科学技术 浅析硬盘的数据恢复问题 马玉磊 (新乡学院,河南新乡453000) 摘要:随着人们对计算机使用的熟练操作程度的增加,越来越多的计算机用户已经开始学会了对计算机数据的安全使用及保护。 关键词:硬盘;数据恢复;数据安全 硬盘数据恢复是在硬盘发生故障而不能读取数据,或是人为操作 失误及病毒侵袭造成硬盘分区或是数据丢失,使用专门的设备或是硬 盘数据恢复软件和技术手段将数据从硬盘上恢复出来的服务。 首先,我们来了解一下相关的概念 硬盘数据恢复是指通过技术 手段,将保存在台式机硬盘、笔记本硬盘、服务器硬盘移动硬盘等设 备上丢失的电子数据进行抢救和恢复的技术。硬盘维修只是将故障硬 断修复工作。另外还需要一些软硬件维修工具配合来修复固件区等故 障类型。 4、磁盘阵列RAID数据恢复:磁盘阵列的存储原理这里不作讲解, 可参看本站阵列知识文章,其恢复过程也是先排除硬件及软故障,然 后分析阵列顺序、块大小等参数,用阵列卡或阵列软件重组或者是使 用DiskGenius虚拟重组RAID,重组后便可按常规方法恢复数据。 盘恢复到正常运转状态,在维修过程中不会考虑数据是否可以保全, 在维修完成之后也不会保证数据是否完整,并且通常硬盘维修要对硬 盘进行完全的初始化。而硬盘数据恢复是为了将数据完整的读取出 来,即使硬盘完全报废不可修复也可将数据恢复出来。 其次,我们再来了解一下硬盘的故障问题。常见故障编辑与数据 恢复有关的硬盘故障一般分为逻辑故障和物理故障及人为破坏和病毒 破坏。 1、逻辑故障:逻辑故障是指与文件系统有关的故障。硬盘数据的 写入和读取,都是通过文件系统来实现的。如果磁盘文件系统损坏, 那么计算机就无法找到硬盘上的文件和数据。文件系统的组成部分 有:分区表(Partition Table):如果分区表损坏,那么就无法识别 磁盘分区或卷;引导扇区或超级块(Boot Sector/Super Block):引 导扇区和超级块定义了磁盘分区/卷的最重要的参数;文件索引和其它 元数据(Index and Meta data):硬盘上的数据和文件按照一定的结 构分布在磁盘上,如果这种结构遭到破坏,那么完整的文件或数据也 就不存在了。 2、物理故障:物理故障是指硬盘自身发生硬件损坏,导致硬盘 无法正常运转、识别或存取数据。硬盘一般有电路板、固件、磁头、 盘片、电机等电子/软件/机械三部分组成,而任一组件都可能发生故 障。电路故障(PCB burned):硬盘的电路板烧毁,或硬盘电路板上 的控制芯片损坏。由于硬盘电路板使用的都是可编程芯片,所以硬盘 电路板的修复不仅仅是“电烙铁”和“焊锡”的工作。还需要使用专 门的编程设备;固件损坏(Firm corrupt):固件是控制硬盘正常运 转的硬件程序,是硬盘的“大脑”;磁头和电机故障(Head&motor failed):磁头和电机是硬盘的机械组件,位于密闭的、无尘的盘体 内部。磁头会老化、变形;电机会烧毁、卡住,这两个组件损坏会使 得硬盘彻底报废无法修复,只有使用专门的设备才可恢复数据;盘片 损伤(Platter scratch):盘片是保存数据的载体。硬盘在使用过程 中,会由于老化或划伤产生坏扇区。 3、人为破坏:有时候我们会不小心删除文件和破坏分区表,这都 会造成有效数据的丢失,这种数据丢失需要借助数据恢复软件或是手 工修复来达到数据的恢复。 4、病毒破坏:大多病毒是不会造成数据丢失的,但是少数病毒却 会造成硬盘锁死,分区丢失或是数据丢失,这时候不能单纯的使用杀 毒软件来清理病毒,否则就会造成数据严重破坏,一般都是通过专门 的软件来提起数据之后,才做杀毒处理。 接下来,我们再来看一下如何进行硬盘故障后的数据恢复。 1、逻辑故障数据恢复:逻辑故障是指与文件系统有关的故障。硬 盘数据的写入和读取,都是通过文件系统来实现的。如果磁盘文件系 统损坏,那么计算机就无法找到硬盘上的文件和数据。逻辑故障造成 的数据丢失,大部分情况是可以通过数据恢复软件找回的。 2、硬件故障数据恢复:硬件故障占所有数据意外故障一半以上, 常有雷击、高压、高温等造成的电路故障,高温、振动碰撞等造成的 机械故障,高温、振动碰撞、存储介质老化造成的物理坏磁道扇区故 障,当然还有意外丢失损坏的固件BIOS信息等。硬件故障的数据恢复 当然是先诊断,对症下药,先修复相应的硬件故障,然后根据修复其 他软故障,最终将数据成功恢复。 3、电路故障需要我们有电路基础,需要更加深入了解硬盘详细工 作原理流程。机械磁头故障需要i00级以上的工作台或工作间来进行诊 最后,我们再来看一下数据恢复时的一些技巧。 1、不必完全扫描:如果你仅想找到不小心误删除的文件,无论使 用哪种数据恢复软件,也不管它是否具有类似EasyRecovery快速扫描 的方式,其实都没必要对删除文件的硬盘分区进行完全的簇扫描。因 为文件被删除时,操作系统仅在目录结构中给该文件标上删除标识, 任何数据恢复软件都会在扫描前先读取目录结构信息,并根据其中的 删除标志顺利找到刚被删除的文件。所以,你完全可在数据恢复软件 读完分区的目录结构信息后就手动中断簇扫描的过程,软件一样会把 被删除文件的信息正确列出,如此可节省大量的扫描时间,快速找到 被误删除的文件数据。 2、尽可能采取NTFS格式分区:NTFS分区的MFT以文件形式存储在 硬盘上,这也是EasyItecovery和Recover4all即使使用完全扫描方式对 NTFs分区扫描也那么快速的原因一一实际上它们在读取NTFS的MFT后并 没有真正进行簇扫描,只是根据MFT信息列出了分区上的文件信息,非 常取巧,从而在NTFS分区的扫描速度上压倒了老老实实逐个簇扫描的 其他软件。不过对于NTFS分区的文件恢复成功率各款软件几乎是一样 的,事实证明这种取巧的办法确实有效,也证明了NTFS分区系统的文 件安全性确实比FAT分区要高得多,这也就是NTFS分区数据恢复在各项 测试成绩中最好的原因,只要能读取到 T信息,就几乎能10096恢复文 件数据。 3、巧妙设置扫描的簇范围:设置扫描簇的范围是一个有效加快扫 描速度的方法。像EasyRecovery的高级自定义扫描方式、FinalData和 File Recovery的默认扫描方式都可以让你设置扫描的簇范围以缩短扫 描时间。当然要判断目的文件在硬盘上的位置需要一些技巧,这里提 供一个简单的方法,使用操作系统自带的硬盘碎片整理程序中的碎片 分析程序(千万小心不要碎片整理啊,只是用它的碎片分析功能), 在分区分析完后程序会将硬盘的未使用空间用图形方式清楚地表示出 来,那么根据图形的比例估计这些未使用空间的大致簇范围,搜索时 设置只搜索这些空白的簇范围就好了,对于大的分区,这确实能节省 不少扫描时间。 4、使用文件格式过滤器:以前没用过数据恢复软件的朋友在第 一次使用时可能会被软件的能力吓一跳,你的目的可能只是要找几个 误删的文件,可软件却列出了成百上千个以前删除了的文件,要找到 自己真正需要的文件确实十分麻烦。这里就要使用EasyRecovery独有 的文件格式过滤器功能了,在扫描时在过滤器上填好要找文件的扩 展名,如“}.doc”,那么软件就只会显示找到的DOC文件了;如果只 是要找一个文件,你甚至只需要在过滤器上填好文件名和扩展名(如 important.doc),软件自然会找到你需要的这个文件,很是快捷方 便。 参考文献 [1】鲍通. 基于Web的数据备份与恢复….硅谷.20 09(O8) [2】周荃,赵凤英,王崇骏,陈世福. 数据挖掘方法在入侵检测中的应用 研究【J】.模式识别与人工智能.2008(04) [3】孙建华. 硬盘数据恢复技术解析….电脑知识与技术.2008(1 1) [4】付合军. 数据恢复技术与信息安全【J】.光盘技术.2006(03) 【5】张晓娟,杨世松. 硬盘数据恢复在信息安全应急响应中的应用【J]. 微计算机信息.2 006(12) 【6]翁永平. 文件删除终极大法….网络与信息.2006(02) ..349..
