Windows下数据恢复的一点认识
2016-03-25刘宏斌
刘宏斌
摘要 硬盘有价,数据无价。重要的数据被破坏,损失是无可估量的,数据恢复行业也就应运而生。在恢复丢失的数据,使用不同的方法有软件的方式也有硬件的方式,从文件的损坏程度或等级,通过专业的数据恢复方法都可能将数据恢复出来。
关键词 数据恢复;主引导扇区;引导扇区
中图分类号TP3
文献标识码A
文章编号1674-6708(2016)156-0069-01
现在的社会基本上进入信息化时代,信息化是当今时代发展的必然趋势,信息化可以代表着先进的生产力,在我们日常生活中,用“0”和“1”的形式表示许多的事物。数字技术与我们的联系越来越密切,当它失效的时候就会承担非常大的危害。
数据恢复所涉及到的范围非常的广泛,恢复各类存储设备的时候都要会各种各样差别,还有数据被破坏和丢失原因也都不一样。
磁盘存储技术的基本原理我们先来了解一下,这样可以帮助我们对数据恢复的工作更加了解。其原理:就是通过磁头改变盘片上的极性的状态来存储和读取对应的数据。计算机是用二进制的方法来表示存还是读,打个比方:用计算机来描述一张空白的白纸和一个黑点,如果是用二进制来描述就用很多的“1”来描述一张纸和用一个“0”来表示一个黑点,而磁盘存储技术是通过改变电流方向来进行实现的,加载正向电流时,磁力的方向就会向一边走,而加载负电流时就会反方向走,这样可以把纸和黑点描述的很清楚了。定义磁盘时,磁盘由磁道、扇区还有磁头组成,而磁道是由许多磁性物质任意排列组成,这些磁性物质通过磁头来改变磁力方向,从而达到读和写的目的了。通过上面的介绍,可以知道操作系统清除数据时,磁盘介质上的磁性物质没有被清除掉。操作作只是把磁性物质的顺序重新排列了一下,但是还是对这些物质作了对应删除标记。也就是说我们作了删除或格式化等操作时,并没有真正的消失。我们只需要找到对应的标记和原来的排列记录,就可以找到数据,这也为数据恢复提供了便利。
除了前面介绍的磁存储设备,另外还有一些存储设备的存储原理也是和磁存储的原理一样,那么数据恢复原理和操作也是基本相同。因为这些存储设备和磁盘设备都是用磁道、扇区、磁头、簇来对数据的进行描述的。
了解了数据恢复的原理之后,应该知道一般的删除文件(比如说放入回收站或是用DEL删除文件或文件夹),是不能彻底的把文件上的数据清除。很多单位请专门做数据销毁的公司使用特殊的设备和软件来彻底的对他们的重要数据进行清除或销毁。经过很多的实践,仅仅对存储介质进行反复写入再删除,或拆解,或其它的物理损坏,也有非常大的概率可以把数据恢复出来一部分。就比如说很多在坏的手机中就可能恢复出原来的手机中存放的照片。
很多原因导致数据出错。比较多的是执行错误的指令,比如删除了不该删文件、用相同的文件名把另一个有用文件给覆盖了等。还有存储设备自己的损坏也有大部分原因。还有是备份的时候的非下常中断或是断电,数据就会被损坏。在这些损的原因当中,删除和格式化造成的文件数据丢失相对来说还是简单一点的,我们知道,数据并没有因为删除或格式化面从存储设备上丢除,使用数据恢复软件(比如“WINHEX”)就可能的将数据找出来。而设备自身被损坏就会在恢复过程中的难度加大,还要准备一些必在的硬件配件,拿U盘来说,如果芯片没有问题,而是电路板出现的故障,那么只需要把芯片取下来换一个好的电路板就可能修复故障了,这种损坏一般叫做物理性损坏,存储设备出现的问题叫做“逻辑性损坏”。
把数据损坏的原因以及故障是怎么出现的,那么对恢复出来数据就有很大的帮助。数据恢复方式不一样也会对存储设备有不同的后果,选择不对的恢复方法。,不但恢复不出来数据,还会把数据给弄乱了导致数据结构损坏。在恢复时应该在现有信息的进行逐步的操作,根据现有的信息找出损坏的原因,找到解决的方法。
硬盘内的数据由这几个部分组成:MBR区、DBR区、FAT表区、DIR区和DATA区。
主引导扇区:
主引导扇区在硬盘的第0磁道0柱面1扇区,包括硬盘主引导记录MBR和分区表DPT。主引导扇共有512个字节,引导程序从0开始到439结束占用440个字节,后面是WINDOWS磁盘签名占用4个字节。分区表用了64个字节,是在IBEH以开始的。结束标志为55AAH,在扇区的最后位置占两个字节。分区表中首个字节80H代表这个分区可以引导,而OOH不可以引导
操作作系统引导扇区
DBR (DOS Boot Record)即操作系统引导扇区,DBR在当前所在分区的开始扇区,比方说c盘的第一个开始扇区位置,就对应的c盘的DBR区,同样其它盘的第一个开起始扇区地址,就是这个盘对应的DBR区。由引导程序和BPB组成。DBR在不同的分区,它类别也就不一样。
FAT (File Allocation Table)即文件分配表,是DOS/ Win9x系统的文件寻址系统。 FAT表有两个,第二FAT表是第一FAT表的备份,FAT表区紧跟在DBR及保留扇区之后,FATI的具体地址偏移量为OEH -OFH的两字节,FAT2跟在FATI之后,它的地址可以用FATI的所在扇区号加上每个FAT所占的扇区数获得。而FAT16文件系统只有DBR区,占一个扇区,是没有保留扇区的。
DIR是Directory即根目录区,根目录区在第二文件分配表(FAT2表)的后面一个扇区,如果只有FAT表还不可能确定这个文件在磁盘中的具体的位置,FAT表中的数据还要和DIR中的数据配合在一起才能够确定文件的具体的位置。DIR中记录每个文件和目录的开始位置、文件的属性等。确定位置时,系统会依据DIR中存放的开始位置,并结合FAT表中的数据就可以获得文件具体位置和容量了。
DATA即DATA区,这个区在硬盘的空间有很大一部分,如果没有主引导区、FAT区DIR区,它就能是代码,不起任何作用。这时还要说明一下,磁盘格式化或分区格式化的时候,并不是把数据(DATA)区的数据真的给删除,只是把FAT表给重新写了一下,而其他的位置,如果仅仅对MBR和DBR修改一下参数,那么DATA区的数据没有被改动,修复硬盘的数据最大可能就是因为这个。