姚罡　張凈

【摘 要】《數據恢復技術》實驗教學目的在于使學生較全面地學習有關數據恢復的基本理論和實用技術，本文描述了該課程實驗內容設計的思路和實施方案，以幫助學生掌握數據恢復的基本方法，具有數據恢復的基本技能。

【關鍵詞】數據恢復；實驗教學

0 引言

《數據恢復技術》是一門理論與實踐相結合的課程，主要研究數據恢復理論和實際操作技術，分析硬盤的物理結構和邏輯結構、FAT32文件系統(tǒng)、NTFS文件系統(tǒng)及常見數據恢復軟件的應用，通過理解數據丟失的原因，討論解決問題的思路、方案，引導學生進入數據恢復技術領域。

實驗課程目的在于提高理論聯(lián)系實際、分析問題、解決問題的能力，培養(yǎng)獨立的動手能力和資料的查閱與使用技能。通過實驗，學生將了解硬盤物理、邏輯結構，學習FAT32、NTFS文件格式及數據恢復技術，理解磁盤陣列的相關知識。

1 實驗內容設計

實驗項目從數據為什么能恢復、如何恢復、具體數據恢復案例三個角度開展，通過情境導入可以激發(fā)學生的學習興趣和探索欲望，通過比對實驗，掌握操作系統(tǒng)格式化分區(qū)、文件刪除處理的原理，明確學習與實踐內容及目標，變被動學習為主動學習，實現學生的學習主體地位，并快速融入工程項目的場景之中，教學情境由典型工程任務、根據教學需求進行轉化而成，應有機地把教學目標、教學環(huán)境和教學過程結合起來。由于實驗條件限制，實驗項目重點在于數據恢復軟處理方面，開設了硬盤結構分析、FAT32文件系統(tǒng)分析與數據恢復、NTFS文件系統(tǒng)分析與數據恢復、RAID磁盤陣列4個主要實驗。

1.1 硬盤結構分析實驗

利用Winhex理解硬盤的物理結構、邏輯結構，分析啟動扇區(qū)的數據，掌握分區(qū)表工作原理，并利用手工方法對MBR、分區(qū)表等進行數據備份和恢復。

該實驗以Ghost誤還原備份系統(tǒng)為教學情景，經常有用戶在使用Ghost做系統(tǒng)還原的時候操作失誤，在還原分區(qū)過程中把原本只是系統(tǒng)盤C盤的鏡像文件還原到整個硬盤上，這樣一來，Ghost就將之前某一個分區(qū)的鏡像文件還原到整個硬盤上。操作完成后，整個硬盤就只剩一個分區(qū)，硬盤上的其他分區(qū)丟失，同時這些分區(qū)中的文件數據全部丟失。通過實際可能發(fā)生的誤操作為實驗背景，學生感覺到“這樣的問題我也遇到過”或“我以后可能也會遇到這樣的問題”，也就會認為實驗不是簡單的理論到實踐的轉化，而的確是技能儲備，有助于以后的學習和工作，激發(fā)學生學習興趣。

實驗在VMware虛擬機中實現，要求學生在實施Ghost誤操作前利用Winhex查看MBR、EBR中的分區(qū)表，記錄本分區(qū)的扇區(qū)數目，描述出分區(qū)鏈結構，了解硬盤邏輯結構。進行Ghost誤操作后利用利用Winhex打開磁盤，手工修復該錯誤，重建分區(qū)表，找到丟失的分區(qū)和數據。實驗思考問題環(huán)節(jié)要求學生思考不良商家是如何做到U盤擴容，假冒U盤大小的，讓學生根據本次實驗舉一反三，進行思維拓展。

1.2 FAT32文件系統(tǒng)分析與數據恢復實驗

該實驗要求學生了解Windows文件系統(tǒng)，了解FAT32文件系統(tǒng)的工作原理，FAT32文件系統(tǒng)的DBR、FAT表、數據區(qū)的邏輯關系，能夠運用工具恢復被刪除的文件，學會手動恢復被刪除的文件，分析恢復FAT32文件系統(tǒng)下誤格式化數據和誤刪除數據，掌握DBR的恢復方法。

該實驗以學生自帶的U盤誤格式化、U盤文件誤刪除為教學情景，實驗過程要求學生分析U盤格式化、文件刪除前后FAT表、FDT表項、DATA區(qū)的變化情況，并根據以上變化情況利用Winhex手動查找被刪除的文件并恢復，學生在實驗過程中可能會提出疑問，手工恢復效率是否太低，因而實驗中介紹了R_STUDIO批量恢復刪除文件的方法。

1.3 NTFS文件系統(tǒng)分析與數據恢復實驗

該實驗要求學生分析NTFS文件系統(tǒng)，研究與FAT32文件系統(tǒng)的不同，掌握NTFS文件系統(tǒng)刪除文件和格式化的原理，恢復NTFS文件系統(tǒng)誤格式化數據和誤刪除數據。并對實驗內容進行延伸，討論NTFS數據加密與證書密鑰備份問題。

NTFS文件系統(tǒng)一共由16個“元文件”構成，它們是在分區(qū)格式化時寫入到硬盤的隱藏文件（以”$”開頭），也是NTFS文件系統(tǒng)的系統(tǒng)信息。NTFS文件系統(tǒng)比FAT32要復雜得多，因而實驗原理部分詳細介紹了NTFS的16個元文件。在實驗過程中要求學生對主要的文件屬性、Run List進行重點學習。

NTFS文件系統(tǒng)中小文件、大文件的存儲方式不同，因而在實驗內容設定中選擇新建2個文件（TXT小文件、JPG大文件），要求查看這2個文件記錄，并了解相關屬性，首先理解80H屬性，說明各自的的屬性是常駐還是非常駐屬性，文件的大小等，并分析哪個文件存在RUN LIST，記錄該值，并分析其意義。根據以上分析，查看文件的數據部分。完成以上分析基礎上，再分析文件刪除后的變化，并利用Winhex恢復文件。實驗思考問題環(huán)節(jié)要求學生進行知識拓展，了解NTFS加密與證書及證書備份的關系。

1.4 RAID磁盤陣列實驗

本實驗要求學生理解磁盤陣列的相關知識， 把多塊獨立的硬盤（物理硬盤）按不同的方式組合起來形成一個硬盤組（邏輯硬盤），學會在Windows制作常用的磁盤陣列，學會利用mdadm在Linux制作常用的磁盤陣列。

該實驗以服務器工作高性能要求為教學情景，通過使用磁盤陣列，一是提高系統(tǒng)性能；二是提高系統(tǒng)可靠性；三是提高系統(tǒng)存儲容量。一般情況下對安全性要求較高，對IO性能要求較高和對系統(tǒng)存儲容量較大的情況下使用磁盤陣列。

實驗以驗證性內容為主， Windows系統(tǒng)中通過升級磁盤、創(chuàng)建簡單卷并擴展為跨區(qū)卷、創(chuàng)建和測試鏡像卷、實現創(chuàng)建RAID 5；Linux系統(tǒng)中利用mdadm實現常用的磁盤陣列，并分析不同的陳列技術有何不同。

2 結語

《數據恢復技術》課程實驗主要由以上介紹的四個實驗構成，要求學生實驗室完成，每個實驗內容都有擴展知識，要求學生運用所學的知識，查閱資料，解決問題，培養(yǎng)學生學習的自主性和創(chuàng)新能力。通過掌握硬盤基本結構，分析FAT32、NTFS文件系統(tǒng)及其不同及應用場合，了解日常工作學習中不常用的RAID技術，熟悉Winhex、R_STUDIO、VMware、Ghost等工具的使用。實驗中勤于動腦、動手，按老師要求完成相應的實驗內容；實驗后對本實驗進行回顧、結合教材和相關資料，完成實驗的擴展內容，進一步分析、思考和總結并整理寫出實驗報告。

【參考文獻】

[1]張京生，等.數據恢復方法及案例分析[M].電子工業(yè)出版社，2009，2.

[2]趙振洲.基于CDIO 模式的課程教學改革與實踐-以數據恢復課程為例[J].安徽電子信息職業(yè)技術學院學報，2016（04）.

[責任編輯：朱麗娜]endprint