數據恢復技術的研究

摘要：數據恢復已成為信息安全領域研究的一大熱點。該文討論了數據丟失的一般原因，分析了數據恢復的原理，可行性及策略，介紹了常用的數據恢復軟件，最后指出了數據恢復面臨的困難及其前景。

關鍵詞：數據恢復；數據銷毀；MBR

中圖分類號：TP311文獻標識碼：A 文章編號：1009-3044(2008)23-948-02

計算機在人們日常生活和工作中的地位日趨重要， 其中存儲了大量與人們工作和生活有關的信息，一旦這些存儲在計算機中的重要數據丟失其后果將不堪設想，因此恢復這些丟失的重要數據及其重要。

1 數據恢復的概念

“數據恢復” 技術，就是面對計算機系統遭受誤操作、病毒侵襲、硬件故障、黑客攻擊等事件后， 將用戶的數據從各種存儲設備中拯救出來， 從而將損失減到最小的技術。從數據恢復的目的來看，它屬于計算機安全，而恢復的手段又與計算機維護有著緊密的聯系，因此可以說數據恢復是從計算機安全與計算機維護發展起來的新領域。隨著信息化熱潮在中國的不斷推進， 信息安全逐漸被人們所重視，使數據恢復的重要性正在被業廣泛關注。

2 數據丟失的原因

數據丟失通常可分為兩種情況：硬故障原因和軟故障原因。其中硬故障是指硬盤由于自然災害或者人為因素受到物理性損傷導致數據無法正常讀取。

軟故障是指硬盤物理性能完好只是由于用戶的錯誤操作或由于病毒以及人為操作錯誤造成的數據丟失，常見有：誤

格式化或誤分區、誤克隆、誤刪除或覆蓋、意外電磁干擾、黑客利用漏洞非法入侵用戶、網絡環境的病毒感染、零磁道損壞、主引導程序損壞、FAT表破壞、DBR故障和硬盤邏輯鎖等。在出現以上情況時，導致數據丟失與破壞、操作系統丟失， 無法正常啟動、磁盤讀寫錯誤， 找不到所需文件、文件打不開或文件打開后亂碼、硬盤沒有分區、或提示某個硬盤分區沒有格式化系統錯誤或癱瘓等具體特征。

3 數據恢復的原理

3.1 硬盤存儲結構

一塊新硬盤，必須經過分區、格式化、安裝操作系統后方能使用。經過分區、格式化之后， 在硬盤中就建立起了主引導扇區包括主引導記錄MBR 和分區表DPT 、操作系統引導扇區DBR 、主引導記錄FAT、根目錄區DIR 和數據區Data 計五個部份。

MBR位于整個硬盤的 0 柱面 0 磁頭 1 扇區， bios 在執行自己固有的程序以后就會jump 到 MBR 中的第一條指令。將系統的控制權交由 MBR 來執行。MBR 不隨操作系統的不同而不同，意即不同的操作系統可能會存在相同的 MBR ，即使不同， MBR 也不會夾帶操作系統的性質。

DBR通常占用分區的第 0 扇區共 512 個字節 ，是操作系統可以直接訪問的第一個扇區，它包括一個引導程序和一個本分區參數記錄塊（B P B）。引導程序的主要任務是當MBR 將系統控制權交給它時，判斷本分區根目錄前兩個文件是不是操作系統的引導文件。如果是就將其讀入內存，并把控制權交給該文件。BPB 記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數、分配單元的大小等重要參數

FAT表是Microsoft在FAT文件系統中用于磁盤數據（文件）索引和定位引進的一種鏈式結構。為了數據安全起見，FAT一般做兩個，第二FAT為第一FAT 的備份，FAT 區緊接在DBR 之后，其大小由本分區的大小及文件單元的大小決定。

DIR位于Fat2之后，記錄著文件的起始單元， 它與Fat相互配合， 準確定位一個文件在硬盤中的具體位。

Data：前面四部分的功能僅是用來啟動和管理硬盤的， 只占用很小一部分空間。其余的絕大部分空間是用來存儲用戶需要的文件的，即數據區。

3.2 文件的讀寫及刪除的原理

文件寫入：操作系統首先在DIR區找到空位記錄文件名、文件類型等基本信息，然后在數據區的空白位置寫人文件內容，并將data區的第一個分配單元寫回DIR區。

文件讀取：操作系統首先從DIR區中找到該文件的基本信息及第1個分配單元內容，并查找Fat中對應的單元號，然后找到對應于該號的data區的內容， 如此重復直到遇到文件的結束標志ff時，讀取完成。

文件刪除：用戶對文件的刪除，包括徹底刪除，實際上并未將文件內容從data數據區中進行清除，而只是在目錄區中將該文件的首字節改為“E5 ”標志。

4 數據恢復的可行性分析及其策略

硬故障原因造成數據丟失的情況很少，而且損壞程度較輕的數據一般可以通過硬盤修復工具或者相關的軟件來恢復數據， 較重的則應到專業公司開盤處理來恢復數據。

下面主要討論軟恢復，又分為沒有覆蓋數據的恢復及被覆蓋數據的恢復。所謂數據被覆蓋，指當數據被刪除后寫入新的數據。未被覆蓋數據的恢復較被覆蓋數據的恢復簡單的多。因此一旦當數據被誤刪除后，立即停止磁盤的讀寫，以免造成更大的破壞，增大恢復的難度。

未被覆蓋數據的恢復。系統刪除文件時，它將該文件在DIR 區中的第一個字符改成E5，在文件分配表中把該文件占用的各簇表項清0，就表示將該文件刪除，而它實際上并不對DATA 區進行任何改寫。因此數據恢復是可能的，只需要將E5改寫就可以了。高級格式化并沒有把硬盤上的文件數據清除， 而是重寫了Fat表而，因此利用恢復軟件重建Fat表即可以對數據恢復。對于硬盤分區操作，系統只是修改了硬盤主引導記錄(MBR) 和操作系統引導扇區(DBR) ，數據區中絕大部分的數據并沒有被修改。此時文件不能被讀取的原因是MBR 和DBR 的改變導致了文件路徑被破壞。但是因為數據區中的數據仍然存在，所以恢復時也只需要重新創建MBR及DBR。

被覆蓋數據的修復。 可以采用“深層信號還原”法。以前的數據雖然被覆蓋了，但在介質的深層，仍然會留存著原有數據的“殘影”，通過使用不同波長、不同強度的射線對這個晶體進行照射，可以產生不同的反射、折射和衍射信號，也就是說，用這些設備發出不同的射線去照射磁盤盤面，然后通過分析各種反射、折射和衍射信號，就可以幫助我們“看到”在不同深度下這個磁介質晶體的殘影。利用此原理可以恢復被覆蓋過4次甚至5次的數據。當然此難度較大，只有少數幾個國家擁有此技術，成本很高，一般用于國家級安全數據的恢復。

5 數據恢復軟件

5.1 EasyRecovery

無論是誤刪除、誤格式化還是重新分區而造成的數據丟失，它都可以輕松恢復，它甚至可以不依靠分區表，按簇進行硬盤掃描。因此，適合分區表嚴重損壞時使用，或者在其他恢復軟件不能恢復的情況下使用。

5.2 WinHex

WinHex 是目前使用最多的一款工具軟件。有著完善的分區管理能力和文件管理功能，能自動分析分區鏈和文件簇鏈，并能以不同的方式進行不同程度的備份，直至克隆整個硬盤。它能夠完整的顯示和編輯任何一種文件類型的二進制內容，其磁盤編輯器可以編輯物理磁盤和邏輯磁盤的任一扇區，內存編輯器可以直接編輯內存。可以說，它是目前功能最強大的軟件之一，是系統維護的最好工具。

5.3 FinalData

它的最大優勢是恢復速度快，可以免去搜索丟失數據漫長的時間等待。不僅恢復速度快，而且在數據恢復方面功能十分強大，不僅可以按照物理硬盤或者邏輯分區來進行掃描，還可以通過對硬盤的絕對扇區來掃描分區表，找到丟失的數據。

6 數據恢復存在的困難及展望

一方面，數據恢復技術有了很大提高，另一方面，數據銷毀技術也在蓬勃發展，從而使數據恢復變得難度更大，甚至有時無法恢復。主流的數據銷毀技術，主要有數據刪除、數據清除、物理銷毀。磁盤數據刪除的常規方法主要有刪除和格式化，這種數據恢復較容易。數據清除的方法主要是數據覆寫，這種數據恢復難度較大。最徹底的數據銷毀方法是物理銷毀，如消磁，化學腐蝕等，這種數據恢復幾乎不可能。盡管數據恢復仍存在不少困難，但是作為信息安全領域的一個新興的熱點領域，且有著廣泛的應用前景，此技術必將日新月異。

參考文獻：

[1] 岳明.淺析硬盤數據恢復[J].大眾科技，2008，(4):62-64.

[2] 王建鋒.數據銷毀：數據安全領域的重要分支[J].計算機安全，2006，(8):53-54.

[3] 劉三滿.計算機數據恢復技術分析[J].山西電子技術，2007，(1):5-6.

[4] 劉文立，王彩玲，劉春征.硬盤數據結構與數據恢復[J].河南水利，2006，(09):141-142.