数据恢复范文
时间:2023-04-07 03:55:53
导语:如何才能写好一篇数据恢复,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词 数据恢复 技术层次 预防为主
中图分类号:TP309.3 文献标识码:A
0引言
据有关数据统计,每年有70%以上的用户在使用优盘、硬盘等存储设备时因为误删、病毒破坏、物理损坏、硬件故障等问题遭遇过数据丢失灾难,诸多事件说明我们在享受数据信息带来便利的同时,也不得不面对数据丢失带来的巨大损失。相对于有价的存储介质(硬盘、U盘、CF卡、FLASH存储),无价的数据更显得弥足珍贵,于是找回丢失的数据尽可能降低损失程度成为了一件迫在眉睫的事情。面对巨大的信息安全漏洞,数据恢复技术同时也应运而生。
1数据恢复概念及方式
数据恢复简单地说来说,就是当存储于各种硬件介质中的数据丢失或者数据不可访问情况下,有效地再现数据信息的过程。
数据恢复的方式可分为软件恢复方式(软件问题)和硬件恢复方式(硬件问题),如图1所示。
1.1硬件恢复方式
硬件恢复方式是指由于硬件故障所造成的数据丢失,如磁盘电路板损坏、盘体坏、磁盘损坏、磁盘片损坏、磁盘内部系统区严重损坏等情况下几乎都会出现系统不认盘或认盘困难等症状时采用的硬件替代、固件修复、盘片读取三种数据恢复方式。硬件替代就是用同型号的好硬件替代坏达到恢复数据目的,如硬盘电路板的替代、闪存盘控制芯片更换等。固件是硬盘硬盘厂家写在硬盘中的初始化程序,一般工具是访问不了的。固件修复就是用硬盘专用修复工具如PC3000修复硬盘固件,从而恢复硬盘数据。盘片读取就是在超净工作间内对硬盘进行开盘,取出盘片,然后用专门的数据恢复设备对其扫描,读取盘片上的数据。
1.2软件恢复方式
软件恢复指存储、操作、文件等系统层次上数据的丢失,例如系统软硬件故障、死机、病毒破坏、黑客攻击、木马破坏、误操作等而采用的数据恢复方式。软件恢复可分为系统级恢复与文件级恢复。系统级恢复就是操作系统不能启动,利用各种修复软件对系统进行修复,使系统正常工作,从而恢复数据。文件级恢复,就只是存储介质上的某个应用文件坏,如DOC文件坏同,用修复软件对其修复,恢复文件的数据。
2数据恢复技术层次
按照技术研发的难易程度与开发层次分类,数据恢复技术主要分为如下三个层次。
2.1软件恢复与简单硬件替代
这种数据恢复技术就是使用网上能够找到的数据恢复软件,例如Easy recovery、Recover、Lost&Found、FinalData、Disk ReCover等等,使用这类工具可以恢复误删除、错误格式化、分区表损坏,同时这类丢失数据以后磁盘又没有用其他数据覆盖的数据,数据恢复的成功率达90%以上。这种简易数据恢复前提是在计算机的BIOS中能够识别磁盘。
2.2用专业数据恢复工具恢复数据
目前最流行的数据恢复工具有俄罗斯ACE Laboratory研究开发的商用的专业修复硬盘工具PC3000、HRT-2.0和HRT-2.0可以对硬盘坏扇区进行修复,可以更改硬盘的固件程序。HIE-2.0可以对硬盘数据进行硬拷贝。但这些工具的特点都用硬件加密,必需购买。
2.3 软硬件结合数据恢复
此方法恢复数据的关键在于恢复用的专门仪器设备。这些设备都需要在超净无尘工作间里面,且其内部的工作台也是级别很高的超净空间。其恢复原理均大同小异:把硬盘拆开,把磁碟放进机器的超净工作台上,用激光束对盘片表面进行扫描,一丝不漏地把整个磁盘的信号记录在仪器附带的电脑里面,然后再通过专门的软件分析来进行数据恢复。这种设备的数据恢复率相当惊人,即使位于物理坏道上面的数据,由于多种信息的缺失而无法找出准确的数据值,也可以通过大量的运算,在多种可能的数据值之间进行逐一代入,结合其他相关扇区的数据信息,进行逻辑合理性校验,从而找出逻辑上最符合的真值。但这些设备只有美国和加拿大生产,不但价格昂贵,而且受法律限制进口非常困难。不过国内少数数据恢复中心采用了变通的办法,就是建立一个100级的超净实验室,然后对于盘腔损坏的硬盘,在此超净实验室中开盘,取下盘片,安装到同型号的好硬盘上,同样可达到数据恢复的目的。
除此之外还有数据被覆盖之后的称为数据恢复的终极方式-深层信号还原法,据说此法能将一个被其他数据重复覆盖4次的数据读出来。但目前世界上没几个国家有这样的技术,而且操作成本非常高,也只能用在国家安全级别的用途上。
3结语
数据恢复总会浪费财力、物力和时间。因此普通大众在日常生活中养成一些预防数据丢失的良好习惯非常重要,如少低格硬盘尽量不使用低格软件、不乱用分区软件、定期做碎片整理、将重要的数据备份等,将损耗降到最低。但有时数据的丢失是不可抗及不可预防的,因此学习和掌握一些必要的数据恢复技术也是非常必要的。
参考文献
篇2
分区丢失型的数据恢复
如果由于误操作或者病毒等因素破坏了主引导记录,就会导致硬盘分区丢失或者紊乱,从而造成整个分区的数据丢失。其实,这种情况下,损坏的只是分区记录信息(MBR和DBT),实际分区中的数据仍然存在。这如同一个人的档案丢失,造成一个人“失踪”了的假象一样。
如果能重新建立档案,恢复正确的MBR和DBT,即可将失踪的数据找回。很多专业软件,如Diskgen,只要启动程序后点击“工具搜索已丢失分区(重建分区表)”,然后在弹出窗口中按提示进行搜索,即可自动修复受损的分区信息,找回所有丢失的分区表。
文件存储到磁盘的过程
硬盘需要经过一系列的处理,然后才能存储数据。首先是低级格式化,为硬盘划分磁道、安排扇区,硬盘出厂前基本已完成此工序。硬盘到了用户手中,一般还需要对它进行分区,相当于把一个房子再分隔成几个单间。分区程序会在硬盘开始处0柱面0磁头的1扇区中,写入硬盘的主引导记录MBR和分区表DPT,记录下各分区的信息(图1)。
分区后还要进行高级格式化,高级格式化程序将分区划分为目录文件分配区和数据区,就像我们看的小说,前几页为章节目录,后面才是真正的内容。文件分配表内记录着每一个文件的属性、大小及其在数据区的位置等。以上几步,原则上来说是一次性的,不用反复进行了。
经过分区、格式化,硬盘已经准备好了,可以向其中存储文件了。在向硬盘中存储文件时,系统首先会在文件分配表内记录下文件名称、大小,以及文件在数据区的起始位置,然后开始向数据区写入文件的真正内容,从而完成一个文件的存储。
不同分区的相同原理
平时我们会遇到不同系统的分区格式,如Windows的FAT32、NTFS,Linux的EXT2、EXT3等。FAT32使用32位的空间来表示每个扇区的配置文件,NTFS分区以MFT文件作为文件配置文件,EXT2/EXT3则使用索引节点来记录文件信息(类似Windows的文件分配表)。这几种分区的格式虽然不同,但原理却是相似的,对于文件删除和恢复操作原理也差不多。专业恢复软件在扫描时,首先识别磁盘所使用的分区,再根据该分区的专有格式,对文件分配表进行恢复(NTFS对应MFT文件、EXT分区对应索引节点),从而达到恢复数据的目的。
误删除(格式化)型的数据恢复
当我们删除一个文件时,其实并没有真正删除文件数据,而只是系统在文件分配表中修改了该文件的相关信息代码(如同贴上“已删除”的标签),并解除对该文件所占空间的锁定,令其他文件可以挤占这一片空间。所以,在文件被删除后,文件内容实际还在。但如果此时写入其他新文件,新文件内容覆盖了被删文件的空间,那数据就彻底抹去了。
格式化操作和删除相似,都只是在操作文件分配表而已,不过格式化是将所有文件都加上删除标志,或干脆将文件分配表清空,系统将认为硬盘分区上不存在任何内容。格式化操作后,目录空了,但内容可能还在。
对于删除到回收站的文件,系统则没有加上删除标记,而是将目录区指针重新指向Recycle(从回收站还原文件时则修复指向到原位置)。
如果我们要恢复被删除(或误格式化)文件,实际上是借助专业软件(如FinData)将目录区中“已删除”标记去除,重新让系统可以正确识别出原来的文件(前提是没有新文件覆盖)。这就是为什么在文件丢失后,专家一直警告不要再进行任何读写操作的原因,就是为了避免新数据写入数据区覆盖原来的文件,那时将难以恢复。所以一般在误删文件后,最好立即退出当前系统,然后借助PE等第三方系统重启,再进行恢复操作。
主流存储介质的数据恢复
目前存储技术主要分为三种:光存储,如CD、VCD、DVD等,通过激光刻录存储信息;磁存储,如传统的硬盘、磁带等,通过磁介质来存储信息(上面介绍的都是基于磁存储);电存储,如内存和Flash闪存等。如今各式各样的便携式存储设备,如SD卡、记忆棒、MMC卡、SSD硬盘等都是基于Flash闪存技术的。
电存储的数据恢复
常见的优盘及SD卡、CF卡、SSD固态硬盘等,都属于电存储介质。它的存储原理是:计算机把二进制数字信号转换为复合二进制数字信号(加入分配、核对、堆栈等指令)经由USB芯片适配接口,存储到半导体芯片中。它们只是存储的介质不同,而文件操作的原理同样是借助索引的方式来完成,在执行文件删除操作时,也只是删除指向文件的索引信息而已。所以进行文件恢复的方法是一样的,只要恢复对应的索引文件信息即可。常用的FinData、EasyRecovery可以轻松恢复这类存储设备的数据。
篇3
2、接下来我们需要选择进行数据恢复的硬盘分区,极速小编选择了D盘,双击盘符后点击弹窗中的[是]开始扫描;
3、正在扫描分析硬盘文件数据,如果你已经找到丢失的文件,可以直接勾选文件进行恢复,不必等到扫描结束!这时候佳佳数据恢复软件已经扫描了3838个文件,扫描进行了30秒扫描了44040MB文件中的4656MB;
4、扫描完成,佳佳数据恢复软件一共搜索到7084个文件。佳佳数据恢复软件还会对找到的文件进行自动分类。点击分类可以查看文件预览
5、点击勾选想要恢复的文件,然后点击佳佳数据恢复软件界面右下角的绿色[恢复]按钮,就可以开始将文件恢复了;
6、恢复文件前我们还需要选择恢复文件的恢复路径。在文件导出路径选择窗口中点击[选择目录],然后在浏览文件夹窗口中选择文件导出的路径,点击[确定]选择好路径;
篇4
由此可以看出,目前数据恢复市场的热度。对此,笔者感触颇多。
数据恢复不可轻视
第一,现在的年轻人真的是很幸福,上网一搜就可以找到这么多的技术资源共享。想当初,为了搞清楚分区表几个字节的含义,笔者找到仅有的三台计算机,自己闭门对比分析了一个多星期才搞出来。
第二,这么多人关注数据恢复技术,说明大家已经认识到了保护数据的重要性;尤其是“9.11”之后,国外对数据的重要性的认识更广更深,国内也建立起了很多的灾备中心,而存储资金的投入也首次超过了其他硬件,有些系统存储设备的投资更是占到整个投资的85%。
第三,对于数据恢复技术在整个信息安全体系中的地位和作用,也逐步开始得到认识,尤其是存储安全的基础性地位,逐渐得到国内学术界的重视和认可。国外在这方面的起步要早得多,如美国早在1991年就了DoD 5220.22-M标准,北约也了自己的NATO标准,美国更是在去年开发了具有自毁功能的硬盘,韩国及日本等国家都大力支持发展存储产品。
第四,国内的数据恢复市场仍然停留在比较粗浅的层面上,良莠并存。这么说,可能会有很多人跳出来反对。确实,从2003年开始,数据恢复被炒得很热,在Google里随便一搜,就可以返回几十上百万个有关数据恢复的页面。但是,除了少数几家正规的公司外,很多小公司根本连概念都不清楚,只是使用几个网上找来的解密的数据恢复软件,就声称能恢复用户数据。一个简单的事件就足以说明这一问题。2005年,有人说手头有一个从俄罗斯弄来的数据恢复软件,安装以后就可以恢复被覆盖的数据,就是这样一个简单可笑的谣言,却吸引了圈内大量的从业人员的追捧。由此可以看出,虽然现在数据恢复行业看起来很美,但其技术实力却又是多么薄弱。和国外正规数据恢复公司相比,国内目前从业者的技术水平只能说是处于起步阶段。
尽管如此,笔者还是很欣慰已经有这么多的人来关注这个行业。但目前关注和投入该技术研究领域的人力物力还是太少了!我们都知道,任何数据在写入到实际的存储介质前,都必须经过一系列的编码处理,读出时再进行相反的处理过程,如图1所示。确切地说,需要五次之多的变换,如图2所示。
除了这里介绍的存储层,结合我们在前面介绍数据恢复技术体系的文章中已经介绍过的存储体系可以知道,数据恢复技术既不像一些人传言的那么神奇,也不像一些人想像的那么简单,它是一门实实在在的、有着自己特殊规律和理论支撑的技术学科。
第五,目前的数据恢复市场尚处于发展初期,还极不规范和成熟,所以,国家还没有对数据恢复市场进行管理和规范,这就使该市场更是良莠不齐。
数据恢复本身就是一个实实在在的技术问题。一般说来,目前出现的数据丢失问题几乎都是可以恢复的,但也确实还有不少情况,在目前的技术条件下是不可能恢复的,或者换句话说,是不值得恢复的。如果一家公司上来就说,放心,没有问题,我们的技术是一流的,肯定能把你的数据找回来。那么请注意,你要小心了!从目前转手到我这里的“疑难杂症”的实际情况来看,本来可以恢复,却被“二把刀”从业者毁坏造成不可恢复,或者恢复难度急剧增加的案例占了最大的比例。
我自己对此深有感触。有些朋友打电话给我时说得很简单,就做了什么什么操作,拿过来一看,根本就不是那回事,里面被弄得一塌糊涂,本来3分钟就能搞定的事,3天都不能达到最好的效果。另一方面,有些朋友说得很严重,硬盘都找不到了,结果拿过来一看,3分钟就把问题解决了。所以现在朋友拿过来的盘,我从不问什么情况,进行了什么操作,连需要恢复什么数据都不想问,自己直接看看硬盘底层原始信息,就一目了然了。
关于数据恢复的建议
在这里再给大家介绍一些基本情况,以供出现问题时参考。
任何时候出现问题,都不用慌张,也不用着急,在动手做任何尝试之前,都要想一想,现在所做的每一步操作都是在冒险,都可能导致数据遭到进一步破坏,因此,必须考虑好了,这些数据到底重要不重要,值不值得冒风险,或许找专业的数据恢复公司,恢复的成本并不高。尤其是自己动手做得越少,越早找专业的数据恢复公司,价格就会越低。当然,如果数据并不是重要到超过数据恢复的成本,那么,就尽情地自己动手吧,不用犹豫了。
但是,在动手之前,仍然要注意,在可能情况下,尽量给全盘做一完整的备份,可以使用WINHEX、GETDATABACK等工具完成这一工作。如果不需要全盘备份,也要先把能正常拷贝的数据,转移或拷贝到安全的地方。这些工作可以自己做,也可以请朋友帮忙做,但一定要注意,系统盘下的一些重要数据一定要拷贝,如“我的文档”、“桌面”等,尤其是不要相信一些所谓的电脑高手的话,因为电脑高手通常只是某些方面的,笔者就亲自经历过,一位电脑高手把一位香港作家存放在系统盘里的手稿活生生覆盖了。
还有,对于这些受损的文件系统,任何一次重启,都可能产生新的破坏,知道Windows系统每次重启,都会在后台做些什么工作吗?不知道?知道的不全?对,这就是一般的技术人员与专家的差别。数据恢复技术不是一个固定了操作步骤的生产流水线。任何计算机相关知识,以及所要恢复的各行业的相关知识都是基础。
知道了这些,那么在数据恢复时应该如何做?
第一,如果是误删除或误格式化,或者是系统死机、移动存储设备意外等各种逻辑问题,重启都可能会造成一些不必要的破坏。但显然必须重启,不重启怎么检查数据状态呢?其实,重启最大的破坏可能只是来自系统的CHKDSK,只要在出现CHKDSK提示时,按任意键取消CHKDSK就OK了,即使CHKDSK了,也一样可以恢复。因此,放心吧,只要找到可靠的技术人员,并且不要再往硬盘里写入数据,一般都是没有问题的。如果不放心,那么就一定要要求操作人员给原始数据做镜像备份。但对于FAT的文件碎片,目前的重组算法还不是很理想,从理论上说,恢复的难度相当大,只能通过专家手工重组。问题是你的数据真的那么重要吗?那么,请提前做好备份吧,一块硬盘的价格相对于数据价值来说,实在是九牛一毛。
第二,如果是硬件问题,建议直接找专业公司,尤其是加电后出现各种异响的盘,少一次盲目的尝试,就多一份恢复的机会。
第三,如果是企业或数据中心大型的磁盘阵列或存储系统,更需要找大一点儿的数据恢复公司,小公司可能连这么大的临时存储空间都没有。
篇5
关键词: 文件目录表 文件分配表 数据恢复 删除标记
硬盘具有容量大、价格便宜的特点,是我们存储数据的主要设备,但是硬盘中存储的数据在一些情况下可能被损坏,如果没有对数据进行备份,给个人和社会会造成很大的损失,因此硬盘数据的恢复很重要。本文针对其数据恢复原理进行了深入的探讨。
1.物理结构
硬盘主要由盘片和磁盘驱动器两部分组成,其中盘片是用来存储数据的,磁盘驱动器负责读取其中的数据。硬盘由多张盘片构成的,盘片由涂有磁性材料的铝合金构成的,一个盘片有上下两个面,从上至下的顺序自0开始编号,每个盘面对应一个读写磁头,磁头数等于盘面数。硬盘在使用之前要进行低级格式化,格式化后形成磁道,磁道从外向内自0开始编号,盘面上的同一磁道就构成一个圆柱,称为柱面。一个磁道被划分为许多大小相同的圆弧,每一段圆弧就是一个扇区,扇区是硬盘的最小物理存储单元,一个扇区是521字节。操作系统无法对数量众多的扇区进行寻址,对相邻的扇区组成一个簇,对簇进行寻址,簇由2n个连续的扇区构成,硬盘的容量是盘面数、磁道数、扇区数和512字节的乘积。磁盘驱动器[1][2]主要由读写磁头、主轴系统和定位驱动系统三部分组成,磁头负责读写盘面上的数据信息,主轴系统是固定多张盘片,并驱动它们以额定速度旋转,定位驱动系统驱动磁头运动沿盘面径向运动寻找目标磁道。
2.数据存储方法
硬盘在使用之前,进行分区和高级格式化,在硬盘上建立相应的数据存储结构。数据存储结构[3]包括主引导扇区(MBR)、DOS引导扇区(DBR)、文件分配表区(FAT)、文件目录表区(FDT)和数据区(DATA),实现对数据的存储与管理。主引导扇区位于整个硬盘的0磁头0柱面1扇区,包括主引导程序、分区表和结束标志字,由分区程序产生,它的主要作用是检查硬盘分区表是否正确及确定哪个分区为引导分区,并把该分区的启动程序调入内存加以执行。DOS引导扇区位于硬盘各分区的第一逻辑扇区,是操作系统可直接访问的第一个扇区,包括一个引导程序和一个本分区参数记录表(BPB)。DOS引导扇区由高级格式化程序产生,其作用是判断本分区根目录前两个文件是否为操作系统的引导文件。如果就把第一个文件读入内存,并把控制权交予该文件。文件分配表是用于文件索引和定位的一种链式结构,它记录了在数据区中全部簇的分配和使用情况,前两项是保留项,第三项开始记录簇的占用和使用情况,把分布硬盘不同位置上文件的占用簇连接起来,形成一个簇链。文件分配表有两个,文件分配表2是文件分配表1的备份。目录表位于文件分配表2之后,记录着每个文件的起始单元、文件的属性等,它的主要作用向操作系统提供文件的起始单元,操作系统再结合文件分配表确定位文件的位置。数据区主要负责硬盘中数据的存放,当数据复制到硬盘时,数据就存储在这个区中。
3.文件操作
在硬盘中对文件的存储是以簇为单位进行的,同一个文件的数据不一定完整地存放在一片连续的簇中。数据访问首先磁头主动寻找目标磁道,然后目标簇主动迎合磁头。磁头从当前磁道移动到目标磁道的时间称为寻道时间,磁头等待盘片从目标簇旋转到磁头下方所花的时间称为延迟时间,寻道时间、延迟时间和数据访问时间三者之和就是数据访问时间,数据访问时间越短,说明硬盘的性能越好。对硬盘上存储文件的主要操作有读文件、写文件和删除文件三种。
3.1读文件
读文件时,操作系统首先从FDT中读取该文件的文件名和首簇号,然后根据首簇号访问FAT,在FAT中获取文件占用其余簇的信息,两者相配合在DATA中读取文件的数据,直到遇到文件结束标志FFFFH,将目录项中的文件长度和实际读取的数据长度进行比较,两者一致,表明读取正确,该文件的读操作完成。
3.2写文件
写文件就是把文件存放到硬盘中相应的物理位置。保存文件时操作系统首先在FDT中找到空位置写入文件名、大小和创建时间等信息,然后在DATA中找到空闲位置来写入文件,接着将文件占用的第一个簇的首簇号和文件大小等信息写入FDT中,最后将文件占用其他簇的信息写入FAT中。
3.3删除文件
文件的删除是把FDT中该文件的第一个字符改成成E5H,就是对该文件目录项的文件名做了改写。E5H是一个删除标记,表示该文件的位置可以写入新的文件。文件在删除时,同时改写引导扇区的第二个扇区中表示该分区占用空间大小的相应信息,并对文件分配表中的相关项进行清零操作,这样簇链被剪断,但是文件中的数据还保存在数据区。以HELLO.TXT文件的删除为例,利用数据恢复软件WinHex查看删除前后该文件的数据存储结构。删除前后数据区的数据没有发生变化。这说明删除操作没有把数据真正删除掉,除非写入新的数据把原来的数据覆盖掉。
4.数据恢复策略
硬盘上数据丢失的原因与它的数据存储结构和数据相关操作原理有关,主要包括两个方面的原因:硬故障和软故障。只要真正存储数据的数据区没有被新的数据彻底覆盖,就可使采用相应的技术手段加以恢复。对于硬件故障,可以采用专用数据恢复硬件设备读取盘片上的数字信号,然后用相应的软件分析工具进行修复。对于软故障可以采用专业数据恢复工具来进行数据恢复。由于删除操作的第一步是给文件名加了一个删除标记E5H,第二步断开簇链,因此恢复对应也做两步工作。首先把文件名的删除标记修改成正常值,第二步把簇链给接上。簇链接上的过程非常复杂,可以利用数据恢复软件来自动实现。常用的数据恢复软件有EasyRecovery、WinHex、FinalData,其中EasyRecovery是利用Ontrack公司复杂的模式识别技术,找回分布在硬盘上不同区域的文件碎片,并根据统计信息对这些文件碎片进行重整,并在内存中建立一个虚拟文件系统,并列出文件和目录,进而找回文件。该软件还可以对分区和高级格式化后硬盘进行数据恢复。原理是FDISK分区操作只修改MBR和DBR,没有把数据从DATA中直接删除,而FORMAT操作:仅仅把FAT表清零,没有对DATA中的数据清零。由此可以得知,文件删除、分区和格式化操作,都不能把文件从硬盘上彻底地清除掉,原来的数据是可能被恢复的。
5.结语
当遇到硬盘数据被误删或者丢失的情况,要立即关机,不要在硬盘上进行任何操作,避免原数据被新写入的数据覆盖,导致无法恢复的现象发生。利用软件恢复数据,要深入了解各种文件系统和文件的数据存储结构,并熟练掌握数据恢复软件的原理和操作方法,从而有效地恢复数据,把损失降到最低。
参考文献:
[1]张尧学,史美林,张高.计算机操作系统教程[M].第三版.北京:清华大学出版社,2006(3):52-58.
篇6
1、打开电脑在浏览器中搜索一个数据恢复软件,并将件下载安装,安装完成后,打开软件可以看到,界面上有“快速扫描”和“深度扫描”,这里按照自身要求选择扫描模式即可。
2、选择之后,会弹出一个磁盘分区的的页面,选中要恢复文的磁盘分区(可以点击“文件设置”针对某中类型的文件进行扫描,以缩短扫描范围),点击“下一步”按钮,软件就开始对所选磁盘分区进行深度扫描了,我们要耐心等待。
3、扫描结束之后,在界面左边会显示全部信息,找到被格式的文件并点击,在界面右边会出现文件的详细信息,确认无误之后点击“下一步”按钮。
4、然后我们通过点击“浏览”按钮,为恢复后的文件自义选择存储位置之后,点击“下一步”按钮,软件就开始对选中的记录开始恢复了,就完成了对电脑被误格式化硬盘中文件的恢复了。
(来源:文章屋网 )
篇7
【关键词】数据恢复 信息 资源
中图分类号:TP 文献标识码:A 文章编号:1009―914X(2013)35―503―01
前言:现代化活动中,信息资源的价值就越来越显现出来,与此同时,信息资源的安全问题也随着信息的广泛应用而日益凸显。虽然可以对一些重要的数据进行备份,但是当出现某些不可预见的因素和不可抗力的时候,比如:系统出现故障、病毒的传播、黑客攻击和自身的操作失误,都会使重要信息不同程度的丢失,对工作造成很大程度的危害。因此,为了保证信息资源的安全,以及确保信息资源在活动中的可靠性、可用性和安全性,我们必须掌握数据恢复技术。
一、威胁信息资源安全的因素
软件故障和硬件故障是对信息资源构成威胁的两大因素,主要的软件故障有:误格式化、误分区、误操作、误克隆、病毒感染、磁道损坏、网络删除、操作时意外断电等;主要的硬件故障有:磁阻变形、磁盘划伤、芯片以及其他一些原器件烧坏等。因为硬件的故障特殊性,本论文重点基于软件故障引起而造成的数据丢失来分析数据恢复技术在维护信息资源安全中的运用。
二、数据恢复原理
在计算机领域,数据恢复就是把异常的数据还原为正常数据的过程。计算机硬盘的数据结构、文件的存储技术决定了已经删除的数据的可恢复性。计算机完全有可能恢复误删除的分区和误格式化的硬盘。
2、1 硬盘数据结构
一般的硬盘基本分为:主引导扇区、文件分配表区、操作系统引导扇区、目录区和数据区5个部分。主引导扇区一共512字节,包括硬盘分区表(DPT)和硬盘主引导记录MBR。硬盘主引导记录的作用是检查分区表是不是正确和确定哪个分区作为引导区,并且在程序结束是把启动程序从该分区中导入内存中执行。
操作系统引导扇区也就是DBR,是作为第一个扇区作系统直接访问,其中包括引导程序和本分去参数记录表也就是BPB。判断本分区根目录前两个文件是否作为操作系统的引导文件是引导程序的主要任务。本分区的起始扇区、结束扇区、硬盘介质描述符、根目录大小、分配单元的大小、结束扇区、文件存储格式等重要参数都是记录在BPB参数。
2、2 数据存储原理
操作系统保存文件的步骤是:首先找到FDT(文件目录表)区的空白区写入要保存的文件名、大小以及创建时间等相应信息,之后找到Data区的可用空间将文件保存,最后在FDT区中写入Data区的第一个簇的簇号,如果文件结束,就在FDT区内写入Data区的最后一个簇的簇号,并且把结束标志写入Data区的最后一个簇.在系统删除文件的时候,默认并不是把文件直接删除,只是在文件的目录项目上做一个删除的标记,使FAT(文件分配表)中它们所占用的簇标被标记为“空簇”,这样做就保证了原文件的内容仍然保存在Data区的簇中。
三、硬盘数据恢复方案分析
现阶段,绝大多数的都是在Windows系统操作平台模式下完成对工作的处理,最常见的形式基本是doc、ppt、pdf等电子文档。做好的资源很难避免由于病毒破坏、误操作、硬盘分区表破坏、突然断电以及系统崩溃等因素影响正常的使用或者保存,造成文件破坏、丢失的情况出现。当以上的情况出现时并且还需要对文件进行恢复或者修复时,就可以直接利用数据恢复软件而省去重新制作资源的麻烦。下文将主要对Windows98/2000/Me/XP(FAT16/32文件系统)以及WinNT/2000(NTF文件系统)中的文件,将误删除文件数据的恢复技术进行系统分析。
3、1 病毒破坏
计算机病毒能够通过很多方式的对硬盘进行破坏,而且对数据的破坏程度往往是无法预见的。更重要的是,多数数据在被破坏以后都不能够利用一般的软件完成恢复。大多数的数据破坏都是由于电脑病毒造成的,对于这种情况,最有效的手段是使用正规厂家出产的正版软件。
硬盘中的数据在被病毒破坏的过程中,方式不同。受此影响,恢复数据所采取的方案也应该根据病毒特点,对症下药。例如:CIH病毒,在CIH病毒如期硬盘数据以后,应该采用KV3000的F10功能来完成对数据的恢复。在这种情况下,虽然CIH病毒产生的乱码覆盖了计算机C盘中的FAT表与根目录中的文件目录,但通过KV3000还是能够成功将C盘恢复,虽然受病毒乱码影响,无法识别根目录的文件名,但是C盘的扇形区内仍然存储了文件的内容。然后,再通过数据修复软件TIRAMISU.EXE找回处于C盘的文件影响。存放文件影像的簇如果能够保证相连,恢复的文件将会是完整无损的。
3、2 误操作
有一些用户在进行活动中,由于操作造失误,使一些重要的资料、电子教案、课件以及其他计算机上的资料意外删除。当出现这种情况时,这些文件的本身并没有被计算机破坏,只是在存储硬盘上的文件首字节改成了E5H,从而不显示,这种情况下是可以恢复的。利用数据恢复软件,根据扫描到的磁盘信息重建文件和目录,在Windows的平台下,能够通过Finaldata、Easyrecovery等工具完成操作,通过这种方式可以把误删除的文件资料进行恢复。在恢复误删除文件时,Finaldata、Easyrecovery恢复软件的效果最为理想。
3、3 分区表破坏
对于信息资源数据的损坏,分区表的破坏时除了物理损坏之外最为严重的一种破坏,是灾难性的。通常情况下,误操作分区和病毒的入侵时分区表破坏最要的原因。遇到这样的情况,我们可以使用EasyRecovery数据恢复软件进行恢复操作,它支持多种文件格式,因为病毒感染、意外格式化、被破坏的FAT分配表、启动扇区等因素造成的文件丢失都可以恢复。
3、4 文件损坏
因为数据逻辑上的原因,部分数据仅对操作系统可见,所以在应用Word文件时,经常会出现“文件损坏,无法打开”,或者出现乱码的情况,在此类现象发生以后,可以应用Esayrecovery工具的“文件修复”来修复文件。除此之外,Esayrecovery文件修复工具还能够修复Zip、PowerPoint、Excel、Access等文件
结语:在工作过程中,操作计算机往往存在数据的误删除现象,这样对信息资源安全有了很严重的威胁,由此一来,对数据进行恢复显得尤为重要。数据恢复技术的出现使误操作等原因下,数据丢失后的恢复工作成为可能,但对于维护信息资源的安全,最重要的是还是做好数据备份工作,防患于未然。
参考文献:
[1]戴士剑,陈永红.数据恢复技术[M]电子工业出版社 2003
篇8
关键词:磁盘阵列;工作原理;恢复方法
中图分类号:TP391文献标识码:A文章编号:1672-7800(2012)010-0132-02
作者简介:蔡向阳(1974-),女,硕士,湖北黄冈职业技术学院电子信息学院副教授,研究方向为网络管理与维护、信息安全。
1磁盘阵列(RAID)
1.1磁盘阵列的原理
磁盘阵列原理就是利用数组方式将多块硬盘组合成磁盘组,并当作一个磁盘驱动器来使用,配合数据分散排列的设计,以提升数据的安全性。磁盘阵列主要针对硬盘在容量及速度上无法跟上CPU及内存的发展而提出的改善方法,目的是提高系统的存储能力及容错能力。
1.2磁盘阵列的技术规范
根据数据组织的方式,目前业界公认的可将磁盘阵列分为8个级别(RAID0~RAID7),它们的侧重点各不相同。每个RAID等级分别针对速度、保护或两者设计的结合而设计,各个级别的简单定义见表1。
此外,磁盘阵列还有RAID1+0、5+0、JBOD等模式。其中JBOD(无冗余模式)严格上来讲不属于磁盘阵列范畴,只是现在很多计算机主板上带有这种功能。由表1可知,RAID5集合了RAID2、RAID3、RAID4的优点,因此应用最广泛,同时也淘汰了前3种RAID技术,RAID6是RAID5的扩充,进一步增强了数据的可靠性,但效率低且成本高。RAID7虽然增强了数据的可靠性但成本过高故而很少使用,除非是在安全性极高的场合。
1.3RAID5的数据存储原理
RAID5是目前应用最为广泛的RAID技术,其数据存储原理是将多块独立硬盘进行条带化分割,相同带区进行奇偶校验(异或运算),校验数据平均分布在每块硬盘上,这样任何一块硬盘上的数据丢失均可以通过校验数据推算出来,并且以N块硬盘构建RAID5阵列用户可以有N-1块硬盘的容量,存储空间利用率非常高,读写数据的速度也快。虽然,RAID5提供了一定的冗余性(支持一块硬盘掉线仍可继续工作),但一旦掉盘后,运行效率将会大幅下降。
由于奇偶校验数据是均匀分布在每块磁盘上,因此,存在着数据条带的顺序和校验块的位置方向的问题,普通用户可能不在意,但对数据恢复来说却非常重要。不同的厂家在设计RAID5时有不同的组织方式,下面列出几种常见的组织方式。
(1)左异步(Adaptec反向奇偶校验,Backward321)。其中“左”指的是校验块的移动方向是向左循环,即阵列的条带0的校验块位于阵列最后一个磁盘(即4号盘)的0号块,条带1的校验块位于倒数第二个磁盘(即3号盘)的1号块,条带2的校验块位于第三块磁盘(即2号盘)的2号块,条带3的校验块位于磁盘0的3号块,这时即完成一个整循环,再回至3号盘的4号块……,类似由右向左旋转而下;“异步”是指在每个条带内数据块的写入都是由低号盘开始写入,写满一个块后转向高号盘,继续写入,完全不用考虑校验块的位置。具体数据组织方式如图1。
(2)左同步(AMI反向动态奇偶校验)。其中,“同步”是指一个条带内的第一个数据块总是跟在本条带内的校验块之后。具体组织方式如图2。
(3)右异步(正向奇偶校验)。其中,“右”与上面的“左”相对应,具体是指校验块的走向是“自左向右”,右异步数据组织方式如图3。
(4)右同步(正向动态奇偶校验)数据组织方式如图4。
在实际工作中,还可能会遇到其它的数据组织方式,需要读取不同的阵列卡说明书或其它方法来判断。在做RAID5的磁盘阵列数据恢复前,必须要知道它的配置参数,这是数据恢复的关键。很多卡配置时不会给出组织方式,需要用户自己去摸索试探。RAID5的关键参数主要有:一是盘序,即每块硬盘的组织顺序,在拆卸前应做好标记;二是块大小,分割数据块进行存储时的大小单位,可能是十几KB或上百KB;三是组织方式,指的是数据块和奇偶校验块存放的方式;四是起始位置,即第一块奇偶校验块的起始位置。
2磁盘阵列RAID5的数据恢复
由RAID5的数据组织方式可知RAID5系统本身有一定的容错功能,如果故障处理得好的话,在大多数情况下数据还是可以被恢复的。
2.1磁盘阵列RAID5的数据恢复工具R-STUDIO简介
在磁盘阵列RAID5做数据恢复时,支持RAID恢复的工具软件是必不可少的。目前比较出名的支持RAID分析的工具有Winhex和R-STUDIO。其中,R-STUDIO在恢复RAID方面功能更为强大。这里介绍使用R-STUDIO工具进行常规的RAID数据恢复方法。
R-STUDIO是功能超强的数据恢复、反删除工具,采用全新恢复技术,为使用FAT12/16/32、NTFS、Ext2FS分区的磁盘提供完整数据维护解决方案。同时对本地和网络磁盘提供支持,此外还提供大量的参数设置让高级用户获得最佳恢复效果。其具体功能有:采用Windows资源管理器操作界面;通过网络恢复远程数据;能够重建损毁的RAID阵列;为磁盘、分区、目录生成镜像文件;恢复删除分区上的文件、加密文件、数据流;恢复Fdisk或其它磁盘工具删除过的数据、病毒破坏的数据、MBR破坏后的数据;识别特定文件名;将数据保存到任何磁盘;浏览、编辑文件或磁盘内容等。
2.2磁盘阵列RAID5的数据恢复案例
某单位的HP服务器,外置的磁盘阵列柜配4块73G盘、一块热备、3块做成一组Raid5。在客户端操作数据时出现问题,管理员在RAID卡管理界面中发现RAID5显示为Fail状态。服务器Win2003系统中,原有阵列中的盘符全部丢失。经售后工程师电话服务解决后的现象是,Raid卡管理介面中,0号盘Dead状态、1-2盘为Offline状态;盘柜中1、2号盘有信息灯警示;服务器Win2003系统不能识别盘阵。考虑到客户在盘阵中有重要数据,因此建议请专业数据恢复人员提供服务。
任务分析:数据恢复工程师上门对每块盘的数据进行检测,检测结果为0号盘物理损坏,3号盘为热备盘顶替了0号盘,但由于1、2号盘有坏扇区,引起1、2号盘离线,因此RAID5不能工作。根据上述故障现象提供的恢复方案是先对1~3号硬盘做镜像,用镜像文件代替原始硬盘,再用RAID重组技术,对原始的1、2、3号盘(缺0号盘)3盘块虚拟重组为一个RAID5,导出用户数据。
操作方法与步骤:
(1)首先制作硬盘的镜像文件,可以用R-STUDIO、MTL、Winhex或其它工具。
(2)然后打开R-STUDIO软件,并在该工具中通过菜单Drive/OpenImageFile打开备份的镜像文件,如图5。
(3)接着选择RAID阵列重组类型见图6。有4种类型可供选择:VirtualVolumeSet虚拟卷集、VirtualMirror虚拟镜象、VirtualVolumeStripeSet虚拟条带卷、VolumeRaid5虚拟RAID5。在这里选择创建虚拟RAID5。
(4)接着在左边窗口中选择“VolumesetsandRAIDs”下选中刚才创建的VirtualRAIDs,并将1、2、3个Img文件依次拖入右边Parents框内,再通过右下选项卡的Preperties(特性)进行RAID参数设置。主要是RAIDBlockSize、RAIDBlocksOrder校验方向的设置。本例设置为16K、左同步(Standard)。
(5)在参数设置完成后,在VirtualRAIDs中虚拟磁盘阵列上点右键,并选择Scan(扫描)。在扫描完成后,即可在该目录下以绿色字体显示找到的所有有效分区。
(6)接着打开绿色有效分区,即可以看到正常的目录。此时,可以根据客户的需要选择要恢复的目录,并导出数据。至此,即完成了磁盘阵列的用户数据恢复了。
在此案例的数据恢复过程中,由于2号盘和1号盘同时离线,故而仅需做故障盘的全盘镜像,然后利用镜像文件来恢复数据即可;倘若是分别离线,则需要分析离线时间,去掉先离线的盘,用剩下的两块盘来恢复数据。
事实表明,在做磁盘阵列恢复之前,需要注意两点:一是正确地判断出故障情况,具体可通过观察、询问和经验判断的方法来分析故障的形成原因及过程,然后再选择正确的恢复手段。一般来说磁盘阵列故障往往不是单一原因造成,常规的故障恢复手段只能恢复阵列状态,而不能恢复阵列数据,即使让磁盘阵列恢复到正常使用状态,但这些操作往往会导致阵列底层数据的彻底损坏。因此,必须根据具体情况制订相应的解决方案,切不可贸然实施阵列恢复;二是要弄清楚硬盘组的盘序,切不可弄错。同时要设定好RAID5的组织方式,比如正向校验等。如果客户忘记了组织方式,可以根据磁盘上数据块的大小和内容来分析、判断。有一些软件可以自动帮助分析,如Winhex,但效果都比不上有丰富经验的技术人员。在组织方式确定下来后,起始位置和数据块大小也可以确定了,至此,RAID数据恢复就至少成功了一半。
参考文献:
篇9
万能微信数据恢复不是真的。
万能微信数据恢复是不可信的,它会盗取微信账号和信息,泄漏用户的隐私,最好选择官方渠道处理。也可以选择进行人工申述,在微信登录页面选择帮助进入申述入口页面;也可以拨打微信客服电话寻求帮助;还可以申请一个新的微信账号来进行使用。
微信(WeChat)是腾讯公司于2011年1月21日推出的一款面向智能终端的即时通讯软件。微信为用户提供聊天、朋友圈、微信支付、公众平台、微信小程序等功能,同时提供城市服务、拦截系统等服务。2012年4月,腾讯公司将微信推向国际市场,更新为“Wechat”。
(来源:文章屋网 )
篇10
关键词:硬盘;数据;恢复;故障;注意事项
中图分类号:TP309.3 文献标识码:A 文章编号:1007-9599 (2012) 08-0000-01
一、引言
计算机安全专家威廉?史密斯说:“创建这些数据也许只花了10万元,但当你在关键时刻打算把他们全部找回来时,你得准备100万元的支票。”而如果你掌握了数据恢复技术,你就可以节省下这100万,甚至还能从其它人那里赚取100万元。
数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由误操作导致丢失的数据还原成正常数据。当用户面对计算机系统遭受误错误、病毒侵袭、硬件故障、黑客攻击等事件后,数据恢复技术可以将用户的数据从各种“无法恢复”的存储设备中拯救出来,从而将损失减到最小。
二、数据恢复的方式
(一)软件恢复
软件恢复指的是一切可以通过软件的方式进行的恢复,不涉及硬件修理的数据恢复操作,如病毒感染、误分区、误克隆、网络删除、误格式化、操作时断电等原因造成的硬盘损坏。
(二)硬件恢复
硬件恢复指的是一件涉及到硬件修理、由硬件损伤或失效造成的数据恢复,如刺刀损坏、磁盘划伤、磁组损坏、主电机损坏。硬件恢复可分为硬件代替、固件修复、盘片读取三种恢复方式。
三、数据恢复的对象
数据出现问题主要包括两大类:逻辑问题和硬件问题,相对应的恢复行业也分别称为软件恢复和硬件恢复。这里谈到的恢复对象和实例是我们力所能及的一些数据恢复对象和常用实例,也就是通过软件恢复方式能够实现的一些功能,需要硬件恢复方式才能够解决的数据恢复大多需要拿到专业的数据机构才能奏效。
软件类故障的特点:无法进行操作系统、文件无法读取、文件无法被关联的应用程序打开、文件丢失、分区丢失、乱码显示等。
事实上,造成软件类数据丢失的原因十分复杂,每种情况都有特定的症状出现,或者多种症状出现。一般情况下,只要数据区没有被彻底覆盖,基本上都可以顺利恢复。以最普通的删除操作为例,实际上此时保存在硬盘中的文件并没有完全被完全覆盖掉,通过一些特定的软件方法,能够按照主引导区、分区、DBR、FAT,最后文件实体 恢复的顺序来解决。
当然也应该客观承认的是,尽管软件类数据恢复技术有很多细节性的技巧与难以简单表达的经验,但是也的确存在现有软件技术无能为力的情况。如果硬盘中的数据被完全覆盖或者多次被部分覆盖,很可能使用任何软件也无法修复。
四、数据恢复的常用实例
(一)主引导区的恢复
开机自检后系统提示“Miss operation system”,且DOS下C盘内容完整,另外,在电脑启动过程中,系统能够自检并检测到硬盘,但进入操作系统之前提示“DISK BOOT FAILURE,INSERT SYSTEM DISK AND PRESS ENTER”,这属于主引导区错误。对于这一类故障,可以用软盘或者光盘来启动,进入DOS,看能否读取C盘上的内容。如果能够使用Fdisk/mbr命令就可以进行无条件重写主引导区,这个办法一般都能成功,而且可以保留原有的数据。
(二)文件误删除的恢复,找回“已删除”文件
Windows在删除文件的时候并不是真正把文件从硬盘抹去,而仅仅是标记了“可写”来表明“这块空间可以覆盖”。也就是说,如果没有别的文件来覆盖这块区域,这些文件就一直保留着。格式化是删除数据最快捷的方法,但其实只是将文件的索引删除了而已,操作系统提供了这些简单的删除文件的途径造成了一大批诸如EasyRecovery、FinalData、PowerDataReovery等数据恢复软件。相应的,使用这些恢复软件就能轻松地找回文件。
(三)零磁道损坏的修复
对于硬盘而言,零磁道是最为关键的地方,因为硬盘的分区表就在其中。一旦零磁道损坏,那么硬盘将无法启动。其实,零磁道损坏只是无力坏道的特殊情况,所不同的只是损坏之处非常敏感。对于带有无力坏道的硬盘,最简单的数据恢复方法就是将该硬盘设置为从盘,让后使用的另一块正常的硬盘作为主盘引导进入操作系统。在磁盘管理器里对坏盘进行盘符分配,如果成功,直接拷贝就能成功挽救并保存数据。但若坏道过多,那只能尝试其他方法。
(四)硬盘损坏以及数据恢复实例
仅从今年9月和10月两个月的计算机维修记录显示,由于计算机硬盘故障导致计算机无法正常工作的共153起,其中47起为引导区逻辑性故障,无需更换硬盘及保存数据,直接重新建立引导区安装操作系统即可解决;58起为硬盘固件原始缺陷无法修复,所幸的是计算机还可以识别硬盘,将数据导出并更换硬盘才可解决;20起为硬盘出现物理坏道导致数据丢失,通过使用EasyRecovery,R-studo软件恢复了50%数据,将数据导出并更换了硬盘;最后28起为硬盘盘体或者固件严重损坏,由于无数据恢复的设备及开盘体的环境,根本无法将数据导出,只能忍痛舍弃十几年积累的资料。
五、结束语
电子存储数据故障复杂多样,文中的解决办法只是抛砖引玉。值得引起大家重视的是,硬盘是比较精密的部件,正确使用好硬盘才是减少硬盘坏道发生、提高硬盘使用寿命的最好方法。我们平时要注意杜绝硬盘的不正常关机、磕碰、震动、高温状态下长时间运行等现象。电子存储数据恢复的方法本文也是简要的陈述,只是从这一个角度提出了作者的一点思路,真正的电子存储数据恢复可以进行得很深入,需要专业的工具和专业的技术人才来进行。
参考文献:
[1]电脑报社.电脑大道理之—装机圣手[M].重庆:重庆出版社,1999
[2]王龙,上官冰冰.电脑常见故障1000例详解[M].中国铁道出版社,2002
