基于windows操作平台的数据恢复技术(编辑修改稿)

基于windows操作平台的数据恢复技术(编辑修改稿)内容摘要：

志。 NTFS 结构模式 当用户将硬盘的一个分区格式化为 NTFS 分区时，就建立了一个 NTFS 文件系统结构。 NTFS 与其他的文管系统一样，也是以簇为基本单位对磁盘空间和文件存储进行管理。 但 NTFS 是以卷为基础的，而卷是建立在磁盘分区上，所以 NTFS 分区也被称为 NTFS 卷，卷上簇的大小，称为卷因子，所以簇的大小一定是扇区大小的整数倍。 NTFS 文件系统使用逻辑簇号 (Logical Cluser Number， LCN)和虚拟簇号 (xrLraJal Cluster Number， VCN)对卷进行管理。 而 LCN 是对第一个簇到最后一个簇进行编号管理。 NTFS 分区的引导扇区在 BOOT 区的第一个扇区，它在操作系统引导时必不可少的部分，它和 FAT32 分区的结构类似，也包括跳转指令、 OEM 版本号、 BPB 参数、引导代码和结束标志。 而 BPB 参数则是从偏移 0BH 开始，到偏移 53H 结束，里面记录着 NTFS 分区的许多重要信息。 总体结构 如图 21 所示： 图 21 NTFS 文件系统总体结构 5 主控文件表及元数据简介 NTFS 卷结构的核心是主控文件表 (MFT)，操作系统是通过 MFT 来确定文件在磁盘上的位置以及文件的所有属性等。 MFT 是一个与文件相对应的文件属性数据库，它记录了除文件数据外的所有属性，甚至有些小文件的数据本身也包含在 MFT 当中，所以在 NTFS 分区中每个文件至少有一个 MFT。 主控文件表 (MFT)由两部分构成，一部分是主控文件表头，称为文件记录头；另一部分是属性列表， MFT 头结构如图 22 所示： 图 22 MFT 文件头结构 MFT 是以文件数组来实现的，每个文件记录占用两个扇区。 文件记录在 MFT 文件记录数组中物理上是连续的，从 0 开始编号。 为了保证其连续性，在它周围保留了一个缓冲区，这个缓冲区的大小是可调的，可以是磁盘空 间的 12． 5％、 25％、 37． 5％或 50％。 每当其余空间变满时，缓冲区大小减半。 MFT 区域的前 16 个文件属于系统文件，也称为元文件，用来存放系统的元数据，元数据是指 存储在卷上支持文件系统管理的数据。 只为系统服务，不能被应用程序访问。 不管簇的大小是多少， MFT 中的记录大小一般是固定的，占用 1k 空间。 这些记录从零开始编号。 MFT 仅供系统本身进行文件管理使用（ MFT 本身也是元数据）。 在 MFT的前 16 条记录是非常重要的操作系统使用的元数据文件，这些元数据文件的名字都是以 “ $” 开头，是系统管理卷不可缺少的。 这 16 个文件是 NTFS 文件系统中唯一在 MFT 6 表中具有固定地址的文件。 元数据文件及它们的作用如图 23 所示： 图 23 NTFS 元数据文件及其功能简介 7 第三章、常见的数据的丢失情况及症状 数据丢失的原因有很多种，其中根据故障的原因可以分为逻辑原因和物理原因及固件本身的故障等。 逻辑原因：病毒感染、误格式化或误分区、误克隆、误删除或覆盖、黑客软件人为破坏、 0 磁道损坏、硬盘逻辑锁、操作时断电、意外电磁干扰造成数据丢失或破坏以及系统错误或瘫痪造成文件丢失或破坏等。 物理原因：磁盘划伤、 磁头变形、磁臂断裂、磁头放大器损坏、芯片组或其他元器件损坏等。 固件本身故障原因：硬盘的固件由于读写次数过多，常常会出现故障，常见的故障表现包括有寻道声但不能正常认盘、只认厂家模式等。 由固件原因引起的数据丢失占到数据丢失的 40%左右。 另外，自然损坏：如风、雷电、洪水、地震以及意外事故也有可能导致数据丢失，只是这一因素的可能性要低很多。 这时恢复数据就要专门的物理设备。 在这里，将数据丢失分成两种原因，一种是直接用户人为的误操作导致数据丢失，另一种是非直接用户导致的数据丢失。 一、常见的数据丢失情况（误 操作） 删除文件 当执行删除文件的操作 ,系统只是在该文件的文件目录表 (FDT)上做一个删除标记 ,即把该文件的文件目录项第一个字符改为“ E5H”来表示该文件已经被删除。 另一个是把该文件的文件分配表 (FAT)中所占有的簇标记为“空簇”，而 DATA 区域中的簇仍保存原文件内容。 其原理是系统在文件分配表中相应位置检测到“ 0”时 ,就认为该文件簇处于空闲状态 ,表示可写入其他文件。 子目录的删除 操作系统对子目录的管理和对文件的管理相同，所以操作系统对子目录的删除与文件的删除的方式也相同。 但 FAT16 或 FAT32 下子目录的 简单操作只是对描述子目录的 FDT 做一个删除标记，该子目录下所有文件和下一级子目录的所以记录都没有变动，相当于将该子目录“移”到回收站里，里面的数据依旧可以恢复。 硬盘的分区 硬盘进行分区操作时 ,系统只是修改了 MBR(硬盘主引导记录 )和 DBR(DOS 引导记录 ),DATA 区的数据并没有被全部覆盖或者修改。 由于 MBR、 DBR 的改变导致文件的路径被破坏 ,系统不能正常读取文件。 硬盘的高级格式化 硬盘进行高级格式化时 ,系统并不将 DATA 区的数据清除 ,只是把相应的 FAT 表和FDT 表重写，即彻底删除之前记录的所有文件和子 目录的目录 ,使其 FDT 和 FAT 中都 8 不再有文件或目录记录登记项 ,只留有标识磁盘空闲的记录 ,回收站也给清除 ,从而释放空间。 一般快速格式化后 ,其子目录下的文件目录项还保留着，不会被删除。 当使用“ Format”命令时加上“ /U”参数 ,系统在对分区进行格式化时将强制对每一扇区写入“ F6” ,就完全把数据破坏，但执行这个命令可能会对磁盘造成一定的损害。 硬盘的低级格式化 硬盘的低级格式化指在物理层面直接对硬盘里面的数据进行清理，其作用是为整个硬盘划分出柱面和磁道，再将磁道划分为若干个扇区，在每个扇区的地址场中标志地址信息 ，测试硬盘介质缺陷。 低级格式化后的数据完全损毁无法恢复。 二、数据出现问题的症状 不能进入系统 有时 COMS 检测硬盘时显示正常，但不能进入系统，有时会出现提示死机或者无提示死机情况，也会出现 COMS 能检测到硬盘，但显示的容量不对等，这通常可能是因为 MBR 损坏、 DBR 损坏、电源质量不合格、数据线断线、 COMS 设置不正确、主从硬盘设置不正确、硬件冲突、 COMS 电池电压不足等其中一个或几个原因导致。 磁盘。