基于windows平臺的數(shù)據(jù)恢復技術的應用-畢業(yè)論文

1、<p>　　論文題目：基于Windows平臺的數(shù) 據(jù)恢復技術的應用研究</p><p><b>　　摘 要</b></p><p>　　在信息化時代,計算機數(shù)據(jù)安全已越來越為人們所關注,因此研究數(shù)據(jù)丟失的原因、預防辦法以及數(shù)據(jù)恢復技術越來越顯得重要。數(shù)據(jù)是計算機信息系統(tǒng)中最重要的資源,但由于各種原因造成數(shù)據(jù)丟失或損壞經常發(fā)生，其損失不可估計。因此,研究數(shù)據(jù)恢

2、復技術是十分必要的。</p><p>　　主要是對數(shù)據(jù)恢復進行了了解，詳細分析了硬盤的數(shù)據(jù)結構、u盤的數(shù)據(jù)存儲結構、文件的存儲原理以及文件系統(tǒng)（FAT、FAT32、NTFS）對文件的管理方式。從數(shù)據(jù)丟失和破壞的原因入手,重點介紹了數(shù)據(jù)恢復的方法中的軟恢復方法，并使用數(shù)據(jù)恢復軟件對丟失的數(shù)據(jù)進行了恢復及測試。</p><p>　　關鍵字：文件系統(tǒng)、數(shù)據(jù)恢復、數(shù)據(jù)安全</p>&

3、lt;p><b>　　引 言</b></p><p><b>　　一. 數(shù)據(jù)恢復背景</b></p><p>　　隨著硬盤容量的日益增加,長時間使用硬盤,硬盤有時難免會出錯,輕則數(shù)據(jù)丟失,重則整個硬盤報廢,造成不可預料的后果,對學習工作生活帶來巨大的困擾和不便。大家可能都遇到過這樣的事情，上午剛剛清空回收站，下午卻突然想起其中有個文件特別

4、重要，這可怎么辦？還有可能系統(tǒng)被病毒破壞，硬盤的分區(qū)表或文件分配表被病毒改寫，但是硬盤上存著你數(shù)年的心血。</p><p>　　那么在發(fā)生了數(shù)據(jù)丟失或損壞后應該如何應對呢？這時需要對數(shù)據(jù)進行恢復，而國內也有不少專門從事數(shù)據(jù)恢復業(yè)務的專業(yè)公司，不過硬盤發(fā)生文件被誤刪除、分區(qū)丟失和病毒破壞等情況，通過一些數(shù)據(jù)恢復軟件自己就能夠解決。所以有必要研究數(shù)據(jù)丟失的原因、預防辦法以及數(shù)據(jù)恢復技術，并就數(shù)據(jù)恢復這一新興行業(yè)的市場

5、狀況進行探究。 </p><p>　　二. 國內外現(xiàn)狀分析</p><p>　　目前國內在“軟恢復”方面研究與國外專業(yè)公司相比，還存在差距，其中覆蓋數(shù)據(jù)恢復技術差距最大，有資料顯示美國軍方可以恢復覆蓋6--9次的數(shù)據(jù)，俄羅斯可以恢復覆蓋3--4次的數(shù)據(jù)，IBM自己耗資6億美元的研究成果是可以恢復覆蓋2--3次的數(shù)據(jù). </p><p>　　在國外，很多計算機集成商和

6、存儲設備生產廠商都有從事數(shù)據(jù)修復服務的部門，專業(yè)的數(shù)據(jù)恢復公司也很多。以美國為例，截至2004年初，專業(yè)的數(shù)據(jù)恢復公司有400多家，一年的數(shù)據(jù)修復市場營業(yè)額為1．5億美金，且每年以50％的速度遞增。</p><p>　　在國內，早在1998年，北京中關村就出現(xiàn)了數(shù)據(jù)恢復的招牌。從真正意義上講，那時候的主要業(yè)務還是硬盤維修，在修好硬盤的電路后，把硬盤的數(shù)據(jù)及時備份出來。</p><p>　　

7、到2004年9月，數(shù)據(jù)恢復市場環(huán)境日漸成熟，市場容量大大增加。就在2004年前三季度，全國數(shù)據(jù)恢復公司如雨后春筍。截止2004年9月，全國從事數(shù)據(jù)恢復的公司已經超過100家。</p><p>　　最近，國家發(fā)展改革委員會批準了國家信息中心申請的《國家高技術產業(yè)化項目、自主可控的信息安全專業(yè)化服務項目、存儲介質數(shù)據(jù)恢復服務項目》，項目總投資2100萬元，國家補助資金800萬元I。</p><p&

8、gt;　　目前流行的支持格式化數(shù)據(jù)恢復的軟件有：DiskRecovery、EasyRecovery、File Rescue Plus，F(xiàn)ile Scavenger，F(xiàn)inalData、FinalRecovery，Handy Recovery、RecoverMyFiles、Search and Recover、易我數(shù)據(jù)恢復向導等。</p><p><b>　　目 錄</b></p>

9、<p>　　第一章 數(shù)據(jù)恢復的概述1</p><p>　　1.1 數(shù)據(jù)恢復的定義1</p><p>　　1.2 數(shù)據(jù)出現(xiàn)問題的癥狀1</p><p>　　1.3 數(shù)據(jù)丟失的原因2</p><p>　　1.4 數(shù)據(jù)恢復的一般原則2</p><p>　　第二章 存儲設備數(shù)據(jù)存儲結構分析3</

10、p><p>　　2.1 硬盤結構3</p><p>　　2.1.1 主引導記錄（MBR）3</p><p>　　2.1.2 分區(qū)信息結構4</p><p>　　2.2 U盤的數(shù)據(jù)存儲原理5</p><p>　　第三章 Windows文件系統(tǒng)結構分析6</p><p>　　3.1 FAT32

11、文件系統(tǒng)結構6</p><p>　　3.1.1 FAT32引導扇區(qū)6</p><p>　　3.1.2 磁盤文件分配表(FAT)6</p><p>　　3.1.3 目錄項結構7</p><p>　　3.2 NTFS文件系統(tǒng)結構7</p><p>　　3.2.1 NTFS引導扇區(qū)7</p><

12、;p>　　3.2.2 NTFS主控文件表與元數(shù)據(jù)文件8</p><p>　　第四章 數(shù)據(jù)的恢復10</p><p>　　4.1 分區(qū)表的恢復10</p><p>　　4.2 刪除文件及格式化數(shù)據(jù)的恢復12</p><p>　　4.3 格式化磁盤的恢復15</p><p>　　4.4 U盤常用數(shù)據(jù)恢復方法

13、19</p><p>　　4.4.1 硬件方法19</p><p>　　4.4.2 軟件方法19</p><p>　　第五章 數(shù)據(jù)恢復的測試21</p><p>　　5.1 刪除數(shù)據(jù)恢復的測試21</p><p>　　5.2 格式化磁盤恢復的測試22</p><p>　　5.3 U盤

14、格式化恢復測試23</p><p>　　5.4 分區(qū)表恢復測試25</p><p><b>　　第六章 總結27</b></p><p>　　6.1 心 得27</p><p>　　6.2 致 謝27</p><p><b>　　參考文獻28</b></p&

15、gt;<p>　　第一章 數(shù)據(jù)恢復的概述</p><p>　　1.1 數(shù)據(jù)恢復的定義</p><p>　　數(shù)據(jù)恢復就是把遭受破壞、或由硬件缺陷導致不可訪問，或不可獲得，或由于誤操作等各種原因導致丟失的數(shù)據(jù)還原成正常數(shù)據(jù)，即恢復至它本來的“面目”。</p><p>　　數(shù)據(jù)恢復不僅對已丟失的文件進行恢復，還可以恢復物理損傷的磁盤數(shù)據(jù)，也可以恢復不同操作系

16、統(tǒng)的數(shù)據(jù)。</p><p>　　概括地說，數(shù)據(jù)出現(xiàn)問題主要包括兩大類：邏輯問題和硬件問題，相對應的恢復也分別稱為軟恢復和硬恢復。</p><p>　　軟恢復：指的是一切可以通過“軟”的方式進行的恢復，不涉及硬件修理的數(shù)據(jù)恢復操作，其故障原因不是因硬件失效造成的，如病毒感染、誤格式化、誤分區(qū)、誤克隆、誤操作、網絡刪除、操作時斷電等，其現(xiàn)象一般表現(xiàn)為無操作系統(tǒng)，讀盤錯誤，文件找不到、打不開，報

17、告無分區(qū)、未格式化、密碼丟失、亂碼等。</p><p>　　涉及硬件修理、由硬件損壞或失效造成的數(shù)據(jù)恢復均歸入硬恢復，如磁道損壞、磁盤劃傷、磁組損壞、主電機損壞、電路板芯片及其他原器件燒壞等，硬件故障一般表現(xiàn)為不認盤，常有一種“喀嚓喀嚓”的磁組撞擊聲或電機不轉，或通電后無任何聲音等，兩者之間最明顯的特征或區(qū)別就是：存儲介質本身是否需要進行修理或更換部件才可以正常地進行訪問。</p><p>

18、;　　1.2 數(shù)據(jù)出現(xiàn)問題的癥狀</p><p><b>　　1．不能進入系統(tǒng)</b></p><p>　　有時雖然COMS檢測硬盤正常，但卻啟動不了系統(tǒng)，出現(xiàn)有提示死機、無提示死機，或者COMS能檢測到硬盤，但顯示的容量不正確。導致這種情況出現(xiàn)的原因有很多，如MBR損壞、DBR損壞、電源質量不合格、數(shù)據(jù)線斷線、COMS設置不正確、主從硬盤設置不正確、硬件沖突、COM

19、S電池電壓不足等。</p><p><b>　　2．磁盤出現(xiàn)壞道</b></p><p>　　硬盤的壞道分為邏輯壞道和物理壞道兩種。前者為軟性故障，通常是由軟件操作或用戶使用不當造成的，可用軟件修復；后者則是硬性故障，表明硬盤磁道產生物理損傷，只能通過更改硬盤分區(qū)或扇區(qū)的使用情況來解決。</p><p><b>　　3．分區(qū)丟失<

20、;/b></p><p>　　找不道分區(qū)，或進入不了分區(qū)。多由病毒引起。</p><p><b>　　4．文件丟失</b></p><p>　　誤刪除、誤格式化等。一般通過專用工具軟件進行恢復。</p><p><b>　　5．密碼丟失</b></p><p>　　主要

21、是指各類應用程序的管理口令或文檔保護密碼等。一般是通過暴力破解進行解決。</p><p>　　6．文檔打不開或顯示亂碼</p><p>　　通常通過糾錯、重新計算CRC校驗、改正不正確的格式等方法，解決上述問題。</p><p>　　1.3 數(shù)據(jù)丟失的原因</p><p>　　數(shù)據(jù)恢復是出現(xiàn)問題之后的一種補救措施，既不是預防措施，也不是備份。

22、數(shù)據(jù)出現(xiàn)丟失和破壞主要包括三個方面：</p><p><b>　　1. 惡意的程序</b></p><p>　　最常見的惡意程序就是病毒。有些時候惡意程序造成的數(shù)據(jù)丟失是極其嚴重的,比如CIH病毒（CIH病毒是一種能夠破壞計算機系統(tǒng)硬件的惡性病毒）造成的數(shù)據(jù)丟失就是非常棘手的問題。</p><p>　　2. 其他惡意的破壞</p>

23、<p>　　常見的是系統(tǒng)正常的刪除、移動、格式化等操作，還有的是網絡上的非法用戶對該系統(tǒng)進行任何操作。</p><p><b>　　3. 硬件失效</b></p><p>　　這也是數(shù)據(jù)丟失的最大原因之一。在磁盤失效、電壓不穩(wěn)造成自動重啟。硬件失效往往是最嚴重的問題,包括物理損壞、失竊等,將是數(shù)據(jù)恢復的可能性降為零。</p><p>

24、;　　1.4 數(shù)據(jù)恢復的一般原則</p><p>　　在討論數(shù)據(jù)恢復之前，我們要先明確什么是數(shù)據(jù)安全。數(shù)據(jù)安全實質上是一個過程，一個動態(tài)的過程。數(shù)據(jù)恢復技術作為數(shù)據(jù)安全的一個保護措施，在實施數(shù)據(jù)恢復的過程中，采用的方法，操作的每個步驟它也是動態(tài)變化的。因此，在進行數(shù)據(jù)恢復時一定要考慮周全，仔細操作，養(yǎng)成備份和記錄的好習慣。</p><p>　　一般來說，在實施數(shù)據(jù)恢復之前，應該首先完成以下

25、幾個步驟的工作：</p><p>　　備份當前還能工作的驅動器上的所有數(shù)據(jù)。</p><p>　　如果可能，應該備份所有扇區(qū)。</p><p>　　盡量將損壞的硬盤掛接到一個正常工作的同樣的系統(tǒng)環(huán)境下進行修復。</p><p>　　調查使用者，盡可能的弄清楚數(shù)據(jù)丟失的可能原因，以及在這之后使用者進行了那些嘗試性的補救工作。</p>

26、<p>　　仔細分析出現(xiàn)問題的原因，估計破壞的程度，指定恢復步驟。</p><p>　　把握一個原則，先恢復最有把握恢復的數(shù)據(jù)，恢復一點就要備份一點。</p><p>　　第二章 存儲設備數(shù)據(jù)存儲結構分析</p><p><b>　　2.1 硬盤結構</b></p><p>　　一個完整的硬盤數(shù)據(jù)應包括：主

27、引導記錄和分區(qū)信息結構（分區(qū)信息結構包括：DOS引導記錄、文件分配表、根目錄表和數(shù)據(jù)存儲區(qū)）兩大部分，不管什么操作系統(tǒng)，都有如表一結構：</p><p><b>　　表一 分區(qū)信息</b></p><p>　　2.1.1 主引導記錄（MBR）</p><p>　　主引導記錄簡稱MBR，它與操作系統(tǒng)無關，由分區(qū)軟件創(chuàng)建，所有硬盤的主引導記錄結構都

28、是相同的。MBR位于0磁頭0柱面1扇區(qū)，總共512字節(jié)，包括硬盤引導程序、分區(qū)表和引導區(qū)結束標志三個部分，如圖2-1所示</p><p>　　圖 2-1 主引導記錄MBR</p><p>　　1.硬盤引導程序(DBP)：硬盤引導程序位于MBR的首部，共計446個字節(jié)（偏移0-偏移1BDH），完成分區(qū)表的檢查以及確定哪個分區(qū)為可引導操作系統(tǒng)的活動分區(qū)，還能加密，詢問口令，多系統(tǒng)引導等。&l

29、t;/p><p>　　2.硬盤分區(qū)表(DPT)：硬盤分區(qū)表從主引導記錄的1BEH字節(jié)開始，共占用64個字節(jié)，包含四個分區(qū)表項。每個分區(qū)表項的長度為16個字節(jié)，它包含一個分區(qū)的引導標志、系統(tǒng)標志、起始和結尾的柱面號、扇區(qū)號、磁頭號以及本分區(qū)起始扇區(qū)數(shù)和本分區(qū)所占用的扇區(qū)數(shù)。</p><p>　　3.引導區(qū)結束標志：引導區(qū)結束標志位于主引導記錄的最后兩個字節(jié)（偏移1FEH-偏移1FFH），正常的引

30、導區(qū)結束標志應為“55 AA”(十六進制數(shù))。 </p><p>　　2.1.2 分區(qū)信息結構</p><p>　　1. DOS引導記錄（DBR）</p><p>　　DOS引導記錄簡稱DBR，位于硬盤的0磁頭1柱面1扇區(qū)，即位于活動分區(qū)的第一個邏輯扇區(qū)中，它包括：跳轉指令、廠商標志和DOS版本號、BPB、DOS引導程序、結束標志字。跳轉指令的任務是將程序指針指向D

31、OS引導程序，BPB是本分區(qū)參數(shù)記錄表，DOS引導程序的主要任務是：當MBR將系統(tǒng)控制權交給它時，判斷本分區(qū)根目錄前兩個文件是不是操作系統(tǒng)的引導文件(IO.SYS和MSDOS.SYS),如果存在，就讀入內存，結束標志字也是55 AA,如圖2-2所示：</p><p>　　圖 2-2 系統(tǒng)下邏輯C盤的引導扇區(qū)</p><p>　　在該部分記錄中,BPB記錄了磁盤的每扇區(qū)字節(jié)數(shù)、磁頭數(shù)、目錄

32、起始簇等重要信息。</p><p>　　2.文件分配表（FAT）</p><p>　　文件分配表FAT位于DBR之后，記錄著文件在硬盤上的具體分布情況。FAT是DOS、Windows 9X系統(tǒng)的文件分配格式，根據(jù)記錄項所占二進制位數(shù)的不同有FAT12(用于軟盤)、FAT16和FAT32(位數(shù)不同)等幾種不同的格式，對于其它的操作系統(tǒng)像Windows NT、OS/2、Unix、Novell等

33、都有自己的文件分配(管理)格式。由于FAT對于文件管理的重要性，F(xiàn)AT都有一個備份，即FAT2。由于FAT32支持更多的簇，因而可以支持更大容量的硬盤。文件分配表通常由操作系統(tǒng)自動進行管理，也可通過DEBUG或WinHex等專用工具軟件進行讀寫。由于FAT對于文件管理的重要性，如非必要，不要輕易地對它進行修改。</p><p>　　3.文件目錄表（FDT）</p><p>　　文件目錄表F

34、DT也稱為ROOT(根目錄區(qū))，位于第二FAT表之后，記錄著根目錄下的每個文件或子目錄的名稱、起始位置(簇號)、文件大小、文件屬性(子目錄也是一種文件)、創(chuàng)建日期等信息。</p><p>　　4.數(shù)據(jù)存儲區(qū)（DATA）</p><p>　　在FDT之后就是數(shù)據(jù)存儲區(qū)(DATA)。所有文件的實際內容都存放在各分區(qū)的數(shù)據(jù)區(qū)中，數(shù)據(jù)區(qū)占據(jù)著硬盤的絕大部分存儲空間。</p><

35、p>　　2.2 U盤的數(shù)據(jù)存儲原理</p><p>　　計算機把二進制數(shù)字信號轉為復合二進制數(shù)字信號（加入分配、核對、堆棧等指令）讀寫到USB芯片適配接口，通過芯片處理信號分配給EEPROM存儲芯片的相應地址存儲二進制數(shù)據(jù)，實現(xiàn)數(shù)據(jù)的存儲。EEPROM數(shù)據(jù)存儲器，其控制原理是電壓控制柵晶體管的電壓高低值，柵晶體管的結電容可長時間保存電壓值，斷電后能保存數(shù)據(jù)的原因主要就是在原有的晶體管上加入了浮動柵和選擇柵。

36、在源極和漏極之間電流單向傳導的半導體上形成貯存電子的浮動棚。浮動柵包裹著一層硅氧化膜絕緣體。它的上面是在源極和漏極之間控制傳輸電流的選擇/控制柵。數(shù)據(jù)是0或1取決于在硅底板上形成的浮動柵中是否有電子。有電子為0，無電子為1。閃存就如同其名字一樣，寫入前刪除數(shù)據(jù)進行初始化。具體說就是從所有浮動柵中導出電子。即將有所數(shù)據(jù)歸“1”。寫入時只有數(shù)據(jù)為0時才進行寫入，數(shù)據(jù)為1時則什么也不做。寫入0時，向柵電極和漏極施加高電壓，增加在源極和漏極之間

37、傳導的電子能量。這樣一來，電子就會突破氧化膜絕緣體，進入浮動柵。讀取數(shù)據(jù)時，向柵電極施加一定的電壓，電流大為1，電流小則定為0。浮動柵沒有電子的狀態(tài)（數(shù)據(jù)為1）下，在柵電極施加電壓的狀態(tài)時向漏極施加電壓，源</p><p>　　第三章 Windows文件系統(tǒng)結構分析</p><p>　　操作系統(tǒng)對文件的管理是通過文件系統(tǒng)（FAT，F(xiàn)AT32，NTFS）來實現(xiàn)的。文件分配表（FAT）是當使用

38、FAT或FAT32文件系統(tǒng)對特定卷進行格式化時，由Windows所創(chuàng)建的一種數(shù)據(jù)結構。Windows將與文件相關的信息存儲在FAT中，以供日后獲取文件時使用。FAT32是一種從文件分配表（FAT）文件系統(tǒng)派生而來的文件系統(tǒng)。與FAT相比，F(xiàn)AT32能夠支持更小的簇以及更大的容量，從而能夠在FAT32卷上更為高效的分配磁盤空間。NTFS文件系統(tǒng)是一種能夠提供各種FAT版本所不具備的性能、安全性、可靠性與先進特性的高級文件系統(tǒng)。</p

39、><p>　　3.1 FAT32文件系統(tǒng)結構</p><p>　　FAT32文件系統(tǒng)的總體結構如圖3-1所示：</p><p>　　圖3-1 FAT32文件系統(tǒng)的總體結構</p><p>　　3.1.1 FAT32引導扇區(qū)</p><p>　　引導扇區(qū)是系統(tǒng)格式化分區(qū)時產生的，其中偏移OOH～23H為BPB(BIOS參數(shù)塊

40、)參數(shù)信息，偏移24H～59H為FAT32區(qū)段，偏移1FEH～1FFH為結束標志，標志值為55H AAH，引導扇區(qū)在系統(tǒng)引導時起著非常重要的作用。</p><p>　　3.1.2 磁盤文件分配表(FAT)</p><p>　　簇是文件數(shù)據(jù)區(qū)被劃分成的具有大小相等的區(qū)域，用于磁盤文件的計量分配單位。一般情況下，F(xiàn)AT32中每簇為4KB(占8個扇區(qū))，F(xiàn)AT區(qū)中被邏輯地劃分成若干FAT項，每個

41、FAT項有一個邏輯編號，F(xiàn)AT32結構的分區(qū)中每個FAT項占用32位，這個編號對應了數(shù)據(jù)區(qū)中的若干個簇，系統(tǒng)在建立文件時，在目錄項目中的特定位置記錄了FAT鏈的首簇號，在FAT區(qū)中該簇對應的FAT項中記錄著該文件占用的下一個簇的簇號，在該簇對應的FAT項中又記錄著該文件占用的下一個簇的簇號，一直到下一個簇號對應的FAT項中的內容是特定的結束標志為止，這個FAT鏈才算結束。它以FSH FFH FFH 0FH開始FAT表。</p>

42、;<p>　　3.1.3 目錄項結構</p><p>　　根目錄區(qū)，又稱ROOT區(qū)，緊跟在FAT2的下一個扇區(qū)，長度為32個扇區(qū)，</p><p>　　根目錄區(qū)有許多目錄項(FDT，文件目錄表)，目錄項并非根目錄才有，在磁盤數(shù)據(jù)區(qū)中一樣有目錄項，根目錄是許多這樣的目錄項的集合。Windows系統(tǒng)采用的是樹型目錄結構，從某個盤符的根目錄開始。在FATl6系統(tǒng)下的文件名最多只能有

43、8個字符(或4個漢字)，擴展名最多有3個字符，不能用一些特殊字符等。</p><p>　　3.2 NTFS文件系統(tǒng)結構</p><p>　　當用戶將硬盤的一個分區(qū)格式化為NTFS分區(qū)時，就建立了一個NTFS文件</p><p>　　系統(tǒng)結構。NTFS文件系統(tǒng)與其他的文件系統(tǒng)一樣，也是以簇為基本單位對磁盤</p><p>　　空間和文件存儲進行

44、管理的。NTFS文件系統(tǒng)是以卷為基礎的，而卷是建立在磁</p><p>　　盤分區(qū)上的。NTFS分區(qū)也被稱為NTFS卷，卷上簇的大小，又稱為卷因子，簇</p><p>　　的大小一定是扇區(qū)大小的整數(shù)倍。</p><p>　　NTFS文件系統(tǒng)使用邏輯簇號(Logical Cluser Number，LCN)和虛擬蔟號</p><p>　　(xr

45、LraJal Cluster Number，VCN)對卷進行管理。其中LCN是對卷的第1個蔟到</p><p>　　最后一個簇進行編號。 </p><p>　　NTFS文件系統(tǒng)的總體結構如圖3-2所示：</p><p>　　圖3-2 NTFS文件系統(tǒng)總體結構</p><p>　　3.2.1 NTFS引導扇區(qū)</p><p&

46、gt;　　NTFS分區(qū)的引導扇區(qū)位于BOOT區(qū)的第一個扇區(qū)，它在操作系統(tǒng)的引導過程中起著非常重要的作用。它和FAT32分區(qū)的結構類似，也包括跳轉指令、OEM版本號、BPB參數(shù)、引導代碼和結束標志。BPB參數(shù)從偏移0BH開始，到偏移53H結束，記錄著NTFS分區(qū)的許多重要信息。</p><p>　　3.2.2 NTFS主控文件表與元數(shù)據(jù)文件</p><p>　　主控文件表(MFT)是NTFS

47、卷結構的核心，系統(tǒng)通過MFT確定文件在磁盤上的位置以及文件的所有屬性。MFT是一個與文件相對應的文件屬性數(shù)據(jù)庫，它記錄了除文件數(shù)據(jù)外的所有屬性，甚至有些小文件的數(shù)據(jù)本身也包含在MFT當中。在NTFS分區(qū)中每個文件至少有一個MFT。 主控文件表(MFT)由2部分構成，一部分是主控文件表頭，又稱為文件記錄頭；另一部分是屬性列表，MFT頭結構如圖2-7所示：</p><p>　　MFT是以文件數(shù)組來實現(xiàn)的，每個文件記錄

48、占用兩個扇區(qū)。文件記錄在MFT文件記錄數(shù)組中物理上是連續(xù)的，從0開始編號。為了保證其連續(xù)性，在它周圍保留了一個緩沖區(qū)，這個緩沖區(qū)的大小是可調的，可以是磁盤空間的12．5％、25％、37．5％或50％。每當其余空間變滿時，緩沖區(qū)大小減半。</p><p>　　圖3-3 MFT頭結構</p><p>　　MFT區(qū)域的前16個文件屬于系統(tǒng)文件，也稱為元文件，用來存放系統(tǒng)的元</p>

49、<p>　　數(shù)據(jù)。這16個文件是NTFS文件系統(tǒng)中唯一在MFT表中具有固定地址的文件。</p><p>　　元數(shù)據(jù)文件及它們的作用如圖3-4所示：</p><p>　　圖3-4 NTFS元數(shù)據(jù)文件列表</p><p><b>　　第四章 數(shù)據(jù)的恢復</b></p><p>　　4.1 分區(qū)表的恢復</p

50、><p>　　分區(qū)表損壞包括病毒破壞、人為誤刪除分區(qū)表、電腦“一鍵恢復”、誤GHOST、重新分區(qū)等等，總之是使分區(qū)表全部丟失或者部分丟失導致的原有的分區(qū)的數(shù)據(jù)在操作系統(tǒng)下不可見了。這種情況下的數(shù)據(jù)丟失通常是整個分區(qū)的數(shù)據(jù)丟失，需要恢復的也是整個分區(qū)的數(shù)據(jù)。硬盤維護工具Diskgenius、超級硬盤數(shù)據(jù)恢復軟件、WinHex、DiskMan等，</p><p>　　用超級硬盤數(shù)據(jù)恢復軟件可以很方

51、便的恢復出分區(qū)表受損后的數(shù)據(jù)，包括MBR破壞、重新分區(qū)、修復壞道后導致分區(qū)丟失、在DOS系統(tǒng)下面用 fdisk /mbr 命令清空分區(qū)表、在磁盤管理中刪除分區(qū)等等情況。分區(qū)恢復軟件一般掃描一個硬盤只需要3-8分鐘就能很徹底的把全部分區(qū)掃描出來，各個分區(qū)的卷標和根目錄文件數(shù)據(jù)都能正常顯示，掃描分區(qū)的速度超快，恢復的目錄效果也很好。我有一個160G的移動硬盤，這個移動硬盤原先有4個分區(qū)，包括了NTFS分區(qū)和FAT32分區(qū)，里面存放了影音圖片

52、和工作文件，因為無法安全移除移動硬盤，直接強制拔掉USB接口造成了分區(qū)丟失，全部分區(qū)都看不到了，硬盤也變成了未指派狀態(tài)。如圖4-1所示：</p><p><b>　　圖4-1丟失的分區(qū)</b></p><p>　　運行超級硬盤數(shù)據(jù)恢復軟件后，選第3項，恢復丟失的分區(qū)，點下一步后，如圖4-2所示：</p><p>　　圖4-2 “信息”對話框&l

53、t;/p><p>　　選擇這個移動硬盤“磁盤2”，再點下一步按鈕。如圖4-3所示</p><p>　　圖4-3選定要恢復的磁盤</p><p>　　到了下一步后，就開始進行文分區(qū)的掃描，如圖4-4所示：</p><p>　　圖4-4 正在掃描分區(qū)</p><p>　　等待幾分鐘掃描分區(qū)，就可以列出了丟失的這幾個分區(qū)，可以根

54、據(jù)卷標、大小等信息來確認，選擇要恢復的分區(qū)點擊下一步，如圖4-5所示：</p><p>　　圖4-5 找到的分區(qū)</p><p>　　4.2 刪除文件及格式化數(shù)據(jù)的恢復</p><p>　　在 Windows 操作系統(tǒng)下，通常刪除文件會把文件先放到回收站里，如果確定不用這些刪除后放到回收站里的文件了，就把回收站清空，這樣就把刪除后的這些文件的使用空間釋放出來。當然

55、也可以使用 Shift+Del 直接刪除文件并釋放空間而不通過回收站，還有一種情況是刪除的文件太大，操作系統(tǒng)提示不能放入回收站而直接刪除并釋放空間。 </p><p>　　文件恢復軟件有：DiskGenius, EasyRecovery, 慧龍數(shù)據(jù)恢復軟件, 易我數(shù)據(jù)恢復、D-Recovery Enterprise等，這里詳細介紹EasyRecovery軟件。</p><p>　　Eas

56、yRecovery軟件：EasyRecovery 不會向你的原始驅動器寫入任何東西，它主要是在內存中重建文件分區(qū)表，使數(shù)據(jù)能夠安全地傳輸?shù)狡渌寗悠髦?。你可以從被病毒破壞或是已經格式化的硬盤中恢復數(shù)據(jù)。其支持的數(shù)據(jù)恢復方案包括： </p><p>　　高級恢復： 使用高級選項自定義數(shù)據(jù)恢復</p><p>　　刪除恢復： 查找并恢復已刪除的文件</p><p>　　

57、格式化恢復：從格式化過的卷中恢復文件</p><p>　　Raw 恢復：忽略任何文件系統(tǒng)信息進行恢復</p><p>　　繼續(xù)恢復： 繼續(xù)一個保存的數(shù)據(jù)恢復進度</p><p>　　緊急啟動盤：創(chuàng)建自引導緊急啟動盤</p><p>　　G盤里的一個文件如圖4-8不小心被刪除了，這時想要找回來，回收站里也沒有了，那就試試利用恢復軟件來找回。&l

58、t;/p><p>　　圖4-8 G盤的一個文件</p><p>　　首先我們啟動EasyRecovery，點擊左邊列表中的“數(shù)據(jù)修復”如圖4-9所示：</p><p>　　圖4-9 啟動EasyRecovery軟件的界面</p><p>　　數(shù)據(jù)修復里面有六個選項，我們點擊“刪除恢復”，它的功能是查找并恢復已刪除的文件。選擇要恢復文件所在的分區(qū)，

59、這里選擇G盤，在默認情況下軟件對分區(qū)執(zhí)行的是快速掃描，如果你需要對分區(qū)進行更徹底的掃描，就在“完成掃描”前打上勾就行了，選擇好分區(qū)后，我們點擊“下一步”。如圖4-10所示：</p><p>　　圖4-10 選擇要恢復的文件所在的盤</p><p>　　點擊下一步后，軟件就開始掃描你剛才選擇的分區(qū)了。如圖4-11所示：</p><p>　　圖4-11正在掃描文件<

60、;/p><p>　　經過3～4分鐘的掃描后結果就出來了，你點擊左面文件夾列表中的文件夾，在右面列出來到文件就是能被恢復的刪除文件，選擇一個要恢復的文件，一定要把前面的勾打上，然后點擊“下一步”。如圖4-12所示：</p><p>　　圖4-12 選擇要恢復的文件</p><p>　　選擇好要恢復的文件后，我們就來選擇恢復目標的選項，一般我們都是恢復到本地驅動器里的，那么

61、我們點擊后面的“瀏覽“來選擇文件保存的目錄（選擇分區(qū)時請注意，保存的分區(qū)不能與文件原來所在的分區(qū)一樣，否則不能保存）。如圖4-13所示：</p><p>　　圖4-13 選擇要恢復文件的恢復目標</p><p>　　點擊下一步后，文件就開始恢復了，恢復完成后，彈出一個對話框顯示文件恢復摘要，你可以進行保存或者打印，然后點擊“完成”。一個文件就被恢復了。</p><p&g

62、t;　　4.3 格式化磁盤的恢復</p><p>　　計算機對存儲介質高級格式化以后才能存放數(shù)據(jù)，高級格式化對每個計算機用戶來說都能自己操作的。對于一個已經存放數(shù)據(jù)的存儲介質，如果計算機對它進行了高級格式化以后，這個存儲介質在計算機里就是一個空盤，里頭看不到格式化之前的任何數(shù)據(jù)了，這里順便提一下低級格式化，低級格式化使用專門的工具來操作的，低級格式化是對硬盤數(shù)據(jù)的徹底破壞，目前是沒有辦法可以恢復的，這就造成了數(shù)據(jù)

63、徹底丟失的現(xiàn)象。這里介紹EasyRecovery數(shù)據(jù)恢復軟件。</p><p>　　這是未被格式化之前的G盤，如圖4-14所示</p><p>　　圖4-14 本地磁盤里的文件</p><p>　　不小心給格式化后G盤里的文件全都不見了如圖4-15，這時我們還可以利用恢復軟件來恢復被格式掉的文件。</p><p>　　圖4-15 被格掉得G盤

64、</p><p>　　啟動easyRecover軟件如圖4-16所示：</p><p>　　圖4-16 easyRecover的界面</p><p>　　選擇恢復格式化分區(qū)，點擊下一步如圖4-17所示：</p><p>　　圖4-17 選擇恢復磁盤</p><p>　　選擇被格式化的分區(qū)G區(qū)，點擊下一步，進入掃描界面如

65、圖4-18所示：</p><p>　　圖4-18 正在掃描丟失的文件</p><p>　　掃描結束后，既可以看到有些文件，在這些文件中找到自己要恢復的文件點擊下一步如圖4-19所示：</p><p>　　圖4-19 掃描到的文件</p><p>　　把要恢復的文件選擇一個目的地，這個目的地不能是你要恢復的那個盤，選好后點擊下一步，如圖4-20

66、所示：</p><p>　　圖4-20 恢復目的地</p><p>　　4.4 U盤常用數(shù)據(jù)恢復方法</p><p>　　4.4.1 硬件方法</p><p>　　在所有的數(shù)據(jù)恢復方法中，硬件維修是最為有效的方法。因為硬件修復后，不需要再對U盤作軟件上的恢復，不需要進行其它處理，數(shù)據(jù)就可以原樣呈現(xiàn)，所以在條件許可的情況下，應優(yōu)先選用硬件修復的

67、方法完成U盤的數(shù)據(jù)恢復。</p><p><b>　　1.控制電路故障。</b></p><p>　　一般情況下，如果U盤燈不亮，大都是保險電感損壞或3.3V穩(wěn)壓塊損壞；如果提示“無法識別的設備”則多為摔碰引起的晶振損壞。以上兩種損壞占了U盤控制電路損壞的很大一部分，維修不是很繁瑣，只要更換相應的電子元件即可。這樣修復后的U盤，無需再進行其它恢復操作，可以原樣讀出其中

68、數(shù)據(jù)，而且U盤可以繼續(xù)正常使用。如果是主控芯片損壞，則電路基本沒有修復的價值了。</p><p><b>　　2.存儲芯片故障。</b></p><p>　　如為病毒等引起的損壞，如分區(qū)表損壞等，可用軟件修復方法進行修復。如果是存儲芯片本身的物理損壞，一般只能順序讀出芯片中能夠讀出的數(shù)據(jù)內容，加以處理后恢復。</p><p>　　4.4.2 軟

69、件方法</p><p>　　1.U盤分區(qū)信息損壞或分區(qū)格式不正確引起的損壞。</p><p>　　這種情況多數(shù)表現(xiàn)為U盤零字節(jié)或不能格式化等表象，除少部分是因為病毒入侵造成以外，絕大多數(shù)是因為不正常的插拔引起的。</p><p>　　對于病毒引起的損壞，只要用殺毒軟件殺毒即可。其它情況下，應使用數(shù)據(jù)恢復軟件采用多種恢復方式進行恢復，如誤刪除恢復、RAW 恢復、格式化

70、恢復等，以期恢復盡可能多的U盤數(shù)據(jù)。如果以上方式不能有效恢復出U盤中的數(shù)據(jù)，應該試用硬件的恢復方法，將U盤芯片取下，放到其它基板上進行恢復。</p><p>　　2.常用的U盤數(shù)據(jù)恢復軟件。</p><p>　　常用的U盤數(shù)據(jù)恢復軟件有以下幾種：</p><p>　　EasyRecovery：一款老牌的數(shù)據(jù)恢復軟件，以前主要用于硬盤的數(shù)據(jù)恢復過程中，現(xiàn)在也可以同樣應

71、用到U盤的數(shù)據(jù)恢復中，使用用法與硬盤的恢復方法相同，是推薦優(yōu)先選用的數(shù)據(jù)恢復軟件。</p><p>　　Smart Flash Recovery：一款免費的U盤數(shù)據(jù)恢復軟件。使用簡單，但恢復效果也較一般，可選的設定值較少。</p><p>　　Final Data：其主要特點是可以恢復出被徹底刪除的數(shù)據(jù)，使用界面簡潔，功能簡單，恢復效果一般，主要使用于簡易數(shù)據(jù)恢復中。</p>

72、<p>　　無論采用以上何種軟件恢復方式，在恢復過程中盡可能不要對恢復的U盤介質進行寫操作，防止加重介質的損壞程度或改變介質內容，給后續(xù)數(shù)據(jù)恢復帶來麻煩。</p><p>　　不論何種恢復方式，都不能保證數(shù)據(jù)的完全恢復。所以，在U盤的使用中，要防止U盤的劇烈撞擊，盡量正常彈出U盤后再從計算機上拔下U盤。另外，現(xiàn)在U盤病毒猖獗，還要作好U盤的病毒防范，有效防止病毒入侵，保護U盤的數(shù)據(jù)安全，減少數(shù)據(jù)丟失的

73、幾率。</p><p>　　第五章 數(shù)據(jù)恢復的測試</p><p>　　5.1 刪除數(shù)據(jù)恢復的測試</p><p>　　EasyRecovery軟件對刪除文件的搜索結果如圖5-1所示：</p><p>　　圖5-1 文件的搜索結果</p><p>　　選中所要的文件進行恢復，回復結果如圖5-2所示：</p>

74、<p>　　圖5-2 文件恢復結果</p><p>　　文件恢復后，還要打開文件，看看里面的內容是否可以顯示出來，有時恢復后會造成打不開或是亂碼的現(xiàn)象。如圖5-3是恢復后可打開后文件內容。</p><p>　　圖5-3 恢復文件的內容</p><p>　　5.2 格式化磁盤恢復的測試</p><p>　　上面第五章中G盤被格掉后

75、數(shù)據(jù)全丟，如圖5-4所示：</p><p>　　圖5-4 格式化后的G盤</p><p>　　用EasyRecovery軟件進行恢復其結果如圖5-5所示：</p><p>　　圖5-5 格式化恢復的結果</p><p>　　恢復到其他盤的數(shù)據(jù)顯示如圖5-6所示：</p><p>　　圖5-6G盤格式化恢復后的數(shù)據(jù)<

76、;/p><p>　　5.3 U盤格式化恢復測試</p><p>　　U盤是日常生活中常用的工具，常常對其進行寫入或刪除操作，有時可能一不小心就把數(shù)據(jù)給丟掉了。如圖5-7所示是U盤里的數(shù)據(jù)</p><p>　　圖5-7 U盤里的數(shù)據(jù)</p><p>　　運用軟件EasyRecovery來進行恢復其結果如圖5-8所示：</p><

77、p><b>　　圖5-8 恢復結果</b></p><p>　　恢復數(shù)據(jù)放在F盤上如圖5-9所示：</p><p>　　圖5-9 恢復后的數(shù)據(jù)</p><p>　　其中的文件也可以打開如圖5-10所示：</p><p>　　圖5-10 恢復后的某個文件</p><p>　　5.4 分區(qū)表恢復

78、測試</p><p>　　前一章對分區(qū)表進行了恢復，利用軟件用超級硬盤數(shù)據(jù)恢復軟件來恢復分區(qū)表，如圖5-11所示是丟失的分區(qū)。</p><p>　　圖5-11 丟失的分區(qū)</p><p>　　利用軟件來恢復分區(qū)，并找回分區(qū)里的數(shù)據(jù)如圖5-12所示：</p><p>　　圖5-12恢復的分區(qū)</p><p><b&

79、gt;　　第六章 總結</b></p><p><b>　　6.1 心 得</b></p><p>　　通過了對硬盤的數(shù)據(jù)結構、文件的存儲原理以及文件系統(tǒng)對文件的管理方式的學習，并通過常用數(shù)據(jù)恢復軟件對誤刪除和誤格式化的數(shù)據(jù)進行了恢復。了解到數(shù)據(jù)安全的重要性，知道數(shù)據(jù)恢復是出現(xiàn)問題之后的一種補救措施，既不是預防措施，也不是備份，在一些特殊情況下數(shù)據(jù)將很難被

80、恢復。如果是由硬件原因造成的數(shù)據(jù)丟失（如硬盤受到激烈振動而損壞），則要注意事故發(fā)生后的保護工作，不應繼續(xù)對該存儲器反復進行測試，否則，將造成永久性的損壞！平時除了要做好數(shù)據(jù)備份，還要根據(jù)實際情況制定一套詳盡的數(shù)據(jù)安全保護措施，減少數(shù)據(jù)災難發(fā)生的可能性，做到未雨綢繆，不必等到數(shù)據(jù)丟失后才來恢復。</p><p><b>　　建議：</b></p><p>　　1．保護很

81、重要：數(shù)據(jù)恢復畢竟不能保證100%的成功，所以大家首先應該在數(shù)據(jù)沒有出現(xiàn)問題的時候就有意識的對數(shù)據(jù)進行保護。</p><p>　　2．發(fā)現(xiàn)問題盡快處理：我們知道數(shù)據(jù)的丟失和損壞通常是可以找回的，只要這些數(shù)據(jù)的存儲位置沒有被其它數(shù)據(jù)覆寫。所以在發(fā)現(xiàn)數(shù)據(jù)丟失時，應該立即停止在存儲設備上進行任何操作。</p><p>　　3．自己恢復要慎重：如果數(shù)據(jù)損壞問題的情況不是非常嚴重，大家可能希望自己進

82、行數(shù)據(jù)恢復，例如只是不小心將文檔刪除掉。如果情況比較復雜，或者無法判定問題的起因及嚴重程度，請盡量不要自己執(zhí)行恢復。特別是存儲設備可能存在硬性損壞的時候，貿然操作很可能造成不可挽回的結果。</p><p><b>　　6.2 致 謝</b></p><p>　　經過一個多月的學習，畢業(yè)論文也即將寫完，畢業(yè)答辯也快要來臨，在這次的論文的寫作過程中，認識到了自己在數(shù)據(jù)恢復

83、這方面知之甚少。在寫的過程中有很多不懂得地方，首先要感謝zz老師對我的指導，zz老師每周都會為我們上指導課，為我們講解在寫的時候要注意哪些地方及要怎么去加深對知識的認知。zz老師淵博的知識、誠懇的為人，敬業(yè)的精神使我受益匪淺。這次畢業(yè)論文的寫作中也要感謝同學們對我的幫助，很多地方都少不了他們對我的指導。</p><p>　　同時也要感謝三年來辛苦教育我的老師們，在學校學習期間，每位老師都非常敬業(yè)，以自己的畢生所學

84、來教導我們。同時還有周邊同學所在學習和生活給予我?guī)椭?，借此謹表誠摯的謝意！ </p><p><b>　　參考文獻</b></p><p>　?。?］戴士劍，陳永紅.數(shù)據(jù)恢復技術：電子工業(yè)出版社，2003</p><p>　?。?］扈新波.數(shù)據(jù)恢復技術與典型實例：電子工業(yè)出版社，2007</p><p>　　［3］汪中夏