1、4/20/2022数据恢复技术1专题1:数据恢复4/20/20222数据恢复技术n数据恢复的定义和原理n数据恢复技术分类介绍n主引导记录的恢复n分区的恢复n0磁道损坏的恢复n硬盘逻辑锁的处理n磁盘坏道的处理nDBR的恢复nFAT的恢复n数据文件的恢复nRAID恢复4/20/20223数据恢复技术n基本知识n按照数据恢复顺序n相关现状n列举经典案例n故障分析n解决方案n推荐工具4/20/20224数据恢复技术n硬盘数据存储结构要分清 n刚买来的硬盘,我们是没有办法使用的,需要将它分区、格式化,然后再安装上操作系统才可以使用。n而在这一过程中,要将硬盘分成主引导区(MBR)、操作系统引导记录区(D
2、BR)、FAT表、DIR目录区和Data数据区等五部分(如图,硬盘存储的五个部分 4/20/20225数据恢复技术4/20/20226数据恢复技术n数据的定义n位于计算机存储介质上的信息n系统数据和用户数据n数据恢复n一个把异常数据还原为正常数据的过程n数据问题n逻辑问题n硬件问题4/20/20227数据恢复技术n一般情况下,只要数据区没有被覆盖,都是可以恢复的。n恢复顺序nMBRnDBRnFATnFDTn数据文件0磁道和坏磁道4/20/20228数据恢复技术4/20/20229数据恢复技术 2005年年6月月8日,上海一家外贸公司老板的笔记本在日,上海一家外贸公司老板的笔记本在开机启动过程中
3、突然断电,当再次启动的时候,开机启动过程中突然断电,当再次启动的时候,系统能够通过自检并检测到硬盘,但是即将进入系统能够通过自检并检测到硬盘,但是即将进入操作系统之前提示操作系统之前提示“ DISKBOOTFAILURE,INSERTSYSTENDISKANDPRESSENTER” 。然而当时该公司的。然而当时该公司的IT维护人维护人员并不知道如何将这台全外置笔记本员并不知道如何将这台全外置笔记本(没有内置没有内置光驱和软驱光驱和软驱)引导进入引导进入DOS系统,而且对于数据系统,而且对于数据恢复没有什么了解。在送到数据恢复公司时,工恢复没有什么了解。在送到数据恢复公司时,工程师使用外置软盘启
4、动并直接在程师使用外置软盘启动并直接在DOS下查看下查看C盘盘分区时,发现其中的数据都完好无损。分区时,发现其中的数据都完好无损。 4/20/202210数据恢复技术n这是一起典型的主引导区故障,此类故障大约占据整体软件故障的30%以上n另外,如果开机自检后提示“ Miss operation system” 而且DOS下可以看到C盘完整内容,这也是属于主引导区故障。4/20/202211数据恢复技术n正规数据恢复公司恢复数据的起价一般为300到400元n通常来说,一旦主引导记录和分区表被损坏,硬盘里的数据虽然无法访问但也并没有丢失。n目前很多恶意程序都喜欢攻击硬盘的主引导区与分区表。4/20
5、/202212数据恢复技术n属于系统数据,功能确定,相对容易n使用Fdisk恢复nFdisk命令行格式通用语法为:“Fdisk/参数”。4/20/202213数据恢复技术n用软盘启动系统。然后键入“ C:” ,看看能否读取C盘的内容。n如果C盘中的数据可以读出的话,那么大家只要使用“Fdisk/mbr”命令进行无条件重写主引导区一般都能成功,而且可以保留原有的数据。4/20/202214数据恢复技术4/20/202215数据恢复技术n软件名称nFixmbrn授权方式n共享软件n软件大小n12KBn下载地址 4/20/202216数据恢复技术 张先生是一家私营企业的财务主管,在电脑上安张先生是一
6、家私营企业的财务主管,在电脑上安装了装了Windows 98和和Windows XP双系统。但是最双系统。但是最近想把近想把Windows 98删除并且合并分区。不料在采删除并且合并分区。不料在采用用PQ Magic时操作失误,慌忙之下重新启动计时操作失误,慌忙之下重新启动计算机。当再次进入算机。当再次进入Windows 98后,发现硬盘最后后,发现硬盘最后两个分区的容量都不对了,而且无法打开其中的两个分区的容量都不对了,而且无法打开其中的文件。由于他保管的财务数据非常重要,因此一文件。由于他保管的财务数据非常重要,因此一下子急得如热锅上的蚂蚁。最终张先生还是去了下子急得如热锅上的蚂蚁。最终张
7、先生还是去了数据恢复公司进行处理,花费了整整数据恢复公司进行处理,花费了整整600元,而且元,而且来回奔波令他苦不堪言。来回奔波令他苦不堪言。 4/20/202217数据恢复技术n这应当属于典型的分区表故障n分区表故障在各种软件故障中也属于常见的,大约占据整体软件案例的30%。 4/20/202218数据恢复技术n分区表的概念比主引导区更大,因此其故障情况已经包含上述主引导区故障n操作系统对磁盘访问建立在MBR和DBR之上,导致文件无法访问n与主引导区相比,分区表被破坏时的修复相对要复杂一些。n重建分区表一般由手工完成,个别情况可以借助工具软件自动完成 4/20/202219数据恢复技术n自动
8、修复分区表的操作一般就是通过查找备份的分区表并复制相应扇区。n使用DiskGenius软件。将DiskGenius软件复制到DOS启动盘之后可以直接运行,进入DiskGenius的主界面后,按下F10就能轻松地自动恢复硬盘分区表,而且这一招非常有效。 4/20/202220数据恢复技术n手动修改将完全凭借经验,在WinHex等软件下直接操作分区表数据。n以一块东芝30GB笔记本硬盘为例,使用WinHex打开磁盘后看到如下界面。其中从“ 80” 开始到“ 55AA” 结束的DPT硬盘分区表相当关键4/20/202221数据恢复技术n软件名称:DiskGenius授权方式:免费软件软件大小:143
9、KB下载地址: n软件名称:WinHex授权方式:免费软件软件大小:990KB下载地址: 4/20/202222数据恢复技术n分区大师:Partition Magicn分区博士:Partition DoctornHex WorkshopnDisk Probe4/20/202223数据恢复技术 东北地区某服装设计公司的东北地区某服装设计公司的SCSI单盘服务器单盘服务器存储着整个公司的设计资料,原本就发现存储着整个公司的设计资料,原本就发现该硬盘有轻微的坏道,但是并未引起管理该硬盘有轻微的坏道,但是并未引起管理员重视,也没有做好备份工作。终于在员重视,也没有做好备份工作。终于在2005年年7月月
10、13日,硬盘无法启动了,管理员尝试日,硬盘无法启动了,管理员尝试格式化系统分区也宣告失败。格式化系统分区也宣告失败。 4/20/202224数据恢复技术n通过Scandisk扫描,发现坏道其实并不多,甚至将它作为从盘挂在别的操作系统下也能看到部分分区内容。但是由于坏道所处的位置非常特殊,因此造成硬盘无法启动。n经检测后发现,零磁道部分出现了坏道,这类故障必须使用有别于普通坏道的处理方法。 4/20/202225数据恢复技术n管理硬盘采用不使用0磁道的所有扇区的方式进行0磁道的保护n只要0磁道损坏,整个硬盘报废n可以采用工具软件将0磁道逻辑移动到1磁道使用,将硬盘“复活”n注意一点,处理过后,不
11、能再使用分区软件进行分区4/20/202226数据恢复技术n最简单的方法n将它设置为从盘,然后使用另一块硬盘引导进入操作系统n盘符分配,可能直接拷贝就能成功恢复数据n复杂情况n借助工具软件4/20/202227数据恢复技术n磁盘访问工具效率源n特点n能够针对扇区进行复制n突破硬盘读取时遇大量坏道无法识别硬盘分区的限制n具有强力复制功能n配合有校验算法4/20/202228数据恢复技术n首先连上需要数据恢复的硬盘和一块完好的硬盘n然后使用含有效率源软件的启动盘引导系统,直接进入效率源软件的主界面n点选“SectorCopy”命令,输入源盘与目标盘n随后,输入Start和End数字以确认复制扇区的
12、起始位置n最后点击“确认”按钮后就可以开始扇区复制4/20/202229数据恢复技术n修复硬盘n修改硬盘分区表存储位置n屏蔽坏道n借助工作软件nPCTOOLS9.0nNU8.0nDiskGenius4/20/202230数据恢复技术4/20/202231数据恢复技术4/20/202232数据恢复技术n磁道修复工具nDisk EditnSmartFdisknPCTOOLSnDiskMann专业扇区复制nPC3000nHIE (HardwareInfoExtractor)4/20/202233数据恢复技术 老王是图书馆管理员,2005年3月13日,其负责的一台电脑突然在Windows下无法打开其中
13、一个分区,双击分区图标时提示“ 该分区未格式化” 。赶忙叫来IT部负责人之后,进入DOS系统,发现此时可以转到该盘符,但是一旦输入“ DIR” 命令时,系统就提示“ General Fail Reading Drive” 。这下可让老王傻眼了,因为里面的数据是新进图书的统计,如果丢失的话,后果不堪设想。万般无奈之中,只熟悉硬件维修的IT负责人找到了一家数据恢复公司,岂料对方仅仅十几分钟就完全搞定,而且数据丝毫无损。 4/20/202234数据恢复技术n直接使用格式化程序重新格式化能够解决问题(排除物理坏道与病毒的干扰因素)n但是这种做法却与挽救数据的最终目的是相违背的。 4/20/202235
14、数据恢复技术nDBR(操作系统引导记录区) 是由高级格式化程序产生的n是一段信息代码n如果遭到破坏,最终导致无法进入操作系统,部分文件夹信息也会丢失。 4/20/202236数据恢复技术n直接使用WinHex改写DBR模板n将存在问题的硬盘作为从盘挂接n直接打开WinHex时选择该磁盘n直接在右上方的“ 访问” 下拉列表中选择DBR故障的分区n打开“ 起始扇区模板” n这样就能很轻松地解决问题 4/20/202237数据恢复技术4/20/202238数据恢复技术4/20/202239数据恢复技术 华南某设计院的一台服务器承担着整个设计院的存储任务。2005年8月2日,由于管理员的误操作,将20
15、04全年的数据全部删除。由于当时删除的时候并不是放入“回收站”,而是直接删除,因此普通方法根本无法找回。为了找回这些数据,慌乱之中管理员使用了当时的Ghost备份文件来恢复,但是恢复后发现还是没有需要的文件,并且把整个文件系统都弄得非常混乱。最终在数据恢复公司的帮助下,该设计院才成功找回90%左右的数据,花费了整整2000元。 4/20/202240数据恢复技术n误操作而导致的文件丢失在软件类数据恢复中大约占25%。n磁盘删除数据后,只是做了一个标记,数据并没有真正被删除,可以使用磁盘扫描的方法来恢复数据n数据一旦被覆盖,很难将数据完全恢复。 4/20/202241数据恢复技术n数据问题n文件
16、丢失n文件被同名文件覆盖n分区被误操作格式化n分区被误克隆n采用磁盘扫描的方法来进行数据恢复n相关工具软件功能很强大 4/20/202242数据恢复技术n方法大致可以分为三个步骤:n选择扫描范围n指定扫描类型n筛选数据4/20/202243数据恢复技术4/20/202244数据恢复技术 2005年9月4日,某上市公司物流部门的RAID磁盘阵列突然崩溃,此时阵列柜指示灯显示硬盘掉线。由于整个RAID已经崩溃,因此管理员无法进入系统,也就感到无从下手。在大脑一片空白的情况下,还是主管请来了专业的数据恢复公司,最后以单盘3000元的价格(总计8块硬盘,2.4万元)进行数据恢复操作。RAID崩溃而导致
17、的数据灾难在整体数据恢复案例中大约占据11%,尽管比例不是很高,但是收费却相当惊人。RAID数据灾难的症状包括亮指示灯、RAID信息丢失、分区丢失、所有硬盘变成单独硬盘(软RAID)等,这类故障的处理方法比较复杂。 4/20/202245数据恢复技术nRAID的分区表并非独立保存在某一个硬盘上,因此需要使用专门的软件独立处理。nRAID具有很多类型和组合nRAID本身具有容错能力,所以出现数据丢失,其数据相对很重要 4/20/202246数据恢复技术nRAID的数据恢复,只要知道其原理,出现问题后,数据都可以恢复nRAID数据拯救有“镜”就行 4/20/202247数据恢复技术n是一种具容错能
18、力的RAID 操作方式,n不应用专用容错硬盘,容错信息是平均的分布到所有硬盘上。n其总容量为(N-1)x最低容量硬盘的容量。n但如果有两个硬盘同时失效的话,所有数据将尽失。4/20/202248数据恢复技术4/20/202249数据恢复技术n第一步、磁盘镜像n建议先使用RuntimeDiskExplorer制作镜像盘n得到磁盘镜像后,源盘就可以保存在安全的地方n所有的数据恢复操作直接在镜像盘中处理4/20/202250数据恢复技术n第二步、数据重组n推荐使用RAIDReconstructorn进入主界面时需要设定RAID类型与磁盘数量nRAIDReconstructor会分析参数并把分散的数据
19、拷贝出来。 n注:RAID数据重组的重要参数n磁盘数、块大小和方向4/20/202251数据恢复技术4/20/202252数据恢复技术n第三步、恢复数据n数据重组后,得到磁盘数据n使用数据恢复工具来恢复数据n例如:GetDataBack for NTFSn注意n有些工具可以整合第二和第三步nRAID数据恢复需要一定的设备4/20/202253数据恢复技术n软件名称:RuntimeDiskExplorer ForNTFS授权方式:共享软件软件大小:1677KB下载地址:n软件名称:RuntimeDiskExplorerForFAT授权方式:共享软件软件大小:1637KB下载地址:n软件名称:RA
20、IDReconstructorForFAT授权方式:共享软件软件大小:1614KB下载地址:4/20/202254数据恢复技术 杭州某电机公司刚从国外购买的技术资料保存在总经理的台式机中,不料该台式机硬盘最终成为“数据杀手”。该硬盘起初工作速度缓慢,此后突然无法被BIOS识别,而且加电后带有异常的“咔哒”声。由于这些技术资料都是一次性授权,因此价值百万的数据可谓命悬一线。 4/20/202255数据恢复技术n一般而言,这类故障情况几乎都是磁头老化,必须进行开盘处理4/20/202256数据恢复技术n开盘的前提条件是有一间洁净度非常高的房间n硬盘的密封都十分结实,但是只要使用六角螺丝刀也很好处理
21、,并能清晰地看到其内部结构n进行开盘操作时需要找到合适的备件n更换磁头的时候,工程师首先将内部磁铁盖片掀开,此时需要用力得当,否则很容易弄伤盘片,从而导致数据彻底报废4/20/202257数据恢复技术4/20/202258数据恢复技术 1、文件丢失后,不要再向该分区或者磁盘写入信息,即刚被删除的文件被恢复的可能性最大。2、小文件比大文件更容易恢复。3、恢复之前千万千万别用磁盘整理功能,否则数据恢复的成功几率将大大减小。同时也尽量不要使用Fdisk程序,否则将会给你的恢复造成很大的困难。4、有足够的空余磁盘空间或者外接新硬盘以备写入恢复资料。 4/20/202259数据恢复技术nInvalid
22、partition table 无效的分区表 nError loading operating system 不能装入引导系统 nMissing operating system 系统引导文件丢失 non-System disk or disk error 没有系统盘或磁盘错误 4/20/202260数据恢复技术nNon-System disk or disk error,Replace and strike any key when ready 无系统的磁盘或磁盘错误,请替换后按任意键 nDisk Boot failure 磁盘BOOT区错误 nInvalid drive specifica
23、tion 无效的盘符说明 4/20/202261数据恢复技术nDisk I/O error,Replace the disk磁盘I/O错误,请换盘后按任意键。通常在读写软盘时出现此类错误 n参考“电脑开机提示信息速查手册”4/20/202262数据恢复技术n操作系统提供的系统还原n随机赠送的系统恢复光盘nGHOSTn杀毒软件提供的系统备份4/20/202263数据恢复技术n硬盘保护卡n又称为硬盘还原卡,是彻底解决计算机数据保护问题的最佳方案。它作为一个板卡安装于计算机的扩展槽中,从硬件的层面上实现对硬盘中的数据进行保护和恢复。其优点是可以瞬间恢复各种有意或无意操作而导致的数据丢失。n特点:n不占用硬盘空间、被破坏的数据瞬间复原、简便易用、全面保护电脑参数/设置安全 4/20/202264数据恢复技术n数据保护软件 n一些主板都提供了硬盘数据的保护功能,例如捷波的“数据恢复精灵”和联想QDI的“宙斯盾保护系统”n宙斯盾(RecoveryEasy)是可以备份、保护并且立即恢复硬盘资料,防止重要资料丢失。此外,宙斯盾还能保护和恢复CMOS中的数据。n缺点:需要占用一些硬盘空间
