文件在硬盘中存的起始簇号。关闭FDT表,打开该硬盘,用转移到扇区的命令直接跳转到该簇。这时已找到了该文件在硬盘中存储的起始块,选择起始块,再估计下被删除文件的大小,计算该文件占用了多少个扇区,然后再跳转到存该文件的最后一个扇区,选择结束块,右键鼠标,选择置入新文件,这样该文件就被手动恢复了。这里有个问题,Winhex的手动恢复文件,只能恢复连续存放的文件,对不连续存放的文件,目前为止还不能恢复。
参考文献
[2]华师傅资讯 著.《数据备份与恢复实用宝典》.中国铁道出版社,2008年,第236-239.
[3]旋动数据 著.《数据存储、备份与恢复完全解析》.中国铁道出版社,2009年,第326.334页。
()