论文部分内容阅读
摘 要:随着经济和科技的发展,信息技术在全球得以应用和发展。计算机技术的普及,极大的方便了人们的工作和生活,人们的很多事情都是通过计算机来完成的。并且计算机的保存空间大,可进行大量的信息储存,人们将大量的信息储存在计算机当中。但是,计算机是以数据的方式来而对文件进行存档的,如果数据发生破坏或者丢失,就会造成相当大的损失。因此,对数据的保存和恢复就显得极为重要。本文就计算机数据恢复技术的原理与实现方法进行简要的分析,并提出相应的解决方法,希望得到读者的认可和共鸣。
关键词:计算机;数据恢复技术;措施
计算机进行信息的记录,是将信息按照一定的规则排列组合在一起的物理符号。这物理符号存在的方式可以使数字、文字、图像等也可以是计算机代码。人们通过计算机进行信息的查询,保存等工作,大量的信息以代码的形式保存在计算机的储存卡中,进而形成了计算机数据。在计算机中,这些数据虽然得到了良好的保存,但是,经常会出现计算机损害,造成数据破坏和销毁等迹象。在数据丢失之后,通常可以通过操作系统、重新下载等方式进行信息找回,但是,这不仅浪费时间不说,还造成人们的经济和利益损失,并且浪费大龄的精力。但是,有一些数据的损失是不能进行有效的找回的。如稿件、客户信息等这些重要的数据一旦丢失并不是只花费一定的时间和精力就可以弥补的。这带给人们巨大的精神损失和经济损失。还有些资料的丢失给人们造成了难以承受的伤害。
一、引起数据丢失、破坏的原因
首先,网络具有开放性、匿名性和共享性等特点,这就对计算机网路的安全提出了挑战;其次,操作系统不完善不成熟,软件自身不安全,系统设计不全面,这都会留下网络的安全隐患;再者,防火墙的脆弱性以及受自然情况的影响和管理欠缺、规章制度不全面、安全水平低、操作事物等都会对计算机信息的安全产生影响。其中,计算机在传输信息和储存资料中扮演者重要的角色,在大大提高了工作效率和方便了人们生活的同时,一些新的问题也应用而生,列如:数据损害、计算机故障、黑客入侵等,都会给人们带来严重的损失和必不可少的利益的受损。这些也有可能是人为的因素,也有一部分是自然原因,机体设计不健全、管理不到位等,主要包括以下几方面的原因:
1.1计算机设计不完善
在计算机的研制当中,很有可能出现设计不合理或检查不完善等情况的发生,计算机的制作,是人为发明的,只要是认为研制的物品,都必不可少的存在一定的缺陷。有些数据的使用和书写错误,就会导致计算机研制的不健全。因此,在进行计算机系统研制的时,应该进行详细的检查,减少错误的发生。
1.2计算机硬件故障
计算机的硬件是整个系统的基础,由于使用不合理或者产品使用不佳等情况,计算机的硬件很有可能损坏。进而影响计算机的使用和数据的存储。例如:硬盘磁道的损坏、服务器停止等,都会加剧硬盘的损伤,今而毁坏电脑数据。
1.3计算阶软件故障
由于用户使用不当或者系统设计有缺陷等,不稳定因素的出现,计算机系统可能出现瘫痪等情况而无法使用。黑客入侵、偷盗、压力和紧张造成的误删等情况不可避免。
1.4逻辑错误
逻辑错误顾名思义,是因为逻辑上的损坏,一般的软件可以进行解决,常见的问题有:病毒感染、误操作、误删除、断电等事故的出现。会导致大量的数据损害和销毁、操作系统丢失,无法正常的使用和启动,找不到文件、文件打开后乱码或者文件打不开等情况的发生。
1.5破壞性病毒
病毒是系统可能遭受破坏的一个非常重要的问题,随着信息技术侧不断发展完善,病毒的产生也越来越频繁种类也越来越齐全。现在,病毒不仅仅能破坏软件系统,还可能破坏计算机的硬件系统。例如:CIH病毒就是一个典型的破坏计算机硬件系统的病毒。
1.5自然灾害
例如:火灾、雷电、洪水、地震、飓风等,这是人力几乎无法抗拒的原因。
二、计算机数据恢复的基本原理与恢复实现
下面通过比较常见计算机数据故障的数据恢复案例来详细探讨数据恢复的实现原理。
2.1文件误删除的数据恢复
2.1.1数据损坏的原因文件被误删除(彻底删除,而不是放到回收站里)。
2.1.2恢复前的分析
根据上述文件损坏的原因,对于操作系统来说,该文件是真的不存在了。那么这个文件还能够被恢复吗?答案是很有可能(不是绝对的)。文件可以恢复的理论依据是,我们在删除文件时,操作系统并不是将文件所在所有扇区,按字节全部清0,从而将文件数据彻底擦除。事实上系统仅仅改动了该文件在文件目录表(FDT)中和文件分配表(FAT)中的特定记录信息。具体的讲,系统将该文件目录项的首字节改为E5H,并将记录文件起始簇号高16位的2个字节清0,同时将该文件在文件分配表中的记录信息清0,从而完成了所谓的“文件删除”操作,而真正的文件信息,仍然保存在DATA区,“毫发未损”,只是系统找不到了。系统采用这种删除方式,是为了提高操作效率。从客观上,为我们实现数据恢复提供了可能性,只要能够找到文件所在的位置,并获得文件大小的数值,就很有可能将该文件恢复。
2.1.3文件恢复的实现原理
a.首先运行磁盘编辑软件winhex,打开文件所在的分区,进入文件目录表,找到该文件的目录项。由于其目录项的首字节改为E5H,则短文件名被破坏了,但是文件扩展名还在,记录下来,为文件恢复后确定其打开方式提供依据。
b.找到目录项里该文件起始簇号低16位CH,换算出文件起始扇区号K0。计算公式如下:
K0=DBR+2*FAT+(CH-2)*S/N
DBR为DOS引导记录区所占用的扇区数,
DBR=32,固定值;
FAT为文件分配表所占用的扇区数,
FAT=FAT2起始扇区号-FAT1起始扇区号;
S=512(扇区的字节数);N=簇因子值。
c.进到DATA(数据)区,移动到KO扇区选择“块首”,再移动到Km扇区,选择“块尾”,选择“复制”———“新文件”命令,输人文件名、扩展名(用原来的文件名),给出保存路径(必须保存在非当前分区),最后按“确定”,该文件恢复就完成了。
文件修复的重要前提文件要在连续的簇上存储,否则很难恢复;文件起始簇号高16位未使用,否则文件起始扇区信息丢失;文件所在的分区,在文件误删除后,一定不要写入新的数据,否则,新文件的信息可能会覆盖掉该文件的目录项信息。
说明:以上的修复过程,仅仅是为了说明文件误删除恢复的原理,在实际应用中,为了提高操作效率,建议使用数据恢复软件,如EasyRecory进行恢复,这类软件的操作原理和上述手工方式是一样,只不过自动程度高,处理速度快而已。
2.2分区误格式化的数据恢复
2.2.1数据损坏原因
对分区误格式化操作。
2.2.2恢复前的分析
根据上述数据损坏的原因,对于操作系统来说,该分区上所有数据都已被删除,变成了一个新的分区。而事实上系统只是将该分区根目录的FDT表和FAT表清0,但各级子目录下的FDT表中的记录信息还存在,因此,还是很有可能恢复分区子目录下的所有数据的。
结束语
由此可见,数据恢复软件也不是万能的,单纯依赖此类软件工具并不能解决数据恢复的所有问题,所以深入了解硬盘的逻辑结构和数据组织的相关原理,进而熟练掌握数据手工恢复操作的方法和技巧仍是十分必要的。
参考文献:
[1]陶永红.数据恢复实践与研究[J].信息网络安全42013.472-74
[2]王立鹏,王震.数据恢复在司法鉴定中的应用调查研究[J].科技信息102013,101-2.
[3]王宁,刘志军,Windows7系统注册表的取证分析[J]警察技术32013,3,39-41
[4]朱小龙,孙国梓.浏览器历史痕迹提取技术[J].信息网络安全12013.119-21.
关键词:计算机;数据恢复技术;措施
计算机进行信息的记录,是将信息按照一定的规则排列组合在一起的物理符号。这物理符号存在的方式可以使数字、文字、图像等也可以是计算机代码。人们通过计算机进行信息的查询,保存等工作,大量的信息以代码的形式保存在计算机的储存卡中,进而形成了计算机数据。在计算机中,这些数据虽然得到了良好的保存,但是,经常会出现计算机损害,造成数据破坏和销毁等迹象。在数据丢失之后,通常可以通过操作系统、重新下载等方式进行信息找回,但是,这不仅浪费时间不说,还造成人们的经济和利益损失,并且浪费大龄的精力。但是,有一些数据的损失是不能进行有效的找回的。如稿件、客户信息等这些重要的数据一旦丢失并不是只花费一定的时间和精力就可以弥补的。这带给人们巨大的精神损失和经济损失。还有些资料的丢失给人们造成了难以承受的伤害。
一、引起数据丢失、破坏的原因
首先,网络具有开放性、匿名性和共享性等特点,这就对计算机网路的安全提出了挑战;其次,操作系统不完善不成熟,软件自身不安全,系统设计不全面,这都会留下网络的安全隐患;再者,防火墙的脆弱性以及受自然情况的影响和管理欠缺、规章制度不全面、安全水平低、操作事物等都会对计算机信息的安全产生影响。其中,计算机在传输信息和储存资料中扮演者重要的角色,在大大提高了工作效率和方便了人们生活的同时,一些新的问题也应用而生,列如:数据损害、计算机故障、黑客入侵等,都会给人们带来严重的损失和必不可少的利益的受损。这些也有可能是人为的因素,也有一部分是自然原因,机体设计不健全、管理不到位等,主要包括以下几方面的原因:
1.1计算机设计不完善
在计算机的研制当中,很有可能出现设计不合理或检查不完善等情况的发生,计算机的制作,是人为发明的,只要是认为研制的物品,都必不可少的存在一定的缺陷。有些数据的使用和书写错误,就会导致计算机研制的不健全。因此,在进行计算机系统研制的时,应该进行详细的检查,减少错误的发生。
1.2计算机硬件故障
计算机的硬件是整个系统的基础,由于使用不合理或者产品使用不佳等情况,计算机的硬件很有可能损坏。进而影响计算机的使用和数据的存储。例如:硬盘磁道的损坏、服务器停止等,都会加剧硬盘的损伤,今而毁坏电脑数据。
1.3计算阶软件故障
由于用户使用不当或者系统设计有缺陷等,不稳定因素的出现,计算机系统可能出现瘫痪等情况而无法使用。黑客入侵、偷盗、压力和紧张造成的误删等情况不可避免。
1.4逻辑错误
逻辑错误顾名思义,是因为逻辑上的损坏,一般的软件可以进行解决,常见的问题有:病毒感染、误操作、误删除、断电等事故的出现。会导致大量的数据损害和销毁、操作系统丢失,无法正常的使用和启动,找不到文件、文件打开后乱码或者文件打不开等情况的发生。
1.5破壞性病毒
病毒是系统可能遭受破坏的一个非常重要的问题,随着信息技术侧不断发展完善,病毒的产生也越来越频繁种类也越来越齐全。现在,病毒不仅仅能破坏软件系统,还可能破坏计算机的硬件系统。例如:CIH病毒就是一个典型的破坏计算机硬件系统的病毒。
1.5自然灾害
例如:火灾、雷电、洪水、地震、飓风等,这是人力几乎无法抗拒的原因。
二、计算机数据恢复的基本原理与恢复实现
下面通过比较常见计算机数据故障的数据恢复案例来详细探讨数据恢复的实现原理。
2.1文件误删除的数据恢复
2.1.1数据损坏的原因文件被误删除(彻底删除,而不是放到回收站里)。
2.1.2恢复前的分析
根据上述文件损坏的原因,对于操作系统来说,该文件是真的不存在了。那么这个文件还能够被恢复吗?答案是很有可能(不是绝对的)。文件可以恢复的理论依据是,我们在删除文件时,操作系统并不是将文件所在所有扇区,按字节全部清0,从而将文件数据彻底擦除。事实上系统仅仅改动了该文件在文件目录表(FDT)中和文件分配表(FAT)中的特定记录信息。具体的讲,系统将该文件目录项的首字节改为E5H,并将记录文件起始簇号高16位的2个字节清0,同时将该文件在文件分配表中的记录信息清0,从而完成了所谓的“文件删除”操作,而真正的文件信息,仍然保存在DATA区,“毫发未损”,只是系统找不到了。系统采用这种删除方式,是为了提高操作效率。从客观上,为我们实现数据恢复提供了可能性,只要能够找到文件所在的位置,并获得文件大小的数值,就很有可能将该文件恢复。
2.1.3文件恢复的实现原理
a.首先运行磁盘编辑软件winhex,打开文件所在的分区,进入文件目录表,找到该文件的目录项。由于其目录项的首字节改为E5H,则短文件名被破坏了,但是文件扩展名还在,记录下来,为文件恢复后确定其打开方式提供依据。
b.找到目录项里该文件起始簇号低16位CH,换算出文件起始扇区号K0。计算公式如下:
K0=DBR+2*FAT+(CH-2)*S/N
DBR为DOS引导记录区所占用的扇区数,
DBR=32,固定值;
FAT为文件分配表所占用的扇区数,
FAT=FAT2起始扇区号-FAT1起始扇区号;
S=512(扇区的字节数);N=簇因子值。
c.进到DATA(数据)区,移动到KO扇区选择“块首”,再移动到Km扇区,选择“块尾”,选择“复制”———“新文件”命令,输人文件名、扩展名(用原来的文件名),给出保存路径(必须保存在非当前分区),最后按“确定”,该文件恢复就完成了。
文件修复的重要前提文件要在连续的簇上存储,否则很难恢复;文件起始簇号高16位未使用,否则文件起始扇区信息丢失;文件所在的分区,在文件误删除后,一定不要写入新的数据,否则,新文件的信息可能会覆盖掉该文件的目录项信息。
说明:以上的修复过程,仅仅是为了说明文件误删除恢复的原理,在实际应用中,为了提高操作效率,建议使用数据恢复软件,如EasyRecory进行恢复,这类软件的操作原理和上述手工方式是一样,只不过自动程度高,处理速度快而已。
2.2分区误格式化的数据恢复
2.2.1数据损坏原因
对分区误格式化操作。
2.2.2恢复前的分析
根据上述数据损坏的原因,对于操作系统来说,该分区上所有数据都已被删除,变成了一个新的分区。而事实上系统只是将该分区根目录的FDT表和FAT表清0,但各级子目录下的FDT表中的记录信息还存在,因此,还是很有可能恢复分区子目录下的所有数据的。
结束语
由此可见,数据恢复软件也不是万能的,单纯依赖此类软件工具并不能解决数据恢复的所有问题,所以深入了解硬盘的逻辑结构和数据组织的相关原理,进而熟练掌握数据手工恢复操作的方法和技巧仍是十分必要的。
参考文献:
[1]陶永红.数据恢复实践与研究[J].信息网络安全42013.472-74
[2]王立鹏,王震.数据恢复在司法鉴定中的应用调查研究[J].科技信息102013,101-2.
[3]王宁,刘志军,Windows7系统注册表的取证分析[J]警察技术32013,3,39-41
[4]朱小龙,孙国梓.浏览器历史痕迹提取技术[J].信息网络安全12013.119-21.