数据安全与恢复题库

《数据安全与恢复》总复习题一、单项选择题（25）
1．检查、排除计算机的故障，应遵循（）的原则。

A）检查、排除计算机的故障，应遵循（）的原则。

B）由外到内、由软到硬
C）由内到外、由硬到软
D）由外到内、由硬到软
答案：A
2．下列文档的扩展名哪一个是批处理文件的扩展名？（）
A）A．.bak
B）B．.bas
C）C．.bat
D）D．.cab
答案：C
3．主引导扇区位于整个硬盘的那个位置：（）
A）A．0磁道0柱面0扇区
B）B．0磁道0柱面1扇区
C）C．0磁道1柱面1扇区
D）D．1磁道1柱面1扇区
答案：B
4．系统中一般有几个FAT：（）
A）A．1个
B）B．2个
C）C．3个
D）D．4个
答案：B
5．硬盘数据的几个部分中，那个部分是唯一的：（）
A）A．MBR
B）B．DBR
C）C．FAT
D）D．DATA区
答案：A
6． Easy Recovery工具的作用是：（）
A）A．磁盘镜象
B）B．数据恢复
C）C．DBR恢复
D）D．MBR恢复
答案：B
7． NTFS把磁盘分成两大部分，其中大约12%分配给（），以满足不断增长的文件数量。

该文件对这12%的空间享有独占权，余下的88%的空间被分配用来存储文件。

A）A．MBR
B）B．DBR
C）C．FAT
D）D．MFT
答案：D
8．捷波的“恢复精灵”（Recovery Genius）的作用是（）。

A）A．硬盘保护卡
B）B．主板BIOS内置的系统保护
C）C．虚拟还原工具
D）D．杀毒软件提供的系统备份
答案：C
9．数据恢复的第一步一般是做什么的恢复：（）
A）A．分区恢复
B）B．主引导扇区记录
C）C．文件分配表的恢复
D）D．数据文件的恢复
答案：A
10．当用户将需要数据恢复的设备送来时，需要向用户了解的信息有：（）
A）A．数据丢失发生的原因，当时进行了什么操作，之后有无任何其它操作B）B．存储设备的使用年限；容量大小，操作系统版本和分区的类型、大小C）C．要恢复的数据在什么分区上，什么目录里；什么文件类型；大概数量
D）D．以上都是
答案：D
11．附加的收费可能来自：（）
A）A．加急费
B）B．数据刻录或转储成本费
C）C．上门服务费
D）
D．以上都是
答案：D
12．FDT在FAT12/16中采用（）方式，在FAT32中采用（）方式。

A）A．固定、固定
B）B．非固定、固定
C）C．固定、非固定
D）D、非固定、非固定
答案：C
13．关于NTFS的元文件，以下论述正确的是：（）
A）A．$MFTMirr是$MFT的完整映像，所以，为了安全可靠，每个NTFS分区，都有两份完全一样的$MFT，就象FAT分区的FAT表
B）B．$MFTMirr是$MFT的完整部分像
C）C．$Boot文件就是其DBR
D）D．$Root是该分区中的根目录，是最高一级目录
答案：D
14．进入正式数据恢复操作流程以后，如果与初检结果判断偏差较大，操作风险和费用等急剧升高时，要：（）
A）A．停止继续工作，先行与用户沟通，取得书面认可（补充协议）后，再继续进行
B）B．先进行恢复，然后再与用户沟通
C）C．取消服务
答案：A
15．进行数据恢复工作的首要原则是：（）
A）A．决不能对送修数据产生新的伤害（二次损伤，再次损伤）
B）B．必须签定数据恢复服务流程工作单（服务合同书）
C）C．遇到问题及时与客户协商
答案：A
16．联机存储器又可以称为：（）
A）A．近线存储器
B）B．在线存储器
C）C．离线存储器
答案：B
17．数据恢复时，我们应该选择什么样的备份方式：（）
A）A．磁盘到磁盘的备份
B）B．文件到文件的备份
C）C．扇区到扇区的备份
答案：C
18．下面不属于电存储技术的设备是：（）
A）A．CMOS芯片
B）B．闪存
C）C．Zip磁盘
答案：C
19．下面所列文档中含有不属于EasyRecovery可以修复的组是：（）
A）A．ACCESS、WORD、OUTLOOK
B）B．EXCEL、POWERPOINT、ZIP
C）C．ACESS、WORD、JPEG
答案：C
20．已经知道，MBR可以定位DBR，同样DBR又可以定位很多的项，选择下面不是直接由DBR确定的项：（）
A）A．FAT1的起始扇区
B）B．FDT的起始扇区
C）C．文件的结束簇号
答案：C
21．在Windows 95系统中，文件或目录实际存储着两个名字，一个短文件名和一个长文件名。

如果是短文件名，则存储在8.3格式的32字节的目录项中。

当创建一个长文件名时，其对应短文件名的存储按以下几个原则处理，其中不正确的是：（）
A）A．Windows 95取长文件名的前6个字符加上“～1”形成短文件名，其扩展名不变
B）B．如果已存在这个名字的文件，则符号“～”后的数字自动增加
C）C．如果有DOS和Windows 3.x非法的字符，则取消创建相应的短文件名
答案：C
22．＿＿＿＿＿操作易损坏硬盘，故不应经常使用。

A）A．高级格式化
B）B ．低级格式化
C）C．硬盘分区
D）D．向硬盘拷
答案：B
23．硬盘驱动器＿＿＿＿。

A）A．全封闭，耐震性好，不易损坏
B）B．不易碎，不象显示器那样要注意保护
C）C．耐震性差，搬运时要注意保护
D）D．不用时应套入纸套，防止灰尘进入
答案：C
24．磁盘的载体表面涂有一层＿＿＿＿＿，用于存储信息。

A）A．塑料
B）B．磁性材料
C）C．去磁物
答案：B
25．磁盘一个扇区的容量为_________。

A）A． 128B
B）B．256B
C）C．512B
D）D．1024B
答案：C
二、判断题（44）
答案：正确
37．凡仅有两种稳定的物理状态，能方便地检测出属于哪种稳定状态，两种稳定状态又容易相互转换的物质或元器件，都可以用来记忆二进制代码“0”和“1”，称这样的物质或元器件为存储介质或记录介质。

（）
答案：正确
38．逻辑恢复指的是病毒感染、误格式化、误分区、误克隆、误操作、网络删除、操作时断电等数据丢失的恢复。

（）
答案：正确
39．命令“FDISK/MBR”除可以重新建立主磁盘的主引导记录外，还可以清除分区表。

（）
答案：错误
40．使用EasyRecovery修复文档时，由于EasyRecovery不能自动对待修复的文档进行备份，所以，在修复前必须对待修复文件进行备份，以防损坏。

（）
答案：错误
41．数据恢复，简单地说，就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据。

（）
答案：错误
42．因为GHOST可以对硬盘进行备份，所以，无论用哪种方式和参数使用GHOST对要恢复数据的硬盘做过备份后，都可以放心的对原硬盘进行恢复，如果不成功，还可以使用GHOST备份的数据再次进行恢复。

（）
答案：错误
43．硬盘的分区规则是：一个分区的所有扇区必须连续，硬盘可以有最多4个物理上的分区，这4个物理分区可以是1个主分区或者3个主分区加一个扩展分区。

（）
答案：错误
44．硬盘低级格式化（1ow level format）简称低格，也称硬盘物理格式化（physical format）。

它的作用是检测硬盘磁介质，划分磁道，为每个磁道划分扇区，并根据用户选定的交叉因子安排扇区在磁道中的排列顺序等。

（）
答案：正确
三、填空题（31）
1．进行数据恢复以前，一般先用___________软件对源盘进行磁盘健康检测，测试硬盘的磁头是否健康、磁盘坏道量和坏道位置、磁盘是否加密或剪切等等；然后用___________
软件对源盘进行扇区级镜像，对镜像数据分析而不是直接分析源盘数据。

答案：1k
14．RAID的实现有两种，分别是由专门的RAID控制器实现的___________和由软件实现的___________。

常用的RAID组合有___________、___________。

答案：硬RAID 软RAID RAID10 RAID53
15．计算机系统是由硬件系统和_______两大系统构成的。

磁盘存储器属于________存储器，一般分为软盘存储器和硬盘存储器。

答案：软件外
16．硬盘驱动器由_______、_________和___________三个部分组成。

答案：盘体电路部分接口
17．硬盘的类型参数中，柱面数的英文缩写为________，磁头数的英文缩写为________，扇区数的英文缩写为_______。

答案：c h s
18．DOS环境下检测磁盘最好的工具是_软件________,该工具软件还具有修复坏道功能，除此工具软件外，________工具软件也不错。

答案：MHDD HDDR
19．MFT，主文件表（Master File Table）的简称，它是NTFS文件系统的核心。

MFT由一个一个的_____（也称为文件记录）组成，每个文件记录占用______个字节的空间。

分区中每个文件和文件夹的信息都生成一个文件记录存于MFT中。

访问文件和文件夹时都要先访问MFT，在MFT中找到该文件的记录，根据记录中的信息找到文件内容并对其进行访问。

答案：MFT项 1024
20．NTFS文件系统被创建时，会同时建立一些重要的系统信息，这些系统信息也是以文件的形式存在，被称为_______。

该类文件的文件名以“_______”符号开头，表示其为隐藏的系统文件，用户不能直接访问。

一共有_______个。

答案：元文件 $ 16
21．如果一个NTFS分区的大小超过2G，则该分区的簇的大小默认是________.
答案：4k
22．NTFS文件系统比FAT32更稳定、更安全。

视整个分区都是数据区，文件以_______为单位分配存储空间，簇编号从__________开始。

答案：簇 0
23．MBR中引导代码损坏的修复如果使用DOS命令法，该命令为 C:\>_______________________
答案：FDISK /MBR
四、问答题（9）
1．1、MBR的开始标志是什么，有哪几部分构成？FAT和NTFS文件系统的开始标志是什么？
答案：开始标志是33 C0 8E
有4部分构成，分别是开始标志33 C0 8E 、引导代码、分区表、结束标志55AA
FAT文件系统的开始标志EB 58 90
NTFS文件系统的开始标志 EB 52 90
2．、FAT文件系统下，有一个文件名为“123456789.TXT”的文件，该文件存储时会产生长文件名目录项吗，为什么？写该文件的短文件名，并指出短见文件名和长文件名分别用什么码表示？
答案：会的，因为该文件名的字符数已经超出了短文件名的8.3结构
短文件名为：123456~1.TXT
短文件名用ANSI码表示
长文件名用Unicode码表示
3．FAT文件系统下，文件被完全删除的特点是什么？格式化的特点是什么？
答案：删除特点：清空与该文件相关的FAT表项、父目录的FDT表中短文件名目录项首字节修改为E5、文件起始簇号的高16位清0、文件数据区内容不变。

格式化特点：重写DBR，FAT表和根目录的FDT表均被清空，子目录的FDT表不变。

4．NTFS文件系统的MFT表由一个一个的MFT项构成，$Mft和$Root元文件的MFT项号分别是多少？每个项的大小是多少？给出10、30、80、90、A0、B0属性的名称。

答案：$Mft和$Root元文件的MFT项号分别是0号项和5号项，每个项的大小事1KB
10属性：标准信息属性，含有文件建立时间和修改时间
30属性：文件名属性，含有该文件的文件名
80属性：数据属性，含有该文件的起始簇号和文件占有簇数
90属性：索引跟属性，含有该目录下子目录和文件的索引项
A0属性：索引分配属性，含有索引项缓冲区的地址和大小
B0属性：位图属性，含有MFT表的占有情况
5．硬盘常用的接口有哪几种？
答案：IDE SATA SCSI SAS
6．GHOST镜像和WINHEX镜像的区别。

答案：用GHOST软件对磁盘或分区进行的镜像，是一种文件系统层的操作。

该镜像不包含由于删除和格式化而丢失的数据。

例如：500G的硬盘存有10G的数据，镜像后的容量还是10G。

WINHEX的镜像指一种基于物理层面的、扇区级的镜像，是一种真正意义上的克隆。

例如：500G的硬盘不管存有多少数据，要扇区级镜像至少需要一个500G容量的硬盘接收。

7．什么情况下需要镜像
答案：（1）误删除、格式化、分区等操作丢失数据时。

目的是防止操作系统写入数据覆盖有用数据。

（2）需要进行不可逆的操作。

例如进行CHKDSK（自动修复分区命令）操作。

（3）磁盘存有坏道。

对源盘操作可能加大坏道范围。

（4）更换磁头组建。

防止换磁头时划伤盘片。

（5）阵列恢复。

阵列由多块磁盘构成，阵列重组必须要分析结构，计算参数。

这要求所有盘都挂到恢复用机上，这很困难。

（6）电子取证。

要求不能对源盘产生任何的写入操作。

8．MBR扇区损坏的原因有哪些？
答案： 1、计算机运行中突然断电
2、计算机运行中非法关机
3、计算机运行中非法重启
4、病毒破坏
9．请问该硬盘共有几个分区？分别叫什么分区？（主分区、扩展分区、逻辑分区等，顺序上的第几个分区）。

（如答：有N个分区；第一个分区是XX分区，…）
答案：4个、第一个是主分区、第二个是主分区、第三个是扩展分区中第一逻辑分区、第四个是第二逻辑分区
五、分析与设计题（11）
1．一个文件，文件名为“SJHF.DOC”,ANSI码为53 4A 48 46 2E 44 4F 43,如果该文件被完全删除，分别写出在FAT和NTFS文件系统下的手工恢复方法。

答案：FAT系统下：（1）搜索e5 4A 48 46 2E 44 4F 43,得到该文件的目录项
（2）由目录项得到该文件的起始簇号和占有的簇数
（3）定位该文件，复制文件到新文件，以DOC保存该文件
NTFS系统下：
（1）搜索53 00 4A 00 48 00 46 00 2E 00 44 00 4F 00 43 00，得到该文件的MFT项
（2）分析该MFT项中的80属性，由数据运行计算文件的开始簇号和占有的簇数
（3）定位该文件，复制文件到新文件，以DOC保存该文件
2．一个文件的80属性的数据运行列表，列表值为21 20 ED 05 22 48 07 48 22 21 28 C8 DB，根据列表值计算该文件的每一部分的起始簇号和簇数。

答案：第一部分21 20 ED 05
起始簇号：5ED（1517）大小：20（32簇）
第二部分22 48 07 48 22
起始簇号：5ED+2248（1517+8776）大小： 748（1864簇）
第三部分21 28 C8 DB
起始簇号：5ED+2248+DBC8（1517+8776-9272）大小： 28（40簇）
3．一个客户的硬盘的D分区是FAT文件系统，打开时提示“未格式化”，用WINHEX逻辑打开该分区，搜索“EB 58 90”未果，搜索“F8 FF FF 0F”，假设在1660扇区处发现该标志，由上可得该分区的DBR和FAT1损坏，FAT2完好，假设该分区有卷标“wxd”,给出恢复该分区的方法。

答案：（1）搜索卷标名“wxd”，得到该卷标的目录项所在位置就是根目录的FDT表起始扇区
（2）由根目录FDT表位置往上退一个扇区，该扇区号减去FAT2起始扇区号得到FAT表大小
（3）由FAT2起始位置和大小，修复FAT1
（4）求出相邻的两个目录之间的扇区数和簇数（搜索两个相邻的2E 20 20获得参数），得到每簇扇区数=簇数/扇区数
（5）物理打开磁盘，读取分区表得到该分区的大小和隐含扇区数
（6）复制一个好的FAT系统的DBR覆盖该系统的DBR，将每簇扇区数、分区大小、隐含扇区数填写到DBR中。

（7）重启系统
4．假设NTFS系统下有一个文件“校历.xls”，请使用30和80属性恢复删除的文件。

答案：（1）先在一个文本文件中输入文件名“校历.xsl”，以unicode码保存。

（2）将“校历.xsl”的unicode码输入到“搜索”中，通过搜索文件名所在的30属性，从而定位到该文件的MFT项。

（3）从MFT项中分析其80属性的数据运行，从而找到该文件的开始簇号及文件的大小。

（4）定位该文件，选中所有内容，保存。

5．给出利用90、A0属性定位一个文件的方法。

（例如：J:\打印机\xy校历.xsl ）
答案：分析根目录的MFT项（5号），由A0属性的数据运行可以先找到根目录的索引缓冲区，缓冲区里有根目录下所有文件和文件夹的索引项，通过搜索“打印机”文件名，找到“打印机”文件夹的索引项，该索引项中有“打印机”文件夹的MFT项号。

定位到“打印机”文件夹的MFT项号，同理，分析该项找到它的索引缓冲区，找到文件“xy校历.xsl”的索引项，由索引项找到该文件的MFT项号，定位到该文件的MFT项，由80属性得到该文件。

6．通过$Mft元文件的MFT项中的B0属性（位图属性），分析MFT表的使用情况。

答案：定位到$Mft元文件的MFT项（0号项），分析B0属性的数据运行，找到B0属性中指定的缓冲区，这里有MFT表的使用情况（每个字节8位，每一位对应MFT表中的一个MFT项，“1”表示该项占用，“0”表示未占用）。

7．使用30和80属性恢复删除的文件（例如：校历.xsl）。

答案：（1）先在一个文本文件中输入文件名“校历.xsl”，以unicode码保存。

（2）将“校历.xsl”的unicode码输入到“搜索”中，通过搜索文件名所在的30属性，从而定位到该文件的MFT项。

（3）从MFT项中分析其80属性的数据运行，从而找到该文件的开始簇号及文件的大小。

（4）定位该文件，选中所有内容，保存。

8．分析DBR中BPB各个的参数的含义。

1：BPB中读出的分区扇区总数跟分区表中读出的扇区总数一样吗？如果不一样是什么关系？
2：BPB中读出的隐含扇区数的参考点是哪里？
答案：1、不一样分区表中读出的扇区总数比BPB中读出的分区扇区总数少一个扇区。

2、主分区的隐含扇区的参考点是硬盘的开始处，扩展分区中逻辑分区的隐含扇区的参考点是扩展分
区的开始处。

9．客户磁盘中D分区打开后，无法看到任何文件和文件夹，但是看该分区用量，却发现很多空间都被使用。

1、分析该问题是怎么造成的？
2、解决的方法？
答案：分析：该问题一般为根目录FDT表被破坏，而FAT表没有破坏的情况，对于该问题可以分区按格式化方法解决。

方法：使用WINHEX磁盘快照恢复。

10．客户磁盘中分C、D、E三个分区，其中D分区提示“未格式化”。

1、分析造成该问题的方法？
2、解决的方法？
答案：分析：“未格式化”问题一般为DBR损坏，可以将备份DBR重写分区的0扇区。

但有时候也可能是$BOOT文件损坏，该文件占用分区的前16扇区，实际使用0-6扇区，0扇区为DBR，1-6扇区为NTLDR加载程序。

如果该分区不是系统分区，则只需将DBR修复就可以，如果是系统分区，还有将1-6扇区修复，不然操作系统将无法启动。

这6个扇区具有通用性，可以从其他NTFS分区中获得。

方法：
1、物理打开磁盘。

（为什么不是直接逻辑打开该分区）
2、定位备份DBR。

只需先定位该分区下一分区开始，然后往前退一个扇区就是备份DBR。

3、重写分区DBR。

4、重写1-6扇区。

11．80 01 01 00 0B FE BF FC 3F 00 00 00 7E 86 BB 00 是分区表中截取的一部分，分析这些16进制数的含义.
答案：（80 01 01 00 0B FE BF FC 3F 00 00 00 7E 86 BB 00）最前面的“80”是一个分区的激活标志，表示系统可引导；“01 01 00”表示分区开始的磁头号为01，开始的扇区号为01，开始的柱面号为00；“0B”表示分区的系统类型是FAT32，其他比较常用的有04（FAT16）、07（NTFS）；“FE BF FC”表示分区结束的磁头号为254，分区结束的扇区号为63、分区结束的柱面号为764；“3F 00 00 00”表示首扇区的相对扇区号为63；“7E 86 BB 00”表示总扇区数为12289622。