计算机病毒磁盘格式与数据恢复

计算机病毒磁盘格式与数据恢复计算机病毒磁盘格式与数据恢复第1页引言数据地位数据安全计算机病毒磁盘格式与数据恢复第2页数据恢复是指因为各种原因造成数据损失时把保留在介质上数据重新恢复过程。即使数据被删除或硬盘出现故障，只要在介质没有严重受损情况下,数据就有可能被完好无损地恢复。格式化或误删除引发数据损失情况下，大个别数据仍未损坏，用软件重新恢复连接步骤话，能够重读数据。假如硬盘因硬件损坏而无法访问时，更换发生故障零件，即可恢复数据。在介质严重受损或数据被覆盖情况，数据将无法恢复。计算机病毒磁盘格式与数据恢复第3页课前咱们应该思索问题磁盘物理结构是怎样？其由哪些个别组成？磁盘中数据是怎样存放和索引？磁盘中数据怎样被删除？删除之后数据是否能够恢复？怎样恢复磁盘中丢失数据?计算机病毒磁盘格式与数据恢复第4页本讲内容提要硬盘基础知识硬盘数据存放结构FAT32文件系统及数据恢复原理NTFS文件系统数据恢复实例安全删除技术计算机病毒磁盘格式与数据恢复第5页1.硬盘基础知识计算机病毒磁盘格式与数据恢复第6页1.1硬盘外观IBM10MB硬盘内部结构图及外观图计算机病毒磁盘格式与数据恢复第7页20GB7200RPM高速西部数据硬盘计算机病毒磁盘格式与数据恢复第8页全球最小HDD东芝推出0.85英寸硬盘被吉尼斯认可为一项世界统计“全球最小HDD”

。0.85英寸HDD大小为32×24×3～5mm（长×宽×高），重量只有10g，容量为2-4GB。计算机病毒磁盘格式与数据恢复第9页1.2硬盘物理结构硬盘外部结构接口（电源接口+数据接口）硬盘控制电路固定面板硬盘内部结构盘片、磁头、盘片主轴、控制电机、磁头控制器、数据转换器…计算机病毒磁盘格式与数据恢复第10页1.2.1硬盘外部结构接口硬盘后面及各部件名称计算机病毒磁盘格式与数据恢复第11页1.2.1硬盘外部结构硬盘控制电路拆下硬盘控制电路后西数硬盘控制电路近照计算机病毒磁盘格式与数据恢复第12页1.2.1硬盘外部结构固定面板：就是硬盘正面面板，它与底板结合成一个密封整体，确保了硬盘盘片和机构稳定运行。在面板上最显眼莫过于产品标签，上面印着产品型号、产品序列号、产品、生产日期等信息。除此，还有一个透气孔，它作用就是使硬盘内部气压与大气气压保持一致。计算机病毒磁盘格式与数据恢复第13页1.2.2硬盘内部结构现在硬盘主要包含：盘片、磁头、盘片主轴、控制电机、磁头控制器、数据转换器、接口、缓存等几个部份。硬盘上全部盘片都固定在一个旋转轴上，这个轴即盘片主轴。其中全部盘片之间是绝对平行，在每个盘片存放面上都有一个磁头，磁头与盘片之间距离比头发丝直径还要小。全部磁头都连在一个磁头控制器上，由磁头控制器负责各个磁头运动。磁头可沿盘片半径方向动作，而盘片在这里以每分钟数千转速度在高速旋转，这么磁头便可对盘片上指定位置进行数据读写操作。计算机病毒磁盘格式与数据恢复第14页1.2.2硬盘内部结构计算机病毒磁盘格式与数据恢复第15页1)磁头组件它由读写磁头、传动手臂、传动轴三部份组成。硬盘工作原理，它是利用特定磁粒子极性来统计数据。那磁头是怎么读取数据呢？首先磁头将磁粒子不一样极性转换成不一样电脉冲信号，再利用数据转换器将这些原始信号变成电脑能够使用数据，写操作恰好与此相反。计算机病毒磁盘格式与数据恢复第16页西数WD200BB硬盘采取单碟双磁头设计，该磁头组件能支持四个磁头，不过其中有两个磁头传动手臂没有安装磁头。计算机病毒磁盘格式与数据恢复第17页2)磁头驱动机构：磁头驱动机构由电磁线圈电机、磁头驱动小车、防震动装置组成，高精度轻型磁头驱动机构能够对磁头进行正确驱动和定位，并能在很短时间内准确定位系统指令指定磁道。计算机病毒磁盘格式与数据恢复第18页3)磁盘片金属或玻璃计算机病毒磁盘格式与数据恢复第19页4)主轴组件主轴组件包含主轴部件如轴承和驱动电机等。计算机病毒磁盘格式与数据恢复第20页5)前置控制电路前置电路控制磁头感应信号、主轴电机调速、磁头驱动和服务定位等，因为磁头读取信号微弱，将放大电路密封在腔体内可降低外来信号干扰，提升操作指令准确性。计算机病毒磁盘格式与数据恢复第21页1.3硬盘逻辑结构

硬盘由很多盘片(platter)组成，每个盘片每个面都有一个读写磁头。假如有N个盘片。就有2N个面，对应2N个磁头(Heads)，从0、1、2开始编号。每个盘片被划分成若干个同心圆磁道(逻辑上，是不可见。)每个盘片划分规则通常是一样。这么每个盘片半径均为固定值R同心圆再逻辑上形成了一个以电机主轴为轴柱面(Cylinders)，从外至里编号为0、1、2……每个盘片上每个磁道又被划分为几十个扇区(Sector)，通常容量是512byte，并按照一定规则编号为1、2、3……形成Cylinders×Heads×Sector个扇区。计算机病毒磁盘格式与数据恢复第22页1.3硬盘逻辑结构1.硬盘参数CHS(Cylinder/Head/Sector)参数磁头数(Heads)表示硬盘总共有几个磁头,也就是有几面盘片,最大为255(用8个二进制位存放);柱面数(Cylinders)表示硬盘每一面盘片上有几条磁道,最大为1023(用10个二进制位存放);扇区数(Sectors)表示每一条磁道上有几个扇区,最大为63(用6个二进制位存放).每个扇区普通是512个字节磁盘最大容量255*1023*63*512/1048576=8024MB(1M=1048576Bytes)或硬盘厂商常见单位:

255*1023*63*512/1000000=8414MB(1M=1000000Bytes)

计算机病毒磁盘格式与数据恢复第23页硬盘空间扩展在传统硬盘中,因为每个磁道扇区数相等,所以外道统计密度要远低于内道,所以会浪费很多磁盘空间(与软盘一样).为了处理这一问题,深入提升硬盘容量,大家改用等密度结构生产硬盘.也就是说,外圈磁道扇区比内圈磁道多.采取这种结构后,硬盘不再含有实际3D参数,寻址方式也改为线性寻址,即以扇区为单位进行寻址.为了与使用3D寻址老软件兼容(如使用BIOSInt13H接口软件),在硬盘控制器内部安装了一个地址翻译器,由它负责将传统3D参数翻译成新线性参数.计算机病毒磁盘格式与数据恢复第24页2.硬盘数据存放结构计算机病毒磁盘格式与数据恢复第25页2.1硬盘总体结构表计算机病毒磁盘格式与数据恢复第26页计算机病毒磁盘格式与数据恢复第27页2.2MBRMBR(MasterBootRecord),即主引导统计，有时也称主引导扇区。位于整个硬盘0柱面0磁头1扇区(能够看作是硬盘第一个扇区)，BIOS在执行自己固有程序以后就会jump到MBR中第一条指令。将系统控制权交由MBR来执行。在总共512byte主引导统计中，MBR引导程序占了其中前446个字节(偏移0H~偏移1BDH)随即64个字节(偏移1BEH~偏移1FDH)为DPT(DiskPartitionTable，硬盘分区表)最终两个字节“55AA”(偏移1FEH~偏移1FFH)是分区有效结束标志。计算机病毒磁盘格式与数据恢复第28页WinHex查看一块希捷120GB硬盘mbr计算机病毒磁盘格式与数据恢复第29页2.3DPT（硬盘分区表）在DPT共64个字节中，以16个字节为分区表项单位描述一个分区属性。通常情况下，第一个分区表项描述一个分区属性，普通为基础分区。第二个分区表项描述除基础分区外其余空间，即咱们所说扩展分区。计算机病毒磁盘格式与数据恢复第30页DPT（硬盘分区表）示例计算机病毒磁盘格式与数据恢复第31页DPT分区项各字段含义字节位移字段长度值字段名和定义0x01BEBYTE0x80引导指示符(BootIndicator)

指明该分区是否是活动分区。0x01BFBYTE0x01开始磁头(StartingHead)0x01C06位0x01开始扇区(StartingSector)只用了0~5位。后面两位(第6位和第7位)被开始柱面字段所使用0x01C110位0x00开始柱面(StartingCylinder)

除了开始扇区字段最终两位外，还使用了1位来组成该柱面值。开始柱面是一个10位数，最大值为10230x01C2BYTE0x07系统ID(SystemID)定义了分区类型0x01C3BYTE0xFE结束磁头(EndingHead)0x01C46位0xFF结束扇区(EndingSector)

只使用了0~5位。最终两位(第6、7位)被结束柱面字段所使用0x01C510位0x7B结束柱面(EndingCylinder)除了结束扇区字段最终两位外，还使用了1位，以组成该柱面值。结束柱面是一个10位数，最大值为10230x01C6DWORD0x0000003F相对扇区数(RelativeSectors)从该磁盘开始到该分区开始位移量，以扇区来计算0x01CADWORD0x00DAA83D总扇区数(TotalSectors)该分区中扇区总数计算机病毒磁盘格式与数据恢复第32页DPT4个分区项C盘之前为1个主引导扇区和62个保留扇区。C盘从63号扇区开始，结束于14329979（63+14329917-1）扇区。C盘大小为7,336,916,992字节。主扩展分区从14329980扇区开始，结束于（14329980+26565-1）扇区。主扩展分区大小为112,694,560,768字节。计算机病毒磁盘格式与数据恢复第33页扩展分区表计算机病毒磁盘格式与数据恢复第34页扩展分区表前面各项均为0，仅存分区项和结束标识计算机病毒磁盘格式与数据恢复第35页该硬盘详细结构MBR(1)+Res(62)+DBR(1)+Res(31)+FAT1+FAT2+DIR+DATA+……计算机病毒磁盘格式与数据恢复第36页2.4DBR各字段含义计算机病毒磁盘格式与数据恢复第37页DBR各自段详细解释包含：跳转指令厂商标志和操作系统版本号BPB(BIOSParameterBlock)扩展BPBOS引导程序结束标志右图以FAT32为例说明分区DBR各字节含义。计算机病毒磁盘格式与数据恢复第38页FAT32下DBR各字段含义0H~02H一条跳转指令，指针指向后面引导程序03H~0AH厂商名和系统版本0BH~0CH每扇字节数，普通为512字节0DH每簇扇区数（相关簇概念咱们在后面会详细介绍），对于FAT32磁盘该字节普通为08H，既每簇为8H*512B=4K。0EH~0FH保留扇区数10H磁盘FAT个数，普通为2个11H~12H对于FAT16磁盘为根目录最大目录项，对于FAT32磁盘该值总为“00H00H”

13H~14H对于软盘或早期小硬盘该处为分区总扇区数，对于硬盘普通此值为“00H00H”

15H介质描述，对于1.44软盘此处长为“F0H”，对于硬盘此处长为“F8H”

16H~17H对于软盘或早期小硬盘该处为每个FAT占用扇区数，对于硬盘普通此值为“00H00H”

18H~19H每道扇区数，普通为“3FH00H”，即每道有63个扇区1AH~1BH磁头数，普通为“FFH00H”，即每个柱面有255个磁头1CH~1FH隐含扇区数20H~23H对于大硬盘来说该处存放是该分区占用扇区数24H~27H对于大硬盘来说该处存放是每个FAT占用扇区数40H该处为磁盘BIOS信息，第一块硬盘为“80H”，普通软盘为“00H”

47H~51H用户设置卷标，假如没有卷标此处常为字符串“NONAME”

52H~59H文件系统，对于FAT32文件系统此处常为“FAT32”

1FEH~1FFH结束标识，和上文提到主引导区结束标识一样为“55HAAH”

计算机病毒磁盘格式与数据恢复第39页NTFS下DBR00：3bytes跳转指令03：OEMID0B：25bytesBPB24:48bytes扩展BPB54:426bytes引导程序代码1FE:结束标识（0xAA55）计算机病毒磁盘格式与数据恢复第40页NTFS下BPB和扩展BPB中参数含义计算机病毒磁盘格式与数据恢复第41页3.FAT32文件系统及数据恢复原理计算机病毒磁盘格式与数据恢复第42页3.1FAT32分区结构计算机病毒磁盘格式与数据恢复第43页引导扇区在前面已经叙述，其中BPB和扩展BPB统计了分区属性，即其它5个个别属性。保留扇区：FAT32中保留扇区除了磁盘总第0扇区用作DBR，总第2扇区(win98系统)或总第0xC扇区(win,winxp)用作OS引导代码扩展个别外，其余扇区都不参加操作系统管理与磁盘数据管理，通常情况下是不起作用。操作系统之所以在FAT32中设置保留扇区，是为了对DBR作备份或留待以后升级时用，比如引导程序以后扩展，FAT32中DBR偏移0x34占2字节数据指明了DBR备份扇区所在普通为0x06即第6扇区，当FAT32分区DBR扇区被破坏造成分区无法访问时能够用第6扇区原备份替换第0扇区来找回数据。计算机病毒磁盘格式与数据恢复第44页FAT表(FileAllocationTable文件分配表)是Microsoft在FAT文件系统中用于磁盘数据(文件)索引和定位引进一个链式结构。FAT表统计了磁盘数据文件存放链表。文件系统将磁盘空间按一定数目标扇区为单位进行划分，这么单位称为簇。通常情况下，每扇区512字节标准是不变。簇大小普通是2n(n为整数)个扇区大小，能够是512B、1KB、2KB、4KB、8KB、16KB、32KB、64KB。实际中通常不超出32K。计算机病毒磁盘格式与数据恢复第45页FAT表FAT统计项值对应簇表现情况000000000H未分配簇00000002H–0FFFFFEFH已分配簇0FFFFFF0H--0FFFFFF6H系统保留0FFFFFF7H坏簇0FFFFFF8H--0FFFFFFFH文件结束簇通常情况其第1、2个统计项用作介质描述。从第三个统计项开始统计除根目录外其它文件及文件夹簇链情况。依据簇表现情况FAT用对应取值来描述，见下表：计算机病毒磁盘格式与数据恢复第46页根目录首簇对于根目录第一个簇，系统并不编号为第0簇或第1簇，而是编号为第2簇，也就是说数据区次序上第1个簇也是编号上第2簇。计算机病毒磁盘格式与数据恢复第47页FAT中将目录当文件进行处理。文件和目录都以32字节目录项来进行索引，长文件名拥有多个目录项。计算机病毒磁盘格式与数据恢复第48页实际目录目录项例子计算机病毒磁盘格式与数据恢复第49页实际文件目录项例子计算机病毒磁盘格式与数据恢复第50页3.2文件存放与恢复原理计算机病毒磁盘格式与数据恢复第51页4.NTFS文件系统计算机病毒磁盘格式与数据恢复第52页NTFS文件系统总体结构图引导扇区将NTLDR区域代码读入内存并移交控制权MFT（主控文件表）是NTFS卷结构关键。MFT是一个与文件相对应文件属性数据库，它统计了除文件数据外全部属性，甚至小文件数据本身也包含在MFT中。MFT以文件数组来实现，每个文件统计大小固定为1KB。计算机病毒磁盘格式与数据恢复第53页NTFS引导分区计算机病毒磁盘格式与数据恢复第54页实际含义计算机病毒磁盘格式与数据恢复第55页MFT(MasterFileTable):组织结构示意表

最开始是保留系统关键信息16个元数据文件。从第24个统计开始，MFT统计都是文件或者目录（其实被NTFS一样视为文件）描述信息计算机病毒磁盘格式与数据恢复第56页MFT(MasterFileTable):主控文件表主控文件表中每个文件统计由两个别组成：表头（文件统计头）长度和偏移处数据含义不变属性列表属性是File详细信息载体，一个File全部信息（包含文件内容）都经过属性表达。经过获取属性值，就能够得到File各种所需信息。不一样属性列表对应偏移对应着不一样含义MFT中每个文件统计结束标识为FFFFFFFFH计算机病毒磁盘格式与数据恢复第57页FileRecord(FR)FileRecord（文件统计，以下简称FR），大小保持为1KB，即2个扇区假如一个File足够小（大约700多字节以下），NTFS将其数据直接存放在该FileFR中；不然，NTFS将开辟新空间存放File详细数据，其存放位置统计在FR中，经过DataRun指明每段起始簇号和每段（即碎片）占用簇个数。计算机病毒磁盘格式与数据恢复第58页FileRecord组织结构示意表FR头属性1，通常是$STANDARD_INFORMATION属性2，通常是$FILE_NAME属性3，通常是$DATA（普通数据文件），或者$INDEX_ROOT其它属性，比如：$INDEX_ALLOCATION结束标志0xFFFFFFFF计