数据恢复系列教程.doc

《数据恢复系列教程.doc》由会员分享，可在线阅读，更多相关《数据恢复系列教程.doc（9页珍藏版）》请在金锄头文库上搜索。

1、数据恢复系列教程（一）知识准备计算机中数据的记录方法一、二进制逢二进一。计算机中的数都用二进制表示。在数字后面加表示。优点：1、技术容易实现在电路中可以用两种不同的状态（低电平和高电平）表示0和1。2、运算规则简单3、逻辑运算方便0和1能很容易的表示“否”和“是”，或者是“假”和“真”。二、八进制逢8进1。常用在编写程序或是指令时。在数字后面加字母表示。三、十六进制逢16进1。常用在编写程序或是指令时。在数字后加表示。四、进制间的相互转换由于书写不方便请大家参考“百度文库”。五、数值数据表示方法1、数据的单位（1）位（Bit）：计算机中最小的数据单位，是二进制中的一个数位。（2）字节（Byte

2、）：表示8位二进制数。简写B。1B=8bit两者之间的区别：位是计算机中最小的数据单位，字节是计算机中的基本信息单位。（3）字（Word）：在计算机中作为一个整体被使用的二进制数字符串叫做一个“字”，每个字中二进制位数的长度叫做字长。一个字由若干个字节组成，不同的计算机系统的字长是不同的，常见的由8位、16位、32位、64位等。字长越长计算机一次处理的信息位就越多，精度就越高。目前大部分计算机都是64位的了。2、定点数、浮点数、原码、补码、反码、移码、BCD码表示方法由于书写不便就不再敖述了，有兴趣的可以上网查查。数据存储的字节序与位序一、Little-endian:小头位序。是一种小值的一端

3、存储在前的顺序。即低字节放在最低位，最高字节放在最高位，反序排列。例如：45CF12H如果是以小头位序表示就是：12CF45H二、Big-endian：大头位序。是一种大值的一端存在前面的顺序。即最高字节在地址最低位，最低字节在地址最高位。例如：上面的例子如果是大头位序表示就是：45CF12H。字节序与CPU架构的关系一、CPU架构1、x86架构（IA32）是Intel为其第一块16位CPU专门开发的。x86指令集和x87指令集统称为x86架构。目前基本上所有x86架构的CPU对数据的处理都是采用Little-endian字节序。2、x86-64架构由AMD公司设计的，也叫AMD64.可以同一

4、时间内处理64位的整数运算，并兼容于x86-32架构。也采用Little-endian字节序。3、IA-64架构是Intel为了全面提高以前IA-32处理器的运算性能，和HP公司共同开发的64位CPU架构，是专门针对服务器市场开发的全新处理器，放弃了以前的x86架构。其字节序适可配置的，两种位序都可以采用。二、CPU指令集1、CISC指令集复杂指令集。x86架构的CPU属于此范畴，基本上都采用Little-endian字节序。2、RISC指令集精简指令集。是高性能CPU的发展方向，目前中高档服务器中普遍采用这一指令系统的CPU，特别是高档服务器几乎全部采用RISC指令集的CPU。两种指令集的C

5、PU在软件和硬件上都不兼容。大部分采用Big-endian字节序。数据的逻辑运算包括与、或、非、异或运算1、逻辑或运算：也叫逻辑加运算，当输入变量中有一个满足条件时，输出就有效。只有当所有输入变量均不满足条件时，输出才无效。0+0=0；0+1=1；1+0=1；1+1=12、逻辑与运算：也叫逻辑乘运算，当所有输入都同时满足条件时，输出才有效；否则无效。00=0;01=0;10=0;11=13、逻辑非运算：也叫逻辑反运算。0的非是1；1的非是0.4、逻辑异或运算：0异或0=0；0异或1=1；1异或0=1；1异或1=0。注：逻辑异或运算在中是一种很重要的算法，要熟练掌握。数据结构数据结构是计算机学科

6、中的一门专业课程，在此只针对数据恢复中能用到的一些数据结构简单介绍一下。1、分类（1）按照数据结构的关系分类：线性结构、树结构、图结构、集合结构。（2）按照数据结构的层次分类：数据的逻辑结构和物理结构。逻辑结构又分为线性关系和非线性关系。数据的物理结构是数据逻辑结构在计算机中的表示和实现，又叫“存储结构”。存储结构有四种方法：顺序、链式、索引、散列。（1）顺序：把逻辑上相邻的节点存储在物理位置相邻的存储单元里，节点间的逻辑关系由存储单元的邻接关系来体现。FAT文件系统中对于子目录的管理用到了顺序结构。（2）链式：不要求逻辑上相邻的节点在物理位置上也相邻，节点间的逻辑关系是由附加的指针字段表示的

7、。FAT文件系统中对文件所占用簇的管理就是这种结构。（3）索引：除了建立节点存储信息外，还建立了附加索引表表示节点的地址。NTFS文件系统中对目录结构的管理就是这种结构。（4）散列：根据节点的关键字直接计算出该节点的存储地址。EXT3文件系统中对目录结构的管理用到了此结构。树结构一、硬盘的物理C/H/S硬盘厂家会在硬盘的每张盘片上划分出一个个的磁道（Track，简写T），每个磁道划分为若干个扇区（Sector，简写S），硬盘就是以扇区为单位来存放数据的。硬盘中每个盘片包含两个面，每个面对应一个磁头（Head，简写H）每个盘面上都同样被划分成相同的磁道和扇区并进行编号。所有盘片上的同一个编号的磁

8、道构成一个圆柱结构，称为柱面（Cylinder，简写C）。这样硬盘中某一个具体扇区地址就由该扇区所在的磁头号H柱面号C和扇区号S三个数值构成，即物理C/H/S。二、硬盘的逻辑C/H/S一中介绍的是硬盘的内部地址，对于计算机系统和程序来讲，要用逻辑C/H/S访问硬盘。在计算机系统BIOS中断13H的入口参数中，磁头寄存器占8位，其值为0HFEH（0254)，柱面地址占10位01023，其低8位单独使用一个寄存器，高两位与扇区地址共用一个寄存器，占其中的高两位。扇区占其中的低6位，编号163。所以逻辑C/H/S最大取值为1023/254/63，其初始值为0/0/1，那么可以表示的最大空间就是102

9、3*254*63=16450560约等于8GB。三、硬盘的LBA地址即扇区的逻辑块地址。由于INT13的限制，逻辑C/H/S地址能访问的最大硬盘空间大约为8GB，于是就引入了LBA概念。在LBA方式下，系统把所有的物理扇区都按照某种规则看做是一线性编号的扇区，即从0到某个最大值。最初被定义为28位大小，能够访问大约137GB空间，后来又做了些修改，扩展为48位，可以访问的空间大约为144PB注：当我们买回一块硬盘后，发现系统显示的容量要比硬盘上标注的少，这主要是换算方法不一致造成的，硬盘厂商按1MB=1000000字节计算的，但是按照计算机表示数据的特点、数制的表示方法和计算机本身的运算方式，

10、硬盘的容量单位是以2的n次方表示的。所以会不一致。1KB=210B=1024B1MB=210KB=1048576B1GB=210MB=220KB=230B=1073741824B1TB=210GB1PB=210TB1EB=210PB1ZB=210EB1YB=210ZB数据恢复系列教程（三）工具简介数据恢复工作中应用最多的是对介质底层数据的分析和编辑，所以要有好的磁盘编辑工具如：DiskEdit,UltraEdit,WinHex,DiskExplorer等。其中WinHex是数据恢复时常用的大名鼎鼎的工具。另外在做练习的时候如果没有专用的硬盘，那么还需要有硬盘虚拟工具如：InsPro。有需要工具

11、的可以在这里把信箱留下，我发给你们。WinHex：是由X-Ways软件公司（www.x-）开发的一套专业的磁盘编辑工具。支持windows98、Windows2000、xp、2003、Win7。该软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区表链和文件簇链，并能以不同方式进行不同程度的备份，直至克隆整个硬盘。可以编辑物理磁盘或是逻辑磁盘的任一扇区，内存编辑器可以直接编辑内存。MBR磁盘分区MBR磁盘分区是使用十分广泛的一种分区结构，也叫DOS分区，Linux系统、基于x86架构的Unix系统都支持MBR磁盘分区。一、MBR磁盘分区结构它是硬盘上的第一个扇区。即LBA地址描

12、述的0号扇区。MBR扇区由四部分构成1、引导程序占用512字节中的前440字节，即偏移0偏移1B7H处。2、Windows磁盘签名位于引导程序之后的4个字节，即偏移1B8H偏移1BBH处。是Windows系统对硬盘初始化时写入的一个磁盘标识。3、分区表位于偏移1BEH1FDH处，共有64个字节，是MBR中非常重要的一部分。4、结束标志是扇区的最后两个字节，固定值“55 AA”如下图：二、MBR的作用1、引导程序作用主板BIOS在自检通过后，会将MBR读取到内存中，然后将执行权交给内存中MBR扇区的引导程序，然后判断扇区最后两个字节是否是“55 AA”，如果不是就报错，如果是，程序会查找分区表中

13、是否有活动分区，若有就找到其地址并将该引导扇区读入内存并判断是否合法，如果是就将引导权交个该引导扇区去引导操作系统。2、磁盘签名作用是MBR中一个不可或缺的部分，Windows系统依靠这个签名识别硬盘。3、分区表作用分区表是用来管理分区的，如果分区表被破坏，则硬盘分区就会丢失。具体作用会在后面讲述。4、结束标志作用这是个判断标志，如果不是“55 AA”则程序就无法进行下去。数据恢复系列教程（五）分区结构磁盘分区结构简介包括主磁盘分区和扩展磁盘分区。一、主磁盘分区MBR分区一般有三种：主分区、扩展分区、非DOS分区。1、主分区：也叫主DOS分区（Primary DOS Partition） 也叫

14、主磁盘分区。2、扩展分区：扩展DOS分区（Extended DOS Partition）。3、非DOS分区：一般供其他操作系统使用（非Windows系统）。一块硬盘最多只能有4个主磁盘分区，被激活的叫主分区，主分区在一块硬盘中只能有一个。二、分区表分区表共占MBR扇区中的64个字节，以16个字节为一个分区表项来描述一个分区的结构。其各项含义如下：起始偏移地址长度含义1BEH 1字节引导标志（80为主磁盘分区标志）1BFH 1字节起始磁头1C0H 1字节起始扇区（占用其中的低6位，高两位被柱面使用）1C1H 1字节起始柱面（柱面共10位，其中高两位保存在上一字节中）1C2H 1字节分区类型描述符

15、1C3H 1字节结束磁头1C4H 1字节结束扇区（同起始扇区）1C5H 1字节结束柱面1C6H 4字节隐藏扇区数1CAH 4字节分区总扇区数（本分区扇区总数）注：分区表是采用的小头位序。三、扩展分区由于MBR只给分区表保留了64个字节，每个分区参数占用16个字节，所以只能描述4个分区，那么如果分区多于4个该如何描述呢，于是就引入了扩展分区的概念。但扩展分区严格的讲并不是一个实际意义的分区，它只是一个指向下一个分区参数的指针，其形成一个单项链表。这样在MBR中除了主磁盘分区外，就只需要存储一个叫扩展分区的分区信息，通过这个信息来找到下一个分区的起始位置，以此类推找到所有分区。扩展分区中每个逻辑驱动器的信息都保存在一个类似于MBR的扩展引导记录（EBR），但是其没有引导代码部分只包括分区表和结束标志。如下图：数据恢复系列教程（六）文件系统简介文件系统概论文件系统是为了长久的存储和访问数据而为用户提供的一种基于文件和目录的存储机制。一个新买回来