劉宏斌

摘要 硬盤有價，數(shù)據(jù)無價。重要的數(shù)據(jù)被破壞，損失是無可估量的，數(shù)據(jù)恢復行業(yè)也就應運而生。在恢復丟失的數(shù)據(jù)，使用不同的方法有軟件的方式也有硬件的方式，從文件的損壞程度或等級，通過專業(yè)的數(shù)據(jù)恢復方法都可能將數(shù)據(jù)恢復出來。

關鍵詞 數(shù)據(jù)恢復；主引導扇區(qū)；引導扇區(qū)

中圖分類號TP3

文獻標識碼A

文章編號1674-6708（2016）156-0069-01

現(xiàn)在的社會基本上進入信息化時代，信息化是當今時代發(fā)展的必然趨勢，信息化可以代表著先進的生產(chǎn)力，在我們?nèi)粘Ｉ钪?，用?”和“1”的形式表示許多的事物。數(shù)字技術與我們的聯(lián)系越來越密切，當它失效的時候就會承擔非常大的危害。

數(shù)據(jù)恢復所涉及到的范圍非常的廣泛，恢復各類存儲設備的時候都要會各種各樣差別，還有數(shù)據(jù)被破壞和丟失原因也都不一樣。

磁盤存儲技術的基本原理我們先來了解一下，這樣可以幫助我們對數(shù)據(jù)恢復的工作更加了解。其原理：就是通過磁頭改變盤片上的極性的狀態(tài)來存儲和讀取對應的數(shù)據(jù)。計算機是用二進制的方法來表示存還是讀，打個比方：用計算機來描述一張空白的白紙和一個黑點，如果是用二進制來描述就用很多的“1”來描述一張紙和用一個“0”來表示一個黑點，而磁盤存儲技術是通過改變電流方向來進行實現(xiàn)的，加載正向電流時，磁力的方向就會向一邊走，而加載負電流時就會反方向走，這樣可以把紙和黑點描述的很清楚了。定義磁盤時，磁盤由磁道、扇區(qū)還有磁頭組成，而磁道是由許多磁性物質(zhì)任意排列組成，這些磁性物質(zhì)通過磁頭來改變磁力方向，從而達到讀和寫的目的了。通過上面的介紹，可以知道操作系統(tǒng)清除數(shù)據(jù)時，磁盤介質(zhì)上的磁性物質(zhì)沒有被清除掉。操作作只是把磁性物質(zhì)的順序重新排列了一下，但是還是對這些物質(zhì)作了對應刪除標記。也就是說我們作了刪除或格式化等操作時，并沒有真正的消失。我們只需要找到對應的標記和原來的排列記錄，就可以找到數(shù)據(jù)，這也為數(shù)據(jù)恢復提供了便利。

除了前面介紹的磁存儲設備，另外還有一些存儲設備的存儲原理也是和磁存儲的原理一樣，那么數(shù)據(jù)恢復原理和操作也是基本相同。因為這些存儲設備和磁盤設備都是用磁道、扇區(qū)、磁頭、簇來對數(shù)據(jù)的進行描述的。

了解了數(shù)據(jù)恢復的原理之后，應該知道一般的刪除文件（比如說放入回收站或是用DEL刪除文件或文件夾），是不能徹底的把文件上的數(shù)據(jù)清除。很多單位請專門做數(shù)據(jù)銷毀的公司使用特殊的設備和軟件來徹底的對他們的重要數(shù)據(jù)進行清除或銷毀。經(jīng)過很多的實踐，僅僅對存儲介質(zhì)進行反復寫入再刪除，或拆解，或其它的物理損壞，也有非常大的概率可以把數(shù)據(jù)恢復出來一部分。就比如說很多在壞的手機中就可能恢復出原來的手機中存放的照片。

很多原因?qū)е聰?shù)據(jù)出錯。比較多的是執(zhí)行錯誤的指令，比如刪除了不該刪文件、用相同的文件名把另一個有用文件給覆蓋了等。還有存儲設備自己的損壞也有大部分原因。還有是備份的時候的非下常中斷或是斷電，數(shù)據(jù)就會被損壞。在這些損的原因當中，刪除和格式化造成的文件數(shù)據(jù)丟失相對來說還是簡單一點的，我們知道，數(shù)據(jù)并沒有因為刪除或格式化面從存儲設備上丟除，使用數(shù)據(jù)恢復軟件（比如“WINHEX”）就可能的將數(shù)據(jù)找出來。而設備自身被損壞就會在恢復過程中的難度加大，還要準備一些必在的硬件配件，拿U盤來說，如果芯片沒有問題，而是電路板出現(xiàn)的故障，那么只需要把芯片取下來換一個好的電路板就可能修復故障了，這種損壞一般叫做物理性損壞，存儲設備出現(xiàn)的問題叫做“邏輯性損壞”。

把數(shù)據(jù)損壞的原因以及故障是怎么出現(xiàn)的，那么對恢復出來數(shù)據(jù)就有很大的幫助。數(shù)據(jù)恢復方式不一樣也會對存儲設備有不同的后果，選擇不對的恢復方法。，不但恢復不出來數(shù)據(jù)，還會把數(shù)據(jù)給弄亂了導致數(shù)據(jù)結(jié)構(gòu)損壞。在恢復時應該在現(xiàn)有信息的進行逐步的操作，根據(jù)現(xiàn)有的信息找出損壞的原因，找到解決的方法。

硬盤內(nèi)的數(shù)據(jù)由這幾個部分組成：MBR區(qū)、DBR區(qū)、FAT表區(qū)、DIR區(qū)和DATA區(qū)。

主引導扇區(qū)：

主引導扇區(qū)在硬盤的第0磁道0柱面1扇區(qū)，包括硬盤主引導記錄MBR和分區(qū)表DPT。主引導扇共有512個字節(jié)，引導程序從0開始到439結(jié)束占用440個字節(jié)，后面是WINDOWS磁盤簽名占用4個字節(jié)。分區(qū)表用了64個字節(jié)，是在IBEH以開始的。結(jié)束標志為55AAH，在扇區(qū)的最后位置占兩個字節(jié)。分區(qū)表中首個字節(jié)80H代表這個分區(qū)可以引導，而OOH不可以引導

操作作系統(tǒng)引導扇區(qū)

DBR （DOS Boot Record）即操作系統(tǒng)引導扇區(qū)，DBR在當前所在分區(qū)的開始扇區(qū)，比方說c盤的第一個開始扇區(qū)位置，就對應的c盤的DBR區(qū)，同樣其它盤的第一個開起始扇區(qū)地址，就是這個盤對應的DBR區(qū)。由引導程序和BPB組成。DBR在不同的分區(qū)，它類別也就不一樣。

FAT （File Allocation Table）即文件分配表，是DOS/ Win9x系統(tǒng)的文件尋址系統(tǒng)。 FAT表有兩個，第二FAT表是第一FAT表的備份，F(xiàn)AT表區(qū)緊跟在DBR及保留扇區(qū)之后，F(xiàn)ATI的具體地址偏移量為OEH -OFH的兩字節(jié)，F(xiàn)AT2跟在FATI之后，它的地址可以用FATI的所在扇區(qū)號加上每個FAT所占的扇區(qū)數(shù)獲得。而FAT16文件系統(tǒng)只有DBR區(qū)，占一個扇區(qū)，是沒有保留扇區(qū)的。

DIR是Directory即根目錄區(qū)，根目錄區(qū)在第二文件分配表（FAT2表）的后面一個扇區(qū)，如果只有FAT表還不可能確定這個文件在磁盤中的具體的位置，F(xiàn)AT表中的數(shù)據(jù)還要和DIR中的數(shù)據(jù)配合在一起才能夠確定文件的具體的位置。DIR中記錄每個文件和目錄的開始位置、文件的屬性等。確定位置時，系統(tǒng)會依據(jù)DIR中存放的開始位置，并結(jié)合FAT表中的數(shù)據(jù)就可以獲得文件具體位置和容量了。

DATA即DATA區(qū)，這個區(qū)在硬盤的空間有很大一部分，如果沒有主引導區(qū)、FAT區(qū)DIR區(qū)，它就能是代碼，不起任何作用。這時還要說明一下，磁盤格式化或分區(qū)格式化的時候，并不是把數(shù)據(jù)（DATA）區(qū)的數(shù)據(jù)真的給刪除，只是把FAT表給重新寫了一下，而其他的位置，如果僅僅對MBR和DBR修改一下參數(shù)，那么DATA區(qū)的數(shù)據(jù)沒有被改動，修復硬盤的數(shù)據(jù)最大可能就是因為這個。