基于windows操作平台的数据恢复技术毕业设计论文Word下载.docx
- 文档编号:16829338
- 上传时间:2022-11-26
- 格式:DOCX
- 页数:24
- 大小:1.31MB
基于windows操作平台的数据恢复技术毕业设计论文Word下载.docx
《基于windows操作平台的数据恢复技术毕业设计论文Word下载.docx》由会员分享,可在线阅读,更多相关《基于windows操作平台的数据恢复技术毕业设计论文Word下载.docx(24页珍藏版)》请在冰豆网上搜索。
(三)数据丢失的原因(非误操作)…………………………………9
四、数据恢复应用及恢复操作…………………………………………10
(一)数据恢复的一般原则……………………………………………10
(二)数据恢复的相关软件及恢复操作………………………………10
(三)预防和应对数据丢失……………………………………………16
总结与体会……………………………………..………………………19
参考文献………………………..………………………………………21
前言
当今社会,网络成为人们日常生活之中不可或缺的一部分,无论是老师、学生、还是政府机构和普通群众,年龄从学前儿童到耄耋之老,都将网络当成生活必不可少的一部分.
但是随着网络的发展,网络带来的问题也越来越多,尤其是最近几年,犯罪事件越来越多,作案人员也从当初的单人作案,逐渐演变成现在的团伙作案.而给罪犯定罪的证据也随着网络技术的发展变得越来越艰难,尤其是基层的办案人员的科技素质不够,往往就令到犯罪人员越来越猖狂,甚至尘嚣直上,入侵政府机构网站,篡改网页内容,拍板政府权威.
而在商业方面,银行信用卡信息盗窃与网购安全的问题越来越突出,罪犯利用网络进行犯罪,导致证据难以搜集.而一些犯罪嫌疑人将数据销毁,导致证据搜查难以进行,也越来越不容易界定甚至是确定嫌疑人的罪名.
而在民用方面,一些互联网用户的错误操作,将一些重要的文件删除,而没有足够的科技素养的普通民众也不知到该怎么恢复,当下的数据市场也没有足够普及的技术配套设施能帮助用户恢复数据。
这就更突出我国的数据恢复市场不够完善、普及,更说明我国的数据恢复市场存在巨大的潜力。
如果能将数据恢复的相关技术普及,那么这对我国的经济发展产生更大的推理,而且能提高民众的科技素养水平,促使更多的科研人员涌现,推使我国的科技迅速发展,形成一个良性的循环,使得我国科技市场乃至国力发展往更大更繁荣的方向发展,最终成为世界科技发展的重要支柱.
在硬件产业方面,存储设备是电子科技的核心内容,只有了解到存储设备的工作过程乃至是存在的缺陷,才能让硬件产业异军突起,研发出更加优秀的存储设备,打破由外国跨国公司的垄断,使得长久以来我国在高科技设备对外国依赖过高的问题能够解决,不会再出现创新乏力,缺乏有竞争力的电子硬件高科核心企业的尴尬处境.
第一章数据恢复及常见存储设备(Windows)
一、数据恢复的定义
数据恢复是指原本的数据因为误操作、恶意删除或者是自然、意外或人为的灾祸而遭受破坏或由硬件缺陷导致不可访问,或不可获取,或导致丢失的数据通过软件或者是物理手段使原本的数据重现。
但数据恢复不同于数据备份,不是所有的情况都可以恢复
数据恢复不仅仅可以通过使用相关的软件修复本来的数据,更可以通过物理的方法来修复存储设备的物理损害,从而恢复原本数据的真正“面目”。
因此数据恢复也分成“软恢复”与“硬恢复”,但是人们常说的数据恢复主要是“软恢复”,而不涉及到“硬恢复”,这一来是因为其设备成本高昂,二来是一般的数据丢失问题都可以使用软恢复来修复,这就导致人们对硬恢复感觉陌生甚至是完全不认识。
由此可知,软恢复是指在数据恢复过程中没有使用物理设备对存储设备进行物理上的恢复,常见于一般的误操作或者是恶意删除导致的数据丢失、不可访问、不可获取,比如:
如误操作、网络删除、操作时断电、误分区、病毒感染、误格式化、误克隆等,一般表现为读盘错误,无操作系统,文件找不到、打不开,报告无分区、未格式化、密码丢失、乱码等,总而言之,软恢复并不涉及到物理设备的修复问题。
而硬恢复则是指主要通过物理的手段来修复存储设备的物理损坏,常见于因为自然、意外、人为的灾祸而遭受的破坏或硬件本身存在的缺陷而导致的数据不可访问、不可获取,可见硬恢复会涉及到硬件修理,如磁道损坏、磁盘划伤、磁组损坏、主电机损坏、电路板芯片及其他原器件烧坏等,一般表现为不认盘,常有一种“喀嚓喀嚓”的磁组撞击声或电机不转,或通电后无任何声音等。
可见软恢复与硬恢复两者之间最明显的特征或区别就是:
存储介质本身是否需要进行修理或更换部件才可以正常地进行访问。
二、
(一)常见的存储设备(Windows)
常见的windows存储设备有:
硬盘(HardDiskDrive,HDD),软盘(FloppyDisk,现已淘汰),U盘(UniversalSerialBUS,USB),存储卡(CF/MMC/SD/Mini-SD/TF/XD/MS)。
硬盘(HDD):
IDE硬盘(IntegratedDriveElectronics),属于Parallel-ATA(并行)接口,九十年代初开始应用于台式机系统,初始设计的最大容量被限制在504MB内,新一代EnhancedIDE(加强型IDE,简称为EIDE)最高传输速度高达100MB/秒(UltraATA/100),速度相对SATA慢,只能内置使用。
STAT硬盘(Serial-ATA),是串行接口,现在属于主流接口。
2001年,由Intel、APT、Dell、IBM、希捷、迈拓这几大厂商组成的SerialATA委员会正式确立了SerialATA1.0规范。
2002年,确立SerialATA2.0规范。
2009年正式发布SerialATA3.0规范,其中1.0版本为150MB/S,2.0为300MB/S,3.0为600MB/S,在此之前的PATA为133MB/S,而且SATA的数据传输距离有很大的限制,3.0的传输距离只有两米,但远比IDE硬盘的速度快。
SCSI硬盘(SmallComputerSystemInterface,小型计算机系统接口),专用于服务器和高档工作站的数据传输,接口速度快,并且由于主要用于服务器,因此硬盘本身的性能也比较高,硬盘转速快,缓存容量大,CPU占用率低,扩展性远优于IDE硬盘,并且支持热插拔。
此外,硬盘根据使用材料和结构的不同分为:
固态硬盘(SolidStateDisk)、机械硬盘。
软盘(FloppyDisk):
常见的软盘有3.5英寸与5.25英寸的软盘,但是由于软盘的容量小,安全性能差早就被淘汰,但是因为历史遗留问题,有些公司还是会留有一些存有资料的软盘。
U盘(UniversalSerialBUS,USB):
现在常见的U盘有USB1.1、USB2.0和USB3.0,理论上USB1.1的传输速度可以达到12Mbps/秒,而USB2.0则可以达到速度480Mbps/秒,并且可以向下兼容USB1.1,而USB3.0则高达640MB/s,并向下兼容USB1.1与USB2.0,U盘是现在最流行的存储设备,而且安全性比较高。
存储卡:
现流行的小容量便捷式移动存储卡主要有:
CF、MMC、SD、Mini-SD、TF、XD、
MS,由于现在的技术支持,存储卡的容量已经达到了64GB,一般用于手机、数码相机、家庭娱乐设施以及GPS设备、DV等,缺点是读写数据的速度慢。
第二章相关存储设备的文管系统介绍
一、常见的文管系统
通常操作系统要对相关的存储设备里面的文件进行管理操作是通过文件系统(常用FAT及其衍生文管系统、NTFS。
)来实现的。
其中FAT文管系统是指对特定卷进行格式化时产生了一个FAT(文件分配表),FAT(文件分配表)里面对文件的起始位置等信息做了相关记录,以方便用户的查找;
其中FAT32是一种从FAT派生而来的文管系统,FAT32能够支持更小的簇以及更大的容量,从而能够在FAT32卷上更为高效的分配磁盘空间;
NTFS文管系统则是一种能够提供各种FAT版本所不具备的性能、安全性、可靠性与先进特性的高级文件管理系统,综合性能上远远超过了FAT及其衍生系统。
2、FAT及其衍生系统的介绍
一个FAT文管系统包括四个不同的部分。
保留扇区位于最开始的位置。
第一个保留扇区是引导区(分区启动记录)。
它包括一个称为基本输入输出参数块的区域(包括一些基本的文件系统信息尤其是它的类型和其它指向其它扇区的指针),通常包括操作系统的启动调用代码。
保留扇区的总数记录在引导扇区中的一个参数中。
引导扇区中的重要信息可以被DOS和OS/2中称为驱动器参数块的操作系统结构访问。
FAT区域它包含有两份文件分配表,这是出于系统冗余考虑,尽管它很少使用,即使是磁盘修复工具也很少使用它。
它是分区信息的映射表,指示簇是如何存储的。
根目录区域它是在根目录中存储文件和目录信息的目录表。
在FAT32下它可以存在分区中的任何位置,但是在早期的版本中它永远紧随FAT区域之后(根目录区,又称ROOT区,紧跟在FAT2的下一个扇区,长度为32个扇区)。
根目录区有许多目录项(FDT,文件目录表),文件目录表(FDT)记录着根目录下的每个文件或子目录的名称、起始位置(簇号)、文件大小、文件属性(子目录也是一种文件)、创建日期等信息。
目录项并非根目录才有,在磁盘数据区中一样有目录项,而根目录是许多目录项的集合,也称作目录项的目录。
Windows操作平台采用的是树型目录结构,从某个盘符的根目录开始。
早期的FATl6系统下的文件名最多只能有8个字符(或4个汉字),扩展名最多3个字符,且不能用一些特殊字符等,因此支持的目录项有限制。
数据区域是实际的文件和目录数据存储的区域,它占据了分区的绝大部分。
通过简单地在FAT中添加文件链接的个数可以任意增加文件大小和子目录个数(只要有空簇存在)。
然而需要注意的是每个簇只能被一个文件占有,这样的话如果在32KB大小的簇中有一个1KB大小的文件,那么31KB的空间就浪费掉了。
三、NTFS简介
NTFS是WindowsNT以及之后的Windows2000、WindowsXP、WindowsServer2003、WindowsServer2008、WindowsVista和Windows7的标准文件系统。
NTFS取代了文件分配表(FAT)文件系统,为Microsoft的Windows系列操作系统提供文件系统。
NTFS对FAT和HPFS(高性能文件系统)作了若干改进,例如,支持元数据,并且使用了高级数据结构,以便于改善性能、可靠性和磁盘空间利用率,并提供了若干附加扩展功能,如访问控制列表(ACL)和文件系统日志。
NTFS结构模式
当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统结构。
NTFS与其他的文管系统一样,也是以簇为基本单位对磁盘空间和文件存储进行管理。
但NTFS是以卷为基础的,而卷是建立在磁盘分区上,所以NTFS分区也被称为NTFS卷,卷上簇的大小,称为卷因子,所以簇的大小一定是扇区大小的整数倍。
NTFS文件系统使用逻辑簇号(LogicalCluserNumber,LCN)和虚拟簇号(xrLraJalClusterNumber,VCN)对卷进行管理。
而LCN是对第一个簇到最后一个簇进行编号管理。
NTFS分区的引导扇区在BOOT区的第一个扇区,它在操作系统引导时必不可少的部分,它和FAT32分区的结构类似,也包括跳转指令、OEM版本号、BPB参数、引导代码和结束标志。
而BPB参数则是从偏移0BH开始,到偏移53H结束,里面记录着NTFS分区的许多重要信息。
总体结构如图2-1所示:
图2-1NTFS文件系统总体结构
主控文件表及元数据简介
NTFS卷结构的核心是主控文件表(MFT),操作系统是通过MFT来确定文件在磁盘上的位置以及文件的所有属性等。
MFT是一个与文件相对应的文件属性数据库,它记录了除文件数据外的所有属性,甚至有些小文件的数据本身也包含在MFT当中,所以在NTFS分区中每个文件至少有一个MFT。
主控文件表(MFT)由两部分构成,一部分是主控文件表头,称为文件记录头;
另一部分是属性列表,MFT头结构如图2-2所示:
图2-2MFT文件头结构
MFT是以文件数组来实现的,每个文件记录占用两个扇区。
文件记录在MFT文件记录数组中物理上是连续的,从0开始编号。
为了保证其连续性,在它周围保留了一个缓冲区,这个缓冲区的大小是可调的,可以是磁盘空间的12.5%、25%、37.5%或50%。
每当其余空间变满时,缓冲区大小减半。
MFT区域的前16个文件属于系统文件,也称为元文件,用来存放系统的元数据,元数据是指存储在卷上支持文件系统管理的数据。
只为系统服务,不能被应用程序访问。
不管簇的大小是多少,MFT中的记录大小一般是固定的,占用1k空间。
这些记录从零开始编号。
MFT仅供系统本身进行文件管理使用(MFT本身也是元数据)。
在MFT的前16条记录是非常重要的操作系统使用的元数据文件,这些元数据文件的名字都是以“$”开头,是系统管理卷不可缺少的。
这16个文件是NTFS文件系统中唯一在MFT表中具有固定地址的文件。
元数据文件及它们的作用如图2-3所示:
图2-3NTFS元数据文件及其功能简介
第三章、常见的数据的丢失情况及症状
数据丢失的原因有很多种,其中根据故障的原因可以分为逻辑原因和物理原因及固件本身的故障等。
逻辑原因:
病毒感染、误格式化或误分区、误克隆、误删除或覆盖、黑客软件人为破坏、0磁道损坏、硬盘逻辑锁、操作时断电、意外电磁干扰造成数据丢失或破坏以及系统错误或瘫痪造成文件丢失或破坏等。
物理原因:
磁盘划伤、磁头变形、磁臂断裂、磁头放大器损坏、芯片组或其他元器件损坏等。
固件本身故障原因:
硬盘的固件由于读写次数过多,常常会出现故障,常见的故障表现包括有寻道声但不能正常认盘、只认厂家模式等。
由固件原因引起的数据丢失占到数据丢失的40%左右。
另外,自然损坏:
如风、雷电、洪水、地震以及意外事故也有可能导致数据丢失,只是这一因素的可能性要低很多。
这时恢复数据就要专门的物理设备。
在这里,将数据丢失分成两种原因,一种是直接用户人为的误操作导致数据丢失,另一种是非直接用户导致的数据丢失。
一、常见的数据丢失情况(误操作)
删除文件
当执行删除文件的操作,系统只是在该文件的文件目录表(FDT)上做一个删除标记,即把该文件的文件目录项第一个字符改为“E5H”来表示该文件已经被删除;
另一个是把该文件的文件分配表(FAT)中所占有的簇标记为“空簇”,而DATA区域中的簇仍保存原文件内容。
其原理是系统在文件分配表中相应位置检测到“0”时,就认为该文件簇处于空闲状态,表示可写入其他文件。
子目录的删除
操作系统对子目录的管理和对文件的管理相同,所以操作系统对子目录的删除与文件的删除的方式也相同。
但FAT16或FAT32下子目录的简单操作只是对描述子目录的FDT做一个删除标记,该子目录下所有文件和下一级子目录的所以记录都没有变动,相当于将该子目录“移”到回收站里,里面的数据依旧可以恢复。
硬盘的分区
硬盘进行分区操作时,系统只是修改了MBR(硬盘主引导记录)和DBR(DOS引导记录),DATA区的数据并没有被全部覆盖或者修改。
由于MBR、DBR的改变导致文件的路径被破坏,系统不能正常读取文件。
硬盘的高级格式化
硬盘进行高级格式化时,系统并不将DATA区的数据清除,只是把相应的FAT表和FDT表重写,即彻底删除之前记录的所有文件和子目录的目录,使其FDT和FAT中都不再有文件或目录记录登记项,只留有标识磁盘空闲的记录,回收站也给清除,从而释放空间。
一般快速格式化后,其子目录下的文件目录项还保留着,不会被删除。
当使用“Format”命令时加上“/U”参数,系统在对分区进行格式化时将强制对每一扇区写入“F6”,就完全把数据破坏,但执行这个命令可能会对磁盘造成一定的损害。
硬盘的低级格式化
硬盘的低级格式化指在物理层面直接对硬盘里面的数据进行清理,其作用是为整个硬盘划分出柱面和磁道,再将磁道划分为若干个扇区,在每个扇区的地址场中标志地址信息,测试硬盘介质缺陷。
低级格式化后的数据完全损毁无法恢复。
二、数据出现问题的症状
不能进入系统
有时COMS检测硬盘时显示正常,但不能进入系统,有时会出现提示死机或者无提示死机情况,也会出现COMS能检测到硬盘,但显示的容量不对等,这通常可能是因为MBR损坏、DBR损坏、电源质量不合格、数据线断线、COMS设置不正确、主从硬盘设置不正确、硬件冲突、COMS电池电压不足等其中一个或几个原因导致。
磁盘出现坏道
硬盘的坏道分为逻辑坏道和物理坏道两种。
逻辑坏道通常是由于用户使用不当造成的,可用软件进行修复;
后者则是物理故障,表明硬盘磁道产生物理级别的损伤,可以通过更改分区或是改变扇区等方法恢复使用,但里面的数据则需要通过相关的电子设备进行恢复,而不能只靠软件对其进行恢复。
分区丢失
有时候系统显示找不道分区,或分区进不去。
这种情况一般是由于病毒删除分区表或是更改盘符等相关数据,导致分区“被”隐藏。
文件丢失
通常由误操作引起,前面对误操作的几个形式有提及。
误操作产生的问题可以通过专用工具软件进行恢复,但如低级格式化这一类情况则需要更专业的机器来恢复。
密码丢失
主要指各类应用程序的管理口令或文档保护密码丢失导致的文件数据不能读取等,一般通过暴力破解解决。
文档打不开或显示乱码
可能格式设置出现问题,或操作系统里没有相关程序用来打开该种文件,或数据在传输或存储的时候出现错误导致文件传输不完整等引起,通常通过纠错、重新下载、重新计算CRC校验、改正不正确的格式等方法,解决上述问题。
三、数据丢失的原因(非误操作)
除误操作导致的数据丢失外,出现数据出现丢失主要包括三个方面:
恶意的程序
恶意程序导致数据丢失是最常见的情况,因为病毒导致分区找不到、数据被隐藏、原数据被覆盖、文件丢失、目录被删除等,更有病毒通过更改设置参数损坏设备。
如CIH/Chernoby,它能删除无比重要的BIOS数据,使感染的主板瘫痪。
其他恶意的破坏
常见的是利用木马或者一些恶意蠕虫、病毒对数据进行复制、盗窃、删除、覆盖等。
如:
冰河、Netspy(网络精灵)、广外女生、震荡波和网络天空等,还有最有名的熊猫烧香会直接更改文件的属性和文件路线,致使文件无法正常打开。
硬件失效
这是数据丢失最大原因之一。
硬件失效、电压不稳造成自动重启的过程中会使未保存的数据丢失。
硬件失效往往是最严重的问题,包括了物理损坏、失窃等,使数据恢复的可能性降为零。
第四章、数据恢复应用及恢复操作
四、
(一)数据恢复的一般原则
数据安全实质上是动态的过程,一时的数据保护不能称作数据安全。
数据恢复技术只作为数据安全一个保护措施,在实施数据恢复的过程中,采用的方法、操作的每个步骤它也是一个过程,其中也有着一些不可预料的因素影响。
因此在进行数据恢复时要考虑周全,认真对待,养成备份和记录的好习惯。
实施数据恢复之前,首先要完成以下几个步骤:
1.备份当前还能工作的设备上所有数据,防止在数据恢复过程中出现误操作致使数据二次损坏。
2.将损坏的硬盘挂接到正常工作、同样系统环境下进行修复,不同系统可能会有标识符识别等问题,甚至破坏原来的数据。
3.询问使用者,弄清楚数据丢失的大概原因,及使用者曾经进行的尝试性补救工作,以方便针对性地进行数据恢复,节省时间。
4.仔细分析原因,估计破坏程度,设计恢复步骤。
5.恢复过程中注意备份好数据,恢复多少备份多少,以防止因停电或其它人力不可控的特殊情况损坏数据。
四、
(二)数据恢复的相关软件及恢复操作
目前常用的数据恢复软件有:
DiskRecovery、EasyRecovery、FileRescuePlus、FileScavenger、FinalData、FinalRecovery、HandyRecovery、RecoverMyFiles、SearchandRecover、易我数据恢复向导等,而且各个恢复数据软件也有些许不同之处。
针对硬盘数据出现丢失的不同情况分为以下几种:
分区表的恢复
分区表损坏的原因有很多种,其中最常见的是病毒性破坏、误操作导致分区表损坏、自然因素损坏分区表、分区表丢失与被隐藏等,总之是使分区表全部丢失或者部分丢失导致的原有的分区的数据在操作平台中不可见、无法读取、写不进数据等。
但这种情况下的数据丢失通常都是整个分区的数据丢失,需要恢复的也是整个分区的数据。
遇到这种情况,我们一般使用超级硬盘恢复数据软件。
该软件可以很方便地恢复出分区表受损后的数据,包括由于MBR破坏、重新分区、修复坏道后导致分区丢失、在DOS系统下面用fdisk/mbr命令清空分区表、在磁盘管理中删除分区等等导致分区不可见、无法读取、无法写进等情况。
扫描速度快,安全性能比较高。
假设有一个160G的移动硬盘,这个移动硬盘原先有4个分区,包括NTFS分区和FAT32分区,里面存放了影音图片和工作文件,但因为直接强制拔掉USB接口造成了分区丢失,现在全部
分区都看不到,硬盘也变成了未指派状态。
如图4-1所示:
图4-1丢失分区的磁盘
运行超级硬盘数据恢复软件后,选第3项,恢复丢失的分区,点下一步后,如图4-2所示:
图4-2选择恢复丢失的分区
选择这个移动硬盘“磁盘2”,再点下一步按钮。
如图4-3所示:
图4-3选定要恢复的磁盘
到了下一步后,就开始进行文分区的扫描,如图4-4所示:
图4-4扫描分区
等待扫描完毕,超级硬盘数据恢复软件就可以列出了丢失的这几个分区,可以根据之前你对相关卷标、大小等信息来确认你要恢复的分区,然后选择要恢复的分区点击下一步,如图4-5所示:
图4-5找到的分区并选择要恢复的分区
删除文件及格式化数据的恢复
Windows操作系统删除文件时会把文件先放到回收站里,如果确定不用删除文件还能在回收站内找回来,若要删除就清空回收站再释放空间。
也可以使用Shift+Del不通过回收站直接删除文件并释放空间,如删除的文件过大,操作系统会提示文件不能放入回收站而直接删除并释放空间。
目前常用的恢复软件是EasyRecovery。
通常EasyRecovery
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 windows 操作 平台 数据 恢复 技术 毕业设计 论文