第1章數(shù)據(jù)恢復基本原理

1、數(shù)據(jù)安全是指存儲在介質里的數(shù)據(jù)因人為誤操作、硬件故障、不可抗力等造成數(shù)據(jù)丟失的風險。為了避免此類數(shù)據(jù)安全風險，我們的常用方法是對數(shù)據(jù)進行時時備份，但數(shù)據(jù)備份是需要大量的資金及人力成本的支撐，日常的數(shù)據(jù)做到實時備份是不現(xiàn)實的。因此發(fā)生人為誤操作而丟失數(shù)據(jù)、遭到黑客攻擊丟失數(shù)據(jù)、數(shù)據(jù)存儲介質出現(xiàn)故障等，數(shù)據(jù)都將面臨丟失的可能。此時，數(shù)據(jù)恢復技術是數(shù)據(jù)安全的最后一道防線，對數(shù)據(jù)安全起到至關重要的作用。所謂數(shù)據(jù)恢復就是把遭受到破壞、或有硬件缺陷導致不可訪問或不可獲得，或由于病毒、誤操作、意外事故（硬盤不小心摔壞）等各種原因導致的丟失的數(shù)據(jù)還原成正常的數(shù)據(jù)，即恢復至它本來的“面目”。這里指的硬件也即數(shù)據(jù)

2、載體，其包括：磁盤、磁帶、光盤和各種半導體存儲器等。數(shù)據(jù)恢復作為一個數(shù)據(jù)再現(xiàn)的過程，一定要解決兩個問題，第一是從哪里恢復的問題，第二是怎么恢復的問題。解決了這兩個問題，我們事實上就把握了數(shù)據(jù)恢復的全部思想脈絡。而本節(jié)就是解決從哪里恢復的問題。1有效而及時的備份中是數(shù)據(jù)恢復最可靠的來源，在許多人倡導備份到秒的今天，恐怕不會有人懷疑這點。而有些備份機制則是系統(tǒng)內(nèi)建的，比如兩份FAT表。2數(shù)據(jù)的實際有效性的判定是關鍵，對我們來說，硬盤無法自舉、文件找不到、文件打不開等現(xiàn)象，其實并不與數(shù)據(jù)丟失畫等號。因為此時往往數(shù)據(jù)只是從操作系統(tǒng)的角度是一種邏輯丟失，而從物理扇區(qū)意義上，它仍然存在或部分存在。最明顯的

3、就是文件刪除的例子，事實上，這只是把文件首字節(jié)，改為0E而已。而此時文件體依然存在。3 數(shù)據(jù)損壞過程的可逆性分析：對數(shù)據(jù)的改變無非兩種，取代和變換，前者是不可逆的，而后者則是可逆的。我們以殺毒為例，對于大多文件性病毒來說，那些以附加而非代換方式感染的文件型病毒，理想的殺毒過程就是感染的逆過程。這種分析也常見與重要信息被隱藏搬移或者被加密的情況，但分析將比較復雜。4 數(shù)據(jù)本身是否是標準信息：有些信息實際是通用或局部通用的，你無須考慮如何從本機搶救。只要相同或相近的系統(tǒng)版本就可以了，比如BOOT區(qū)、隱含扇區(qū)、WINDOWS的DLL文件等等。典型的例子如分區(qū)表的代碼區(qū)，這是一段標準代碼，事實上，它就

4、放在你的FDISK程序里面，你可以用DEBUG把他提取出來。5 數(shù)據(jù)本身是否可以由其他信息統(tǒng)計再生：有些信息盡管丟失了，也沒有備份。但它實際可以從其他數(shù)據(jù)中間接求得。最典型的就是主分區(qū)表中的分區(qū)信息，即使你把他清零也不必害怕，因為你可以從你幾個分區(qū)中計算再生。6 破壞的完成程度：事實上，F(xiàn)DISK、FORMAT都不會徹底破壞數(shù)據(jù)，一般只有低格和扇區(qū)覆蓋操作才會徹底破壞數(shù)據(jù)。但有時，破壞過程或者誤操作過程會因人工終止、死機等原因不能完成。最明顯的就是CIH病毒的例子，由于CIH是以1024字節(jié)為單位覆蓋扇區(qū)，這當然是不可逆過程，于是我們最初都認為，破壞是很難恢復的，除非人工終止。事實上，當病毒覆

5、蓋某些扇區(qū)時會與9X系統(tǒng)發(fā)生沖突，從而造成死機，使數(shù)據(jù)得到了保護。以上只是從技術理論上闡述了數(shù)據(jù)的可恢復性，但在實際的數(shù)據(jù)恢復工作中我們還需要考慮數(shù)據(jù)恢復的“經(jīng)濟可承受度”和“時間尺度”。當硬盤數(shù)據(jù)被覆蓋一次后，在技術上數(shù)據(jù)是可恢復的，但從經(jīng)濟價格上看通常是不可恢復的。同時，一次數(shù)據(jù)恢復的價值，通常會隨著恢復時間的增加而在不斷的減少。數(shù)據(jù)出現(xiàn)問題，大致分為兩大類：一是因物理性故障而導致的，二是因邏輯性錯誤而產(chǎn)生的。硬盤是一個集機、電、磁于一體的高精密系統(tǒng)。如果它的機、電、磁部件存在物理故障，或者因控制代碼出錯而導致整個硬盤工作異常，均可能造成原有數(shù)據(jù)的丟失。如：磁頭定位不準； 電路板燒毀； 電

6、機不轉； 盤片劃傷 對于真正的硬性物理故障來說，我們通?？梢酝ㄟ^部件代換的方式，使得硬盤恢復正常的工作性能，從而恢復原有數(shù)據(jù)。比如：電路板（芯片燒壞或擊穿、三極管等故障），數(shù)據(jù)修復率 100% ；對于盤體上的物理故障，按部位分為盤片故障和磁頭組件故障。盤片故障通常包括壞道（物理性劃傷、邏輯性壞道）、磁性介質性能衰退導致的重要信息丟失或損壞等，磁頭組件故障則包括了磁頭、磁頭臂、小車、預放大器(磁頭芯片、預放大芯片)故障。對于具體的硬件故障問題的處理，我們將在以后第三章里予以詳述。日常生活中的諸多表現(xiàn)，均可導致數(shù)據(jù)的邏輯性丟失。如：硬盤被CIH病毒破壞；被惡意程序鎖住硬盤；被引導區(qū)破壞的硬盤（WY

7、X.B）；個別磁盤介質老化；一些特殊硬盤：DELL引導區(qū)的特殊（不能用SYS.COM）、PQ分區(qū)的特殊性；誤刪除文件、誤格式化分區(qū)；誤克隆導致分區(qū)出錯；誤刪除分區(qū)；用系統(tǒng)恢復盤恢復系統(tǒng)導致分區(qū)數(shù)據(jù)丟失；RAID陣列數(shù)據(jù)丟失；Windows 2000/XP操作系統(tǒng)密碼破解；文檔密碼破解（.doc、.xls、.rar、.zip等文檔）；文檔修復、Foxmail郵件修復等；硬盤殺手破壞前8G數(shù)據(jù)、挪威客變種E刪除文件情況，七月殺手、12月13日（w97/thus）、屏幕保護者等；BIOS能檢測到硬盤但是無法啟動系統(tǒng)凡此種種，不一而足。對因軟性邏輯故障丟失的數(shù)據(jù)恢復來說，我們所做的恢復，基本上是一種邏

8、輯處理。但邏輯錯誤種類繁多，只有對情況有一個準確的判定，才能做出準確的應對。一般的來說，問題可以歸納為以下幾種情況：（1）硬盤無法完成正確引導：因邏輯故障造成的邏輯損壞、引導區(qū)故障、重要扇區(qū)崩潰等等，都會使系統(tǒng)不能完成正常的自舉過程。（2）文件丟失：由于有意破壞，誤刪除等等都會造成數(shù)據(jù)的丟失。另外，這種歸類不僅僅包括某個或某幾個文件，也適用于目錄，分區(qū)或卷的丟失。（3）文件無法正常打開：由于病毒感染，加密，文件頭損壞等情況，會使文件無法正常打開。（4）數(shù)據(jù)紊亂：由于各種因素的影響，數(shù)據(jù)庫中的信息、文本文件等，可能面目全非。.1全盤崩潰和分區(qū)丟失全盤崩潰和分區(qū)丟失分區(qū)表破壞，可能

9、是數(shù)據(jù)損壞中除了物理損壞之外最嚴重的也是很常見的一種災難性破壞。究其原因，不外乎以下幾種:個人誤操作刪除分區(qū)；安裝多系統(tǒng)引導軟件或者采用第三方分區(qū)工具；病毒破壞；利用Ghost克隆分區(qū)導致分區(qū)數(shù)據(jù)破壞。1 1文件誤刪除文件誤刪除恢復恢復2. 2. 誤格式化的情況誤格式化的情況3. 3. 病毒破壞、癥狀病毒破壞、癥狀文件內(nèi)部問題是指由于文件內(nèi)部結構破壞導致的數(shù)據(jù)丟失。一般的說，恢復損壞文件須要清楚地了解文件的結構，但這并不是很容易的事情，而這方面的工具也不多。不過，文件如果字節(jié)正常，不能正常打開往往是文件頭損壞。俗話說，學數(shù)據(jù)恢復，前三年無敵天下，后三年寸步難行，就是這個理。因為一個文件內(nèi)部的結

10、構是十分復雜的，其復雜程度遠遠超過硬盤的分區(qū)結構和分區(qū)內(nèi)部的文件存儲結構，不同的文件類型，其結構大不相同，想理清不同文件的內(nèi)部結構，真還不是一件容易的事。遇到文件被加密，而密碼又遺忘時，千萬不要進行FDISK/MBR、SYS等處理，否則數(shù)據(jù)再也無法找回，一定要反解加密算法，或找到被移走的重要扇區(qū)。對于那些加密硬盤數(shù)據(jù)的病毒，清除時一定要選擇能恢復加密數(shù)據(jù)的可靠殺毒軟件。目前有一些相關的軟件，他們的思想一般都是用一個大字典集中的數(shù)據(jù)循環(huán)用相同算法加密后與密碼的密文匹配，直到一致時則說明找到了密碼。你可以去尋找這些軟件，當然，有些軟件是有后門的，比如DOS 下的WPS，Ctrl+qiubojun就是通用密碼。對于常見的OFFICE文件，在采用常規(guī)方法加密時，Advanced Office Password Recovery算是一款不錯的解密工具。如果遇到系統(tǒng)用戶