李金月　鄧強(qiáng)　李軍輝

摘要：數(shù)據(jù)恢復(fù)是電子取證中最常見也是最基礎(chǔ)的工作，數(shù)據(jù)恢復(fù)工作是否有效與到位，往往直接決定了一個案件最終的成敗，原因就是數(shù)據(jù)恢復(fù)往往很大程度上決定著技術(shù)人員是否獲得了“能夠獲得”的全部信息與數(shù)據(jù)，此外很多案件中的犯罪分子往往具備一定的反偵查意識和計算機(jī)知識，往往會對一些敏感數(shù)據(jù)進(jìn)行一些人為破壞，因此數(shù)據(jù)恢復(fù)工作就更顯得意義重大。

關(guān)鍵詞：硬盤數(shù)據(jù)；數(shù)據(jù)恢復(fù)；數(shù)據(jù)消失

中圖分類號：TP391 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）20-0177-02

Introduction to the Hard Disk Data and Recovery

LI Jin-yue， DENG Jiang， LI Jun-hui

（The People's Procuratorate in Hebei Province， Shijiazhuang 050072，China）

Abstract： data recovery is the most common in the electronic evidence is the most basic work， whether the data recovery work effectively and reach the designated position， often directly decide the success or failure of a case finally， the reason is that data recovery is often largely determines whether technical personnel for the "able to get all the information and data， and in many cases the criminal consciousness tend to have a certain amount of investigation and the computer knowledge， for some sensitive data tend to some man-made destruction， so data recovery work more meaningful.

Key words： hard disk data； data recovery； the data disappear

數(shù)據(jù)恢復(fù)是電子取證中最常見也是最基礎(chǔ)的工作，數(shù)據(jù)恢復(fù)工作是否有效與到位，往往直接決定了一個案件最終的成敗，原因就是數(shù)據(jù)恢復(fù)往往很大程度上決定著技術(shù)人員是否獲得了“能夠獲得”的全部信息與數(shù)據(jù)，此外很多案件中的犯罪分子往往具備一定的反偵查意識和計算機(jī)知識，往往會對一些敏感數(shù)據(jù)進(jìn)行一些人為破壞，因此數(shù)據(jù)恢復(fù)工作就更顯得意義重大。

1 常見的數(shù)據(jù)消失的原因

最簡單同時也是最常見的數(shù)據(jù)損壞就是一般刪除文件后清空了回收站，或按住Shift鍵刪除，要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站，而是徹底刪除”。

用格式化的方法，對某個分區(qū)數(shù)據(jù)進(jìn)行格式化，從而“徹底”銷毀該分區(qū)上全部數(shù)據(jù)，但是硬盤分區(qū)信息仍然完好，也就是我們還能夠從“硬盤管理器”中看到該分區(qū)。

分區(qū)信息受損，常見的原因有：

（1）個人誤操作刪除分區(qū)。

（2）安裝多系統(tǒng)引導(dǎo)軟件或者采用第三方分區(qū)工具。

（3）遭到病毒破壞。

（4）利用Ghost軟件克隆分區(qū)/硬盤，從而破壞數(shù)據(jù)。

利用專門的數(shù)據(jù)銷毀工具對數(shù)據(jù)進(jìn)行銷毀；

（1）文件粉碎，常見的如瑞星等工具。

（2）軟件擦除，如用FileExtinguisher等專業(yè)數(shù)據(jù)銷毀軟件。

（3）硬件擦除，如用SoloIII硬盤克隆機(jī)的數(shù)據(jù)擦除，DoD擦除。

2數(shù)據(jù)恢復(fù)的原理

在確定要恢復(fù)數(shù)據(jù)之前，應(yīng)該對要恢復(fù)數(shù)據(jù)的性質(zhì)有所了解。根本上說，數(shù)據(jù)是物理存儲設(shè)備上的一部分，是實(shí)實(shí)在在存在的東西。例如硬盤，其存儲的數(shù)據(jù)就是盤片表面的磁性物質(zhì)；至于存儲的數(shù)據(jù)是“0”或“1”，是由磁性物質(zhì)當(dāng)時的物理狀態(tài)決定。我們讀取數(shù)據(jù)時，無非是檢查對應(yīng)磁性物質(zhì)的物理狀態(tài)，判定數(shù)據(jù)是“0”或“1”；同理，存數(shù)據(jù)，就是根據(jù)要存數(shù)據(jù)是“0”或“1”，決定如何改變對應(yīng)磁性物質(zhì)的物理狀態(tài)。

“雁過留聲，人過留名”，既然數(shù)據(jù)是客觀存在的，那么即使后來它消失了，但總會留下一些蛛絲馬跡?；谶@些，理論上數(shù)據(jù)只要在物理設(shè)備上存在過，那就有被恢復(fù)的可能性。

以上是從硬件角度看數(shù)據(jù)的恢復(fù)，當(dāng)然數(shù)據(jù)能被恢復(fù)很大程度上依賴于軟件。首先，從軟件的角度，我們可以把硬盤上的數(shù)據(jù)分為控制性數(shù)據(jù)和普通數(shù)據(jù)?？刂菩詳?shù)據(jù)為物理設(shè)備和操作系統(tǒng)提供必要的參數(shù)，使它們可以正確地存取數(shù)據(jù)；控制性數(shù)據(jù)一般會在硬盤固定的位置并有固定的大小且有固定的格式，例如MBR（主引導(dǎo)記錄）。普通數(shù)據(jù)指的就是不參與硬盤數(shù)據(jù)讀寫控制的數(shù)據(jù)。有了這樣的分類，那么數(shù)據(jù)存取的操作就變成了存取普通數(shù)據(jù)，同時修改相應(yīng)的控制性數(shù)據(jù)了。例如文件的刪除，大多數(shù)操作系統(tǒng)并不是真正地把數(shù)據(jù)內(nèi)容對應(yīng)的硬盤比特位清除（即不刪除對應(yīng)的普通數(shù)據(jù)），而是簡單地刪除其在系統(tǒng)文件表中的對應(yīng)項（即只刪除了對應(yīng)的控制性數(shù)據(jù)），也就是說，當(dāng)我們刪除一個文件時，其實(shí)文件的內(nèi)容仍然存在，只是我們通過操作系統(tǒng)看不到而已（因為上層應(yīng)用是通過控制性數(shù)據(jù)來訪問硬盤的）。這就給了我們恢復(fù)數(shù)據(jù)的依據(jù)。

基于以上所述，我們可以把數(shù)據(jù)消失的種類，簡單分為物理消失和非物理消失。物理消失就是普通數(shù)據(jù)在硬盤上不再存在，包括數(shù)據(jù)被清除和覆蓋，甚至是所在分區(qū)物理上損壞等。非物理消失主要指前面所說的，普通數(shù)據(jù)仍然存在在硬盤上，而對應(yīng)的控制性數(shù)據(jù)已被刪除的情況。

對于物理消失的數(shù)據(jù)一般難以恢復(fù)，需要專業(yè)的工具和具有專業(yè)技術(shù)的人來進(jìn)行操作。對于非物理消失的數(shù)據(jù)，我們一般只需完整地把對應(yīng)的普通數(shù)據(jù)取出，就可以實(shí)現(xiàn)數(shù)據(jù)的完整恢復(fù)。

3數(shù)據(jù)恢復(fù)的方法

下面我們就以Windows下的FAT32文件系統(tǒng)為例來說明恢復(fù)數(shù)據(jù)的一般思路和方法。

3.1 文件徹底刪除

首先，讓我們看看一個文件被刪除后，系統(tǒng)的變化（假定刪除的文件為demo.txt）：

demo.txt文件目錄項的第一個字節(jié)被改為E5，但文件名其他字節(jié)沒有變化。demo.txt文件FAT表的簇鏈全部清除，開始簇號的低2字節(jié)不變，高2字節(jié)被清0。demo.txt文件數(shù)據(jù)和文件大小所在字節(jié)不變

恢復(fù)思路和方法：找到文件開始簇，依照文件大小，把其中的普通數(shù)據(jù)提取出來。

3.2 分區(qū)格式化

格式化其實(shí)就是給分區(qū)創(chuàng)建一個文件系統(tǒng)，當(dāng)分區(qū)格式化后，F(xiàn)AT表的簇鏈全部清0，根目錄區(qū)的文件也被清0，所以根目錄下的文件就很難被恢復(fù)；但子目錄的目錄項還保存著，沒有被清0，因此子目錄下的文件還是可以被恢復(fù)的。

恢復(fù)思路和方法：找到對應(yīng)子目錄的目錄項，然后按上面文件徹底刪除的情況處理。

注意：此處講的方法只適合于文件連續(xù)存放及文件開始簇號高2字節(jié)本身為0的情況。

3.3 分區(qū)信息受損

分區(qū)信息受損一般有兩種情況：MBR（主引導(dǎo)記錄）受損和EBR（擴(kuò)展引導(dǎo)記錄）受損。

1） MBR（主引導(dǎo)記錄）受損

MBR損壞的原因一般有：

① 計算機(jī)在運(yùn)行中突然斷電

② 計算機(jī)在運(yùn)行中非法關(guān)機(jī)

③ 計算機(jī)在運(yùn)行中非法重啟

④ 病毒破壞

因為MBR不隨操作系統(tǒng)的不同而變化，具有公共引導(dǎo)的性質(zhì)，所以恢復(fù)MBR有時就非常簡單，可以借助其他的硬盤的MBR來恢復(fù)。牢記MBR的組成：第一部份為Boot Program，大小為446 Bytes，第二部分為Partition Table，大小為64 Bytes，第三部分為結(jié)束標(biāo)志“55 AA”。

恢復(fù)思路和方法：按照MBR的組成，對應(yīng)恢復(fù)即可。

2） EBR（擴(kuò)展引導(dǎo)記錄）受損

EBR恢復(fù)方法與MBR一樣，只是EBR需要借助MBR來找到其所在的扇區(qū)，來對應(yīng)做出修改。

以上僅僅是數(shù)據(jù)恢復(fù)中一些簡單的情況，還有很多應(yīng)該針對具體的情況綜合不同的手段進(jìn)行恢復(fù)的情況。但在恢復(fù)中應(yīng)注意以下4點(diǎn)：

1）出現(xiàn)數(shù)據(jù)丟失后，應(yīng)停止向硬盤寫入任何數(shù)據(jù)。

2）不要再次對硬盤格式化和分區(qū)。

3）恢復(fù)出的數(shù)據(jù)一般不要放在原來的硬盤中。

4）力圖保證恢復(fù)的每一步都是可逆的（即可以撤銷當(dāng)前操作回到上一狀態(tài)），或只對硬盤進(jìn)行讀操作。

參考文獻(xiàn)：

[1]趙強(qiáng). 淺談數(shù)據(jù)恢復(fù)技術(shù)[J]. 湖北警官學(xué)院學(xué)報， 2008（3）.

[2]周靜. 淺析硬盤數(shù)據(jù)恢復(fù)原理與方法[J]. 中國西部科技， 2009（36）.

[3]鮑麗春. 計算機(jī)數(shù)據(jù)恢復(fù)技術(shù)探討[J]. 情報理論與實(shí)踐， 2012（1）.