網站首頁    
 
公司介紹
公司簡介
總裁致詞
歷史沿革
公司資質
自主創新
業界評述
工作機會 
社會招聘
校園招聘
聯系方式
營銷中心
服務中心
研發基地
數據恢復
中國深網技術研究中心
聯系我們
企業文化
最新通訊
    硬盤數據恢復原理與方法
發表時間:2011/9/8 8:00:06  點擊:2525

大家可能都遇到過這樣的事情,上午剛剛清空垃圾站,下午卻突然想起其中有個文件特別重要,這可怎么辦?還有可能系統被病毒破壞,硬盤的分區表或文件分配表被病毒改寫,但是硬盤上存著你數年的心血。這時我們就需要對數據進行恢復,而國內也有不少專門從事數據恢復業務的專業公司。不過我們的硬盤發生文件被誤刪除,分區丟失,病毒破壞等情況,通過一些數據恢復軟件自己就能夠解決。下面就詳細介紹一下數據恢復的原理和一些常用的數據恢復方法。

硬盤使用和維護注意事項

  1.定期使用Windows自帶的磁盤整理工具Defrag或其他如Vopt、NortonSpeed等磁盤碎片整理優化工具進行整理你的硬盤數據,一般一個月整理一次,可以提高硬盤訪問速度。即使發生不測,也可提高你的數據文件恢復概率!

  2.硬盤是機電一體化的高度精密設備,盡管現在硬盤抗沖擊力大大提高,但為了安全和保險必須輕拿輕放;在主機內安裝時硬盤的四個固定位都應該使用螺絲固定牢靠。開機后絕對不能移動主機。關機1分鐘硬盤馬達停轉后,方可進行搬動,這也是原來的小硬盤專門有一個磁頭歸位程序,提供搬運機器時使用的原因。硬盤指示燈正在閃亮時不可斷電關機,如此操作有可能會損壞硬盤。

  3.正常硬盤運行時噪聲很小,會有硬盤讀盤時均勻的“嗒嗒”聲。若你的硬盤運行時的聲響較大或不正常,這一般是故障的前兆,此時宜及時備份重要數據以防不測!

  4.使用GHOST作恢復分區時,一定要選對目標分區,否則可能導致分區丟失或重要數據不能恢復。建議恢復分區前,對分區加Lable,這樣能分清目標分區,不會導致你選錯目標分區造成不必要的損失。

  5.在使用Format命令格式化硬盤時,最好先使用Fdisk/Status命令查看一下硬盤的分區信息,是否存在NTFS分區,防止誤格式化丟失數據。

  6.要充分利用分區的特性,數據文件一般不要放在C區和系統區,因為C區和系統區屬事故多發區。

硬盤數據丟失的原因

  1.軟件故障的類型

  受病毒感染;誤格式化或誤分區;誤克隆;誤刪除或覆蓋;黑客軟件人為破壞;零磁道損壞;硬盤邏輯鎖;操作時斷電;意外電磁干擾造成數據丟失或破壞;系統錯誤或癱瘓造成文件丟失或破壞。

  軟件現象一般表現為操作系統丟失,無法正常啟動系統,磁盤讀寫錯誤,找不到所需要的文件、文件打不開、文件打開后亂碼,硬盤沒有分區、提示某個硬盤分區沒有格式化等。

  2.硬件故障的類型

  磁盤劃傷;磁頭變形;磁臂斷裂;磁頭放大器損壞;芯片組或其它元器件損壞。

  硬件故障一般表現為系統不認硬盤,常有一種“咔嚓咔嚓”的磁組撞擊聲或電機不轉、通電后無任何聲音、磁頭定們不準造成讀寫錯誤等現象。一些具體的表現如下:

  ①開機時,系統沒有找到硬盤,同時也沒有任何錯誤提示。注意有的主板在硬盤出現故障時會給出相應的提示信息和提示代碼。我們在排除硬盤的供電正常,電源線連接無誤,數據線安裝正確,數據線沒有質量問題時,也就可以確定是硬盤壞了。

  ②啟動系統時間特別長,或讀取某個文件,運行某個軟件時經常出錯,或者要經過很長時間才能操作成功,其間硬盤不斷讀盤并發出刺耳的雜音,這種現象意味著硬盤的盤面或硬盤的定位機構出現問題。

  ③經常出現系統癱瘓或者死機藍屏,但是硬盤重新格式化后,再次安裝系統一切正常。這種情況是因為硬盤的磁頭放大器和數據糾錯電路性能不穩定,造成數據經常丟失。

  ④開機時系統不能通過硬盤引導,軟盤啟動后可以轉到硬盤盤符,但無法進入,用SYS命令傳導系統也不能成功。這種情況比較嚴重,因為很有可能是硬盤的引導扇區出了問題。或者是無法重新分區,也可能是重新分區后的信息無法寫入主引導扇區。

  ⑤一直能夠正常使用,但是突然有一天,硬盤在正常使用過程中出現異響,接著找不到硬盤。但是在停機一段時間以后,再次開機時還能找到硬盤,并且能夠正常啟動系統。當出現這種情況時,如果硬盤上有重要數據時,一定在最短的時間內把數據備份出來,防止硬盤徹底報廢時丟失重要數據。

 

磁盤數據格式的相關知識    

  上述的各種原因都可能導致硬盤或軟盤上的數據損壞或丟失,使部分(或全部)數據無法讀出和使用。數據恢復就是使用各種軟件和硬件的技術方法把數據重新找回,使寶貴的信息得以重新使用。

  說到數據恢復,我們就不得不提到硬盤的數據結構、文件的存儲原理,甚至操作系統的啟動流程,這些是你在恢復硬盤數據時必須使用的基本知識。即使你不需要恢復數據,了解這些知識(即使只是稍微多知道一些),對于你平時的電腦操作和應用也是很有幫助的。

  硬盤的文件系統結構

  初買來一塊硬盤,我們是沒有辦法使用的,你需要將它分區、格式化,然后再安裝上操作系統才可以使用。就拿我們一直沿用到現在的Win9x/Me系列來說,我們一般要將硬盤分成主引導扇區、操作系統引導扇區、FAT表、DIR目錄區和Data數據區等五部分。我們通常所說的主引導扇區MBR在一個硬盤中是是唯一的,MBR區的內容只有在硬盤啟動時才讀取其內容,然后駐留內存。其它幾項內容隨你的硬盤分區數的多少而異。

  主引導扇區(MBR)

  主引導扇區位于整個硬盤的0磁道0柱面1扇區,包括硬盤主引導記錄MBR(MainBootRecord)和分區表DPT(DiskPartitionTable)。其中主引導記錄的作用就是檢查分區表是否正確以及判別哪個分區為可引導分區,并在程序結束時把該分區的啟動程序(也就是操作系統引導扇區)調入內存加以執行。主引導區的數據結構如(圖1)所示。


圖1

  分區表(DPT)

  在主引導區中,從地址BE開始,到FD結束為止的64個字節中的內容就是通常所說的分區表。分區表以80H或00H為開始標志,以55AAH為結束標志,每個分區占用16個字節,一個硬盤最多只能分成四個主分區,其中擴展分區也是一個主分區。隨著硬盤容量的迅速擴大,引入的擴展分區可以不受四個主分區的限制,把硬盤分區數擴展到“Z”。

  值得一提的是,MBR是由分區程序(例如DOS的Fdisk.exe)產生的,不同的操作系統可能這個扇區的內容代碼是不相同,但是實現的功能只有一個,使其中的一個活動分區獲得控制區,正常啟動系統。

  硬盤的分區結構如(圖2)所示。


圖2

  (在D盤,E盤前面都有一個粉紅色的扇區,就是所謂的擴展分區表所在的位置,其后的62個扇區空閑,共同占有一個隱含磁道。)

  主分區是一個比較單純的分區,通常位于硬盤的最前面一塊區域中,構成邏輯C磁盤。在主分區中,不允許再建立其它邏輯磁盤。也可以通過分區軟件,在分區的最后建立主分區,或在磁盤的中部建立主分區。

  擴展分區的概念則比較復雜,也是造成分區和邏輯磁盤混淆的主要原因。由于硬盤僅僅為分區表保留了64個字節的存儲空間,而每個分區的參數占據16個字節,故主引導扇區中總計可以存儲4個分區的數據。操作系統只允許存儲4個分區的數據,如果說邏輯磁盤就是分區,則系統最多只允許4個邏輯磁盤。對于具體的應用,4個邏輯磁盤往往不能滿足實際需求。為了建立更多的邏輯磁盤供操作系統使用,系統引入了擴展分區的概念。

  所謂擴展分區,嚴格地講它不是一個實際意義的分區,它僅僅是一個指向下一個分區的指針,這種指針結構將形成一個單向鏈表。這樣在主引導扇區中除了主分區外,僅需要存儲一個被稱為擴展分區的分區數據,通過這個擴展分區的數據可以找到下一個分區(實際上也就是下一個邏輯磁盤)的起始位置,以此起始位置類推可以找到所有的分區。無論系統中建立多少個邏輯磁盤,在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁盤。

  需要特別注意的是,由于主分區之后的各個分區是通過一種單向鏈表的結構來實現鏈接的,因此,若單向鏈表發生問題,將導致邏輯磁盤的丟失。這就是當硬盤被CIH病毒破壞后,我們可以通過KV3000的F10功能來找到丟失的D,E及以后的邏輯分區的原因。

  操作系統引導扇區(OBR)

  OBR(OSBootRecord)即操作系統引導扇區,通常位于硬盤的0磁道1柱面1扇區(這是對于DOS來說的,對于那些以多重引導方式啟動的系統則位于相應的主分區/擴展分區的第一個扇區),是操作系統可直接訪問的第一個扇區,它也包括一個引導程序和一個被稱為BPB(BIOSParameterBlock)的本分區參數記錄表。其實每個邏輯分區都有一個OBR,其參數視分區的大小、操作系統的類別而有所不同。

  引導程序的主要任務在當根目錄中尋找系統文件IO.SYS,MSDOS.SYS和WINBOOT.SYS三個文件,如果存在,就把IO.SYS文件讀入內存,并移交控制權予該文件。在WIN98的系統中,沒有MSDOS.sys文件,系統能夠正常啟動,但是無法進入桌面;如果沒有COMMAND.COM文件,能夠正常啟動到桌面,但是無法進入DOS字符方式。

 

  BPB參數塊:記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數、分配單元(AllocationUnit,以前也稱之為簇)的大小等重要參數。OBR由高級格式化程序產生(例如DOS的Format.com)。

  C盤的數據結構如(圖3)所示。


圖3

  文件分配表(FAT)

  FAT(FileAllocationTable)即文件分配表,是DOS/Win9x系統的文件尋址系統。為了防止意外損壞,FAT一般做兩個(也可以設置為一個),第二FAT為第一FAT的備份,FAT區緊接在OBR之后(對于FAT32格式,位置是從引導扇區開始的第32個扇區就是第一個FAT表的位置),其大小由這個分區的空間大小及文件分配單元的大小決定。

  隨著硬盤容量的迅速發展,Microsoft的DOS及Windows也先后采用我們所熟悉的FAT12、FAT16和FAT32格式。不過WindowsNT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式,不同于FAT文件格式。

  FAT12是使用12BIT來表示簇的位置,最大容量32M,FAT16是使用兩個字節16BIT位來表示簇的位置,分區最大容量2G,而FAT32采用4個字節來表示簇的位置,分區最大容量65G。

  目錄區(DIR)

  DIR是Directory即根目錄區的簡寫,在FAT12和FAT16格式中,DIR緊接在第二FAT表之后,而在FAT32格式中,根目錄區的位置可以在分區中的任意位置,其起始位置是由引導扇區給出的。單有FAT表還不能確定文件在磁盤中的具體位置,只有FAT表和DIR區配合使用,才能準確定位文件的確切位置。

  DIR記錄著每個文件(目錄)的文件名,擴展名,是否支持長文件各,起始單元(這是最重要的)、文件的屬性,大小,創建日期,修改日期等住處內容。操作系統在讀寫文件時,根據DIR中的起始單元,結合FAT表就可以知道文件在磁盤的具體位置,然后順序讀取每個簇的內容就可以了。

  數據區(DATA)

  在DIR區之后,才是真正意義上的數據存儲區,即DATA區。

  DATA雖然占據了硬盤的絕大部分空間,但沒有了前面的各部分,它對于我們來說,也只能是一些枯燥的二進制代碼,沒有任何意義。

  注意:我們通常所說的格式化程序(指高級格式化,例如DOS下的Format程序),并沒有把DATA區的數據清除,只是重寫了FAT表而已,除非你使用了“Format  X:/U”命令,強制對每一扇區寫“F6”。

  至于硬盤分區,也只是修改了MBR和OBR,絕大部分的DATA區的數據并沒有被改變,這也是許多硬盤數據能夠得以修復的原因。但即便如此,MBR,OBR,FAT,DIR之一被破壞的話,我們的數據也無法正常讀取。

  需要提醒大家的是,如果你經常整理磁盤,那么你的數據區的數據可能是連續的,這樣即使MBR/FAT/DIR全部壞了,我們也可以使用磁盤編輯軟件(比如DOS下的DiskEdit,DDD,KV3000,EasyRevoery等),只要找到一個文件的起始保存位置,那么這個文件就有可能被恢復。

 

數據恢復的原理

  我們在了解了數據在磁盤上存儲格式后,我們就會明白為什么數據在被刪除后還能夠再次被找回來的原因。  

  一塊新的硬盤在買回來后,必須首先分區,再用Format對相應的分區實行格式化,這樣以后我們才能在這個硬盤存儲數據。硬盤的分區就象是對一塊地方建倉庫,每個倉庫就好比是一個分區。格式化就好比是為了在倉庫內存放東西,必須有貨架來規定相應的位置。我們有時接觸到的引導分區就是倉庫大門號,上面要記載這個分區的容量的性質及相關的引導啟動信息。FAT表就好比是倉庫的貨架號,目錄表就好比是倉庫的帳簿。如果我們需要找某一物品時,就需要先查找帳目,再到某一貨架上取東西。正常的文件讀取也是這個原理,先讀取某一分區的BPB參數至內存,當需要讀取某一文件時,就先讀取文件的目錄表,找到相對應文件的首扇區和FAT表的入口后,再從FAT表中找到后續扇區的相應鏈接,移動磁臂到對應的位置進行文件讀取,就完成了某一個文件的讀寫操作。

  文件的讀取(Read)

  操作系統從目錄區中讀取文件信息(包括文件名、后綴名、文件大小、修改日期和文件在數據區保存的第一個簇的簇號),我們這里假設第一個簇號是0028。

  操作系統從0028簇讀取相應的數據,然后再找到FAT的0023單元,如果此外的內容是文件結束標志“FF”,則表示文件結束,否則從該處讀取下一個簇號,再讀取相應單元的內容,這樣重復下去直到遇到文件結束標志。

  文件的寫入(Write)

  當我們要保存文件時,操作系統首先在DIR區中找到空閑區寫入文件名、大小和創建時間等相應信息,然后在數據DATA區找出空閑區域將文件保存,再將Data區的第一個簇寫入DIR區,同時完成FAT表的填寫,具體的動作和文件讀取動作差不多。

  文件的刪除(Delete)

  Win9X操作系統的文件刪除工作卻是很簡單的,只是將目錄區中該文件的第一個字符改為“E5”來表示該文件已經刪除,同時改寫引導扇區的第二個扇區中表示該分區點用空間大小的相應信息。

  Fdisk的使用

  和文件的刪除類似,利用Fdisk刪除再建立分區和利用Format格式化邏輯磁盤(假設你格式化的時候并沒有使用/U這個無條件格式化參數)都沒有將數據從DATA區直接刪除,前者只是改變了分區表,后者只是修改了FAT表,因此被誤刪除的分區和誤格式化的硬盤完全有可能恢復……

  Fdisk/MBR可以用來再建主引導區,可以在使用光盤或軟盤啟動系統后,使用該命令來去除還原精靈或一些引導區病毒。注意:在使用該命令之前一定要先備份分區表內容,防止病毒對分區表進行加密處理。

  Format的使用

  Format命令可以完成分區的格式化,同時檢測該分區有無壞扇區。格式化也就好比是將一幢新樓的每一個房間賦于房間好,以便以后存放物品和查找。

  Fotmat的內個重要參數:

  /C測試壞扇區并進行標記為“B”。  

  /S在格式化結束后傳送系統文件。

  /Q進行快速格式化,只重建FAT表和目錄區。

  /U無條件對分區進行格式化,對每一扇區重寫“F6H”

 

 
 
 
 

南京能邦信息安全有限公司

版權所有.保留所有權
四川快乐12软件下载