數據恢復精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的數據恢復主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:數據恢復范文
如何保護自己的重要數據?說到這個問題,不能不提到一家公司――翰凱科技有限公司。事實上,翰凱科技有限公司并不為一般人所熟知,但數據恢復行業內的人員卻很熟悉,這是因為翰凱科技有限公司相當于保險業的再保險公司,之前只為大客戶和業內用戶提供技術支持服務,并不為一般小客戶提供直接服務。而我作為該公司專家組組長,總是遇到大量的客戶數據被人為毀壞的實際情況,一方面為這個行業的部分從業人員缺乏職業道德而痛心,另一方面也為這些客戶數據無法恢復感到痛心。
在此再次強調,一般情況下,客戶出現的數據丟失情況都是可以恢復的,只在極少數情況下,或故意破壞的數據才會無法恢復。因為任何數據的破壞都有一個過程,一般不會一次性被破壞得無可救藥。但電子數據又是十分脆弱的,雖然恢復比較難,但破壞起來極為容易。一些不負責任的公司常常在自己不能恢復數據的情況下,對客戶的重要數據進行破壞,如進行覆蓋,或者用強磁對盤片進行磁化等,還聲稱自己恢復不了,誰也恢復不了。目前,由于國家還沒有規范這方面的市場,因此造成許多用戶啞巴吃黃連。
在此,強烈建議用戶平時要做好備份,保護好自己的數據。一塊備份磁盤并不需要多少投入,而一旦出現數據丟失,恢復起來卻很麻煩,如果情況不理想,還可能被破壞而無法恢復,即使能夠恢復,也費時費力費錢。在這里介紹一下出現問題后的備份方法,用于解決一般的邏輯問題。如果硬件出現問題,如磁盤加電后出現不正常的聲音,請不要再加電嘗試,應盡快找專業人員進行處理。
邏輯問題是指,雖然在資源管理器中不能看到磁盤,但盤的聲音正常,在BIOS中能夠正常查看到磁盤參數,或者在磁盤管理中能夠看到磁盤。
以Windows 2000 Professional為例,操作步驟如下:在“我的電腦”上點擊鼠標右鍵,選擇“管理”,然后就會出現一個對話框,選擇“磁盤管理”。
只要我們在“磁盤管理”中能看到所要恢復數據的那塊硬盤,就表示硬盤本身沒有物理損壞,只是上面的數據出現了問題。下面,我們看看如何自己做一個真正的備份。
這次介紹的工具是WINHEX,它是真正懂數據恢復的工程師最愛使用的工具之一,網上可以找到各種版本。
因為我們只是用它來做備份,因此不用考慮其他的因素,只需要點擊主介面即可。點擊后出現所示的對話框。
下面解釋一下各個選項。“Source:medium”就是制作鏡像的源,這里叫做克隆(Clone),是因為要按照扇區進行復制,而不是只復制看得見的文件,這樣才能夠將需要恢復的數據保存下來,因為需要恢復的數據存儲在磁盤上,而在操作系統下是看不到的。
下面的“Destination:raw image file”就是我們要復制的地方,也就是選擇把我們需要做備份的“源”存放在哪里。源和目標既可以是磁盤介質(medium),也可以是文件(raw image file)。所謂的文件,就是將磁盤的原始內容保存為一個一模一樣的文件,可以直接對這個文件進行操作,就像在操作磁盤一樣,也可以將這個文件的內容再還原到磁盤上。
選擇做標記的地方,用于選擇要復制的源盤。
這里我們選擇“Physucal Media”中的“HD1:IC35L040AVER07-0(38.3 GB,USB)”,也就是“磁盤1”。所謂的“Logical Drivers”和“Physucal Media”,分別指的是實際的物理磁盤和分區后在資源管理器中看到的邏輯盤符,也就是所謂的C、D、E、F之類的盤。
目標我們選擇為文件。
一般選擇“Copy entire medium”,也就是克隆整個磁盤,選擇文件是防止選擇錯誤將磁盤覆蓋了。當然需要有足夠的空間來存儲這個文件。選擇“OK”,如果空間足夠,就可以開始進行鏡像了,鏡像完成后,就可以放心大膽地找數據恢復公司了。
再解釋一下覆蓋的概念。最常見的就是GHOST系統,或重裝系統造成了數據的部分覆蓋。
第2篇:數據恢復范文
關鍵詞:NTFS格式 主文件表 數據恢復
中圖分類號:TP309.3 文獻標識碼:A 文章編號:1007-9416(2013)07-0227-01
引言
在信息高速發展的當代,計算機在大眾的工組生活中扮演的角色越來越重要,幾乎所有的企事業單位、商業組織、普通個人都使用計算來來輔助工作,獲取處理信息,同時也會將隨之產生的數據存儲在計算機硬盤中,一旦發生數據丟失,如何能夠對數據恢復是非常重要的,這就使得數據恢復技術成為一個不可或缺的關鍵技術。
當前,微軟公司的Windows操作系統在計算中操作系統中占據了多數份額,其文件系統廣泛應用的是NTFS文件系統。因此本文就針對NTFS文件系統下的數據恢復進行分析。
1 NTFS文件系統的磁盤分析
簇是NTFS文件系統的基本分配單位,簇的大小是在對硬盤進行格式化過程中由程序自動分配的,NTFS文件系統通過邏輯簇號LCN和虛擬簇號VCN對簇進行定位。LCN從0開始對卷中的所有簇順序編號,VCN也是從0開始,負責對屬于具體文件的簇順序編號,從而實現對文件數據的引用。
(1)NTFS分區由兩部分構成,一是分區引導扇區和主文件表MFT,二是供文件存儲的區域,MFT占據了NTFS磁盤空間前12%位置,剩下的88%的區域才可以用來存儲文件。當MFT分配的空間不夠使用時,系統會繼續為其分配空間,但是不一定與開始12%的空間保持連續性。
(2)分區引導扇區是用來保存卷文件的結構信息和引導程序的,其中包括三個重要參數:起始簇號、每簇所占扇區數、每扇區字節數。
(3)主文件表MFT是由文件記錄組成,文件在磁盤上的存儲位置是通過MFT來確定的。MFT中從0開始對文件進行編號,前16分配給系統文件,這16個文件在MFT表中具有固定的地址,其他文件地址則由MFT隨機分配。為防止關鍵數據丟失,NTFS系統對MFT的前16個文件數據進行了備份。
2 基于NTFS文件系統的數據恢復原理
NTFS文件系統的管理模式是磁盤上所有的數據都是以文件的形式進行存儲,MFT記錄了每一個文件的存儲位置,每建立一個文件,MFT就增加一個文件記錄,此文件記錄并不隨著文件被刪了而被MFT刪除。在數據恢復時可以對文件記錄進行分析,確認其是否被刪除。
(1)分析MFT文件記錄,NTFS建立屬性/屬性值的集合來處理文件,能夠直接存在MFT中的屬性稱為常駐屬性;如果屬性太大,NTFS就會將其存儲在MFT之外的位置,這就是非常駐屬性。
(2)文件記錄起始位置,文件記錄從“FILE”開始,其字位為“46 49 4C 45”,標志字節是自偏移0x16,刪除的文件為00H,正常的文件為01H,刪除的目錄為02H,正的目錄為03H表示;偏移0x2CH起的4個字節表示了文件號的低32位。
(3)分析文件名屬性,文件名屬性用于存儲文件名,類型為0x30是常駐屬性,數據恢復時必須獲取文件名。
(4)分析數據流屬性,其類型為0x80的常駐屬性,包含了其屬性常駐的標識位、起始與結束VCN等方面內容。如果數據值存儲在MFT中,可以直接在文件記錄中對數據操作;數據運行列表中記錄了各數據塊的起始運行LCN和以及所占用的簇數,從而可以通過定位對文件的數據進行操作。
3 NTFS文件系統下數據恢復步驟
結合前文的研究,NTFS文件系統中,文件被錯誤刪除,系統就會將文件記錄的標志字修改為00/02H,而其它的屬性不做修改。基于以上知識NTFS文件系統下數通過對主文件表MFT進行掃描;確定被刪除文件的記錄并對其進行分析,進而得到文件的數據區。最后判斷文件數據區的完整性就可以選擇是否對已刪除文件進行數據恢復。可將數據恢復的過程分為磁盤掃描和數據恢復兩個階段。
3.1 磁盤掃描
磁盤掃描的工作主要是通過分析MFT中的文件記錄,得到全部已刪除文件的文件記錄,重新建立起初始的目錄關系,便于數據恢復使用。磁盤掃描的具體步驟如下:(1)讀取要恢復數據磁盤引導扇區的BPB參數;(2)找到NTFS格式分區中的MFT;(3)取得被刪除文件其文件記錄的存貯物理地址。
3.2 數據恢復
文件被刪除以后如果可以確定文件的數據區完整,未被新的數據覆蓋,那么此文件就可以完全恢復;否則,一旦文件的數據區域被新的文件占用,那么這個文件就無法完全恢復。
數據恢復的具體步驟為:(1)在數組里面讀出要恢復的文件其物理存儲地址,同過對數據流屬性的分析,確認其屬性是否常駐;(2)通過對元數據文件bitmap進行分析進而判斷文件數據區是否完整;(3)對被刪除文件進行恢復,如果能恢復完整的文件,則需要重新建立文件并按照逐一字位恢復的順序對其進行存儲;如果不能恢復完整的數據,則用戶就可根據自己的要求,有選擇性的對數據區域進行還原。
4 實際檢驗
按照前文的分析,筆者采用采用了當下比較流行的數據恢復工具Recuva,進行實際測試。結果證實了前文所分析的內容,當能從獲得準確的MFT中文件存儲的記錄,并且未在被刪除文件數據區域內存儲新文件時候,其恢復數據的完整性非常好,實際證明了與原數據的一致性,實驗證明了前文所分析理論的正確性。
5 結語
本文同過分析了NTFS文件系統中MFT、文件記錄等內容,找出文件被刪除后文件記錄的變化,進而總結NTFS文件系統中數據恢復的操作方法及步驟,對今后需要進行數據恢復工作的讀者提供了一定的理論支持。相信隨著數據恢復工具的不斷發展,數據恢復工作將越來越貼近于大眾。
第3篇:數據恢復范文
1、點擊打開360安全衛士軟件;
2、點擊選擇功能大全選項,選擇文件恢復功能;
3、點擊彈出來的頁面的右下角,添加小工具選項;
4、打開360文件恢復功能,開始搜索;
5、在搜索框里輸入所要恢復的文件的名稱,點擊搜索;
第4篇:數據恢復范文
關鍵詞:關鍵詞:數據恢復;丟失原因;恢復方式;技術層次;恢復案例;恢復技巧
中圖分類號:TP274 文獻標識碼:A 文章編號:
1. 研究現狀
計算機的數據恢復涉及軟件恢復、硬件恢復、數據庫恢復等方面的技術。目前國內在軟恢復方面研究的較深,但與國外專業公司相比,仍然有一定的差距。而數據的硬件恢復、數據庫和異形系統方面,美國和俄羅斯研究理論較深,這是因為主要技術都掌握在西方國家。目前對數據覆蓋的恢復技術,美國研究較為深入,美國軍方可以對覆蓋6~9次的數據進行恢復,俄羅斯可以對覆蓋3~4次的數據進行恢復,IBM公司耗資6億美元的研究成果是可以恢復覆蓋2~3次的數據。
早在上個世紀八十年代,國外就開始了對數據恢復的研究,比我國早了二十多年,所以無論從理論上還是技術上,他們都占有很大的優勢。國外在數據恢復領域的最新進展,其不僅將數據安全的問題考慮在內,更是將數據加密技術、數據安全保障技術、數據恢復技術三者結合起來形成一個數據安全保護體系,這也是數據安全領域的一個重要發展趨勢。
我國在數據恢復領域從無到有,雖發展迅猛,但畢竟起步較晚,許多理論雖然還不太完善,但在數據恢復技術的標準制定上,我國也制定一些標準,并對一些具體的數據丟失問題提出了針對性的解決辦法,基本涵蓋了數據恢復技術的操作規范與適用標準。因此,可以說我國盡管在數據恢復領域落后西方國家,但我國無論是在科研投入上還是在成果產出上在近幾年都取得了可喜的成績,也從另一個方面印證了數據安全、數據恢復領域的重要價值與商業潛能。
2. 數據恢復技術的分析
2.1 數據恢復的概念
所謂數據恢復技術,簡單的說就是通過各種手段把丟失和遭到破壞的數據還原為正常數據,也就是恢復至它的本來面目。數據恢復恢復過程主要是將保存在存儲介質上的數據重新拼接整理,即使數據被誤刪或者磁盤驅動器出現故障,只要在存儲介質的存儲區域沒有嚴重受損的情況下,還是可以通過數據恢復技術將數據完好無損的恢復出來。數據恢復不僅對已經丟失文件進行恢復,還可以恢復物理損傷的磁盤數據,也可以恢復不同操作系統的數據。
2.2 數據的丟失原因
造成數據丟失原因比較多,主要惡意程序、惡意破壞、誤操作、操作系統應用軟件錯誤、硬件失效、加密和權限、掉電、內存溢出和升級等9個方面錯誤。
2.3 數據恢復方式
數據恢復是指通過技術手段,將保存在存儲介質等設備上損壞或丟失的電子數據進行搶救和恢復的技術。由于國外的較早,所以已經形成了較為完整數據恢復體系。根據恢復的方式可以將數據恢復分為硬恢復(硬件問題)、軟恢復(文件系統問題)、大型數據庫系統、異型系統數據恢復、數據覆蓋后數據恢復五類。具體如圖1.1所示。
A、硬恢復。它是指的是由于硬件故障所造成的數據丟失,如磁盤電路板損壞、盤體壞、磁道壞、磁盤片損壞、磁盤內部系統區嚴重損壞等,這種情況下,幾乎都會出現系統不認盤或認盤困難等癥狀。恢復起來難度較大,若是內部盤片數據區嚴重劃傷,那么會造成數據徹底丟失,而無法恢復。稍有常識的用戶,在出現這種情況(如移動磁盤跌落)后,不會反復加電嘗試,也就不會人為的造成大面積的劃傷,因此,這種情況一般還是能夠恢復大部分數據的。
B、軟恢復。指的是存儲、操作、文件等系統層次上數據的丟失,這種丟失是多方面的,例如系統軟硬件故障、死機、病毒破壞、黑客攻擊、木馬破壞、誤操作、陣列數據丟失等;對于一般文件系統來說,這方面的研究工作起步較早,國內外研究的都比較深。這方面的主要難點是:文件碎片的恢復、文檔修復及密碼恢復。
軟件恢復可分為系統級恢復與文件級恢復。系統級恢復就是操作系統不能啟動時,利用各種修復軟件對系統進行修復,使其正常工作,從而恢復數據。文件級恢復,就只是指存儲介質上的某個應用文件損壞,如OFFICE文件損壞,用修復軟件對其修復,恢復文件的數據。
C、大型數據庫系統恢復。大型數據庫系統往往存儲著一些非常重要的數據。組成復雜,一般都會有較完善的保護措施,所以一般不會出現問題,但只要出現問題,基本上都是很難處理的問題,恢復的難度比較大。
D、異型操作系統的數據恢復。指的是不常用的、比較少見的操作系統下的數據恢復,如MAC、OS2、嵌入式系統、手持系統、實時系統等。
E、數據被覆蓋恢復。數據被覆蓋后,恢復難度非常大,這與其他四類數據恢復有著質的區別,目前只有磁盤廠商及少數幾個國家的特殊部門能夠做到,它的應用一般都與國家安全有關。
3. 數據恢復的技術層次
按照技術研發的難易程度與開發層次分類,數據恢復技術可以分為如下四個層次。
3.1 軟件恢復與簡單硬件替代
這種數據恢復技術就是使用網上能夠找到的數據恢復軟件,例如Easy recovery、Recover、Lost&Found、FinalData、Disk ReCover等等,使用這類工具可以對多丟失的數據進行恢復。可以恢復誤刪除、錯誤格式化,分區表損壞,同時這類丟失數據以后 磁盤又沒有用其他數據覆蓋的數據,這些軟件對這樣的數據的恢復的成功率達90%以上。這種簡易數據恢復前提是在計算機的BIOS中能夠識別磁盤。
3.2 專業數據恢復工具恢復數據
目前很多公司都在開發專業數據恢復工具對數據進行恢復,最流行的數據恢復工具有俄羅斯著名磁盤實驗室ACE Laboratoy研究所開發的商用的專業修復磁盤綜合工具PC3000、HIT2.0、數據恢復機Hardware Info、HIE200等等,PC3000和HRT2.0可以對磁盤壞扇區進行修復,可以更改磁盤的固件程序。HIE200可以對磁盤數據進行硬拷貝。這些工具的特點都用硬件加密,如果使用必需進行購買。目前市場上擁有這些工具的數據恢復中心寥寥無幾。
3.3 軟硬件結合數據恢復
用數據恢復的專門設備對數據進行恢復。用這種方法恢復數據,關鍵在于恢復用的儀器設備。這些設備都需要放置在超凈無塵工作間里面,而且這些設備內部的工作臺也是級別非常高的超凈空間。這些設備的恢復原理也是大同小異,都是把磁盤拆開,把磁碟放進機器的超凈工作臺上,然后用激光束對盤片表面進行掃描,因為盤面上的磁信號其實是數字信號(0和1),所以相應地,反映到激光束發射的信號上也是不同的。這些儀器就是通過這樣的掃描,一絲不漏地把整個磁盤的原始信號記錄在儀器附帶的電腦里面,然后再通過專門的軟件分析來進行數據恢復。可以說,這種設備的數據恢復率是相當驚人的,即使是位于物理壞道上面的數據,由于多種信息的缺失而無法找出準確的數據值,也可以通過大量的運算,在多種可能的數據值之間進行逐一代入,結合其他相關扇區的數據信息,進行邏輯合理性校驗,從而找出邏輯上最符合的真值。也可以采用變通的辦法,就是在百級的超凈實驗室內對于盤腔損壞的磁盤,在此超凈實驗室中開盤,取下盤片,安裝到同型號的好磁盤上,同樣可達到數據恢復的目的。
3.4 深層信號還原法
上面分析的數據恢復都有一個前提,就是數據沒有被覆蓋。對于已經被覆蓋的數據、完全低格、全盤清零、強磁場破壞的磁盤,仍然有終極的數據恢復方式,這種數據恢復方法叫,“深層信號還原"。
從磁盤磁頭的角度來看,把數據拷貝到原來沒有數據的新盤和拷貝進有數據的舊盤,是沒有分別的,因為這時候磁頭所讀取到的數字信號都是一樣的。但是對于磁介質晶體來說,情況就有點不一樣了,以前的數據雖然被覆蓋了,但在介質的深層,仍然會留著原有數據的“殘影",通過使用不同波長、不同強度的射線對這個晶體進行照射,可以產生不同的反射、折射和衍射信號,這就是說,用這些設備發出不同的射線去照射磁盤盤面,然后通過分析各種反射、折射和衍射信號,就可以幫助“看到”在不同深度下這個磁介質晶體的殘影。根據目前的資料,大概可以觀察到4-5層,也就是說,即使一個數據被不同的其他數據重復覆蓋四次,仍然有被“深層信號還原”設備讀出來的可能性。當然,這樣的操作成本無疑是非常高的,也只能用在國家安全級別的用途上,目前世界范圍內也沒有幾個國家可以擁有這樣的技術,只有極少數規模龐大的計算機公司和不計成本的政府機關能擁有這樣級別的數據恢復設備而且這樣的設備。
除了以上這些數據恢復的方式外,數據恢復的難易程度還與設備和操作系統有關。單機的磁盤和WINDOWS操作系統的數據恢復相對簡單。而服務器的磁盤陣列和UNⅨ等網絡操作系統的數據恢復就比較復雜,因而數據恢復的收費比單機高得多。
4. 數據恢復案例實踐
目前數據恢復所用的常用軟件有R-Studio、Winhex、Easyrecovery等,正常的格式化、誤刪除、無格式等原因導致的數據丟失情況,可通過以上幾款主流數據恢復軟件進行邏輯恢復;常用的硬件檢測、恢復工具有MHDD、PC-3000、PC-3000 Flash等,其主要針對存儲介質的固件損壞、核心損壞、閃存電路板損壞等情況可進行快捷的恢復操作。
4.1 U盤提示格式化修復恢復實驗
眾所周知,目前市場及網絡上銷售的U盤等移動存儲介質的規格質量參差不齊。在我們對U盤的日常使用中,會經常遇到在將U盤連接到電腦上,系統會提示“您的U盤需要格式化”、U盤無法正常訪問的情況。
此次實驗就是針對U盤提示格式化的情況,來實現U盤中數據的恢復。對于硬盤分區打開提示格式化也一樣用。
步驟:先把你的U盤插入數據恢復一體機,進入恢復模式后,首先可以看到U盤的信息在第一個盤符。通過掃描,首先可以看到U盤的信息在第一個盤符。
選定U盤盤符,點紅色標記處開始鏡像,做鏡像是為了掃描的快些(如果是硬盤可以不做鏡像)。
掃描打開鏡像文件。
成功打開鏡像文件;
選擇鏡像文件的盤符,選擇開始掃描;這是彈出來個對話框,可以設置你要掃描的扇區起始范圍,文件系統類型。
顯示掃描結果;
雙擊打開綠色表示的鏡像文件;展開鏡像文件的目錄結果;
列出此分區存在的所有已刪除和丟失的文件,通過復選框選擇所需要恢復的文件;
點擊恢復所有標記文件或所有文件,會彈出來個對話框,選擇需要恢復文件的保存位置(注意:不要保存在原盤)。如果需要讓你更名的文件,你可以選擇跳過所有。
打開之前定義的存儲位置,可見,數據已經成功恢復了。
確認數據恢復成功后,方可將U盤正確格式化、初始化。
4.2 數據邏輯銷毀實驗
在日常生活中,我們都會有捐贈物品的時候。比如說老電腦因為配置不滿足自己的需要,而轉贈給了自己親朋好友,或者有人直接捐給了希望工程。在給別人的時候,存儲在硬盤中的信息多多少少都有一些私密文件,我們通常用刪除或者格式化的操作來清理,但就因為這樣不經意的時候,我們隱私數據又被別人恢復回來了,那么如何才能更安全的來銷毀我們自己隱私的數據呢?下面我就來談一談,怎樣用Winhex安全清除硬盤上的數據(防止數據泄密)。
步驟:首先打開要清除的對象硬盤,Ctrl+A或者點擊Winhex菜單欄“Edit”/“Select All”。
然后,Ctrl+L或者Winhex菜單欄”Edit”/”Fill Block”。
按照上圖的指示,下一步會彈出以下窗口。
默認要填充的數據是”00”,也可以自己定義,或者讓Winhex隨機填充,最好使用默認的”00”,然后點擊”OK”按鈕,Winhex就開始對選擇硬盤進行數據填充了,填充過程是個漫長的過程,填充完畢后,關閉軟件,數據安全填充就完成了。
4.3 Victoria-MHDD圖形界面版硬盤檢測案例
Victoria具有Windows下的MHDD美稱,眾所周知,MHDD是檢測硬盤的軟件工具,由于此軟件是 運行在DOS環境下,使用起來,比較麻煩和困難,而Victoria彌補了這個缺點和不足,即擁有MHDD的大部分的功能,同時還能運行在Windows界面下,操作起來極其方便和簡單。
Victoria主要的功能是檢查硬盤,具體來說,就是檢測硬盤是否存在壞道,更為重要的是Vicatoria還具備修復壞道的功能。點擊Victoria軟件的標簽按鈕”標準”,在右上邊的面板中顯示的就是能識別到的所有硬盤。
選中你要檢測的硬盤,點擊”硬盤信息”按鈕,你就可以看到此硬盤的具體信息。
檢測硬盤是否有壞道,需要切換到標簽”測試”下。
接下來點擊”開始”按鈕,進行測試,在右邊的面板中,有四個單選按鈕,默認選擇”忽略”。
硬盤檢測完成,會出現如下結果樣式。
簡單解釋一下,右邊硬盤狀態7個顏色塊表示的意義,如下圖所示:
硬盤檢測最終結果會顯示在軟件下邊的狀態面板中,更為詳細的信息會記錄在Victoria軟件安裝目錄下的LOGS目錄下的eventlog.txt文件中。
以上就是Victoria硬盤檢測軟件的基本使用辦法。
5. 數據恢復的操作技巧
5.1 恢復過程中的掃描技巧。一般來說,誤刪除文件會馬上發現自己的誤操作,所以剛刪除的文件在磁盤文件分配表處于較靠前的位置,可以利用這一點,加快恢復的速度。如您使用Easy Recover,在選定了目標分區后,只要掃描5%左右的目錄樹,就可終止掃描,然后進入下一步,這樣一般都能找到。這種方式比完全掃描后再找恢復文件要容易,若您掃描所有文件,可能會有數萬個甚至10多萬個已經刪除的列表,此時您要找自己想恢復的目標就較困難了,因為在您的機器里,不同時期可能產生過同一個文件名的幾個文件,為了防止混亂,恢復軟件一般會把這些類似的文件標記為數字開頭編號結尾的文件,您無法按首字母來找,要靠眼睛一個個識別,太多的選擇會讓您眼花繚亂。可以在終止掃描時,選擇保存當前掃描進度,如果5%的數量沒找到您的目標,可以按此進度繼續掃描,不必從頭開始一次。注意這個保存操作也不要放到目標分區里,要另外指定路徑存盤。DOS時代的UNDELETE軟件,只能處理FAT的格式,而且對于長文件名結構無能為力。
5.2 如辦公軟件WORD字處理軟件,除了用恢復工具,還能進入其安裝目錄,找到隱藏的臨時文件直接恢復。因為這類軟件都會對您當前操作的文件生成一個備份文件,而且不自動刪除,所以您可以在DOS狀態下,在目標目錄鍵入ATTRIB*.*-h消除臨時文件的隱藏狀態,然后把后綴名改為*.DOC,就可能已經成功恢復了。當然,得到的臨時文件可能會有10多個,名字也是多樣的,您可嘗試逐個打開并找到有效的一個。
5.3 對于NTFS的格式,切記不要急于重裝系統 。若你使用的是NTFS格式,但Windows運行出了問題。即使分區表沒有損壞,還能看到該分區,也不要急忙重裝系統。因為NTFS是有權限加密的,而且在一個操作系統下,密鑰是唯一的,若您重裝了系統,即便是同一個版本,也有可能讀不出NTFS加密的文件夾。低級格式化更是不要輕易嘗試。
5.4 對于誤格式化了分區,有條件的話,最好先用Ghost備份鏡像全盤到另外一個硬盤,再嘗試各種工具進行恢復操作。
通過以上幾個實踐案例及總結的一些技巧,已經可以簡單感受到數據恢復軟件工具的使用情況。雖然過程簡要,但是要真正了解、熟悉數據恢復技術、數據恢復方法,仍需通過長期的理論探究、實踐及應用過程。
第5篇:數據恢復范文
要】由于互聯網的普及,計算機在使用時會接觸到許多“陷阱”。用戶儲存在計算機內的數據的威脅也成倍增加。因此,了解數據的安全,數據的恢復技術變得越來越重要。本文詳細介紹數據恢復的的基本概念和原理,以及一些數據恢復的方法。
【關鍵詞】計算機硬盤;數據恢復;硬盤的存儲結構
1、引言
隨著計算機在各個領域和行業中的普及和應用,計算機的使用越來越頻繁,信息數據量也成倍的增長。由于各種原因,導致計算機硬件不能正常工作,從而造成數據丟失的事件也越來越多。數據的意外丟失令當事人,特別是規模較大的公司,研究機構,政府部門和其他企業造成巨大的經濟損失,筆者就以上問題進行如下闡述。
2、數據恢復
目前,“數據恢復”作為挽救數據的有效方法和手段越來越受到業界的重視。
數據恢復是指用相應的各種技術方法把計算機存儲介質(硬盤、軟盤等)上損壞的數據重新找回,使其得以再用。我們所討論的數據的恢復是基于硬盤這種最通用的存儲介質的。
假若硬盤因為磁頭缺損、電機故障、盤片劃傷等原因導致不能正常工作,這種純物理故障只有將硬盤交給專業人員進行開盤操作了。由于維修環境和條件相當苛刻、數據修復相關技術難度很大,不具通用性。
對于軟件故障導致的數據災難的數據恢復,首先,有一個前提要強調一下,那就是計算機里數據的存取特征:數據取出時的復制性,數據存儲時的覆蓋性。通俗地說,數據在從存儲單元里取出時取出的是副本,是“復印件”;而數據在寫入存儲單元時會取代存儲單元里原有的數據。因此,如果硬盤中的原有數據被新數據完全覆蓋或多次被部分覆蓋,就基本上沒有恢復的可能。
2.1硬盤的存儲結構
想對硬盤進行數據恢復,我們就必須先了解硬盤的存儲結構,以便在恢復數據時好對癥下藥。
一塊新硬盤需要將其分區、高級格式化,安裝上操作系統以后才可以使用。而在這一過程中,硬盤被分成了五個部分:即主引導記錄區(MBR)、操作系統引導記錄區(DBR)、文件分區表區(FAT)、根目錄區(DIR)、數據區(DATA)。如圖1:
MBR區(Main Boot Record)位于整個磁盤的0磁道0柱面1扇區,共占用512字節。這512字節里主引導記錄占了446字節,硬盤分區表(DPT)占64字節,用來存儲硬盤主引導分區信息,最后2字節“55AA”是主引導扇區的結束標志。主引導記錄是由分區程序(如Fdisk.exe)所產生的,它不依賴任何操作系統,其主要作用是檢查分區表是否正確并且在系統硬件完成自檢后引導主分區上已安裝的操作系統,并將控制權交給啟動程序。這里有必要
指出一點:不同操作系統的FDISK寫入主引導記錄內容是不同的。硬盤分區表里記錄了四個分區的信息,每個分區占16個字節。里面包括了分區狀態(占1字節,用來標識分區是否為活動分區)、分區類型(占1字節)以及起始和結束的扇區、柱面、磁道等信息。因此,若硬盤分區表出現問題就會出現分區丟失等故障。
DBR 區(DOS Boot Record)位于硬盤的0 磁道1 柱面1 扇區,是操作系統可以直接訪問的第一個扇區,它包括一個引導程序和一個被稱為BPB(BIOS Parameter Block)的分區參數記錄表。操作系統引導記錄由高級格式化程序(如)產生。這里引導程序的主要任務是當MBR 將系統控制權交給它時,判斷本分區和當前目錄的前兩個文件是否操作系統的引導文件。如果確定存在,就把它讀入內存,并把控制權交給該文件。BPB參數塊記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT 個數以及分配單元的大小等重要參數。
FAT 區(File Allocation Table)是操作系統的文件尋址系統,是FAT文件系統給文件分配磁盤使用空間的表。文件的存放是以鏈式存儲的方式將文件分為若干段存放在磁盤的非連續區域內的,通過指針把文件的若干段聯系在一起,當讀寫一個文件時,操作系統通過FAT表就可以知道文件存放的位置,從而可以準確地讀出文件。FAT表存放在DBR 區之后,從各分區的邏輯1 扇區開始存放,其大小隨分區大小不同而不同。同時,為了防止意外損壞,FAT一般有兩個,第二FAT 作為第一FAT的備份。
根目錄區(DIRECTORY)就是文件的目錄,它與FAT配合起到給文件正確定位的作用。
數據區(DATA)是真正存儲數據的區域,即文件真正存放的區域。
2.2硬盤軟故障導致硬盤數據丟失的數據恢復
基于以上前提,可以得出結論:由于硬盤軟故障導致的數據災難,在一定前提下,其數據恢復是完全可以實現的。正常情況下,可以恢復80%~90%的數據,100%的恢復也是可能的。硬盤軟故障的數據恢復主要可以從以下幾個方面入手:
2.2.1主引導區恢復
目前很多惡意程序都喜歡攻擊硬盤的主引導區與分區表,攻擊成功就會造成主引導區損壞。有時候磁盤分區軟件的誤操作以及中途斷電也會造成主引導區損壞。出現此類故障時,計算機常有“Disk Boot Failure,Insert System Disk And Press Enter”、“Miss Operation System”等提示。通常來說,一旦主引導記錄和分區表被破壞,硬盤里的數據雖然無法訪問,但也沒有丟失。所以可以利用軟件修復損壞的主引導區,這樣就能找到丟失的數據。用系統引導盤啟動系統。然后鍵入“C:”,看看能否讀出C盤的內容。之后使用Fdisk/mbr 命令進行無條件重寫主引導區,這樣既可以使主引導區恢復正常,也可以保留C盤原有的數據。另外,值得注意的是,Fdisk/mbr 對于解決主引導區病毒也是非常有效的。
2.2.2分區表恢復
分區表故障經常表現為:進入操作系統后發現部分分區丟失,或是磁盤管理器中顯示錯誤的容量等故障現象。與主引導區相比,分區表被破壞時的修復相對要復雜一些。一般而言,要修復分區表可通過查找備份的分區并復制相應的扇區。因此我們使用分區表的備份覆蓋被破壞的分區就可以將故障解決了。但是在部分情況下,分區表的備份無法找到,此時只能手動修改。使用WinHex 等軟件直接操作分區表數據。在軟件操作界面里,查找從“80”始到“55AA”結束的DPT 硬盤分區表信息(如圖2),這樣可以得知硬盤分區的基本信息。然后,尋找下一個“55AA”標志,因為“55AA”之后就是下一個分區的開頭(如圖3)。只要找到“55AA”的位置,就可以推算出分區的磁頭、扇區和柱面數字再折算成16 進制并回寫到相應位置即可修復分區表。
2.2.3DBR修復
前文提到過,DBR(操作系統引導記錄區)是由高級格式化程序Format 產生的,因此DBR 也是一段信息代碼,同樣可能遭到破壞,最終導致無法進入操作系統,部分文件夾信息也會丟失。該類故障常出現以下現象:在windows下無法打開某個分區,雙擊分區圖標時提示“該分區未格式化”,進入DOS 系統,使用“DIR”命令會出現提示“General Fail Reading Driver”。應注意的是,此時千萬不要格式化程序,因為格式化程序會重寫DBR,這樣固然能解決問題,但分區里原有的數據也會丟失,這與挽救數據的最終目的是相違背的。這時須將問題硬盤作為從盤掛接,隨后直接打開Winhex 時選擇該磁盤,直接在右上方的“訪問”下拉列表中選擇DBR故障分區,然后打開“起始扇區模板”修復即可。
2.2.4零磁道損壞的修復
對于硬盤而言,零磁道是最為關鍵的地方,因為硬盤的分區表信息就在其中。一旦零磁道損壞,那么硬盤將無法啟動。其實,零磁道損壞只是物理壞道的特殊情況,所不同的只是損壞之處十分敏感。對于帶有物理壞道的硬盤,最簡單的數據恢復方法就是將該硬盤設置為從盤,然后使用另一塊正常的硬盤作為主盤引導進入操作系統。在磁盤管理器里對壞盤進行盤符分配,如果成功,直接拷貝就能成功挽救并保存數據。但若壞道過多,那就只能嘗試其它方法,比如:使用帶有扇區復制功能的磁盤訪問工具對扇區進行復制,并將復制出的扇區數據復制到完好的硬盤上。“效率源”就是具有這種功能的工具之一。當數據成功挽救之后,接下來可以嘗試修復該硬盤,此時可以采取修改硬盤分區表存儲位置,然后再屏蔽壞道的方法來處理。
2.2.5文件誤刪除的數據恢復
這類問題主要是由用戶誤操作引起的,實際上,所謂的刪除是在被刪除的區域做了一個可覆蓋標記,數據并沒有真的被刪除。也就是說,只要將這些可覆蓋標記更改過來,數據就可以恢復。但值得注意的是:如果在加了可覆蓋標記的區域里重新寫入了數據,即新數據部分或全部覆蓋了原有數據,那么原有數據就很難被恢復。因此,當執行誤刪除操作以后,切記不要對硬盤進行數據寫入操作,以免誤刪除數據被覆蓋而不可恢復。這里可以利用一些著名的文件恢復軟件進行文件恢復。如:EasyRecovery,它通過使用一種復雜的模式識別技術找回分布在硬盤上不同地方的文件碎片,并根據統計信息對這些文件碎片進行重整。接著在內存里建立一個虛擬的文件系統并列出所有的文件和目錄。由此可以找回誤刪除的文件。
第6篇:數據恢復范文
關鍵詞 Windows操作平臺 數據丟失 數據恢復
中圖分類號:TP309.3 文獻標識碼:A
0引言
數據恢復就是把遭受破壞,或由于硬件缺陷導致不可訪問或不可獲得,或由于病毒、誤操作等各種原因導致的數據還愿成正常數據。
1數字恢復的相關軟件及其恢復操作
目前常用的數據恢復軟件有:Disk Recovery、Easy Recovery、File Rescue Plus、File Scavenger、Final Data、Final Recovery、Handy Recovery、Recover My Files、Search and Recover、易我數據恢復向導等,而且各個恢復數據軟件也有些許不同之處。針對硬盤數據出現丟失的不同情況及恢復分為以下兩種:
1.1分區表的恢復
分區表損壞的原因有很多種,其中最常見的是病毒性破壞、誤操作導致分區表損壞、自然因素損壞分區表、分區表丟失與被隱藏等,總之是使分區表全部丟失或者部分丟失導致的原有的分區的數據在操作平臺中不可見、無法讀取、寫不進數據等。但這種情況下的數據丟失通常都是整個分區的數據丟失,需要恢復的也是整個分區的數據。
遇到這種情況,我們一般使用超級硬盤恢復數據軟件。該軟件可以很方便地恢復出分區表受損后的數據,包括由于MBR破壞、重新分區、修復壞道后導致分區丟失、在DOS系統下面用?fdisk/mbr命令清空分區表、在磁盤管理中刪除分區等等導致分區不可見、無法讀取、無法寫進等情況。掃描速度快,安全性能比較高。
假設有一個160G的移動硬盤,這個移動硬盤原先有4個分區,包括NTFS分區和FAT32分區,里面存放了影音圖片和工作文件,但因為直接強制拔掉USB接口造成了分區丟失,現在全部分區都看不到,硬盤也變成了未指派狀態,如圖1所示。
使用超級硬盤數據恢復軟件恢復這類錯誤的步驟如下:
(1)運行超級硬盤數據恢復軟件后,選第3項,恢復丟失的分區,點下一步。
(2)選擇這個移動硬盤“磁盤2”,再點下一步按鈕后,就開始進行對分區的掃描。
(3)等待掃描完畢,超級硬盤數據恢復軟件就可以列出了丟失的這幾個分區,可以根據之前你對相關卷標、大小等信息來確認你要恢復的分區,然后選擇要恢復的分區點擊下一步直到結束完成對文件的恢復。
1.2刪除文件及格式化數據的恢復
Windows操作系統刪除文件時會把文件先放到回收站里,如果確定不用刪除文件還能在回收站內找回來,若要刪除就清空回收站再釋放空間。也可以使用Shift + Del不通過回收站直接刪除文件并釋放空間,如刪除的文件過大,操作系統會提示文件不能放入回收站而直接刪除并釋放空間。
目前常用的恢復軟件是Easy Recovery。通常Easy Recovery不會向原始驅動器寫入任何東西,它主要是在內存中重建文件分區表,使數據能夠安全地傳輸到其他驅動器中,可以從被病毒破壞或是已經格式化的硬盤中恢復數據。
現假設F盤里的一個文件“王鐵林.docx”不小心丟失,這時想要找回來,回收站里也沒有了。
我們使用Easy Recovery軟件進行恢復的步驟如下:
(1)啟動Easy Recovery,點擊“繼續”啟動Easy Recovery軟件的界面。如圖2所示。
(2)選擇媒體類型,選擇“硬盤驅動器”,點擊“繼續”。
(3)選擇要恢復的磁盤盤符F:盤,點擊繼續。
(4)選擇要進行的恢復方案,掃描完成后,再將文件保存到預先準備好的磁盤或者是移動設備中去,盡量不要保存在掃描盤內,以免數據被覆蓋。
2總結
上面介紹了分區表的恢復及刪除文件及格式化數據的恢復的具體方法。但是無論數據行業再如何發達,數據恢復終究也只是一種災后重建的手段,無法確定能完全恢復被刪除的數據,真正的數據保護應該還是個人要養成合理使用存儲設備及相關的電子設施的習慣,以減少出現數據丟失的情況,這樣才是最好的保護了數據,而不要等到數據失去了才苦苦地找尋數據恢復的方法。
參考文獻
第7篇:數據恢復范文
關鍵詞: 智能手機; SD卡; 數據恢復; 邏輯故障
中圖分類號:TP391 文獻標志碼:A 文章編號:1006-8228(2017)03-20-03
Abstract: Today's Smartphone features more and more powerful, requires a lot of storage space, so a memory card is needed to store the data, as the phone memory has been unable to meet the requirement. Taking the SD card as an example, this paper analyzes the physical structure of the card and the principle of data storage, studies the data recovery process after generating a logical fault, and uses software WinSDCard and Winhex to recover the data. The test results show that the method has a good recovery effect, and can be used for personal data recovery, mobile phone forensics, etc.
Key words: Smartphone; SD card; data recovery; logical fault
0 引言
智能手機在人們的工作和學習中扮演著越來越重要的角色,智能手機具備的功能越來越多,存儲的數據量和所需的存儲空間也越來越大。當手機本身的存儲空間不能滿足需求時,就需要安裝數據存儲卡。然而,用戶在使用智能手機的過程中,由于各種主觀或客觀的原因,存儲卡會經常出現重要數據丟失和損壞的情況,給用戶造成非常大的損失。因此,為了盡可能替用戶恢復數據,挽回損失,就需要探究手機存儲卡的數據恢復方法。
目前,常用的手機存儲卡主要有RS-MMC卡、SD卡等類型[1]。筆者以SD存儲卡為例,在分析其數據存儲結構與原理的基礎上,使用WinSDCard和Winhex數據恢復軟件,研究了數據恢復的具體方法。
1 SD卡數據存儲原理
SD卡(Secure Digital Memory Card)是一種基于半導體Flash技術的新一代記憶設備。SD卡由日本松下、東芝及美國SanDisk公司于1999年8月共同開發研制[2]。SD卡體積小,其大小猶如一張郵票,重量只有2克,具有高記憶容量、數據傳輸速度快、可熱插拔、極大的移動靈活性以及很好的安全性等優良的特性,它被廣泛地用于便攜式裝置上,例如數碼相機、數碼攝像、個人數碼助理(外語縮寫PDA)、智能手機和多媒體播放器等。
SD卡可以通過市面上很普遍的USB接口讀卡器即可將存儲的測量數據讀出,省略了耗時長且不安全的數據導出過程,價格便宜,容量較大,非常適合于長期測量系統的數據存儲[3]。SD卡支持SD模式和SPI模式,其中SPI模式中使用的SPI接口在單片機系統中應用非常廣泛,在SPI總線模式下,CS為主控制器向卡發送的片選信號,SCLK為主控制器向卡發送的時鐘信號。DI(Data In)為主控制器向卡發送的單向數據信號,DO(Data Out)為卡向主控制器發送的單向數據信號[3]。SD卡的內部結構如圖1所示。
2 SD卡數據損壞的原因
在日常使用中,SD卡會由于各種原因導致數據損壞,其原因可以歸納為物理損壞和邏輯故障兩大類。
2.1 物理損壞
物理損壞主要是由于硬件發生故障、受損而造成的[4-5],具體表現形式及損壞原因如表1所示。
2.2 邏輯故障
邏輯損壞主要是由于軟件受損而造成的[4-5],主要原因有以下幾種。
⑴ 惡意破壞:主要包括各種病毒、木馬對數據的損害,造成數據丟失。
⑵ 誤刪除、誤格式化,將文件的首字節改為E5H。
⑶ 系y故障:比如在讀寫數據時,意外停止、撥出;拷貝數據未正式結束,就撥出、強行停止;在從電腦退出時,未按正常退出步驟操作,人為(彈)撥出等,造成數據無法找到,手機不能識別SD卡。
SD卡出現邏輯故障后,數據之間的關系出現錯誤,但是只要SD卡未有重復讀寫的操作,數據仍可以部分使用,數據恢復的希望還是比較大的。
3 SD卡數據恢復方法介紹
3.1 物理損壞的修復及避免方法
SD卡一旦由于物理原因造成數據損壞,必須請專業的硬件維修機構對數據進行恢復,需要對SD卡進行芯片級的維修,這不僅費用昂貴,而且數據也不一定能完全恢復,還容易造成電路燒毀,SD卡可能直接報廢,給用戶造成巨大的損失。因此,用戶在使用智能手機存儲卡時應注意以下幾點,以避免發生物理損壞,造成重要數據損毀。
⑴ 及時對數據進行備份。用戶應定期將文件拷貝至手機內存、電腦、移動硬盤或云盤。
⑵ 在讀/寫SD卡數據時,不要拔出SD卡。有些卡在系統拷貝進度條消失后仍處于工作狀態,應等待讀寫狀態燈熄滅后再拔下讀卡器或存儲卡。
⑶ 避免熱插拔SD卡。若在開機狀態插入新的SD卡,由于手機沒有對卡進行初始化,可能造成無法正常識別,還可能損壞手機和存儲卡。
⑷ 在智能手機電池電量不足時,盡量少讀寫SD卡。
3.2 邏輯故障的數據恢復方法
對于邏輯故障引起的數據丟失和損壞,只要數據區沒有被徹底覆蓋,用戶通過相關軟件的使用,一般都可以順利恢復。比如誤刪除操作,實際上此時保存在硬盤中的文件并沒有真正被完全覆蓋,而是把指向數據存儲空間的鏈條刪除了,真正的數據還是以二進制的方式存儲在SD上。只要這些數據不被覆蓋,通過一些數據恢復軟件,尋找主文件表中數據的存放位置,對這些存儲數據的SD卡進行掃描,通過掃描找到存在的數據殘段并進行數據修復并備份修復好的數據[6]。數據恢復流程見圖2。
接下來,本文結合WinSDCard(SD存儲卡數據備份軟件)和Winhex數據恢復軟件,介紹如何對數據出現邏輯故障的SD存儲卡的數據進行恢復。主要過程分為兩步:
第一步:利用WinSDCard軟件將SD存儲卡的數據復制成為一個RAW原始映像文件。
運行WinSDCard,然后插入裝有SD卡的讀卡器,WinSDCard會發現新插入的SD存儲卡。選中該盤符,點擊“Backup Image工作模式”,然后備份數據成為鏡像文件。
第二步:使用Winhex軟件恢復數據。
啟動Winhex, 打開鏡像后的文件。選擇“工具/磁盤工具”菜單,使用“通過文件類型恢復”的功能菜單,在彈出的窗口中選擇以下幾種方式,對SD存儲卡數據進行恢復操作:
⑴ “選擇文件類型”:是指需要指定文件類型,如果要恢復的文件類型是WORD,那么就選擇“Msword”文件類型;如果要添加沒有在列表中的文件型,可以選擇“自定義”文件類型;
⑵ “輸出文件夾”:是存放恢復后的文件,默認路徑為“C:Recovery Disk U”,也可以自行設置文件路徑;
⑶ “為每個文件類型創建子文件夾”選項是為每一種文件類型建立一個子目錄,默認選中該功能;
⑷ “僅在選塊中搜索”:是選擇搜索模式,如果SD存儲卡的容量不是很大,可以選擇這個模式;如果SD存儲卡容量很大,可以選擇“搜索全部扇區邊界”模式,如果想更精確,可以選擇“完整的字節級搜索”字節搜索模式,這個模式的速度慢些;
⑸ 最后,點擊“確定”,等待文件恢復。
經過上述步驟,數據恢復結束,退出程序。
4 結論
為測試采用本文方法恢復數據的效果,筆者首先對MICRO SD存儲卡中的圖片、文檔和視頻等不同數據類型的文件作刪除操作,之后利用WinSDCard和Winhex軟件恢復數據。實驗證明,采用該方法恢復了95%的被刪除的文件,而且內容恢復準確率達97%。
本文分析了SD存儲卡的物理結構和數據存儲原理,重點研究了SD卡的邏輯故障,提出了利用WinSDCard和Winhex軟件進行數據恢復的方法,實踐證明有很好的數據恢復效果。在實際操作中,為進一步提高內容恢復的準確率,還需嘗試不同的數據恢復軟件。
參考文獻(References):
[1] 陶榮,饒佳藝,嚴麗娜等.智能手機RS-MMC存儲卡數據恢復研究[J].電子設計工程,2012.20(17):180-182
[2] 周立功.ARM嵌入式系統軟件開發實例(二)[M].北京航空航天大學出版社,2006.
[3] 劉素花,龔德俊,徐永平等.SD卡在海洋數據存儲中的應用[J].海洋科學,2009.33(3):16-20
[4] 李志強.常見硬盤數據損壞的類型及恢復方法[J].硅谷,2011.23:124-126
第8篇:數據恢復范文
關鍵詞: 手機取證; Android手機; 數據存儲; 數據恢復
中圖分類號:TP309 文獻標志碼:A 文章編號:1006-8228(2017)04-29-03
Abstract: How to extract and recover data from deleted or corrupted data is one of the most important issues in mobile phone forensics. This paper studies the SQLite data storage structure and the addressing of the Btree page tree structure of Android mobile phone, to recovery the deleted data by traversing the leaf pages. The research status of domestic and foreign data recovery methods are introduced, which provide the reference for the further research of Android mobile phone data recovery.
Key words: mobile phone forensic; Android mobile phone; data storage; data recovery
0 引言
隨著移動通信技術的發展和智能手機的普及,手機犯罪呈高發態勢。據Gartner的數據顯示[1],2015年Android手機市場占有率高達80%,所以Android手機已經成為主要的數據取證源之一。如何從Android手機中提取和恢復數據,成為司法取證的一個課題。本文主要基于Android系統,歸納主流的手機數據恢復技術,概括國內外研究成果與現狀,并對Android手機數據恢復技術發展作了總結與展望。
1 手機數據存儲分類
根據Android手機內部存儲機制,手機數據存儲方式主要分為內部存儲和外部存儲兩種。其中內部存儲主要有SIM卡和手機機身內存,外部存儲主要有手機外部存儲卡。此外,短信服務提供商和移動網絡運營商也包含相對應的有效信息。
⑴ SIM卡即手機卡。也稱客戶識別模塊卡,主要用來鑒別網絡用戶身份信息,存儲客戶信息等。卡上所有的數據都是以文件的形式存儲在卡上相應的數據存儲區域,其中SIM卡里存儲的數據由四部分組成。第一部分是固定存放的數據。該類數據信息在移動設備被出售之前由SIM卡中心提前寫入。包含國際移動用戶識別號、鑒權密鑰、加密算法等一些固定不變的信息。第二部分是暫時存放的相關網絡數據。如LAI(位置區域識別碼)、TMSI(移動用戶暫時識別碼)、禁止接入的公共電話網代碼等。第三部分是與業務相關的代碼,如PIN(個人識別碼)、PUK(解鎖碼)、計費費率等。第四部分是用戶存儲的電話號碼簿信息。比如手機用戶隨時輸入的電話號碼等。
⑵ 手機內存。手機內存分為兩塊:RAM(動態存儲區)和ROM(靜態存儲區)。其中,動態存儲區又稱隨機存儲區,用來臨時保存數據,突然斷電時會丟失存放的數據信息;靜態存儲區又稱只讀存儲區,用來存放用戶數據文件,對突然出現斷電的情況也不受影響,起到保護的作用。
⑶ 手機擴展存儲卡。手機擴展存儲卡通常使用FAT文件系統,常用的外置存儲卡有TF卡、CF卡等,屬于閃存卡。手機擴展存儲卡是為了擴大手機內存容量,減少手機自身內存占用,一般用來存放大量的音頻、視頻、圖片等文件,如果對這些信息進行恢復,往往也能獲得有價值的線索。
2 基于SQLite的數據恢復方法
SQLite數據庫在Android手機中應用廣泛,具有量級輕、資源占用率低、易移植等優點。在Android系統中,大部分數據存放在SQLite數據庫中,比如短消息、通訊錄和通話錄等,這些數據有較多價值。所以本文以SQLite數據庫為研究對象,描述SQLite數據庫的存儲原理及數據恢復方法。
2.1 SQLite存儲原理
第9篇:數據恢復范文
關鍵詞:關鍵詞:磁盤; 數據恢復; 固件
中圖分類號:TP3 文獻標識碼:A 文章編號:
在硬盤數據恢復過程中,常會遇到由于硬盤固件區損壞而丟失數據的故障硬盤,此時可通過數據恢復工具的硬盤固件區修復技術來完成硬盤數據恢復。
1. 磁盤固件
固件(Firmware)是固化在硬盤ROM芯片或負道上(保留區)的軟件,硬盤固件區保留著引導硬盤所需的關鍵信息,固件完成硬盤初始化啟動,包括以下重要信息:
伺服信息或伺服字段:用于磁頭定位。
低級格式化:磁道起始信息標志信息,劃分磁道扇區。
駐留軟固件微程序:初始化診斷、控制主軸電機、控制磁盤控制器。緩沖Ram數據交換。
配置表和設置:磁盤空間的邏輯結構和物理結構。
缺陷表:硬盤的生產技術不能實現無缺陷,缺陷表包括P表和G表,由工廠測試時填寫,缺陷對用戶來說是隱藏的,只有專門的程序能訪問。
當硬盤開始工作,先進行“初始化”,讀取硬盤保留區的固件信息,若能正常讀出和較驗正常,硬盤進入準備狀態,若出現固件故障,硬盤就無法進入準備狀態,表現為無法檢測硬盤可檢測到無法讀寫操作。這時就要修復硬盤固件以修復硬盤。
效率源有目前國內規模最大的硬盤數據恢復,硬盤維修研究機構。在十年專業的硬盤數據恢復,硬盤維修經驗基礎上。先后開發出了希捷、西數、邁拓、富士通等多款專業都硬盤數據恢復軟件和硬盤維修軟件。
2. 固件修復的實現
2.1 裝入管理
裝入管理的作用主要是把硬盤的資源信息裝入到程序中,包括硬盤屬于什么系列,個體的型號,以及該硬盤的參數。一個正常能識別的硬盤,直接點擊就可以從硬盤獲取,程序會自動裝入相關的資源文件,同時在最下路徑欄生成對應硬盤型號以及路徑的文件文件夾,在對應的文件夾中生成這個硬盤的資源文件。
不能識別的硬盤,程序同樣可以根據電路板類型讀出該硬盤屬于什么系列,以及相應的ROM版本。在左邊列出了目前所有硬盤的系列,如果有不支持的類型,只要將資源文件發經開發商,就可以升級更新程序支持這種硬盤。
診斷:當硬盤裝入之后,點擊診斷按鈕,左邊會顯示出當前硬盤診斷信息。
2.2備份固件
程序保留了以前DOS版本的備份方式,同樣是模塊和磁道,可以將對應模塊點擊勾選上,希捷讀取,在當前路徑下就會備份生成出對應的模塊,同時在讀取的時候下方會有進度條顯示。DOS版本的固件同樣適用于WIN版,只需要修改一下文件名,修改方式為將K7_1.MOD修改為1.MOD,如此類推。
圖1 備份固件操作過程界面
2.3 回寫固件
可實現高速回寫,點擊需要回寫的模塊名,會彈出對話框,選定到對應的模塊即可。如回寫ATA,就選到1號,對應的模塊可以到備份固件查看,下方會顯示回寫進度。
圖2 回寫固件操作過程界面
注意:校準完成回寫ATA模塊之后必須通病修復,還需要手支輸入一次型號和容量,方能認盤。
圖3 固件檢測與修復操作界面
通病修復:此功能也是數據恢復和不識別硬盤修復的利器,對于部分電腦主板不識別,使用MHDD工具檢測硬盤時,BUSY長亮的情況,用本功能只需要約兩分鐘即可使硬盤恢復正常,同時故障硬盤數據將全部保留,修復后可以直接啟動或拷貝數據。Windows版本程序在校準完成之后,回寫ATA模塊和通病修復完成后,必須對硬盤進行其他操作和參數修改,將原盤型號和容量寫回去。
修復只讀:希捷硬盤在檢測自身固件時,如果發現有比較嚴重的錯誤,或者說是致命錯誤的時候,硬盤會自動進入只讀模式。這種模式硬盤只允許讀取文件,不允許寫入文件或對硬盤進行分區等。“修復只讀”功能就是專門針對這種情況設計的,修復硬盤固件區的致命缺陷,使硬盤重新具有寫入功能。
3.缺陷操作
圖4 缺陷操作過程界面
修復固件后,該硬盤的缺陷會暴露出來,所以必須修復缺陷。
執行清空道表清除硬盤內部已經存在的磁道缺陷列表。清除后,需要進行全盤清零操作方可生效。道表也可以理解為經過壓縮之后的P表。清除道表后,硬盤將產生大量的連續壞道,并造成數據區數據嚴重錯位,有重要數據的硬盤使用本功能以前請先備份,以免造成數據的丟失。
執行清空P表清除硬盤內部已經存在的P-List缺陷列表,清除后,需要進行全盤清零操作方可生效。清除P-List缺陷列表后,硬盤將產生大量的壞道,并造成數據區數據嚴重錯位,有重要數據的硬盤使用本功能以前請先備份,以免造成數據的丟失。
執行清空G表清除硬盤內部已經存在的G-List表,一般硬盤在G-List表支持容量較少,希捷酷魚列表的硬盤G-List表最大支持1020個,因些通常情況下使用軟件加入后會出現壞道無法加入的情況情況。這時可以選清除G-List表。進行全盤擦除不穩定扇區后,再進行G-List表壞道加入。
清空后執行掃描缺陷,會掃描出硬盤的缺陷,之后加入P表和G表,以保證硬盤的缺陷全部隱藏,硬盤正常運行。
4.小結
現代硬盤的保留區對用戶是隱藏的,包括固件區和用于替代缺陷的保留區,只有在驅動器的工廠模式下才能訪問,當固件區出現問題,會直接影響硬盤的識別和讀寫操作。利用效率源的固件修復功能可以成功的修復固件區,在修復后用修復缺陷功能修復硬盤的缺陷,以保證硬盤完全修復。
