|
|
硬盘数据恢复学习心得
9 W3 E# F4 o5 L: m4 n8 w( _4 ~+ m% ? e
硬盘的数据结构+ W6 X$ H- K9 Q: F8 m& ~
2 m5 H8 V7 ?( N7 } 初买来一块硬盘,我们是没有办法使用的,你需要将它分区、格式化,然后再安装上操作系统才可以使用。一个完整硬盘的数据应该包括五部分:MBR,DBR,FAT,DIR区和DATA区。其中只有主引导扇区是唯一的,其它的随你的分区数的增加而增加。; P$ O# r4 T$ V) K0 c4 {0 @
+ V9 C) p! S+ f, O& l2 c; ?' \ 主引导扇区
2 Q8 b% ?; N& J" A# q! K$ {' w; |
" e; w, j" Y' c 主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。至于分区表,很多人都知道,以80H或00H为开始标志,以55AAH为结束标志,共64字节,位于本扇区的最末端。值得一提的是,MBR是由分区程序(例如DOS 的Fdisk.exe)产生的,不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一个,只要它能完成前述的任务即可,这也是为什么能实现多系统启动的原因(说句题外话:正因为这个主引导记录容易编写,所以才出现了很多的引导区病毒)。1 a' c& w) w7 R+ {: a( F
! @# C& Y7 u+ P( O+ B( t, Y
操作系统引导扇区+ a' j" @ p& w- ^
7 r U* u# u" J! `) W1 D
OBR(OS Boot Record)即操作系统引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件(例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把第一个文件读入内存,并把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(Allocation Unit,以前也称之为簇)的大小等重要参数。OBR由高级格式化程序产生(例如DOS 的Format.com)。
+ G" i# k* f- s3 _& j, s
% L2 g* w6 N' k7 b3 f2 [: w 文件分配表
; d/ D4 p: v* r+ q3 ~: W" C
: a& Q8 [& h/ B& j8 |# X4 y0 t FAT(File Allocation Table)即文件分配表,是DOS/Win9x系统的文件寻址系统,为了数据安全起见,FAT一般做两个,第二FAT为第一FAT的备份, FAT区紧接在OBR之后,其大小由本分区的大小及文件分配单元的大小决定。关于FAT的格式历来有很多选择,Microsoft 的DOS及Windows采用我们所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非没有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
$ a5 j7 K' v; D$ e8 [# {- _
% S' w5 _7 y, h# C7 K5 \ 目录区8 S+ _& D k1 n$ S& n6 `9 E: l n
2 u# o- d' w6 h4 i* O J1 M0 {
DIR是Directory即根目录区的简写,DIR紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置,FAT还必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件(目录)的起始单元(这是最重要的)、文件的属性等。定位文件位置时,操作系统根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置及大小了。在DIR区之后,才是真正意义上的数据存储区,即DATA区。
' Q' J3 [ A5 w/ j6 I1 L* Y
9 c* X$ @) D9 I/ f1 j$ w4 J 数据区" y: H; o4 ]0 ?% T
# t* b1 h+ G6 o1 O) Z; m: V2 Y DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。在这里有一点要说明的是,我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,至于分区硬盘,也只是修改了MBR和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破坏的话,也足够咱们那些所谓的DIY老鸟们忙乎半天了……需要提醒大家的是,如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏了,我们也可以使用磁盘编辑软件(比如DOS下的DiskEdit),只要找到一个文件的起始保存位置,那么这个文件就有可能被恢复(当然了,这需要一个前提,那就是你没有覆盖这个文件……)。: f# S9 }( x! }. C3 z8 M$ `' p: H
' @& F+ c6 h' C: F7 ^1 Z! s. G
硬盘分区方式2 h9 M( C$ J3 ^! s
! k% R) P8 k9 y. R" V# b8 `
我们平时说到的分区概念,不外乎三种:主分区、扩展分区和逻辑分区。主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。在主分区中,不允许再建立其它逻辑磁盘。# J, f3 a% U$ w
+ {/ ~% n3 _* R 扩展分区的概念则比较复杂,也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间,而每个分区的参数占据16个字节,故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据,如果说逻辑磁盘就是分区,则系统最多只允许4个逻辑磁盘。对于具体的应用,4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用,系统引入了扩展分区的概念。/ N9 p0 B) D. Y0 z
4 x4 [& U2 T1 T7 ^2 s% | 所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区(实际上也就是下一个逻辑磁盘)的起始位置,以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。
% Z' g! K: t% q
& j: O9 T; M0 o9 R5 G 需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢失。$ ?* Y- b5 X' G5 J, P7 w6 |( p7 f
2 \( w: j+ R \8 ~! M 既然要进行数据的恢复,当然数据的存储原理我们不能不提,在这之中,我们还要介绍一下数据的删除和硬盘的格式化相关问题……: [4 D1 v+ f$ y, J
\( B: @/ d N% B
文件的读取
3 A* q- B+ D' O1 U8 O6 h' }' t
& a5 |0 k1 j$ T, h: F( n7 R 操作系统从目录区中读取文件信息(包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号),我们这里假设第一个簇号是0023。
4 g( R; u4 B5 ^
9 e; Q) v$ N0 x/ c0 a8 E" S 操作系统从0023簇读取相应的数据,然后再找到FAT的0023单元,如果内容是文件结束标志(FF),则表示文件结束,否则内容保存数据的下一个簇的簇号,这样重复下去直到遇到文件结束标志。& w+ x. y. h: y3 M: K2 P
9 p; C( p0 W( i" o
文件的写入
- ?- {% w% T$ Y) m* J: |
; ^7 p; |/ ~6 |# S, M" n 当我们要保存文件时,操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信息,然后在Data区找到闲置空间将文件保存,并将Data区的第一个簇写入DIR区,其余的动作和上边的读取动作差不多。4 i9 X/ T3 J! @. t- ~
: @0 o, y8 f% A* |* Q( e) K1 q 文件的删除. K1 q1 N4 _( r" [
5 H: {9 M! q5 K/ m
Win9x的文件删除工作却是很简单的,简单到只在目录区做了一点小改动——将目录区的文件的第一个字符改成了E5就表示将改文件删除了.
$ g& C7 x; z. O- w3 A; P) @) x+ ]
硬盘数据丢失后的解决方法6 E$ h0 P5 X- B
8 {$ I" n+ ]% }- p
伴随着科技的发展,80G、120G的硬盘在普通用户中都已经屡见不鲜了。但是,在长时间的使用硬盘过程中,我们也在承受着硬盘随时也会出错的风险,轻则硬盘的数据丢失,重则整个硬盘报废,造成不可预料的严重后果。采用什么办法,才能解决常见的硬盘数据丢失故障,成为用户十分关注的问题。
8 t( K- h$ N. v/ `9 M; h* C2 \6 u0 Z5 A1 |# G8 ~ ]8 z
一、硬盘的分区2 @* J5 I% G6 S" G( L3 N
' X7 W( r+ G9 w# w/ b' n 对于你手中硬盘来说,首先要做的事情就是分区了。硬盘分区是否合理直接影响到以后工作的便利性和数据的安全性。我们最常见到的分区表错误也是硬盘的最严重错误,不同错误的程度会造成不同的损失。
N% s7 z# ]; K" E# c" m8 I5 _' T( S& Y) P# x
如果是没有活动分区标志,则计算机无法启动。但从软驱或光驱引导系统后可对硬盘读写,可通过fdisk重置活动分区可进行修复。如果是某一分区类型错误,会造成某一分区的丢失。' x2 I' _/ v+ m# y! @2 O
# R3 G3 W. G( H 在一般情况下完成硬盘分区之后,会形成3种形式的分区状态;即主分区、扩展分区和非DOS分区。2 W3 g3 |" Z! o2 a& }
4 M3 c! I A+ F6 w5 L2 M 在硬盘中非DOS分区(Non-DOS Partition)是一种特殊的分区形式,它是将硬盘中的一块区域单独划分出来供另一个操作系统使用,对主分区的操作系统来讲,是一块被划分出去的存储空间。只有非DOS分区内的操作系统才能管理和使用这块存储区域,非DOS分区之外的系统一般不能对该分区内的数据进行访问。
+ Y' U2 H4 K j& z) n5 D; @6 D: w5 Y1 O6 g- H5 U4 w4 x
主分区则是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。其中的主引导程序是它的一部分,此段程序主要用于检测硬盘分区的正确性,并确定活动分区,负责把引导权移交给活动分区的DOS或其他操作系统。此段程序损坏将无法从硬盘引导,但从软区或光区之后可对硬盘进行读写。
, o0 o& U% q; F( ?7 G( R' ]" n- y0 C
而扩展分区的概念是比较复杂的,极容易造成硬盘分区与逻辑磁盘混淆;分区表的第四个字节为分区类型值,正常的可引导的大于32mb的基本DOS分区值为06,扩展的DOS分区值是05。如果把基本DOS分区类型改为05则无法启动系统 ,并且不能读写其中的数据。
, r& [0 J) O) M. `1 x4 E) }: y; [0 S& E6 ^' Z# K
如果把06改为DOS不识别的类型如efh,则DOS认为改分区不是DOS分区,当然无法读写。很多人利用此类型值实现单个分区的加密技术,恢复原来的正确类型值即可使该分区恢复正常。
: o5 K, v0 e, h+ ^! v
, D' g; t# q* @& t7 q4 \; h- { 分区表中还有其他数据用于纪录分区的起始或终止地址。这些数据的损坏将造成该分区的混乱或丢失,一般无法进行手工恢复 ,唯一的方法是用备份的分区表数据重新写回,或者从其他的相同类型的并且分区状况相同的硬盘上获取分区表数据,否则将导致其他的数据永久的丢失。8 m( U# k9 g G: N2 A/ L
$ m6 W% D% _- w: R% g% W, u! B 由于微机操作系统仅仅为分区表保留了64个字节的存储空间,而每个分区的参数占据16个字节,所以操作系统只允许存储4个分区的数据,实际使用中4个逻辑磁盘往往不能满足需求;我们常说的硬盘扩展分区,它只是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。所以一旦单向链表发生问题,将会导致逻辑磁盘的丢失。! j5 x4 O: `- l2 x" n
) N/ [2 V+ z9 I5 s二、硬盘的数据恢复: j6 n L, f" X; y/ P
+ Z* ^# P' @% k4 y$ F* h( g% i1、误格式化硬盘数据的恢复; h: _" v: S8 x" E
4 F+ v6 y0 n1 U# k
在DOS高版本状态下,格式化操作format在缺省状态下都建立了用于恢复格式化的磁盘信息,实际上是把磁盘的DOS引导扇区,fat分区表及目录表的所有内容复制到了磁盘的最后几个扇区中(因为后面的扇区很少使用),而数据区中的内容根本没有改变 。3 o" [) @9 [( X, Y% w
, S# r# n; S8 D1 T% `
我们可以使用多种恢复软件来进行数据恢复,比如使用Easyrecovery 6.0和Finaldata2.0等恢复软件均可以方便的进行数据恢复工作。另外DOS还提供了一个miror命令用于纪录当前的磁盘的信息 ,供格式化或删除之后的恢复使用,此方法也比较有效。
8 L% a' c( T! t2 d9 h3 a3 C {' v. x: P* d5 u9 Y
2、零磁道损坏时的数据恢复& `* [6 O$ X2 N! T# d
$ G. S* R4 l3 v! V; L4 V 硬盘的主引导记录区(MBR)在零磁道上。MBR位于硬盘的0磁道0柱面1扇区,其中存放着硬盘主引导程序和硬盘分区表。在总共512字节的硬盘主引导记录扇区中,446字节属于硬盘主引导程序,64字节属于硬盘分区表(DPT),两个字节(55 AA)属于分区结束标志。
! ?& p) G) x! u1 `% g" ^
% D+ d7 Q3 N/ k; ^- } 零磁道一旦受损,将使硬盘的主引导程序和分区表信息将遭到严重破坏,从而导致硬盘无法引导。0磁道损坏判断:系统自检能通过,但启动时,分区丢失或者C盘目录丢失,硬盘出现有规律的“咯吱……咯吱”的寻道声,运行SCANDISK扫描C盘,在第一簇出现一个红色的“B”,或者Fdisk找不到硬盘、DM死在0磁道上,此种情况即为零磁道损坏!! `( J* m2 n; d/ X# @1 z
6 o1 h- N# J2 k
零磁道损坏属于硬盘坏道之一,只不过它的位置相当重要,因而一旦遭到破坏,就会产生严重的后果。通常0磁道损坏的硬盘,可以通过PCTOOLS的DE磁盘编辑器(或者DiskMan)来使0磁道偏转一个扇区,使用1磁道来作为0磁道来进行使用。而数据可以通过Easyrecovery来按照簇进行恢复,但数据无法保证得到完全恢复。
- K$ t4 x& I ]4 U! P, N0 A8 g
( ~4 c: W- \0 o2 j# f" h' m9 x3 X3、分区表损坏时的数据修复0 Z" ]. m5 W9 d3 d$ ]
6 l5 P+ ?$ k6 R- |3 l 硬盘主引导记录(MBR)所在的扇区也是病毒重点攻击的地方,通过破坏主引导扇区中的DPT(分区表),就可以轻易地损毁硬盘分区信息,达到对资料的破坏目的。分区表的损坏是分区数据被破坏而使记录被破坏的。所以,我们可以使用软件来进行修复。
1 _0 k) F" W- O' [, K/ }0 n
! j# m: ^, x; P$ K' d 硬盘分区之后,要备份一份分区表至软盘、光盘或者移动存储活动盘上。4 }$ n4 Y* n4 G j/ ?
. }& K1 Y" y+ U& \" y" U' w) b/ W 在恢复分区上,诺顿磁盘医生NDD是绝对强劲的工具,可以自动修复分区丢失等情况,可以抢救软盘坏区中的数据,强制读出后搬移到其它空白扇区。在硬盘崩溃或异常的情况下,它可能带给用户一线希望。在出现问题后,用启动盘启动,运行NDD,选择Diagnose进行诊断。NDD会对硬盘进行全面扫描,如果有错误的话,它会向你提示,然后只要根据软件的提示选择修复项目即可,而且这些问题它都能轻轻松松地解决。/ V- I) M4 ]8 i; [7 c5 U
: p4 w3 v, Q" a m9 M$ {
另外,大家非常熟悉的中文磁盘工具DiskMan,在重建分区表方面具有非常实用的功能,用于修复分区表的损坏是最合适不过了。$ n4 C" c" p4 ?+ h9 ]
- M0 z; a) |0 w( a4 y. ]$ r# T3 x 但是,重建分区表功能也不能保证做到百分之百的修复好硬盘分区表。所以要记住“求谁也不如求自己”还是保护好自己的硬盘吧!尽量避免硬件损伤以及病毒的侵扰,一定要做好分区表的备份工作;如果没有做备份的话,请下载一个DiskMan软件,然后在工具选项中,选备份分区表,一般默认是备份到软驱上面的。然后你应该把这个备份文件刻录到光盘或者是拷贝到U盘里,千万不要放到硬盘里,那样就与没有备份的效果一个样了!
4 b1 O- i1 z8 V3 s0 O! ?: T8 Y% S% j' L# v! d! \' t6 M# B
4、误删除之后的数据恢复
* a. r! {, J# w$ [3 r8 j7 T* G5 {! R( e, f7 G, L- o3 z6 N
在计算机使用过程中我们最常见的数据恢复就是误删除之后的数据恢复了,但是在这个时候一定要记住,千万不要再向该分区或者磁盘写入信息,因为刚被删除的文件被恢复的可能性最大。
3 e6 p; r1 Q+ ]7 ^9 \1 n1 G8 |, w1 W/ G7 z+ J% e9 b2 ^
实际上当用fdisk删除了硬盘分区之后,表面现象是硬盘中的数据已经完全消失,在未格式化时进入硬盘会显示无效驱动器。具体说就是删除了硬盘分区表信息,而硬盘中的任何分区的数据均没有改变。 |- x' A$ O6 [& c. k4 h
5 K% _" U) S3 f) }# V0 ^2 f 由于删除与格式化操作对于文件的数据部分实质上丝毫未动,这样,就给文件恢复提供了可能性。我们只要利用一些反删除软件(它的工作原理是通过对照分区表来恢复文件的),用户可以轻松地实现文件恢复的目的。/ ^* L" z5 J9 I {( y. f
) O" o" g7 i! G 同时误格式化同误删除的恢复方法在使用上基本上没有大的区别,只要没有用Fdisk命令打乱分区的硬盘(利用FDISK命令对于40G以内的硬盘进行分区,还是很方便实用的,所有启动盘上都有,主板支持也没有任何问题),要恢复的文件所占用的簇不被其他文件占用,这样,格式化前的大部分数据仍是可以被恢复的。
+ V, b( `$ W4 U+ j3 [% z6 Y' ?9 ^+ |
如果你的Windows系统还可以正常使用的话,那么最简单的恢复方法就是用Windows版EasyRecovery软件,它恢复硬盘数据的功能十分强大,不仅能恢复被从回收站清除的文件,而且还能恢复被格式化的FAT16、FAT32或NTFS分区中的文件。: X: X" S4 J0 |
8 B; ], w" Y# S9 @5 ]9 ~ 以上是当我们遇到硬盘数据丢失后如何进行数据恢复的几种方法,相信这些对于电脑高手的朋友们来说真的不算什么,但还有不少初学电脑的朋友在为硬盘数据的丢失而苦恼啊!通过今天简单介绍的几种方法,衷心希望能对大家有点帮助
9 F4 }4 z, F5 Z
* z% w( e# W2 |6 A. Y [2 P
5 v- y/ U3 x/ \* f8 {[ 本帖最后由 鬓微霜 于 2007-8-20 22:42 编辑 ] |
评分
-
1
查看全部评分
-
|
|小黑屋|手机版|Archiver|美河学习在线
( 浙网备33020302000026号 )
发表于 2007-8-13 07:12:15
发表于 2007-8-13 11:21:06
在线QQ客服2
添加客服QQ