数据恢复技术实训报告.docx
- 文档编号:27114332
- 上传时间:2023-06-27
- 格式:DOCX
- 页数:13
- 大小:27.47KB
数据恢复技术实训报告.docx
《数据恢复技术实训报告.docx》由会员分享,可在线阅读,更多相关《数据恢复技术实训报告.docx(13页珍藏版)》请在冰豆网上搜索。
数据恢复技术实训报告
班级:
计机101
学号:
1013250130
姓名:
林旭钿
指导老师:
朱定善_
广东交通职业技术学院
交通信息学院
目录
引言3
内容摘要3
一、数据技术概述3
1.传统机械硬盘数据恢复技术概论3
2.固态硬盘的数据恢复技术概述4
数据恢复原理一-分区表4
数据恢复原理二-目录区与数据区4
数据恢复原理三-引导扇区与分配表操作系统引导扇区(OBR)5
二、数据恢复的可能性5
三、常用数据恢复软件简介5
Easyrecovery5
Finaldata6
R-Studio6
DriveRescue6
Recover4all6
FileScavenger7
Getdataback7
RecoverNT7
SearchandRecover7
DataExplore(数据恢复大师)7
Lost&Found8
PCtools(DOS)8
四、数据恢复案例8
(一)恢复重装XP后的Ubuntu引导分区8
(二)NTFS格式大硬盘数据恢复特殊案例9
五、体会10
参考文献10
数据恢复技术
引言
当今的世界已经完全步入了信息时代,在我们每天的生活当中,越来越多的事物正被以0和1的形式表示。
数字技术与我们的联系越紧密,我们在其失效时就会承担越大的风险。
重要数据一旦破坏,我们讲承受巨大的损失,所以数据恢复产业应运而生。
数据恢复在数据丢失和损坏时挽救这些数据,可以针对各种软硬件平台开展,从文件的误删除,存储设备受到严重破坏,专业的数据恢复工作都可能将数据恢复。
在这篇文章里,我们会向大家介绍数据恢复的方方面面,并根据我们的经验给出一些建议,希望能够使大家更少受到数据损失的困扰。
内容摘要
有很多种原因可能造成数据问题。
最常见的原因当数人为的误操作,比如错误的删除文件、用错误的文件覆盖了有用数据等等。
而存储器本身的损坏也占据了相当大的比重,高温、震动、电流波动、静电甚至灰尘,都是存储设备的潜在杀手。
另外,很多应用程序特别是备份程序的异常中止,也可能造成数据损坏。
在所有的原因当中,由于删除和格式化等原因造成的数据丢失是比较容易处理的,因为在这些情况下数据并没有从存储设备上真正擦除,利用数据恢复软件通常能够较好的将数据恢复出来。
如果存储设备本身受到了破坏(例如硬盘盘片坏道、设备芯片烧毁等),会在很大程度上增加恢复工作的难度,并需要一些必备的硬件设施才能执行恢复,如果存储数据的介质本身(例如硬盘盘片、FlashMemeory)没有损坏的话,数据恢复的可能性仍然很大。
我们通常称存储设备本身的损坏为物理性损坏,而对于非存储设备问题称之为逻辑性损坏。
我们讨论的问题或者说在现实情况下遇到的大多数问题都属于逻辑性损坏之列。
一、数据技术概述
1.传统机械硬盘数据恢复技术概论
数据恢复恢复过程主要是将保存在存储介质上的资料重新拼接整理,即使资料被误删或者硬盘驱动器出现故障,只要在存储介质的存储区域没有严重受损的情况下,还是可以通过数据恢复技术将资料完好无损的恢复出来。
当存储介质(包括硬盘、移动硬盘、U盘、软盘、闪存、磁带等)由于软件问题(如误删除、病毒、系统故障等)或硬件原因(如震荡、撞击、电路板或磁头损坏、机械故障等)导致数据丢失时,便可通过数据恢复技术把资料全部或者部分还原。
因此,数据恢复技术分为:
软件问题数据恢复技术和硬件问题数据恢复技术。
其中,软件问题,如由格式化误删或者病毒引起的资料损失的情况下,大部分数据通过数据恢复软件(如Easyrecovery、FinalData、Recoverymyfile等),加上一些使用技巧和经验,仍能将恢复的,除非数据已被完全覆盖。
因为损失的只有资料的连接环节,重新恢复连接资料区连接环节的话,便可以重新将资料恢复。
而因为硬盘本身问题而无法读取资料时,需要通过专业的数据恢复工程师配合专业数据恢复设备(如效率源DataCompass、开盘机、DCK硬盘复制机等),在无尘环境下维修和更换发生故障的零件,但因硬盘的款式繁多,而且每个品牌或者型号会使用不同的零件,所以专业数据恢复公司会建立了完善的零件库,存储大部分介质的零件,以配合数据恢复技术服务。
2.固态硬盘的数据恢复技术概述
根据权威数据恢复机构51Recovery了解,数据恢复技术是信息技术中一项新兴的高新技术,由于存储介质的高速发展,因此这项技术也是在不断发展中。
固态硬盘作为一种革新性品,代表未来存储技术发展的方向,虽然有些厂商已经在设计的时候已经设计ECC校验,或许通过更换内部部件、软件等维修方式,相对这种技术还是有很大的局限性。
当负责储存数据的闪存颗粒有毁损,现时的数据修复技术是不可能在损坏的芯片中救回数据。
因此,目前来看针对固态硬盘发生故障,还没有一套完整的数据恢复解决方案。
数据恢复技术的原理
Ø数据恢复原理一-分区表
数据恢复原理与分区表关系紧密。
在主引导区中,从地址BE开始,到FD结束为止的64个字节中的内容就是通常所说的分区表。
无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。
需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢失。
这就是当硬盘被CIH病毒破坏后,我们可以通过KV3000的F10功能来找到丢失的D,E及以后的逻辑分区的原因。
Ø数据恢复原理二-目录区与数据区
目录区DIR:
是Directory即根目录区的简写,在FAT12和FAT16格式中,DIR紧接在第二FAT表之后,而在FAT32格式中,根目录区的位置可以在分区中的任意位置,其起始位置是由引导扇区给出的。
单有FAT表还不能确定文件在磁盘中的具体位置,只有FAT表和DIR区配合使用,才能准确定位文件的确切位置。
数据区(DATA)在DIR区之后,才是真正意义上的数据存储区,即DATA区。
DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。
Ø数据恢复原理三-引导扇区与分配表操作系统引导扇区(OBR)
OBR(OSBootRecord)即操作系统引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOSParameterBlock)的本分区参数记录表。
文件分配表(FAT)
FAT(FileAllocationTable)即文件分配表,是DOS/Win9x系统的文件寻址系统。
为了防止意外损坏,FAT一般做两个(也可以设置为一个),第二FAT为第一FAT的备份,FAT区紧接在OBR之后(对于FAT32格式,位置是从引导扇区开始的第32个扇区就是第一个FAT表的位置),其大小由这个分区的空间大小及文件分配单元的大小决定。
二、数据恢复的可能性
第一种:
情况是介质(如硬盘)没有损坏,介质硬件部分完好,能通过BIOS找到,并且无异响声;
一般来说,在用户发现数据灾丢失后,如果没有自行采取带有破坏性的恢复尝试,如:
杀病毒、直接用各种方法恢复数据等操作,这种情况下数据恢复的成功率可以达到:
85%以上,有些情况下如病毒破坏、误删除及误格式化等问题甚至可以接近100%。
第二种:
情况是介质设备硬件损坏,电路板有明显的烧毁痕迹或设备(如硬盘)有异响或BIOS不认硬盘参数:
这种情况下的数据恢复是更为复杂和困难的,首先要排除硬件故障,使介质在特殊的工作平台上能正确的工作,其次是要确认所发生的硬件故障没有破坏存储数据的介质本身,当然这种情况下数据恢复的概率就更有戏剧性了。
三、常用数据恢复软件简介
✧Easyrecovery
Easyrecovery是一个非常著名的老牌数据恢复软件。
该软件功能可以说是非常强大。
无论是误删除/格式化还是重新分区后的数据丢失,其都可以轻松解决,其甚至可以不依靠分区表来按照簇来进行硬盘扫描。
但要注意不通过分区表来进行数据扫描,很可能不能完全恢复数据,原因是通常一个大文件被存储在很多不同的区域的簇内,即使我们找到了这个文件的一些簇上的数据,很可能恢复之后的文件是损坏的。
所以这种方法并不是万能的,但其提供给我们一个新的数据恢复方法,适合分区表严重损坏使用其他恢复软件不能恢复的情况下使用。
Easyrecovery最新版本加入了一整套检测功能,包括驱动器测试、分区测试、磁盘空间管理以及制作安全启动盘等。
这些功能对于日常维护硬盘数据来说,非常实用,我们可以通过驱动器和分区检测来发现文件关联错误以及硬盘上的坏道。
✧Finaldata
Finaldata2.0是目前Finaldata的最新版本。
Finaldata是一个日本人开发的数据恢复软件,Finaldata自身的优势就是恢复速度快,可以免去搜索丢失数据漫长的时间等待。
不仅恢复速度快,而且其在数据恢复方面功能也十分强大,不仅可以按照物理硬盘或者逻辑分区来进行扫描,还可以通过对硬盘的绝对扇区来扫描分区表,找到丢失的分区。
Finaldata在对硬盘扫描之后会在其浏览器的左侧显示出文件的各种信息,并且把找到的文件状态进行归类,如果状态是已经被破坏,那么也就是说如果对数据进行恢复也不能完全找回数据。
这样方便我们了解恢复数据的可能性。
同时此款软件还可以通过扩展名来进行同类文件的搜索,这样就方便我们对同一类型文件进行数据恢复。
Finaldata的速度之快不仅表现在对硬盘扫描时迅速,把已经找到要恢复的文件进行保存的速度也非常迅速,Finaldata能充分利用IDE硬盘的ATA133、ATA100等最大接口速度,对数据进行快速保存,在保存数据时间方面,Finaldata比其他同类型软件要快一倍以上。
✧R-Studio
R-Studio是损坏硬盘上资料的救星。
它能针对各种不同版本的Windows操作系统之文件系统都能应付自如。
甚至连非Windows系列的Linux操作系统,R-Studio软件也照样能够应付。
而在WindowsNT,Windows2000等操作系统上所使用的NTFS文件系统,R-Stduio亦具有处理的能力,而且R-Studio甚至也能处理NTFS文件系统的加密与压缩状态,并将发生问题的文件复原。
除了本地磁盘以外,R-Studio甚至能透过网络去检测其他电脑上硬盘的状况。
且在挽救资料损毁的文件以外,R-Studio也包括了误删文件的复原能力,让未使用回收站或是已清空回收站的文件,都照样能够找回来。
最特别的一点是在标准的磁盘安装方式以外,R-Studio也能支持RAID磁盘阵列系统。
✧DriveRescue
DriveRescue是一款优秀而且免费的磁盘数据拯救程序,它能恢复驱动器(例如硬盘)上误删或遗失的数据,即使已经失去分区表或硬盘已被快速格式化或者遭遇系统崩溃等情况,找回驱动器重要文件系统信息如分区表、引导记录、FAT、文件/目录记录等。
当然对于物理损坏的硬盘它也无能为力。
DriveRescue支持FAT12/16/32分区和Windows全系列操作系统以及双硬盘。
✧Recover4all
Recover4all是一款非常优秀的文件恢复软件。
可以恢复任何由于冒失而删除的文件,只需轻轻点击鼠标,删除的文件便可失而付返。
不管你丢失的文件是故意的还是直接的删除,也不管删除了多久,次数有多少,对Recover4all来说,一切都不是问题。
本软件无需安装,可在软盘上直接运行.
✧FileScavenger
FileScavenger能够恢复在NTFS格式下意外删除的文件工具,提供了找寻文件类型功能,如*.doc及*.txt,能够救回的文件不只单一文件,还包括整个目录及压缩文件,也支持救回来的文件选择在原来所在位置恢复或储存到其它的硬盘
✧Getdataback
GetDataBack能帮我们在5个步骤之内轻轻松松的还原数据,不管您的硬盘是否还能被操作系统所辨认,也不管您的根目录或者是所有的目录都已经丢失了。
✧RecoverNT
RecoverNT是一套功能强大的硬盘资料恢复软件,可以在Windows9x下将你不小心格式化;硬盘资料给起死回生,适用于FAT、FAT32、NTFS系统下,可以挽救单独的文件或是整个目录的文件。
✧SearchandRecover
SearchandRecover是出品SystemMechanic的iolo公司发布的一款硬盘数据恢复工具。
可以使用向导方式快速恢复已删除数据,也可以通过高级数据恢复工具最大限度的挽救数据。
它的另一大特色是可以恢复Outlook、OutlookExpress、Netscape等邮件程序中删除的邮件信息,现在即使误删除的邮件也可以恢复了。
同时SearchandRecover还附带一个安全删除工具,可以通过多次(最多100次)覆盖的方法以达到安全删除数据的目的。
在Win2000/XP下,SearchandRecover还提供了一个驱动器映像工具,可以对某一驱动器进行100%的完全克隆,避免已删除数据由于磁盘操作被覆盖,提供最高的数据恢复可能性。
✧DataExplore(数据恢复大师)
DataExplore是一款功能强大,提供了较低层次恢复功能的数据恢复软件,只要数据没有被覆盖掉,文件就能找得到,本软件无须安装,解压后可以直接运行,请不要在待恢复的分区上运行本软件.其支持FAT12,FAT16,FAT32,NTFS,EXT2文件系统,能找出被删除/被格式化/完全格式化/删除分区/分区表被破坏后磁盘里文件,分区被删除或分区表被破坏的情况下可以以虚拟卷方式加载,并以资源浏览器的方式进行管理,文件/文件夹可以拖放,被删除的文件以打红X的方式加以标志,能组织磁盘扇区成文件.能显示文件信息和文件在磁盘中的位置,方便的磁盘扇区浏览功能,内置有文本,十六进制,图片和网页等多种视图(可打印),可以在在未恢复出文件的情况下预览文件.可浏览网络硬盘.提供JScript脚本编辑和解析,相应的有API供脚本调用,并将脚本执行结果列表显示,通过脚本可以查找特殊的磁盘信息并存成文件,也可以用来搜索复杂的数据.所有操作均在内存中完成,不破坏源数据,加载分析的结果可以保存成文件.界面友好.有远程恢复功能,只要在用户远程运行服务器,专业人员就可以远程恢复导出客户的数据文件,很有实用价值的一款功能,是做数据恢复业务的好帮手.
最新功能:
支持无分区的恢复,以物理方式加载整个硬盘,做卷分析,本程序根据硬盘上残留文件信息自动在内存中建立出FAT32,NTFS分区,按原目录结构分类文件。
✧Lost&Found
Lost&Found由出品PartitionMagic的PowerQuest公司所出的产品,是一套恢复硬盘因病毒感染,意外格式化等因素所导至损失的资料工具软件,能将已删除的文件资料找出并救回,也能找出已重新格式化的硬盘,被破坏的FAT分配表,启动扇区等等,几乎能找出及发现任何在硬盘上的资料(支持FAT16和FAT32及长文件名),并尽可能的救回,并提供了分析和提示恢复的可能性功能,救回来的资料能选择在原来所在位置恢复或储存到其它可写入资料的的硬盘,ZIP,MO支持所有IDE,EIDE及SCSI设备,亦提供了自动备份目录,文件和系统配置文件,能在任何时间恢复
✧PCtools(DOS)
该软件具有初级的数据恢复功能,使用计算机时间较长时间的用户对此软件较为熟悉。
由于只在DOS下使用改工具,目前此款软件的应用范围已经大大缩小,取代它的则是在windows操作系统下使用的数据恢复软件。
四、数据恢复案例
(一)恢复重装XP后的Ubuntu引导分区
windowsxp崩溃了,于是重装xp,把原来的Ubuntu引导分区表mbr给冲掉了,不过没关系,修复一下mbr就可以了。
首先说一下mbr的作用:
当我们启动计算机时。
计算机首先运行PowerOnSelfTest(POST),即加电自检。
POST检测系统的总内存以及其他硬件设备的现状。
如果计算机系统的BIOS(基础输入/输出系统)是即插即用的,那么计算机硬件设备将经过检验以及完成配置。
计算机的基础输入/输出系统(BIOS)定位计算机的引导设备,然后MBR(MasterBootRecord-硬盘主导记录)被加载并运行。
如果用户仅安装Windows98,则被自动引导到桌面。
如果是WindowsXP/2000/2003,那么则会将控制权交给NTLDR-系统加载器,调用Boot.ini,显示多重选单文件。
抹MBR就是抹硬盘引导记录。
当我们重装了windows以后,由于硬盘mbr被重写,即把原来mbr中grub的信息清除了,那么grub自然就不能启动了,也就不能引导linux了,此时很多人可能就只能重装linux了,但其实只需简单的对mbr修复一下就可以了。
下面就说一下修复mbr的方法:
首先,把Ubuntu的安装光盘放进去,然后启动.正常进入安装界面,打开终端:
1、输入:
sudogrub,于是变成
grub>
2、先找到你的ubuntu的启动分区在哪(就是你的/boot目录所在的分区)
输入:
find/boot/grub/stage1
我机器上回车之后显示:
(hd0,2)这里hd0是指第一个硬盘,2代表第3个分区,即Ubuntu根目录所在分区(0代表第一个分区)。
3、输入:
grub>root(hd0,2)
4、输入:
grub>setup(hd0)
如果出现successed,就表示成功了。
5、输入:
grub>quit,然后重启。
对于有多个硬盘的朋友,请但是注意一点,如果你的windows装在第一块磁盘,而linux装在第二块磁盘,而你的bios设置为从第一块磁盘启动,那么在进行以上第3步的时候,一定要把参数设为你的第一块磁盘。
即要把grub装入引导硬盘的mbr里,当然,比较傻瓜的,你可以将grub装入每块硬盘的mbr,不信你试试看,肯定可以启动,这只是一个先后次序问题
(二)NTFS格式大硬盘数据恢复特殊案例
一块80G迈拓金九硬盘,某天突然进不了分区,提示为“无法访问X:
参数错误”。
硬盘上为该公司为本市摄制和编辑的运动会视频和音频文件,摄录磁带中已清除,运动会也不可能再开一次。
先前到某电脑公司去试过,结果没能解决问题。
广告公司经理和我的一个朋友是朋友,知道此事后就转来我处。
修复过程:
该硬盘为只有一个NTFS分区的数据盘,先在DOS下用扇区编辑软件查看LBA0--63扇区,结果发现分区表和63扇区都有错误,1—62扇区间有大量扇区被写上不明代码,87-102扇区不正常,先手工修复分区表,恢复63引导扇区,删除1—62扇区间的代码。
87-102扇区之间暂不处理,到WINDOWS下检查,结果还是出现同样的提示,试用恢复软件1,可以看到目录结构,再试FINALDATE,这个软件此时太不尽人意;用恢复软件1选择某目录进行试恢复,结果28个试恢复文件只恢复2个,其余的全部为0字节,恢复工作陷入困境。
再次对79-102扇区进行分析,79扇区面目全非,被严重篡改破坏,80-86扇区被清空,87-102扇区的内容也不正常。
经过一番苦思冥想,对某些扇区进行备份后做清除,备份被放到1-62扇区之间,以备不测时改回原样。
再次在WINDOWS下用恢复软件1进行恢复,让其读该盘约10秒钟,停止扫描,看到的内容和前面提到的相同,试恢复一个文件夹,从恢复过程能看到这时恢复动作正常了,随后对其余的文件和文件夹进行恢复,近3个多小时后,63.9G资料全部恢复,文件中几乎就AVI、WAV、PSD和其它格式的图形文件,逐个打开完全正常。
恢复工作顺利结束,大功告成。
后来一个朋友说这个分区应该是2000格式化出来的,mft在分区的前面,很容易被破坏,象此案里里面87-102扇区里大约有6个左右的用户文件/文件夹是恢复不出来的,但102~~以后的文件应该能完全恢复的。
在ntfs里面,一般90扇区以后的mft才是用户的文件信息,前面的是系统的一些元文件,对数据恢复影响不大的。
个人觉得ntfs还是比较先进的,文件碎片都放在一个mft里面,只要这个扇区没有被破坏,就可以恢复。
NTFS的结构确实比较复杂,正常情况下所有的操作MFT中有记录。
但是,那些扇区被使用,那些没被使用,这些概念还是很有用的。
实验盘被删除79-102扇区内容后,开机后不需要第三方软件,文件和目录直接可以读出拷贝到其它地方。
查看被删除扇区内容,95扇区后的内容都自动修复了,80-94嘛......看来MFT中应该还有一个备份,或是具有自动修复功能。
故障盘为何就不能自动修复?
且不让访问。
故障盘中某些扇区看来是被利用了。
它的数据恢复是通过第三方软件得到的,对第三方软件来讲,就算格式化了,绝大部分数据还是能找回来的。
五、体会
硬盘数据恢复的基础是在数据丢失后没有对磁盘进行任何写操作或者低级格式化。
而且可能恢复的概率也不可能是百分之百,所以数据备份就尤为重要。
在日常使用电脑时在装好操作系统后最好对硬盘和系统一些重要数据如分区表,DBR进行备份,并且定期对硬盘重要分区数据进行备份,只有这样,在硬盘数据损坏后可以最大程度的恢复数据。
对于一般情况的数据丢失,我们必须首先详细的分析原因,采取对应的有效的方法,在数据恢复时首先复制一份原硬盘数据,以免出现意外情况,使得数据又受到更严重的损坏。
在恢复时不能保存恢复后的数据到原来的逻辑分区。
致谢
通过一周的综合实训,学到了很多关于数据恢复方面的知识。
感谢父母的精心培养和无私的给予,您们是我学习和生活的源动力。
感谢你们让我懂得了如何生活。
感谢朱定善老师辛勤培养,无私的栽培。
参考文献
⏹吴灏.《网络攻防技术》[M].北京:
机械工业出版社,2009。
⏹胡建伟.《网络安全与保密》[M].西安电子科技大学出版社,2006.
⏹牛少彰,江为强.《网络的攻击于防范——理论与实践》[M].北京:
北京邮电大学出版社,2006.
⏹蒋朝惠.《信息安全综合实验》[M].北京:
中国铁道出版社,2010.
⏹蒋朝惠.《信息安全原理与技术》[M].北京:
中国铁道出版社,2009
⏹XX百科,XX文库,GOOGLE搜索,有道搜索
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 恢复 技术 报告