硬盤數(shù)據(jù)安全與恢復(fù)研究

曾凡才

伴隨全球信息化進(jìn)程的發(fā)展，計(jì)算機(jī)的普及和應(yīng)用，數(shù)據(jù)變得異常重要，一塊硬盤所存放數(shù)據(jù)的價(jià)值往往要遠(yuǎn)高于硬盤產(chǎn)品自身。近年來，新型硬盤無論在容量、速度和可靠性等方面都有了飛速的發(fā)展，故障率大為降低。但受各種因素影響，硬盤的數(shù)據(jù)安全仍然得不到保障，很多企業(yè)損失慘重。因此必須關(guān)注和重視對硬盤數(shù)據(jù)安全與恢復(fù)的研究。

1 硬盤結(jié)構(gòu)及存儲(chǔ)原理

1.1 硬盤內(nèi)部結(jié)構(gòu)

硬盤的內(nèi)部結(jié)構(gòu)通常專指盤體的內(nèi)部結(jié)構(gòu)。盤體是一個(gè)密封的腔體，所有的盤片都絕對平行的固定在一個(gè)旋轉(zhuǎn)軸，即主軸上。每個(gè)盤片的存儲(chǔ)面上都有一個(gè)磁頭，由磁頭控制器負(fù)責(zé)各個(gè)磁頭的運(yùn)動(dòng)。硬盤工作時(shí)，磁頭可沿盤片的半徑方向動(dòng)作，而盤片以每分鐘數(shù)千轉(zhuǎn)（常見的有5 400 r/min和7 200 r/min）的速度高速旋轉(zhuǎn)，這樣磁頭就能對盤片上的指定位置進(jìn)行數(shù)據(jù)讀寫操作。硬盤是精密設(shè)備，必須完全密封，一旦有小的塵埃進(jìn)入密封腔內(nèi)，或者一旦磁頭與盤體發(fā)生碰撞，就可能造成數(shù)據(jù)丟失，形成壞塊，甚至造成磁頭和盤體的損壞。

1.2 硬盤數(shù)據(jù)結(jié)構(gòu)

磁盤需經(jīng)過低級格式化、分區(qū)和高級格式化三個(gè)步驟之后才能存儲(chǔ)數(shù)據(jù)。格式化的作用就是在物理硬盤上建立起一定的數(shù)據(jù)邏輯結(jié)構(gòu)，一般將硬盤分為5個(gè)區(qū)域，分別為主引導(dǎo)記錄區(qū)（MBR區(qū)）、操作系統(tǒng)引導(dǎo)記錄區(qū)（DBR區(qū)）、文件分配表區(qū)（FAT區(qū)）、文件目錄表區(qū)（DIR區(qū)）和數(shù)據(jù)區(qū)（DATA區(qū)），以實(shí)現(xiàn)對數(shù)據(jù)的存儲(chǔ)和管理（見圖1）。

圖1 硬盤邏輯分區(qū)

1.3 Windows存儲(chǔ)

硬盤上最重要的數(shù)據(jù)區(qū)除了BOOT（引導(dǎo)區(qū)）外，就是ROOT（根目錄）和FAT(文件分配表)。ROOT記錄文件或子目錄的屬性、尺寸、日期以及起始簇等，F(xiàn)AT表記錄每個(gè)簇的使用分配情況。

正常情況下，向硬盤添加一個(gè)新文件時(shí)，操作系統(tǒng)首先在ROOT里面將文件屬性等寫進(jìn)去，在FAT表里找到一個(gè)空簇，將它標(biāo)記為被該文件占用，在ROOT里將這個(gè)簇作為起始簇，然后將文件內(nèi)容寫入這個(gè)簇。如果文件沒有寫完，系統(tǒng)再在FAT里找一個(gè)簇，將其標(biāo)記為占用，然后在前一個(gè)簇的最后做一個(gè)指針指向這個(gè)新的簇，形成一個(gè)單鏈表，接著再在這個(gè)新的簇里繼續(xù)寫內(nèi)容。如此重復(fù)直到文件內(nèi)容完全記錄完畢。最后系統(tǒng)根據(jù)占用的總簇?cái)?shù)計(jì)算出文件尺寸，取出當(dāng)前時(shí)間寫到ROOT里面。

Windows存儲(chǔ)中的文件操作過程包括文件讀取、寫入和刪除。

操作系統(tǒng)從目錄區(qū)中讀取文件信息（包括文件名、后綴名、文件大小、修改日期和文件在數(shù)據(jù)區(qū)保存的第一個(gè)簇的簇號，如0100）。操作系統(tǒng)從0100簇讀取相應(yīng)的數(shù)據(jù)，然后再找到FAT中的0100單元，如果內(nèi)容是文件結(jié)束標(biāo)志（FF)，則表示文件結(jié)束，否則內(nèi)容保存數(shù)據(jù)的下一個(gè)簇的簇號，這樣重復(fù)下去直到遇到文件結(jié)束標(biāo)志。

寫入文件時(shí)，操作系統(tǒng)首先在DIR區(qū)中找到空區(qū)來寫入文件名、大小和創(chuàng)建時(shí)間等該文件的相應(yīng)信息，然后在DATA區(qū)找到閑置空間將文件保存，并將DATA區(qū)的第一個(gè)簇寫入DIR區(qū)，其余的動(dòng)作和上邊的讀取動(dòng)作基本相同。

刪除時(shí)僅將目錄區(qū)文件的第一個(gè)字符改成E5，表示已刪除，而不對DATA區(qū)的數(shù)據(jù)操作。如此直到以后有數(shù)據(jù)寫入，并把此數(shù)據(jù)區(qū)覆蓋掉，這時(shí)才把原來的數(shù)據(jù)徹底刪除。其它如用Fdisk分區(qū)只改變硬盤分區(qū)表，用Format格式化只修改FAT表，實(shí)際上也都沒有將數(shù)據(jù)從數(shù)據(jù)區(qū)直接刪除。

2 硬盤數(shù)據(jù)不安全因素

（1）系統(tǒng)不安全（如使用盜版的系統(tǒng)軟件、存在安全漏洞、下載非法程序、系統(tǒng)不兼容軟件、沒有安裝殺毒軟件和防火墻而被惡意病毒攻擊或入侵等）；

（2）硬件或邏輯故障（如因多次讀寫或質(zhì)量問題等引起的硬盤物理損壞、出現(xiàn)壞道、分區(qū)丟失、軟件錯(cuò)誤、文件損壞、數(shù)據(jù)交換錯(cuò)誤、容量錯(cuò)誤等）；

（3）意外事件（如火災(zāi)、水災(zāi)、地震、風(fēng)暴等）；

（4）人為因素（如因誤操作而導(dǎo)致的重要文件被刪除或用Ghost恢復(fù)系統(tǒng)時(shí)恢復(fù)到非系統(tǒng)分區(qū)的重要數(shù)據(jù)分區(qū)，或由于缺乏經(jīng)驗(yàn)或沒有按相關(guān)規(guī)章制度操作致使數(shù)據(jù)丟失以及蓄意報(bào)復(fù)或竊取等）。

可見，硬盤數(shù)據(jù)安全的解決方案應(yīng)以預(yù)防為主，恢復(fù)為輔。首先，應(yīng)采用預(yù)防性的安全技術(shù)，防范危及硬盤數(shù)據(jù)安全的事件發(fā)生；其次，一旦數(shù)據(jù)的安全受到損壞時(shí)采取有效的恢復(fù)手段，恢復(fù)被損壞的數(shù)據(jù)。

3 預(yù)防性的安全技術(shù)

3.1 人員和制度安全

（1）單個(gè)用戶，自身應(yīng)多掌握計(jì)算機(jī)應(yīng)用知識，培養(yǎng)數(shù)據(jù)安全意識，嚴(yán)格按照操作規(guī)程使用、保存和傳遞硬盤數(shù)據(jù)，養(yǎng)成良好的使用習(xí)慣。不編寫或傳播病毒，不蓄意入侵他人計(jì)算機(jī)，不竊取或刪除他人硬盤數(shù)據(jù)等；

（2）企業(yè)要建立完善的數(shù)據(jù)安全規(guī)章制度規(guī)范和指引員工正確操作計(jì)算機(jī)；要購買質(zhì)量良好、性能穩(wěn)定的計(jì)算機(jī)設(shè)備和正版操作系統(tǒng)及應(yīng)用軟件，及時(shí)升級各種補(bǔ)丁程序；安裝軟、硬件防火墻和殺毒軟件。

3.2 物理安全

存放和使用硬盤的建筑在設(shè)計(jì)施工時(shí)要符合相關(guān)規(guī)范，防火、防盜、防雷與防震等設(shè)施缺一不可；計(jì)算機(jī)物理設(shè)備要配備必要的監(jiān)控手段，事故報(bào)警系統(tǒng)以及專門的人員管理和值守等。

3.3 技術(shù)安全

（1）備份

分析發(fā)現(xiàn)90%以上的數(shù)據(jù)丟失和數(shù)據(jù)安全問題都是由于沒有進(jìn)行及時(shí)、合理的數(shù)據(jù)備份造成的。因此，必須經(jīng)常對各類數(shù)據(jù)進(jìn)行備份操作，并對備份介質(zhì)妥善保管，必要時(shí)應(yīng)采用異地備份。

（2）鏡像

鏡像技術(shù)是將數(shù)據(jù)按原樣從一臺計(jì)算機(jī)（或服務(wù)器）上拷貝到另一臺計(jì)算機(jī)（或服務(wù)器）上，從而有效的防止數(shù)據(jù)丟失。具體執(zhí)行時(shí)一般有兩種方法：

①邏輯地將計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的文件系統(tǒng)按段拷貝到網(wǎng)絡(luò)中的另一臺計(jì)算機(jī)或服務(wù)器上；

②嚴(yán)格地在物理層上進(jìn)行，例如建立磁盤驅(qū)動(dòng)器、I/O驅(qū)動(dòng)子系統(tǒng)和整個(gè)機(jī)器的鏡像。

（3）歸檔

歸檔就是將處理完畢且具有保存價(jià)值的文件經(jīng)系統(tǒng)整理后復(fù)制到磁帶或光學(xué)介質(zhì)上長期保存。

（4）故障前預(yù)兆分析

即針對硬盤的老化或不斷出錯(cuò)進(jìn)行分析。因?yàn)橛脖P的老化或損壞都有一個(gè)過程，通過分析可判斷問題的結(jié)癥，以便作好排除的準(zhǔn)備。

計(jì)算機(jī)的BIOS中提供了HDD S.M.A.R.T.Capability功能，開啟后它可以使硬盤實(shí)時(shí)檢查自身的狀態(tài)，及時(shí)分析出潛在的問題并報(bào)告給系統(tǒng)，有時(shí)甚至能給出預(yù)計(jì)的硬盤故障日期。

4 數(shù)據(jù)恢復(fù)與安全清除

4.1 數(shù)據(jù)恢復(fù)

即使采取了很多安全防范措施，但是不可避免的還是會(huì)發(fā)生硬盤數(shù)據(jù)丟失的事件。此時(shí)若有備份，則可通過備份直接恢復(fù)原始數(shù)據(jù)。若無備份，則只能對存儲(chǔ)硬盤進(jìn)行技術(shù)恢復(fù)。由于系統(tǒng)對文件刪除、Fdisk和Format等操作都不會(huì)徹底破壞數(shù)據(jù)，所以數(shù)據(jù)丟失后，很大程度上都可以恢復(fù)，而無法恢復(fù)的事例中有90%以上是由于在恢復(fù)過程中有誤操作而導(dǎo)致的，故在進(jìn)行數(shù)據(jù)修復(fù)前必須注意以下事項(xiàng)：

（1）發(fā)現(xiàn)數(shù)據(jù)丟失應(yīng)立即關(guān)機(jī)并進(jìn)行故障判斷和分析，不要再對硬盤進(jìn)行任何寫入操作，否則會(huì)增大修復(fù)的難度，也將影響到修復(fù)的成功率；

（2）要保證修復(fù)進(jìn)程操作的可靠性；

（3）要保證硬盤在CMOS中能正確標(biāo)識；

（4）不能向目標(biāo)分區(qū)寫入新文件；

（5）應(yīng)防止修復(fù)進(jìn)程中電源中斷現(xiàn)象出現(xiàn)；

（6）應(yīng)保持最新修復(fù)進(jìn)程的備份。

接下來應(yīng)采取如下步驟完成硬盤數(shù)據(jù)的恢復(fù)：

首先要了解清楚在數(shù)據(jù)丟失前后的人為操作情況，確定數(shù)據(jù)丟失原因和故障類型以及需要恢復(fù)數(shù)據(jù)的具體要求等；然后再察看硬盤外部電路板有無燒灼痕跡，避免加電測試時(shí)因電路損壞再次對主機(jī)造成損壞；若無明顯電路損壞，可加電測試硬盤，檢測CMOS中是否能找到硬盤，若能找到，則檢查硬盤參數(shù)是否正確，系統(tǒng)是否能正常啟動(dòng)，若不能，根據(jù)故障原因采用適合的方法和數(shù)據(jù)恢復(fù)工具來處理。常見數(shù)據(jù)丟失的處理辦法如下：

（1）主引導(dǎo)程序丟失，可進(jìn)入純DOS狀態(tài)，運(yùn)行“Fdisk/mbr”命令即可修復(fù)；

（2）分區(qū)表錯(cuò)誤，若是硬盤分區(qū)沒有激活，則可用Fdisk重置活動(dòng)分區(qū)來修復(fù)；若是分區(qū)丟失，最好辦法是用備份分區(qū)表數(shù)據(jù)重新寫回或拷貝其它相同類型且分區(qū)狀況相同的硬盤上的分區(qū)表數(shù)據(jù)；

（3）FAT表損壞造成的文件內(nèi)容丟失，可用DE或Debug復(fù)制第二個(gè)FAT表進(jìn)行覆蓋修復(fù)，若第二個(gè)FAT表也損壞，可用Chkdsk或ScanDisk命令修復(fù)；

（4）目錄表損壞時(shí)會(huì)丟失大量文件，雖然用Chkdsk或ScanDisk命令搜索出CHK文件，然后重命名為原來的名字即可恢復(fù)大多數(shù)文件，但無法做到完全恢復(fù)；

（5）0磁道損壞時(shí)的數(shù)據(jù)恢復(fù)，可通過DE磁盤編輯器等工具來使0磁道偏轉(zhuǎn)到其他扇區(qū)，而數(shù)據(jù)則用Easy Recovery等軟件來按簇進(jìn)行恢復(fù)；

（6）硬盤誤格式化、文件或分區(qū)表誤刪除、用Ghost等應(yīng)用程序時(shí)因誤操作導(dǎo)致數(shù)據(jù)丟失等，可用Easy Recovery Pro_V6.10等軟件來恢復(fù)。

4.2 數(shù)據(jù)安全清除

鑒于用刪除、格式化、重新分區(qū)等方法，并不能夠使磁盤上的數(shù)據(jù)完全清除，所以對于使用過的硬盤等存儲(chǔ)介質(zhì)在報(bào)廢前必須進(jìn)行數(shù)據(jù)安全清除處理。否則一旦泄漏，將給企業(yè)造成不可估量的損失。最簡單的辦法是使用安全擦除軟件如O&OSafeEraseV5.3、East-Tec Eraser 2011或超級文件粉碎機(jī)等來進(jìn)行文件的安全刪除操作；更可靠的辦法是運(yùn)用專業(yè)硬盤消磁器，通過強(qiáng)磁區(qū)將磁盤上磁性記錄的數(shù)據(jù)徹底消除，硬盤消磁器抹磁法能徹底將硬盤上所有的磁性記錄數(shù)據(jù)去除，甚至能永久破壞驅(qū)動(dòng)器的定時(shí)軌道和伺服信號，而且能夠很容易地將密閉驅(qū)動(dòng)器上的轉(zhuǎn)軸發(fā)動(dòng)機(jī)永久性的磁性退去。另外，如有必要，還可進(jìn)一步從物理上銷毀硬盤。

5 結(jié)語

硬盤數(shù)據(jù)安全是關(guān)系到國家安全、企業(yè)發(fā)展的重要領(lǐng)域，每個(gè)人必須充分認(rèn)識它的重要性。硬盤數(shù)據(jù)安全工作要從養(yǎng)成日常的良好操作習(xí)慣做起，在沒有出現(xiàn)問題時(shí)也要做好安全防范工作；如萬一出現(xiàn)數(shù)據(jù)丟失，也絕不要慌亂；而當(dāng)硬盤不再使用時(shí)，也絕不要隨意丟棄。

[1]聶元銘，計(jì)算機(jī)數(shù)據(jù)修復(fù)與維護(hù) [M].科學(xué)出版社，2006年.