硬盘数据恢复原理与方法Word文档下载推荐.docx
《硬盘数据恢复原理与方法Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《硬盘数据恢复原理与方法Word文档下载推荐.docx(15页珍藏版)》请在冰豆网上搜索。
1.软件故障的类型
受病毒感染;
误格式化或误分区;
误克隆;
误删除或覆盖;
黑客软件人为破坏;
零磁道损坏;
硬盘逻辑锁;
操作时断电;
意外电磁干扰造成数据丢失或破坏;
系统错误或瘫痪造成文件丢失或破坏。
软件现象一般表现为操作系统丢失,无法正常启动系统,磁盘读写错误,找不到所需要的文件、文件打不开、文件打开后乱码,硬盘没有分区、提示某个硬盘分区没有格式化等。
2.硬件故障的类型
磁盘划伤;
磁头变形;
磁臂断裂;
磁头放大器损坏;
芯片组或其它元器件损坏。
硬件故障一般表现为系统不认硬盘,常有一种“咔嚓咔嚓”的磁组撞击声或电机不转、通电后无任何声音、磁头定们不准造成读写错误等现象。
一些具体的表现如下:
①开机时,系统没有找到硬盘,同时也没有任何错误提示。
注意有的主板在硬盘出现故障时会给出相应的提示信息和提示代码。
我们在排除硬盘的供电正常,电源线连接无误,数据线安装正确,数据线没有质量问题时,也就可以确定是硬盘坏了。
②启动系统时间特别长,或读取某个文件,运行某个软件时经常出错,或者要经过很长时间才能操作成功,其间硬盘不断读盘并发出刺耳的杂音,这种现象意味着硬盘的盘面或硬盘的定位机构出现问题。
③经常出现系统瘫痪或者死机蓝屏,但是硬盘重新格式化后,再次安装系统一切正常。
这种情况是因为硬盘的磁头放大器和数据纠错电路性能不稳定,造成数据经常丢失。
④开机时系统不能通过硬盘引导,软盘启动后可以转到硬盘盘符,但无法进入,用SYS命令传导系统也不能成功。
这种情况比较严重,因为很有可能是硬盘的引导扇区出了问题。
或者是无法重新分区,也可能是重新分区后的信息无法写入主引导扇区。
⑤一直能够正常使用,但是突然有一天,硬盘在正常使用过程中出现异响,接着找不到硬盘。
但是在停机一段时间以后,再次开机时还能找到硬盘,并且能够正常启动系统。
当出现这种情况时,如果硬盘上有重要数据时,一定在最短的时间内把数据备份出来,防止硬盘彻底报废时丢失重要数据。
磁盘数据格式的相关知识
上述的各种原因都可能导致硬盘或软盘上的数据损坏或丢失,使部分(或全部)数据无法读出和使用。
数据恢复就是使用各种软件和硬件的技术方法把数据重新找回,使宝贵的信息得以重新使用。
说到数据恢复,我们就不得不提到硬盘的数据结构、文件的存储原理,甚至操作系统的启动流程,这些是你在恢复硬盘数据时必须使用的基本知识。
即使你不需要恢复数据,了解这些知识(即使只是稍微多知道一些),对于你平时的电脑操作和应用也是很有帮助的。
硬盘的文件系统结构
初买来一块硬盘,我们是没有办法使用的,你需要将它分区、格式化,然后再安装上操作系统才可以使用。
就拿我们一直沿用到现在的Win9x/Me系列来说,我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT表、DIR目录区和Data数据区等五部分。
我们通常所说的主引导扇区MBR在一个硬盘中是是唯一的,MBR区的内容只有在硬盘启动时才读取其内容,然后驻留内存。
其它几项内容随你的硬盘分区数的多少而异。
主引导扇区(MBR)
主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(MainBootRecord)和分区表DPT(DiskPartitionTable)。
其中主引导记录的作用就是检查分区表是否正确以及判别哪个分区为可引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。
主引导区的数据结构如(图1)所示。
图1
分区表(DPT)
在主引导区中,从地址BE开始,到FD结束为止的64个字节中的内容就是通常所说的分区表。
分区表以80H或00H为开始标志,以55AAH为结束标志,每个分区占用16个字节,一个硬盘最多只能分成四个主分区,其中扩展分区也是一个主分区。
随着硬盘容量的迅速扩大,引入的扩展分区可以不受四个主分区的限制,把硬盘分区数扩展到“Z”。
值得一提的是,MBR是由分区程序(例如DOS的Fdisk.exe)产生的,不同的操作系统可能这个扇区的内容代码是不相同,但是实现的功能只有一个,使其中的一个活动分区获得控制区,正常启动系统。
硬盘的分区结构如(图2)所示。
图2
(在D盘,E盘前面都有一个粉红色的扇区,就是所谓的扩展分区表所在的位置,其后的62个扇区空闲,共同占有一个隐含磁道。
)
主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。
在主分区中,不允许再建立其它逻辑磁盘。
也可以通过分区软件,在分区的最后建立主分区,或在磁盘的中部建立主分区。
扩展分区的概念则比较复杂,也是造成分区和逻辑磁盘混淆的主要原因。
由于硬盘仅仅为分区表保留了64个字节的存储空间,而每个分区的参数占据16个字节,故主引导扇区中总计可以存储4个分区的数据。
操作系统只允许存储4个分区的数据,如果说逻辑磁盘就是分区,则系统最多只允许4个逻辑磁盘。
对于具体的应用,4个逻辑磁盘往往不能满足实际需求。
为了建立更多的逻辑磁盘供操作系统使用,系统引入了扩展分区的概念。
所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。
这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区(实际上也就是下一个逻辑磁盘)的起始位置,以此起始位置类推可以找到所有的分区。
无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。
需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢失。
这就是当硬盘被CIH病毒破坏后,我们可以通过KV3000的F10功能来找到丢失的D,E及以后的逻辑分区的原因。
操作系统引导扇区(OBR)
OBR(OSBootRecord)即操作系统引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOSParameterBlock)的本分区参数记录表。
其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。
引导程序的主要任务在当根目录中寻找系统文件IO.SYS,MSDOS.SYS和WINBOOT.SYS三个文件,如果存在,就把IO.SYS文件读入内存,并移交控制权予该文件。
在WIN98的系统中,没有MSDOS.sys文件,系统能够正常启动,但是无法进入桌面;
如果没有COMMAND.COM文件,能够正常启动到桌面,但是无法进入DOS字符方式。
BPB参数块:
记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(AllocationUnit,以前也称之为簇)的大小等重要参数。
OBR由高级格式化程序产生(例如DOS的F)。
C盘的数据结构如(图3)所示。
图3
文件分配表(FAT)
FAT(FileAllocationTable)即文件分配表,是DOS/Win9x系统的文件寻址系统。
为了防止意外损坏,FAT一般做两个(也可以设置为一个),第二FAT为第一FAT的备份,FAT区紧接在OBR之后(对于FAT32格式,位置是从引导扇区开始的第32个扇区就是第一个FAT表的位置),其大小由这个分区的空间大小及文件分配单元的大小决定。
随着硬盘容量的迅速发展,Microsoft的DOS及Windows也先后采用我们所熟悉的FAT12、FAT16和FAT32格式。
不过WindowsNT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式,不同于FAT文件格式。
FAT12是使用12BIT来表示簇的位置,最大容量32M,FAT16是使用两个字节16BIT位来表示簇的位置,分区最大容量2G,而FAT32采用4个字节来表示簇的位置,分区最大容量65G。
目录区(DIR)
DIR是Directory即根目录区的简写,在FAT12和FAT16格式中,DIR紧接在第二FAT表之后,而在FAT32格式中,根目录区的位置可以在分区中的任意位置,其起始位置是由引导扇区给出的。
单有FAT表还不能确定文件在磁盘中的具体位置,只有FAT表和DIR区配合使用,才能准确定位文件的确切位置。
DIR记录着每个文件(目录)的文件名,扩展名,是否支持长文件各,起始单元(这是最重要的)、文件的属性,大小,创建日期,修改日期等住处内容。
操作系统在读写文件时,根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置,然后顺序读取每个簇的内容就可以了。
数据区(DATA)
在DIR区之后,才是真正意义上的数据存储区,即DATA区。
DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。
注意:
我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,除非你使用了“Format X:
/U”命令,强制对每一扇区写“F6”。
至于硬盘分区,也只是修改了MBR和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。
但即便如此,MBR,OBR,FAT,DIR之一被破坏的话,我们的数据也无法正常读取。
需要提醒大家的是,如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏了,我们也可以使用磁盘编辑软件(比如DOS下的DiskEdit,DDD,KV3000,EasyRevoery等),只要找到一个文件的起始保存位置,那么这个文件就有可能被恢复。
数据恢复的原理
我们在了解了数据在磁盘上存储格式后,我们就会明白为什么数据在被删除后还能够再次被找回来的原因。
一块新的硬盘在买回来后,必须首先分区,再用Format对相应的分区实行格式化,这样以后我们才能在这个硬盘存储数据。
硬盘的分区就象是对一块地方建仓库,每个仓库就好比是一个分区。
格式化就好比是为了在仓库内存放东西,必须有货架来规定相应的位置。
我们有时接触到的引导分区就是仓库大门号,上面要记载这个分区的容量的性质及相关的引导启动信息。
FAT表就好比是仓库的货架号,目录表就好比是仓库的帐簿。
如果我们需要找某一物品时,就需要先查找帐目,再到某一货架上取东西。
正常的文件读取也是这个原理,先读取某一分区的BPB参数至内存,当需要读取某一文件时,就先读取文件的目录表,找到相对应文件的首扇区和FAT表的入口后,再从FAT表中找到后续扇区的相应链接,移动磁臂到对应的位置进行文件读取,就完成了某一个文件的读写操作。
文件的读取(Read)
操作系统从目录区中读取文件信息(包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号),我们这里假设第一个簇号是0028。
操作系统从0028簇读取相应的数据,然后再找到FAT的0023单元,如果此外的内容是文件结束标志“FF”,则表示文件结束,否则从该处读取下一个簇号,再读取相应单元的内容,这样重复下去直到遇到文件结束标志。
文件的写入(Write)
当我们要保存文件时,操作系统首先在DIR区中找到空闲区写入文件名、大小和创建时间等相应信息,然后在数据DATA区找出空闲区域将文件保存,再将Data区的第一个簇写入DIR区,同时完成FAT表的填写,具体的动作和文件读取动作差不多。
文件的删除(Delete)
Win9X操作系统的文件删除工作却是很简单的,只是将目录区中该文件的第一个字符改为“E5”来表示该文件已经删除,同时改写引导扇区的第二个扇区中表示该分区点用空间大小的相应信息。
Fdisk的使用
和文件的删除类似,利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘(假设你格式化的时候并没有使用/U这个无条件格式化参数)都没有将数据从DATA区直接删除,前者只是改变了分区表,后者只是修改了FAT表,因此被误删除的分区和误格式化的硬盘完全有可能恢复……
Fdisk/MBR可以用来再建主引导区,可以在使用光盘或软盘启动系统后,使用该命令来去除还原精灵或一些引导区病毒。
注意:
在使用该命令之前一定要先备份分区表内容,防止病毒对分区表进行加密处理。
Format的使用
Format命令可以完成分区的格式化,同时检测该分区有无坏扇区。
格式化也就好比是将一幢新楼的每一个房间赋于房间好,以便以后存放物品和查找。
Fotmat的内个重要参数:
/C测试坏扇区并进行标记为“B”。
/S在格式化结束后传送系统文件。
/Q进行快速格式化,只重建FAT表和目录区。
/U无条件对分区进行格式化,对每一扇区重写“F6H”
硬盘数据恢复原理与方法
(二)
数据恢复的基本操作步骤
1.询问客户
接到硬盘后,应向客户询问数据丢失的类型,是误删除,误格式化,误分区,意外丢失,还是硬盘突然丢失或无法读写,并且还要询问故障发生后,客户自己还做过哪些操作。
把故障类型和原因问清楚了,可能会减少我们在数据恢复过程中一些不必要的麻烦,提高工作效率。
2.硬盘外观检测
对于硬件问题造成的数据丢失,这时我们应首先检查硬盘的电路板有无明显的烧灼痕迹,避免因该硬盘的电路损坏再次造成电脑主机的损坏。
3.加电试盘
如硬盘无明显的电路损坏,把硬盘加电试机,在CMOS中是否能够找到硬盘。
4.根据故障类型选用合适的数据恢复工具
如果能够找到硬盘,就按软件方面使用EasyRecovery之类的软件进行数据恢复。
如果找不到硬盘,就按硬件的方法进行处理。
5.将数据转移安全区域
把找回的数据拷贝到另一块物理硬盘上,一定不能拷贝在同一块硬盘的不同分区。
6.将数据用刻录机刻成光盘,交给用户
数据全部读出后,使用刻录机把用户的数据刻成光盘,交由用户保管,任务完成。
硬盘坏道的简单修复方法
1.首先从最简单的方法入手。
在Windows98的资源管理器中选择硬盘盘符,右击鼠标,在快捷菜单中选择“属性”,在“工具”项中选择“磁盘扫描”对硬盘盘面作完全扫描处理,并且对可能出现的坏簇进行自动修正。
也可以在DOS命令符下使用“SCANDISKX:
/AUTOFIX/SURFACE”对硬盘地对应分区进行检测(X:
请改为对应的分区盘符),将有坏道的簇进行标注。
2.如果在磁盘扫描过程中标注的坏簇很多,经过上述处理后还是不能正常进行系统,这时就需要确定这些坏块是我们通常所说的“逻辑坏道”还是“物理坏道”。
方法是先使用XCOPY命令把自己需要保留的文件拷贝到其他硬盘,再使用“FORMAT X:
/U/C”命令对存在坏道的分区进行强制完全格式化并标记坏块。
在格式化过程中一定要仔细观察格式化过程,看格式化是否能够正常进行,如果格式化顺利,说明原来的坏簇是逻辑坏簇;
如果格式化意外中止或无法继续,说明硬盘存在严重的物理坏道。
这时如果是保内的硬盘,可以找销售商进行处理;
如果是保外的硬盘,我们可以采用下面的方法处理:
最好使用SFDISK软件(当然也可以使用PQMAGIC,不过在实际使用中不是很方便),该软件可以自由分区,从前或从后,主分区,逻辑分区,其他任意的分区格式都可以随意设置。
这时我们记着刚才在使用FORAMT命令格式化时出现故障时的进度数字是X%,根据硬盘的分区情况和当前分区的大小,计算出坏簇的位置,将有坏簇的位置设置成一个区,再把剩余的空间设置为另一个区。
对剩余的分区进行格式化,检查格式化是否正常,如果不正常,将则才设置的分区删除,对坏分区再扩大,再分区,再格式化,直到剩余的分区能够正常格式化,读写正常时为止。
最后把坏的分区设置为空闲,不再使用。
这样我们就可以避开坏道,充分利用硬盘的完好空间。
需要注意的是,不要为了节约硬盘空间而把这个空闲区划分得过于“经济”,而应留有适当的余地。
因为读取坏道周围的“好道”时,可能过于靠近“坏道”,而不明智的坏道具有传染性,距离太近的话,那么过不了多久,硬盘上新的坏道又将出现。
我对一块4.3G的Corner硬盘进行如些处理后,原来的4.3G只剩下不到2G,但是已经使用两年有余,还能够正常启动和工作。
3.对于硬盘0扇区损坏的情况,看起来比较棘手,但也不是无药可救。
我们可以使用PCtoolS9.0中的DE工具,把把损坏的的0磁道屏蔽,而用1磁道取而代之就可以了。
使用该软件修改磁道完成后,只有对硬盘作格式化后才会把分区表的信息写入1道(现在作为0道了)。
我们在使用FORMAT命令格式化C盘或D盘出现的0磁道坏,并不是硬盘的0磁道坏,而是C盘或D盘的引导扇区所在的位置出现了坏道,系统无法正常格式化,这是按第2步所述的处理方法即可解决。
4.不到万不得已,一般不要对硬盘进行“低格”处理。
因为对硬盘进低级格式化,至少有两点不好:
一是磨损盘片,二是对有坏道的硬盘来说,低格可能会加速坏道的扩散。
低格解释:
一般情况下,硬盘只有在出厂前才进行纸级格式化,是对硬盘重新划分扇区的过程。
低格程序通过对硬盘盘面的数据读性性能测试,再次划分扇区并填写扇区间的间隔因子和循环校验码,为硬盘正常读写做准备。
一般情况下,不要对硬盘进行低级格式化,因为该项操作对硬盘的寿命有所影响。
如果硬盘有坏道时,可以使用“FORMAT X:
/U/C” 高级格式化命令对硬盘进行格式化操作,如果坏道能够消除,说明这些坏道是逻辑坏道,不影响正常使用;
如果格式化不能通过或需要花费好长时间才能通过,说明这些坏道是物理坏道,可以通过PQ等软件对坏道进行屏蔽来解决。
即使我们使用低级格式操作也无法解决该问题,并且有可能造成坏道大面积扩大。
如果我们的硬盘经常出现逻辑坏道,通过格式化就可以解决,这时最好检查硬盘的供电电压是否正常。
如果正常,很有可能是硬盘的质量有问题,性能不稳定。
5.最后就是主板CMOS的相关内容要设置合适,特别是对于一些TX芯片组以前的主板,由于没有自动识别硬盘规格的功能,往往会因设置不当而影响硬盘的使用,造成磁盘空间丢失,硬盘速度下降。
硬件故障导致的问题解决
硬件方面的数据恢复一般指针对CMOS不认硬盘,硬盘有异响,硬盘数据读取困难,硬盘有时能够读取数据有时不能读取数据等类似的不稳定故障,需要对硬盘进行芯片级的维修和对硬盘开腔维修或更换盘片之类需要特殊环境和特殊工具的级别的维修。
硬盘自检不到的情况多数都是硬件方面的问题,又可分为主板的硬盘控制器(包括IDE接口断针,短针,接触不良,虚焊等)故障和硬盘本身的故障。
如果问题在主板上,那么数据不会受到破坏,把硬盘接在别的机器上就可以正常读出。
如果问题出在硬盘上,并不是所有的故障都能修复。
硬盘的故障又可细分为控制电路,主轴电机,磁臂电机和磁头,磁头放大器以及盘片,数据接口等。
如果是控制电路的问题,可以在更换控制芯片后,把数据正常读出。
如果是电机、磁头和盘片的故障,一般电脑市场是没有修理能力的,需要返回原厂进行修理,数据恢复可能性很小。
不过,对于业余条件下,硬件方面的维修还是有一些比较简单的办法可以帮助我们找回丢失的数据。
1.CMOS不认硬盘,可能同时伴有硬盘内部异响
故障的表现为硬盘一加电就“咣咣”直响,接入主机后,在CMOS中不能发现硬盘,即使使用DM等软件也找不到硬盘。
造成这种故障的原因一般是硬盘电路板上的寻道电机的控制电路出现问题,造成硬盘在自检初始化时,无法正常准确定位,因此系统不能找到硬盘。
有时候,可能加电后只有硬盘旋转的声音,没有其他异常的响声。
这类故障硬盘的盘面是好的,数据也在,只是硬盘无法正常寻道。
最安全的办法是在市场上寻找同型号的硬盘,更换二者的电路板,就可以把损坏硬盘中的数据安全的读出。
这类故障常见于10G,15G,20G,40G的昆腾硬盘,该类硬盘一般是2000年上市的,在使用三年绝大部分都会出现异响,系统不认硬盘的故障,造成数据丢失。
因此在这儿提醒朋友们,如果你使用的是昆腾的此类硬盘,最好尽早把自己的数据用刻录盘备份下来,或者转移到其他硬盘下,防止不测。
故障出现后的维修方法有两种:
①像上面说的更换盘片;
②因为此类故障为元器件老化所致,并非是硬盘电路烧熔损坏,如果当环境条件合适时,硬盘就有可能正常工作。
所以我们可以为损坏的硬盘提供一个合适温度和湿度的单独空间,以试图读出数据。
我们可以把硬盘放置在一个能够控制温度和小盒子里,变换不同的环境温度,观察主机是否能够找到硬盘。
不过昆腾硬盘还有一种常见的故障,是电路板烧断,当年昆腾曾回收此类硬盘。
2.硬盘数据读取困难
这类故障一般是硬盘的磁臂寻道有问题,移动不畅所致。
原因是寻道电机的轴承使用时间久后缺油阻力增大,转到不灵活造成折。
可以适当提高环境温度,使数据顺利读出。
3.硬盘有时能读有时不能读这类不稳定的故障
这类故障也是因为电路板元器件老化,发热量过大,造成芯片工作不稳定,突出表现为刚开机时硬盘能够正常读取数据,可是使用几十分钟或一两个小时后,硬盘突然异响,系统提示找不到硬盘,造成系统死机。
对于这种问题,我们可以强行降低硬盘电路板的工作温度,使用脱
升级会员 