返回
数据恢复技术原理与应用 戴士剑

数据恢复技术原理与应用 戴士剑

ID:4135029

大小:1.11 MB

页数:49页

时间:2017-11-29

数据恢复技术原理与应用 戴士剑_第1页
数据恢复技术原理与应用 戴士剑_第2页
数据恢复技术原理与应用 戴士剑_第3页
数据恢复技术原理与应用 戴士剑_第4页
数据恢复技术原理与应用 戴士剑_第5页
资源描述:

《数据恢复技术原理与应用 戴士剑》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、数据恢复技术原理与应用中国人民解放军63961部队戴士剑1.数据恢复的概念与范畴2.数据恢复的基本原理3.数据恢复与信息安全的关系4.数据恢复与取证的关系5.数据恢复技术的应用领域6.数据恢复技术研究现状数据恢复,简单的说,就是对一切计算机相关存储设备中丢失的数据进行恢复,这些数据包括所有存储在存储设备中的数据—系统数据与用户数据。这里所说的恢复,指的并不是与备份相对应地那个恢复,而是指对于系统表现为不可见的“信息”,通过一定的技术手段,使之重现的恢复。1.数据恢复的概念与范畴这里所说的系统,包括当前所有

2、的操作系统,除主流的Microsoft、UNIX、LINUX系列外,也包括MAC系列、各种数字设备/仪表使用的嵌入式系列以及实时操作系统等。这里所说的存储设备,指的是断电后能保持的存储设备,一般并不包括易失性的存储设备,如内存等。这些存储设备,除了直接与计算机相连的,也包括其他所有同源的与计算机相关的存储设备。也就是说,数据恢复的工作对象涵盖了从最早的软盘,到后来逐渐发展起来的各种硬盘、光盘、移动存储设备,数码存储设备(各种存储卡),MP3、录音笔、数码相机、工控设备、嵌入式设备、PDA、手机等等,以及它

3、们在各种系统下的各种组合,如工作在不同操作系统下的RAID、NAS、SAN等等,在数据不可访问时,都可以进行恢复。数据出现问题后为什么能够恢复,这与操作系统如何管理存储设备上的数据直接相关。这里以Windows系列为例来介绍这个问题,其他操作系统类似。我们都知道,微软从DOS开始,使用的文件系统为FAT12,后来逐渐发展到FAT16、FAT32和NTFS,这些都只是操作系统管理存储介质中的数据的一种方式,是用来索引磁盘上的数据的,类似于图书分类索引,用于定位和管理磁盘上的数据。2.数据恢复的基本原理如FA

4、T文件系统,在磁盘分区中,第一个扇区是引导扇区,引导扇区中有很多参数,操作系统在访问该分区时,就用这些参数来定位FAT文件系统中的其他系统数据,以确定该分区中数据的存储情况。微软操作系统访问数据时是以文件为单位进行访问的,也就是直接与用户打交道的数据单元是文件,如使用资源管理器对文件进行复制、删除、移动等等,就是修改数据,也是修改的文件的数据,这些数据都是依存于文件的,文件不存在了,数据也就不存在了。那么FAT文件系统是如何管理这些文件的呢?首先,FAT对磁盘扇区的划分方式如下图所示。操作系统通过引导扇区

5、获取磁盘分区的相关参数,确定两个FAT表的位置和大小,以及文件目录表(FDT)的位置,系统在查找文件/目录时,通过文件目录表来获取文件/目录的相关信息,如文件/目录名、大小、时间戳等,以及存储的首簇(系统在管理扇区时是以簇为单位的,一个簇可能是1、2、4、8、16、32、64个扇区等)号,根据首簇号一方面到数据区相应地簇号所对应的扇区找到首簇数据,另一方面从FAT表中找到后续的簇以及结束标示,其FAT表与数据区中的簇是一一对应的,FAT后面的数字12、16和32分别表示FAT表中用多少位来表示数据区中的一

6、个簇,而数据区的实际数据只能通过文件/目录及子目录来解释。这样就确定了一个完整的文件/目录,如下图所示。FAT16文件系统的文件目录项(FDT)每一项用32个字节来定义,其含义如下图所示。FAT32文件系统的文件目录项(FDT)每一项用32个字节来定义,其含义如下图所示。这样,系统在删除文件时,只是把FDT项的第一个字节(即文件名的首字母)改为十六进制的“E5”(即ASCII码的“?”),然后将相应的FAT表中所对应的簇改为“0”,以表示所对应的数据区中的簇为空,可以存入新的数据(FAT32还需要将FDT

7、中表示起始簇号的高16位清0)。所以,对于这样删除的数据,虽然从操作系统或文件系统的角度来说,文件/目录确实已经不存在了,但通过直接对磁盘扇区进行操作,修改FDT并重新建立FAT表,就可以将文件或目录恢复回来。当然,重建的过程比想象的要复杂的多。对于NTFS分区来说,采用了和FAT不一样的管理方式。所有存储在分区中的数据都是文件,其中这些文件分为两大类,一类是元数据文件,这些元数据文件,用于引导该分区,确定文件系统的相关参数,定位文件的存储情况,相当于FAT文件系统中的DBR、FAT和FDT,是用来管理分

8、区的,它们所占用的空间称为主文件表(MFT);另一类是普通文件,它的磁盘扇区使用情况如下图所示。MFT中有一个元数据文件专门用来记录所有文件/目录的相关信息,每个文件/目录占用一条,称为文件记录,文件记录固定为1KB大小,个别结构复杂的文件/目录还可能占用多条文件记录。它的删除与FAT文件系统类似,也有一个标志位,同时将记录簇使用情况的位图文件相应的位清空,所以,删除的文件同样可以恢复。NTFS文件记录的组织结构如下图所示。对

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。