信息安全之数据恢复.ppt

第1页 常见数据恢复技术 组员 潘巧进 赵峰 王进 2 情景展示 当你的硬盘或U盘数据遭受病毒或无意 删除，要想找回以前数据怎么办？ 3 数据恢复是什么？ 电子数据恢复是指通过技术手段，将保存在台式机硬盘、笔记本 硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、Mp3 等等设备上丢失的电子数据进行抢救和恢复的技术。 数据存储及恢复的基本原理 现实中很多人不知道删除、格式化等硬盘操作丢失的数据可以恢 复，以为删除、格式化以后数据就不存在了。事实上，上述简单操作 后数据仍然存在于硬盘中，懂得数据恢复原理知识的人只需几下便可 将消失的数据找回来，不要觉得不可思议，在了解数据在硬盘、优盘 软盘等介质上的存储原理后，你也可以亲自做一回魔术师。 4 删除操作却简单的很,当我们需要删除一个文件时,系统只是在文 件分配表内在该文件前面写一个删除标志,表示该文件已被删除,他所 占用的空间已被“释放”, 其他文件可以使用他占用的空间。所以，当 我们删除文件又想找回他（数据恢复）时，只需用工具将删除标志去 掉，数据被恢复回来了。当然，前提是没有新的文件写入，该文件所 占用的空间没有被新内容覆盖。 格式化操作和删除相似，都只操作文件分配表，不过格式化是将 所有文件都加上删除标志，或干脆将文件分配表清空，系统将认为硬 盘分区上不存在任何内容。格式化操作并没有对数据区做任何操作， 目录空了，内容还在，借助数据恢复知识和相应工具，数据仍然能够 被恢复回来。 5 误操作导致高级格式化分区后的数据恢复 在DOS 时代有一个非常不错工具称为UnFormat，它可以恢复由 Format命令清除的磁盘。如果用户是在DOS下使用Format命令误格式化 了某个分区的话，那不防使用该命令试试。不过UnFormat只能恢复本地硬 盘和软件驱动器，它不能恢复网络驱动器。UnFormat命令除了上面的反格 式化功能，它还能重新修复和建立硬盘驱动器上的损坏分区表。 但目前使用UnFormat来恢复格式化后分区的方法已经不那么实用了， 我们可以使用多种恢复软件来进行数据恢复，比如诺顿、Easyrecovery和 Finaldata2.0等恢复软件均可以方便的进行数据恢复工作。 零磁道损坏时的数据恢复 硬盘的主引导记录区(MBR)在零磁道上。MBR位于硬盘的0磁道0柱面1 扇区，其中存放着硬盘主引导程序和硬盘分区表。在总共512字节的硬盘主 引导记录扇区中，446字节属于硬盘主引导程序，64字节属于硬盘分区表 (DPT)，两个字节(55 AA)属于分区结束标志。零磁道一旦受损，将使硬盘的 主引导程序和分区表信息将遭到严重破坏，从而导致硬盘无法引导。 0磁道损坏判断：系统自检能通过，但启动时，分区丢失或者C盘目录丢 失，硬盘出现有规律的“咯吱咯吱”的寻道声，运行SCANDISK扫描C盘 ，在第一簇出现一个红色的“B”，或者Fdisk找不到硬盘、DM死在0磁道上， 此种情况即为零磁道损坏! 零磁道损坏属于硬盘坏道之一，只不过由于它的位置太重要，因而一旦 遭到破坏，就会产生严重的后果。如果0磁道损坏，按照目前的普通方法是 无法使数据完整恢复的，通常0磁道损坏的硬盘，可以通过PCTOOLS的DE 磁盘编辑器(或者DiskMan)来使0磁道偏转一个扇区，使用1磁道来作为0磁 道来进行使用。而数据可以通过Easyrecovery来按照簇进行恢复，但数据 无法保证得到完全恢复。 6 分区表损坏时的数据修复 硬盘主引导记录(MBR)所在的扇区也是病毒重点攻击的地方，通过破坏主引导扇区 中的DPT(分区表)，就可以轻易地损毁硬盘分区信息，达到对资料的破坏目的。分区表 的损坏是分区数据被破坏记录被破坏。所以，是可以用软件来修复的。 通常情况下，硬盘分区之后，备份一份分区表至软盘、光盘或者移动存储活动盘上 是极为明智的。这个方面，国内着名的杀毒软件KV3000系列和瑞星都提供了完整的解 决方案。但是，对于没有备份分区表的硬盘，虽然KV3000也提供了相应的修复方法，不 过成功率相对较低。 在恢复分区上，大名鼎鼎的诺顿磁盘医生NDD是绝对强劲的工具，可以自动修复分 区丢失等情况，可以抢救软盘坏区中的数据，强制读出后搬移到其它空白扇区。这是纯 DOS下的工具。在硬盘崩溃或异常的情况下，它可能带给用户以希望。在出现问题后， 用启动盘启动，运行NDD，选择Diagnose进行诊断。NDD 会对硬盘进行全面扫描，如 果有错误，它会向你提示，然后只要根据提示选择修复，它就可以将这些问题轻松搞定 。在操作系统下，还有NDD32图形化界面让你事半功倍。 另外，中文磁盘工具DiskMan在这方面也是行家里手。重建分区表作为它的一个非 常实用的功能，非常适合用来修复分区表损坏。 对于硬盘分区表被分区调整软件(或病毒)严重破坏，引起硬盘和系统瘫痪，DiskMan 可通过未被破坏的分区引导记录信息重新建立分区表。在菜单的工具栏中选择“重建分 区表”，DiskMan即开始搜索并重建分区。DiskMan将首先搜索0柱面0磁头从2扇区开始 的隐含扇区，寻找被病毒挪动过的分区表。接下来搜索每个磁头的第一个扇区。搜索过 程可以采用“自动”或“交互”两种方式进行。自动方式保留发现的每一个分区，适用于大 多数情况。交互方式对发现的每一个分区都给出提示，由用户选择是否保留。当自动方 式重建的分区表不正确时，可以采用交互方式重新搜索。 但是，需要注意的是，重建分区表功能不能做到百分之百的修复分区表。这也说明 了天下并没有免费的午餐，还是需要注意保护好自己的硬盘，尽量避免硬件损伤以及 病毒的侵扰，所以就要求要备份分区表。 7 误删除之后的数据恢复 此种情况是计算机使用过程中最常见的数据恢复，通常不要再向误删除 文件的分区内写入其他文件，这样数据才有可能100%进行还原。 当你执行了删除命令后，计算机只是将该文件目录项第0个字节改为E5， 并将文件所占簇号在文件分区表中的登记项清零，表示释放空间。格式化时 ，计算机也只是将根目录区清零。由于删除与格式化操作只是在文件名或根 目录名上做了一些手脚，对于文件的数据部分丝毫未动，这样，就给文件恢 复提供了可能。利用一些反删除软件，即使初学者也可以轻松地进行文件恢 复工作。一般反删除软件工作原理是通过对照分区表恢复文件，误格式化同 误删除的恢复方法基本一样，只要没有用 Fdisk命令打乱分区的硬盘，要恢 复的文件所占用的簇不被其他文件占用，这样，格式化前的大部分数据仍是 可以被恢复的。 如果你的Windows系统可正常使用，则最简单的恢复方法就是用 Windows版EasyRecovery软件，它恢复硬盘数据的功能十分强大，不仅能 恢复被从回收站清除的文件，而且还能恢复被格式化的FAT16、FAT32或 NTFS分区中的文件。 8 实用:u盘修复技巧 目前，U盘的使用已经非常普遍，人们经常用U盘来备份、携带、转移文件。但是，如果将U盘从USB 口拔出之前，忘记了执行卸载*作，或者执行卸载*作不彻底，或者由于误*作，而直接将U盘从 USB口拔了出来，就有可能会导致U盘损坏，有时甚至会导致计算机不能识别U盘。如果以前没 有处理这种情况的经验，多半会认为U盘已经不能使用，该扔进垃圾箱了，但这样又觉得太可惜 。 有没有办法恢复U盘的功能呢？答案是肯定的，可以按照下面的步骤进行: 依次打开控制面板、管理工具、计算机管理、存储、磁盘管理，就会出现有如图的界面，在文字 “磁盘1”上单击右键，选择“初始化磁盘”，直接单击“确定”。初始化完成后，U盘的状态变成为“联 机”状态。 注意此时U盘的锁要处于打开状态，否则会出现如下提示：“由于媒体受写保护，要求的*作无法 完成。” 右边的白框上单击右键，选择“新建磁盘分区”，进入新建磁盘分区向导，直接 单击下一步，选择分区类型（主磁盘分区、扩展磁盘分区或逻辑驱动器），一般选择主磁盘分区即可。 （注：下面的对话框会顺序出现，所以就不在这里给出其屏幕拷贝了。） 下一步-选择磁盘空间容量：一般使用默认大小。下一步-指派一个驱动器号（或不指派）。 下一步-选择“按下面的设置格式化这个磁盘分区”设置格式化的形式（文件系统类型、分配单位大小 、卷标）（不用选择快速格式化）。 下一步-成功完成格式化向导。单击完成等待其格式化完成即可。格式化完成后，U盘状态显示为“ 状态良好”，即大功告成。 这种修复方法一般都能将U盘恢复。但是这种修复方法也有一个弊端，就是不能恢复U盘上原有的 数据（数据全部丢失！）。如果U盘上原有的数据不是很重要，这种方法比较使用。 9 一、让U盘真正热插拔 U盘好用，但是如何正确的使用U盘，保证数据存储的安全性却不是人人都了解的。虽然U盘 支持热插拔，不过为了保证闪盘和其中数据的安全，在Windows 2000/XP中，右击系统托盘区 中的“安全删除硬件”图标，然后单击“安全删除USB Mass Storage Device”删除后才能够拔下。 而在Windows 98中，则需要在“资源管理器”窗口中，右键单击U盘盘符，选择“弹出”命令正常弹 出后再拔。 严格按照以上的程序使用U盘当然不会出什么问题，不过，凡事总会出些意外，要么是自己忙 中出错，要么是身边的电脑盲随手一拔，于是宝贵数据就这样烟消云散了。那么，怎样才能尽量 减少意外操作带来的危险呢？我们还需要在电脑中动些手脚。 在Windows 2000/XP操作系统下，右击“我的电脑”，依次单击“属性”“硬件”“设备管理器” ，在“设备管理器”中展开“磁盘驱动器”选项，右击U盘，打开“属性”对话框选择“策略”标签，选择“ 为快速删除而优化”则可以关闭“写入缓存”功能 对于Windows 98操作系统，右击“我的电脑”，依次单击“属性”“性能”“文件系统”“可移 动式磁盘”，将“启动所有可移动型磁盘驱动器上的后写高速缓存”关闭即可。 小知识 热插拔U盘为何要“弹出” 开启磁盘的“写入缓存”功能，Windows只是将数据变化暂时存储在内存中，有时尽管系统显 示拷贝任务已经完成，但数据并没有“物理”写到磁盘中。这 时，如果用户拔出U盘就会造成数据 的丢失甚至U盘的损坏。而关闭掉“写入缓存”功能后不会出现此问题，只是写数据时时间会长一 点点。 这样当屏幕提示拷贝结束的时候，U盘的物理操作也基本完成了。这时，即使无意中拔出U盘 也不会损坏U盘中的数据，实现了真正的热插拔。 10 二、安装驱动不重启 有很多公共电脑使用Windows 98，为了安全，通常会使用硬盘保护 工具。当你在这些受到了保护的硬盘上安装了U盘驱动之后，重新启动电 脑，你会发现系统盘上的内容又恢复到原来的样子， 驱动安装不上去。其 实，安装驱动程序时，系统要求重新启动是因为需要调用刚安装好的一些 系统程序，以便使新增加的设备生效。那么只要找到不重启也能使修改 生 效的办法就可以了。按住“Ctrl+Alt+Del”键，调出关闭程序窗口，选择 Explorer任务，结束任务，这时弹出关闭Windows的对话 框，再选择“否”， 之后，又弹出程序忙，没有响应的窗口，再选择“取消”。这样，系统又调用 了一次系统文件，修改生效了，不用重启U盘也可以正常使用了。 11 三、驱动跟着盘走 U盘体积小巧，携带非常方便，不过，要是还得随身带上一张U盘的驱动程序就一点也不方便 了，其实，我们还可以把驱动放到U盘上，让它随着U盘走。 先把U盘格式化成启动盘，然后把U盘的驱动复制到U盘:driver根目录下，再打开其下 autoexec.bat文件（如果没有，请创建），在其中输入如下内容： c: cd md usbdrv copy A:driver*.* c:usbdrv 只要用该U盘启动机器，它就可以自动把它的驱动程序释放到c:usbdrv文件夹，拔下U盘，重 新启动Windows 98，再插上U盘，即可让它从c:usbdrv文件夹下识别并安装U盘驱动。只是要 注意的是，上面技巧仅对把U盘设置成FDD或者ZIP方式有效，如果 你设置成HDD方式启动，那 请把U盘根目录下的autoexec.bat文件内容改为： www.upan.cc d: cd md usbdrv copy c:driver*.* d:usbdrv即可。 12 四、公司禁用U盘和移动硬盘的原因多种多样，最响亮的原因就是防止员工带走机密资料，在这 里我提供一种不用专业软件的小技巧给大家，因为你的老板永远相信“自己能解决的事，别花钱 ”。 方法一、隐藏盘符和禁止查看(适用于Windows系统) 打开注册表编辑器，依次展开如下分支 HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesExplorer， 新建 二进制值“NoDrives”，其缺省值均是00 00 00 00，表示不隐藏任何驱动器。键值由四个字节组 成，每个字节的每一位(bit)对应从A:到Z:的一个盘，当相应位为1时，“我的电脑”中相应的驱动器 就 被隐藏了。第一个字节代表从A到H的8个盘，即01为A，02为B，04为C依次类推，第二 个字节代表I到P，第三个字节代表Q到X，第四个字节代表 Y和Z。比如要关闭C盘，将键值改为 04 00 00 00;要关闭D盘，则改为08 00 00 00，若要关闭C盘和D盘，则改为0C 00 00 00(C是十 六进制，转成十进制就是12)。 理解了原理后，下面以我的电脑为例说明如何操作：我的电脑有一个软驱、一个硬盘(5个 分区)、一个光驱，盘符分布是这样的：A:(3.5软 盘)、C:、D:、E:、F:、G:、H:(光盘)，所以我的 “NoDrives”值为“02 ff ff ff”，隐藏了B、I到Z盘。 重启计算机后，再插入U盘，在我的电脑里也是看不出来的，但在地址栏里输入I:(我的电脑 电后一个盘符是H)还是可以访问移动盘的。到这里大家 都看得出“NoDrives”只是障眼法，所以 我们还要做多一步，就是再新建一个二进制“NoViewOnDrive”，值改为“02 ff ff ff”，也就是说其 值与“NoDrives”相同。 这样一来，既看不到U盘符也访问不到U盘了。 13 方法二、BIOS设置法(快刀斩乱麻法) 进入BIOS设置，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和 “USB 2.0 Contr01ler”选项的属性设置为“Disableed”，即可禁用USB接口。最后别忘记给BIOS 设置上一个密码，这样他人就无法通过修改注册 表解“锁”