第十一章计算机数据恢复技术 教学目标 (1)理解数据恢复概念及分类 (2)理解数据恢复基础原理 (3)掌握硬盘数据恢复的基本方法及注意事项 (4)掌握硬盘数据备份的方法
教学目标 第十一章 计算机数据恢复技术 (1)理解数据恢复概念及分类; (2)理解数据恢复基础原理; (3)掌握硬盘数据恢复的基本方法及注意事项; (4)掌握硬盘数据备份的方法
第十一章计算机数据恢复技术 教学内 谷: 任务↑数据恢复概念及分类 任务2数据恢复基础原理 任务3硬盘数据恢复方案分析 任务4数据备份
教学内容: 任务1 数据恢复概念及分类 任务2 数据恢复基础原理 任务3 硬盘数据恢复方案分析 任务4 数据备份 第十一章 计算机数据恢复技术
第十一章计算机数据恢复技术 本章重点: 1、数据恢复概念 2、数据恢复方法 本章难点: 1、数据恢复原理 2、数据恢复基本方法 3、数据备份
第十一章 计算机数据恢复技术 本章重点: 1、数据恢复概念 2、数据恢复方法 本章难点: 1、数据恢复原理 2、数据恢复基本方法 3、数据备份
任务1数据恢复概念及分类 11.1.1什么是数据恢复 数据恢复可以看作是一种技术,也可以看作是抢救受损 数据的一个过程,甚至可以看作一个计算机技术行业。。 数据恢复,简单的说,就是将遭受到破坏的数据抢救回 来。今天的世界离不开计算机了,无论从事什么行业,都需要 使用计算机。计算机硬件坏了可以再买,但是很多数据丢失了, 就可能很难恢复了,而这些被破坏丢失的数据有可能是极其重 要的 数据是脆弱的。被破坏的原因有很多,如病毒破坏、误 格式化、误删除、误 Ghost操作,还有人为的恶意破坏、黑客入 侵破坏、最后还有存储设备质量问题、设备突然损坏等等情况。 对这些被破坏的数据进行抢救恢复工作称为数据恢复,这个 过程中应用到的技术称为数据恢复技术,从事这个抢救数据的 人群和企业组成了数据恢复行业
任务1 数据恢复概念及分类 11.1.1 什么是数据恢复 数据恢复可以看作是一种技术,也可以看作是抢救受损 数据的一个过程,甚至可以看作一个计算机技术行业。。 数据恢复,简单的说,就是将遭受到破坏的数据抢救回 来。今天的世界离不开计算机了,无论从事什么行业,都需要 使用计算机。计算机硬件坏了可以再买,但是很多数据丢失了, 就可能很难恢复了,而这些被破坏丢失的数据有可能是极其重 要的。 数据是脆弱的。被破坏的原因有很多,如病毒破坏、误 格式化、误删除、误Ghost操作,还有人为的恶意破坏、黑客入 侵破坏、最后还有存储设备质量问题、设备突然损坏等等情况。 对这些被破坏的数据进行抢救恢复工作称为数据恢复,这个 过程中应用到的技术称为数据恢复技术,从事这个抢救数据的 人群和企业组成了数据恢复行业
11.1.2数据恢复的分类 1.数据恢复的分类 数据恢复一般分成两类,逻辑恢复和物理恢复 逻辑恢复:指在数据存储设备正常的情况下进行的数据恢 复工作,也就是说数据遭受的破坏是逻辑破坏,比如格式化、 删除、重新分区等情况。逻辑恢复是数据恢复中最常见的操作 大概90%的恢复都是逻辑恢复。 物理恢复:指在数据存储设备不正常的情况下进行的数据 恢复工作,物理恢复往往要先进行设备的恢复,硬盘开盘操作 就属于数据恢复的物理恢复。物理恢复是数据恢复中非常难的 类,需要特殊的环境和辅助设备,而且物理恢复的成功率要 远远低于逻辑恢复 2.数据恢复和备份恢复的区别 数据恢复这个词在很多备份软件中也经常出现,但是指的 是对备份文件的恢复。例如很多服务器软件都有自动备份和从 备份进行恢复的功能,这里的恢复和本章谈到的数据恢复是不 样的
11.1.2 数据恢复的分类 1. 数据恢复的分类 数据恢复一般分成两类,逻辑恢复和物理恢复。 逻辑恢复:指在数据存储设备正常的情况下进行的数据恢 复工作,也就是说数据遭受的破坏是逻辑破坏,比如格式化、 删除、重新分区等情况。逻辑恢复是数据恢复中最常见的操作, 大概90%的恢复都是逻辑恢复。 物理恢复:指在数据存储设备不正常的情况下进行的数据 恢复工作,物理恢复往往要先进行设备的恢复,硬盘开盘操作 就属于数据恢复的物理恢复。物理恢复是数据恢复中非常难的 一类,需要特殊的环境和辅助设备,而且物理恢复的成功率要 远远低于逻辑恢复。 2.数据恢复和备份恢复的区别 数据恢复这个词在很多备份软件中也经常出现,但是指的 是对备份文件的恢复。例如很多服务器软件都有自动备份和从 备份进行恢复的功能,这里的恢复和本章谈到的数据恢复是不 一样的
任务2数据恢复基础原理 数据恢复涉及到硬盘的数据结构、文件的存储原理,甚至操 作系统的启动流程,这些是在恢复硬盘数据时不得不利用的基 本知识。即使不需要恢复数据,理解了这些知识,对于平时的 电脑操作和应用也是有所帮助的。 11.2.1硬盘数据结构 刚出厂的一块硬盘,是没有办法使用的,需要将它分区 格式化,然后再安装上操作系统才可以使用。就拿常用的 Windows系列操作系统来说,一般要将硬盘分成主引导扇区、 操作系统引导扇区、FAT、DIR和Data等五部分(其中只有主引 导扇区是唯一的,逻辑分区数量不定)
任务2 数据恢复基础原理 数据恢复涉及到硬盘的数据结构、文件的存储原理,甚至操 作系统的启动流程,这些是在恢复硬盘数据时不得不利用的基 本知识。即使不需要恢复数据,理解了这些知识,对于平时的 电脑操作和应用也是有所帮助的。 11.2.1 硬盘数据结构 刚出厂的一块硬盘,是没有办法使用的,需要将它分区、 格式化,然后再安装上操作系统才可以使用。就拿常用的 Windows系列操作系统来说,一般要将硬盘分成主引导扇区、 操作系统引导扇区、FAT、DIR和Data等五部分(其中只有主引 导扇区是唯一的,逻辑分区数量不定)
主引导扇区:主引导扇区位于整个硬盘的0磁道0柱面1 扇区,包括硬盘主引导记录MBR( Main boot record)和分区 表DPT( Disk partition table)。其中主引导记录的作用就 是检查分区表是否正确以及确定哪个分区为引导分区,并在程 序结束时把该分区的启动程序(也就是操作系统引导扇区)调 入内存加以执行。至于分区表,很多人都知道,以80H或00H为 开始标志,以55AAH为结束标志,共64字节,位于本扇区的最 末端。值得一提的是,MBR是由分区程序(例如DS的 Fdisk.exe)产生的,不同的操作系统可能这个扇区不尽相同 如果有这个意向也可以自己去编写一个,只要它能完成前述的 任务即可,这也是为什么能实现多系统启动的原因(说句题外 话:正因为这个主引导记录容易编写,所以才出现了很多的引 导区病毒)
主引导扇区:主引导扇区位于整个硬盘的0磁道0柱面1 扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区 表DPT(Disk Partition Table)。其中主引导记录的作用就 是检查分区表是否正确以及确定哪个分区为引导分区,并在程 序结束时把该分区的启动程序(也就是操作系统引导扇区)调 入内存加以执行。至于分区表,很多人都知道,以80H或00H为 开始标志,以55AAH为结束标志,共64字节,位于本扇区的最 末端。值得一提的是,MBR是由分区程序(例如DOS的 Fdisk.exe)产生的,不同的操作系统可能这个扇区不尽相同。 如果有这个意向也可以自己去编写一个,只要它能完成前述的 任务即可,这也是为什么能实现多系统启动的原因(说句题外 话:正因为这个主引导记录容易编写,所以才出现了很多的引 导区病毒)
操作系统引导扇区:OBR(0 s Boot record)即操作系统 引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于D0S来 说的,对于那些以多重引导方式启动的系统则位于相应的主分 区/扩展分区的第一个扇区),是操作系统可直接访问的第一个 扇区,它也包括一个引导程序和一个被称为BPB(BI0S Parameter block)的本分区参数记录表。其实每个逻辑分区都 有一个OBR,其参数视分区的大小、操作系统的类别而有所不同 引导程序的主要任务是判断本分区根目录前两个文件是否为操 作系统的引导文件(例如MS-DOS或者起源于MS-DOS的Win9X/Me 的I0.SYS和MSD0S.SYS)。如是,就把第一个文件读入内存,并 把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结 束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个 数、分配单元( Allocation unit,以前也称之为簇)的大小等 重要参数。OBR由高级格式化程序产生(例如D0S的 Format.com)
操作系统引导扇区: OBR(OS Boot Record)即操作系统 引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来 说的,对于那些以多重引导方式启动的系统则位于相应的主分 区/扩展分区的第一个扇区),是操作系统可直接访问的第一个 扇区,它也包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。其实每个逻辑分区都 有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。 引导程序的主要任务是判断本分区根目录前两个文件是否为操 作系统的引导文件(例如MS-DOS或者起源于MS-DOS的Win 9X/Me 的IO.SYS和MSDOS.SYS)。如是,就把第一个文件读入内存,并 把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结 束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个 数、分配单元(Allocation Unit,以前也称之为簇)的大小等 重要参数。OBR由高级格式化程序产生(例如DOS 的 Format.com)
文件分配表:FAT( File allocation table)即文件分配 表,是D0S/Win9X系统的文件寻址系统,为了数据安全起见, FAT一般做两个,第二FAT为第一FAT的备份,FAT区紧接在OBR之 后,其大小由本分区的大小及文件分配单元的大小决定。 FAT的格式历来有很多选择, Microsoft的DS及 Windows采 用FAT12、FAT6和FAT32格式,但除此以外并非没有其他格式的 FAT,像 Windows nt、0s/2、UNIX/ Linux、 Novel等都有自己的 文件管理方式 目录区:DIR是 Directory即根目录区的简写,DIR紧接在第 二FAT表之后,只有FAT还不能定位文件在磁盘中的位置,FAT还 必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件 (目录)的起始单元(这是最重要的)、文件的属性等。定位 文件位置时,操作系统根据DIR中的起始单元,结合FAT表就可 以知道文件在磁盘的具体位置及大小了。在DR区之后,才是真 正意义上的数据存储区,即DATA区
文件分配表:FAT(File Allocation Table)即文件分配 表,是DOS/Win 9X系统的文件寻址系统,为了数据安全起见, FAT一般做两个,第二FAT为第一FAT的备份,FAT区紧接在OBR之 后,其大小由本分区的大小及文件分配单元的大小决定。 FAT的格式历来有很多选择,Microsoft 的DOS及Windows采 用FAT12、FAT16和FAT32格式,但除此以外并非没有其他格式的 FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的 文件管理方式。 目录区:DIR是Directory即根目录区的简写,DIR紧接在第 二FAT表之后,只有FAT还不能定位文件在磁盘中的位置,FAT还 必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件 (目录)的起始单元(这是最重要的)、文件的属性等。定位 文件位置时,操作系统根据DIR中的起始单元,结合FAT表就可 以知道文件在磁盘的具体位置及大小了。在DIR区之后,才是真 正意义上的数据存储区,即DATA区
数据区:DATA区虽然占据了硬盘的绝大部分空间,但没有了 前面的各部分,只能是一些枯燥的二进制代码,没有任何意义。 在这里有一点要说明的是,通常所说的格式化程序(指高级格 式化,例如D0S下的 Format程序),并没有把DATA区的数据清 除,只是重写了FAT表而已,至于分区硬盘,也只是修改了MBR 和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多 硬盘数据能够得以修复的原因。但即便如此,如MBR、OBR、 FAT、DIR之一被破坏的话,就比较难恢复了。需要提醒大家的 是,如果经常整理磁盘,那么的数据区的数据可能是连续的, 这样即使MBR、FAT、DIR全部坏了,也可以使用磁盘编辑软件 (比如D0S下的 Diskedit),只要找到一个文件的起始保存位 置,那么这个文件就有可能被恢复。当然,这需要一个前提, 那就是没有覆盖这个文件
数据区:DATA区虽然占据了硬盘的绝大部分空间,但没有了 前面的各部分,只能是一些枯燥的二进制代码,没有任何意义。 在这里有一点要说明的是,通常所说的格式化程序(指高级格 式化,例如DOS下的Format程序),并没有把DATA区的数据清 除,只是重写了FAT表而已,至于分区硬盘,也只是修改了MBR 和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多 硬盘数据能够得以修复的原因。但即便如此,如MBR、OBR、 FAT、DIR之一被破坏的话,就比较难恢复了。需要提醒大家的 是,如果经常整理磁盘,那么的数据区的数据可能是连续的, 这样即使MBR、FAT、DIR全部坏了,也可以使用磁盘编辑软件 (比如DOS下的DiskEdit),只要找到一个文件的起始保存位 置,那么这个文件就有可能被恢复。当然,这需要一个前提, 那就是没有覆盖这个文件