探討計算機數據恢復技術的原理與實現

宋昌業

摘 要：隨著經濟和科技的發展，信息技術在全球得以應用和發展。計算機技術的普及，極大的方便了人們的工作和生活，人們的很多事情都是通過計算機來完成的。并且計算機的保存空間大，可進行大量的信息儲存，人們將大量的信息儲存在計算機當中。但是，計算機是以數據的方式來而對文件進行存檔的，如果數據發生破壞或者丟失，就會造成相當大的損失。因此，對數據的保存和恢復就顯得極為重要。本文就計算機數據恢復技術的原理與實現方法進行簡要的分析，并提出相應的解決方法，希望得到讀者的認可和共鳴。

關鍵詞：計算機；數據恢復技術；措施

計算機進行信息的記錄，是將信息按照一定的規則排列組合在一起的物理符號。這物理符號存在的方式可以使數字、文字、圖像等也可以是計算機代碼。人們通過計算機進行信息的查詢，保存等工作，大量的信息以代碼的形式保存在計算機的儲存卡中，進而形成了計算機數據。在計算機中，這些數據雖然得到了良好的保存，但是，經常會出現計算機損害，造成數據破壞和銷毀等跡象。在數據丟失之后，通常可以通過操作系統、重新下載等方式進行信息找回，但是，這不僅浪費時間不說，還造成人們的經濟和利益損失，并且浪費大齡的精力。但是，有一些數據的損失是不能進行有效的找回的。如稿件、客戶信息等這些重要的數據一旦丟失并不是只花費一定的時間和精力就可以彌補的。這帶給人們巨大的精神損失和經濟損失。還有些資料的丟失給人們造成了難以承受的傷害。

一、引起數據丟失、破壞的原因

首先，網絡具有開放性、匿名性和共享性等特點，這就對計算機網路的安全提出了挑戰；其次，操作系統不完善不成熟，軟件自身不安全，系統設計不全面，這都會留下網絡的安全隱患；再者，防火墻的脆弱性以及受自然情況的影響和管理欠缺、規章制度不全面、安全水平低、操作事物等都會對計算機信息的安全產生影響。其中，計算機在傳輸信息和儲存資料中扮演者重要的角色，在大大提高了工作效率和方便了人們生活的同時，一些新的問題也應用而生，列如：數據損害、計算機故障、黑客入侵等，都會給人們帶來嚴重的損失和必不可少的利益的受損。這些也有可能是人為的因素，也有一部分是自然原因，機體設計不健全、管理不到位等，主要包括以下幾方面的原因：

1.1計算機設計不完善

在計算機的研制當中，很有可能出現設計不合理或檢查不完善等情況的發生，計算機的制作，是人為發明的，只要是認為研制的物品，都必不可少的存在一定的缺陷。有些數據的使用和書寫錯誤，就會導致計算機研制的不健全。因此，在進行計算機系統研制的時，應該進行詳細的檢查，減少錯誤的發生。

1.2計算機硬件故障

計算機的硬件是整個系統的基礎，由于使用不合理或者產品使用不佳等情況，計算機的硬件很有可能損壞。進而影響計算機的使用和數據的存儲。例如：硬盤磁道的損壞、服務器停止等，都會加劇硬盤的損傷，今而毀壞電腦數據。

1.3計算階軟件故障

由于用戶使用不當或者系統設計有缺陷等，不穩定因素的出現，計算機系統可能出現癱瘓等情況而無法使用。黑客入侵、偷盜、壓力和緊張造成的誤刪等情況不可避免。

1.4邏輯錯誤

邏輯錯誤顧名思義，是因為邏輯上的損壞，一般的軟件可以進行解決，常見的問題有：病毒感染、誤操作、誤刪除、斷電等事故的出現。會導致大量的數據損害和銷毀、操作系統丟失，無法正常的使用和啟動，找不到文件、文件打開后亂碼或者文件打不開等情況的發生。

1.5破壞性病毒

病毒是系統可能遭受破壞的一個非常重要的問題，隨著信息技術側不斷發展完善，病毒的產生也越來越頻繁種類也越來越齊全。現在，病毒不僅僅能破壞軟件系統，還可能破壞計算機的硬件系統。例如：CIH病毒就是一個典型的破壞計算機硬件系統的病毒。

1.5自然災害

例如：火災、雷電、洪水、地震、颶風等，這是人力幾乎無法抗拒的原因。

二、計算機數據恢復的基本原理與恢復實現

下面通過比較常見計算機數據故障的數據恢復案例來詳細探討數據恢復的實現原理。

2.1文件誤刪除的數據恢復

2.1.1數據損壞的原因文件被誤刪除（徹底刪除，而不是放到回收站里）。

2.1.2恢復前的分析

根據上述文件損壞的原因，對于操作系統來說，該文件是真的不存在了。那么這個文件還能夠被恢復嗎？答案是很有可能（不是絕對的）。文件可以恢復的理論依據是，我們在刪除文件時，操作系統并不是將文件所在所有扇區，按字節全部清0，從而將文件數據徹底擦除。事實上系統僅僅改動了該文件在文件目錄表（FDT）中和文件分配表（FAT）中的特定記錄信息。具體的講，系統將該文件目錄項的首字節改為E5H，并將記錄文件起始簇號高16位的2個字節清0，同時將該文件在文件分配表中的記錄信息清0，從而完成了所謂的“文件刪除”操作，而真正的文件信息，仍然保存在DATA區，“毫發未損”，只是系統找不到了。系統采用這種刪除方式，是為了提高操作效率。從客觀上，為我們實現數據恢復提供了可能性，只要能夠找到文件所在的位置，并獲得文件大小的數值，就很有可能將該文件恢復。

2.1.3文件恢復的實現原理

a.首先運行磁盤編輯軟件winhex，打開文件所在的分區，進入文件目錄表，找到該文件的目錄項。由于其目錄項的首字節改為E5H，則短文件名被破壞了，但是文件擴展名還在，記錄下來，為文件恢復后確定其打開方式提供依據。

b.找到目錄項里該文件起始簇號低16位CH，換算出文件起始扇區號K0。計算公式如下：

K0=DBR+2*FAT+（CH-2）*S/N

DBR為DOS引導記錄區所占用的扇區數，

DBR=32，固定值；

FAT為文件分配表所占用的扇區數，

FAT=FAT2起始扇區號-FAT1起始扇區號；

S=512（扇區的字節數）；N=簇因子值。

c.進到DATA（數據）區，移動到KO扇區選擇“塊首”，再移動到Km扇區，選擇“塊尾”，選擇“復制”———“新文件”命令，輸人文件名、擴展名（用原來的文件名），給出保存路徑（必須保存在非當前分區），最后按“確定”，該文件恢復就完成了。

文件修復的重要前提文件要在連續的簇上存儲，否則很難恢復；文件起始簇號高16位未使用，否則文件起始扇區信息丟失；文件所在的分區，在文件誤刪除后，一定不要寫入新的數據，否則，新文件的信息可能會覆蓋掉該文件的目錄項信息。

說明：以上的修復過程，僅僅是為了說明文件誤刪除恢復的原理，在實際應用中，為了提高操作效率，建議使用數據恢復軟件，如EasyRecory進行恢復，這類軟件的操作原理和上述手工方式是一樣，只不過自動程度高，處理速度快而已。

2.2分區誤格式化的數據恢復

2.2.1數據損壞原因

對分區誤格式化操作。

2.2.2恢復前的分析

根據上述數據損壞的原因，對于操作系統來說，該分區上所有數據都已被刪除，變成了一個新的分區。而事實上系統只是將該分區根目錄的FDT表和FAT表清0，但各級子目錄下的FDT表中的記錄信息還存在，因此，還是很有可能恢復分區子目錄下的所有數據的。

結束語

由此可見，數據恢復軟件也不是萬能的，單純依賴此類軟件工具并不能解決數據恢復的所有問題，所以深入了解硬盤的邏輯結構和數據組織的相關原理，進而熟練掌握數據手工恢復操作的方法和技巧仍是十分必要的。

參考文獻：

[1]陶永紅.數據恢復實踐與研究[J].信息網絡安全42013.472-74

[2]王立鵬，王震.數據恢復在司法鑒定中的應用調查研究[J].科技信息102013，101-2.

[3]王寧，劉志軍，Windows7系統注冊表的取證分析[J]警察技術32013，3，39-41

[4]朱小龍，孫國梓.瀏覽器歷史痕跡提取技術[J].信息網絡安全12013.119-21.