计算机磁盘恢复技术的研究.docx
- 文档编号:30378494
- 上传时间:2023-08-14
- 格式:DOCX
- 页数:46
- 大小:1.55MB
计算机磁盘恢复技术的研究.docx
《计算机磁盘恢复技术的研究.docx》由会员分享,可在线阅读,更多相关《计算机磁盘恢复技术的研究.docx(46页珍藏版)》请在冰豆网上搜索。
计算机磁盘恢复技术的研究
摘要
步入信息社会后,人们对世界的认知和改造过程就是获取信息、加工信息和传送信息的工程。
当今社会,计算机是处理和存储信息的重要工具。
这些信息在计算机中是以数据的形式体现的。
随着计算机的普及,人们对计算机的依赖也越来越高。
正因如此,由于一些主观或者客观造成的数据丢失,会给我们的生活和工作带来极大不便。
数据恢复可谓是保障数据的最后防线。
本文从实际恢复数据出发,研究磁盘结构及数据存储原理,并深入剖析数据恢复中的如下几个关键步骤:
第一,针对Windows操作系统所使用的NTFS文件系统进行研究,总结其基本特点,并详细分析其文件系统结构,文件系统引导扇区DBR结构,以及BIOS参数块BPB结构。
重点剖析NTFS文件系统的主控文件表MFT、MFT记录、文件结构等基本数据的结构,以及文件记录中的属性。
第二,利用磁盘读取工具,逐块解析磁盘存储结构、数据存储位置,在实验中对比查看每个操作对磁盘存储内容的改变,确定磁盘工作原理。
第三,提出一种基于WindowsNTFS文件系统下的磁盘数据恢复的实现方案。
通过实验提取磁盘引导扇区中文件系统的主控文件表MFT、MFT记录等,并对关键区域内容进行翻译,达到文件内容提取的目的,最终进行文件恢复。
关键词:
数据恢复,NFTS文件系统,主控文件表MFT
ABSTRACT
Intotheinformationsociety,thepeople'steamworldawarenessandtransformationprocessistoobtaininformation,processinginformationandtransferofinformationengineering.Today'ssociety,computersareanimportanttoolforprocessingandstoringinformation.Thisinformationisbasedondatainthecomputerembodiedintheform.Withthepopularityofthecomputer,thecomputerhasbecomeincreasinglydependent.Forthisreason,subjectiveorobjectivecauselossofdata,willgiveourlivesandourworkhascausedgreatinconvenience.
Startingfromtheactualrecoveryofdata,datastorageprinciple,andin-depthanalysisofdatarecoveryfollowingafewkeysteps:
First,inviewoftheWindowsoperatingsystemusedbytheNTFSfilesystem,summarizesitsbasiccharacteristics,anddetailedanalysisofthefilesystemstructure,thefilesystembootsectorDBRstructure,andblocktheBIOSparametersBPBstructure.ItanalyzestheNTFSfilesystemmasterfiletableMFT,MFTrecords,thebasicdatastructure,suchasfilestructureandthepropertiesfilerecord.
Second,usingdiskreadtoolsandanalyticaldiskstoragestructureanddatastoragelocation,putintheexperimentcontrasttocheckeachoperationtothediskstoragecontentchanges,determinetheworkingprincipleofthedisk.
Third,thepaperputsforwardakindofbasedonthediskdatarecoveryundertheWindowsNTFSfilesystemimplementationscheme.ExperimentstoextractthediskfilesystembootsectoristhemasterfiletableMFT,MFTrecords,etc.,andtranslation,andthecontentofthekeyareastoachievethepurposeofthefilecontentextraction,restoringthefilefinally.
KEYWORDS:
Datarecovery,NFTSfilesystem,ThemasterfiletableMFT
序言
当今时代是一个依靠信息发展的时代,信息是由不同内容所组成的。
而随着计算机的发展,信息的载体越来越多的由原来的实体介质向磁盘介质发展。
正因如此,由于一些主观或者客观造成的数据丢失,将会造成非常严重的损失。
本文主要研究的就是数据恢复系统的应用,目的是在由于各种原因造成磁盘数据丢失时,能够快速、及时、准确的将所丢失数据进行定位,找回并恢复成原文件,确保数据的安全性及可用性,最大程度上减少因数据丢失而造成的损失。
目录
摘要iii
ABSTRACTiv
序言v
1引言1
1.1研究背景1
1.2国内外发展现状2
1.3主要研究工作3
1.3.1文件系统的研究3
1.3.2数据恢复的研究3
1.4本章小结3
2磁盘结构介绍及数据恢复原理5
2.1硬盘的结构5
2.1.1硬盘的物理结构介绍5
2.1.2硬盘的逻辑结构介绍5
2.2文件系统与磁盘恢复原理6
2.2.1NFTS文件系统介绍6
2.2.2NFTS文件系统数据恢复的原理进和可行性8
2.2.3其他文件系统介绍9
2.2.4几种文件系统的比较10
2.3本章小结10
3基于NTFS文件系统的数据恢复11
3.1实验工具介绍11
3.1.1WinHex工具基本介绍11
3.1.2利用WinHex读取磁盘11
3.2基于NTFS文件系统数据恢复原理的研究13
3.2.1利用WinHex读取磁盘13
3.2.2磁盘的引导扇区14
3.2.3NTFS文件系统的元文件16
3.2.4文件记录17
3.3手动恢复文件20
3.3.1利用WinHex找到文件底层数据20
3.3.2利用WinHex恢复已删除文件24
3.4本章小结25
4磁盘恢复系统的实现27
4.1磁盘恢复系统的编码27
4.1.1文件文件恢复模块27
4.1.2程序执行结果展示31
4.2程序UI界面的操作说明与展示34
5总结与展望37
参考文献38
作者简历及攻读硕士学位期间取得的研究成果43
独创性声明44
学位论文数据集45
1引言
1.1研究背景
随着社会的稳步发展,我们步入了信息社会,人们认知世界并且改造世界的过程就是对信息的获取、加工和传送的过程。
信息技术在飞速的发展,计算机已经渗透到我们生活和工作的每一个角落,并扮演者越来越重要的角色。
绝大多数的政府机关、个人、商家和企业都是通过计算机来获取和处理信息的,与此同时他们将自己重要的信息、数据等都保存在计算机中。
在计算机中这些重要的信息都是以数据的形式呈现的。
一旦我们的计算机或者软件系统不可避免的出现差错,亦或是人为的失误而导致数据丢失,这带来的后果将是非常严重的,特别是会对军队、政府、企业等关键部门的运转造成重大影响。
数据对于我们的价值是不言而喻的,一旦这些数据受到破坏或者损坏,会产生令人无法想象的严重后果。
在历史上因为数据的破坏或者损坏造成严重后果的事件不胜枚举,例如:
震惊全球的“911事件”,轰动一时的“CIH病毒事件”,当然我们还不能忘记花旗银行一次性丢失390万客户资料的那次著名的“数据门事件”,这些数据丢失事件无一例外的都造成了巨大的生命和财产损失。
计算机中的文件数据遭到不可恢复的毁灭性的破坏我们就称之为数据丢失。
这些原因主要有:
一、系统物理故障,主要是指计算机中的存储介质实效,湿度、灰尘等环境对计算机所产生的影响,还有电源系统故障等。
二、系统软件设计缺陷。
应用软件和操作系统数量庞大,种类繁多,结构复杂,数据丢失的丢失也可能是因为软件设计上的缺陷所致。
三、人为因素。
调查结果显示,在所有造成数据丢失的案例中,由工作人员因麻痹大意或一时疏忽造成的占到80%以上。
四、自然灾害。
如雷电、火灾、水灾、地震等导致计算机设备损坏而造成数据的丢失。
五、计算机病毒。
近些年,计算机病毒事件频频发生,因此而造成多次严重的数据灾难,尤其是在当前的网络环境中,病毒已经越来越多的对数据安全产生威胁。
当数据丢失的局面已经造成,为了减少丢失所造成的损失,数据恢复技术就应运而生。
数据恢复的定义为:
通过技术手段,将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、Mp3等等设备上丢失的电子数据进行抢救和恢复的技术。
根据统计得到的数据,目前全球数据恢复的市场价值大约是在千亿美元每年,在国内至少也会达到十几亿人民币每年。
数据恢复工程师也变得非常抢手,在国外,他们普遍的年薪都在30万美元以上,而国内现在也能得到10万元人民币以上,由此可见数据恢复的重要性。
显而易见的说,快速的进行数据恢复是数据恢复技术的一个很大的应用。
因为,我们想要复制信息是相对容易的,但想要重建信息却是异常的困难,因为这要花费我们大量的时间和大量的费用,而有一些信息甚至根本就无法进行重建。
根据市场对10000名网络计算机用户的调查发现,每一次硬盘的失效将至少造成4天以上的无效工作日。
例如,要重建1000MB的数据,平均耗时为3个月,费用要超过96000美元。
因此,信息的存储对用户来说是极为重要,我们完全可以说,它就是数字的财富。
上述数据让我们非常清楚的认识到数据丢失带来的危害。
因此,一旦数据发生丢失,正确、迅速地对数据进行恢复就成为了问题的根本所在。
本文将就数据恢复的原理及方法进行研究,研究结果将直接应用于数据恢复,将数据丢失的危害尽量降低。
1.2国内外发展现状
[4]目前国内在“软恢复”方面研究与国外专业公司相比,还存在差距,其中覆盖数据恢复技术差距最大。
有资料显示美国军方可以恢复覆盖6至9次的数据,俄罗斯可以恢复覆盖3至4次的数据,IBM自己耗资6亿美元的研究成果是可以恢复覆盖2至3次的数据,由于这些都涉及到国家核心机密,具体的细节和可靠性都尚不可知。
我们经常使用的通过硬盘格式化进行数据恢复的技术属于“软恢复”,“软恢复”的含义就是存储系统、文件系统或者是操作系统层次上面的数据丢失。
引起这种丢失的原因有很多,例如:
计算机死机、病毒的破坏、计算机系统软的硬件故障、阵列数据的丢失、黑客的远程攻击、操作失误等等,是非常常见的现象。
[6]最近,国家发展改革委员会批准了国家信息中心申请的《国家高技术产业化项目、自主可控的信息安全专业化服务项目、存储介质数据恢复服务项目》,项目总投资2100万元,国家补助资金800万元。
“存储介质数据恢复服务项目”旨在国家信息中心信息安全研究与服务中心现有数据恢复业务的基础上,在三年内,扩充设备、设施和技术能力,形成可恢复多种存储介质、各种操作系统和数据结构的数据恢复专业化服务平台;实现数据恢复设施专业化,管理规范化,自主知识产权的专业工具、软件和技术的升级、改造和完善,服务规模化;制定数据恢复技术标准和管理规范,促进数据恢复服务行业技术实施和管理的标准化和规范化;在有条件和需求的省市建立数据恢复服务分中心,初步形成自主可控的覆盖全国的普通数据恢复、涉密数据恢复、特殊数据恢复及电子数据司法鉴定等专业化数据恢复服务体系。
可见,目前国家对存储介质数据恢复服务项目非常重视。
目前格式化的数据恢复主流软件有:
DiskRecovery、EasyRecovery、FileRescuePlus,FileScavenger,FinalData、FinalRecovery,FormatRecovery,HandyRecovery、R—Studio、RecoverMyFiles、SearchandRecover、易我数据恢复向导等,达思、飞客都是非常好的数据恢复公司。
1.3主要研究工作
可以看出,人为因素所导致的数据丢失在数据丢失的案例中所占的比例最大。
所以解决此类数据丢失就成为了关键所在,它将极大的减少我们的损失。
本文所研究的就是人为因素造成的数据丢失。
1.3.1文件系统的研究
首先我们将对FAT16、FAT32、NTFS这三种系统文件系统进行介绍对比,分析其优缺点,使读者对文件体系有一个统观概念。
然后针对Windows操作系统所使用的NTFS文件系统进行研究,总结其基本特点,并详细分析其文件系统结构,文件系统引导扇区DBR结构,以及BIOS参数块BPB结构。
将重点放在NTFS文件系统的主控文件表文件结构、MFT、MFT记录等这些最基本的数据结构上,以及文件记录属性。
为数据恢复打下理论基础。
1.3.2数据恢复的研究
本人将主要针对那些主观因素而引起的数据丢失,提出了一种基于WindowsNTFS文件系统下的数据恢复的具体实现方案。
下文中将会详细介绍数据恢复的实现方法,主要方法是通过分析该文件删除前后文件记录中属性值的变化。
1.4本章小结
本章主要介绍了数据丢失与数据恢复。
1.1节讨论了数据丢失所带来的灾难以及数据恢复的重要意义,以及数据丢失所产生的原因;1.2节介绍了当前国内外数据恢复主流技术发展现状,1.3节说明了本文所要做的工作。
2磁盘结构介绍及数据恢复原理
在本章中,我们将介绍磁盘结构,同时我们将对不同文件系统进行介绍与说明,从而阐释数据恢复的原理。
1
2.1硬盘的结构
硬盘的结构可以分为两方面,分别为物理结构和逻辑结构。
我们将从这两方面着手,对磁盘的结构进行介绍说明。
2.1.1硬盘的物理结构介绍
[4]硬盘在物理结构上由头盘组件和控制电路板两大部分组成。
头盘就是磁头和盘片的意思。
磁盘的头盘是由盘体、磁头、电机等组成的。
其中的部件全部都是密封在外壳内,绝对的真空和无尘,但是一旦破坏了这个密封性,就宣告了这个硬盘的作废。
一个或者多个盘片组成了磁盘的盘体,每个盘片是由垫圈所隔开的,它的表面光滑、极为平整并且涂油一层带有磁性的介质,它就是数据记录的载体。
多数的盘片都是由铝制成的,早期曾经有陶瓷制成的,现在也出现了一些新型的玻璃材料。
一每盘片都有两个盘面,一上一下,各对应一个磁头。
电机会带动盘片进行高速的转动。
每次磁头和盘片的距离非常近,在高速转动的时候盘片并不和用来读写数据的磁头有接触,因此哪怕是只有一粒灰尘也会造成硬盘表面的破损,所以这也就是为什么电脑开机的时候要避免震动的原因。
包括主控芯片、数据传输芯片、高速数据缓存芯片等芯片都焊接在控制电路板表面上,盘片上的数据则是通过前置读写控制电路与控制电路板导通完成对数据的控制。
2.1.2硬盘的逻辑结构介绍
我们从逻辑结构对硬盘进行划分,其依据就是盘片上的数据如何编制的。
根据其不同的作用可分为五个部分。
1、MBR主引导区
硬盘0磁道0柱面1扇区上就是MBR区,它的大小为512个字节,MBR,BootRecordID和DPT这三个部分组成了MBR区。
其中MBR是主引导记录,占445个字节;DPT是分区表,占64个字节;BootRecordID为引导区标记,它的大小为两个字节。
2、DBR操作系统引导区
每个硬盘的0磁道1柱面1扇区为DBT,它由两部分组成,分别为引导程序和BPB的本分区参数记录表。
3、FAT文件分配表
4、DIR根目录区
DIR和FAT的原理类似于坐标轴的横纵坐标,它可以定位到一个点,所以Data区内的任何一个文件我们都可以准确的定位到。
5、DATA数据区
DATA数据区真正数据所存放的地方。
在Windows操作系统中,我们删除一个文件很容易,然后也很容易的再把该文件从回收站中彻底删除,然而实际上这仅仅是对这个该文件定位信息的删除,该文件仍然存在于这个数据区中,这也就是为什么、还原精灵可以恢复或者还原数据。
2.2文件系统与磁盘恢复原理
硬盘是用来存储数据的,为了使用和管理的方便,这些数据以文件的形式存储在硬盘上。
任何操作系统都有自己的文件管理系统,不同的文件系统又有各自不同的逻辑组织方式,要对硬盘进行高效的管理并对数据进行有效恢复,就要求用户必须深入了解文件在硬盘上是如何存储的。
微软的文件系统主要有FAT、NTFS和ExFAT:
FAT系统包括FAT12,FAT16,FAT32三种。
这三个系统的结构从第37字节开始不同。
由于FAT12已经很少用到,在这里不做介绍。
2.2.1NFTS文件系统介绍
NTFS是WindowsNT以及之后的Windows2000、WindowsXP、WindowsServer2003、WindowsServer2008、WindowsVista和Windows7的标准文件系统。
NTFS的出现取代了原来的FAT也就是文件分配表文件系统,也成为了微软的Windows系列操作系统的文件系统。
NTFS文件系统相比较于以往的FAT文件系统有了很大的改进,例如:
它使用了更高级的数据结构,这样就提高了磁盘的空间利用率;它提供了多项附加的扩展功能,就像访问控制列表、文件系统的日志等功能;它还能够支持元数据,这样就提高了性能和可靠性。
恢复、长文件名和数据保护也都是由NTFS提供,它的安全性通过文件许可和目录来保证。
NTFS同时也支持在多个磁盘上存储文件也就是我们经常所说的卷和大硬盘。
例如:
一个大型的互联网公司它的数据库很有可能就会达到必须要跨越几个不同的硬盘。
同时,NTFS也会提供内置的安全特性,文件的访问和从属关系由它来控制。
NTFS文件系统有很多优点,下面我们将逐一对其进行介绍:
1、NTFS文件系统的安全性相对较高。
NTFS提供了很多安全方面的选项,它可以对文件系统进行加密;可以在本机或者是通过远程控制的方法对文件和目录进行保护;还可以阻止未经过授权的用户来访问文件。
2、NTFS文件系统的可靠性相对较高。
NTFS文件系统提供了基于原子事物的可恢复性。
原子事物是数据处理中的一项新兴的技术,它可以在系统失败或者崩溃的情况下,保证不影响数据的完整和准确,因此它目前比较广泛的应用于服务器中。
3、NTFS文件系统支持文件压缩功能。
NTFS支持文件的压缩功能,并且可以选择性的压缩单个文件或者是整个文件夹。
因此较大的文件或者是那些不经常说会用的文件可以通过此功能来保存,来实现压缩和节约空间的作用。
4、NTFS文件系统具有磁盘配额功能。
所谓的磁盘配额就是管理员可以对用户所能使用的空间进行限制,也就是说每个用户只能使用管理员所分配的配额范围内的磁盘空间。
磁盘配额的设置,管理员就可以对每一个磁盘的使用情况进行控制和管理,检测到用户的使用超过设置的配额就可以采取相应的措施,这样就提高了整个系统的安全性,避免了因为磁盘空间的使用不当而导致的整个系统的崩溃,也方便了系统管理员的管理。
5、NTFS文件系统通过B+TREE来定位文件在磁盘上的位置。
这种方法相比较于FAT文件系统的链表技术来说,是一个质的飞跃,有了一个很大的提高。
B+树的方法使得在NTFS文件系统中文件查找的速度有了极大的提高,因为当果卷相对较大时,B+树的方法不是增加深度,而是增加宽度,因此在果卷很大的时候NTFS文件系统的性能也没有太大的影响。
总之,该方法使得我们查找一个条目对磁盘的访问次数是相对最少的。
2.2.2NFTS文件系统数据恢复的原理进和可行性
上文中已经提到,NTFS文件系统所利用的定位文件位置的方法是B+树的方法。
而这种B+树的方法相比较于在FAT文件系统中所使用的链接表的技术更具备优越性,因为文件名是顺序存放的,所有其查找速度更为快捷,而B-tree的数据结构导致其查找一个目标所需要的磁盘访问次数是最少的。
那么,磁盘中的文件是如何被删除的呢,同时,在NTFS文件系统下,文件是如何被恢复的,其原理又是怎样的呢。
仔细来说,当我们在NTFS卷中删除掉一个文件时,文件系统至少在如下三个地方做出了改变:
1、表示文件状态的字节,该字节位于该文件的MFT头偏移16H处,当该字节为0时表示文件已被删除,为01时则表示该文件正在被使用,该字节为02表示其为一个目录,为03时则表示该文件是删除目录。
2、其父文件夹的INDEX_ROOT属性(90H属性)或者INDEX_ALLOCATION(A0H属性)。
3、在位图($Bitmap)的元数据文件中把该文件所占用的簇所对应的字节改写为00,这样表示该文件已被删除,该空间可被其他文件利用。
知道了文件的删除原理后,我们从文件删除的相反方向着手,对文件碱性恢复:
首先,文件在磁盘上的存储位置的是通过主文件表(也就是MFT)来确定的,因此我们要先找到MFT。
其次,当找到MFT后,我们可以通过分析MFT中的文件记录信息来确定文件的相关信息(对于较大的文件可能还会有多个记录与其对应)。
基本文件记录为MFT中第一个文件记录,其中存储了其他扩展的文件记录的一些相关信息。
然后,通过MFT中文件记录的INDEX_ROOT(索引根)、INDEX_ALLOCATION(索引分配)及位图(Bitmap)等内容,对被删文件的数据大小,存储位置等相关信息加以确认,同时找到所寻找文件的数据在数据区中所存储位置。
最后恢复该文件。
当我们删除一个文件时,虽然在磁盘中该被删文件的一些属性(如表示状态的字节)有了变化,在我们对被删文件进行数据内容的恢复时,只是将其相关内容复制到指定位置,并更改一些相关信息,这说明为了进行文件的数据恢复而进行的修改,并未在原文件的属性上进行,这就有效的保护了文件,避免对齐进行再次破坏。
根据数据删除原理,结合上述反向操作过生,我们便可以在不更改数据存储区的情况下,对丢失的数据进行找回并恢复,最终形成文件。
我们将在后文中实现这个过程。
2.2.3其他文件系统介绍
1、FAT16文件系统
数据区、DBR、FDT、FAT1、FAT2五个部分组成了FAT16,从微软的DOS系统开始使用的就是这个系统,DOS3.0以上的系统均可以使用该文件系统,它也是最早出现的文件系统。
它能够支持大于16MB小于2GB的分区。
FAT16文件系统存在先天的缺陷,因此当容量超过一定的范围之后,为了能够适应更大的磁盘空间,我们就必须选择对其进行扩增。
综上所述,该文件系统存在两个致命的问题,一个就是簇的大小不好控制,设置不当就会造成严重的空间浪费;另一个就是在当今大数据的大环境下,FAT16文件系统已经无法适应,它必须要被分成几个空间。
由此可见
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 磁盘 恢复 技术 研究