数据恢复技术原理与应用

数据恢复技术原理与应用数据恢复技术原理与应用1.1.数据恢复的概念与范畴数据恢复的概念与范畴1.1.数据恢复的概念与范畴数据恢复的概念与范畴2.2.数据恢复的基本原理数据恢复的基本原理2.2.数据恢复的基本原理数据恢复的基本原理3.3.数据恢复与信息安全的关系数据恢复与信息安全的关系3.3.数据恢复与信息安全的关系数据恢复与信息安全的关系4.4.数据恢复与取证的关系数据恢复与取证的关系4.4.数据恢复与取证的关系数据恢复与取证的关系6.6.数据恢复技术的应用领域数据恢复技术的应用领域6.6.数据恢复技术的应用领域数据恢复技术的应用领域5.5.数据恢复技术研究现状数据恢复技术研究现状5.5.数据恢复技术研究现状数据恢复技术研究现状数据恢复，简单的说，就是对一切计算机相关存储设备中丢失的数据进行恢复，这些数据包括所有存储在存储设备中的数据—系统数据与用户数据。数据恢复，简单的说，就是对一切计算机相关存储设备中丢失的数据进行恢复，这些数据包括所有存储在存储设备中的数据—系统数据与用户数据。1.1.数据恢复的概念与范畴数据恢复的概念与范畴1.1.数据恢复的概念与范畴数据恢复的概念与范畴图1备份/恢复（Backup/Restore）图1备份/恢复（Backup/Restore）服务器（群集）其他备份（如磁带机等）备份服务器本地/远程备份服务提供者备份/恢复（backup/restore）这里所说的系统，包括当前所有的操作系统，除主流的Microsoft、UNIX、LINUX系列外，也包括MAC系列、各种数字设备/仪表使用的嵌入式系列以及实时操作系统等。这里所说的存储设备，指的是断电后能保持的存储设备，一般并不包括易失性的存储设备，如内存等。这里所说的系统，包括当前所有的操作系统，除主流的Microsoft、UNIX、LINUX系列外，也包括MAC系列、各种数字设备/仪表使用的嵌入式系列以及实时操作系统等。这里所说的存储设备，指的是断电后能保持的存储设备，一般并不包括易失性的存储设备，如内存等。这些存储设备，除了直接与计算机相连的，也包括其他所有同源的与计算机相关的存储设备。也就是说，数据恢复的工作对象涵盖了从最早的软盘，到后来逐渐发展起来的各种硬盘、光盘、移动存储设备，数码存储设备（各种存储卡），MP3、录音笔、数码相机、工控设备、嵌入式设备、PDA、手机等等，以及它们在各种系统下的各种组合，如工作在不同操作系统下的RAID、NAS、SAN等等，在数据不可访问时，都可以进行恢复。这些存储设备，除了直接与计算机相连的，也包括其他所有同源的与计算机相关的存储设备。也就是说，数据恢复的工作对象涵盖了从最早的软盘，到后来逐渐发展起来的各种硬盘、光盘、移动存储设备，数码存储设备（各种存储卡），MP3、录音笔、数码相机、工控设备、嵌入式设备、PDA、手机等等，以及它们在各种系统下的各种组合，如工作在不同操作系统下的RAID、NAS、SAN等等，在数据不可访问时，都可以进行恢复。数据出现问题后为什么能够恢复，这与操作系统如何管理存储设备上的数据直接相关。这里以Windows系列为例来介绍这个问题，其他操作系统类似。我们都知道，微软从DOS开始，使用的文件系统为FAT12，后来逐渐发展到FAT16、FAT32和NTFS，这些都只是操作系统管理存储介质中的数据的一种方式，是用来索引磁盘上的数据的，类似于图书分类索引，用于定位和管理磁盘上的数据。数据出现问题后为什么能够恢复，这与操作系统如何管理存储设备上的数据直接相关。这里以Windows系列为例来介绍这个问题，其他操作系统类似。我们都知道，微软从DOS开始，使用的文件系统为FAT12，后来逐渐发展到FAT16、FAT32和NTFS，这些都只是操作系统管理存储介质中的数据的一种方式，是用来索引磁盘上的数据的，类似于图书分类索引，用于定位和管理磁盘上的数据。2.2.数据恢复的基本原理数据恢复的基本原理2.2.数据恢复的基本原理数据恢复的基本原理如FAT文件系统，在磁盘分区中，第一个扇区是引导扇区，引导扇区中有很多参数，操作系统在访问该分区时，就用这些参数来定位FAT文件系统中的其他系统数据，以确定该分区中数据的存储情况。微软操作系统访问数据时是以文件为单位进行访问的，也就是直接与用户打交道的数据单元是文件，如使用资源管理器对文件进行复制、删除、移动等等，就是修改数据，也是修改的文件的数据，这些数据都是依存于文件的，文件不存在了，数据也就不存在了。那么FAT文件系统是如何管理这些文件的呢？如FAT文件系统，在磁盘分区中，第一个扇区是引导扇区，引导扇区中有很多参数，操作系统在访问该分区时，就用这些参数来定位FAT文件系统中的其他系统数据，以确定该分区中数据的存储情况。微软操作系统访问数据时是以文件为单位进行访问的，也就是直接与用户打交道的数据单元是文件，如使用资源管理器对文件进行复制、删除、移动等等，就是修改数据，也是修改的文件的数据，这些数据都是依存于文件的，文件不存在了，数据也就不存在了。那么FAT文件系统是如何管理这些文件的呢？首先，FAT对磁盘扇区的划分方式如下图所示。首先，FAT对磁盘扇区的划分方式如下图所示。操作系统通过引导扇区获取磁盘分区的相关参数，确定两个FAT表的位置和大小，以及文件目录表（FDT）的位置，系统在查找文件/目录时，通过文件目录表来获取文件/目录的相关信息，如文件/目录名、大小、时间戳等，以及存储的首簇（系统在管理扇区时是以簇为单位的，一个簇可能是1、2、4、8、16、32、64个扇区等）号，根据首簇号一方面到数据区相应地簇号所对应的扇区找到首簇数据，另一方面从FAT表中找到后续的簇以及结束标示，其FAT表与数据区中的簇是一一对应的，FAT后面的数字12、16和32分别表示FAT表中用多少位来表示数据区中的一个簇，而数据区的实际数据只能通过文件/目录及子目录来解释。这样就确定了一个完整的文件/目录，如下图所示。操作系统通过引导扇区获取磁盘分区的相关参数，确定两个FAT表的位置和大小，以及文件目录表（FDT）的位置，系统在查找文件/目录时，通过文件目录表来获取文件/目录的相关信息，如文件/目录名、大小、时间戳等，以及存储的首簇（系统在管理扇区时是以簇为单位的，一个簇可能是1、2、4、8、16、32、64个扇区等）号，根据首簇号一方面到数据区相应地簇号所对应的扇区找到首簇数据，另一方面从FAT表中找到后续的簇以及结束标示，其FAT表与数据区中的簇是一一对应的，FAT后面的数字12、16和32分别表示FAT表中用多少位来表示数据区中的一个簇，而数据区的实际数据只能通过文件/目录及子目录来解释。这样就确定了一个完整的文件/目录，如下图所示。FAT16文件系统的文件目录项（FDT）每一项用32个字节来定义，其含义如下图所示。FAT16文件系统的文件目录项（FDT）每一项用32个字节来定义，其含义如下图所示。FAT32文件系统的文件目录项（FDT）每一项用32个字节来定义，其含义如下图所示。FAT32文件系统的文件目录项（FDT）每一项用32个字节来定义，其含义如下图所示。这样，系统在删除文件时，只是把FDT项的第一个字节（即文件名的首字母）改为十六进制的“E5”（即ASCII码的“？”），然后将相应的FAT表中所对应的簇改为“0”，以表示所对应的数据区中的簇为空，可以存入新的数据（FAT32还需要将FDT中表示起始簇号的高16位清0）。所以，对于这样删除的数据，虽然从操作系统或文件系统的角度来说，文件/目录确实已经不存在了，但通过直接对磁盘扇区进行操作，修改FDT并重新建立FAT表，就可以将文件或目录恢复回来。当然，重建的过程比想象的要复杂的多。这样，系统在删除文件时，只是把FDT项的第一个字节（即文件名的首字母）改为十六进制的“E5”（即ASCII码的“？”），然后将相应的FAT表中所对应的簇改为“0”，以表示所对应的数据区中的簇为空，可以存入新的数据（FAT32还需要将FDT中表示起始簇号的高16位清0）。所以，对于这样删除的数据，虽然从操作系统或文件系统的角度来说，文件/目录确实已经不存在了，但通过直接对磁盘扇区进行操作，修改FDT并重新建立FAT表，就可以将文件或目录恢复回来。当然，重建的过程比想象的要复杂的多。对于NTFS分区来说，采用了和FAT不一样的管理方式。所有存储在分区中的数据都是文件，其中这些文件分为两大类，一类是元数据文件，这些元数据文件，用于引导该分区，确定文件系统的相关参数，定位文件的存储情况，相当于FAT文件系统中的DBR、FAT和FDT，是用来管理分区的，它们所占用的空间称为主文件表（MFT）；另一类是普通文件，它的磁盘扇区使用情况如下图所示。对于NTFS分区来说，采用了和FAT不一样的管理方式。所有存储在分区中的数据都是文件，其中这些文件分为两大类，一类是元数据文件，这些元数据文件，用于引导该分区，确定文件系统的相关参数，定位文件的存储情况，相当于FAT文件系统中的DBR、FAT和FDT，是用来管理分区的，它们所占用的空间称为主文件表（MFT）；另一类是普通文件，它的磁盘扇区使用情况如下图所示。MFT中有一个元数据文件专门用来记录所有文件/目录的相关信息，每个文件/目录占用一条，称为文件记录，文件记录固定为1KB大小，个别结构复杂的文件/目录还可能占用多条文件记录。它的删除与FAT文件系统类似，也有一个标志位，同时将记录簇使用情况的位图文件相应的位清空，所以，删除的文件同样可以恢复。NTFS文件记录的组织结构如下图所示。MFT中有一个元数据文件专门用来记录所有文件/目录的相关信息，每个文件/目录占用一条，称为文件记录，文件记录固定为1KB大小，个别结构复杂的文件/目录还可能占用多条文件记录。它的删除与FAT文件系统类似，也有一个标志位，同时将记录簇使用情况的位图文件相应的位清空，所以，删除的文件同样可以恢复。NTFS文件记录的组织结构如下图所示。文件记录„„记录头属性属性属性„„记录头属性„„文件记录文件记录文件记录文件记录属性结构（或称属性体）（常驻属性）流（实际的属性值）属性结构（非常驻属性）流的存储位置文件记录记录头属性„„流（实际的属性值）常驻属性流的存储位置（非常驻）标准属性头属性内容标准属性头属性内容对于这两种文件系统，格式化相当于将所有文件/目录全部删除，所以，格式化后的分区，仍然可以恢复数据。对于这两种文件系统，格式化相当于将所有文件/目录全部删除，所以，格式化后的分区，仍然可以恢复数据。directory/home/youfoo123foo123bar456bar456andsoon…andsoon…inode123owner/groupIDowner/groupIDmactimesmactimesreferencecountreferencecountfile/directory/etcfile/directory/etcdatablock#sdatablock#saccesspermsaccesspermsfilesizefilesizedatablocksdatablockdatablockdatablock而典型的Unix和linux文件系统为：ext2、ext3，采用i-node的管理方式。文件被删除后保留的信息directory/home/youFooFoo123123bar456bar456andsoon…andsoon…inode123owner/groupIDowner/groupIDmactimes**mactimes**referencecount*referencecount*file/directory/etcfile/directory/etcdatablock#sdatablock#saccesspermsaccesspermsfilesizefilesizedatablocksdatablockdatablockdatablock如果恢复不了，就等于宣布数据彻底丢失，只能重建。重建的成本和时