逻辑修复讲义Word下载.docx

1、1、低格2、清零3、覆盖4、划伤1.5 数据恢复行业的发展方向（08年）目前我国数据修复更多集中于台式机和笔记本电脑等领域，尚处于初级阶段。数据修复高端领域一直是我国的软肋，这也是形成我国数据修复市场产业链最薄弱的一环。据国家信息中心信息安全研究与服务中心的专家介绍：对于数据修复市场来说，领先的技术，洁净的环境，规范的服务，经验丰富的技术人员是进入数据修复高端领域的四大必不可少的条件。而这些软、硬件条件，成为我国大多数数据修复公司进入高端领域迈不过的门槛。虽然几种国产杀毒软件目前也在提供数据修复服务，但毕竟功能有限，很难满足众多用户的需求。数据恢复行业形成的先决条件是厂商开辟硬盘售后服务，导致

2、数据恢复需求的增加。鉴于目前国内数据修复市场鱼龙混杂的不良局面，一些提供硬盘产品的厂商表示了明确的态度，并以自身的技术优势来引导数据修复向正确的方向发展。如主要销售数码相机伴侣的IMAX（驰能）公司，就率先推出了数据修复中心免费为IMAX系列数码伴侣用户提供数据恢复服务。不仅如此，凡是在硬盘使用过程中遇到困难的用户都可以直接联系驰能数据修复中心，在填写相应的维修单据后，以最快的速度获得满意的服务。作为专门提供硬盘数据修复的机构，驰能数据修复中心不仅具备先进的管理经验，完善的工作流程和精准的操作规范，更能满足用户对数据的保密要求。此外，修复中心内建有标准极高的洁净间为在恢复各种存储介质中的数据提

3、供了最安全、放心的环境。当然，数据恢复行业的发展，首先还在于广大用户。现阶段，数据恢复对大多数电脑用户来说可能并不陌生，但由于长期缺乏行业规范，数据恢复在收费和服务水平上给电脑用户形成了不良的行业影响。要解决这一问题，从业者须有强烈的急迫感和品牌意识，尽快将数据恢复带进品牌时代，让用户像买电脑一样选择自己比较信任的数据恢复品牌，数据恢复服务也和“软件”、“硬件”一样成为IT业的重要组成部分。其次，离不开从业队伍水平。长期以来，高收入一直是吸引人们从事数据恢复行业的主要原因，但仅仅用收入来推动这个行业的发展还远远不够。目前，我国的数据恢复行业还处于“正规军”与“游击队”共存的局面，从业者水平相差

4、甚远，而以品牌化为主的发展模式在我国还很少。总的来说，我国的数据恢复业起步较晚，在行业发展方面略显不足，但随着数据恢复行业的不断发展，笔者相信，在未来像“效率源”这样的专业数据恢复服务品牌会更多，从事数据恢复行业的专业人才也会更多。第二章数据如何在介质上存储2.1、电存储技术电存储技术主要指半导体存储器SCM（Semiconductor Memory）。现代的SCM采用超大规模集成电路工艺制成存储芯片，每个芯片中包含相当数量的存储位元，再由若干芯片构成存储器。常见的存储介质包括内存、闪存、SD卡、CF卡、记忆棒、手机存储卡及近年来最新生产的固态硬盘SSD等。2.2、光存储技术 光盘存储器是目前

5、辅存中记录密度最高的存储器。常见的设备有：CD-ROM、CD-RW、DVD-ROM、DVD-RW等。2.3、磁存储技术磁存储技术主要指磁表面存储器MSM（Magnetic Surface Memory）。磁表面存储器是用非磁性金属或塑料做基体，在其表面涂敷、电镀、沉积或溅射一层很薄的高导磁率、硬矩磁材料的磁面，用磁层的两种剩磁状态记录信息“0”和“1”。基体和磁层合称为磁记录介质。依记录介质的形状可分别称为磁卡存储器、磁带存储器、磁鼓存储器和磁盘存储器。计算机中目前广泛使用的MSM是磁盘和磁带存储器。2.3.1硬盘1、硬盘物理结构硬盘基本上由控制电路板和盘体两大部分组成。它是一个集机、电、磁于

6、一体的高精密系统，其盘腔内是密封的。对用户而言不用去关心其内部的构造与运行，只需把标准接口接上即可正常使用。但作为数据恢复人员来说，在遇到有硬件故障的盘体时，我们需要准确的判断故障并针对相应的情况选择正确的处理方式。硬盘的基本结构如图1-1所示。注意：切忌不可在自然条件下随意打开磁盘盘体后盖，该操作需要再百级洁净间以上的环境下进行。控制电路板：是由接口，DPS处理器、ROM、缓存、磁头驱动电路和盘片电机驱动电路等组成 盘体：盘体由盘腔、上盖、盘片电机、盘片、磁头、音圈电机和其他辅助组件组成。 注：该部分详细内容会在后面章节具体介绍，这里先做了解，我们首先关注它的逻辑结构部分。2、硬盘逻辑结构（

7、1）磁道：当磁盘旋转时，磁头若保持在一个位置上，则每个磁头都会在磁盘表面划出一个圆形轨迹，这些圆形的轨迹就叫做磁道。产生：厂家对盘片进行格式化状况：多个同心圆编号：从外向内自0开始（2）扇区：磁盘上的每个磁道被等分为若干个弧段，这些弧段便是磁盘的扇区。每个扇区包括存放512字节的数据段和磁盘管理信息的信息段特点：磁盘驱动器在向磁盘读取和写入数据时，要以扇区为单位。磁道与扇区的概念如图（3）柱面：硬盘通常由重叠的一组盘片组成，每个盘面都被划分为数目相等的磁道，并从外缘的“0”开始编号，具有相同编号的磁道形成一个圆柱，称之为磁盘的柱面。磁盘上数据的存取是沿柱面进行的，写满一个柱面后再转到下一个柱面

8、。所谓硬盘的CHS，即是指Cylinder（柱面）、Head（磁头）、Sector（扇区），如图（4）盘片：每个盘片都有两个面，即上盘面和下盘面，每一个盘面都有一个盘面号，按顺序从上而下自“0”开始依次编号。（5）磁头：每个盘面都会对应一个磁头，盘面号也成为磁头号。（6）容量 数的存储格式数的存储格式，也就是数字的存储顺序。在表示数值的大小时，一个字节（Byte）最大只能表示到255（0xFF），这是远远不够的。为了满足实际使用的需要，通常会使用2个、4个、或者8个字节来表示数值的大小。对于使用多字节表示数值的情况，就存在一个顺序问题。数的存储顺序有两种-Big-endian格式和Little

9、-endian格式。Big-endian：也被译为“大头位序”。字节由最高位向最低位一次存放，高位在前，低位在后。Little-endian：也被译为“小头位序”。即字节由最低位向最高位一次存放，低位在前，高位在后。例：十六进制数“23 48 BA 4C”,使用Big-endian格式存储形式为“23 48 BA 4C”; 而使用Little-endian格式的文件系统中，存放的形式则是“4C BA 48 23”,即低位在前，高位在后。注：不同的文件系统，数的存储格式也会有所不同，对一个文件系统进行分析时，必须清楚它所使用的数值存储格式，否则无法得到正确的数值大小。 数制与码制（用计算器进行数

10、制转换）采用WINHEX进行数制转换的操作。略 容量换算1KB=8bit1M=1024KB1G=1024M1G=200万扇区1扇区=255字节（7）寻址方式 要访问磁盘上的数据时，也需要使用某种寻址方式找到它。硬盘的寻址方式分为两种： C/H/S寻址方式。也就是用Cylinder（柱面）/Head（磁头）/Sector（扇区）三个参数来定位一个唯一的扇区地址。这种寻址方式是过去采用的一种方式，在现在的磁盘管理中已不起决定性作用，所以在此不再做深入的介绍，只需知道这三个参数的含义就可以了。LBA寻址方式。即Logic Block Address（逻辑块地址），又称为“线性寻址模式”。因为C/H/

11、S寻址模式存在的容量限制问题已经无法满足越来越大的数据存储量的要求，所以引入的LBA寻址模式。它将磁盘上所有的扇区依次从“0”开始编号，直到磁盘的最大扇区数减1，如表1-2所示。12.N-1表1-2 LBA寻址方式示意图第三章 硬盘数据组织-windows系统下数据的存储结构低级格式化：磁道、扇区、柱面分区 ：产生MBR，EBR高级格式化：产生DBR，文件系统（FATNTFS）硬盘数据存储区域MBR区 DBR区 FAT区DIR区 DATA区完整的数据结构：FAT16文件格式主：MBR|DBR|FAT1|FAT2|DIR|DATA扩：EBR|DBR|FAT1|FAT2|DIR|DATAFAT32

12、文件格式 MBR|DBR|FAT1|FAT2|DATANTFS文件格式 MBR|DBR|MFT|DATA MFT:主文件列表 3.1主引导记录-MBR1、MBR的作用：当计算机启动并完成自检后，首先会寻找磁盘的MBR扇区并读取其中的引导记录，然后将系统控制权交给它。而对磁盘上数据的总体管理，是经由MBR得以实现的。由此可见，如果MBR损坏，则后续的所有工作都无法继续进行，即决定硬盘是否能启动，帮助用户划分空间，利于管理。2、MBR的产生：分区后产生3、MBR的结构：MBR默认占用64个扇区，实际只用第一个（0扇区），其余62个是保留扇区。4、MBR中各字节的含义：1） 前446个字节：引导信息

13、（所有微软的前446个字节都是一样的）2） 从446往后数64个字节：分区信息（最多只能区分4个主分区，因为只有64个字节一个分区需16个字节，所以只能分4个主分区。多于4个分区的需要扩展分区表示。）3） 55AA：结束标志，如果被破坏会造成盘符增多。5、MBR丢失的现象：不能启动电脑，所有分区丢失，呈现出一块没有任何分区的物理硬盘。6、主引导记录损坏的原因： 1）计算机在运行中突然断电2）计算机在运行中非法关机3）计算机在运行中非法重启4）病毒破坏5）个人误操作删除分区6）安装多个系统引导软件或者采用第三方分区工具7）利用GHOST克隆分区导致分区数据破坏造成。7、恢复原理MBR扇区不随操作

14、系统的不同而不同，也就是说，不同的操作系统可能会存在相同的MBR，只要按照MBR结构重建一个MBR扇区，也就完成了恢复。8、恢复方法1）复制法2）DOS命令法 FDISK/MBR3）初始化法 初始化磁盘命令实验一：恢复主引导记录参见书P398页3.2分区和分区表MBR中从446往后数64个字节是分区信息。1、分区表项中的字节含义0x000x00：1个字节，可引导标志。只有两种可能值，0x80为可引导，0x00为不可引导，其它值为非法值。这个标志并不是必需的，只有在磁盘上有引导分区时，才会将该分区对应的分区表项的该字节置为0x80。另外，如果安装了多操作系统并且使用了多系统引导软件，由用户选择使

15、用哪个分区内的操作系统启动时，多系统引导软件会在用户选择了正确的引导分区后将该分区所对应的分区表项中的引导标志字节置为0x80，以使其可引导。在四个分区表项中，最多只能有一个分区表项被标记为可引导，否则为非法。0x040x04：1个字节，分区类型标志。分区类型标志表明其所描述的分区的类型，如FAT、NTFS、LINUX或者FreeBSD等，不同的操作系统可能会使用不同的分区类型。利用分区类型值，可以达到隐藏某些分区的目的。例如，将NTFS的类型值由0x07改为0x17，重新进入Windows后，Windows将不再为其分配盘符，也就无法在“我的电脑”中看到这个分区。0x080x0B：4个字节，

16、分区起始LBA地址，使用little-endian顺序。这是非常重要的参数如果该参数遭到破坏，操作系统将无法找到文件系统分区或扩展分区的起始位置。0x0C0x0F：4个字节，分区大小扇区数，使用little-endian顺序。实践表明，在手工重写分区表时，在其它参数正确的情况下，分区大小扇区数稍有偏差对导出数据不会产生什么影响。当然，不能偏差太多。不过需要注意，虽然填入的某个分区大小扇区数稍微大于原分区实际大小不会影响本分区内的数据，但如果该分区后还有分区，则可能会因为产生分区交错而导致系统无法正常加载各个分区，甚至造成死机现象的发生。另外，分区之间不跨柱面。2、分区的形式（1）主分区由MBR

17、进行管理（2）扩展分区由EBR进行管理，EBR和MBR一样，默认占用63个扇区,实际只用第一个，其余62个是保留扇区。EBR丢失现象和丢失原理同MBR。（3）和非DOS分区是一种特殊的分区形式，它是将硬盘中的一块区域单独划分出来供另一个操作系统使用，如LINUX和UNIX等。3、分区后产生的数据图形 如：一个主分区，然后是扩展分区中的三个逻辑分区。|MBR|C|EBR|D|EBR|E|EBR|F| 两个主分区，然后是扩展分区中的两个逻辑分区。 |MBR|C|D|EBR|E|EBR|F|4、分区类型参数与常见分区类型下表列出了一些常见的磁盘分区类型：磁盘分区类型标志00空,DOS或windows

18、不允许使用,视为非法5CPriam Edisk01FAT1261Speed Stor02XENIX root63GNU HURD or Sys03XENIX usr64Novell Netware06FAT16 04 表示分区小于32M6507HPFS / NTFS70Disk Secure Mult08AIX75PC/IX09AIX bootable80Old Minix0AOS/2 Boot Manage81Minix/Old Linux0BWin95 FAT3282Linux swap0C83Linux0EWin95 FAT16840s/2 hidden C:0FWin95 Extend

19、ed（大于 8GB）85Linux extended10OPUS86NTFS volume set11Hidden FAT128712Compaq diagmost93Amoeba16HiddenFAT1694Amoeba BBT14Hidden FAT1632MBA0IBM Thinkpad hidden17Hidden HPFS/NTFSA5BSD/38618AST Windows swapA6Open BSD1BHidden FAT32A7NextSTEP1CHidden FAT32 partition（using LBA-mode INT 13 extensions）B7BSDI fs

20、B8BSDI swap1EHidden LBA VFAT partitionBESolaris boot partition24NEC DOSC0DR-DOS/Novell DOS secured partition3CPartition MagicC1DRDOS/sec40Venix 80286C441PPC Perp BootC642NTFS动态分区C7Syrinx4DQNX4.xDBCP/M/CTOS4EQNX4.x 2nd partE1DOS access4FQNX4.x 3rd partE3DOS r/050OnTrack DME4Speedstor51OnTrack DM6 Aux

21、EBBeoS fs（1）FAT16： （File Allocation Table是文件分配表 ），我们以前用的DOS、Windows95都使用FAT16文件系统，现在常用的Windows98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区，但每个分区最多只能有65525个簇（簇是磁盘空间的配置单位）。随着硬盘或分区容量的增大，每个簇所占的空间将越来越大，从而导致硬盘空间的浪费。分区代号：04、06（2）FAT32： 随着大容量硬盘的出现，从Windows?98开始，FAT32开始流行。它是FAT16的增强版本，可以支持大到2TB（2048G）的分区。FAT32使

22、用的簇比FAT16小，从而有效地节约了硬盘空间。0B、0C。（3）NTFS（New technology File System）：微软WindowsNT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS也是以簇为单位来存储数据文件，但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费，还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能，可为用户提供更高层次的安全保证。（4）Ext2: 是 GNU/Linux 系统中标准的文件系统，其特点为存取文件的性能极好，对于中小型的文件更显示出优势，这主要得利于其簇快取

23、层的优良设计。（5）Ext3: ext2 的下一代文件系统，也就是在保留目前 ext2 的格式之下再加上日志功能。日志式文件系统 （Journal File System）系统最大的特色是，它会将整个磁盘的写入动作完整记录在磁盘的某个区域上，以便有需要时可以回朔追踪，不必花时间去检查其他的部分，故重整的工作速度相当快，几乎不需要花时间。（6）Linux Swap：Linux中一种专门用于交换分区的文件系统。Linux使用整个分区来作为交换空间，而不象Windows使用交换文件。一般这个SWAP格式的交换分区是主内存的2倍。（7）动态磁盘分区：（8）扩展分区：05、0F5、一个分区表的解读实例我

24、们用WINHEX的管理模板，也能了解到相关的磁盘分区信息：6、扩展分区管理方式与EBRMBR扇区只包含4个分区表项，最多只能描述4个分区。但是随着硬盘容量的增大，以及用户不断增长的分区数量需求，4个分区已经不能满足需要。为了解决这个问题，又引入了扩展分区的概念。所谓扩展分区，严格地讲它不是一个实际意义的分区，它仅仅是一个指向下一个分区的指针，这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外，仅需要存储一个被称为扩展分区的分区数据，通过这个数据可以找到下一个分区（实际上也就是下一个逻辑磁盘）的起始位置，以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘，在主引导扇区中

25、通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。扩展分区中的每个逻辑驱动器都存在一个类似于MBR的扩展引导记录（ Extended Boot Record, EBR），也有人称之为虚拟MBR或扩展MBR，意思是一样的。EBR的数据结构与MBR很相像，由于EBR不再承担像MBR那样的磁盘加载功能，所以偏移1BE之前的446个字节的引导代码已经被00所代替。但后边的DPT和扇区认证标签55AA还是存在的。在EBR的DPT中，第一个逻辑驱动器的扩展分区表中的第一项指向它自身的引导扇区。第二项指向下一个逻辑驱动器的EBR。如果不存在进一步的逻辑驱动器，第二项就不会使用，而且被记录成一系列零。如果有附加的逻辑驱动器，那么第二个逻辑驱动器的扩展分区表的第一项会指向它本身的引导扇区。第二个逻辑驱动器的扩展分区表的第二项指向下一个逻辑驱动器的EBR。扩展分区表的第三项和第四项永远都不会被使用。如此循环下去，直到没有新的逻辑驱动器出现。需要特别注意的是，由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的，因此，若单向链表发生问题，将导致逻辑磁盘的丢失。实验二：1个主分区，