《数据恢复技术》实验教学设计

姚罡　张净

【摘 要】《数据恢复技术》实验教学目的在于使学生较全面地学习有关数据恢复的基本理论和实用技术，本文描述了该课程实验内容设计的思路和实施方案，以帮助学生掌握数据恢复的基本方法，具有数据恢复的基本技能。

【关键词】数据恢复；实验教学

0 引言

《数据恢复技术》是一门理论与实践相结合的课程，主要研究数据恢复理论和实际操作技术，分析硬盘的物理结构和逻辑结构、FAT32文件系统、NTFS文件系统及常见数据恢复软件的应用，通过理解数据丢失的原因，讨论解决问题的思路、方案，引导学生进入数据恢复技术领域。

实验课程目的在于提高理论联系实际、分析问题、解决问题的能力，培养独立的动手能力和资料的查阅与使用技能。通过实验，学生将了解硬盘物理、逻辑结构，学习FAT32、NTFS文件格式及数据恢复技术，理解磁盘阵列的相关知识。

1 实验内容设计

实验项目从数据为什么能恢复、如何恢复、具体数据恢复案例三个角度开展，通过情境导入可以激发学生的学习兴趣和探索欲望，通过比对实验，掌握操作系统格式化分区、文件删除处理的原理，明确学习与实践内容及目标，变被动学习为主动学习，实现学生的学习主体地位，并快速融入工程项目的场景之中，教学情境由典型工程任务、根据教学需求进行转化而成，应有机地把教学目标、教学环境和教学过程结合起来。由于实验条件限制，实验项目重点在于数据恢复软处理方面，开设了硬盘结构分析、FAT32文件系统分析与数据恢复、NTFS文件系统分析与数据恢复、RAID磁盘阵列4个主要实验。

1.1 硬盘结构分析实验

利用Winhex理解硬盘的物理结构、逻辑结构，分析启动扇区的数据，掌握分区表工作原理，并利用手工方法对MBR、分区表等进行数据备份和恢复。

该实验以Ghost误还原备份系统为教学情景，经常有用户在使用Ghost做系统还原的时候操作失误，在还原分区过程中把原本只是系统盘C盘的镜像文件还原到整个硬盘上，这样一来，Ghost就将之前某一个分区的镜像文件还原到整个硬盘上。操作完成后，整个硬盘就只剩一个分区，硬盘上的其他分区丢失，同时这些分区中的文件数据全部丢失。通过实际可能发生的误操作为实验背景，学生感觉到“这样的问题我也遇到过”或“我以后可能也会遇到这样的问题”，也就会认为实验不是简单的理论到实践的转化，而的确是技能储备，有助于以后的学习和工作，激发学生学习兴趣。

实验在VMware虛拟机中实现，要求学生在实施Ghost误操作前利用Winhex查看MBR、EBR中的分区表，记录本分区的扇区数目，描述出分区链结构，了解硬盘逻辑结构。进行Ghost误操作后利用利用Winhex打开磁盘，手工修复该错误，重建分区表，找到丢失的分区和数据。实验思考问题环节要求学生思考不良商家是如何做到U盘扩容，假冒U盘大小的，让学生根据本次实验举一反三，进行思维拓展。

1.2 FAT32文件系统分析与数据恢复实验

该实验要求学生了解Windows文件系统，了解FAT32文件系统的工作原理，FAT32文件系统的DBR、FAT表、数据区的逻辑关系，能够运用工具恢复被删除的文件，学会手动恢复被删除的文件，分析恢复FAT32文件系统下误格式化数据和误删除数据，掌握DBR的恢复方法。

该实验以学生自带的U盘误格式化、U盘文件误删除为教学情景，实验过程要求学生分析U盘格式化、文件删除前后FAT表、FDT表项、DATA区的变化情况，并根据以上变化情况利用Winhex手动查找被删除的文件并恢复，学生在实验过程中可能会提出疑问，手工恢复效率是否太低，因而实验中介绍了R_STUDIO批量恢复删除文件的方法。

1.3 NTFS文件系统分析与数据恢复实验

该实验要求学生分析NTFS文件系统，研究与FAT32文件系统的不同，掌握NTFS文件系统删除文件和格式化的原理，恢复NTFS文件系统误格式化数据和误删除数据。并对实验内容进行延伸，讨论NTFS数据加密与证书密钥备份问题。

NTFS文件系统一共由16个“元文件”构成，它们是在分区格式化时写入到硬盘的隐藏文件（以”$”开头），也是NTFS文件系统的系统信息。NTFS文件系统比FAT32要复杂得多，因而实验原理部分详细介绍了NTFS的16个元文件。在实验过程中要求学生对主要的文件属性、Run List进行重点学习。

NTFS文件系统中小文件、大文件的存储方式不同，因而在实验内容设定中选择新建2个文件（TXT小文件、JPG大文件），要求查看这2个文件记录，并了解相关属性，首先理解80H属性，说明各自的的属性是常驻还是非常驻属性，文件的大小等，并分析哪个文件存在RUN LIST，记录该值，并分析其意义。根据以上分析，查看文件的数据部分。完成以上分析基础上，再分析文件删除后的变化，并利用Winhex恢复文件。实验思考问题环节要求学生进行知识拓展，了解NTFS加密与证书及证书备份的关系。

1.4 RAID磁盘阵列实验

本实验要求学生理解磁盘阵列的相关知识， 把多块独立的硬盘（物理硬盘）按不同的方式组合起来形成一个硬盘组（逻辑硬盘），学会在Windows制作常用的磁盘阵列，学会利用mdadm在Linux制作常用的磁盘阵列。

该实验以服务器工作高性能要求为教学情景，通过使用磁盘阵列，一是提高系统性能；二是提高系统可靠性；三是提高系统存储容量。一般情况下对安全性要求较高，对IO性能要求较高和对系统存储容量较大的情况下使用磁盘阵列。

实验以验证性内容为主， Windows系统中通过升级磁盘、创建简单卷并扩展为跨区卷、创建和测试镜像卷、实现创建RAID 5；Linux系统中利用mdadm实现常用的磁盘阵列，并分析不同的陈列技术有何不同。

2 结语

《数据恢复技术》课程实验主要由以上介绍的四个实验构成，要求学生实验室完成，每个实验内容都有扩展知识，要求学生运用所学的知识，查阅资料，解决问题，培养学生学习的自主性和创新能力。通过掌握硬盘基本结构，分析FAT32、NTFS文件系统及其不同及应用场合，了解日常工作学习中不常用的RAID技术，熟悉Winhex、R_STUDIO、VMware、Ghost等工具的使用。实验中勤于动脑、动手，按老师要求完成相应的实验内容；实验后对本实验进行回顾、结合教材和相关资料，完成实验的扩展内容，进一步分析、思考和总结并整理写出实验报告。

【参考文献】

[1]张京生，等.数据恢复方法及案例分析[M].电子工业出版社，2009，2.

[2]赵振洲.基于CDIO 模式的课程教学改革与实践-以数据恢复课程为例[J].安徽电子信息职业技术学院学报，2016（04）.

[责任编辑：朱丽娜]endprint