蘇鵬沖

中國(guó)人民公安大學(xué) 北京 100038

0 引言

當(dāng)前政府部門辦公、事業(yè)單位運(yùn)轉(zhuǎn)、企業(yè)公司經(jīng)營(yíng)等等，都離不了計(jì)算機(jī)數(shù)據(jù)的支持，而計(jì)算機(jī)數(shù)據(jù)本身是易丟失或易破壞的，一方面是人為有意的操作，即不法人員為了隱瞞一些真相，特意對(duì)數(shù)據(jù)進(jìn)行刪除或格式化操作；另一方面是非有意的刪除，比如電腦突然死機(jī)或者斷電后的硬盤數(shù)據(jù)丟失、系統(tǒng)崩盤、誤操作導(dǎo)致U盤等介質(zhì)重要文件刪除等。因此探究數(shù)據(jù)丟失的原因，按原因不同而按不同方法恢復(fù)數(shù)據(jù)尤為必要。

1 數(shù)據(jù)恢復(fù)定義

數(shù)據(jù)恢復(fù)簡(jiǎn)單說(shuō)來(lái)就是找回丟失的數(shù)據(jù)，具體說(shuō)來(lái)是把遭受破壞、誤操作、或由硬件缺陷導(dǎo)致的丟失數(shù)據(jù)還原成正常數(shù)據(jù)。

造成數(shù)據(jù)丟失的原因多種多樣，比如硬件問(wèn)題中的磁頭損壞、電路故障、固件損壞，再比如軟件問(wèn)題中的操作系統(tǒng)或應(yīng)用軟件錯(cuò)誤、人為誤刪除以及惡意程序?qū)е碌奈募p壞或丟失等等。

數(shù)據(jù)搶救的對(duì)象一般是硬盤、U盤等數(shù)據(jù)載體，一切涉及硬件修理、由硬件損壞或失效造成的數(shù)據(jù)恢復(fù)均歸入硬恢復(fù)，如磁道損壞、磁盤劃傷、磁組損壞、主電機(jī)損壞、電路板芯片及其他原器件燒壞等，這就涉及到存儲(chǔ)介質(zhì)本身需要進(jìn)行修理或更換部件，才可以正常地進(jìn)行訪問(wèn)；而如病毒感染、誤格式化、誤分區(qū)、誤克隆、誤操作、網(wǎng)絡(luò)刪除、操作時(shí)斷電等，其現(xiàn)象一般表現(xiàn)為無(wú)操作系統(tǒng)，讀盤錯(cuò)誤，文件找不到、打不開(kāi)，報(bào)告無(wú)分區(qū)、未格式化、密碼丟失、亂碼等，這些問(wèn)題的解決歸于軟恢復(fù)，可以嘗試用恢復(fù)軟件等措施來(lái)進(jìn)行恢復(fù)。

2 數(shù)據(jù)恢復(fù)作用及意義

數(shù)據(jù)恢復(fù)是從計(jì)算機(jī)安全與計(jì)算機(jī)維護(hù)發(fā)展起來(lái)的新領(lǐng)域。隨著計(jì)算機(jī)在各個(gè)行業(yè)和各個(gè)領(lǐng)域大量廣泛的應(yīng)用，保護(hù)數(shù)據(jù)安全日益為人們所重視。在對(duì)計(jì)算機(jī)應(yīng)用的過(guò)程中，病毒的破壞、黑客的入侵、人為誤操作、人為惡意破壞、系統(tǒng)的不穩(wěn)定、存儲(chǔ)介質(zhì)的損壞等等原因，都有可能造成重要數(shù)據(jù)的丟失。一旦數(shù)據(jù)出現(xiàn)丟失或者損壞，都將給企業(yè)和個(gè)人帶來(lái)巨大的損失。對(duì)于企業(yè)，客戶資料、技術(shù)文件、財(cái)務(wù)帳務(wù)等數(shù)據(jù)的損毀，將會(huì)導(dǎo)致企業(yè)陷人困境甚至有倒閉的危險(xiǎn)；對(duì)于個(gè)人，數(shù)據(jù)已經(jīng)成為我們工作、生活中不可缺少的因素，數(shù)據(jù)的丟失會(huì)嚴(yán)重影響我們的工作、生活質(zhì)量。

網(wǎng)絡(luò)的普及帶動(dòng)了信息化的大發(fā)展，共享的信息化程度越高，數(shù)據(jù)備份和恢復(fù)措施就越重要。當(dāng)無(wú)法預(yù)計(jì)的各種事故或?yàn)?zāi)難導(dǎo)致數(shù)據(jù)丟失時(shí)，如果能夠及時(shí)采取數(shù)據(jù)恢復(fù)措施，保護(hù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的完整性與安全性，保證業(yè)務(wù)系統(tǒng)的連續(xù)可用，就可以將企業(yè)或組織的損失降低到最低，維護(hù)好自身利益。

3 數(shù)據(jù)恢復(fù)技術(shù)的分類

數(shù)據(jù)恢復(fù)技術(shù)可以歸納為四種主要的分類方法，按恢復(fù)對(duì)象類別來(lái)分，按數(shù)據(jù)的存儲(chǔ)介質(zhì)來(lái)分，按數(shù)據(jù)的文件的格式來(lái)分和按數(shù)據(jù)恢復(fù)的方法來(lái)分。

3.1 按恢復(fù)對(duì)象類別分類

硬恢復(fù)，指的是由于硬件故障所造成的數(shù)據(jù)丟失，如磁盤電路板損壞、盤體壞、磁道壞、磁盤片損壞、硬盤內(nèi)部系統(tǒng)區(qū)嚴(yán)重?fù)p壞等，這種情況幾乎都會(huì)出現(xiàn)系統(tǒng)不認(rèn)盤或認(rèn)盤困難等癥狀，恢復(fù)起來(lái)難度較大，必須更換或修復(fù)硬件才能達(dá)到恢復(fù)數(shù)據(jù)的方法，如果是內(nèi)部盤片數(shù)據(jù)區(qū)嚴(yán)重劃傷，會(huì)造成數(shù)據(jù)徹底丟失，而無(wú)法恢復(fù)數(shù)據(jù)。

軟恢復(fù)，指的是存儲(chǔ)系統(tǒng)，或操作系統(tǒng)，或文件系統(tǒng)層次上的數(shù)據(jù)丟失，這種丟失是多方面的，如系統(tǒng)軟硬件故障、死機(jī)、病毒破壞、黑客攻擊、木馬破壞、誤操作、陣列數(shù)據(jù)丟失等等。這方面的主要難點(diǎn)是：文件碎片的恢復(fù)處理、文檔修復(fù)和密碼恢復(fù)。

3.2 按數(shù)據(jù)的存儲(chǔ)介質(zhì)分類

數(shù)據(jù)恢復(fù)技術(shù)按數(shù)據(jù)的存儲(chǔ)介質(zhì)來(lái)分類，可以分為硬盤數(shù)據(jù)恢復(fù)技術(shù)、軟盤數(shù)據(jù)恢復(fù)技術(shù)、光盤數(shù)據(jù)恢復(fù)技術(shù)、U盤(閃存盤)數(shù)據(jù)恢復(fù)技術(shù)、數(shù)碼卡(如：SD、CF卡等)數(shù)據(jù)恢復(fù)技術(shù)、RAID(磁盤陣列)數(shù)據(jù)恢復(fù)技術(shù)和網(wǎng)絡(luò)存儲(chǔ)設(shè)備(DAS直接附加存儲(chǔ)、NAS網(wǎng)絡(luò)附加存儲(chǔ)、SAN存儲(chǔ)區(qū)域網(wǎng)絡(luò))數(shù)據(jù)恢復(fù)技術(shù)。

3.3 按數(shù)據(jù)的文件的格式分類

鑒于各種操作系統(tǒng)的文件格式不同，如Window的FTA與NTFS 兩種文件格式，Linux下的ext2等，數(shù)據(jù)恢復(fù)技術(shù)又可分為Windows下的數(shù)據(jù)恢復(fù)技術(shù)、UNIX/Linux系統(tǒng)的數(shù)據(jù)恢復(fù)技術(shù)、蘋果MAC OS系統(tǒng)的數(shù)據(jù)恢復(fù)技術(shù)及數(shù)據(jù)庫(kù)修復(fù)技術(shù)。

3.4 按數(shù)據(jù)恢復(fù)的方法分類

數(shù)據(jù)恢復(fù)技術(shù)按數(shù)據(jù)恢復(fù)的方法來(lái)分類, 可分為軟恢復(fù)法和物理恢復(fù)法。軟恢復(fù)法就是用數(shù)據(jù)恢復(fù)軟件或手工編寫恢復(fù)程序和更改某些設(shè)置達(dá)到恢復(fù)數(shù)據(jù)的方法。物理恢復(fù)法是數(shù)據(jù)的存儲(chǔ)介質(zhì)硬件發(fā)生了物理?yè)p壞，必須更換或修復(fù)硬件才能達(dá)到恢復(fù)數(shù)據(jù)的方法。

4 數(shù)據(jù)恢復(fù)的實(shí)施

分析數(shù)據(jù)丟失的眾多原因，我們遇到的最多的情況一是硬件方面的原因，二就是軟件方面的原因。因此在這里我們重點(diǎn)關(guān)注硬盤物理上的數(shù)據(jù)恢復(fù)和軟恢復(fù)。值得注意的是在真實(shí)恢復(fù)案例中，通常情況下不能直接進(jìn)行更改和恢復(fù)硬盤上的數(shù)據(jù)，需要通過(guò)硬盤復(fù)制機(jī)拷貝到副本硬盤，然后對(duì)副本硬盤進(jìn)行數(shù)據(jù)恢復(fù)。

4.1 硬盤物理上的數(shù)據(jù)恢復(fù)

(1) 硬盤壞扇區(qū)的數(shù)據(jù)恢復(fù)

硬盤被分割為以扇區(qū)為單位的存儲(chǔ)單元用于存儲(chǔ)數(shù)據(jù)。每個(gè)硬盤都有成千上萬(wàn)的扇區(qū)。壞扇區(qū)是計(jì)算機(jī)硬盤中無(wú)法寫入數(shù)據(jù)的地方，幾乎所有的硬盤都有一些壞扇區(qū)。硬盤在存儲(chǔ)數(shù)據(jù)前，其中的壞扇區(qū)被標(biāo)記出來(lái)以使計(jì)算機(jī)不在這些扇區(qū)中寫入數(shù)據(jù)?？赏ㄟ^(guò)運(yùn)行scandisk來(lái)達(dá)到這一目的。

通常壞扇區(qū)有兩種類型：一種為硬盤格式化時(shí)由于磨損而產(chǎn)生的軟損壞扇區(qū)?？蓪⑺鼈儤?biāo)記出來(lái)或通過(guò)再次格式化來(lái)修復(fù)；另一種是無(wú)法修復(fù)的物理?yè)p壞，數(shù)據(jù)將永遠(yuǎn)無(wú)法寫入到這種扇區(qū)中。如果硬盤中有這種壞扇區(qū)，這塊硬盤就快壽終正寢了。

為避免由于壞扇區(qū)而造成損失，應(yīng)該每隔6個(gè)月進(jìn)行一次檢測(cè)，同時(shí)，應(yīng)避免硬盤受到撞擊或顛簸。如果有一些連續(xù)的壞扇區(qū)，則表示硬盤磨損得已經(jīng)很厲害了。如果壞扇區(qū)的數(shù)量增長(zhǎng)很快，最好將全部數(shù)據(jù)備份并嚴(yán)密地監(jiān)視其工作情況，這也許是更換硬盤的時(shí)候了。

(2) 硬盤固件

所謂固件(Firmware)就是寫入EROM或EPROM(可編程只讀存儲(chǔ)器)中的程序，通俗的理解就是“固化的軟件”。更簡(jiǎn)單的說(shuō)，F(xiàn)irmware就是BIOS的軟件，但又與普通軟件完全不同，它是固化在集成電路內(nèi)部的程序代碼，負(fù)責(zé)控制和協(xié)調(diào)集成電路的功能。

硬盤的固件出現(xiàn)問(wèn)題后，通常情況下會(huì)有在計(jì)算機(jī)的BOIS里無(wú)法識(shí)別硬盤、無(wú)法識(shí)別硬盤的容量、型號(hào)出現(xiàn)亂碼等異常現(xiàn)象，而造成這些現(xiàn)象的原因是由于突然斷電及壞扇區(qū)等，造成固件信息的丟失或損壞，從而導(dǎo)致硬盤無(wú)法識(shí)別或誤認(rèn)，致使數(shù)據(jù)無(wú)法正常讀取。

固件本身主要是由相應(yīng)的模塊構(gòu)成的，這些模塊就是硬盤自身運(yùn)行的指令集，而模塊其實(shí)也是文件，并且有自身的結(jié)構(gòu)。固件如果出現(xiàn)故障，究其原因也就是某些模塊損壞了，硬盤的模塊有些是可以用相同型號(hào)硬盤中的同類模塊替換的，而有些則不能隨便替換。對(duì)于能夠替換的模塊，可以找到一塊跟故障盤同型號(hào)的好盤，將其相應(yīng)的模塊備份出來(lái)，然后寫入故障盤覆蓋掉損壞的模塊就可以了。對(duì)于不能替換的模塊，可以采用修復(fù)的方法將其修好。當(dāng)損壞的模塊被替換或修復(fù)后，故障盤的固件也就修好了。

在日常分析硬盤時(shí)，經(jīng)常會(huì)遇到經(jīng)過(guò)全盤加密的硬盤，或者由于固件損壞導(dǎo)致無(wú)法正常讀取的硬盤，這些都需要我們通過(guò)專業(yè)的設(shè)備進(jìn)行改寫固件。當(dāng)前中比較流行的設(shè)備有PC-3000、效率源、HRT等。

4.2 軟恢復(fù)

(1) 主引導(dǎo)記錄(MBR)的恢復(fù)

計(jì)算機(jī)在運(yùn)行中突然斷電、非法關(guān)機(jī)、非法重啟或者計(jì)算機(jī)病毒的破壞都會(huì)導(dǎo)致硬盤MBR扇區(qū)損壞。MBR扇區(qū)不隨操作系統(tǒng)的不同而改變，即不同的操作系統(tǒng)可能會(huì)存在相同的MBR，即使不同，MBR也不會(huì)夾帶操作系統(tǒng)的性質(zhì)，具有公共引導(dǎo)的特性。所以要恢復(fù)MBR扇區(qū)就變得很簡(jiǎn)單。

MBR扇區(qū)的結(jié)構(gòu)由引導(dǎo)代碼、分區(qū)表、結(jié)束標(biāo)志三部分組成，所以恢復(fù)MBR也就需要分別恢復(fù)這三個(gè)結(jié)構(gòu)。MBR的引導(dǎo)代碼具有公共引導(dǎo)特性，那么就可以到另一塊硬盤的MBR扇區(qū)中復(fù)制這段代碼，粘貼到該硬盤即可。

(2) 刪除文件的恢復(fù)

文件被刪除后，如果目錄項(xiàng)或$MFT記錄、文件數(shù)據(jù)區(qū)域都沒(méi)有被覆蓋的，可以通過(guò)恢復(fù)軟件在列表里直接恢復(fù)，在實(shí)際的應(yīng)用中一般結(jié)合文件過(guò)濾功能，快速定位出所有被刪除的文件。

文件被刪除后，目錄項(xiàng)或$MFT記錄已經(jīng)被覆蓋，但文件數(shù)據(jù)區(qū)域還完整存在介質(zhì)中的，也就是無(wú)法在數(shù)據(jù)恢復(fù)軟件的列表里直接查看到被刪除的文件名稱，這種情況下就需要熟悉特定類型文件的簽名特征，再根據(jù)文件的簽名特征進(jìn)行數(shù)據(jù)恢復(fù)，這個(gè)恢復(fù)過(guò)程可以通過(guò)很多方式進(jìn)行實(shí)現(xiàn)，包括第三方數(shù)據(jù)恢復(fù)軟件和專業(yè)的取證分析軟件，當(dāng)然也可以通過(guò)新建關(guān)鍵詞的方式進(jìn)行定位相關(guān)文件簽名特征的存儲(chǔ)位置，再進(jìn)行手工恢復(fù)文件。

另外，在某些情況下，有些數(shù)據(jù)是經(jīng)過(guò)特殊處理的，即經(jīng)過(guò)了特殊處理，變成了文件里內(nèi)嵌另外一種類型的文件。如一張jpg圖片嵌套在一個(gè)Word文件里，這就需要通過(guò)jpg的頭部簽名特征進(jìn)行搜索，找到該圖片文件。

(3) 分區(qū)格式化和分區(qū)丟失的恢復(fù)

在人們使用計(jì)算機(jī)的過(guò)程中，經(jīng)常會(huì)發(fā)生對(duì)分區(qū)進(jìn)行了誤格式化，或者由于人為惡意的破壞、意外斷電導(dǎo)致分區(qū)表無(wú)法讀取、指向錯(cuò)誤，主引導(dǎo)記錄的結(jié)束標(biāo)識(shí)符丟失等。無(wú)論是分區(qū)格式化或者分區(qū)丟失，我們通常都可以利用各種恢復(fù)工具進(jìn)行恢復(fù)數(shù)據(jù)，包括有FinalData、EasyRecovery等。

(4) 殘缺文件的修復(fù)

在數(shù)據(jù)恢復(fù)過(guò)程中，通過(guò)前面的恢復(fù)操作會(huì)得到大量被刪除的數(shù)據(jù)。一般情況下大部分可以正常訪問(wèn)，但也經(jīng)常遇到一些被恢復(fù)的文件是不能直接打開(kāi)的，即文件有些殘缺。另外，在計(jì)算機(jī)的使用過(guò)程中，由于病毒、誤操作、突然斷電、或各種用戶不知道的原因，導(dǎo)致文件或資料不能打開(kāi)是經(jīng)常遇到的情況。前面提到的各種殘缺數(shù)據(jù)，都需要用到文件的修復(fù)技術(shù)。文件的修復(fù)可以通過(guò)很多工具來(lái)完成，如前面提到的FinalData、EasyRecovery、Adroit圖片修復(fù)工具等等。

5 結(jié)束語(yǔ)

數(shù)據(jù)恢復(fù)可以說(shuō)是一個(gè)工程，對(duì)于復(fù)雜的數(shù)據(jù)損壞情況，要恢復(fù)不是靠一兩種軟件就可以完成，往往需要數(shù)個(gè)工程師依靠經(jīng)驗(yàn)，輔以各種硬件恢復(fù)工具、恢復(fù)軟件才能恢復(fù)好數(shù)據(jù)。數(shù)據(jù)恢復(fù)是出現(xiàn)問(wèn)題之后的一種補(bǔ)救措施，既不是預(yù)防措施，也不是備份，在一些特殊情況下數(shù)據(jù)將很難被恢復(fù)，如數(shù)據(jù)被覆蓋、低級(jí)格式化清零、磁盤盤片嚴(yán)重?fù)p傷等，所以最好的防治數(shù)據(jù)丟失、恢復(fù)數(shù)據(jù)的手段是對(duì)重要的數(shù)據(jù)養(yǎng)成備份的好習(xí)慣。

[1] 鮑麗春.計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)探討[J].報(bào)理論與實(shí)踐.2012.

[2] 李曉中,喬晗,馬鑫.數(shù)據(jù)恢復(fù)原理與實(shí)踐[M].北京：國(guó)防工業(yè)出版社.2011.

[3] 馬丁.數(shù)據(jù)恢復(fù)與取證[M].內(nèi)部資料.2011.

[4] 魯恩銘.硬盤格式化數(shù)據(jù)恢復(fù)技術(shù)研究與實(shí)現(xiàn)[D].四川師范大學(xué).2008.