第1章數(shù)據(jù)恢復(fù)基本原理

1、數(shù)據(jù)安全是指存儲在介質(zhì)里的數(shù)據(jù)因人為誤操作、硬件故障、不可抗力等造成數(shù)據(jù)丟失的風(fēng)險(xiǎn)。為了避免此類數(shù)據(jù)安全風(fēng)險(xiǎn)，我們的常用方法是對數(shù)據(jù)進(jìn)行時(shí)時(shí)備份，但數(shù)據(jù)備份是需要大量的資金及人力成本的支撐，日常的數(shù)據(jù)做到實(shí)時(shí)備份是不現(xiàn)實(shí)的。因此發(fā)生人為誤操作而丟失數(shù)據(jù)、遭到黑客攻擊丟失數(shù)據(jù)、數(shù)據(jù)存儲介質(zhì)出現(xiàn)故障等，數(shù)據(jù)都將面臨丟失的可能。此時(shí)，數(shù)據(jù)恢復(fù)技術(shù)是數(shù)據(jù)安全的最后一道防線，對數(shù)據(jù)安全起到至關(guān)重要的作用。所謂數(shù)據(jù)恢復(fù)就是把遭受到破壞、或有硬件缺陷導(dǎo)致不可訪問或不可獲得，或由于病毒、誤操作、意外事故（硬盤不小心摔壞）等各種原因?qū)е碌膩G失的數(shù)據(jù)還原成正常的數(shù)據(jù)，即恢復(fù)至它本來的“面目”。這里指的硬件也即數(shù)據(jù)

2、載體，其包括：磁盤、磁帶、光盤和各種半導(dǎo)體存儲器等。數(shù)據(jù)恢復(fù)作為一個(gè)數(shù)據(jù)再現(xiàn)的過程，一定要解決兩個(gè)問題，第一是從哪里恢復(fù)的問題，第二是怎么恢復(fù)的問題。解決了這兩個(gè)問題，我們事實(shí)上就把握了數(shù)據(jù)恢復(fù)的全部思想脈絡(luò)。而本節(jié)就是解決從哪里恢復(fù)的問題。1有效而及時(shí)的備份中是數(shù)據(jù)恢復(fù)最可靠的來源，在許多人倡導(dǎo)備份到秒的今天，恐怕不會有人懷疑這點(diǎn)。而有些備份機(jī)制則是系統(tǒng)內(nèi)建的，比如兩份FAT表。2數(shù)據(jù)的實(shí)際有效性的判定是關(guān)鍵，對我們來說，硬盤無法自舉、文件找不到、文件打不開等現(xiàn)象，其實(shí)并不與數(shù)據(jù)丟失畫等號。因?yàn)榇藭r(shí)往往數(shù)據(jù)只是從操作系統(tǒng)的角度是一種邏輯丟失，而從物理扇區(qū)意義上，它仍然存在或部分存在。最明顯的

3、就是文件刪除的例子，事實(shí)上，這只是把文件首字節(jié)，改為0E而已。而此時(shí)文件體依然存在。3 數(shù)據(jù)損壞過程的可逆性分析：對數(shù)據(jù)的改變無非兩種，取代和變換，前者是不可逆的，而后者則是可逆的。我們以殺毒為例，對于大多文件性病毒來說，那些以附加而非代換方式感染的文件型病毒，理想的殺毒過程就是感染的逆過程。這種分析也常見與重要信息被隱藏搬移或者被加密的情況，但分析將比較復(fù)雜。4 數(shù)據(jù)本身是否是標(biāo)準(zhǔn)信息：有些信息實(shí)際是通用或局部通用的，你無須考慮如何從本機(jī)搶救。只要相同或相近的系統(tǒng)版本就可以了，比如BOOT區(qū)、隱含扇區(qū)、WINDOWS的DLL文件等等。典型的例子如分區(qū)表的代碼區(qū)，這是一段標(biāo)準(zhǔn)代碼，事實(shí)上，它就

4、放在你的FDISK程序里面，你可以用DEBUG把他提取出來。5 數(shù)據(jù)本身是否可以由其他信息統(tǒng)計(jì)再生：有些信息盡管丟失了，也沒有備份。但它實(shí)際可以從其他數(shù)據(jù)中間接求得。最典型的就是主分區(qū)表中的分區(qū)信息，即使你把他清零也不必害怕，因?yàn)槟憧梢詮哪銕讉€(gè)分區(qū)中計(jì)算再生。6 破壞的完成程度：事實(shí)上，F(xiàn)DISK、FORMAT都不會徹底破壞數(shù)據(jù)，一般只有低格和扇區(qū)覆蓋操作才會徹底破壞數(shù)據(jù)。但有時(shí)，破壞過程或者誤操作過程會因人工終止、死機(jī)等原因不能完成。最明顯的就是CIH病毒的例子，由于CIH是以1024字節(jié)為單位覆蓋扇區(qū)，這當(dāng)然是不可逆過程，于是我們最初都認(rèn)為，破壞是很難恢復(fù)的，除非人工終止。事實(shí)上，當(dāng)病毒覆

5、蓋某些扇區(qū)時(shí)會與9X系統(tǒng)發(fā)生沖突，從而造成死機(jī)，使數(shù)據(jù)得到了保護(hù)。以上只是從技術(shù)理論上闡述了數(shù)據(jù)的可恢復(fù)性，但在實(shí)際的數(shù)據(jù)恢復(fù)工作中我們還需要考慮數(shù)據(jù)恢復(fù)的“經(jīng)濟(jì)可承受度”和“時(shí)間尺度”。當(dāng)硬盤數(shù)據(jù)被覆蓋一次后，在技術(shù)上數(shù)據(jù)是可恢復(fù)的，但從經(jīng)濟(jì)價(jià)格上看通常是不可恢復(fù)的。同時(shí)，一次數(shù)據(jù)恢復(fù)的價(jià)值，通常會隨著恢復(fù)時(shí)間的增加而在不斷的減少。數(shù)據(jù)出現(xiàn)問題，大致分為兩大類：一是因物理性故障而導(dǎo)致的，二是因邏輯性錯誤而產(chǎn)生的。硬盤是一個(gè)集機(jī)、電、磁于一體的高精密系統(tǒng)。如果它的機(jī)、電、磁部件存在物理故障，或者因控制代碼出錯而導(dǎo)致整個(gè)硬盤工作異常，均可能造成原有數(shù)據(jù)的丟失。如：磁頭定位不準(zhǔn)； 電路板燒毀； 電

6、機(jī)不轉(zhuǎn)； 盤片劃傷 對于真正的硬性物理故障來說，我們通常可以通過部件代換的方式，使得硬盤恢復(fù)正常的工作性能，從而恢復(fù)原有數(shù)據(jù)。比如：電路板（芯片燒壞或擊穿、三極管等故障），數(shù)據(jù)修復(fù)率 100% ；對于盤體上的物理故障，按部位分為盤片故障和磁頭組件故障。盤片故障通常包括壞道（物理性劃傷、邏輯性壞道）、磁性介質(zhì)性能衰退導(dǎo)致的重要信息丟失或損壞等，磁頭組件故障則包括了磁頭、磁頭臂、小車、預(yù)放大器(磁頭芯片、預(yù)放大芯片)故障。對于具體的硬件故障問題的處理，我們將在以后第三章里予以詳述。日常生活中的諸多表現(xiàn)，均可導(dǎo)致數(shù)據(jù)的邏輯性丟失。如：硬盤被CIH病毒破壞；被惡意程序鎖住硬盤；被引導(dǎo)區(qū)破壞的硬盤（WY

7、X.B）；個(gè)別磁盤介質(zhì)老化；一些特殊硬盤：DELL引導(dǎo)區(qū)的特殊（不能用SYS.COM）、PQ分區(qū)的特殊性；誤刪除文件、誤格式化分區(qū)；誤克隆導(dǎo)致分區(qū)出錯；誤刪除分區(qū)；用系統(tǒng)恢復(fù)盤恢復(fù)系統(tǒng)導(dǎo)致分區(qū)數(shù)據(jù)丟失；RAID陣列數(shù)據(jù)丟失；Windows 2000/XP操作系統(tǒng)密碼破解；文檔密碼破解（.doc、.xls、.rar、.zip等文檔）；文檔修復(fù)、Foxmail郵件修復(fù)等；硬盤殺手破壞前8G數(shù)據(jù)、挪威客變種E刪除文件情況，七月殺手、12月13日（w97/thus）、屏幕保護(hù)者等；BIOS能檢測到硬盤但是無法啟動系統(tǒng)凡此種種，不一而足。對因軟性邏輯故障丟失的數(shù)據(jù)恢復(fù)來說，我們所做的恢復(fù)，基本上是一種邏

8、輯處理。但邏輯錯誤種類繁多，只有對情況有一個(gè)準(zhǔn)確的判定，才能做出準(zhǔn)確的應(yīng)對。一般的來說，問題可以歸納為以下幾種情況：（1）硬盤無法完成正確引導(dǎo)：因邏輯故障造成的邏輯損壞、引導(dǎo)區(qū)故障、重要扇區(qū)崩潰等等，都會使系統(tǒng)不能完成正常的自舉過程。（2）文件丟失：由于有意破壞，誤刪除等等都會造成數(shù)據(jù)的丟失。另外，這種歸類不僅僅包括某個(gè)或某幾個(gè)文件，也適用于目錄，分區(qū)或卷的丟失。（3）文件無法正常打開：由于病毒感染，加密，文件頭損壞等情況，會使文件無法正常打開。（4）數(shù)據(jù)紊亂：由于各種因素的影響，數(shù)據(jù)庫中的信息、文本文件等，可能面目全非。.1全盤崩潰和分區(qū)丟失全盤崩潰和分區(qū)丟失分區(qū)表破壞，可能

9、是數(shù)據(jù)損壞中除了物理損壞之外最嚴(yán)重的也是很常見的一種災(zāi)難性破壞。究其原因，不外乎以下幾種:個(gè)人誤操作刪除分區(qū)；安裝多系統(tǒng)引導(dǎo)軟件或者采用第三方分區(qū)工具；病毒破壞；利用Ghost克隆分區(qū)導(dǎo)致分區(qū)數(shù)據(jù)破壞。1 1文件誤刪除文件誤刪除恢復(fù)恢復(fù)2. 2. 誤格式化的情況誤格式化的情況3. 3. 病毒破壞、癥狀病毒破壞、癥狀文件內(nèi)部問題是指由于文件內(nèi)部結(jié)構(gòu)破壞導(dǎo)致的數(shù)據(jù)丟失。一般的說，恢復(fù)損壞文件須要清楚地了解文件的結(jié)構(gòu)，但這并不是很容易的事情，而這方面的工具也不多。不過，文件如果字節(jié)正常，不能正常打開往往是文件頭損壞。俗話說，學(xué)數(shù)據(jù)恢復(fù)，前三年無敵天下，后三年寸步難行，就是這個(gè)理。因?yàn)橐粋€(gè)文件內(nèi)部的結(jié)

10、構(gòu)是十分復(fù)雜的，其復(fù)雜程度遠(yuǎn)遠(yuǎn)超過硬盤的分區(qū)結(jié)構(gòu)和分區(qū)內(nèi)部的文件存儲結(jié)構(gòu)，不同的文件類型，其結(jié)構(gòu)大不相同，想理清不同文件的內(nèi)部結(jié)構(gòu)，真還不是一件容易的事。遇到文件被加密，而密碼又遺忘時(shí)，千萬不要進(jìn)行FDISK/MBR、SYS等處理，否則數(shù)據(jù)再也無法找回，一定要反解加密算法，或找到被移走的重要扇區(qū)。對于那些加密硬盤數(shù)據(jù)的病毒，清除時(shí)一定要選擇能恢復(fù)加密數(shù)據(jù)的可靠殺毒軟件。目前有一些相關(guān)的軟件，他們的思想一般都是用一個(gè)大字典集中的數(shù)據(jù)循環(huán)用相同算法加密后與密碼的密文匹配，直到一致時(shí)則說明找到了密碼。你可以去尋找這些軟件，當(dāng)然，有些軟件是有后門的，比如DOS 下的WPS，Ctrl+qiubojun就是通用密碼。對于常見的OFFICE文件，在采用常規(guī)方法加密時(shí)，Advanced Office Password Recovery算是一款不錯的解密工具。如果遇到系統(tǒng)用戶