(完整版)数据恢复技术一

预备知识一
➢进制：二进制，十六进制。 ➢计算机中数据的单位：位，字节和字。
预备知识二
硬盘是用来存储数据的，为了使用和 管理的方便，这些数据以文件的形式存储 在硬盘上。任何操作系统都有自己的文件 管理系统。
扇区
➢ 硬盘利用特定的磁粒子的极性来记录数据。
➢ 在读取数据时，磁头将磁粒子的不同极性转 换成不同的电脉冲信号，再利用数据转换器 将这些原始信号变成电脑可以使用的数据。
（2）厂商标识和系统版本号
这段数据占8个(03~0A)字节，其内容随系统版本不同 而略有变化。
（3）磁盘参数块
磁盘参数块也称为BIOS参数块BPB (BIOS Parameter Block)。它从第12 (0BH)个字节开始，占用 52 (0B~3E， FAT12/FAT16格式)或80 (0B~5A， FAT32 格式)个字节，各字节内容及地址分配如表2-6所示。表 中记录了磁盘的每扇区字节数、磁头数、目录起始簇等 重要信息，该部分的内容随磁盘类型的不同而变化。
数据恢复技术
1、为什么要学？
1、信息化的今天，电子设备普及，数据量 剧增。无论个人、公司、企业还是国家机关 ，都越来越依赖计算机系统。个人档案、文 件、电子邮件、公司财务记录、销售合同、 甚至国家机密等，无一不存储于计算机中， 设想如果系统崩溃，硬盘故障，数据损失将 会出现何种后果？
形形色色的电子设备
3、硬盘有价，数据无价。
4、病毒，如木马、病毒、蠕虫、以及恶意 代码等几乎只要入侵了我们的系统，我们的 系统面临前所未有的威胁，毫无抵抗能力， 任由其毁坏数据、破坏系统或者控制系统。
5、在遭遇不可预测的遭难时，比如说是系 统瘫痪，服务器里的数据全被请除，如果不 能恢复，那么这个公司将遭受灭顶之灾。
（Dos引导记录DBR）
DBR的组成。
DBR由跳转指令、厂商标识和版本号、BPB、引导 程序和结束标志5部分组成。
BPB作用。
记录着本分区的起始扇区、结束扇区、文件存储区 格式、硬盘介质描述符、根目录大小、FAT个数、分配 单元（Allocation Unit）的大小等重要参数。
（1）跳转指令
最开始即是一条跳转指令，让程序执行流程跳转到引 导代码。
如今，对于传统的基于文件系统元信息 的文件恢复技术，国内已经有了很多相关文 献，取得了大量成果。参考书目：
戴士剑，涂彦晖编著的《数据恢复技术-经典重现版》 涂彦晖，戴士剑等人编著的《数据安全与编程技术》 刘伟 《数据恢复技术 深度揭秘》
案例
• 2004年3月15日，当因谋杀宿舍四位室友而亡命天涯的 公安部A级通缉犯马家爵在海南省三亚市被捕时，谁又 会想到，计算机取证技术在这次成功抓捕中起到了多么 重要的作用？就在北方各省市纷纷报出马家爵被发现的 假消息时，公安机关侦察人员已经通过计算机取证技术 将搜查范围锁定在三亚了。当时，随着调查一步步地深 入，侦察人员从其他渠道获悉，马家爵有一个特别的爱 好——上网。于是，放在马家爵宿舍里的计算机很快地 成为了众矢之的。侦察人员发现，这台旧电脑的硬盘竟 然已被狡猾的马家爵格式化了三遍之多，尽管这样，取 证人员还是运用专业软件将其数据进行了还原。经过对 硬盘中存放的海量信息过滤，侦察人员发现马家爵在出 逃前三天基本上都在搜集有关海南省的信息，特别是有 关三亚的旅游、交通和房地产信息。
大家的疑惑？
• 电脑中的照片、电影、文件在硬盘内 部是什么样的？如何组织的？
噩梦般的经历 多年收藏和积累的资料被感染病毒遭到破 坏、丢失、打不开或者成为乱码？
一不小心删除了照片或者重要文件，让你 后悔莫及，损失惨重？
怎么办？？？
2、世界上没有完美无缺的人，同样也没有 完美无缺的计算机和软件系统。
如911事件发生后，金融机构聚集的世贸大厦里的大量数据化为乌有，这是对所 有金融机构的重大挑战。纽约银行（Bank of New York）在数据中心全毁，通讯线 路中断后，在一个月后不得不关闭一些分支机构，数月后不得不破产清盘。
一般情况下，计算机黑客或罪犯为了掩盖犯 罪痕迹，常常会删除相应的作案记录或重要的系 统文件，比如系统日志、注册表信息、上网历史 记录、文件操作痕迹等等。为了找到指证线索和 获取充分的法律证据，取证工作者往往就需要对 那些已经被删除或被破坏的文件进行还原和恢复 。对磁盘上存储的海量二进制信息进行提取、分 析和重现的结果是否充分和正确，将直接影响到 计算机取证整个过程的效率和电子证据的说服力 ，所以，数据恢复技术作为计算机取证系统的核 心技术之一，其重要性和价值度越来越受到人们 的认识和关注。
MBR 主引导记录
➢0柱面、0磁头、1扇区的主引导记录（MBR ），该记录占用512个字节，它用于硬盘 启动时将系统控制权转给用户指定的、在 分区表中登记了某个操作系统分区。
➢硬盘的主引导记录（MBR）是不属于任何 一个操作系统的，它先于所有的操作系统 而被调入内存，并发挥作用，然后才将控 制权交给主分区（活动分区）内的操作系 统，并用主分区信息表来管理硬盘。
➢ 写数据时，正好与此相反。
文件系统
➢ 微软的文件系统主要有FAT、NTFS、 ExFAT。 其中FAT文件系统主要有 FAT12、FAT16 、FAT32三种类型。
硬盘在存储数据之前，一般需经过低 级格式化、分区、高级格式化这三个步骤 之后才能使用。
作用:是在物理硬盘上建立一定的数 据逻辑结构，FAT32文件系统下一般将硬 盘分为五个区域，分别为主引导记录区 (MBR)、次引导记录区(DBR)、文件分配表 区(FAT)、文件目录表区(FDT)和数据区。
MBR统结构 2 文件分配表分析 3 文件目录表分析 4 文件删除原理及恢复 5 课后操作题
1、FAT32文件系统结构
1、FAT32文件系统结构
FAT32文件系统由DBR及其保留扇区、 FAT、FDT、DATA区四个部分组成，其 结构如下图所示：
我国发展现状
我国的文件恢复技术发展是相对较晚的 。文件恢复的概念是 2000 年左右才从欧美 等发达国家传入国内的。由于当时Windows 平台上主流的 FAT 文件系统或者 NTFS 文 件系统都是由国外设计和实现的，而对于其 中的原理和机制都不具备公开的文档说明， 很多关键性技术都掌握在外国人手里。所以 ，我国的数据恢复技术先驱研究者是在艰难 的起步条件下，从大量的研究和实践工作中 起步和不断进取的。