摘 要:摘要:据有关数据统计,每年有70%以上的用户在使用优盘、硬盘等存储设备时因为误删、病毒破坏、物理损坏、硬件故障等问题遭遇过数据丢失灾难……诸多事件说明我们在享受数据信息带来便利的同时,也不得不面对数据丢失带来的巨大损失。相对于有价的存储介质(硬盘、U盘、CF卡、FLASH存储),无价的数据更显得弥足珍贵,于是找回丢失的数据尽可能降低损失程度成为了一件迫在眉睫的事情。面对巨大的信息安全漏洞,数据恢复技术同时也应运而生。而所谓数据恢复技术,简单的说就是通过各种手段把丢失和遭到破坏的数据还原为正常数据[1]。数据恢复技术是信息技术中一项新兴的高新技术,同时也是一种服务,它是藉由日益发达的信息化产业而发展起来的。目前数据恢复技术较多,不同计算机数据文件的修复需要不同的技术,这意味着,只有那些累积了大量相关技术并拥有大量相关技术人员才能从容应对各类数据修复问题。然而目前数据安全技术人员的需求量很大,但能够从事数据恢复的技术人员非常稀缺,因此,培养数据恢复技术人员,满足服务社会的需要,是一项非常紧迫的任务。本文作者结合近两年来“数据恢复实训基地及课程开发” 课题的研究及“数据恢复企业定向培训班”的分析,针对目前数据恢复市场与技术进行分析及实践。为加快培养中等数据恢复技术人员起到了推进作用。
关键词:关键词:数据恢复;丢失原因;恢复方式;技术层次;恢复案例;恢复技巧
中图分类号:TP274 文献标识码:A 文章编号:
1. 研究现状
计算机的数据恢复涉及软件恢复、硬件恢复、数据库恢复等方面的技术。目前国内在软恢复方面研究的较深,但与国外专业公司相比,仍然有一定的差距。而数据的硬件恢复、数据库和异形系统方面,美国和俄罗斯研究理论较深,这是因为主要技术都掌握在西方国家。目前对数据覆盖的恢复技术,美国研究较为深入,美国军方可以对覆盖6~9次的数据进行恢复,俄罗斯可以对覆盖3~4次的数据进行恢复,IBM公司耗资6亿美元的研究成果是可以恢复覆盖2~3次的数据。
早在上个世纪八十年代,国外就开始了对数据恢复的研究,比我国早了二十多年,所以无论从理论上还是技术上,他们都占有很大的优势。国外在数据恢复领域的最新进展,其不仅将数据安全的问题考虑在内,更是将数据加密技术、数据安全保障技术、数据恢复技术三者结合起来形成一个数据安全保护体系,这也是数据安全领域的一个重要发展趋势。
我国在数据恢复领域从无到有,虽发展迅猛,但毕竟起步较晚,许多理论虽然还不太完善,但在数据恢复技术的标准制定上,我国也制定一些标准,并对一些具体的数据丢失问题提出了针对性的解决办法,基本涵盖了数据恢复技术的操作规范与适用标准。因此,可以说我国尽管在数据恢复领域落后西方国家,但我国无论是在科研投入上还是在成果产出上在近几年都取得了可喜的成绩,也从另一个方面印证了数据安全、数据恢复领域的重要价值与商业潜能。
2. 数据恢复技术的分析
2.1 数据恢复的概念
所谓数据恢复技术,简单的说就是通过各种手段把丢失和遭到破坏的数据还原为正常数据,也就是恢复至它的本来面目。数据恢复恢复过程主要是将保存在存储介质上的数据重新拼接整理,即使数据被误删或者磁盘驱动器出现故障,只要在存储介质的存储区域没有严重受损的情况下,还是可以通过数据恢复技术将数据完好无损的恢复出来。数据恢复不仅对已经丢失文件进行恢复,还可以恢复物理损伤的磁盘数据,也可以恢复不同操作系统的数据。
2.2 数据的丢失原因
造成数据丢失原因比较多,主要恶意程序、恶意破坏、误操作、操作系统应用软件错误、硬件失效、加密和权限、掉电、内存溢出和升级等9个方面错误。
2.3 数据恢复方式
数据恢复是指通过技术手段,将保存在存储介质等设备上损坏或丢失的电子数据进行抢救和恢复的技术。由于国外的较早,所以已经形成了较为完整数据恢复体系。根据恢复的方式可以将数据恢复分为硬恢复(硬件问题)、软恢复(文件系统问题)、大型数据库系统、异型系统数据恢复、数据覆盖后数据恢复五类。具体如图1.1所示。
A、硬恢复。它是指的是由于硬件故障所造成的数据丢失,如磁盘电路板损坏、盘体坏、磁道坏、磁盘片损坏、磁盘内部系统区严重损坏等,这种情况下,几乎都会出现系统不认盘或认盘困难等症状。恢复起来难度较大,若是内部盘片数据区严重划伤,那么会造成数据彻底丢失,而无法恢复。稍有常识的用户,在出现这种情况(如移动磁盘跌落)后,不会反复加电尝试,也就不会人为的造成大面积的划伤,因此,这种情况一般还是能够恢复大部分数据的。
B、软恢复。指的是存储、操作、文件等系统层次上数据的丢失,这种丢失是多方面的,例如系统软硬件故障、死机、病毒破坏、黑客攻击、木马破坏、误操作、阵列数据丢失等;对于一般文件系统来说,这方面的研究工作起步较早,国内外研究的都比较深。这方面的主要难点是:文件碎片的恢复、文档修复及密码恢复。
软件恢复可分为系统级恢复与文件级恢复。系统级恢复就是操作系统不能启动时,利用各种修复软件对系统进行修复,使其正常工作,从而恢复数据。文件级恢复,就只是指存储介质上的某个应用文件损坏,如OFFICE文件损坏,用修复软件对其修复,恢复文件的数据。
C、大型数据库系统恢复。大型数据库系统往往存储着一些非常重要的数据。组成复杂,一般都会有较完善的保护措施,所以一般不会出现问题,但只要出现问题,基本上都是很难处理的问题,恢复的难度比较大。
D、异型操作系统的数据恢复。指的是不常用的、比较少见的操作系统下的数据恢复,如MAC、OS2、嵌入式系统、手持系统、实时系统等。
E、数据被覆盖恢复。数据被覆盖后,恢复难度非常大,这与其他四类数据恢复有着质的区别,目前只有磁盘厂商及少数几个国家的特殊部门能够做到,它的应用一般都与国家安全有关。
3. 数据恢复的技术层次
按照技术研发的难易程度与开发层次分类,数据恢复技术可以分为如下四个层次。
3.1 软件恢复与简单硬件替代
这种数据恢复技术就是使用网上能够找到的数据恢复软件,例如Easy recovery、Recover、Lost&Found、FinalData、Disk ReCover等等,使用这类工具可以对多丢失的数据进行恢复。可以恢复误删除、错误格式化,分区表损坏,同时这类丢失数据以后
磁盘又没有用其他数据覆盖的数据,这些软件对这样的数据的恢复的成功率达90%以上。这种简易数据恢复前提是在计算机的BIOS中能够识别磁盘。
3.2 专业数据恢复工具恢复数据
目前很多公司都在开发专业数据恢复工具对数据进行恢复,最流行的数据恢复工具有俄罗斯著名磁盘实验室ACE Laboratoy研究所开发的商用的专业修复磁盘综合工具PC3000、HIT2.0、数据恢复机Hardware Info、HIE200等等,PC3000和HRT2.0可以对磁盘坏扇区进行修复,可以更改磁盘的固件程序。HIE200可以对磁盘数据进行硬拷贝。这些工具的特点都用硬件加密,如果使用必需进行购买。目前市场上拥有这些工具的数据恢复中心寥寥无几。
3.3 软硬件结合数据恢复
用数据恢复的专门设备对数据进行恢复。用这种方法恢复数据,关键在于恢复用的仪器设备。这些设备都需要放置在超净无尘工作间里面,而且这些设备内部的工作台也是级别非常高的超净空间。这些设备的恢复原理也是大同小异,都是把磁盘拆开,把磁碟放进机器的超净工作台上,然后用激光束对盘片表面进行扫描,因为盘面上的磁信号其实是数字信号(0和1),所以相应地,反映到激光束发射的信号上也是不同的。这些仪器就是通过这样的扫描,一丝不漏地把整个磁盘的原始信号记录在仪器附带的电脑里面,然后再通过专门的软件分析来进行数据恢复。可以说,这种设备的数据恢复率是相当惊人的,即使是位于物理坏道上面的数据,由于多种信息的缺失而无法找出准确的数据值,也可以通过大量的运算,在多种可能的数据值之间进行逐一代入,结合其他相关扇区的数据信息,进行逻辑合理性校验,从而找出逻辑上最符合的真值。也可以采用变通的办法,就是在百级的超净实验室内对于盘腔损坏的磁盘,在此超净实验室中开盘,取下盘片,安装到同型号的好磁盘上,同样可达到数据恢复的目的。
3.4 深层信号还原法
上面分析的数据恢复都有一个前提,就是数据没有被覆盖。对于已经被覆盖的数据、完全低格、全盘清零、强磁场破坏的磁盘,仍然有终极的数据恢复方式,这种数据恢复方法叫,“深层信号还原"。
从磁盘磁头的角度来看,把数据拷贝到原来没有数据的新盘和拷贝进有数据的旧盘,是没有分别的,因为这时候磁头所读取到的数字信号都是一样的。但是对于磁介质晶体来说,情况就有点不一样了,以前的数据虽然被覆盖了,但在介质的深层,仍然会留着原有数据的“残影",通过使用不同波长、不同强度的射线对这个晶体进行照射,可以产生不同的反射、折射和衍射信号,这就是说,用这些设备发出不同的射线去照射磁盘盘面,然后通过分析各种反射、折射和衍射信号,就可以帮助“看到”在不同深度下这个磁介质晶体的残影。根据目前的资料,大概可以观察到4-5层,也就是说,即使一个数据被不同的其他数据重复覆盖四次,仍然有被“深层信号还原”设备读出来的可能性。当然,这样的操作成本无疑是非常高的,也只能用在国家安全级别的用途上,目前世界范围内也没有几个国家可以拥有这样的技术,只有极少数规模庞大的计算机公司和不计成本的政府机关能拥有这样级别的数据恢复设备而且这样的设备。
除了以上这些数据恢复的方式外,数据恢复的难易程度还与设备和操作系统有关。单机的磁盘和WINDOWS操作系统的数据恢复相对简单。而服务器的磁盘阵列和UNⅨ等网络操作系统的数据恢复就比较复杂,因而数据恢复的收费比单机高得多。
4. 数据恢复案例实践
目前数据恢复所用的常用软件有R-Studio、Winhex、Easyrecovery等,正常的格式化、误删除、无格式等原因导致的数据丢失情况,可通过以上几款主流数据恢复软件进行逻辑恢复;常用的硬件检测、恢复工具有MHDD、PC-3000、PC-3000 Flash等,其主要针对存储介质的固件损坏、核心损坏、闪存电路板损坏等情况可进行快捷的恢复操作。
4.1 U盘提示格式化修复恢复实验
众所周知,目前市场及网络上销售的U盘等移动存储介质的规格质量参差不齐。在我们对U盘的日常使用中,会经常遇到在将U盘连接到电脑上,系统会提示“您的U盘需要格式化”、U盘无法正常访问的情况。
此次实验就是针对U盘提示格式化的情况,来实现U盘中数据的恢复。对于硬盘分区打开提示格式化也一样用。
步骤:先把你的U盘插入数据恢复一体机,进入恢复模式后,首先可以看到U盘的信息在第一个盘符。通过扫描,首先可以看到U盘的信息在第一个盘符。
选定U盘盘符,点红色标记处开始镜像,做镜像是为了扫描的快些(如果是硬盘可以不做镜像)。
扫描打开镜像文件。
成功打开镜像文件;
选择镜像文件的盘符,选择开始扫描;这是弹出来个对话框,可以设置你要扫描的扇区起始范围,文件系统类型。
显示扫描结果;
双击打开绿色表示的镜像文件;展开镜像文件的目录结果;
列出此分区存在的所有已删除和丢失的文件,通过复选框选择所需要恢复的文件;
点击恢复所有标记文件或所有文件,会弹出来个对话框,选择需要恢复文件的保存位置(注意:不要保存在原盘)。如果需要让你更名的文件,你可以选择跳过所有。
打开之前定义的存储位置,可见,数据已经成功恢复了。
确认数据恢复成功后,方可将U盘正确格式化、初始化。
4.2 数据逻辑销毁实验
在日常生活中,我们都会有捐赠物品的时候。比如说老电脑因为配置不满足自己的需要,而转赠给了自己亲朋好友,或者有人直接捐给了希望工程。在给别人的时候,存储在硬盘中的信息多多少少都有一些私密文件,我们通常用删除或者格式化的操作来清理,但就因为这样不经意的时候,我们隐私数据又被别人恢复回来了,那么如何才能更安全的来销毁我们自己隐私的数据呢?下面我就来谈一谈,怎样用Winhex安全清除硬盘上的数据(防止数据泄密)。
步骤:首先打开要清除的对象硬盘,Ctrl+A或者点击Winhex菜单栏“Edit”/“Select All”。
然后,Ctrl+L或者Winhex菜单栏”Edit”/”Fill Block”。
按照上图的指示,下一步会弹出以下窗口。
默认要填充的数据是”00”,也可以自己定义,或者让Winhex随机填充,最好使用默认的”00”,然后点击”OK”按钮,Winhex就开始对选择硬盘进行数据填充了,填充过程是个漫长的过程,填充完毕后,关闭软件,数据安全填充就完成了。
4.3 Victoria-MHDD图形界面版硬盘检测案例
Victoria具有Windows下的MHDD美称,众所周知,MHDD是检测硬盘的软件工具,由于此软件是
运行在DOS环境下,使用起来,比较麻烦和困难,而Victoria弥补了这个缺点和不足,即拥有MHDD的大部分的功能,同时还能运行在Windows界面下,操作起来极其方便和简单。
Victoria主要的功能是检查硬盘,具体来说,就是检测硬盘是否存在坏道,更为重要的是Vicatoria还具备修复坏道的功能。点击Victoria软件的标签按钮”标准”,在右上边的面板中显示的就是能识别到的所有硬盘。
选中你要检测的硬盘,点击”硬盘信息”按钮,你就可以看到此硬盘的具体信息。
检测硬盘是否有坏道,需要切换到标签”测试”下。
接下来点击”开始”按钮,进行测试,在右边的面板中,有四个单选按钮,默认选择”忽略”。
硬盘检测完成,会出现如下结果样式。
简单解释一下,右边硬盘状态7个颜色块表示的意义,如下图所示:
硬盘检测最终结果会显示在软件下边的状态面板中,更为详细的信息会记录在Victoria软件安装目录下的LOGS目录下的eventlog.txt文件中。
以上就是Victoria硬盘检测软件的基本使用办法。
5. 数据恢复的操作技巧
5.1 恢复过程中的扫描技巧。一般来说,误删除文件会马上发现自己的误操作,所以刚删除的文件在磁盘文件分配表处于较靠前的位置,可以利用这一点,加快恢复的速度。如您使用Easy Recover,在选定了目标分区后,只要扫描5%左右的目录树,就可终止扫描,然后进入下一步,这样一般都能找到。这种方式比完全扫描后再找恢复文件要容易,若您扫描所有文件,可能会有数万个甚至10多万个已经删除的列表,此时您要找自己想恢复的目标就较困难了,因为在您的机器里,不同时期可能产生过同一个文件名的几个文件,为了防止混乱,恢复软件一般会把这些类似的文件标记为数字开头编号结尾的文件,您无法按首字母来找,要靠眼睛一个个识别,太多的选择会让您眼花缭乱。可以在终止扫描时,选择保存当前扫描进度,如果5%的数量没找到您的目标,可以按此进度继续扫描,不必从头开始一次。注意这个保存操作也不要放到目标分区里,要另外指定路径存盘。DOS时代的UNDELETE软件,只能处理FAT的格式,而且对于长文件名结构无能为力。
5.2 如办公软件WORD字处理软件,除了用恢复工具,还能进入其安装目录,找到隐藏的临时文件直接恢复。因为这类软件都会对您当前操作的文件生成一个备份文件,而且不自动删除,所以您可以在DOS状态下,在目标目录键入ATTRIB*.*-h消除临时文件的隐藏状态,然后把后缀名改为*.DOC,就可能已经成功恢复了。当然,得到的临时文件可能会有10多个,名字也是多样的,您可尝试逐个打开并找到有效的一个。
5.3 对于NTFS的格式,切记不要急于重装系统 。若你使用的是NTFS格式,但Windows运行出了问题。即使分区表没有损坏,还能看到该分区,也不要急忙重装系统。因为NTFS是有权限加密的,而且在一个操作系统下,密钥是唯一的,若您重装了系统,即便是同一个版本,也有可能读不出NTFS加密的文件夹。低级格式化更是不要轻易尝试。
5.4 对于误格式化了分区,有条件的话,最好先用Ghost备份镜像全盘到另外一个硬盘,再尝试各种工具进行恢复操作。
通过以上几个实践案例及总结的一些技巧,已经可以简单感受到数据恢复软件工具的使用情况。虽然过程简要,但是要真正了解、熟悉数据恢复技术、数据恢复方法,仍需通过长期的理论探究、实践及应用过程。
参考文献:
数据恢复技术与实践众诚天合数据恢复公司