当前位置: 首页 > 新闻中心 > 技术分享 > 【美亚技术分享】第三十四期:浅谈磁盘存储,get数据恢复技巧

【美亚技术分享】第三十四期:浅谈磁盘存储,get数据恢复技巧

【美亚技术分享】第三十四期:浅谈磁盘存储,get数据恢复技巧

编者按:本期技术分享感谢来自美亚柏科的技术专家。磁盘存储是一个日常的数据存储模式,但磁盘也经常由于各种各样的原因受损,今天就来听听专家分享磁盘存储中数据恢复的技巧。也欢迎更多的技术大咖和技术爱好者加入我们的讨论!


许多人经常头痛数据被误删或者格式化,认为数据就丢失了,无法恢复。事实上,上述简单操作后数据仍然存在于硬盘中,懂得数据恢复原理知识就可将消失的数据恢复回来。今天我们就针对数据恢复进行介绍。



数据恢复分类

1、物理恢复

存储介质未能正常工作的情况,如雷击、高压、高温等造成的电路故障,高温、振动碰撞等造成的机械故障,高温、振动碰撞、存储介质老化造成的物理坏磁道扇区故障,当然还有意外丢失损坏的固件BIOS信息等。恢复此类数据称为物理恢复,恢复难度系数较高。


图1-1 物理故障磁盘


2、逻辑恢复

存储介质能正常工作,与文件系统有关的故障,如删除、格式化、重新分区等。逻辑故障造成的数据丢失,大部分情况是可以通过恢复软件找回,恢复此类数据称为逻辑恢复,今天我们将对逻辑恢复进行详细的介绍。


磁盘数据存储的基本原理

磁盘格式多种多样,如MBR磁盘、GPT磁盘、动态磁盘等,不同的磁盘类型有不同的存储方式,我们今天主要通过分析常见的MBR磁盘来了解数据存储与恢复。



图2-1 不同的磁盘格式


1、MBR(Master Boot Record)

主引导记录,总共占512字节,通常也就是1个扇区的大小,位于磁盘的第一次扇区,标注了硬盘的分区数量、每个分区的大小,起始位置等信息。其重要作用就是负责从BIOS手中接过引导权,再去找可引导的分区,并将权限交给可引导的DBR(Dos Boot Record),完成系统启动。



图2-2 磁盘结构


2、MBR 结构

包含引导程序、windows磁盘签名、分区表、结束标志。


图2-3 MBR结构

(备注:每个分区表占用16个字节,而MBR中只留了64个字节,这也是为什么一块硬盘最多只能创建4个主分区的原因了,多了放不下。)


磁盘要存储数据还需划分各个分区,分区则由文件系统来支撑,我们就以常用的NTFS文件系统举例数据的存储原理。


3、NTFS分区结构

文件系统合理的将分区划分为目录文件分配区和数据区,其中目录文件尤其重要。MFT- 主文件表,包含16个元文件标志区域,记录着每一个文件的属性、大小、在数据区的位置、分配情况等。我们向硬盘里存放文件时,系统首先会在MFT内写上文件名称、大小,并根据数据区的空闲空间在MFT上继续写上文件内容在数据区的起始位置,然后开始向数据区写上文件的真实内容,一个文件存放操作才算完毕。我们可以将磁盘理解成一本书,MFT对应的就是书的章节目录,通过目录就可以快速定位数据。



图2-4 NTFS文件系统结构


数据恢复的原理

我们对数据存储有了基本的了解,再进一步解析数据恢复的原理(以常见的NTFS文件系统为例)


1、删除恢复

●Delete:文件移至回收站;



图 3-1 文件删除


●Shift+Delete:永久性删除文件,未移至回收站;



图 3-2 文件永久性删除


当我们需要删除一个文件时,系统只是在MFT内在该文件前面写一个删除标志,表示该文件已被删除,它所占用的空间已被“释放”, 其他文件可以使用该空间。所以,当我们删除文件后还是可以通过一定手段找回数据的。


注意:前提是没有新的文件写入,该文件所占用的空间没有被新内容覆盖。


我们以CR-2000恢复大师为例展示恢复效果:



图3-3 删除恢复效果


2、格式化恢复

●快速格式化

快速格式操作和删除相似,都只修改主文件表-MFT,不过格式化是将所有文件都加上删除标志,或干脆将文件分配表清空,系统将认为硬盘分区上不存在任何内容。格式化操作并没有对数据区做任何操作,目录空了,内容还在,借助数据恢复知识和相应工具,数据仍然能够被恢复回来。



图3-4 快速格式化


格式化恢复效果如下:



图3-5 格式化恢复效果


●格式化

格式化操作,是扫描分区的每一个扇区,并进行覆盖填充,该操作数据区的数据均被修改,故无法恢复。


图3-6 格式化


3、分区恢复

理解成重新划分磁盘空间,新建分区或删除分区的操作,通过修改或者清空分区表来实现,数据区的内容还保留着。根据数据信息特征,我们可以重新推算分区大小及位置,手工标注到分区信息表,“丢失”的分区就可恢复。



图3-7 删除、新建分区


分区恢复效果如下:



图3-8 分区恢复效果


4、签名恢复

又称文件特征恢复,在数据部分被覆盖的情况下,通过寻找剩余数据区内各种文件的文件特征,如标志性的文件头、文件尾,将有效的数据进行重组从而恢复文件。


e.g.标准格式的JPG图片匹配的文件头十六进制为:\xFF\xD8\xFF\xE0,尾部十六进制为:\xFF\xD9。



图3-9 JPG文件特征


签名恢复效果如下:



图3-10 签名恢复效果


小贴士

欢迎大家试用CR-2000恢复大师了解更多数据恢复信息,请拨打400-888-6688与技术支持联系获取!