数据恢复技术应用研究论文(06060320).doc

安 徽 农 业 大 学毕 业 论 文（设计）论文题目 数据恢复技术应用研究 姓 名 李 文 平 学 号 042201111157 院 系 信息与计算机 专 业 04网络工程 指导教师 朱军、梅申信 职 称 讲师、副高 中国合肥二oo八 年 六 月29安徽农业大学学士学位论文（设计）开题报告课题名称数据恢复技术应用研究课题来源指导教师学生姓名李文平专业04网络工程学号042201111157指导教师朱军、梅申信职称讲师、副高研究内容1. 硬盘的逻辑结构,技术指标参数以及硬盘数据组织;2. 文件系统(FAT,NTFS)存储原理;3. 在深入分析FAT和NTFS格式的基础上，研究文件误删除，误格式化的数据恢复;4. 研究常用文档（office文档/影音文档/压缩文档）等数据恢复技术;5. 研究硬盘常用数据恢复技术。研究计划2月-3月 查阅书籍并取得相关资料；3月-4月 根据所查阅的资料分析数据恢复的历史与前言技术；4月-5月 整体规划数据恢复的各个环节并着手准备论文；5月-6月 撰写毕业设计论文；6月-结束 修改论文并准备答辩。特色与创新通过深入分析文件系统原理，使用常用数据恢复软件把硬盘，闪存等储存设备中误删除，误格式化的文件修复回来。指导教师意见教研室意见院系意见 主要领导签名： 年 月 日目 录1 引言12 数据恢复技术概述13 硬盘分区结构的分析23.1 硬盘数据信息组成23.2 硬盘分区结构33.2.1 主引导记录（MBR）33.2.2 DOS引导记录（DBR）43.2.3 文件分配表（FAT）53.2.4 文件目录表（FDT）53.2.5 数据存储区(DATA)63.3 不同操作对硬盘数据的改变63.3.1 硬盘的分区63.3.2 硬盘的高级格式化63.3.3 硬盘的低级格式化63.3.4 文件的删除63.3.5 子目录的删除64 Windows文件系统结构分析74.1 FAT16文件系统的结构74.2 FAT32文件系统的结构74.3 NTFS文件系统的结构85 数据恢复技术应用探究95.1 文件误删除或格式化操作恢复的理论分析95.2 使用WinHex对文件的恢复135.3 主流数据恢复工具横向评测166 结束语23参考文献23英文摘要24致谢24附录125数据恢复技术应用研究李文平(安徽农业大学 信息与计算机学院 合肥 230036)摘要：在信息化时代,计算机数据安全已越来越为人们所关注,因此研究数据丢失的原因、预防办法以及数据恢复技术越来越显得重要。本课题主要研究的是数据恢复，详细分析了硬盘的数据结构、文件的存储原理以及文件系统（FAT、FAT32、NTFS）对文件的管理方式。从数据丢失和破坏的原因入手,重点研究了数据恢复的方法和恢复原理,通过磁盘编辑工具软件（WinHex）对磁盘进行分析，并使用数据恢复软件对丢失的数据进行了恢复，将数据损失减少到最低。最后对主流的数据恢复软件(Easy Recovery、R-Studio、Final Data、Recover My Files)进行了横向的测评。关键字：硬盘、文件系统、数据恢复、数据丢失、数据安全1 引言随着全球信息化的飞速发展,数据已经成为企业的一项重要资产,数据存储的可用性、完整性和安全性已不再是一个单纯的技术问题了,更是企业生存力和竞争力的重要体现,计算机数据安全已越来越为人们所关注。随着硬盘容量的日益增加,长时间使用硬盘,硬盘有时难免会出错,轻则数据丢失,重则整个硬盘报废,造成不可预料的后果,对学习工作生活带来巨大的困扰和不便。大家可能都遇到过这样的事情，上午刚刚清空回收站，下午却突然想起其中有个文件特别重要，这可怎么办？还有可能系统被病毒破坏，硬盘的分区表或文件分配表被病毒改写，但是硬盘上存着你数年的心血。那么在发生了数据丢失或损坏后应该如何应对呢？这时我们就需要对数据进行恢复，而国内也有不少专门从事数据恢复业务的专业公司，不过我们的硬盘发生文件被误删除、分区丢失和病毒破坏等情况，通过一些数据恢复软件自己就能够解决。所以有必要研究数据丢失的原因、预防办法以及数据恢复技术，并就数据恢复这一新兴行业的市场状况进行探究。2 数据恢复技术概述数据恢复简单地说,就是把遭受破坏或者硬件缺陷导致不可访问或由于误操作等各种原因导致丢失的数据,通过还原成正常的数据，即恢复至它本来的“面目”。数据恢复不仅对已丢失的文件进行恢复，还可以恢复物理损伤的磁盘数据，也可以恢复不同操作系统的数据。数据恢复是出现问题之后的一种补救措施，既不是预防措施，也不是备份。在一些特殊情况下数据将很难被恢复，如数据被覆盖、低级格式化清零、磁盘盘片严重损伤等。数据出现丢失和破坏主要包括三个方面：(1)恶意的程序最常见的恶意程序就是病毒。有些时候恶意程序造成的数据丢失是极其严重的,比如CIH病毒造成的数据丢失就是非常棘手的问题。(2)其他恶意的破坏常见的是系统正常的删除、移动、格式化等操作，还有的是网络上的非法用户对该系统进行任何操作。(3)硬件失效这也是数据丢失的最大原因之一。在磁盘失效、电压不稳造成自动重起。硬件失效往往是最严重的问题,包括物理损坏、失窃等,将是数据恢复的可能性降为零。由于数据丢失和破坏的方式不同，所以数据恢复分为软恢复和硬恢复。所谓软恢复，指的是一切可以通过“软”的方式进行的恢复（如通过Final Data、WinHex进行的数据恢复），不涉及硬件修理的数据恢复操作，其故障原因不是由于硬件失效造成的。对应地，一切涉及硬件修理，由硬件损坏或失效造成的数据恢复均是硬恢复。两者之间的区别就是存储介质本身是否需要修理或者更换部件才可以正常地进行访问。3 硬盘分区结构的分析对于数据的恢复操作，我们必须了解硬盘的数据结构、文件的存储原理，甚至操作系统的启动流程。硬盘分区结构对整个硬盘的组织和管理有着极其重要的作用，本章通过详细介绍硬盘上的主引导扇区和分区结构,并进一步分析各个部分的数据结构和各分项所起的作用。3.1 硬盘数据信息组成硬盘的数据信息由主引导纪录MBR、系统引导记录DBR、文件分配表FAT、文件目录表FDT、用户数据区DATA共五个区构成。其中，MBR由分区软件创建，DBR区、FAT区、FDT区，DATA区由高级格式化创建。我们平时保存的文件都放在数据DATA区中，MBR、DBR、FAT、FDT四个区域尽管占据了硬盘非常稀少的空间,但它却起着引导磁盘、启动操作系统、文件存放位置的索引和列出文件目录管理文件的重要作用。通常硬盘如果这四个区的无论那一个区遭到了破坏,系统都无法访问DATA区中的文件，但DATA数据区中的数据没有被破坏,只是操作系统无法访问。3.2 硬盘分区结构一个完整的硬盘数据应包括：主引导记录和分区信息结构（分区信息结构包括：DOS引导记录、文件分配表、根目录表和数据存储区）两大部分，不管什么操作系统，都有如下结构，如表3-1所示。表3-1 硬盘的分区结构MBR(Master Boot Record)及基本分区表分区1分区2分区n3.2.1 主引导记录（MBR）主引导记录简称MBR，它与操作系统无关，由分区软件创建，所有硬盘的主引导记录结构都是相同的。MBR位于0磁头0柱面1扇区，总共512字节，包括硬盘引导程序、分区表和引导区结束标志三个部分，如图3-1所示。 图3-1 主引导记录MBR (1)硬盘引导程序(DBP)：硬盘引导程序位于MBR的首部，共计446个字节（偏移0-偏移1BDH），完成分区表的检查以及确定哪个分区为可引导操作系统的活动分区，还能加密，询问口令，多系统引导等。(2)硬盘分区表(DPT)：硬盘分区表从主引导记录的1BEH字节开始，共占用64个字节，包含四个分区表项。每个分区表项的长度为16个字节，它包含一个分区的引导标志、系统标志、起始和结尾的柱面号、扇区号、磁头号以及本分区起始扇区数和本分区所占用的扇区数。(3)引导区结束标志：引导区结束标志位于主引导记录的最后两个字节（偏移1FEH-偏移1FFH），正常的引导区结束标志应为“55 AA”(十六进制数)，如果此标志被破坏，将造成硬盘无法自举。通过主引导记录MBR定义的硬盘分区，最多只能描述4个分区。如果想要多于4个分区，我们就要采用另一个技术，即是虚拟MBR技术。所谓虚拟MBR，就是让主MBR在定义分区时，将多余容量定义为扩展分区，指定该分区的起始位置，根据起始位置指向硬盘的某一扇区，作为下一个分区表，在该扇区继续定义分区。如果只有一个分区，就定义该分区，然后结束；如果不止一个分区，就定义一个基本分区和一个扩展分区，扩展分区再指向下一个分区表，在下一个分区表中继续定义分区，直至结束。这样就形成一个分区链，可以描述所有的分区。3.2.2 DOS引导记录（DBR）DOS引导记录简称DBR，位于硬盘的0磁头1柱面1扇区，即位于活动分区的第一个逻辑扇区中，它包括：跳转指令、厂商标志和DOS版本号、BPB、DOS引导程序、结束标志字。跳转指令的任务是将程序指针指向DOS引导程序，BPB是本分区参数记录表，DOS引导程序的主要任务是：当MBR将系统控制权交给它时，判断本分区根目录前两个文件是不是操作系统的引导文件(IO.SYS和MSDOS.SYS),如果存在，就读入内存，结束标志字也是55 AA,如图3-2所示。图3-2 系统下逻辑C盘的引导扇区在该部分记录中,BPB记录了磁盘的每扇区字节数、磁头数、目录起始簇等重要信息。DBR是高级格式化后产生的，故可用FORMAT进行修复,也可通过SYS.COM程序修复。区别在于FORMAT修复时会将分区中的数据全部清除，而用SYS修复则不会清除原有的数据。3.2.3 文件分配表（FAT）文件分配表FAT位于DBR之后，记录着文件在硬盘上的具体分布情况。FAT是DOS、Windows 9X系统的文件分配格式，根据记录项所占二进制位数的不同有FAT12(用于软盘)、FAT16和FAT32(位数不同)等几种不同的格式，对于其它的操作系统像Windows NT、OS/2、Unix、Novell等都有自己的文件分配(管理)格式。由于FAT对于文件管理的重要性，FAT都有一个备份，即FAT2。由于FAT32支持更多的簇，因而可以支持更大容量的硬盘。文件分配表通常由操作系统自动进行管理，也可通过DEBUG或WinHex等专用工具软件进行读写。由于FAT对于文件管理的重要性，如非必要，不要轻易地对它进行修改。3.2.4 文件目录表（FDT）文件目录表FDT也称为ROOT(根目录区)，位于第二FAT表之后，记录着根目录下的每个文件或子目录的名称、起始位置(簇号)、文件大小、文件属性(子目录也是一种文件)、创建日期等信息。定位文件位置时，操作系统根据记录在FDT中的文件起始簇号，结合FAT表就可以知道文件在硬盘中的具体位置和大小了,如图3-3所示。图3-3 E盘文件目录表FDT模板3.2.5 数据存储区(DATA)在FDT之后就是数据存储区(DATA)。所有文件的实际内容都存放在各分区的数据区中，数据区占据着硬盘的绝大部分存储空间。3.3 不同操作对硬盘数据的改变3.3.1 硬盘的分区对于“硬盘分区”这个操作,系统只是修改了MBR(硬盘主引导记录)和DBR(DOS引导记录),绝大部分的DATA区的数据并没有被修改。但由于MBR,DBR的改变而导致文件路径被破坏,这样系统仍然不能正常读取文件。3.3.2 硬盘的高级格式化当硬盘进行高级格式化时,系统并不是把DATA区的所有数据清除,而只是把相应的FAT表和FDT表进行重写，即彻底删除所有的文件和子目录,使其FDT和FAT中都不会再有文件或者目录记录登记项,只留有一个卷标,连回收站都给清除了,从而释放文件空间。但是,快速格式化后,其子目录下的文件目录项还保留着。如果在使用“Format”命令时加上了“/U”参数,系统在对分区进行格式化时将强制对每一扇区写入“F6”,这样就完全把数据破坏了。3.3.3 硬盘的低级格式化硬盘低级格式化又称为物理格式化，低级格式化的主要作用就是为整个硬盘划分出柱面和磁道，再将磁道划分为若干个扇区，在每个扇区的地址场中标志出地址信息，并测试硬盘介质缺陷。3.3.4 文件的删除当执行“删除文件”操作时,系统做了两方面的工作:一是在该文件的文件目录表(FDT)上做一个删除标记,即把该文件的文件目录项第一个字符改为“E5H”来表示该文件已经被删除;二是把该文件的文件分配表(FAT)中所占有的簇标记为“空簇”，而DATA区域中的簇仍旧保存着原文件内容。系统在文件分配表中相应位置检测到“0”时,就认为该文件簇处于空闲状态,可以写入其他的文件。3.3.5 子目录的删除操作系统对子目录的管理和对文件的管理相同，所以，操作系统对子目录的删除与文件的删除也相同。FAT16或FAT32下子目录的简单操作只是对描述子目录的FDT做一个删除标记，该子目录下所有文件和下一级子目录的所以记录都没有变动，相当于将该子目录“移”到回收站里。4 Windows文件系统结构分析操作系统对文件的管理是通过文件系统（FAT，FAT32，NTFS）来实现的。文件分配表（FAT）是当使用FAT或FAT32文件系统对特定卷进行格式化时，由Windows所创建的一种数据结构。Windows将与文件相关的信息存储在FAT中，以供日后获取文件时使用。FAT32是一种从文件分配表（FAT）文件系统派生而来的文件系统。与FAT相比，FAT32能够支持更小的簇以及更大的容量，从而能够在FAT32卷上更为高效的分配磁盘空间。NTFS文件系统是一种能够提供各种FAT版本所不具备的性能、安全性、可靠性与先进特性的高级文件系统。4.1 FAT16文件系统的结构FAT16文件系统结构如是：DBR-FAT1-FAT2-FDTDATA。DBR只占1个扇区，FDT为根目录表，根目录下的DIR项数固定，一般为512项，每项占32字节，即DIR占32个扇区。文件的逻辑扇区号=1+2*FAT占用的扇区数+DIR占用的扇区数+（起始簇号-2）*每簇扇区数。FAT中的记录和磁盘上的簇对应。FAT2为FAT1的备份。FAT的格式有多种，其中FAT16是指文件分配表使用16位表示一个簇(FAT32同理)。可知FAT16最多能管理65536个簇，而每簇最大32kb，所以FAT16每个分区最大2GB（注：FAT的0，1簇保留,0字节表示磁盘类型,簇号从2开始）。文件目录表(FDT)紧跟在FAT2后,根目录下的文件和子目录在FDT中都有一个“目录登记项”,每项占32字节，项数在BPB中有说明。4.2 FAT32文件系统的结构FAT32文件系统结构如是：DBR和其后的保留扇区-FAT1-FAT2-DATA。DBR占用32个扇区，实际只占用第1和第6 两个扇区，第1扇区起作用，第6扇区是第1扇区的备份。同时在FAT32文件系统中,FDT当作文件处理，不在固定位置，也没有固定大小。文件的逻辑扇区号=DBR和其后的保留扇区数+2*FAT占用扇区数+（起始簇号-2）*每簇扇区数。此时因为FDT不固定，要在BPB中读出FDT的入口簇。对于一个确定的分区，可通过逻辑地址来访问该分区中的扇区,逻辑地址从0开始。FAT32中文件目录表（FDT）根目录区无固定位置，并把FDT当作一个普通文件处理，在BPB中指出FDT首簇地址。4.3 NTFS文件系统的结构NTFS文件系统结构如是：分区引导扇区MFT（主文件表）系统文件文件区域。在NTFS中，磁盘上的任何事物都为文件。文件通过MFT来确定其在磁盘上的存储位置。主文件表是一个与文件相对应的数据库，由一系列文件记录组成(卷中每个文件都有一个文件记录,对于大型文件可能有多个记录与之对应）。主文件表自身也有它自己的记录。MFT的文件记录大小一般是固定的,不管簇的大小是多少，均为1k。MFT仅供系统本身组织架构文件系统使用，被称为元数据，不能被应用程序访问。其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。这些文件都以$开始，是隐藏文件，不能用dir命令列出。不过有个工具nfi.exe可以转储重要的元数据文件。NTFS使用逻辑簇号LCN和虚拟簇号VCN来对簇进行定位。LCN是对整个卷从头到尾的编号，相当于FAT系统的逻辑簇号。VCN是对特定文件的簇从头到尾进行编号，VCN可以映射成LCN。NTFS把磁盘分成两大部分，大约12%分配给MFT，余下的用来存储文件。NTFS将文件作为属性/属性值的集合来处理。文件数据就是未命名属性的值。一个文件通常占用一个文件记录。但当一个文件具有很多项属性值或很零碎的时候，就可能需要占用一个以上的文件记录。在这种情况下，第一个文件记录是其基本的文件记录，存储有该文件需要的其他文件记录的位置。小文件和文件夹将全部存储在文件的MFT记录里。NTFS的文件夹只是一个简单的文件名和文件引用号的索引，如果目录列表小于一个记录的长度，那么，该文件夹的所有信息都存储在主文件表的记录中。对于大于记录的文件夹则使用B+树进行管理，并用一个指针指向一个外部簇，该簇用来存储那些MFT内存储不了的文件夹的属性。当一个文件很小时，其所有属性和属性值都可以存放在MFT的文件记录中。当属性值能直接存放在MFT中时，该属性就称为常驻属性（resident attribute）。有些属性总是常驻的，这样NTFS才可以确定其他非常驻属性。大文件或大目录的所有属性，就不可能常驻在MFT中。如果一个属性太大而不能存放在只有1KB大小的MFT文件记录中，那么NTFS将从MFT之外为之分配区域。这些区域通常称为一个运行（run）或一个盘区（extent），它们可用来存储属性值，如文件数据。如果以后属性值又增加，那么， NTFS将会再分配一个运行，以便用来存储额外的数据。值存储在运行中而不是在MFT文件记录中的属性称为非常驻属性。在标准属性中，只有可以增长的属性才是非常驻的,对文件来说，可增长属性有数据、属性列表等。5 数据恢复技术应用探究通过前文详细说明了硬盘的分区结构、文件系统了解到，如果一但MBR损坏,将无法识别硬盘分区,系统将无法启动，MBR的作用就是检查DPT(分区表)是否正确，同时确定以哪个分区作为引导分区,并在程序结束时把该分区的启动程序调入内存加以执行；一旦DBR损坏,将无法启动操作系统，它把操作系统引导代码装入内存,引导加载操作系统；一旦FAT损坏,文件的簇号链断裂(文件在硬盘中存储的最小单位为簇),文件索引受到破坏,导致无法识别文件的簇号，在文件保存时,需要通过文件分配表记录文件占用的那些有可能不连续的簇号,每一个簇号标明后继簇的簇号,直至文件存储完最后一簇；一旦FDT损坏,系统将无法找到文件所在位置，FDT记录了文件的名称、属性、初始簇及创建时间,文件入口簇等信息。5.1 文件误删除或格式化操作恢复的理论分析对于数据恢复,可以利用任一类型的文件作为待删除操作的数据。在这里,以一副图片为例，将其命名为“file to delete.jpg”和“delete.jpg”，文件大小16.3KB，如图5-1所示。图5-1 file to delete.jpg在这里借助一款16进制的磁盘编辑工具软件WinHex,打开E盘将看到当前驱动器E下的文件目录项FDT，分别找到delete.jpg和file to delete.jpg在文件目录项FDT中的对应表项，如图5-2，5-3所示。图5-2 delete.jpg的FDT表项图5-3 file to delete.jpg的FDT表项从前面可以知道，在FAT32文件系统中，一个目录项占用32字节，可以是文件目录项、子目录项、卷标项（仅根目录有）、已删除目录项、长文件名目录项等。经过分析图5-2，5-3，并根据第11字节的属性是否为0FH得出，file to delete.jpg占用了3个FDT表项，一个用于存储短文件名，两个用于存储长文件名，而delete.jpg只占用了1个FDT表项。通过查看E盘的DBR得出，每簇扇区数为16，根目录的起始簇为2，保留扇区数36，每个FAT表长为10230扇区，如图5-4所示。图5-4 E盘的DOS启动记录DBR下面用delete.jpg这个文件来具体分析。由delete.jpg的FDT表项第2021，2627字节知道，起始簇号为03H簇，所以DATA数据区的起始扇区为36+10230*2=20496，则第3簇的起始扇区为20496+（3-2）*16=20512，20512扇区内容，如图5-5所示。图5-5 20512扇区的内容在FDT中指出文件的起始簇为3，因为每个簇需要用两个字节来记录，所以，第3簇对应的偏移地址为：3*2=6，即在FAT表（如图5-6所示）中从偏移6开始的两个字节，是文件delete.jpg在FAT表中的入口，这两个字节为“FF FF”, 所以表示文件结束。图5-6 FAT表的开始部分 从上面这个FAT表中可以看到，用以记录簇0和簇1的位置为 “F8 FF FF 0F”，这是FAT32文件系统的起始标志，固定不变，簇号从2开始，和它本身偏移地址对应。现在对文件delete.jpg进行删除操作，然后再查看相对应的FAT，FDT，DATA区的变化。文件删除后的FDT，如图5-7所示。图5-7 删除后的FDT通过图5-2和图5-7的比较，文件delete.jpg删除后，在其文件目录项中，第1字节被改成了“E5H”，其他字节没有变化,这个“E5H”代表文件已经删除。再查看对应FAT和DATA的变化，删除后的FAT表，如图5-8所示，删除后的DATA数据区，如图5-9所示。图5-8 删除后的FAT图5-9 删除后的DATA数据区通过两者的比较，发现文件删除后FAT表和DATA数据区均没有发生任何变化。现在我们对E盘进行格式化操作，然后再查看文件delete.jpg相对应的FAT、FDT、DATA区的变化。格式化后的FDT，如图5-10所示。图5-10 格式化后的FDT对应DATA区的变化，删除后的DATA数据区，如图5-11所示。图5-11 格式化后的DATA数据区通过两者的比较，文件格式化后FDT表和FAT表都被清空，而DATA数据区都没有发生任何变化。通过上述比较分析可见，系统在删除文件时，将文件“移动”到“回收站”文件夹中，然后将原来的FDT登记项改写为“删除”状态，也就是将其文件目录项中第1字节改成“E5H”，其他字节没有变化。而格式化操作时，系统并不是把DATA区的所有数据清除,而只是把相应的FAT和FDT进行修改，即彻底删除所有的文件和子目录登记项,使其FDT和FAT中都不会再有文件或者目录记录登记项,只留有一个卷标,连回收站都给清除了,从而释放文件空间。但是，不管是删除操作还是格式化操作，DATA区的数据始终都没有发生变化，也就是说，如果数据不被覆盖，则是可以恢复的。5.2 使用WinHex对文件的恢复从上面分析可知，只要数据不被覆盖，则是可以恢复的。在这里使用WinHex这款磁盘分区编辑软件进行操作,它能自动分析分区链和文件簇链。下面就使用它对一个格式化的FAT32的分区进行恢复,恢复步骤如下。(1)启动WinHex,选择“工具”“打开磁盘”，选择已经格式化过的E盘,如图5-12,5-13所示。图5-12 启动WinHex 图5-13 WinHex打开E盘界面(2)选择“工具”磁盘工具”按类型恢复文件”，如图5-14,5-15所示。图5-14 打开磁盘工具图5-15 弹出选择文件类型对话框(3)在如图5-15的“选择文件类型”对话框中选择JPG的文件类型,并在Output Folder中设置恢复文件的保存路径,其它保持不变,单击”确定”按钮, Winhex就开始恢复文件处理,如图5-16所示。图5-16 WinHex恢复文件的过程（4）当WinHex恢复文件处理完成之后,打开刚才设置的文件保存路径,将看到所有E盘中被格式化前存储过的JPG文件,如图5-17，5-18所示。图5-17 弹出WinHex恢复文件完成提示图5-18 WinHex恢复的所有JPG文件（5）当对硬盘进行格式化时,系统并不是把DATA区的所有数据清除,而只是把相应的FAT和FDT进行修改，即彻底删除所有的文件和子目录登记项,使其FDT和FAT中都不会再有文件或者目录记录登记项,只留有一个卷标,连回收站都给清除了,从而释放文件空间。由于在FDT和FAT中都没有了相关的信息，而WinHex在从DATA区恢复数据时，自动为恢复的文件按编号命名，如“File aa 0001.jpg”，我们打开File aa 0001.jpg这个文件，如图5-19所示。图5-19 打开WinHex恢复的File aa 0001.jpg文件（6）打开图5-19后发现,它正是格式化之前保存的文件，所以从格式化的分区中恢复数据现在就完成了。5.3 主流数据恢复工具横向评测一直以来，只要磁盘数据区域没有被新信息覆盖，数据恢复工具就能够轻松恢复出来，而且在进行恢复操作过程中也没有特别的选择，都是拿到一个软件就直接使用。不过软件之间的差异是巨大的，功能相差很多，在关键时候一定要精挑细选，这样才可以顺顺利利的恢复已经丢失的宝贵数据。我们应该怎么选择数据恢复工具呢？是应该选择名气大但使用效果未知的商业软件，还是选择并不主流但却有可能好用的小工具？下面我们就对几款主流数据恢复软件(Final Data v2.0,Easy Recovery v6.0,R-Studio v4.2,RecoverMyFiles v3.98)做一下比较分析。1、软件主界面及可操作性比较Final Data的界面布局简朴精炼，操作非常简单，如图5-20所示。图5-20 FinalData主界面EasyRecovery的界面非常美观大方，界面采用XP风格，同时具有3D立体感觉。软件的操作也非常简单，左侧是功能大类，点击相应的分类后，就可以在右侧看到相应的小类，如图5-21所示。图5-21 EasyRecovery主界面R-Studio的界面布局最为简朴精炼，因此虽是英文界面，但在操作上也不会遇到什么困难，如图5-22所示。图5-22 R-Studio主界面RecoverMyFiles的界面风格与FinalDatal类似，但比后者要美观大方，如图5-23所示。图5-23 RecoverMyFile主界面2、支持文件系统四款软件均支持FAT16、FAT32及NTFS文件系统。3、扫描时内存占用情况下表是四种软件进行简单扫描时内存占用情况，如表5-1所示。表5-1 简单扫描时内存占用情况软件名称内存占用情况FinalData v2.015500KBEasyRecovery v6.05796KBR-Studio v4.211908KBRecoverMyFiles v3.926364KB4、扫描速度比较通过秒表计时，发现在从快速扫描速度上来说，RecoverMyFiles最快，但搜索到的被删除文件数量最少，而速度最慢的是R-Studio，EasyRecovery和FinalData扫描速度介于两者之间。5、恢复数据的范围和能力比较下表是四种软件恢复数据的范围和能力，如表5-2所示。表5-2 恢复数据的范围和能力软件名称回收站损坏的文件格式化或Fdisk删除网络恢复磁盘坏扇区创建镜像文件FinalData支持支持支持不支持支持不支持EasyRecovery支持支持支持不支持支持不支持R-Studio支持支持支持支持支持支持RecoverMyFiles支持支持支持不支持支持不支持6、数据恢复能力比较接下来分别测试四款软件对删除文件的恢复与格式化后恢复文件的能力。情况1：文件彻底删除（即从回收站清空）后恢复。FinalData在简单扫描方式下，查找出了删除的所有文件，而且文件类型和图标均正确注明，通过点击待恢复文件右键就能够正常恢复，如图5-24所示。图5-24 FinalData文件恢复界面EasyRecovery可以搜索到所有的删除文件，且能够分类分目录存放，可以显示搜索到文件的个数与占用空间大小，选中要恢复的数据后点击“下一步”按钮，即可完好的恢复选中的数据，如图5-25所示。图5-25 EasyRecovery文件恢复界面R-Studio不但可以搜索到本机所有的删除文件，且能够分类分目录存放，也可以恢复网络上其它主机被删除的文件，如图5-26所示。图5-26 R-Studio文件恢复界面RecoverMyFiles以非常简单的操作，用最短的时间进行快速扫描，并占用最少的内存，被恢复删除的数据可以直观的使用预览功能进行查看，如图5-27所示。图5-27 RecoverMyFiles文件恢复界面情况2：磁盘格式化后恢复。FinalData使用简单的分区扫描不能够扫描出格式化前的文件，只能进行完全簇扫描，经过15分左右的完全扫描，查找出了部分格式化前的目录及文件，且恢复的文件类型有限，如图5-28所示。图5-28 FinalData文件恢复界面EasyRecovery使用恢复格式化功能后，可以找到所有的被格式化文件，同时可以分类存放，只要选择相应的文件夹或文件，然后点击恢复即可，如图5-29所示。图5-29 EasyRecovery文件恢复界面R-Studio在常规扫描中不能找到格式化前的文件,但是通过全分区扫描就能扫描出格式化前的大部分文件,在恢复后按原目录存放，如图5-30所示。图5-30 R-Studio文件恢复界面RecoverMyFiles使用简单扫描功能，扫描不到格式化前的文件，但使用完全格式化功能后，就能够找到部分的文件，如图5-31所示。图5-31 RecoverMyFiles文件恢复界面经过比较发现，RecoverMyFiles虽然没有R-Studio技术之新、功能之多，也没有EasyRecovery那么老牌，但是它从用户的角度考虑得最多，没有任何技术的朋友都可以很快上手，而且恢复数据的预览功能也更让大家恢复时心里有底，实测中RecoverMyFiles的深度扫描速度虽慢，但是恢复数据的可用率最高。R-studio不仅能恢复本机上的删除文件,而且也能支持RAID磁盘阵列系统, 甚至能透过网络去检测其他电脑上硬盘的状况,有很高的恢复效率。值得注意的是，WinHex是数据恢复过程当中使用次数最多的工具软件之一，有着非常完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，并能以不同的方式进行不同程度的备份，并能编辑物理磁盘或逻辑的任一扇区，也能直接编辑内存。WinHex虽然能够基于文件类型恢复数据,但它更多的功能是一款基于十六进制的磁盘分区编辑软件，所以它对于非专业的人事感觉不太适用。在使用WinHex恢复FAT，FDT的过程中，需要进行大量的扇区计算，稍不留心就会出错，如果能够通过配合使用Disk Investigator这款软件，就能免于大量扇区计算，而且也不易出错。6 结束语本文以数据恢复为主，重点研究了硬盘的数据结构、文件的存储原理以及文件系统对文件的管理方式，并通过常用数据恢复软件对误删除和误格式化的数据进行了恢复。了解到数据安全的重要性，知道数据恢复是出现问题之后的一种补救措施，既不是预防措施，也不是备份，在一些特殊情况下数据将很难被恢复。如果数据丢失，千万不要再用该硬盘进行任何操作，更不能继续往上面写任何数据，而应马上找专业人员来处理；如果是由硬件原因造成的数据丢失（如硬盘受到激烈振动而损坏），则要注意事故发生后的保护工作，不应继续对该存储器反复进行测试，否则，将造成永久性的损坏！平时除了要做好数据备份，还要根据实际情况制定一套详尽的数据安全保护措施，减少数据灾难发生的可能性，做到未雨绸缪，不必等到数据丢失后才来恢复。在实现数据恢复的过程中，也遇到了一些问题，有些数据恢复软件对某些格式的文件不支持，或者恢复出来的数据已经被破坏，以至恢复的效率较低。由于硬盘数据恢复是一门专业性技术性操作性都很强的工种,所以以后要努力学习数据恢复理论知识,多动手操作,多积累实践经验,争取在数据恢复中把数据损失降到最低。参考文献1 周晓华 硬盘数据恢复技术与市场分析.天津职业院校联合学报J，2007年，第9卷，第5期：页64-65页2 胡光鲁 浅谈硬盘的数据恢复.农业网络信息J，2007年，第8期：页150-152页3 戴士剑 数据恢复技术综述（上）.信息网络安全J，2006年,第01期4 戴士剑 数据恢复技术综述（下）.信息网络安全J，2006年,第01期5 杨志霞 浅析数据恢复技术.刑事技术J，2007年,第04期6 戴士剑.数据恢复技术（第2版）M北京市.电子工业出版社，2005年3月7 高晶. 硬盘维修与数据恢复M 北京市.电子工业出版社，2008年1月8 Steven B. Lipner, David M. Balenson, Carl M. Ellison, Stephen T. Walker . System and method for data recovery Trusted Information Systems, Inc9 Jon William Toigo . Disaster Recovery Planning: Preparing for the Unthinkable (3rd Edition) Hardcover - Sep 6, 2002英文摘要Application of data recovery technology Wenping Li(College of Information and Computer, Anhui Agricultural University Hefei 230036)Abstract：In the era of information, people have been paying more and more attention to computer data security than ever before. So study the reasons of the data loss, prevention methods and data recovery technology becomes more and more important . This thesis mainly does research on data recovery, analysis the data structure in the hard drives, documents and the principle of the storage file system (FAT, FAT32, NTFS) to document management in detail . Begin with reasons of data missing and loss, the article mainly does research on methods and principle of data recovery, and analyzes disks by disk editing tools. In order to reduce data loss , it use recover the missing data with data recovery software . Finally, the article evaluates the mainstream of data recovery software (Easy Recovery, R-Studio, Final Data, Recover My Files).Key Words: hard drive, file system, data recove