教案：数据恢复基础知识(合)PPT课件.ppt

主讲人 总经理 计算机专业技能数据恢复基础培训 1 第一章 数据恢复基础知识 一 数据恢复的概念与研究范围 2 第一章 数据恢复基础知识 1 数据 不仅包括计算机文件系统或数据库系统中存储的各种数据 正文 图形 图像 声音等形式的多媒体数据文件 软件或各种文档资料 也包括存放或管理这些信息的硬件信息 如计算机硬件及其网络地址 网络结构 网络服务等 3 2 数据恢复 数据恢复就是把遭受破坏 这种破坏可能是由硬件缺陷导致不可访问或不可获得 或由于误操作等各种原因导致丢失的数据还原成正常数据 注 数据恢复不同于数据备份 不是所有的情况都可以恢复3 数据丢失的原因 造成数据丢失的原因有很多 包括软硬件故障 异常断电 死机 病毒破坏 黑客入侵 误操作 磁盘阵列损坏 口令丢失 文件结构损坏等 均属于数据修复的范畴 第一章 数据恢复基础知识 4 数据灾难的分类 1 逻辑问题 存储介质硬件本身没有问题 由于逻辑节点出现错误导致的数据不可访问 相应的数据恢复称为 逻辑恢复 如误删除 误格式化等 2 物理问题 存储介质硬件损坏或失效造成的数据丢失 相应的数据恢复称为 物理恢复 第一章 数据恢复基础知识 5 几种数据丢失的现象 1 不能进入系统2 磁盘出现坏道3 分区丢失4 文件丢失5 密码丢失6 文档无法打开或打开后是乱码 第一章 数据恢复基础知识 6 数据存储技术简介 1 数据存储介质 仅有两种稳定的物理状态 能方便的检测出属于哪种稳定状态 两种稳定状态又容易相互转换的物质或元器件 都可以用来记忆二进制代码 0 和 1 称这样的物质或元器件为存储介质或记录介质 存储介质不同 存储信息的机理也不同 第一章 数据恢复基础知识 7 2 存储技术的分类 1 电存储技术电存储技术主要指半导体存储器SCM SemiconductorMemory 常见的存储介质包括内存 闪存等 第一章 数据恢复基础知识 8 2 磁存储技术 磁存储技术主要指磁表面存储器MSM MagneticSurfaceMemory 磁表面存储器是用非磁性金属或塑料做基体 在其表涂敷 电镀 沉积或溅射一层很薄的高导磁率 硬矩磁材料的磁面 用磁层的两种剩磁状态记录信息 0 和 1 基体和磁层和称为磁记录介质 长见存储介质如 硬盘 软盘 磁带等 第一章 数据恢复基础知识 9 3 光存储技术 光盘存储器是目前辅存中记录密度最高的存储器 常见的光存储设备有 CD ROM CD R CD RW DVD ROM DVD RW等 第一章 数据恢复基础知识 10 第二章 磁盘结构 一 磁盘物理结构 11 1 接口 接口包括电源接口和数据接口两部分 2 控制电路板 采用贴片式焊接 包括主轴调速电路 磁头驱动伺服电路 读写电路 控制与接口电路等 3 固定面板 硬盘正面的面板 它与底板结合成一个密封的整体 保证了硬盘盘片和机构的稳定运行 第二章 磁盘结构 12 磁盘外部结构图示 第二章 磁盘结构 13 硬盘的数据接口 根据联接方式的差异 分为EIDE接口 SCSI接口和SATA串口 EIDE接口多用在桌面硬盘 经常听说的40针 80芯的接口电缆指的就是这类数据线 第二章 磁盘结构 14 IDE 磁盘接口示意图 第二章 磁盘结构 15 有些硬盘的电路板上会附加有一层保护层 使用海绵或金属板 第二章 磁盘结构 16 SATA 第二章 磁盘结构 17 IDE硬盘与SATA硬盘数据线对比 第二章 磁盘结构 18 SATA硬盘采用串行传输 每次传输数据为一位 有效避免了信号的串扰问题 从而可以在理论上无限提高串行传输的工作频率 采用了比并行接口更低的电压标准 减小能耗 采用点对点协议 不存在并行ATA的主 从问题 省去了跳线设置工作 SCSI硬盘具有更高的数据传输速率 更低的CPU占用率 运转稳定 第二章 磁盘结构 19 SCSI硬盘外观及接口 第二章 磁盘结构 20 SCSI硬盘的背面板 第二章 磁盘结构 21 磁盘内部结构 1 磁头组件 这是硬盘中最精密的部位之一 它由读写磁头 转动手臂 转动轴三部分组成 磁头是硬盘技术中最重要和关键的一环 实际上是集成工艺制成的多个磁头的组合 采用非接触式头 盘结构 加电后在高速旋转的磁盘表面移动 与盘片之间的间隙只有0 1 0 3 m 这样可以获得很好的数据传输率 第二章 磁盘结构 22 磁头及其附件结构 第二章 磁盘结构 23 2 磁头驱动机构 用于实现磁头的移动来完成硬盘的寻道 3 主轴组件 包括主轴部件如轴承和驱动电机等 4 前置控制电路 用于控制磁头感应的信号 主轴电机调速 磁头驱动和伺服定位等 5 磁盘片 硬盘存储数据的载体 第二章 磁盘结构 24 磁盘内部结构图示 第二章 磁盘结构 25 目前 微机上安装的硬盘几乎都是采用温彻斯特 Winchester 技术制造的硬盘 这种硬盘也被称为温盘 这种结构的特点为 1 磁头 盘片及运动机构密封在盘体内 2 磁头在启动 停止时与盘片接触 而在工作时因盘片高速旋转 从而带动磁头 悬浮 在盘片上面呈飞行状态 空气动力学原理 这个 悬浮 的高度约为0 1微米 0 3微米 这个高度是非常小的 第二章 磁盘结构 26 磁头高度对比图 第二章 磁盘结构 27 SCSI硬盘内部结构 第二章 磁盘结构 28 硬盘的寻道 每个盘片的每个面都有一个读写磁头 与磁头接触的表面靠近主轴 即线速度最小的地方 是一个特殊的区域 它不存放任何数据 称为启停区或着陆区 启停区外就是数据区 在最外圈 离主轴最远的地方是 0 磁道 而硬盘数据的存放就是从最外圈开始的 第二章 磁盘结构 29 盘片区域分配示意图 第二章 磁盘结构 30 磁头的拆卸与安装 1 首先卸掉背面电路版上的所有螺丝 拆下电路版 第二章 磁盘结构 31 拆下电路版后我们看到背面有两颗螺丝 此螺丝是固定磁头的 暂时不要动 第二章 磁盘结构 32 2 揭开标签 卸掉硬盘正面版上的螺丝 第二章 磁盘结构 33 3 揭开正面版 第二章 磁盘结构 34 4 卸掉上面的强力磁铁 第二章 磁盘结构 35 5 卸掉硬盘背面的2颗螺丝与前置控制电路的固定螺丝后磁头即可取下 第二章 磁盘结构 36 拆下的磁头与空硬盘 第二章 磁盘结构 37 重新安装磁头 第二章 磁盘结构 38 二 磁盘逻辑结构 1 磁头 Head 硬盘的盘体是由多个盘片重叠在一起构成的 硬盘 磁面 的概念与软盘类似 它是指一个盘片的两个面 每个盘片有上下两个磁面 在硬盘中 一个磁面对应一个读写磁头 所以 一般来说在对硬盘进行读写操作时 不再称磁面0 磁面1 磁面2 而是称磁头0 磁头1 磁头2 第二章 磁盘结构 39 2 磁道 Track 磁盘在格式化时会划分成许多同心圆 其同心圆轨迹称为磁道 3 柱面 Cylinder 由于硬盘的盘体是由多个盘片重叠在一起构成 每个盘片的每个面都被划分成不同半径的同心圆磁道 整个盘体中所有磁面的半径相同的同心磁道就称为 柱面 4 扇区 Sector 如果将每一个磁道视为一个圆环 再把该圆环等分成若干个扇形小区 该等分的小区就是磁盘存取数据的最基本的单位 扇区 磁盘的 磁头 与 柱面 编号从0计起 而 扇区 则从1计起 第二章 磁盘结构 40 磁盘组织结构 第二章 磁盘结构 41 硬盘在存储数据之前 一般需经过低级格式化 分区 高级格式化这三个步骤之后才能使用 其作用是在物理硬盘上建立一定的数据逻辑结构 低级格式化的主要功能 它的作用是检测硬盘磁介质 划分磁道 为每个磁道划分扇区 并根据用户选定的交叉因子安排扇区在磁道中的排列顺序等 第二章 磁盘结构 42 分区的作用 一块硬盘 就是所有容量都划分给一个分区 也要显式的进行这个操作来指定 所以 对硬盘做完低级格式化后 必须进行分区操作 通过分区来完成主引导记录的写入 也正是这个原因 很多独立发行的低级格式化软件 也同时是一个分区软件 可以完成硬盘分区功能 第二章 磁盘结构 43 基本分区与扩展分区 1 基本分区 基本分区 主分区 是物理磁盘中可以被标记为激活 并且被系统用来启动计算机的磁盘分区 每块物理磁盘最多可以有4个基本分区 2 扩展分区 扩展分区是为了突破一个硬盘上只能有4个分区的限制而制定的 一个硬盘只能有一个扩展分区 第二章 磁盘结构 44 卷集的概念 卷集是将一个或多个物理硬盘上的未格式化的自由空间组合成一个逻辑卷 做为一个整体来访问 为其分配一个盘符 就像一个单独的分区一样来格式化和存储数据 第二章 磁盘结构 45 磁盘分区结构 1 硬盘分区由五部分构成 FAT文件系统 1 MBR 主引导记录 MainBootRecord 2 DBR 系统引导记录 DosBootRecord 3 FAT 文件分配表 FileAllocationTable 4 FDT 文件目录表 FileDirectoryTable 5 DATA 数据区 第二章 磁盘结构 46 MBR称为硬盘主引导记录 它是由FDISK建立在柱面0 磁头0 扇区1的磁盘引导记录数据区 它不属于任何操作系统 用于硬盘启动时将系统控制权转给用户指定的 并在分区表中登记了的某个操作系统区 一个物理硬盘只有一个MBR 第二章 磁盘结构 47 DBR是经由FORMAT高级格式化写到磁盘逻辑0扇区上的 主要功能是完成DOS系统的自举 硬盘上的每一个逻辑磁盘都有自己的DBR DBR中记录了本分区的扇区总数 FAT表个数等信息 第二章 磁盘结构 48 FDT表和FAT表是FAT文件系统组织结构的两个组成部分 FDT中记录了文件的名字 起始地址等信息 FAT记录了文件在磁盘上的具体位置 系统就是通过这两个表上的文件簇链关系来存取文件的 第二章 磁盘结构 49 硬盘分区结构示意图 第二章 磁盘结构 50 2 BootSector简介 BootSector也就是硬盘的第一个扇区 它由MBR MasterBootRecord DPT DiskPartitionTable 和BootRecordID三部分组成 主引导记录MBR占用BootSector的前446个字节 0to0 x1BD 存放系统主引导程序 它负责从活动分区中装载并运行系统引导程序 DPT即主分区表占用64个字节 0 x1BEto0 x1FD 记录了磁盘的基本分区信息 主分区表分为四个分区项 每项16字节 分别记录了每个主分区的信息 因此最多可以有四个主分区 BootRecordID即引导区标记占用两个字节 0 x1FEand0 x1FF 对于合法引导区 它等于0 xAA55 这是判别引导区是否合法的标志 第二章 磁盘结构 51 BOOTSECTOR的具体结构如下图所示 第二章 磁盘结构 52 BootSector图示 第二章 磁盘结构 53 3 分区表结构 分区表由四个分区项构成 每一项长度为16个字节 分区表结构如下图所示 第二章 磁盘结构 54 4 硬盘分区类型 00未使用分区项01DOS12一种fat表为12位的分区主要用于早期小硬盘和部分软盘05EXTEND扩展分区的一种06BIGDOS即FAT16分区分区表为16位 每簇最大为32K 最大分区为2G07NTFS分区0BFAT32分区分区表为32位0CFAT32X分区与FAT32基本相同0EBIGDOSX即FAT16分区扩展分区表为16位 每簇最大可以超过32K0FEXTENDX扩展分区的一种82Linux主分区83Linux交换分区 第二章 磁盘结构 55 DBR 63扇 示意图 第二章 磁盘结构 56 FAT 第二章 磁盘结构 57 FDT 第二章 磁盘结构 58 由于MBR中的主分区表项中最多只能记录4个分区的信息 因此我们的分区表采用的是链式结构进行标注 一般每个逻辑分区记录两个分区表项 一项标注本逻辑分区的信息 第二项标注下一个扩展分区的信息 如此链接下去直至最后一个分区 具体如图所示 第二章 磁盘结构 59 第二章 磁盘结构 60 NTFS文件系统结构 NTFS是新技术文件系统 NewTechnologyFileSystem 与FAT文件系统相比NTFS具有许多新的特性 比如容错性 安全性 文件压缩和磁盘配额等 第二章 磁盘结构 61 相对于FAT NTFS所具有的特性 容错性 NTFS可以自动修复磁盘错误而不会显示出错误信息 安全性 NTFS有许多安全性能方面的选项 可以在本机上和通过远程的方法保护文件 目录 可以组织未经授权的用户访问文件 通过EFS加密提高数据安全性文件压缩 NTFS文件系统支持文件压缩功能 可以压缩单个文件或整个文件夹 磁盘限额 所谓磁盘限额就是管理员可以对本域中的每个用户进行磁盘使用空间的限制 第二章 磁盘结构 62 NTFS的分区结构 NTFS文件系统中文件同样是按簇进行分配NTFS文件系统并不去关心什么是扇区 也不会关心扇区有多大文件通过主文件表MFT确定文件在磁盘上的存储位置 NTFS卷中的每一个文件都有自己的一个唯一标识 称为文件引用号 第二章 磁盘结构 63 NTFSF分区结构示意图 第二章 磁盘结构 64 MFT 元数据存储在卷上支持文件系统管理的数据 只为系统服务 不能被应用程序访问 不管簇的大小是多少 MFT中的记录大小一般是固定的 占用1k空间 这些记录从零开始编号 MFT仅供系统本身进行文件管理使用 MFT本身也是元数据 在MFT的前16条记录是非常重要的操作系统使用的元数据文件 这些元数据文件的名字都是以 开头 是系统管理卷不可缺少的 第二章 磁盘结构 65 NTFS中的前10个元文件 MFT MFT中的第一条记录即是 MFT自身 MFTMirr 由于MFT自身的重要性 系统专门为它的起始部分建立的镜像文件 LogFile 该文件是NTFS为实现可恢复性和安全性而设计的 NTFS会在系统运行时将所有影响NTFS卷结构的操作记录在日志文件中 以便在系统失败时恢复NTFS卷 第二章 磁盘结构 66 Volume 卷文件 其中包含NTFS版本 卷名等信息 AttrDef 属性定义表 其中存放着卷所支持的全部属性信息 Root 根目录 保存着该卷根目录下所有文件的索引 在访问一个文件后 ntfs就保留该文件的MFT引用 第二次就能直接访问该文件 第二章 磁盘结构 67 Bitmap 位图文件 标志NTFS卷中所有簇的占用情况 其中的每一位代表一个簇是空闲还是已分配 Boot 引导文件 存放着操作系统的引导程序代码 BadClus 坏簇文件 记录着该卷中所有坏簇的簇号 Secure 安全文件 存储整个卷的安全描述符数据库 第二章 磁盘结构 68 第三章 数据恢复软件介绍 一 EasyRecovery 69 EasyRecovery是一款功能非常强大的数据恢复软件 可以恢复由于病毒破坏 误删除或误格式化甚至分区损坏等造成的数据丢失 使用EasyRecovery可以修复主引导扇区 MBR BIOS参数块 BPB 分区表 文件分配表 FAT 或目录及文件 当你从计算机中删除文件时 它们并未真正被删除 文件的结构信息仍然保留在硬盘上 除非新的数据将之覆盖了 能用EasyRecovery找回数据 文件的前提就是硬盘中还保留有文件的信息和数据块 但在你删除文件 格式化硬盘等操作后 再在对应分区内写入大量新信息时 这些需要恢复的数据就很有可能被覆盖了 这时 无论如何都是找不回想要的数据了 第三章 数据恢复软件介绍 70 EasyRecovery启动后的界面如图所示 第三章 数据恢复软件介绍 71 2020 1 7 72 在数据恢复过程中我们使用最多的是其中 数据修复 模块中的AdvancedRecovery和RawRecovery AdvancedRecovery为高级选项自定义数据恢复 主要对付那些分区或目录结构损坏的不是太严重的情况 比如说格式化 文件被误删除或分区表损坏等 它可以完全依照恢复分区的文件系统 通过文件分配表和文件目录表搜索出相应的目录树结构 即使完整的目录树结构被破坏 它也可以找出其中的子目录 第三章 数据恢复软件介绍 73 有些情况下分区信息被破坏的比较严重 AdvancedRecovery已经无法自动识别分区类型 显示为 无相法识别 空间 这时我们可以启动高级选项 从中选择应文件系统 如图 第三章 数据恢复软件介绍 74 AdvancedRecovery可以扫描未分配空间中是否存在我们制定的文件系统的记录 重新加载一个文件系统 如图 第三章 数据恢复软件介绍 75 在相应的文件系统下继续扫描仍然有可能恢复出完整的目录结构和相应数据 扫描结束后点击 下一步 选择相应的保存路径保存即可 第三章 数据恢复软件介绍 76 RawRecovery RawRecovery是脱离开任何文件系统 按照簇的方式进行扫描 此模式将对整个分区的扇区一个个地进行扫描 该扫描模式可以找回保存在一个簇中的小文件或连续存放的大文件 也就是说通过这种方式恢复数据时文件越大 能成功恢复的概率就越低 第三章 数据恢复软件介绍 77 RawRecovery同样可以对未分配空间进行扫描 其操作界面如图 8 所示 第三章 数据恢复软件介绍 78 从中选择要扫描的硬盘空间 在 文件类型 中构选你所需要的文件类型 注意 这里的文件类型包括常见的大多数数据类型 但不包括一些特殊软件自己的特有数据类型 比如说一些财务软件的数据库等 这种情况下我们还可以通过添加数据类型来解决 但前提是手上需要拥有一定量的相同数据类型的文件样本 第三章 数据恢复软件介绍 79 在 文件类型 对话框中点击添加 弹出图 9 的对话框 使用Ultraedit读出样本文件的16进制编码 从中找出8字节的特征码 一般为文件头的前8字节 写入 新的文件标识 对话框 然后填入相应的偏移量 扩展名和描述即可 第三章 数据恢复软件介绍 80 二 FinalData FinalData也是一款我们常用的数据恢复软件 其数据恢复功能与EasyRecovery类似 界面如图 第三章 数据恢复软件介绍 81 选择界面左上角的 文件 打开 从 选择驱动器 对话框中选择想要恢复的文件所在的驱动器 这里我们选择 驱动器D 然后单击 OK 开始扫描 第三章 数据恢复软件介绍 82 首先扫描根目录 又称做 快速扫描 其次进行簇扫描 又称 完整扫描 如图 第三章 数据恢复软件介绍 83 扫描完成后出现下图对话框 从中查找所需文件选择保存路径恢复存即可 第三章 数据恢复软件介绍 84 其中左边的项目分别表示 1 RootDirectory 正常根目录2 DeletedDirectory 从根目录删除的目录集合 只在 快速扫描 后可用 3 DeletedFiles 从根目录删除的文件集合 只在 快速扫描 后可用 4 LostDirectory 只有在 完整扫描 后找到的目录将会被显示在这里 由于已经被部分覆盖或者破坏 所以 快速扫描 不能发现这些目录 如果根目录由于格式化或者病毒等引起破坏 FinalData就会把发现和恢复的信息放到 丢失的目录 中 只在 完整扫描 后可用 5 LostFiles 被严重破坏的文件 如果数据部分依然完好 可以从 丢失的文件 中恢复 在 快速扫描 过后 FinalData将执行 完整扫描 以查找被破坏的文件并将列表显示在 丢失的文件 中 只在 完整扫描 后可用 第三章 数据恢复软件介绍 85 6 RecentlyDeletedfiles 当FinalData安装后 文件删除管理器 功能自动将被删除文件的信息加入到 最近删除的文件 中 因为FinalData将这些文件信息保存在一个特殊的硬盘位置 大多数情况下可以完整地恢复出现 安装程序时会指定一定的硬盘空间用来存放这些信息 7 SearchedFiles 这些就是所有硬盘上面被删除的文件 以后可以按照文件名 簇号和日期对扫描到的文件进行查找 另外FinalData对于查找分区结构和文件系统的功能非常强大 因此在很多时候也会作为恢复分区的辅助工具使用 第三章 数据恢复软件介绍 86 三 AdvancedEFSdatarecovery AdvancedEFSdatarecovery是一个可以从WindowsNTFS分区里解密用EFS加密的文件的工具 AdvancedEFSdatarecovery启动后的界面如图所示 第三章 数据恢复软件介绍 87 若要对NTFS分区里的EFS加密文件进行解密 点击 scan scanforkeys 首先队硬盘中的分区进行密钥扫描 在弹出下图窗口时点击 startscan 开始扫描 第三章 数据恢复软件介绍 88 下图显示出的即为扫描到的密钥信息 第三章 数据恢复软件介绍 89 对密钥扫描完成后 我们点击 Encryptedfiles 扫描加密的文件 如图 进入 Encryptedfiles 选项卡后点击 scanforencryptedfiles 开始扫描 第三章 数据恢复软件介绍 90 下图为扫描出来的整个分区中做了EFS加密的文件 我们将其中需要恢复的文件前面构选然后点击 decrypt 保存出相应的文件即可 第三章 数据恢复软件介绍 91 保存完毕 恢复工作完成 第三章 数据恢复软件介绍 92 RAID技术详解及其数据恢复 一 RAID简介 93 RAID直译为 独立冗余磁盘阵列 可以把RAID理解成一种使用磁盘驱动器的方法 就是指用两个以上的物理硬盘进行协作 逻辑上作为一个磁盘驱动器来使用 但能提供数据冗余容错协同工作能力 以此来全面提升磁盘子系统的性能 RAID技术详解及其数据恢复 94 为确保网络系统可靠地保存数据 使系统正常运行 磁盘阵列已成为高可靠性网络系统解决方案中不可缺少的存储设备 磁盘阵列由磁盘阵列控制器及若干性能近似的 按一定要求排列的硬盘组成 该类设备具有高速度 大容量 安全可靠等特点 通过冗余纠错技术 镜像数据或数据分割及奇偶校验等技术来保证设备及数据可靠 并实现容错要求 是一种具有较高容错能力的智能化磁盘集合 具有较高的安全性和可靠性 RAID在现代网络系统中作为海量存储器 广泛应用于磁盘服务器中 RAID技术详解及其数据恢复 95 二 RAID的优点 1 成本低 功耗小 传输速率高 2 可以提供容错功能 3 RAID与传统的大直径磁盘驱动器相比 与可靠性与价格都很高的专用硬盘相比 在同样的容量下 价格要低许多 性能与可靠性也不低于它们 RAID技术详解及其数据恢复 96 RAID技术 镜像技术 RAID技术 延展技术 RAID技术详解及其数据恢复 97 三 RAID的分级 1 RAID0RAID0级 无冗余无校验的磁盘阵列 从外表看是一个硬盘 但容量却是两个硬盘的总和 RAID0比一般单一硬盘的可靠度要差 只要一个硬盘损坏 整个阵列里的数据都会损失掉 但极佳的性能使RAID0仍然具有很大的吸引力 RAID技术详解及其数据恢复 98 RAID0的两种方式 方式1 串联在一起 形成一个独立的逻辑驱动器 当一块磁盘的空间用尽时 数据就会被自动写入到下一块磁盘中 可靠性是单独使用一块硬盘的1 n方式2 是用n块硬盘选择合理的带区大小创建带区集 在电脑数据读写时同时向n块磁盘读写数据 速度提升n倍 提高系统的性能 RAID技术详解及其数据恢复 99 RAID0使用了一种名为 数据串行 的机制 它将数据对应储存在一堆不同硬盘所组成的大硬盘中 数据是用连续 串行 的形式 以规定的大小储存在实体硬盘上 这表示大于实际串行大小的文件将会被分散储存在硬盘阵列中 因此单一文件中的不同串行可以平行处理 在这个清况下 RAID0阵列或 串行集合 的数据传输速率即为阵列中最低速硬盘的数据传输速率与该阵列硬盘数之乘积 若使用相同的硬盘 则数据传输带宽恰好为单个硬盘传输速率的倍数 一个四块硬盘的数据传输速率均为20MB S的串行集合 其整体数据传输速率可达8OMB S 因为数据可以在这四个硬盘上做并行存取 RAID技术详解及其数据恢复 100 RAID0示意图 RAID技术详解及其数据恢复 101 RAID1级 是一种镜象磁盘阵列 因为它就是将一块硬盘的内容完全复制到另一块上 一个两块硬盘所构成的RAID阵列 其容量仅等于一块硬盘的容量 因为另一块只是当作数据 镜像 RAIDl显然是最可靠的一种阵列 因为它总是保持一份完整的数据备份 它的性能自然没有RAID0那样好 但其数据读取确实较单一硬盘来得快 因为数据会从两块硬盘中较快的一块中读出 RAID1的写入速度通常较慢 因为数据得分别写入两块硬盘中并作比较 RAID技术详解及其数据恢复 102 RAID1示意图 RAID技术详解及其数据恢复 103 RAID0 1 也有人称之为RAIDLevel10 它是 零加一 即两组按一定的分割区域 连贯成不同的两块大容量的阵列硬盘 互相为 镜像 在每次写入数据时 磁盘阵列控制器会将数据同时写入两组 大容量阵列硬盘组 内 就像是由RAIDO和RAIDl组合而成 硬盘使用率只有50 RAID技术详解及其数据恢复 104 RAID0 1示意图 RAID技术详解及其数据恢复 105 RAID2级 RAID2级 纠错海明码磁盘阵列 磁盘驱动器组中的第一个 第二个 第四个 第2n个磁盘驱动器是专门的校验盘 用于校验和纠错 例如七个磁盘驱动器的RAID2 第一 二 四个磁盘驱动器是纠错盘 其余的用于存放数据 使用的磁盘驱动器越多 校验盘在其中占的百分比越少 RAID2对大数据量的输入输出有很高的性能 但少量数据的输入输出性能不好 RAID2很少实际使用 RAID技术详解及其数据恢复 106 RAID3 奇校验或偶校验的磁盘阵列 RAID3也被称为带有专用奇偶位的条带 每个条带片上都有相当于一 块 那么大的空间用来有效存储冗余信息 即奇偶位 奇偶位是数据编码信息 如果某个磁盘发生故障 可以用来恢复数据 任何一个单独的磁盘驱动器损坏都可以恢复 但同时有2块以上的硬盘驱动器损坏时将无法有效的恢复数据 RAID技术详解及其数据恢复 107 RAID3示意图 RAID技术详解及其数据恢复 108 RAID5级 RAID5的工作方式是将各个磁盘生成的数据校验切成块 分别存放到组成阵列的各个磁盘中去 在有N块硬盘组成的RAID5阵列中 阵列总容量为N 1块硬盘的容量之和 为了具有RAID5级的冗余度 需要最少由三个磁盘组成磁盘阵列 RAID技术详解及其数据恢复 109 RAID5可以理解为是RAIDO和RAID1的折衷方案 RAID5可以为系统提供数据安全保障 但保障程度要比镜像低而磁盘空间利用率要比镜像高 RAID5具有和RAID0相近似的数据读取速度 只是多了一个奇偶校验信息 写入数据的速度比对单个磁盘进行写入操作稍慢 同时由于多个数据对应一个奇偶校验信息 RAID5的磁盘空间利用率要比RAID1高 存储成本相对较低 RAID技术详解及其数据恢复 110 软 硬RAID RAID可以由硬件实现 通过RAID卡或主板集成的RAID控制器组建的磁盘阵列即为硬RAID 另外也可以通过系统软件实现 称为软RAID RAID技术详解及其数据恢复 111 软 硬RAID的比较 1 性能2 价格3 稳定性4 操作简便性5 兼容性 RAID技术详解及其数据恢复 112 动态磁盘 相对于基本磁盘而言 动态磁盘提供了更加灵活的管理和使用特性 可以在动态磁盘上实现数据的容错 高速的读写操做等 在基本磁盘中分区是不可跨越磁盘的 但通过使用动态磁盘 可以将数块磁盘中的剩余空间扩展到同一个卷中增大卷的容量 RAID技术详解及其数据恢复 113 动态磁盘的卷的类型 1 简单卷 包含单一磁盘上的磁盘空间 和分区的功能一样 2 跨区卷 组合多个磁盘上的空闲空间到一个卷3 带区卷4 镜像卷 单一卷的两分相同的拷贝 每一份在一个硬盘上 5 RAID5卷 RAID技术详解及其数据恢复 114 磁盘镜像的制作 制作磁盘镜像的方式有很多 我们采用的是相对比较简便快捷的方式 使用WinHex来制作 WinHex正如其名 是Windows下的十六进制编辑软件 能自动的分析分区链和文件簇链 并能以不同的方式进行不同程度的备份 直至克隆整个硬盘 115 磁盘镜像具体的制作过程 1 首先启动WinHex 出现如下界面 图1 图1 由于是做硬盘镜像 在此我们不需要打开任何磁盘 116 2 关闭 启动中心 窗口后直接点击 工具 磁盘工具 克隆磁盘 图2 图2 117 3 在弹出的 克隆磁盘 复制扇区 对话框中设置好源盘 目的盘 图3 118 4 全部设置完毕后点击 确定 此时会弹出以下两个提示 图5 图6 我们不用理会 全部点击 确定 开始复制扇区 119 5 复制完毕后系统会弹出 扇区已复制 对话框 重新启动计算机 这样就大功告成了 至此我们已经将硬盘数据完全镜像到了一块正常的硬盘上面 这样在对这块镜像的硬盘做恢复操作就不会再有坏道的干扰了 图7 图 7 120 第四章 计算机病毒及其破坏后的数据恢复 一 计算机病毒的定义 121 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 第四章 计算机病毒及其破坏后的数据恢复 122 二 计算机病毒的分类 根据计算机病毒的特点 从不同的角度出发 可以对计算机病毒进行不同的分类 按传播对象分类 1 引导型病毒引导型病毒的病毒体全部或部分寄生在磁盘引导区中 由于磁盘引导区只有512字节 所以对于较小的病毒可以全部寄生在引导区内 但对于长度超过512字节的病毒 它只能将病毒体的一部分保存在引导区内 剩余部分则存放于磁盘的其他位置 典型的引导型病毒如WYX病毒 第四章 计算机病毒及其破坏后的数据恢复 123 2 文件型病毒 文件型病毒主要以感染文件扩展名为 COM EXE等可执行程序为主 在运行被传染的可执行文件时 病毒程序的引导代码在正常程序之前获得控制权 病毒程序首先完成病毒体的调用 并为传染模块 激活模块加载到系统中 使它们被系统执行 然后再将控制权交还给正常程序 在病毒体加载后 病毒程序时刻监视系统的运行状况 一旦满足其传染条件或触发条件 病毒便被激活 典型的文件型病毒有黑色星期五病毒 CIH病毒 第四章 计算机病毒及其破坏后的数据恢复 124 3 混合型病毒 混合型病毒同时具备引导型和文件型两类病毒特征 又称综合型或复合型病毒 这类病毒既感染磁盘引导区 又感染可执行文件 这类病毒有极强的传染性 清除难度更大 并且常常因为杀毒不彻底 而造成 病毒杀不死 的假象 对染有混合型病毒的机器 如果只清除了文件上的病毒 而没有清除硬盘引导区的病毒 系统引导时又将病毒调入内存 会重新感染文件 如果只清除了引导区的病毒 而可执行文件上的病毒没清除 一执行带毒文件时 就又将硬盘引导区感染 第四章 计算机病毒及其破坏后的数据恢复 125 按病毒特征分类 1 木马类病毒2 蠕虫类病毒3 黑客类病毒4 宏病毒5 脚本病毒 126 三 计算机病毒的寿命周期 计算机病毒的寿命周期表现为三个阶段 1 激活阶段 即首次感染病毒的时间点 2 复制阶段 这是病毒的传播阶段 病毒在这一阶段的目的就是尽量扩大感染范围 3 发作阶段 根据预先设定的触发条件触发 实施破坏过程 第四章 计算机病毒及其破坏后的数据恢复 127 四 病毒破坏后的恢复 1 引导区病毒破坏现象及数据恢复引导区病毒的感染途径 使用带有引导区病毒代码的软盘或光盘引导系统 代码同时会显示 Non systemdiskordiskerror 的消息 正是这个代码中隐藏着病毒的传染模块 当出现了Non systemdiskordiskerror错误消息的时候 感染已经发生 第四章 计算机病毒及其破坏后的数据恢复 128 感染WYX后的病毒的处理 进入DOS状态下查杀病毒由于WYX感染系统引导区 因此要彻底清除此病毒需要通过引导盘启动到DOS状态下进行查杀 第四章 计算机病毒及其破坏后的数据恢复 129 WYX病毒对硬盘数据的破坏及恢复 可拿98系统引导盘引导后 运行A FDISK MBR后 再重新原盘引导进行检测 只限win98系统 由于感染此病毒后会将磁盘的0扇 MBR 复制到61扇 63扇复制到60扇 后再将原位置的数据改写 导致系统启动时无法找到分区 若要通过手工修复我们可以找到60 61扇的位置将其重新分别粘回63扇和0扇中即可 第四章 计算机病毒及其破坏后的数据恢复 130 2 CIH 传播途径CIH病毒主要传播媒体是网络 因特网和局域网 光盘 主要是盗版光盘 软盘 CIH病毒只感染Windows9x包括Windows95 Windows97 Windows98以及在Windows9x下运行的后缀为exe com vxd vxe的应用程序 并且连自解压文件均受感染 CIH病毒感染硬盘上的所有逻辑驱动器 第四章 计算机病毒及其破坏后的数据恢复 131 染毒后的特征 感染CIH病毒后会出现如下症状 系统不能正常启动 硬盘灯长亮 应用程序不能正常运行 并莫明其妙地出现死机现象 系统不能正常关闭 当系统出现 Windows正在关机 画面时会出现死机 感染CIH病毒的软件体积增大 程序被破坏 第四章 计算机病毒及其破坏后的数据恢复 132 感染CIH病毒后的处理方法 如果出现CIH病毒发作的症状 不要重新启动计算机从C盘引导系统 而应该及时进入CMOS设置程序 将系统引导盘设置为a盘然后A盘引导系统 之后用杀毒软件引导进行病毒查杀 第四章 计算机病毒及其破坏后的数据恢复 133 CIH病毒对数据的破坏及修复方法 CIH病毒对于硬盘数据的破坏主要是从磁盘的 0 扇区开始向硬盘中填入垃圾代码 对于已经被CIH病毒破坏的硬盘数据可以首先尝试通过瑞星 CIH修复工具 进行修复 第四章 计算机病毒及其破坏后的数据恢复 134 3求职信 病毒传播途径可以通过邮件 局域网共享目录等途径进行感染 并能自动获取用户地址薄中的信息乱发邮件 此病毒中的信息模仿求职信病毒 病毒内部的信息都是中文 病毒通过 的邮件服务器发邮件 邮件的地址是该病毒自己随机生成的 邮件会附带一个 exe或 vbs的文件 exe文件就是该病毒本身 第四章 计算机病毒及其破坏后的数据恢复 135 求职信病毒邮件特征 邮件标题包括以下几种 我喜欢你 您好 恭喜 节日快乐 你中奖了 你的朋友 同学聚会 祝你生日快乐 你的朋友给你寄来的贺卡 等 邮件正文包