逻辑修复讲义.docx
《逻辑修复讲义.docx》由会员分享,可在线阅读,更多相关《逻辑修复讲义.docx(73页珍藏版)》请在冰豆网上搜索。
逻辑修复讲义
1第一章数据恢复技术总论
1.1数据的内涵
数据——这门课所说的是计算机数据,不仅包括计算机文件系统或数据库系统中存储的各种数据、正文、图形、图像、声音等形式的多媒体数据文件、软件或各种文档资料,也包括存放或管理这些信息的硬件信息,如计算机硬件及其网络地址、网络结构、网络服务等。
1.2数据恢复的定义
1、数据恢复—— 所谓数据恢复是指由于各种原因导致数据损失时把保留在介质上的数据重新恢复的过程。
2、可以恢复哪些数据——已丢失的文件如已清空回收站的文件;物理损伤的磁盘数据如盘片受损无法读取;恢复不同操作系统的数据
3、根据数据出现的问题,数据恢复分为:
软恢复和硬恢复。
软恢复——其故障原因不是硬件失效造成的,如病毒感染、误操作、误格式化、误分区、误克隆、网络删除、操作时断电等,软件现象一般表现为无操作系统,读盘错误,文件找不到,打不开、报告无分区、无格式化、密码丢失、乱码等;硬恢复——由硬件损伤或失效造成的数据恢复,如磁道损坏、磁盘划伤、磁组损坏、主电机损坏、电路板芯片及其他元器件烧坏等,硬件现象一般表现为不认盘,有种“咔嚓咔嚓”的磁组撞击声或电机步转,或通电后无任何声音等。
1.3数据恢复的服务范围
1、恶意的程序
大家最熟悉的恶意程序就是病毒,很多人认为病毒对数据的影响仅仅是病毒的破坏性,这是不正确的,实际上病毒的感染本身就是一种破坏,一个病毒无论他借助修改你的引导区、可执行程序还是OFFICE文档,他都把你正常的数据做了改变,当然,你可能举良性伴随性病毒这种极端的例子。
但毫无疑问,他同样对数据构成了破坏,至少他减少了你的硬盘的可用空间。
同时,恶意的程序还包括特洛伊木马,逻辑炸弹等等。
恶意的程序造成的破坏可能是最难恢复的。
2、其他恶意的破坏
不借助病毒或者其他的工具,只要拥有足够的权限,任何系统都有一定的“自毁”能力。
比如依靠系统正常的删除、移动、格式化等操作也可以达到破坏数据的目的。
随着网络技术的发展,威胁已经不仅仅限于本机。
3、误操作
很多数据丢失源于使用者的操作失误,比如误删除,误格式化等等。
4、操作系统或应用软件的错误
随着操作系统和应用程序的代码量的成倍增加,BUG也在不断增加。
我们最常用的桌面系统WIN9X就是一个BUG大王。
操作系统和应用软件的错误,往往会给人的工作带来一些不可预期的影响。
比如前阶段,发现FRONTPAGE98的一个BUG,触发后会把你目录下的文件全部删除,另外,象著名的游戏神话II,出现了如不安装在默认目录中可能会使你丢失扩展分区这样严重的问题。
5、加密和权限
尽管加密和权限设置是你保护数据的有效手段,但遗忘密码也会带来很大的问题。
6、掉电
机器突然掉电的后果可能不仅仅是内存数据的丢失,也可能造成磁盘数据的丢失,或导致系统无法正常启动。
7、内存溢出
导致内存溢出或者进程非法终止等低层错误的原因很多,他就象掉电一样,会使你损失当前的工作。
8、升级
软件系统升级有时会带来一些问题,后面我们将举相应例子。
9、硬件损坏和失窃
这可能是最严重的威胁之一。
有时这把你恢复数据的可能降低为零。
1.4不可恢复的数据
1、低格
2、清零
3、覆盖
4、划伤
1.5数据恢复行业的发展方向
(08年)目前我国数据修复更多集中于台式机和笔记本电脑等领域,尚处于初级阶段。
数据修复高端领域一直是我国的软肋,这也是形成我国数据修复市场产业链最薄弱的一环。
据国家信息中心信息安全研究与服务中心的专家介绍:
对于数据修复市场来说,领先的技术,洁净的环境,规范的服务,经验丰富的技术人员是进入数据修复高端领域的四大必不可少的条件。
而这些软、硬件条件,成为我国大多数数据修复公司进入高端领域迈不过的门槛。
虽然几种国产杀毒软件目前也在提供数据修复服务,但毕竟功能有限,很难满足众多用户的需求。
数据恢复行业形成的先决条件是厂商开辟硬盘售后服务,导致数据恢复需求的增加。
鉴于目前国内数据修复市场鱼龙混杂的不良局面,一些提供硬盘产品的厂商表示了明确的态度,并以自身的技术优势来引导数据修复向正确的方向发展。
如主要销售数码相机伴侣的IMAX(驰能)公司,就率先推出了数据修复中心免费为IMAX系列数码伴侣用户提供数据恢复服务。
不仅如此,凡是在硬盘使用过程中遇到困难的用户都可以直接联系驰能数据修复中心,在填写相应的维修单据后,以最快的速度获得满意的服务。
作为专门提供硬盘数据修复的机构,驰能数据修复中心不仅具备先进的管理经验,完善的工作流程和精准的操作规范,更能满足用户对数据的保密要求。
此外,修复中心内建有标准极高的洁净间为在恢复各种存储介质中的数据提供了最安全、放心的环境。
当然,数据恢复行业的发展,首先还在于广大用户。
现阶段,数据恢复对大多数电脑用户来说可能并不陌生,但由于长期缺乏行业规范,数据恢复在收费和服务水平上给电脑用户形成了不良的行业影响。
要解决这一问题,从业者须有强烈的急迫感和品牌意识,尽快将数据恢复带进品牌时代,让用户像买电脑一样选择自己比较信任的数据恢复品牌,数据恢复服务也和“软件”、“硬件”一样成为IT业的重要组成部分。
其次,离不开从业队伍水平。
长期以来,高收入一直是吸引人们从事数据恢复行业的主要原因,但仅仅用收入来推动这个行业的发展还远远不够。
目前,我国的数据恢复行业还处于“正规军”与“游击队”共存的局面,从业者水平相差甚远,而以品牌化为主的发展模式在我国还很少。
总的来说,我国的数据恢复业起步较晚,在行业发展方面略显不足,但随着数据恢复行业的不断发展,笔者相信,在未来像“效率源”这样的专业数据恢复服务品牌会更多,从事数据恢复行业的专业人才也会更多。
第二章数据如何在介质上存储
2.1、电存储技术
电存储技术主要指半导体存储器SCM(SemiconductorMemory)。
现代的SCM采用超大规模集成电路工艺制成存储芯片,每个芯片中包含相当数量的存储位元,再由若干芯片构成存储器。
常见的存储介质包括内存、闪存、SD卡、CF卡、记忆棒、手机存储卡及近年来最新生产的固态硬盘SSD等。
2.2、光存储技术
光盘存储器是目前辅存中记录密度最高的存储器。
常见的设备有:
CD-ROM、CD-RW、DVD-ROM、DVD-RW等。
2.3、磁存储技术
磁存储技术主要指磁表面存储器MSM(MagneticSurfaceMemory)。
磁表面存储器是用非磁性金属或塑料做基体,在其表面涂敷、电镀、沉积或溅射一层很薄的高导磁率、硬矩磁材料的磁面,用磁层的两种剩磁状态记录信息“0”和“1”。
基体和磁层合称为磁记录介质。
依记录介质的形状可分别称为磁卡存储器、磁带存储器、磁鼓存储器和磁盘存储器。
计算机中目前广泛使用的MSM是磁盘和磁带存储器。
2.3.1硬盘
1、硬盘物理结构
硬盘基本上由控制电路板和盘体两大部分组成。
它是一个集机、电、磁于一体的高精密系统,其盘腔内是密封的。
对用户而言不用去关心其内部的构造与运行,只需把标准接口接上即可正常使用。
但作为数据恢复人员来说,在遇到有硬件故障的盘体时,我们需要准确的判断故障并针对相应的情况选择正确的处理方式。
硬盘的基本结构如图1-1所示。
注意:
切忌不可在自然条件下随意打开磁盘盘体后盖,该操作需要再百级洁净间以上的环境下进行。
控制电路板:
是由接口,DPS处理器、ROM、缓存、磁头驱动电路和盘片电机驱动电路等组成
盘体:
盘体由盘腔、上盖、盘片电机、盘片、磁头、音圈电机和其他辅助组件组成。
注:
该部分详细内容会在后面章节具体介绍,这里先做了解,我们首先关注它的逻辑结构部分。
2、硬盘逻辑结构
(1)磁道:
当磁盘旋转时,磁头若保持在一个位置上,则每个磁头都会在磁盘表面划出一个圆形轨迹,这些圆形的轨迹就叫做磁道。
产生:
厂家对盘片进行格式化
状况:
多个同心圆
编号:
从外向内自0开始
(2)扇区:
磁盘上的每个磁道被等分为若干个弧段,这些弧段便是磁盘的扇区。
状况:
每个扇区包括存放512字节的数据段和磁盘管理信息的信息段
特点:
磁盘驱动器在向磁盘读取和写入数据时,要以扇区为单位。
磁道与扇区的概念如图
(3)柱面:
硬盘通常由重叠的一组盘片组成,每个盘面都被划分为数目相等的磁道,并从外缘的“0”开始编号,具有相同编号的磁道形成一个圆柱,称之为磁盘的柱面。
特点:
磁盘上数据的存取是沿柱面进行的,写满一个柱面后再转到下一个柱面。
所谓硬盘的CHS,即是指Cylinder(柱面)、Head(磁头)、Sector(扇区),如图
(4)盘片:
每个盘片都有两个面,即上盘面和下盘面,每一个盘面都有一个盘面号,按顺序从上而下自“0”开始依次编号。
(5)磁头:
每个盘面都会对应一个磁头,盘面号也成为磁头号。
(6)容量
●数的存储格式
数的存储格式,也就是数字的存储顺序。
在表示数值的大小时,一个字节(Byte)最大只能表示到255(0xFF),这是远远不够的。
为了满足实际使用的需要,通常会使用2个、4个、或者8个字节来表示数值的大小。
对于使用多字节表示数值的情况,就存在一个顺序问题。
数的存储顺序有两种----Big-endian格式和Little-endian格式。
Big-endian:
也被译为“大头位序”。
字节由最高位向最低位一次存放,高位在前,低位在后。
Little-endian:
也被译为“小头位序”。
即字节由最低位向最高位一次存放,低位在前,高位在后。
例:
十六进制数“2348BA4C”,使用Big-endian格式存储形式为“2348BA4C”;而使用Little-endian格式的文件系统中,存放的形式则是“4CBA4823”,即低位在前,高位在后。
注:
不同的文件系统,数的存储格式也会有所不同,对一个文件系统进行分析时,必须清楚它所使用的数值存储格式,否则无法得到正确的数值大小。
●数制与码制(用计算器进行数制转换)
采用WINHEX进行数制转换的操作。
略
●容量换算
1KB=8bit
1M=1024KB
1G=1024M
1G=200万扇区
1扇区=255字节
(7)寻址方式
要访问磁盘上的数据时,也需要使用某种寻址方式找到它。
硬盘的寻址方式分为两种:
C/H/S寻址方式。
也就是用Cylinder(柱面)/Head(磁头)/Sector(扇区)三个参数来定位一个唯一的扇区地址。
这种寻址方式是过去采用的一种方式,在现在的磁盘管理中已不起决定性作用,所以在此不再做深入的介绍,只需知道这三个参数的含义就可以了。
LBA寻址方式。
即LogicBlockAddress(逻辑块地址),又称为“线性寻址模式”。
因为C/H/S寻址模式存在的容量限制问题已经无法满足越来越大的数据存储量的要求,所以引入的LBA寻址模式。
它将磁盘上所有的扇区依次从“0”开始编号,直到磁盘的最大扇区数减1,如表1-2所示。
0
1
2
……………………………………………………………………..
N-1
表1-2LBA寻址方式示意图
第三章硬盘数据组织-windows系统下数据的存储结构
低级格式化:
磁道、扇区、柱面
分区:
产生MBR,EBR
高级格式化:
产生DBR,文件系统(FAT\NTFS)
硬盘数据存储区域
MBR区
DBR区
FAT区
DIR区
DATA区
完整的数据结构:
FAT16文件格式
主:
MBR|DBR|FAT1|FAT2|DIR|DATA
扩:
EBR|DBR|FAT1|FAT2|DIR|DATA
FAT32文件格式
MBR|DBR|FAT1|FAT2|DATA
NTFS文件格式
MBR|DBR|MFT|DATAMFT:
主文件列表
3.1主引导记录-MBR
1、MBR的作用:
当计算机启动并完成自检后,首先会寻找磁盘的MBR扇区并读取其中的引导记录,然后将系统控制权交给它。
而对磁盘上数据的总体管理,是经由MBR得以实现的。
由此可见,如果MBR损坏,则后续的所有工作都无法继续进行,即决定硬盘是否能启动,帮助用户划分空间,利于管理。
2、MBR的产生:
分区后产生
3、MBR的结构:
MBR默认占用64个扇区,实际只用第一个(0扇区),其余62个是保留扇区。
4、MBR中各字节的含义:
1)前446个字节:
引导信息(所有微软的前446个字节都是一样的)
2)从446往后数64个字节:
分区信息(最多只能区分4个主分区,因为只有64个字节一个分区需16个字节,所以只能分4个主分区。
多于4个分区的需要扩展分区表示。
)
3)55AA:
结束标志,如果被破坏会造成盘符增多。
5、MBR丢失的现象:
不能启动电脑,所有分区丢失,呈现出一块没有任何分区的物理硬盘。
6、主引导记录损坏的原因:
1)计算机在运行中突然断电
2)计算机在运行中非法关机
3)计算机在运行中非法重启
4)病毒破坏
5)个人误操作删除分区
6)安装多个系统引导软件或者采用第三方分区工具
7)利用GHOST克隆分区导致分区数据破坏造成。
7、恢复原理
MBR扇区不随操作系统的不同而不同,也就是说,不同的操作系统可能会存在相同的MBR,只要按照MBR结构重建一个MBR扇区,也就完成了恢复。
8、恢复方法
1)复制法
2)DOS命令法FDISK/MBR
3)初始化法初始化磁盘命令
实验一:
恢复主引导记录
参见书P398页
3.2分区和分区表
MBR中从446往后数64个字节是分区信息。
1、分区表项中的字节含义
0x00~0x00:
1个字节,可引导标志。
只有两种可能值,0x80为可引导,0x00为不可引导,其它值为非法值。
这个标志并不是必需的,只有在磁盘上有引导分区时,才会将该分区对应的分区表项的该字节置为0x80。
另外,如果安装了多操作系统并且使用了多系统引导软件,由用户选择使用哪个分区内的操作系统启动时,多系统引导软件会在用户选择了正确的引导分区后将该分区所对应的分区表项中的引导标志字节置为0x80,以使其可引导。
注意:
在四个分区表项中,最多只能有一个分区表项被标记为可引导,否则为非法。
0x04~0x04:
1个字节,分区类型标志。
分区类型标志表明其所描述的分区的类型,如FAT、NTFS、LINUX或者FreeBSD等,不同的操作系统可能会使用不同的分区类型。
利用分区类型值,可以达到隐藏某些分区的目的。
例如,将NTFS的类型值由0x07改为0x17,重新进入Windows后,Windows将不再为其分配盘符,也就无法在“我的电脑”中看到这个分区。
0x08~0x0B:
4个字节,分区起始LBA地址,使用little-endian顺序。
这是非常重要的参数如果该参数遭到破坏,操作系统将无法找到文件系统分区或扩展分区的起始位置。
0x0C~0x0F:
4个字节,分区大小扇区数,使用little-endian顺序。
注意:
实践表明,在手工重写分区表时,在其它参数正确的情况下,分区大小扇区数稍有偏差对导出数据不会产生什么影响。
当然,不能偏差太多。
不过需要注意,虽然填入的某个分区大小扇区数稍微大于原分区实际大小不会影响本分区内的数据,但如果该分区后还有分区,则可能会因为产生分区交错而导致系统无法正常加载各个分区,甚至造成死机现象的发生。
另外,分区之间不跨柱面。
2、分区的形式
(1)主分区
由MBR进行管理
(2)扩展分区
由EBR进行管理,EBR和MBR一样,默认占用63个扇区,实际只用第一个,其余62个是保留扇区。
EBR丢失现象和丢失原理同MBR。
(3)和非DOS分区
是一种特殊的分区形式,它是将硬盘中的一块区域单独划分出来供另一个操作系统使用,如LINUX和UNIX等。
3、分区后产生的数据图形
如:
一个主分区,然后是扩展分区中的三个逻辑分区。
|MBR|C|EBR|D|EBR|E|EBR|F|
两个主分区,然后是扩展分区中的两个逻辑分区。
|MBR|C|D|EBR|E|EBR|F|
4、分区类型参数与常见分区类型
分区类型标志表明其所描述的分区的类型,如FAT、NTFS、LINUX或者FreeBSD等,不同的操作系统可能会使用不同的分区类型。
利用分区类型值,可以达到隐藏某些分区的目的。
例如,将NTFS的类型值由0x07改为0x17,重新进入Windows后,Windows将不再为其分配盘符,也就无法在“我的电脑”中看到这个分区。
下表列出了一些常见的磁盘分区类型:
磁盘分区类型标志
00
空,DOS或windows不允许使用,视为非法
5C
PriamEdisk
01
FAT12
61
SpeedStor
02
XENIXroot
63
GNUHURDorSys
03
XENIXusr
64
NovellNetware
06
FAT1604表示分区小于32M
65
NovellNetware
07
HPFS/NTFS
70
DiskSecureMult
08
AIX
75
PC/IX
09
AIXbootable
80
OldMinix
0A
OS/2BootManage
81
Minix/OldLinux
0B
Win95FAT32
82
Linuxswap
0C
Win95FAT32
83
Linux
0E
Win95FAT16
84
0s/2hiddenC:
0F
Win95Extended(大于8GB)
85
Linuxextended
10
OPUS
86
NTFSvolumeset
11
HiddenFAT12
87
NTFSvolumeset
12
Compaqdiagmost
93
Amoeba
16
HiddenFAT16
94
AmoebaBBT
14
HiddenFAT16<32MB
A0
IBMThinkpadhidden
17
HiddenHPFS/NTFS
A5
BSD/386
18
ASTWindowsswap
A6
OpenBSD
1B
HiddenFAT32
A7
NextSTEP
1C
HiddenFAT32partition
(usingLBA-modeINT13extensions)
B7
BSDIfs
B8
BSDIswap
1E
HiddenLBAVFATpartition
BE
Solarisbootpartition
24
NECDOS
C0
DR-DOS/NovellDOSsecuredpartition
3C
PartitionMagic
C1
DRDOS/sec
40
Venix80286
C4
DRDOS/sec
41
PPCPerpBoot
C6
DRDOS/sec
42
NTFS动态分区
C7
Syrinx
4D
QNX4.x
DB
CP/M/CTOS
4E
QNX4.x2ndpart
E1
DOSaccess
4F
QNX4.x3rdpart
E3
DOSr/0
50
OnTrackDM
E4
Speedstor
51
OnTrackDM6Aux
EB
BeoSfs
(1)FAT16:
(FileAllocationTable是"文件分配表"),我们以前用的DOS、Windows95都使用FAT16文件系统,现在常用的Windows98/2000/XP等系统均支持FAT16文件系统。
它最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。
随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。
分区代号:
04、06
(2)FAT32:
随着大容量硬盘的出现,从Windows?
98开始,FAT32开始流行。
它是FAT16的增强版本,可以支持大到2TB(2048G)的分区。
FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。
分区代号:
0B、0C。
(3)NTFS(NewtechnologyFileSystem):
微软WindowsNT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。
NTFS也是以簇为单位来存储数据文件,但NTFS中簇的大小并不依赖于磁盘或分区的大小。
簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。
NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。
分区代号:
07
(4)Ext2:
是GNU/Linux系统中标准的文件系统,其特点为存取文件的性能极好,对于中小型的文件更显示出优势,这主要得利于其簇快取层的优良设计。
分区代号:
83
(5)Ext3:
ext2的下一代文件系统,也就是在保留目前ext2的格式之下再加上日志功能。
日志式文件系统(JournalFileSystem)系统最大的特色是,它会将整个磁盘的写入动作完整记录在磁盘的某个区域上,以便有需要时可以回朔追踪,不必花时间去检查其他的部分,故重整的工作速度相当快,几乎不需要花时间。
分区代号:
83
(6)LinuxSwap:
Linux中一种专门用于交换分区的文件系统。
Linux使用整个分区来作为交换空间,而不象Windows使用交换文件。
一般这个SWAP格式的交换分区是主内存的2倍。
分区代号:
83
(7)动态磁盘分区:
42
(8)扩展分区:
05、0F
5、一个分区表的解读实例
我们用WINHEX的管理模板,也能了解到相关的磁盘分区信息:
6、扩展分区管理方式与EBR
MBR扇区只包含4个分区表项,最多只能描述4个分区。
但是随着硬盘容量的增大,以及用户不断增长的分区数量需求,4个分区已经不能满足需要。
为了解决这个问题,又引入了扩展分区的概念。
所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。
这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个数据可以找到下一个分区(实际上也就是下一个逻辑磁盘)的起始位置,以此起始位置类推可以找到所有的分区。
无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。
扩展分区中的每个逻辑驱动器都存在一个类似于MBR的扩展引导记录(ExtendedBootRecord,EBR),也有人称之为虚拟MBR或扩展MBR,意思是一样的。
EBR的数据结构与MBR很相像,由于EBR不再承担像MBR那样的磁盘加载功能,所以偏移1BE之前的446个字节的引导代码已经被00所代替。
但后边的DPT和扇区认证标签55AA还是存在的。
在EBR的DPT中,第一个逻辑驱动器的扩展分区表中的第一项指向它自身的引导扇区。
第二项指向下一个逻辑驱动器的EBR。
如果不存在进一步的逻辑驱动器,第二项就不会使用,而且被记录成一系列零。
如果有附加的逻辑驱动器,那么第二个逻辑驱动器的扩展分区表的第一项会指向它本身的引导扇区。
第二个逻辑驱动器的扩展分区表的第二项指向下一个逻辑驱动器的EBR。
扩展分区表的第三项和第四项永远都不会被使用。
如此循环下去,直到没有新的逻辑驱动器出现。
需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢失。
实验二:
1个主分区,