浅谈硬盘数据消失与恢复

李金月　邓强　李军辉

摘要：数据恢复是电子取证中最常见也是最基础的工作，数据恢复工作是否有效与到位，往往直接决定了一个案件最终的成败，原因就是数据恢复往往很大程度上决定着技术人员是否获得了“能够获得”的全部信息与数据，此外很多案件中的犯罪分子往往具备一定的反侦查意识和计算机知识，往往会对一些敏感数据进行一些人为破坏，因此数据恢复工作就更显得意义重大。

关键词：硬盘数据；数据恢复；数据消失

中图分类号：TP391 文献标识码：A 文章编号：1009-3044（2015）20-0177-02

Introduction to the Hard Disk Data and Recovery

LI Jin-yue， DENG Jiang， LI Jun-hui

（The People's Procuratorate in Hebei Province， Shijiazhuang 050072，China）

Abstract： data recovery is the most common in the electronic evidence is the most basic work， whether the data recovery work effectively and reach the designated position， often directly decide the success or failure of a case finally， the reason is that data recovery is often largely determines whether technical personnel for the "able to get all the information and data， and in many cases the criminal consciousness tend to have a certain amount of investigation and the computer knowledge， for some sensitive data tend to some man-made destruction， so data recovery work more meaningful.

Key words： hard disk data； data recovery； the data disappear

数据恢复是电子取证中最常见也是最基础的工作，数据恢复工作是否有效与到位，往往直接决定了一个案件最终的成败，原因就是数据恢复往往很大程度上决定着技术人员是否获得了“能够获得”的全部信息与数据，此外很多案件中的犯罪分子往往具备一定的反侦查意识和计算机知识，往往会对一些敏感数据进行一些人为破坏，因此数据恢复工作就更显得意义重大。

1 常见的数据消失的原因

最简单同时也是最常见的数据损坏就是一般删除文件后清空了回收站，或按住Shift键删除，要不然就是在“回收站”的“属性”中勾选了“删除时不将文件移入回收站，而是彻底删除”。

用格式化的方法，对某个分区数据进行格式化，从而“彻底”销毁该分区上全部数据，但是硬盘分区信息仍然完好，也就是我们还能够从“硬盘管理器”中看到该分区。

分区信息受损，常见的原因有：

（1）个人误操作删除分区。

（2）安装多系统引导软件或者采用第三方分区工具。

（3）遭到病毒破坏。

（4）利用Ghost软件克隆分区/硬盘，从而破坏数据。

利用专门的数据销毁工具对数据进行销毁；

（1）文件粉碎，常见的如瑞星等工具。

（2）软件擦除，如用FileExtinguisher等专业数据销毁软件。

（3）硬件擦除，如用SoloIII硬盘克隆机的数据擦除，DoD擦除。

2数据恢复的原理

在确定要恢复数据之前，应该对要恢复数据的性质有所了解。根本上说，数据是物理存储设备上的一部分，是实实在在存在的东西。例如硬盘，其存储的数据就是盘片表面的磁性物质；至于存储的数据是“0”或“1”，是由磁性物质当时的物理状态决定。我们读取数据时，无非是检查对应磁性物质的物理状态，判定数据是“0”或“1”；同理，存数据，就是根据要存数据是“0”或“1”，决定如何改变对应磁性物质的物理状态。

“雁过留声，人过留名”，既然数据是客观存在的，那么即使后来它消失了，但总会留下一些蛛丝马迹。基于这些，理论上数据只要在物理设备上存在过，那就有被恢复的可能性。

以上是从硬件角度看数据的恢复，当然数据能被恢复很大程度上依赖于软件。首先，从软件的角度，我们可以把硬盘上的数据分为控制性数据和普通数据。控制性数据为物理设备和操作系统提供必要的参数，使它们可以正确地存取数据；控制性数据一般会在硬盘固定的位置并有固定的大小且有固定的格式，例如MBR（主引导记录）。普通数据指的就是不参与硬盘数据读写控制的数据。有了这样的分类，那么数据存取的操作就变成了存取普通数据，同时修改相应的控制性数据了。例如文件的删除，大多数操作系统并不是真正地把数据内容对应的硬盘比特位清除（即不删除对应的普通数据），而是简单地删除其在系统文件表中的对应项（即只删除了对应的控制性数据），也就是说，当我们删除一个文件时，其实文件的内容仍然存在，只是我们通过操作系统看不到而已（因为上层应用是通过控制性数据来访问硬盘的）。这就给了我们恢复数据的依据。

基于以上所述，我们可以把数据消失的种类，简单分为物理消失和非物理消失。物理消失就是普通数据在硬盘上不再存在，包括数据被清除和覆盖，甚至是所在分区物理上损坏等。非物理消失主要指前面所说的，普通数据仍然存在在硬盘上，而对应的控制性数据已被删除的情况。

对于物理消失的数据一般难以恢复，需要专业的工具和具有专业技术的人来进行操作。对于非物理消失的数据，我们一般只需完整地把对应的普通数据取出，就可以实现数据的完整恢复。

3数据恢复的方法

下面我们就以Windows下的FAT32文件系统为例来说明恢复数据的一般思路和方法。

3.1 文件彻底删除

首先，让我们看看一个文件被删除后，系统的变化（假定删除的文件为demo.txt）：

demo.txt文件目录项的第一个字节被改为E5，但文件名其他字节没有变化。demo.txt文件FAT表的簇链全部清除，开始簇号的低2字节不变，高2字节被清0。demo.txt文件数据和文件大小所在字节不变

恢复思路和方法：找到文件开始簇，依照文件大小，把其中的普通数据提取出来。

3.2 分区格式化

格式化其实就是给分区创建一个文件系统，当分区格式化后，FAT表的簇链全部清0，根目录区的文件也被清0，所以根目录下的文件就很难被恢复；但子目录的目录项还保存着，没有被清0，因此子目录下的文件还是可以被恢复的。

恢复思路和方法：找到对应子目录的目录项，然后按上面文件彻底删除的情况处理。

注意：此处讲的方法只适合于文件连续存放及文件开始簇号高2字节本身为0的情况。

3.3 分区信息受损

分区信息受损一般有两种情况：MBR（主引导记录）受损和EBR（扩展引导记录）受损。

1） MBR（主引导记录）受损

MBR损坏的原因一般有：

① 计算机在运行中突然断电

② 计算机在运行中非法关机

③ 计算机在运行中非法重启

④ 病毒破坏

因为MBR不随操作系统的不同而变化，具有公共引导的性质，所以恢复MBR有时就非常简单，可以借助其他的硬盘的MBR来恢复。牢记MBR的组成：第一部份为Boot Program，大小为446 Bytes，第二部分为Partition Table，大小为64 Bytes，第三部分为结束标志“55 AA”。

恢复思路和方法：按照MBR的组成，对应恢复即可。

2） EBR（扩展引导记录）受损

EBR恢复方法与MBR一样，只是EBR需要借助MBR来找到其所在的扇区，来对应做出修改。

以上仅仅是数据恢复中一些简单的情况，还有很多应该针对具体的情况综合不同的手段进行恢复的情况。但在恢复中应注意以下4点：

1）出现数据丢失后，应停止向硬盘写入任何数据。

2）不要再次对硬盘格式化和分区。

3）恢复出的数据一般不要放在原来的硬盘中。

4）力图保证恢复的每一步都是可逆的（即可以撤销当前操作回到上一状态），或只对硬盘进行读操作。

参考文献：

[1]赵强. 浅谈数据恢复技术[J]. 湖北警官学院学报， 2008（3）.

[2]周静. 浅析硬盘数据恢复原理与方法[J]. 中国西部科技， 2009（36）.

[3]鲍丽春. 计算机数据恢复技术探讨[J]. 情报理论与实践， 2012（1）.