数据恢复原理及可恢复性分析.doc

数据恢复原理及可恢复性分析郑增凯1 王会莲2 莫际山3（91039部队 北京 102401）1（北京泰信邦计算机系统网络工程技术有限公司 北京 100038）2摘 要 数据丢失是工作学习生活中经常遇到的事情，然而人们对数据恢复认识还比较肤浅。本文结合实践深入剖析数据恢复原理，并对数据恢复成功率进行前瞻性分析。实践表明，它对数据快速、准确恢复具有很好的指导意义。 关键词 数据恢复,分区,格式化,主引导扇区Principle of Data Recovery And Recoverability AnalysisZHENG Zeng-Kai1 WANG Hui-Lian2 MO Ji-Shan3(Unit 91039 BeiJing 102401)1(Beijing Tai Xin Bang computer system network engineering Technology Co., Ltd BeiJing 100038.)2(Unit 91039 BeiJing 102401)3Abstract Data loss is often encountered the work of learning the things in life, but peoples understanding of data recovery is still relatively shallow. In this paper, principles of practice, in-depth analysis of data recovery, data recovery success rate and forward-looking analysis. Practice shows that its data quickly and accurately restore a good guide.Key Words Data Recovery,Partiotion,Format,Master Boot Sector60 引言数据恢复是伴随信息技术发展的一门新兴学科，是一种跨硬件平台、软件系统，包容了操作系统、文件格式、数据库结构、数据存储原理、存储硬件设计等多种要素的综合技术。数据恢复的任务是高水平、高质量、安全及时地恢复信息系统的数据，避免或减少因数据灾难造成的损失和影响。郑增凯(1973-)，男，工程师，主要研究方向为数据恢复技术等，Email:;王会莲(1975-)，女，工程师，主要研究方向为数据恢复技术等;莫际山(1982-),男，助理工程师，主要研究方向为数据复技术.随着社会信息化发展到一定阶段，电脑的普及和网络的应用，人们对信息的依赖越来越强，各类存储介质（硬盘、U盘、CF卡等）随之成为这个时代人们生活工作不可或缺的一个组成部分。但是每年由黑客窃取、病毒攻击、数据崩溃、网络崩盘、硬件故障、物理损坏以及自身误操作等引起的数据丢失灾难却频频发生，存储于各种信息设备中数据一旦丢失，将造成难以挽回的重大损失。1998年轰动全球的CHI病毒事件导致两千多万块硬盘遭遇了数据丢失灾难，经济损失远远超过280亿美元；21世纪初狙击波病毒来袭，电脑频繁启动导致诸多硬盘丢失重要数据，仅仅欧美地区的直接损失就超过120亿美元；此外据有关数据统计，每年有70%以上的用户在使用优盘、移动硬盘等存储设备时因为物理损坏、硬件故障等问题遭遇过数据丢失灾难诸多事件说明我们在享受数据信息带来便利的同时，也不得不面对数据丢失带来的巨大损失。毋庸置疑，相对于有价的存储介质（硬盘、U盘、CF卡、FLASH存储），无价的数据更显得弥足珍贵，于是找回丢失的数据、尽可能降低损失程度成为了一件迫在眉睫的事情。面对巨大的信息安全漏洞，数据恢复行业技术同时也应运而生。而所谓数据恢复技术，是指由于各种原因（物理故障：磁头损坏、电机损坏、磁盘坏道、电路损坏等；逻辑故障：误删除、误克隆、误格式化、病毒攻击等）导致存储介质上数据丢失时把保留在存储介质上的数据重新恢复的过程，即使数据被删除、黑客攻击或存储介质出现物理故障，数据恢复技术也能使相关数据得以完整或部分地恢复。数据丢失的原因多种多样，既可能是逻辑上的问题，也可能是物理方面的原因，还有可能是物理与逻辑故障同时存在。同样，数据恢复的可能性与成功率也要受到物理及逻辑两方面的因素影响。因此，开始恢复前，应该对欲进行数据恢复的存储介质的物理健康状况及逻辑破坏情况有个全面的了解，并根据实际情况制定妥善的恢复方案。1数据恢复原理数据恢复包括硬件、逻辑两方面恢复，而逻辑方面的恢复可以分为基本数据恢复和多磁盘卷数据恢复。基本数据恢复包括分区丢失、DBR损坏、格式化、误删除等情况下的数据恢复。这里只探讨基本数据恢复。通过操作系统对存储介质进行格式化、对数据进行删除等操作是无法彻底清除数据的，这是数据有可能恢复的原因所在。存储介质存储数据，首先要将其进行初始化，系统检测到新的存储介质（光存储除外）初次使用时，就会提示“未初始化”。初始化后的存储介质要分区，划分成一定的逻辑区域，然后通过对分区进行格式化建立相应文件系统后，才能在分区内进行数据的存储。为便于分析初始化、分区及格式化操作对存储介质数据写入情况，暂将存储介质所有扇区内数据全部填充2E。1.1 初始化操作对存储介质写入数据分析存储介质初始化前后主引导扇区数据视图见图1、图2。由主引导扇区数据变化可知，对存储介质初始化实质就是向0号扇区（即主引导记录扇区）写入代码，同时将分区表区域数据清零，最后两字节写入标志“55AA”。这也意味着，即使存储介质分区表是正常的，但如果引导代码被破坏， 或“55AA”标志损坏而导致存储介质显示未初始化时，对存储介质进行初始化操作将会破坏其中的分区表。 图1 初始化前主引导扇区数据视图图2初始化后主引导扇区数据视图1.2 分区操作对存储介质写入数据情况分析在初始化存储介质的基础上，进行分区操作。分区后主引导扇区及分区起始扇区数据如图3、图4。图3 分区后主引导扇区数据视图图4 分区后分区起始扇区数据视图由主引导扇区数据变化可知分区表区域写入了分区数据信息。同时分配给该分区的第一个扇区数据全部清零。分区的第一个扇区为分区引导记录扇区（即DBR扇区）。如DBR被破坏，双击该分区时将提示“未格式化”。因此，分区损坏时，试图通过系统重新按原来的分区大小进行划分将无法恢复其中的数据。1.3 格式化操作对存储介质写入情况分析格式化是指在分区内建立一定的文件系统的过程。文件系统由系统结构和按一定规则存放的用户数据组成。1.3.1 FAT16格式化FAT16分区保留扇区数为6个，2个FAT表，每个FAT表的大小为了125扇区，根目录占用32个扇区，可存放最大的目录项数为512个，每个目录项的大小为32个字节。FAT16分区结构见图5:12512532056130131255256287保留FAT1FAT2根目录图5 FAT16分区结构示意图分区进行FAT16格式化,FAT16分区结构数据将发生以下变化:1) 分区0号扇区写入引导代码,保留区域的其他扇区则清零.2) FAT1和FAT2起始扇区写入标志字节(F8FFFFFF),FAT区域的其它字节则清零.3) 对分配给根目录使用的空间清零,如建卷标,则将卷标目录写入0号目录项.4) 其他空间数据不进行任何操作.1.3.2 FAT32格式化FAT32分区结构如图6所示。387417411037387787791519保留区FAT1FAT22号簇图6 FAT32分区结构示意图分区进行FAT32格式化,FAT32分区结构数据将发生以下变化:1) 0号扇区写入引导代码,1号扇区写入Fsinfo信息,2号扇区写入“55AA”标志.2) 35号扇区清零,68扇区为02扇区做备份。3) 保留区其他位置清零。4) FAT区清零，FAT1和FAT2起始扇区写入标志（F8FFFF0F），2号FAT表项位置设置文件结束标志。4) 分配给根目录的簇空间清零，如设置卷标，0号目录项位置建卷标目录项。1.3.3 NTFS格式化NTFS将卷内所有内容都作为文件进行管理，包括文件系统管理数据。进行NTFS格式化时，其实是向分区中写入元文件。$Boot元文件必须起始于0号扇区外，其他元文件可以位于卷内其他位置。$Boot$MFT$MFTMirr图7 NTFS分区结构示意分区进行NTFS格式化,NTFS分区结构数据将发生以下变化:1) 通常为$Boot文件分配16个扇区，只有前7个扇区写入内容，其他扇区则进行清零处理。2) $MFT初始大小32KB，即占用64个扇区，其中分配给1623号MFT项的扇区只做清零处理。3) $MFTMirr只为$MFT文件备份前4个MFT项，占用8个扇区。1.4 删除操作的存储介质实质文件或目录被删除时，真正分配给它的簇空间并没有被进行任何改写操作。文件系统只是在它的目录项（FAT文件系统）或MFT（NTFS文件系统）中做了一个标记，以通知操作系统该文件或目录已经被删除。同时将描述其分配空间的相应FAT项（FAT文件系统）或位图（NTFS文件系统）改写为未分配状态，以使系统可以对该空间进行回收，并在需要时继续分配给其他文件或目录使用。2 数据可恢复性分析2.1 分区表损坏数据恢复分析意外断电、软件错误等常常会导致主引导记录扇区发生错误，如引导代码丢失、“55AA”标志损坏、分区表损坏等，通常磁盘会显示分区丢失、分区显示未格式化等。这种情况下，除主引导记录扇区外，其他扇区基本没有任何错误，因此恢复较容易，成功率较高。此时应首先检查主分区是否损坏，通过查看现有分区表描述的各个分区的前后关系是否合理、跳转到分区起始扇区查看是否为正常的DBR来判断故障原因。如发现异常，应尝试寻找并重构原来的分区结构。1） 重新分区未格式化重新对磁盘进行分区而未格式化，这种情况下只有很少的数据写入磁盘，如向磁盘写入扩展分区表、清空分区的第一个扇区等。重新分区基本分为两种情况，一是按原大小进行分区，二是改变原磁盘的分区布局。2） 按原大小进行分区。这种情况下，磁盘分区布局未改变，每个分区的起始与结束位置都没有发生变化。原为FAT16分区，由于没有DBR备份扇区存在，所以当它的DBR扇区在分区时被清零后，只能通过分析分区中数据手工重建。原为FAT32分区，位于分区内6号扇区的DBR备份不会被清除，所以可复制其到此分区的0号扇区进行恢复。原为NTFS分区，DBR备份位于分区的最后一个扇区，可复制到分区内0号扇区的DBR。3) 磁盘分区布局发生改变。如分区过程写入扩展分区表、清空分区第一个扇区等操作恰好位于无数据的区域，则原分区中的数据不会受到任何损坏，只要恢复磁盘原来分区布局结构就可以完整地恢复数据。如新写入的扩展分区表或新分区的起始位置恰好处于原来某个分区的数据区或文件系统管理区，则其数据破坏程度视情况而定。无论哪种情况，都可以首先尝试将磁盘分区恢复到原来的布局结构，查看数据是否存在缺失或损坏的情况。如正常，可完成数据恢复。如存在问题，可以用软件对存在问题的分区进行扫描，尝试恢复丢失的数据。4) 分区布局改变并进行格式化。重新分区后的布局结构与原分区结构间的差异、将分区格式化成哪种文件系统都会制约着恢复的可能性及成功率，这此视具体情况而定。2.2 DBR损坏后的数据恢复分析如一个分区的DBR损坏，试图打开访分区时会提示“未格式化”，并询问是否进行了格式化。1) FAT文件系统DBR损坏后的恢复。FAT16文件系统，因没有DBR备份分区，所以DBR损坏时，就要根据分区数据存储情况重建DBR。FAT32文件系统，如DBR意外损坏，文件系统6号扇区的备份完好情况下，使用备份DBR恢复主DBR。如备份DBR也已损坏，则只能重建DBR来恢复数据。2) NTFS文件系统DBR损坏后的恢复。NTFS文件系统分区，在分区的最后一个扇区中保留一份DBR扇区的备份。如只是文件系统0号扇区的DBR损坏，可以使用备份来恢复。2.3格式化后数据恢复分析1) 原FAT32格式化成FAT32。FATA32格式化将会重建DBR，重新分配保留区、建立新的FAT1和FAT2并将未使用的FAT项全部清零、清空根目录簇。如格式化使用与原FAT32文件系统不同的参数，文件系统布局就会不同，产生的破坏性结果也就不同。最主要的因素是指定不同的簇大小。如格式化时簇大小小于原文件系统中簇的大小，那么文件系统中的簇数就会增加，所需要的FAT表项也会相应增加，FAT表也就随之增大。这样，新格式化后的文件系统FAT区域就会延伸到原文件系统的数据区中，从而破坏数据区中的数据。如格式化时簇大小大于原文件系统中族的大小，所需要FAT项就会减少，从而FAT表就会减小。这种情况下，数据区的根目录第一簇被保留，能否完整恢复数据则要依靠于FAT表被破坏的程度及数据的连续性。对于FAT32文件系统，FAT表是至关重要的数据结构。一旦丢失，对于不连续的数据，后果是非常严重的。就子目录而言，可能只是目录结构混乱，但对于内容不连续的文件，将是致命的。2) 原FAT32格式化成NTFS。FAT32文件系统分区格式化成较高版本的NTFS文件系统时，一般对数据破坏不是太严重。因为FAT32文件系统分区内的数据通常都会位于分区内较靠前的位置，尤其重要的FAT表总是位于分区的前部。如格式化成较低版本的NTFS文件系统，则有可能会破坏FAT1的部分内容。FAT2完好的情况下，可用FAT2恢复FAT1。FAT1与FAT2都有部分损坏的情况下，可尝试两个FAT表完好的部分相互补充，尽可能减小FAT表的破坏程度。3) 原NTFS格式化成NTFS。如重新进行NTFS格式化时是在同一微机同一操作系统下进行，通常文件系统的布局不会发生太大变化，发生重要改变的只是$MFT元文件。系统重新生成$MFT元文件时，只是重写前64扇区，此区域内的MFT项都是NTFS文件系统元文件的MFT项，至关重要的用户数据MFT项和数据属性不会遭到破坏。从操作系统角度，用户数据的MFT项及数据属性所在的位置都是未分配使用的空间，无法识别并解释。但从数据恢复技术角度，用户数据基本上可以完好恢复。4) 原NTFS格式化成FAT32。FAT32格式化时，在分区前部建立保留区、FAT区，根目录清空。高版本的NTFS（如Windows XP），用户数据存储位置距离分区起始位置较远。因此格式化FAT32时，对用户数据的破坏不会很大。低版本的NTFS（如Windows 2000），$MFT文件位置比较靠近分区的前部，新建FAT32文件系统FAT表会破坏大量的MFT项，不利于文件数据的恢复。2.4 删除后数据恢复分析1) FAT16文件系统下删除。FAT16文件系统下，当文件或目录删除时，它的FAT链表被清空、目录项的首字节标志为删除标记0XE5.对FAT16而言，文件被删除后，能否恢复的关键在于原来是否是连续存储，如连续存储的，则可以得到完整恢复，如不是连续存储，则很难完整恢复，只能部分恢复。2