數據恢復原理

硬盤存儲原理

硬盤存儲是指以硬盤為存儲介質的存儲方式，是一種采用磁介質的數據存儲設備，數據存儲在密封於潔凈的硬盤驅動器內腔的若干個磁盤片上。

這些盤片一般是在以鋁為主要成分的片基表面塗上磁性介質所形成，在磁盤片的每一面上，以轉動軸為軸心、以一定的磁密度為間隔的若干個同心圓就被划分成磁道（track），每個磁道又被划分為若干個扇區（sector），數據就按扇區存放在硬盤上。在每一面上都相應地有一個讀寫磁頭（head），所以不同磁頭的所有相同位置的磁道就構成了所謂的柱面（cylinder）。

傳統的硬盤讀寫都是以柱面、磁頭、扇區為尋址方式的（CHS尋址）。硬盤在上電后保持高速旋轉（5400轉/min以上），位於磁頭臂上的磁頭懸浮在磁盤表面，可以通過步進電機在不同柱面之間移動，對不同的柱面進行讀寫。所以在上電期間如果硬盤受到劇烈振盪，磁盤表面就容易被划傷，磁頭也容易損壞，這都將給盤上存儲的數據帶來災難性的后果。

硬盤的第一個扇區（0道0頭1扇區）被保留為主引導扇區。在主引導區內主要有兩項內容：主引導記錄和硬盤分區表。主引導記錄是一段程序代碼，其作用主要是對硬盤上安裝的操作系統進行引導；硬盤分區表則存儲了硬盤的分區信息。計算機啟動時將讀取該扇區的數據，並對其合法性進行判斷（扇區最后兩個字節是否為0x55AA或0xAA55 ），如合法則跳轉執行該扇區的第一條指令。所以硬盤的主引導區常常成為病毒攻擊的對象，從而被篡改甚至被破壞。

可引導標志：0x80為可引導分區類型標志

 

硬盤的分區信息如下: 

 

 

下面介紹兩種數據恢復的方法：利用winhex恢復數據、利用Final data 恢復數據

winhex

    是一款以通用的 16 進制編輯器為核心，專門用來對付計算機取證、數據恢復、低級數據處理、以及 IT 安全性、各種日常緊急情況的高級工具： 用來檢查和修復各種文件、恢復刪除文件、硬盤損壞、數碼相機卡損壞造成的數據丟失等

Final data

    FinalData具有強大的數據恢復功能當文件被誤刪除（並從回收站中清除）、FAT表或者磁盤根區被病毒侵蝕造成文件信息全部丟失、物理故障造成FAT表或者磁盤根區不可讀，以及磁盤格式化造成的全部文件信息丟失之后，FinalData都能夠通過直接掃描目標磁盤抽取並恢復出文件信息（包括文件名、文件類型、原始位置、創建日期、刪除日期、文件長度等），用戶可以根據這些信息方便地查找和恢復自己需要的文件。甚至在數據文件已經被部分覆蓋以后，專業版FinalData也可以將剩余部分文件恢復出來

 

使用Winhex查看並恢復文件

首先為虛擬機添加一塊硬盤：登錄到實驗主機上，右擊“我的電腦”->“管理”，點擊磁盤管理，會出現磁盤初始化和轉換向導，利用向導添加一塊新的磁盤，如下圖：

 

 

點擊下一步選擇要初始化的磁盤，默認即可：

 

 

 

選擇要轉換的磁盤，勾選“磁盤 1”：

 

 下一步直至完成

 

 

 

 添加完成后如下：

 

在新添加的動態磁盤上創建卷：

 

 

 

 

所有選項均默認，直至完成向導，等待格式化完畢后在“我的電腦”會顯示新的磁盤，如下圖：

 

 

 打開桌面tools\WinHex文件夾，雙擊運行WinHex程序，出現如下窗口：

 

 

 

可以使用winhex打開硬盤，分析硬盤信息，點擊tools—>open disk，出現下圖：

 

 

選擇C盤並打開，可以查看與編輯硬盤信息

 

 

 

現在試着使用WinHex恢復被刪除的文件。

關閉winhex，打開新建立的分區，建立一個文本文件，命名為：datarestore.txt，並添加內容

 

 

隨后將此文件刪除

打開winhex，點擊tools—>open disk，打開D盤，點擊Specialist—>refine volume snapshot 獲取卷快照，也可以按快捷鍵F10

 

 

勾選“獲取新快照”與“徹底搜索文件系統數據結構”，然后點擊“確定”：

 

 

可以看到winhex自動查找硬盤文件系統，查找后找到被刪除文件，被刪除文件與存在的文件顏色不同：

右鍵該文件，點擊恢復/復制

 

 

 

選擇一個路徑保存文件，打開恢復的文件即可

 

 

（本例保存到了桌面）

 

 

 

用Final data恢復被刪除的文件

 

打開桌面上tools\finaldata文件夾，找到應用程序“FdWizard”

 

 

 

 

 

打開該程序，顯示主界面如下圖，選擇“恢復刪除/丟失文件”：

 

 

 選擇“恢復刪除/丟失文件”

 

 

 恢復已刪除文件，選擇驅動器，點擊掃描

 

 

掃描成功后勾選文件點擊恢復，選擇恢復路徑即可

 

 

 本例恢復到C盤，效果如下

 

 

 

思考題

試着把E盤格式化后，分別用winhex和final data恢復被刪除的文件，看能否恢復成功

不能恢復

示例：

新建001.txt文本文件

 

 

將D盤格式化

 

 

 

 

使用WinHex打開D盤，點擊Specialist—>refine volume snapshot 獲取卷快照

 

 

勾選“獲取新快照”與“徹底搜索文件系統數據結構”，然后點擊“確定”：

沒有查到001.txt文件

 

 

 

 

同樣，在D盤建立新文本文件002.txt，隨后將D盤格式化，打開Final Data，恢復已刪除文件中選擇D盤進行掃描，也並沒有發現002.txt，故而不可恢復

 

課后習題