数据恢复技术原理与应用.

1、1. 数据恢复的概念与范畴2. 数据恢复的基本原理操作系统通过引导扇区获取磁盘分区的相关参 数.确定两个FAT表的位置和大小，以及文件目录表 (FDT)的位置.系统在査找文件/目录时.通过文件 目录表来获取文件/目录的相关信息，如文件/目录 名、大小、时间截等，以及存储的首簇(系统在管理 扇区时是以簇为单位的，一个離可能是1、2、4、8、 16、32、64个扇区等)号，根据首簇号一方面到数据 区相应地族号所对应的扇区找到首簇数据，另一方面 从FAT表中找到后续的簇以及结束标示，其FAT表与数 据区中的簇是一一对应的，FAT后面的数字12、16和 32分别表示FAT表中用多少位来表示数据区中的一

2、个 簇，而数据区的实际数据只能通过文件/目录及子目 录来解释.这样就确定了一个完整的文件/目录，如 下图所示.« FAT16文件系统的文件目录项(FDT)每一项用 卵个字节来定义，其含义如下图所示。朋小4F 和 20 2) ?0-2f M 00M g X tTT«tv«»«CO OO DO DC OO OQ Cl24 82 IC 00 OC 00 X 勺文HKlttJBHMI 7 1 6 5 a 2 2 I I 0 | Y I 6 5 1 4 I 1 1 ? I rmmynEaunniriuumn丄！茴 ，用wu的峯怜ffl > FATI

3、6的FDT隶项力析S FAT32文件系统的文件目录项(FDT)每一项用 32个字节来定义，其含义如下图所示。这样，系统在删除文件时，只是把FDT项 的第一个字节（即文件名的首字母）改为十六 进制的“E5”（即ASCII码的“？ ”），然后将相 应的FAT表中所对应的簇改为”，以表示所对 应的数据区中的簇为空，可以存入新的数据 （FAT32还需要将FDT中表示起始簇号的高16位 清0） o所以，对于这样删除的数据，虽然从 操作系统或文件系统的角度来说，文件/目录 确实已经不存在了，但通过直接对磁盘扇区进 行操作，修改FDT并重新建立FAT表，就可以将 文件或目录恢复回来。当然，重建的过程比想象的

4、要复杂的多。对于NTFS分区来说，采用了和FAT不一样 的管理方式。所有存储在分区中的数据都是 文件，其中这些文件分为两大类，一类是元 数据文件，这些元数据文件，用于引导该分 区，确定文件系统的相关参数，定位文件的 存储情况，相当于FAT文件系统中的DBR、FAT 和FDT,是用来管理分区的，它们所占用的空 间称为主文件表（许T）；另一类是普通文 件，它的磁盘扇区使用情况如下图所示。许T中有一个元数据文件专门用来记录 所有文件/目录的相关信息，每个文件/目录 占用一条，称为文件记录，文件记录固定为 1KB大小，个别结构复杂的文件/目录还可能 占用多条文件记录。它的删除与FAT文件系 统类似，也

5、有一个标志位，同时将记录簇使 用情况的位图文件相应的位清空，所以，删 除的文件同样可以恢复。NTFS文件记录的组 织结构如下图所示。文件记录 记录头属性 属性属性 记录头属性 文件记录 文件记录 文件记录文件记录属性结构 （或称属性体 （常驻属性 流（实际的属性值属性结构 （非常驻属性流的存储位置文件记录data block #s记录头 属性流（实际的属性值 常驻属性 流的存储位置（非常驻标准属性头属性内容 标准属性头 属性内容and so on bar 456 foo 123 inode 123access perms file/directory/etcreference countfil

6、e size mactimesowner/group IDdata blocks data block data blockdata block123and so on bar 456 Foo inode 123access perms file/directory/etc data block #s reference count*file size mactimes * owner/group IDdata blocks data block data blockdata block3. 数据恢复与信息安全的关系而造成数据丢失的原因非常多，如系统 软硬件故障、断电、死机、病毒破坏、黑客 攻

7、击、木马破坏、误操作、磁盘阵列失效、 磁盘电路板损坏、盘体坏、磁道坏.磁盘内 部损坏，以及口令遗失、文档错乱等情况， 都是数据恢复的研究范畴。这种情况下，数 据恢复就是找回数据的最后一颗他救命稻 草"，所以说数据恢复是信息安全的量后一 道防线。说它是最后一道防线，还有一层意思， 那就是：虽然在信息的收集、整理、创建、 存储、管理、应用、更新、备份中，一般并 不考虑数据的恢复问题，但在其生命的最后 一个阶段一一销毁的时候，一定要考虑信息 的反恢复问题，反过来说，任何需要信息保 密的地方，都需要考虑数据的反恢复问题， 所以实际上，数据恢复与反恢复，是伴随信 息生命的整个周期的，从这个意义

8、上来讲， 它的研究，远还没有受到应有的重视。4. 数据恢复与取证的关系数据恢复 数据根据不同的法律程序 使用相似的技术手段 计算机取证证据5. 数据恢复技术的应用领域根据3M公司对8000名网络微机用户的调 査发现硬盘的每次失效将造成5天以上的无 效工作日。而在一个典型的商业应用中，重 建1000hfi的数据，平均要耗时3. 5个月，费用 为95000美元。由此可见，信息存储对最终用 户来说是何等的重要，可以说，它是信息时 代的数字财富很显然，数据恢复技术的一个最大应用 就是在数据出现问题时快速进行恢复，毕 竟，信息的复制虽然很容易.但信息的重建 却非常的困难，无论是重建时间，还是重建 费用，

9、都让人无法忍受，而有些信息甚至根 本就不可能重建。Windows+Oracle主服务器从服务器双机热备份带热备的 RAID5RAID5定期移动硬盘备份事物都有其两面性，数据恢复也不例 外，由此产生它的另一个应用就是数据的反 恢复问题。一般k业存储重要数据的服务器，其存 储设备出现问题后磁盘都是直接销毁的，对 于重要部门也一样，处理重要数据的计算 机，一定要做这方面的处理工作，如很多涉 密单位的计算机.要求机器中不能存储涉密 数据，但是，却忽视了即使是这样，计算机 中仍会留下一些临时文件，正是这些临时文 件造成了很多重要信息的失泄密。另外我们都知道，各国都有自己的情 报部门，通过各种渠道收集各种

10、存储介 质，如何彻底的销毁使用过的存储介质上 的重要数据，保护核心信息，应该成为信 息管理部门日常的工作内容之一。对于特 殊系统，特殊情况下如何自销毁，也是一 个新的课题。6. 数据恢复技术研究现状当前国际上对数据恢复技术的基本分类如 下图所示。其中软恢复指的是存储系统，或操作系 统，或文件系统层次上的数据丢失，这种丢 失是多方面的。对于一般文件系统来说，这 方面的研究工作起步较早，国内外研究的都 比较深。这方面的主要难点是：文件碎片的恢复 处理、文档修复和密码恢复。硬恢复指的是由于硬件故障所造成的数 据丢失，如磁盘电路板损坏、盘体坏、磁道 坏、磁盘内部系统数据损坏等，这种情况几 乎都会出现系

11、统不认盘或认盘困难等症状, 恢复起来难度较大，如果是内部盘片数据区 严重划伤.会造成数据彻底丢失，而无法恢 复数据。稍有常识的用户，在出现这种情况 （如移动硬盘跌落）后，不会反复加电尝 试，也就不会人为的造成大面积的划伤，因 此，这种情况一般还是能够恢复大部分数据 的。大型数据库系统往往存储着一些非常重 要的数据，其组成复杂，一般都有较完善的 保护措施，所以一般不会出现小问题，只要 出现问题，基本上都是较难处理的问题，恢 复的难度较大。典型的大型数据库系统主要 是SQL Server, I nf orrri x, Sybase> Oracl e 和 I BM UDB/ DB2 等。异型操

12、作系统的数据恢复，指的是不常 用的.比较少见的操作系统下的数据恢复. 如碣C、062、嵌入式系统、手持系统、实时 系统等。数据被覆盖后，再要恢复的话，难度非 常大，这与其他四类数据恢复有着质的区 别，目前只有硬盘厂商及少数几个国家的特 殊部门能够做到，它的应用，一般都与国家 安全有关，这也是目前数据恢复学界和我们 致力解决的问题。水平相差最大的是覆盖恢复，据说美国 军方可以恢复覆盖 69 次的数据，俄 罗斯可 以恢复覆盖 34次的数据， IBM 自己耗资 6亿 美元的研究成果是可以恢复 覆盖 23 次的数 据，由于这些都涉及到国家核心机密，具体 的细节和可靠性都尚 不可知，不过，日本对 涉密载体要求必须低级格式化 69 次方可回 收，还是能够 说明这一问题的。目前，国内从事数据恢复业务的几乎都 以个体为单位，规模稍大的公司也就 是几个 人的规模，即使是同源的计算机取证，也没 有超出 100 人的，更不用说专 门从事研究的研 究人员。但是，前面我们已经谈过，数据恢 复与反恢复技术是伴 随信息生命全周期的， 只要这些信息被数字化，就面临着反恢复的 客观存在，而 在此之前，国内尚没有专门的 研究机构，所以，在前面我们讲，没有受到 应有的 重视，但是现在，我