信息安全之数据恢复.ppt

《信息安全之数据恢复.ppt》由会员分享，可在线阅读，更多相关《信息安全之数据恢复.ppt（13页珍藏版）》请在金锄头文库上搜索。

1、第1页常见数据恢复技术常见数据恢复技术组员组员 潘巧进潘巧进 赵峰赵峰 王进王进2情情景景展示展示 当你的硬盘或U盘数据遭受病毒或无意删除，要想找回以前数据怎么办？3 数据恢复是什么？数据恢复是什么？电子数据恢复是指通过技术手段，将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、Mp3等等设备上丢失的电子数据进行抢救和恢复的技术。 数据存储及恢复的基本原理数据存储及恢复的基本原理现实中很多人不知道删除、格式化等硬盘操作丢失的数据可以恢复，以为删除、格式化以后数据就不存在了。事实上，上述简单操作后数据仍然存在于硬盘中，懂得数据恢复原理知识的人只需几下便可将消失的

2、数据找回来，不要觉得不可思议，在了解数据在硬盘、优盘软盘等介质上的存储原理后，你也可以亲自做一回魔术师。4 删除操作却简单的很,当我们需要删除一个文件时,系统只是在文件分配表内在该文件前面写一个删除标志,表示该文件已被删除,他所占用的空间已被“释放”, 其他文件可以使用他占用的空间。所以，当我们删除文件又想找回他（数据恢复）时，只需用工具将删除标志去掉，数据被恢复回来了。当然，前提是没有新的文件写入，该文件所占用的空间没有被新内容覆盖。格式化操作和删除相似，都只操作文件分配表，不过格式化是将所有文件都加上删除标志，或干脆将文件分配表清空，系统将认为硬盘分区上不存在任何内容。格式化操作并没有对数

3、据区做任何操作，目录空了，内容还在，借助数据恢复知识和相应工具，数据仍然能够被恢复回来。5误操作导致高级格式化分区后的数据恢复在DOS时代有一个非常不错工具称为UnFormat，它可以恢复由Format命令清除的磁盘。如果用户是在DOS下使用Format命令误格式化了某个分区的话，那不防使用该命令试试。不过UnFormat只能恢复本地硬盘和软件驱动器，它不能恢复网络驱动器。UnFormat命令除了上面的反格式化功能，它还能重新修复和建立硬盘驱动器上的损坏分区表。但目前使用UnFormat来恢复格式化后分区的方法已经不那么实用了，我们可以使用多种恢复软件来进行数据恢复，比如诺顿、Easyreco

4、very和Finaldata2.0等恢复软件均可以方便的进行数据恢复工作。零磁道损坏时的数据恢复硬盘的主引导记录区(MBR)在零磁道上。MBR位于硬盘的0磁道0柱面1扇区，其中存放着硬盘主引导程序和硬盘分区表。在总共512字节的硬盘主引导记录扇区中，446字节属于硬盘主引导程序，64字节属于硬盘分区表(DPT)，两个字节(55AA)属于分区结束标志。零磁道一旦受损，将使硬盘的主引导程序和分区表信息将遭到严重破坏，从而导致硬盘无法引导。0磁道损坏判断：系统自检能通过，但启动时，分区丢失或者C盘目录丢失，硬盘出现有规律的“咯吱咯吱”的寻道声，运行SCANDISK扫描C盘，在第一簇出现一个红色的“B

5、”，或者Fdisk找不到硬盘、DM死在0磁道上，此种情况即为零磁道损坏!零磁道损坏属于硬盘坏道之一，只不过由于它的位置太重要，因而一旦遭到破坏，就会产生严重的后果。如果0磁道损坏，按照目前的普通方法是无法使数据完整恢复的，通常0磁道损坏的硬盘，可以通过PCTOOLS的DE磁盘编辑器(或者DiskMan)来使0磁道偏转一个扇区，使用1磁道来作为0磁道来进行使用。而数据可以通过Easyrecovery来按照簇进行恢复，但数据无法保证得到完全恢复。6 分区表损坏时的数据修复硬盘主引导记录(MBR)所在的扇区也是病毒重点攻击的地方，通过破坏主引导扇区中的DPT(分区表)，就可以轻易地损毁硬盘分区信息，

6、达到对资料的破坏目的。分区表的损坏是分区数据被破坏记录被破坏。所以，是可以用软件来修复的。通常情况下，硬盘分区之后，备份一份分区表至软盘、光盘或者移动存储活动盘上是极为明智的。这个方面，国内着名的杀毒软件KV3000系列和瑞星都提供了完整的解决方案。但是，对于没有备份分区表的硬盘，虽然KV3000也提供了相应的修复方法，不过成功率相对较低。在恢复分区上，大名鼎鼎的诺顿磁盘医生NDD是绝对强劲的工具，可以自动修复分区丢失等情况，可以抢救软盘坏区中的数据，强制读出后搬移到其它空白扇区。这是纯DOS下的工具。在硬盘崩溃或异常的情况下，它可能带给用户以希望。在出现问题后，用启动盘启动，运行NDD，选择

7、Diagnose进行诊断。NDD会对硬盘进行全面扫描，如果有错误，它会向你提示，然后只要根据提示选择修复，它就可以将这些问题轻松搞定。在操作系统下，还有NDD32图形化界面让你事半功倍。另外，中文磁盘工具DiskMan在这方面也是行家里手。重建分区表作为它的一个非常实用的功能，非常适合用来修复分区表损坏。对于硬盘分区表被分区调整软件(或病毒)严重破坏，引起硬盘和系统瘫痪，DiskMan可通过未被破坏的分区引导记录信息重新建立分区表。在菜单的工具栏中选择“重建分区表”，DiskMan即开始搜索并重建分区。DiskMan将首先搜索0柱面0磁头从2扇区开始的隐含扇区，寻找被病毒挪动过的分区表。接下来

8、搜索每个磁头的第一个扇区。搜索过程可以采用“自动”或“交互”两种方式进行。自动方式保留发现的每一个分区，适用于大多数情况。交互方式对发现的每一个分区都给出提示，由用户选择是否保留。当自动方式重建的分区表不正确时，可以采用交互方式重新搜索。但是，需要注意的是，重建分区表功能不能做到百分之百的修复分区表。这也说明了天下并没有免费的午餐，还是需要注意保护好自己的硬盘，尽量避免硬件损伤以及病毒的侵扰，所以就要求要备份分区表。7 误删除之后的数据恢复此种情况是计算机使用过程中最常见的数据恢复，通常不要再向误删除文件的分区内写入其他文件，这样数据才有可能100%进行还原。当你执行了删除命令后，计算机只是将

9、该文件目录项第0个字节改为E5，并将文件所占簇号在文件分区表中的登记项清零，表示释放空间。格式化时，计算机也只是将根目录区清零。由于删除与格式化操作只是在文件名或根目录名上做了一些手脚，对于文件的数据部分丝毫未动，这样，就给文件恢复提供了可能。利用一些反删除软件，即使初学者也可以轻松地进行文件恢复工作。一般反删除软件工作原理是通过对照分区表恢复文件，误格式化同误删除的恢复方法基本一样，只要没有用Fdisk命令打乱分区的硬盘，要恢复的文件所占用的簇不被其他文件占用，这样，格式化前的大部分数据仍是可以被恢复的。如果你的Windows系统可正常使用，则最简单的恢复方法就是用Windows版EasyR

10、ecovery软件，它恢复硬盘数据的功能十分强大，不仅能恢复被从回收站清除的文件，而且还能恢复被格式化的FAT16、FAT32或NTFS分区中的文件。8实用:u盘修复技巧目前，U盘的使用已经非常普遍，人们经常用U盘来备份、携带、转移文件。但是，如果将U盘从USB口拔出之前，忘记了执行卸载*作，或者执行卸载*作不彻底，或者由于误*作，而直接将U盘从USB口拔了出来，就有可能会导致U盘损坏，有时甚至会导致计算机不能识别U盘。如果以前没有处理这种情况的经验，多半会认为U盘已经不能使用，该扔进垃圾箱了，但这样又觉得太可惜。有没有办法恢复U盘的功能呢？答案是肯定的，可以按照下面的步骤进行:依次打开控制面

11、板、管理工具、计算机管理、存储、磁盘管理，就会出现有如图的界面，在文字“磁盘1”上单击右键，选择“初始化磁盘”，直接单击“确定”。初始化完成后，U盘的状态变成为“联机”状态。注意此时U盘的锁要处于打开状态，否则会出现如下提示：“由于媒体受写保护，要求的*作无法完成。”右边的白框上单击右键，选择“新建磁盘分区”，进入新建磁盘分区向导，直接单击下一步，选择分区类型（主磁盘分区、扩展磁盘分区或逻辑驱动器），一般选择主磁盘分区即可。（注：下面的对话框会顺序出现，所以就不在这里给出其屏幕拷贝了。）下一步-选择磁盘空间容量：一般使用默认大小。下一步-指派一个驱动器号（或不指派）。下一步-选择“按下面的设置

12、格式化这个磁盘分区”设置格式化的形式（文件系统类型、分配单位大小、卷标）（不用选择快速格式化）。下一步-成功完成格式化向导。单击完成等待其格式化完成即可。格式化完成后，U盘状态显示为“状态良好”，即大功告成。这种修复方法一般都能将U盘恢复。但是这种修复方法也有一个弊端，就是不能恢复U盘上原有的数据（数据全部丢失！）。如果U盘上原有的数据不是很重要，这种方法比较使用。9一、让U盘真正热插拔U盘好用，但是如何正确的使用U盘，保证数据存储的安全性却不是人人都了解的。虽然U盘支持热插拔，不过为了保证闪盘和其中数据的安全，在Windows2000/XP中，右击系统托盘区中的“安全删除硬件”图标，然后单击

13、“安全删除USBMassStorageDevice”删除后才能够拔下。而在Windows98中，则需要在“资源管理器”窗口中，右键单击U盘盘符，选择“弹出”命令正常弹出后再拔。严格按照以上的程序使用U盘当然不会出什么问题，不过，凡事总会出些意外，要么是自己忙中出错，要么是身边的电脑盲随手一拔，于是宝贵数据就这样烟消云散了。那么，怎样才能尽量减少意外操作带来的危险呢？我们还需要在电脑中动些手脚。在Windows2000/XP操作系统下，右击“我的电脑”，依次单击“属性”“硬件”“设备管理器”，在“设备管理器”中展开“磁盘驱动器”选项，右击U盘，打开“属性”对话框选择“策略”标签，选择“为快速删除

14、而优化”则可以关闭“写入缓存”功能对于Windows98操作系统，右击“我的电脑”，依次单击“属性”“性能”“文件系统”“可移动式磁盘”，将“启动所有可移动型磁盘驱动器上的后写高速缓存”关闭即可。小知识热插拔U盘为何要“弹出”开启磁盘的“写入缓存”功能，Windows只是将数据变化暂时存储在内存中，有时尽管系统显示拷贝任务已经完成，但数据并没有“物理”写到磁盘中。这时，如果用户拔出U盘就会造成数据的丢失甚至U盘的损坏。而关闭掉“写入缓存”功能后不会出现此问题，只是写数据时时间会长一点点。这样当屏幕提示拷贝结束的时候，U盘的物理操作也基本完成了。这时，即使无意中拔出U盘也不会损坏U盘中的数据，实

15、现了真正的热插拔。10二、安装驱动不重启有很多公共电脑使用Windows98，为了安全，通常会使用硬盘保护工具。当你在这些受到了保护的硬盘上安装了U盘驱动之后，重新启动电脑，你会发现系统盘上的内容又恢复到原来的样子，驱动安装不上去。其实，安装驱动程序时，系统要求重新启动是因为需要调用刚安装好的一些系统程序，以便使新增加的设备生效。那么只要找到不重启也能使修改生效的办法就可以了。按住“Ctrl+Alt+Del”键，调出关闭程序窗口，选择Explorer任务，结束任务，这时弹出关闭Windows的对话框，再选择“否”，之后，又弹出程序忙，没有响应的窗口，再选择“取消”。这样，系统又调用了一次系统文

16、件，修改生效了，不用重启U盘也可以正常使用了。11三、驱动跟着盘走U盘体积小巧，携带非常方便，不过，要是还得随身带上一张U盘的驱动程序就一点也不方便了，其实，我们还可以把驱动放到U盘上，让它随着U盘走。先把U盘格式化成启动盘，然后把U盘的驱动复制到U盘:driver根目录下，再打开其下autoexec.bat文件（如果没有，请创建），在其中输入如下内容：c:cdmdusbdrvcopyA:driver*.*c:usbdrv只要用该U盘启动机器，它就可以自动把它的驱动程序释放到c:usbdrv文件夹，拔下U盘，重新启动Windows98，再插上U盘，即可让它从c:usbdrv文件夹下识别并安装U

17、盘驱动。只是要注意的是，上面技巧仅对把U盘设置成FDD或者ZIP方式有效，如果你设置成HDD方式启动，那请把U盘根目录下的autoexec.bat文件内容改为：www.upan.ccd:cdmdusbdrvcopyc:driver*.*d:usbdrv即可。12四、公司禁用U盘和移动硬盘的原因多种多样，最响亮的原因就是防止员工带走机密资料，在这里我提供一种不用专业软件的小技巧给大家，因为你的老板永远相信“自己能解决的事，别花钱”。方法一、隐藏盘符和禁止查看(适用于Windows系统)打开注册表编辑器，依次展开如下分支HKEY_CURRENT_USERsoftwareMicrosoftWindo

18、wsCurrentVersionPloiciesExplorer，新建二进制值“NoDrives”，其缺省值均是00000000，表示不隐藏任何驱动器。键值由四个字节组成，每个字节的每一位(bit)对应从A:到Z:的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。第一个字节代表从A到H的8个盘，即01为A，02为B，04为C依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表Y和Z。比如要关闭C盘，将键值改为04000000;要关闭D盘，则改为08000000，若要关闭C盘和D盘，则改为0C000000(C是十六进制，转成十进制就是12)。理解了原理后，下面以我的

19、电脑为例说明如何操作：我的电脑有一个软驱、一个硬盘(5个分区)、一个光驱，盘符分布是这样的：A:(3.5软盘)、C:、D:、E:、F:、G:、H:(光盘)，所以我的“NoDrives”值为“02ffffff”，隐藏了B、I到Z盘。重启计算机后，再插入U盘，在我的电脑里也是看不出来的，但在地址栏里输入I:(我的电脑电后一个盘符是H)还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是障眼法，所以我们还要做多一步，就是再新建一个二进制“NoViewOnDrive”，值改为“02ffffff”，也就是说其值与“NoDrives”相同。这样一来，既看不到U盘符也访问不到U盘了。13方法二、

20、BIOS设置法(快刀斩乱麻法)进入BIOS设置，选择“IntegratedPeripherals”选项，展开后将“USB1.1Controller”和“USB2.0Contr01ler”选项的属性设置为“Disableed”，即可禁用USB接口。最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。注意：这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了U盘和移动盘。由于此法过于霸道，请慎用。方法三、禁止安装USB驱动程序在Windows资源管理器中，进入到“系统盘:WINDOWSinf”目录，找到名为“Usbstor.pnf”的

21、文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户组，接着在用户组的权限框中，选中“完全控制”后面的“拒绝”复选框，最后点击“确定”按钮。再使用以上方法，找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问，其操作过程同上。完成了以上设置后，该组中的用户就无法安装USB设备驱动程序了，这样就达到禁用的目的。方法四、禁止闪盘或移动硬盘的启动(适用于WindowsXP/2000/2003)打开注册表编辑器，依次展开如下分支HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。注意：要想使用访问控制列表(ACL)，要采用NTFS文件系统。谢谢！