謝新軍

摘 要： 隨著人們對(duì)數(shù)據(jù)安全的認(rèn)識(shí)及對(duì)數(shù)據(jù)恢復(fù)技術(shù)的了解加深，數(shù)據(jù)恢復(fù)技術(shù)行業(yè)的價(jià)值已經(jīng)得到各個(gè)方面的認(rèn)可，不僅可以為個(gè)人或者企業(yè)用戶恢復(fù)丟失的文件數(shù)據(jù)，還可以為公安機(jī)關(guān)打擊各種計(jì)算機(jī)犯罪行為提供技術(shù)支持。因此，數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)領(lǐng)域中占有重要位置。

關(guān)鍵詞： 計(jì)算機(jī)硬盤 數(shù)據(jù)恢復(fù)技術(shù) 信息安全

通常情況下，病毒、黑客襲擊計(jì)算機(jī)等是造成數(shù)據(jù)丟失的主要因素。隨著全球信息化的不斷加劇，信息早已成為社會(huì)發(fā)展的重要資源，圍繞這一資源展開的競(jìng)爭(zhēng)日益激烈。數(shù)據(jù)是信息的重要載體，所以系統(tǒng)與數(shù)據(jù)恢復(fù)技術(shù)作為一種新技術(shù)便應(yīng)運(yùn)而生了。硬盤是計(jì)算機(jī)系統(tǒng)中最主要的外部存儲(chǔ)設(shè)備，硬盤上存儲(chǔ)的數(shù)據(jù)會(huì)因?yàn)楦鞣N原因而遭到損壞或丟失，數(shù)據(jù)恢復(fù)是將硬盤上損壞或丟失的數(shù)據(jù)重新找回來，還原為正?？捎脭?shù)據(jù)的過程。

一、硬盤數(shù)據(jù)損壞或丟失的原因

1.硬件故障

硬件故障是造成數(shù)據(jù)損壞或丟失的重要原因之一，如供電電壓不穩(wěn)造成系統(tǒng)自動(dòng)重啟、硬盤出現(xiàn)壞道、盤片劃傷、磁頭變形、磁頭臂斷裂、磁頭放大器損壞、芯片組或其他元器件損壞等。硬件故障屬于物理故障，維修工作需要有關(guān)專業(yè)設(shè)備和儀器的支持，所以對(duì)于一般用戶很難掌握，而且由硬件故障造成的數(shù)據(jù)損壞或丟失往往恢復(fù)的可能性很小。因此，避免硬件故障的發(fā)生是防止數(shù)據(jù)丟失的有效途徑，比如定期進(jìn)行檢修維護(hù)、更新?lián)Q代硬件等。

2.惡意程序或網(wǎng)絡(luò)非法入侵

惡意程序一般是指網(wǎng)絡(luò)上流行的各種計(jì)算機(jī)病毒，系統(tǒng)感染病毒后會(huì)導(dǎo)致不同程度的系統(tǒng)癱瘓、程序被破壞或數(shù)據(jù)丟失，嚴(yán)重的甚至?xí)斐捎脖P損壞、主板BIOS芯片被破壞。計(jì)算機(jī)病毒無論是改變硬盤引導(dǎo)區(qū)、可執(zhí)行文件，還是Office文檔，都可能影響系統(tǒng)的正常運(yùn)行或?qū)е聰?shù)據(jù)丟失，即使是良性伴隨性病毒，同樣會(huì)破壞數(shù)據(jù)。除此之外，網(wǎng)絡(luò)黑客的非法入侵也會(huì)對(duì)計(jì)算機(jī)系統(tǒng)文件和數(shù)據(jù)進(jìn)行盜取和破壞。因此，有效地防治計(jì)算機(jī)病毒感染和網(wǎng)絡(luò)非法入侵對(duì)于數(shù)據(jù)安全性有著重要意義。

3.誤操作

除了客觀存在的各種因素造成數(shù)據(jù)損壞或丟失的原因外，硬盤數(shù)據(jù)也經(jīng)常因?yàn)槿藶檎`操作導(dǎo)致?lián)p壞或丟失，尤其是對(duì)于一些計(jì)算機(jī)初學(xué)者用戶，由于理論知識(shí)不足和實(shí)際操作技能欠缺，有可能會(huì)對(duì)系統(tǒng)進(jìn)行誤操作，如刪除系統(tǒng)重要文件、非正常關(guān)機(jī)、誤將硬盤格式化、重裝系統(tǒng)時(shí)刪除分區(qū)等都會(huì)造成數(shù)據(jù)的損壞或丟失。因此，計(jì)算機(jī)的操作人員要進(jìn)行必要的學(xué)習(xí)和培訓(xùn)，以掌握計(jì)算機(jī)操作的基本技能，從而避免硬盤數(shù)據(jù)發(fā)生損壞或丟失。

除以上三種原因外，突然斷電有時(shí)也會(huì)造成硬盤損壞或數(shù)據(jù)丟失，或?qū)е孪到y(tǒng)無法正常啟動(dòng)、內(nèi)存溢出或者進(jìn)程非法終止而損壞當(dāng)前正在執(zhí)行的數(shù)據(jù)文件。其他情況如軟件更新升級(jí)有時(shí)也會(huì)帶來一些問題，從而造成重要數(shù)據(jù)被破壞。

二、數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)原理

要掌握數(shù)據(jù)恢復(fù)技術(shù)，首先要了解數(shù)據(jù)的存儲(chǔ)結(jié)構(gòu)原理，這樣在做恢復(fù)工作時(shí)才能有針對(duì)性地分析并且解決問題。新買來的硬盤要先分區(qū)，再格式化后才可以使用，而在分區(qū)過程中主要將硬盤分成五個(gè)部分：主引導(dǎo)區(qū)和操作系統(tǒng)引導(dǎo)記錄區(qū)，還包括目錄區(qū)和FAT表及數(shù)據(jù)區(qū)。

操作系統(tǒng)可訪問的第一扇區(qū)是操作系統(tǒng)的引導(dǎo)區(qū)，該引導(dǎo)區(qū)主要由一個(gè)引導(dǎo)程序和一個(gè)BPB分區(qū)參數(shù)記錄表。引導(dǎo)程序的任務(wù)便是負(fù)責(zé)判斷文件是否為引導(dǎo)文件，如果是，就讀入內(nèi)存，并且將其控制權(quán)交給該文件。而參數(shù)快BPB則記錄著許多重要的參數(shù)，有分區(qū)的起始和結(jié)束扇區(qū)，還記錄著文件的存儲(chǔ)格式和根目錄的大小等。

文件分配表即FAT，是操作系統(tǒng)的文件尋址系統(tǒng)。一般為了確保其安全，都會(huì)準(zhǔn)備兩個(gè)，第二個(gè)是第一個(gè)的備份。硬盤上的文件都是被分成若干小段，但是彼此之間都是有聯(lián)系的，操作系統(tǒng)可以很準(zhǔn)確地讀取出文件。在FAT區(qū)之后還有兩個(gè)區(qū)：目錄區(qū)和數(shù)據(jù)區(qū)。

三、硬盤數(shù)據(jù)的恢復(fù)原理

在硬盤內(nèi)部有一個(gè)校驗(yàn)公式，可用來對(duì)數(shù)據(jù)進(jìn)行完整性校驗(yàn)。校驗(yàn)方法是將每個(gè)扇區(qū)的數(shù)據(jù)內(nèi)容和伺服信息通過校驗(yàn)公式計(jì)算，得到的值我們稱之為校驗(yàn)和，這個(gè)值是唯一的，也即對(duì)于每個(gè)扇區(qū)其值都不相同。換句話說，只要數(shù)據(jù)改變存儲(chǔ)內(nèi)容或存儲(chǔ)扇區(qū)位置，其校驗(yàn)和都不會(huì)相同。對(duì)于數(shù)據(jù)因?yàn)檎`操作而損壞或丟失，我們可以完全利用這個(gè)數(shù)據(jù)恢復(fù)原理，通過逆向運(yùn)算找到剩余的原始信息，把數(shù)據(jù)完整地恢復(fù)出來。

在對(duì)硬盤的操作中，快速低級(jí)格式化、硬盤分區(qū)、快速高級(jí)格式化（假設(shè)格式化時(shí)沒有使用/U這個(gè)無條件格式化參數(shù)）、刪除文件、重整硬盤缺陷列表等操作，都不會(huì)真正將數(shù)據(jù)從數(shù)據(jù)區(qū)Data中實(shí)際抹去。快速低級(jí)格式化一般只有硬盤廠家才能實(shí)現(xiàn)，是通過軟件快速重寫每個(gè)盤面、柱面、扇區(qū)等初始化信息，不會(huì)將扇區(qū)中的數(shù)據(jù)抹掉。硬盤分區(qū)和快速高級(jí)格式化是重新構(gòu)造新的扇區(qū)信息和文件分區(qū)表，不會(huì)對(duì)原來扇區(qū)中Data區(qū)的數(shù)據(jù)造成影響。刪除文件只是在目錄區(qū)作了刪除標(biāo)記，將文件的地址信息從列表中抹去，而數(shù)據(jù)本身并沒有真正被刪除，除非在原來數(shù)據(jù)所在扇區(qū)重新寫入新的數(shù)據(jù)。重整硬盤缺陷列表是把新的缺陷扇區(qū)加入G列表或者P列表中，對(duì)于其他扇區(qū)中的數(shù)據(jù)沒有任何影響。對(duì)于以上這類操作造成硬盤數(shù)據(jù)“損壞”或“丟失”的情況，在進(jìn)行數(shù)據(jù)恢復(fù)時(shí)是比較容易的，關(guān)鍵是在以上操作之后，千萬不要在硬盤上寫入任何其他數(shù)據(jù)。因此，各類數(shù)據(jù)恢復(fù)軟件正是利用Data區(qū)中的數(shù)據(jù)不易被改寫，從而根據(jù)其中殘留的種種痕跡恢復(fù)數(shù)據(jù)。

四、分區(qū)表或文件損壞造成的幾項(xiàng)數(shù)據(jù)修復(fù)

1.破壞分區(qū)表造成的數(shù)據(jù)修復(fù)

當(dāng)前，病毒重點(diǎn)侵入的環(huán)節(jié)在于記錄主引導(dǎo)硬盤所在的扇區(qū)，通過DPT（分區(qū)表）的破壞，進(jìn)而達(dá)到損壞主引導(dǎo)硬盤扇區(qū)的分區(qū)內(nèi)資料信息的目的。破壞的分區(qū)表即損壞分區(qū)內(nèi)的數(shù)據(jù)而損壞相應(yīng)的記錄。對(duì)此，要適當(dāng)?shù)貞?yīng)用一定的軟件進(jìn)行數(shù)據(jù)修復(fù)。針對(duì)此情況，可使用諾頓磁盤醫(yī)生NDD進(jìn)行自動(dòng)修復(fù)分區(qū)內(nèi)的數(shù)據(jù)，及時(shí)有效地找回壞軟盤內(nèi)的數(shù)據(jù)，強(qiáng)行讀取并轉(zhuǎn)移到適合的空白扇區(qū)。同時(shí)，DiskMan中文磁盤工具也可對(duì)損壞的分區(qū)表進(jìn)行修復(fù)。

2.出現(xiàn)亂碼的Word或WPS文件修復(fù)

出現(xiàn)亂碼的Word或WPS文件，主要原因是由文檔不同格式的轉(zhuǎn)換或病毒造成的。此種情況下，雖然未丟失數(shù)據(jù)文件，但處理不恰當(dāng)，也相當(dāng)于數(shù)據(jù)丟失。若為格式轉(zhuǎn)換情況，可應(yīng)用Adobe Reader等專用工具打開對(duì)應(yīng)的文檔。若是病毒原因，則需使用一定的殺毒軟件清除。

3.誤格式化硬盤數(shù)據(jù)的恢復(fù)

在缺省情況下進(jìn)行操作格式化，可構(gòu)建磁盤格式化的復(fù)信息，換句話說，即在未徹底改變數(shù)據(jù)區(qū)的內(nèi)容前提下，在最后幾個(gè)相對(duì)使用較少的磁盤扇區(qū)備份全部磁盤的DOS引導(dǎo)扇區(qū)及Fat分區(qū)表、目錄表內(nèi)容。Unformat軟件工具可在計(jì)算機(jī)處于DOS狀態(tài)下使用，恢復(fù)由Format命令所對(duì)磁盤清除的數(shù)據(jù)，或?qū)ζ茐牡挠脖P驅(qū)動(dòng)器分區(qū)表數(shù)據(jù)進(jìn)行構(gòu)建或重新修復(fù)。但是，Unformat只限于本地硬盤或軟件驅(qū)動(dòng)器的恢復(fù)，并不能應(yīng)用于網(wǎng)絡(luò)驅(qū)動(dòng)器的數(shù)據(jù)恢復(fù)。