收藏
下载资源

数据恢复23053

上传人:kms****20 文档编号:45971664 上传时间:2018-06-20 格式:DOC 页数:13 大小:85.50KB
返回 下载 相关 举报
数据恢复23053_第1页
第1页 / 共13页
数据恢复23053_第2页
第2页 / 共13页
数据恢复23053_第3页
第3页 / 共13页
数据恢复23053_第4页
第4页 / 共13页
数据恢复23053_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《数据恢复23053》由会员分享,可在线阅读,更多相关《数据恢复23053(13页珍藏版)》请在金锄头文库上搜索。

1、 当存储介质出现损伤或由于人员误操作、操作系统本身故障所造成的数据看不见、无法读取、丢失。工程师通过特殊的手段读取却在正常状态下不可见、不可读、无法读的数据。 目录目录1 数据恢复2 怎么防止数据丢失3 需要的技能编辑本段数据恢复数据恢复电子数据恢复是怎么回事?电子数据恢复是怎么回事?通俗一点讲,电子数据恢复是指通过技术手段,将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U 盘、数码存储卡、Mp3 等等设备上丢失的电子数据进行抢救和恢复的技术。电子数据恢复是目前非常高端的计算机技术,没有相关的技术资料(已经有相关的技术资料,有兴趣的朋友可以找找看。如:数据恢复技术(戴士剑、

2、陈永红著),但是要精通比较困难。),掌握和精通恢复技术的人员极少。何谓数据恢复:数据恢复中心理解为数据恢复中心理解为:(1)当存储介质出现损伤或由于人员误操作、操作系统本身故障所造成的数据看不见、无法读取、丢失。工程师通过特殊的手段读取却在正常状态下不可见、不可读、无法读的数据,简言之:通过常规手段读取在非常规状态下的数据。这个范围包括:硬盘软故障(误删除、误格式化、误克隆、坏道、误分区.),硬盘故障包括:磁头损坏、电路故障、固件损坏.,并非所有的数据丢失都可以恢复,数据被覆盖,清零,或低格都是无法恢复的(网上资料宣称覆盖七次也能恢复是毫无科学根据的,至今也无人能证明),数据恢复不是靠一两种软

3、件就可以完成,往往需要数个工程师靠经验不同的方式才能恢复数据,当然数据恢复还包括各种操作系统:除普通的 WINDOWS 外,还有 Unix、Linux、APPLE 机。(2)数据已经存在,但是无法正常打开或文件打开提示错误,都应归属为数据修复,举例说明:SQL SERVER 文件打开提示 LDF 文件损坏,或错误 823 等等,还有 WORD,excel 文件损坏,表单丢失,或病毒破坏,均属于数据修复的范围,数据修复是指:将己存在文件内丢失的内容通过特定手段寻找回来,称之为通俗一点讲,电子数据恢复是指通过技术手段,将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U 盘、数码存

4、储卡、Mp3 等等设备上丢失的电子数据进行抢救和恢复的技术。电子数据恢复是目前非常高端的计算机技术,没有相关的技术资料,掌握和精通恢复技术的人员极少。一、数据恢复基础知识一、数据恢复基础知识说到数据恢复,我们就不能不提到硬盘的数据结构、文件的存储原理,甚至操作系统的启动流程,这些是你在恢硬盘数据时不得不利用的基本知识。即使你不需要恢复数据,理解了这些知识(即使只是稍微多知道一些),对于你平时的电脑操作和应用也是很有帮助的。我们就从硬盘的数据结构谈起吧1、硬盘数据结构、硬盘数据结构刚出厂一块硬盘,我们是没有办法使用的,你需要将它分区、格式化,然后再安装上操作系统才可以使用。就拿我们一直沿用到现在

5、的 Win9x/Me 系列来说,我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT、DIR 和 Data 等五部分(其中只有主引导扇区是唯一的,其它的随你的分区数的增加而增加)。主引导扇区:主引导扇区位于整个硬盘的 0 磁道 0 柱面 1 扇区,包括硬盘主引导记录 MBR(Main Boot Record)和分区表 DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。至于分区表,很多人都知道,以 80H 或 00H 为开始标志,以 55AAH

6、为结束标志,共 64 字节,位于本扇区的最末端。值得一提的是,MBR 是由分区程序(例如DOS 的 Fdisk.exe)产生的,不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一个,只要它能完成前述的任务即可,这也是为什么能实现多系统启动的原因(说句题外话:正因为这个主引导记录容易编写,所以才出现了很多的引导区病毒)。操作系统引导扇区: OBR(OS Boot Record)即操作系统引导扇区,通常位于硬盘的 0 磁道 1 柱面 1 扇区(这是对于 DOS 来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区

7、,它也包括一个引导程序和一个被称为 BPB(BIOS Parameter Block)的本分区参数记录表。其实每个逻辑分区都有一个 OBR,其参数视分区的大小、操作系统的类别而有所不同。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件(例如 MSDOS 或者起源于 MSDOS 的Win9x/Me 的 IO.SYS 和 MSDOS.SYS)。如是,就把第一个文件读入内存,并把控制权交予该文件。BPB 参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT 个数、分配单元(Al 本地 Unit,以前也称之为簇)的大小等重要参数。OBR 由高级

8、格式化程序产生(例如 DOS 的F)。文件分配表: FAT(File Al 本地 Table)即文件分配表,是 DOS/Win9x 系统的文件寻址系统,为了数据安全起见,FAT 一般做两个,第二 FAT 为第一 FAT 的备份, FAT 区紧接在 OBR 之后,其大小由本分区的大小及文件分配单元的大小决定。FAT 的格式历来有很多选择,Microsoft 的 DOS 及 Windows 采用我们所熟悉的 FAT12、FAT16 和 FAT32 格式,但除此以外并非没有其它格式的 FAT,像Windows NT、OS/2、UNIX/Linux、Novell 等都有自己的文件管理方式。目录区:DI

9、R 是 Directory 即根目录区的简写,DIR 紧接在第二 FAT 表之后,只有 FAT还不能定位文件在磁盘中的位置,FAT 还必须和 DIR 配合才能准确定位文件的位置。DIR 记录着每个文件(目录)的起始单元(这是最重要的)、文件的属性等。定位文件位置时,操作系统根据 DIR 中的起始单元,结合 FAT 表就可以知道文件在磁盘的具体位置及大小了。在 DIR 区之后,才是真正意义上的数据存储区,即DATA 区。数据区:DATA 虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。在这里有一点要说明的是,我们通常所说的格式化程序

10、(指高级格式化,例如 DOS 下的 Format 程序),并没有把 DATA 区的数据清除,只是重写了 FAT 表而已,至于分区硬盘,也只是修改了 MBR 和 OBR,绝大部分的 DATA 区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。但即便如此,如 MBR/OBR/FAT/DIR 之一被破坏的话,也足够咱们那些所谓的 DIY 老鸟们忙乎半天了需要提醒大家的是,如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使 MBR/FAT/DIR 全部坏了,我们也可以使用磁盘编辑软件(比如 DOS 下的 DiskEdit),只要找到一个文件的起始保存位置,那么这个文件就有可能被恢

11、复(当然了,这需要一个前提,那就是你没有覆盖这个文件)。2、硬盘分区方式、硬盘分区方式我们平时说到的分区概念,不外乎三种:主分区、扩展分区和逻辑分区。主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C 磁盘。在主分区中,不允许再建立其它逻辑磁盘。扩展分区的概念则比较复杂,也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了 64 个字节的存储空间,而每个分区的参数占据 16 个字节,故主引导扇区中总计可以存储 4 个分区的数据。操作系统只允许存储 4 个分区的数据,如果说逻辑磁盘就是分区,则系统最多只允许 4 个逻辑磁盘。对于具体的应用,4 个逻辑磁盘往往不能满

12、足实际需求。为了建立更多的逻辑磁盘供操作系统使用,系统引入了扩展分区的概念。所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区(实际上也就是下一个逻辑磁盘)的起始位置,以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢

13、失。3、数据存储原理、数据存储原理既然要进行数据的恢复,当然数据的存储原理我们不能不提,在这之中,我们还要介绍一下数据的删除和硬盘的格式化相关问题文件的读取操作系统从目录区中读取文件信息(包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号),我们这里假设第一个簇号是 0023。操作系统从 0023 簇读取相应的数据,然后再找到 FAT 的 0023 单元,如果内容是文件结束标志(FF),则表示文件结束,否则内容保存数据的下一个簇的簇号,这样重复下去直到遇到文件结束标志。文件的写入当我们要保存文件时,操作系统首先在 DIR 区中找到空区写入文件名、大小和创建时间等相应信息,

14、然后在 Data 区找到闲置空间将文件保存,并将 Data 区的第一个簇写入 DIR 区,其余的动作和上边的读取动作差不多。文件的删除看了前面的文件的读取和写入,你可能没有往下边继续看的信心了,不过放心,Win9x 的文件删除工作却是很简单的,简单到只在目录区做了一点小改动将目录区的文件的第一个字符改成了 E5 就表示将改文件删除了。Fdisk 和 Format 的一点小说明和文件的删除类似,利用 Fdisk 删除再建立分区和利用 Format 格式化逻辑磁盘(假设你格式化的时候并没有使用/U 这个无条件格式化参数)都没有将数据从DATA 区直接删除,前者只是改变了分区表,后者只是修改了 FA

15、T 表,因此被误删除的分区和误格式化的硬盘完全有可能恢复系统启动流程各种不同的操作系统启动流程不尽相同,我们这里以 Win9x/DOS 的启动流程为例。第一阶段:系统加电自检 POST 过程。POST 是(Power On Self Test)的缩写,也就是加电自检的意思,微机执行内存 FFFF0H 处的程序(这里是一段固化的ROM 程序),对系统的硬件(包括内存)进行检查。第二阶段:读取分区记录和引导记录。当微机检查到硬件正常并与 CMOS 设置相符后,按照 CMOS 设置从相应设备启动(我们这里假设从硬盘启动),读取硬盘的分区记录(DPT)和主引导记录(MBR)。第三阶段:读取 DOS 引

16、导记录。微机正确读取分区记录和主引导记录后,如果主引导记录和分区表校验正确,则执行主引导记录并进一步读取 DOS 引导记录(位于每一个主分区的第一个扇区),然后执行该 DOS 引导记录。第四阶段:装载系统隐含文件。将 DOS 系统的隐含文件 IO.SYS 入内存,加载基本的文件系统 FAT,这时候一般会出现 Starting Windows 9x.的标志,IO.SYS将 MS.SYS 读入内存,并处理 System.dat 和 User.dat 文件,加载磁盘压缩程序。第五阶段:实 DOS 模式配置。系统隐含文件装载完成,微机将执行系统隐含文件,并执行系统配置文件(Config.sys),加载 Config.sys 中定义的各种驱动程序。第六阶段:调入命令解释程序(C)。系统装载命令管理程序,以便对系统的各种操作命令进行协调管理(我们所使用的 Dir、Copy 等内部命令就是由C 提供的)。第七阶段:执行批处理文件(Auto 执行.bat)。微机将一步一步地执行批处理文件中的各

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号