科技创新论文分类导航

关于数据恢复的实践与分析

  • 投稿门徒
  • 更新时间2015-09-28
  • 阅读量558次
  • 评分4
  • 30
  • 0

卢灿举 刘 瀚 卢 峰

(合肥电子工程学院 安徽 合肥 230037)

摘 要:随着我国科学技术的飞速发展,在计算机安全与维护领域中,数据恢复技术得到了急速的提高。就目前的市场上来看,数据恢复技术具有广阔的发展前景,但是在数据恢复的实践中常常会遇到各种各样的问题,因此,文章对这些问题进行分析探讨,希望能够为广大业内人士提供一些可供参考的意见。

教育期刊网 http://www.jyqkw.com
关键词 :数据恢复;计算机安全;维护领域

中图分类号:TP311 文献标识码:A doi:10.3969/j.issn.1665-2272.2015.03.042

随着我国科学技术的不断发展,我国已经迈入了信息时代,无论是企业、单位还是个人,社会中对计算机的依赖性越来越大。但是在这一过程中,计算机系统存储数据的安全性令人堪忧,经常会出现数据丢失或损坏的现象,从而使得数据恢复就成为了业内人士最为关注的重要问题了。

1 数据以及数据恢复的相关阐述

1.1 数据的概念

人们通常所说的数据主要指的是,储存于计算机系统或计算机数据库系统中的各类文件、文字、数据、图形、图像以及声音等多种形式的多媒体数据软件文档资料以及文件等。此外,数据还包括了存放及管理以上信息的相关硬件的信息,如网络结构、计算机硬件以及网络服务等。

1.2 数据恢复的概念

在日常使用数据的过程中,难免会因为硬件本身存在的缺陷、人为操作失误等原因或受到外力冲撞等相关因素的影响,造成数据被破坏、流失或丢失。而数据恢复就是要把这些被破坏的数据和流失的数据恢复过来,并将其还原成正确的数据。

2 数据丢失的原因及数据恢复的原则

2.1 造成数据丢失的原因

造成数据丢失的原因是各种各样的,通过总结可以分为以下几种情况。第一,遭受恶意程序的破坏。这类破坏主要是网络中存在的恶意程序或病毒等造成的,其不仅对计算机网络造成一定的破坏性,而且会对数据产生严重的破坏。第二,其他恶意的破坏,例如拥有一定的权限,对储存在数据库的数据进行恶意的删除、修改、复制或者是格式化。第三,人为的操作失误,例如误格式化、误删除等。第四,应用软件或操作系统本身存在着错误,这些错误往往会给用户带来严重的影响。第五,硬件失效,例如磁盘失效,计算机由于电源不稳进行重启等,主要包括物理损坏、数据遭窃等,磁盘失效将数据恢复的可能性降到最低。第六,掉电。一旦数据库系统突然掉电,就会造成数据的丢失;此外由于掉电后数据库系统无法正常工作,这时便无法保证数据的同步,进而导致系统无法正常运行,造成磁盘数据的丢失。第七,内存溢出也会造成数据丢失。第八,加密和权限带来的危害。尽管在计算机系统中采用加密和权限等方式能够在很大程度上防止数据的丢失,但是一旦将密码遗忘后,那么将会带来非常严重的后果。第九,升级。软件升级也会带来稳定性和兼容性等问题,使得数据被迫消失。

2.2 数据恢复的原则

(1)备份数据。

(2)格式化主硬盘,并重新挂上损坏的硬盘, 然后改变CMOS设置。

(3)调查使用者。

(4)备份所有扇区,并克隆所有资料,确保按位进行。

(5)每个用户必须拥有一个比较好的扇区编辑工具。

(6)尽可能地得到更多的最后使用者的关键文件信息。

3 数据恢复的现状

计算机系统的数据恢复技术主要包括有硬件恢复、软件恢复以及数据库恢复等技术。虽然目前我国在软件恢复这方面取得了显著的成就,但是与欧美国家的专业领域依然有着很大程度上的差距。而对于硬件恢复与数据库恢复的理论,俄罗斯和美国研究得比较深,这主要是因为西方国家的科学技术比我国发达,它们掌握着重要的技术。从全球各个国家的现状来看,美国对于数据覆盖的恢复技术研究得比较透彻,它可以对已经覆盖过9次的数据进行恢复,俄罗斯可以对已经覆盖过4次的数据进行恢复。

4 文件删除后的恢复

众所周知,计算机的操作系统找到并读取文件数据主要是根据文件目录中的首地址和分配表中的地址。在对文件进行删除后,分配表中的地址也会随之消失,想要对文件进行恢复,就必须要找到文件目录中残存的信息。例如首地址、文件长度等信息。因此,首地址对于文件的恢复有着非常重要的作用。

4.1 文件首地址的恢复

(1)位于磁盘前端删除文件的恢复。在生活中,人们常常使用一个新的磁盘或者是格式化的磁盘,需要复制或创建一个文件的时候,数据一般都保存在磁盘的前端。这个时候文件的首地址的高位一般都是零,其值数比较小,也以最小单位把文件储存在一个数据区域内。当把这类文件给删除以后,首地址没有什么变化,数据恢复可以据此进行恢复,总体来说,位于磁盘前端的文件恢复时很容被完整的恢复。

(2)位于磁盘后端删除文件的恢复。一个使用时间比较旧的磁盘,在复制或创建文件的时候,一般是把数据储存到磁盘的后端,这个时候文件的首地址比较大,当这类文件被删除以后,首位地址也会作相应的变化。即使把数据储存在连续的区域内,也不能利用残留的首地址以及文件长度等信息对文件进行完整的恢复。这主要是因为首地址出现了错误,会导致文件不能被打开,即使被打开后,里面的数据信息也是不正确的。

在数据恢复的实践过程中,当首地址的高位成零后,可以使用磁盘编辑工具恢复首地址,现在一般都使用WinHex工具。在打开磁盘时候,需要对相同时间创建或修改文件目录项的首地址高位进行记录,并使用这些首地址高位去替代被删除文件项目中的首地址高位值,再用恢复数据的软件工具进行恢复,从而可能使文件得到恢复。这主要是因为同一时间保存的文件,其首地址的高位值几近相同,从而恢复可能性比较大。

(3)首地址与磁盘大小变化的关系。磁盘容量的大小和格式化每簇所占量都与首地址的高位清零有着紧密的关系,在默认的情况下,不同的计算机操作系统与容量磁盘格式化都有着不同的结果。FAT32文件系统中,其文件首地址的低位表示为16进制的FFFF。在Windows XP操作系统中,64MB大小的磁盘在格式化以后,其每簇的大小是512B,其低位可以表示32MB大小的空间地址。在同样的情况下,128MB的磁盘,前64MB的地址可以是文件首地址的低位,以此类推。因此,在FAT32文件的系统中,当文件首地址的低位表示最大的簇数的时候,文件目录项的首地址不会再为零,删除后的文件软件可以根据目录项目中的参数进行文件恢复。

4.2 文件被覆盖后的恢复

在计算机系统中,当FAT32文件系统中的文件被不小心删除以后,其文件的目录项还是有一部分残留会留在磁盘中。只不过计算机操作系统会认为这些残留的数据是不存在的,故而在用户进行复制或创建新的文件时,这部分残留的数据会被新的文件覆盖掉。无论数据是部分覆盖还是全部覆盖,只要在磁盘中还残留着被删除文件的目录项,那么就可以使用数据恢复软件根据残留的目录项恢复已经删除的数据或文件。通常而言,在数据恢复以后,这些被恢复的数据或文件以下几种表现情况:第一,当文件恢复以后,文件能够被正常打开,且内容与原来的文件数据一样。第二,在文件恢复以后,文件能够被正常打开,但是内容却与原来的内容不一致,甚至是其他文件内容,亦或是文件的内容有误。第三,在文件恢复以后,文件无法被正常打开。但是可以使用记事本等编辑的工具查看原文件中的一部分内容。第四,文件全部出错,完全无法被打开。

4.3 纯文本文件被覆盖后的恢复

(1)短文件被长文件覆盖。当短文件被删除后,新创建的长文件全部把短文件覆盖的情况下,短文件的首地址与长文件的首地址完全相同。因此,可以根据短文件目录项中的文件长度和首地址恢复出来的短文件内容就是长文件的前半部分,这时候显示长文件内容时正确的。

(2)长文件被短文件覆盖。长文件删除后,新创建或复制的短文件覆盖长文件时,长文件的前半部分被短文件覆盖,这时候的长文件与短文件的首地址相同,因此恢复软件可以根据文件目录项中的首地址和文件长度进行恢复,恢复出来的长文件前半部分的内容是短文件的内容,而显示的短文件的内容是正确的。

而格式文件被覆盖后的恢复,日常使用的文件一般都自己的格式,在打开文件的时候,应用程序会根据这些文件格式的参数来显示内容,当文件的头或尾不正确的时候,文件就不能被正常打开。其次,短文件被长文件覆盖,当短文件被长文件覆盖后,数据恢复软件会根据目录项中残留的数据对短文件进行恢复,这时候长文件能正常打开,但是短文件的内容由于被改变,并且缺少了文件到饿尾部,所以短文件不能被正常打开,即使被打开,多显示的内容也是不正确的。在这种情况下,短文件是不能被恢复的,但是恢复的文件名以及属性都与短文件相同,提示我们这些文件曾经存在过的。

4.4 当长文件被短文件覆盖

当长文件被短文件覆盖后,长文件的长度比短文件的长,因此,只有长文件的前半部分被短文件覆盖,长文件和短文件的目录项数据还残留在磁盘中,数据恢复软件会根据这些残留的数据对文件进行恢复,恢复的短文件能正常打开。但是恢复的长文件枪版部分是完整的短文件内容,所以打开文件的内容是短文件的内容。如果文件的长度比较长,那么被回复的长文件后部分的内容还是会残留在常温中,由于Word编辑器是根据文件头部和稳步参数显示的内容,所以后半部分的文件内容不能被显示出来,但如果使用类似于记事本等编辑软件,直接打开查看文件残留内容,值得特别注意的是在查看内容的时候,应该选择正确的字符集。

5 目录项被破坏的文件恢复

5.1 原始恢复

上述所提的文件的恢复方法是根据残留在磁盘上的参数,数据恢复软件对文件进行恢复的,但是在很多的情况下,这些残留在磁盘上的目录项也很有可能被损坏或覆盖,例如格式化后的磁盘,目录项中所有的内容、参数、数据等全部被清空。在这种情况下,数据恢复软件对磁盘扇区的数据直接进行扫描,查找出各种文件的标志,并把查找到的文件标志和后面的数据当作数据恢复的依据,这种方法就是原始恢复法。这样恢复的文件便失去了原有文件的部分内容,例如文件名、目录结构等,被恢复的文件会根据文件的类型自主创建一个新的文件夹进行储存。原始恢复法恢复出来的内容会受原始数据存放的影响,如果是对于连续存放的数据相对而言,被恢复的正确率就会比较大,但是如果文件没有文件头的时候,例如文本文件,数据恢复软件就不能对文件进行支持,对于这种情况就不能用原始恢复法进行恢复。

5.2 教育期刊网 http://www.jyqkw.com
关键词 的搜索

在原文件的目录结构发生变化、原文件的目录项被破坏或是原文件被覆盖的情况下,被删除的文件是不能完全由数据恢复软件完整恢复的。但是这些被删除文件的数据还有一大部分残留在磁盘或文件的尾部,这时就可以采用特定的编辑软件,通过使用教育期刊网 http://www.jyqkw.com
关键词 搜索的方式去搜索还残留在磁盘或文件中的数据。

6 结语

当前,在市面上出现的恢复数据的软件类型有多种类型,这些软件的出现不仅方便了用户的使用,其本身还具有高效性。由于文件的删除是不可逆的,故而用户在使用数据恢复软件的过程中,不能生搬硬套。因此在数据恢复实践中,需要用不同的方法使用数据恢复软件,从而产生不一样的效果。相信在不久的将来,我国数据恢复技术将会得到很大的提高,拉近与欧美之间的距离。

教育期刊网 http://www.jyqkw.com
参考文献

1 冯志刚,信太克规,王祈等.基于最小二乘支持向量机预测器的传感器故障检测与数据恢复[J].仪器仪表学报,2007(28)

2 孙烨辉,江立新,许长喜等.现代光通信中的CMOS时钟数据恢复[J].光电子·激光,2008(19)

(责任编辑 吴 汉)

同类热门论文
本类最新论文
本频道最新论文