数据恢复实验报告

题目：数据恢复解析

姓名：夏金启学号：20101003933

院（系）：计算机学院专业：信息安全指导教师：___________ 职称：副教授

评阅人：职称：

2013年1月

目录

摘要 (3)

第一章引言 (4)

第二章磁盘的逻辑结构 (5)

2.21.MBR区 (5)

2.22. DBR区 (7)

2.23. FAT区 (7)

2.24 .DIR区 (8)

2.25.据（DATA）区 (8)

第三章NTFS元件 (8)

3.11MTF (8)

3.12 NTFS属性 (9)

3.31 NTFS结构图 (10)

3.32 DBR的数据结构 (11)

第四章数据恢复技术的实现 (12)

4.11 NTFS格式化恢复 (12)

第五章常见数据恢复软件 (23)

5.1.1 winhex (23)

5.1.2 easyrecovery (23)

5.1.3 finaldata (25)

5.1.4 易我数据恢复向导 (26)

二易我数据恢复软件 (27)

三 finaldata (27)

第六章总结 (28)

摘要

本文首先介绍了硬盘的基本结构，让我们对硬盘有最基本的认识和了解。接着介绍了FAT和NTFS 文件的基本组成，重点介绍了数据恢复技术的实现。最后分析了了目前市场上流行软件的优缺点。

关键字：FAT，NTFS文件，硬盘，数据恢复软件，数据恢复技术。

第一章引言

1.1 数据恢复的意义

社会发展和进步，大家每个人的数据资源都在日复一日的膨胀着，而硬盘作为数据存储中心，其高精密的结构和高度的使用频率，在复杂的应用环境中，故障发生率也在与日俱增。

几乎每个计算机使用者都会遇到一些数据损坏或丢失的事情，而随着各种应用软件、操作系统、病毒木马等各种因素的增加，数据丢失和损坏的程度也在逐渐变的严重。一旦重要的数据丢失，其所带来的直接和间接的损失都是很惊人的，而通常大家在费尽心思到处找解决方法的同时，也进一步彻底摧毁了这些数据恢复的可能性。

NTFS是随着Windows NT操作系统而产生的，全称为“NT File System”，中文意为NT文件系统，如今已是windows类操作系统中的主力分区格式了。它的优点是安全性和稳定性极其出色，在使用中不易产生文件碎片，NTFS分区对用户权限作出了非常严格的限制，每个用户都只能按着系统赋予的权限进行操作，任何试图越权的操作都将被系统禁止，同时它还提供了容错结构日志，可以将用户的操作全部记录下来，从而保护了系统的安全。本文主要论述的就是NTFS在系统崩溃或磁盘出现故障后如何安全的恢复文件系统。

1.2 数据恢复的应用

目前社会上针对数据恢复的公司有很多，有关的软件也很多。而对于普通的用户，想自己动手简单恢复数据的朋友，很少有系统的方法和对软件的选择上有些茫目。本文旨在通过研究硬盘数据恢复的原理，分析硬盘数据丢失的原因，进而比较现今比较流行的方法和有关的软件，提出对不同的数据丢失情况下的一些建议，并提出手动备份硬盘分区结构和其它重要数据的方法及通过手工恢复硬盘全盘结构的方法。本文可作为个人数据丢失时情况不是很严重时个人自己动手恢复数据的一个参考。

第二章磁盘的逻辑结构

2.1 硬盘原理慨述

硬盘存储数据是根据电、磁转换原理实现的。硬盘由一个或几个表面镀有磁性物质的金属或玻璃等物质盘片以及盘片两面所安装的磁头和相应的控制电路组成，其中盘片和磁头密封在无尘的金属壳中。

硬盘工作时，盘片以设计转速高速旋转，设置在盘片表面的磁头则在电路控制下径向移动到指定位置然后将数据存储或读取出来。当系统向硬盘写入数据时，磁头中“写数据”电流产生磁场使盘片表面磁性物质状态发生改变，并在写电流磁1场消失后仍能保持，这样数据就存储下来了；当系统从硬盘中读数据时，磁头经过盘片指定区域，盘片表面磁场使磁头产生感应电流或线圈阻抗产生变化，经相关电路处理后还原成数据。

2.2硬盘数据结构。

硬盘上的数据按照其不同的特点和作用大致可分为5部分：MBR区、DBR区、FAT区、DIR区和DATA区。

2.21.MBR区

MBR（Main Boot Record）,按其字面上的理解即为主引导记录区，位于整个硬盘的0磁道0柱面1扇区。不过，在总共512字节的主引导扇区中，MBR只占用了其中的446个字节（偏移0--偏移1BDH），另外的64个字节（偏移1BEH--偏移1FDH）交给了DPT(Disk Partition Table硬盘分区表),最后两个字节"55，AA"（偏移1FEH- 偏移1FFH）是分区的结束标志。这个整体构成了硬盘的主引导扇区。大致的结构如图1

图1硬盘的主引导扇区结构图

主引导记录中包含了硬盘的一系列参数和一段引导程序。其中的硬盘引导程序的主要作用是检查分区表是否正确并且在系统硬件完成自检以后引导具有激活标志的分区上的操作系统，并将控制权交给启动程序。MBR是由分区程序（如Fdisk.）所产生的，它不依赖任何操作系统，而且硬盘引导程序也是可以改变的，从而实现多系统共存。

DPT<硬盘分区表>及各字节的意义。

硬盘分区表

偏移长度所表达的意义

0 1字节分区状态

0-->非活动区80--> 活动分区

1 1字节该分区起始磁头（HEAD）

2 2字节该分区起始扇区和起始柱面

4 1字节该分区类型：如82--> Linux Native分区83--> Linux Swap 分区

5 1字节该分区终止头（HEAD）

6 2字节该分区终止扇区和终止柱面

8 4字节该分区起始绝对扇区

C 4字节该分区扇区数

2.22. DBR区

DBR（Dos Boot Record）是操作系统引导记录区的意思。它通常位于硬盘的0磁道1磁头1扇区，是操作系统可以直接访问的第一个扇区，它包括一个引导程序和一个被称为BPB（Bios Parameter Block）的本分区参数记录表。引导程序的主要任务是当MBR将系统控制权交给它时，判断本分区跟目录前两个文件是不是操作系统的引导文件（以DOS为例，即是Io.sys和Msdos.sys）。如果确定存在，就把其读入存，并把控制权交给该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数，分配单元的大小等重要参数。

2.2

3. FAT区

在DBR之后的是我们比较熟悉的FAT（File Allocation Table文件分配表）区。在解释文件分配表的概念之前，我们先来谈谈簇（cluster）的概念。文件占用磁盘空间时，基本单位不是字节而是簇。簇的大小与磁盘的规格有关，一般情况下，软盘每簇是1个扇区，硬盘每簇的扇区数与硬盘的总容量大小有关，可能是4、8、16、32、64……。

通过上文我们已经知道，同一个文件的数据并不一定完整地存放在磁盘的一个连续的区域，而往往会分成若干段，像一条链子一样存放。这种存储方式称为文件的链式存储。硬盘上的文件常常要进行创建、删除、增长、缩短等操作。这样操作做的越多，盘上的文件就可能被分得越零碎（每段至少是1簇）。但是，由于硬盘上保存着段与段之间的连接信息（即FAT），操作系统在读取文件时，总是能够准确地找到各段的位置并正确读出。