计算机数据恢复技术研究
2022-02-22林我建
林我建
关键词:计算机;数据恢复技术;数据损坏
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2022)36-0082-03
随着计算机科技的不断发展,个人工作学习、企业生产制造甚至是国家政府机构政务服务中,计算机的使用频率都得到了不小的提高,在给人们的日常工作生活带来巨大便捷的同时,其数据存储量过大造成的计算机数据丢失或损坏的频次也越来越高,对数据保存、企业生产研究的负面影响不可忽视。因此,本文对计算机数据恢复技术的探讨和研究,也就具备重要理论意义和现实价值。
1 数据存储结构原理
在借助计算机恢复技术使计算机内部存储的数据信息得到良好恢复前,我们首先应该准确科学地了解计算机数据的存储结构模式及其工作原理。在计算机数据存储结构过程中,未正式投入使用的硬盘设备往往需要先经过低级格式化、分区、高级格式化等工序后才能进一步储存相关数据,其中,低级格式化主要是对硬盘的磁道和扇区等进行划分,图1为低级格式化过程中硬盘存储结构划分图,从而更加方便数据的分区储存。其次,分区主要是指对物理硬盘设备从逻辑角度进行一定划分,将设备划分为多个区域,实现计算机操作系统对硬盘设备的智能化管理和数字化管控,更加方便硬盘使用者对硬盘内部存储数据信息进行控制与管理。高级格式化主要是将硬盘设备分区空间按照计算机存储数据的具体类别,以一定的规则进行存储。
FAT文件在硬盘分区空间系统中的存储中,高级格式化主要是指将FAT文件系统地划入并写入设备的引导扇区文件分配表上,完成文件目录表和数据区的形成,也就完成了硬盘设备五个部分的划分,图2即为高级格式化过程中硬盘设备的存储结构图。由图2 可知,硬盘的第一个扇区作为设备数据存储过程中的主引导扇区,主要包含主引导记录部分和分区表部分两大内容,主引导记录部分主要是硬盘分区的程序代码,承担着硬盘中操作软件引导的基本职责,而操作系统则进一步与引导区连接,同样包含了操作系统引导部分和分区参数的记录模块部分,其中,操作系统的引导部分主要是负责硬盘设备中计算机存储文件是否为引导文件的判断,如果存储进入的文件为引导文件,则进一步将文件读入内存,并将其控制权和管理修改权赋予该文件,而分区参数模块则主要是众多的信息参数进行分区记录,包括了分区的起始部分和结束部分,扇区进一步记录着文件数据的存储格式、根目录大小甚至是FAT文件的个数等诸多内容。文件分配表是计算机操作系统中文件系统的重要内容,主要为冗余结构设置模式,一个为另一个的备份,便于实现数据恢复。尽管硬盘设备上的文件被分成多个小段,但文件与文件之间处于相互联系和相互依存状态,也就能够有效保证计算机操作系统准确对各类文件进行高效率读取和存储。在FAT分区后,目录区域模块中存放文件名和文件实际存放的数据区域中第一个族的族号信息等,进而能够通过多种技术的配合,实现计算机信息的储存和提取。
2 计算机数据损坏分析
计算机数据损坏类型主要包括硬盘数据损害常见的硬件故障和硬盘数据损害常见的软件故障两大部分内容,其中,硬盘数据损坏常见的硬件故障原因是多元的,最常见是在外界环境条件处于严重震动状况下的硬盘读写磁头的损坏,该类型的磁头损害往往使硬盘设备不能够被识别。同时,硬盘接口故障、主板被烧甚至是芯片损毁、电源供应过程中出现故障等导致硬盘出现问题,都是硬盘中数据出现损害的重要硬件故障类型。此外,硬盘存储数据过程中存在着缓存故障时,同样也会进一步导致计算机处于死机状态,或使计算机系统出现乱码等诸多情况。硬盘数据损坏过程中,常见的软件故障类型同样多种多样,既包含了人为对数据信息操作过程中的操作因素,也包含了计算机系统被外界病毒入侵甚至是被恶意程序侵占之后导致的诸多故障,该类故障都会进一步使计算机硬盘的数据处于损坏状态。此外,最常见的计算机系统硬盘软件故障即为计算机使用者误删除文件,或是将文件进行格式化。当出现该类故障时,往往表现为计算机系统中存储的数据信息无法得到正常进入,也就不能对应相应文件进行读取,或者是使文件处于丢失状态或乱码状态。
3 数据损坏类型及相关恢复技术
根据计算机网络信息存储过程中数据的损坏类型,将数据损坏分为硬盘DBR区域的损害、文件的删除及恢复损害以及硬盘重分区过程或者是分区表损坏而导致的数据损坏三大种方式。
以硬盘DBR损坏为例分析可知,计算机操作系统能够直接访问的硬盘扇区即为DBR区,该类扇区中主要包括了BPB部分和引导程序部分,BPB部分主要是对硬盘操作系统的扇区主要参数界面记录,包括其起始扇区和结束扇区,也包括了储存于该扇区中内部文件的储存格式、根目录参数信息等。引导程序部分则主要是对操作系统所访问的MBR扇区中的文件进行判断,当将计算机操作系统的权利交付给引导程序部分时,引导程序部分能够借助取软件运行实现本分区是不是引导分区的判断,引导程序最终判别操作系统所进入的扇区为引导分区时,就可将相关数據读入内存,并进一步将控制权交给该文件,进行文件数据操作。在该扇区运行过程中,DBR操作系统中的相关运行过程至关重要,当DBR操作系统遭到外界外力损害或是内部物软件攻击时,计算机信息系统将出现不能正常启动的情况,因此,操作系统首先应该做好备份,保障计算机数据能够在出现问题后利用备份实现数据恢复、硬盘重分区或者是分区损害而导致的数据恢复。
一般而言,储存数据的硬盘重分区或分区表损坏,主要损害原因包括了人为因素和外界病毒入侵导致的硬盘逻辑零扇区被修改两种情况,针对上述两种情况下硬盘分区或分区表损害造成的数据恢复,可以使用针对底层数据恢复的专用WINHEX软件。图3 即为WINHEX数据恢复软件启动界面。
硬盘的第一个扇区包含着硬盘中最重要的数据
(1)主引导扇区介绍
主引导记录(446字节)(0000 – 01BD)
分区表项1(16字节)(01BE – 01CD)
分区表项2(16字节)(01CE – 01DD)
分区表项3(16字节)(01DE – 01ED)
分区表项4(16字节)(01EE – 01FD)
结束标志(2字节“55 AA”)(01FE 01FF)
(2)主分区表(DPT) (3)针对上图DPT的信息,判断各分区的大小和
起始位置:
在WINHEX软件中,信息以字节为单位,即两位十六进制为一个数据。并且低位在前,高位在后。数据块的信息是以反向的方式书写。
由此,主分区(DPT)表信息,包含的分区信息表示如下:
第一个分区的起始位置:72 74 43 20 偏移量(决定分区大小):6C 41 2B 6C
第二个分区的起始位置:73 65 72 20 偏移量(决定分区大小):74 72 61 74
有了以上的基础,我们就可以进一步学习使用WINHEX,恢复分区表的故障。
4 实际应用
就现阶段而言,我国较为常用的数据恢复软件主要分为两种:
(1)图形界面的数据恢复软件
此类软件图形界面操作性较强,不需要专业的计算机知识。常见的有easy recovery,Final data,recover⁃my files 等不同类型的软件工具,具备不同的恢复效果。
(2)基于底层数据恢复的软件
此类软件为专业性较强软件,必须要有一定的计算机基础才可以学习使用,有着强大的数据恢复功能。常用底层恢复数据软件有R-Stiao、WINHEX。
其中,WINHEX是基于十六进制编辑器为核心的数据恢复软件,具有强大的数据恢复功能,不仅能够恢复数据信息,还能分区表出现损坏,电脑就识别不到硬盘,各种类型的文件打不开,都可以使用WIN⁃HEX进行恢复。
那么如何使用WINHEX恢复分区一个分区受损的硬盘呢?
我們拿一个直接分两个区的硬盘(不用考虑EBR)为例操作。首先把DPT中两个分区的起始位置与偏移量用0填充,此时硬盘无法使用。
打开WINHEX软件,第一个分区标项(也就是用来描述C盘的)。首先,在第1个字节处(0扇区倒数第五行,倒数第二个字节)填上分区引导标志,因为C盘是活动分区,所以填上80。接着是第2、3、4字节(本分区起始磁头号、扇区号、柱面号),填上:01 01 00。第5字节是分区类型符0B是FAT32,07是NTFS。第6、7、8字节填什么都可以。第9、10、11、12字节,本分区之前已用了的扇区数,也就是MBR所占用的扇区数是63。但是要将63转为十六进制数是3F,不够四个字节前面加零,也就是00 00 00 3F,再将此数从右向左依次序反过来就是3F 00 00 00。第13、14、15、16 字节是本分区的总扇区数,也就是C盘的大小,这就要通过稍微一点点计算来得到了。因为C盘是从第63个扇区开始,而C盘后面紧接着的是EBR,所以用EBR所在的第一个扇区数减去63就是C盘的大小。EBR的结束标志也一定是55AA,那么,只要找到这个结束标志,再看看这个扇区是不是EBR。单击“搜索”——“查找十六进制数值……”,然后出来一个对话框,在文本框中输入“55AA”,搜索框中选“全部”,然后选中“条件”,把偏移量设置为“512=510”。再单击“确定”。首先找到第一个“55AA”,羸弱看到,个扇区在第63个扇区上,并不是要找的EBR,再按F3继续查找,EBR的结构和MBR的结构是一样的,所以在倒数第五行倒数第二个字节应该是0001,并且前446个字节应该是0,终于找到了真正的EBR,在1435392 扇区,用1435392减去63,得到1435329,再转为16进制,就是15E6C1,将他倒转过来就是C1E61500,这就是C 盘的大小。这样,第一个分区表项填写完毕。
5 结论
计算机恢复技术为保障人们的正常工作、生活提供助力。本文在探究数据存储结构原理的基础上,对计算机数据损害过程分析,进一步对计算机数据损害类型和对应的数据恢复技术进行研究,最后以实例研究分析方法论述了计算机数据回复的技术应用,为更好地利用计算机数据恢复技术造福企业和民众提供更多思路。
