硬盘数据恢复技术初探

2012-04-29 20:23宋立洪
电脑知识与技术 2012年26期
关键词:数据恢复数据存储

宋立洪

摘要:硬盘作为大众最常用的存储工具,其数据的丢失必然导致用户的重大损失。通过分析硬盘数据丢失的原因和数据存储原理,提出解决硬盘逻辑故障下数据丢失的恢复方法。

关键词:硬盘故障;数据存储;数据恢复

中图分类号:TP334文献标识码:A文章编号:1009-3044(2012)26-6388-03

Preliminary Exploration of Hard Disk Data Recovery Technology

SONG Li-hong

(Anhui Radio & TV University, Hefei 230022, China)

Abstract: As the most commonly used storage tools, hard disk data loss will inevitably lead to a significant loss of the user. Here, firstly, we analyze the reasons for hard disk data loss and then giving the principle of data storage. Finally, we put forward some re? covery methods to solve the problem of data loss under hard disk logic failure.

Key words: hard disk failure; data storage; data recovery

随着电磁技术的飞速发展,硬盘容量呈几何级增长,主流产品已从最初的几M发展到目前的1T,作为大众最常用的存储工具,因各种原因导致硬盘数据的丢失,必然导致用户蒙受重大损失,如何采取有效措施,及时有效地恢复数据文件,显得尤为重要。下面就从硬盘数据丢失的原因、数据存储原理以及恢复方法等几个方面进行探讨。

1硬盘数据丢失的原因

造成硬盘数据丢失的原因,可以分为物理故障和逻辑故障两种。物理故障主要是指由于硬盘自身硬件损坏导致硬盘无法识别、运转及存取数据。物理故障常见种类及症状,主要有以下几种,即磁头故障、IDE端口或连接电缆故障、电路板故障、硬盘坏道等几种。

磁头故障主要表现在开机无法自检,并且硬盘因为开机一直无法寻道而发出“咔嚓”的异声,同时磁头臂的来回摆动会导致盘片划伤,加剧数据恢复的难度。磁头故障只能在百级超净无尘环境打开盘体更换磁头,才能提取数据。

IDE端口或连接电缆故障(包括断针断线等)主要表现在系统无法从硬盘启动,在CMOS中也检测不到硬盘的存在。可通过重新插接硬盘电缆或者改换IDE口及电缆等进行替换试验,确定故障原因。当系统中存在多种设备,包括多块硬盘之间或硬盘和CDROM等设备之间是否存在冲突,则还需要检查硬盘的跳线设置情况,以免因为跳线设置错误而导致系统无法检测到硬盘的存在。

电路板故障主要表现在通电后没有任何反应,板子上的元器件有烧坏的痕迹,包括主板损坏、芯片及其他原器件烧坏等。在确定盘体没有短路的情况下,可以更换电路板。

硬盘出现坏道主要表现在系统无法启动,或者分区及文件夹无法打开,或者在读取某一文件或运行某一程序时,硬盘反复读盘且出错,或者要经过很长时间才能成功,同时硬盘会发出异样的杂音。此时,如果强行加电会导致坏道增多。可用“SCANDISK”扫描硬盘,如果程序提示有了坏道,首先应该重新使用各品牌硬盘自己的自检程序进行完全扫描。如是逻辑坏道可通过检查修复,但是想彻底将逻辑坏道修复,必须重新分区和格式化,因此,要先将数据备份到好的硬盘上,然后在好的硬盘上恢复数据。如是物理坏道,虽然可以通过将坏道作上标记,同时划分一个专门的区给物理坏道,不用于存取文件,但是由于物理坏道具有“传染性”,建议及时更换。

硬盘盘体故障维修也需要在百级超净无尘环境,并使用专门的设备才能对数据进行恢复。通常发生此种故障后,恢复数据都是利用激光束对磁碟的盘片表面进行扫描,盘片的磁信号反映到激光束的信号,通过专门的设备将扫描后的获取的磁盘信息传到电脑上,利用专门的软件进行分析后得到非常高的数据回复率。此种方法对于有物理坏道的数据具有恢复能力。对于数据被多次覆盖、全盘清零、低格等的硬盘,也可采用“深层信号还原”的方法恢复数据。由于硬盘的物理介质是晶体,对于多次读写会在晶体介质的深层保留痕迹,通过不同波长、不同强度的射线对晶体照射后,获取的不同的反射、折射信号,分析这些信号就能读取不同深度下保留在晶体介质上的数据,进而恢复相应的数据。通过这种办法可以恢复被覆盖4、5次的数据。[1]

大部分硬盘物理故障的维修条件要求较高,在实际操作中难以实现,而现实中用户大量的硬盘数据丢失是由于逻辑故障造成的,如误格式化、误分区、病毒感染、系统错误导致文件丢失、甚至意外断电等导致的数据丢失。下面我们首先了解一下数据的存储原理,并重点解决硬盘发生逻辑故障时数据的恢复问题。

2数据存储原理

硬盘的数据结构是由MBR(主引导区)、OBR(操作系统引导区)、FAT(文件分配表区)、DIR(根目录区)和DATA(数据区)五个部分组成,见图1。

主引导扇区包括硬盘主引导记录MBR和硬盘分区表DPT。主引导记录是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时,将操作系统的引导扇区调入内存执行;硬盘分区表则存储了硬盘的分区信息。计算机启动时将读取该扇区的数据,并对其合法性进行判断,如合法则跳转执行该扇区的第一条指令。所以硬盘主引导扇区中的分区表常常成为病毒攻击的对象,导致硬盘分区信息被损坏。

操作系统引导扇区包括引导程序和本分区参数记录表BPB,是操作系统可直接访问的第一个扇区。引导程序主要判断本分区根目录前两个文件是否为操作系统的引导文件,如是,则把第一个文件读入内存,并把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、簇的大小等重要参数。

文件分配表FAT是操作系统的文件寻址系统,用于记录磁盘空间的分配情况,指示硬盘数据信息存放的柱面及扇区的信息指针。

根目录区DIR紧接在第二FAT表之后,记录着每个文件(目录)的起始单元、文件的属性等。定位文件位置时,操作系统根据DIR中的起始单元,配合FAT表就可以准确定位文件在磁盘的具体位置及大小了。文件根目录表FDT用于记录磁盘上存储文件的大小、位置、日期和时间等数据。

数据区DATA中的数据以簇为分配单位在硬盘中随机存放。文件存储时先在文件目录表中存储每一个文件的起始单元和文件属性,然后再在文件分配表中记录文件所占用的簇号和空间,最后才在数据区中存入文件数据。而文件读取时,操作系统先从目录区中读取文件信息(包括文件名、文件大小、文件在数据区保存的第一个簇的簇号等),根据簇号读取相应的数据,再查看是否有文件结束标志,然后读取文件所占用的簇号,最后读取文件的属性。

了解了硬盘的数据存储原理后,就可以根据逻辑故障发生的状况确定相应的数据恢复方法。对于逻辑故障造成的硬盘数据恢复的重点应放在与恢复关联性较差,变化性强的用户数据。

3硬盘数据恢复的方法

3.1误删除后的数据恢复

当执行删除文件的操作时,系统将目录区该文件的第一个字符改为“E5H”,同时将文件所在的文件簇在文件分配表中对应的表项值全部置“0”,见图2。系统检测文件分配表中相应位置值为“0”,认为可以写入新数据。因此,只要不向该扇区写入数据,则原硬盘数据并没有被真正删除。[2]通过一些恢复数据的软件如EasyRecovery、FinaData、DiskGenius等,可以通过对照分区表,恢复空闲列表中收回的删除文件的数据簇。

图2

当硬盘中的原有数据被新数据多次覆盖,基本上也没有恢复的可能,所以误删除文件的重要前提就是不能在删除文件的分区里继续进行写文件操作,也不要将恢复软件安装在要恢复的硬盘上。并将需要恢复的资料数据拷贝到另一块有足够的空间磁盘上,一定不能将待恢复的数据拷贝到同一硬盘的不同分区。

3.2分区表被破坏后的数据恢复

逻辑故障造成的数据丢失很多都是因为硬盘分区表上的数据链信息被破坏,分区表被损坏,就无法识别磁盘分区或卷,从而造成分区丢失或者打不开、文件丢失等现象,实际上数据并没有丢失。例如高级格式化、分区程序FDISK误分区,并没有向数据区写入数据,只是重写了FAT表。又如,病毒攻击主引导扇区中的分区表或个人误操作删除分区表,导致硬盘分区信息的损坏。

还有一种情况是,更改系统盘的分区格式,例如从FAT32格式更改为NTFS格式后,没有使用PQ等软件实现,而是直接对系统操作,或者是在重新调整分区大小的时候,PQ转换出错,导致的结果是显示其他盘符未分区,数据丢失,很明显是该硬盘的分区表被破坏了。

对于硬盘分区表被破坏,首先应先重建分区表,恢复被破坏的分区表,然后再恢复该硬盘的数据。

3.3误格式化后的数据恢复

不同的文件系统管理文件的方式不一样,而数据存储的规律在系统格式化程序创建的文件系统是就确定了。如在一个已经有数据的分区再次格式化会造成所有的数据丢失,当出现因格式化而丢失数据时,有的可以绝大部分恢复,有的只能部分恢复。通常设计的比较晚的日志型文件系统,恢复效果较好,如NTFS文件系统,EXT3文件系统;设计的比较早的文件系统,恢复效果较差,如FAT文件系统。

3.4误用ghost

ghost可以提供方便的数据备份与恢复功能,但是不能全盘复制软件,只复制那些FAT表上存在的文件,而非复制磁盘上所有的数据。同时由于目标盘的选择习惯等问题,经常出现问题,因此在数据备份时,不要过分相信ghost。ghost只认正确的分区,对于隐藏的分区它不会复制。

3.5用软件恢复数据

一些常用的恢复数据软件如EasyRecovery、FinaData、DiskGenius、Disk Recovery等,在BIOS中能认硬盘的情况下,都可以起到很好的恢复数据的作用。例如EasyRecovery是一种常用的数据恢复软件,他对于FAT、NTFS分区中误删除、误格式化以及重新分区而造成的数据丢失都具有很好恢复功能,还可以帮助重建文件系统。但是不能完整的用于对存在多个簇的大文件的恢复,适合用于分区表严重损坏,使用其他软件不能恢复的情况。又如FinaData不仅可以按照物理硬盘或者逻辑分区来进行扫描,还可以通过对硬盘的绝对扇区来扫描分区表,找到丢失的数据。[3]

4结束语

虽然我们提出了一些恢复数据的办法,但是在日常使用硬盘的过程中,还应该注意以下几个方面,一是保护好硬盘,轻拿轻放,保持机箱的清洁,写盘时不能随意断电;二是要有数据安全意识,经常备份重要数据和杀毒、防毒,数据不要放在系统盘;三是不能轻易更改盘符格式,用Ghost恢复系统也要了解清楚,是否会更改系统盘的分区信息;四是一旦出现故障,不能随意往硬盘写数据,也不能随意进行系统扫描;五是定期做磁盘整理,可以有效地减少碎片文件,便于以后的数据恢复;六是在上次非正常关机后重启WINDOWS时,千万不要在目标区进行磁盘扫描,这样会导致数据无法恢复;七是需要有足够的磁盘空间写入恢复资料,一定不能将待恢复的数据拷贝到同一硬盘的不同分区,应将数据拷贝到另一块硬盘上。只有养成良好的使用习惯,才能确保我们数据真正的安全。

参考文献:

[1]文光斌.数据恢复技术的发展前景、技术层次及常用方法[J].网络安全技术与应用,2005(5):74-76.

[2]杨灵,黄宏波.硬盘数据恢复原理与方法[J].农业网络信息,2005(3):47-48.

[3]任桦.计算机硬盘数据备份和数据恢复技术[J].电脑知识与技术,2008(6):1318-1319.

[4]戴士剑,涂彦晖.数据恢复技术[M].2版.北京:电子工业出版社,2005.

猜你喜欢
数据恢复数据存储
大数据时代档案信息建设的认识和实践
开源数据库数据存储的实现路径分析
基于Android开发的APP数据存储研究
常见硬盘数据丢失的分析与恢复
哈希算法在物联网数据存储中的应用
浅议数据安全与恢复
基于Android—x86的windows恢复系统研究与设计
Windows操作平台下的数据恢复技术
浅析数据恢复技术
数据备份技术