找回密码
 注册

QQ登录

只需一步,快速开始

查看: 13485|回复: 88

[数据恢复] 硬盘数据恢复的基础知识

zeng3462074 发表于 2008-9-16 02:18:55 | 显示全部楼层 |阅读模式 来自 中国广东广州

马上注册,结交更多好友,享用更多功能。

您需要 登录 才可以下载或查看,没有帐号?注册

x
数据恢复的基础知识 数据恢复的基础知识:

说到数据恢复,我们就不能不提到的数据结构、文件的存储原理,甚至操作系统的启动流程,这些是你在恢复硬盘数据时不得不利用的基本知识。即使你不需要恢复数据,理解了这些知识(即使只是稍微多知道一些),对于你平时的电脑操作和应用也是很有帮助的。
我们就从硬盘的数据结构谈起吧……

硬盘数据结构

初买来一块硬盘,我们是没有办法使用的,你需要将它分区、格式化,然后再安装上操作系统才可以使用。就拿我们一直沿用到现在的Win9x/Me系列来说,我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT、DIR和Data等五部分(其中只有主引导扇区是唯一的,其它的随你的分区数的增加而增加)。

主引导扇区数据恢复

主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。至于分区表,很多人都知道,以80H或00H为开始标志,以55AAH为结束标志,共64字节,位于本扇区的最末端。值得一提的是,MBR是由分区程序(例如DOS 的Fdisk.exe)产生的,不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一个,只要它能完成前述的任务即可,这也是为什么能实现多系统启动的原因(说句题外话:正因为这个主引导记录容易编写,所以才出现了很多的引导区病毒)。

操作系统引导扇区数据恢复

OBR(OS Boot Record)即操作系统引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件(例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把第一个文件读入内存,并把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(Allocation Unit,以前也称之为簇)的大小等重要参数。OBR由高级格式化程序产生(例如DOS 的Format.com)。

文件分配表数据恢复

FAT(File Allocation Table)即文件分配表,是DOS/Win9x系统的文件寻址系统,为了数据安全起见,FAT一般做两个,第二FAT为第一FAT的备份, FAT区紧接在OBR之后,其大小由本分区的大小及文件分配单元的大小决定。关于FAT的格式历来有很多选择,Microsoft 的DOS及Windows采用我们所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非没有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。

目录区数据恢复

DIR是Directory即根目录区的简写,DIR紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置,FAT还必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件(目录)的起始单元(这是最重要的)、文件的属性等。定位文件位置时,操作系统根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置及大小了。在DIR区之后,才是真正意义上的数据存储区,即DATA区。

数据区数据恢复

DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。在这里有一点要说明的是,我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,至于分区硬盘,也只是修改了MBR和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破坏的话,也足够咱们那些所谓的DIY老鸟们忙乎半天了……需要提醒大家的是,如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏了,我们也可以使用磁盘编辑软件(比如DOS下的DiskEdit),只要找到一个文件的起始保存位置,那么这个文件就有可能被恢复(当然了,这需要一个前提,那就是你没有覆盖这个文件……)。

硬盘分区恢复

我们平时说到的分区概念,不外乎三种:主分区、扩展分区和逻辑分区。

主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。在主分区中,不允许再建立其它逻辑磁盘。

扩展分区的概念则比较复杂,也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间,而每个分区的参数占据16个字节,故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据,如果说逻辑磁盘就是分区,则系统最多只允许4个逻辑磁盘。对于具体的应用,4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用,系统引入了扩展分区的概念。

所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区(实际上也就是下一个逻辑磁盘)的起始位置,以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。

需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢失。

数据存储原理

既然要进行数据恢复,当然数据的存储原理我们不能不提,在这之中,我们还要介绍一下数据的删除和硬盘的格式化相关问题……

文件的数据读取与数据恢复

操作系统从目录区中读取文件信息(包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号),我们这里假设第一个簇号是0023。

操作系统从0023簇读取相应的数据,然后再找到FAT的0023单元,如果内容是文件结束标志(FF),则表示文件结束,否则内容保存数据的下一个簇的簇号,这样重复下去直到遇到文件结束标志。

文件的写入与数据恢复

当我们要保存文件时,操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信息,然后在Data区找到闲置空间将文件保存,并将Data区的第一个簇写入DIR区,其余的动作和上边的读取动作差不多。

文件的删除数据恢复

看了前面的文件的读取和写入,你可能没有往下边继续看的信心了,不过放心,Win9x的文件删除工作却是很简单的,简单到只在目录区做了一点小改动――将目录区的文件的第一个字符改成了E5就表示将改文件删除了。

Fdisk和Format的一点小说明

和文件的删除类似,利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘(假设你格式化的时候并没有使用/U这个无条件格式化参数)都没有将数据从DATA区直接删除,前者只是改变了分区表,后者只是修改了FAT表,因此被误删除的分区和误格式化的硬盘完全有可能恢复……
gncm521 发表于 2013-12-9 11:39:58 | 显示全部楼层 来自 中国河南三门峡

飘过了 谢谢了  学习中
回复 支持 反对

使用道具 举报

hsyseth 发表于 2013-8-7 03:45:08 | 显示全部楼层 来自 意大利
很全面啊,谢谢分享
回复 支持 反对

使用道具 举报

hjx2009 发表于 2013-7-27 20:40:12 | 显示全部楼层 来自 中国江苏苏州
看了很好,谢谢分享

回复 支持 反对

使用道具 举报

Xiaocai0721 发表于 2008-9-19 14:57:14 | 显示全部楼层 来自 中国山东青岛
太好了!很有收获!
回复 支持 反对

使用道具 举报

everyc 发表于 2008-11-4 18:24:00 | 显示全部楼层 来自 中国辽宁沈阳
真希望再论坛多看到这样的帖子。
回复 支持 反对

使用道具 举报

cwh00899 发表于 2008-11-9 18:36:49 | 显示全部楼层 来自 中国云南昆明
谢谢 楼主   不过还是希望吧    FAT   DIR  更详细给介绍哈嘛
回复 支持 反对

使用道具 举报

nconline 发表于 2009-4-11 09:57:36 | 显示全部楼层 来自 中国江苏南通
飘过了
回复 支持 反对

使用道具 举报

杨火 发表于 2009-9-13 17:19:41 | 显示全部楼层 来自 中国山东济南
这段文字很棒。。。。。

收录了。。。。。。。。。。。。。。。。。。。。


我的老师以前讲过。。。。
回复 支持 反对

使用道具 举报

zycidjl 发表于 2009-9-24 09:43:24 | 显示全部楼层 来自 中国四川成都
很好,有收获。谢谢。
回复 支持 反对

使用道具 举报

tianwaifeishi 发表于 2009-9-25 20:11:19 | 显示全部楼层 来自 中国河南濮阳
很好,谢谢分享
回复 支持 反对

使用道具 举报

luohao2010 发表于 2009-10-1 13:08:48 | 显示全部楼层 来自 中国广东广州
我一定要把这个学会啊  但苦于找不到好的师傅
回复 支持 反对

使用道具 举报

nihaoma65432100 发表于 2009-10-30 08:33:14 | 显示全部楼层 来自 中国上海
一定要学会
回复 支持 反对

使用道具 举报

nihaoma65432100 发表于 2009-10-30 08:34:20 | 显示全部楼层 来自 中国上海
找不到师傅啊!有谁愿意带徒
回复 支持 反对

使用道具 举报

zhangke8202 发表于 2009-10-30 16:18:10 | 显示全部楼层 来自 中国山东济南
比较详细啊
回复 支持 反对

使用道具 举报

随风2008 发表于 2009-12-4 11:45:05 | 显示全部楼层 来自 中国四川乐山
很好,值得学习!
回复 支持 反对

使用道具 举报

xiaodaliang121 发表于 2009-12-4 20:40:55 | 显示全部楼层 来自 中国湖南长沙
好东西 收藏了
回复 支持 反对

使用道具 举报

     
朱永华 发表于 2009-12-5 15:59:50 | 显示全部楼层 来自 中国浙江金华
真不错了,谢谢分享。
回复 支持 反对

使用道具 举报

hbliuwu 发表于 2010-1-4 09:06:30 | 显示全部楼层 来自 中国广东深圳
说得好  向这样的帖子以后多多发表点啊
回复 支持 反对

使用道具 举报

szx2973 发表于 2010-2-4 07:55:49 | 显示全部楼层 来自 中国吉林延边朝鲜族自治州
太好了 希望看到更多这样的好文章
回复 支持 反对

使用道具 举报

dejun_111 发表于 2010-2-4 10:01:31 | 显示全部楼层 来自 中国四川成都
学习学习
回复 支持 反对

使用道具 举报

immunocyte 发表于 2010-2-4 10:06:34 | 显示全部楼层 来自 中国广东深圳
不错的基础知识,谢谢!
回复 支持 反对

使用道具 举报

徐州楚韵 发表于 2010-2-5 10:42:28 | 显示全部楼层 来自 中国江苏徐州
又复习了一遍
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表