宋昌業(yè)

摘 要：隨著經(jīng)濟(jì)和科技的發(fā)展，信息技術(shù)在全球得以應(yīng)用和發(fā)展。計(jì)算機(jī)技術(shù)的普及，極大的方便了人們的工作和生活，人們的很多事情都是通過(guò)計(jì)算機(jī)來(lái)完成的。并且計(jì)算機(jī)的保存空間大，可進(jìn)行大量的信息儲(chǔ)存，人們將大量的信息儲(chǔ)存在計(jì)算機(jī)當(dāng)中。但是，計(jì)算機(jī)是以數(shù)據(jù)的方式來(lái)而對(duì)文件進(jìn)行存檔的，如果數(shù)據(jù)發(fā)生破壞或者丟失，就會(huì)造成相當(dāng)大的損失。因此，對(duì)數(shù)據(jù)的保存和恢復(fù)就顯得極為重要。本文就計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)的原理與實(shí)現(xiàn)方法進(jìn)行簡(jiǎn)要的分析，并提出相應(yīng)的解決方法，希望得到讀者的認(rèn)可和共鳴。

關(guān)鍵詞：計(jì)算機(jī)；數(shù)據(jù)恢復(fù)技術(shù)；措施

計(jì)算機(jī)進(jìn)行信息的記錄，是將信息按照一定的規(guī)則排列組合在一起的物理符號(hào)。這物理符號(hào)存在的方式可以使數(shù)字、文字、圖像等也可以是計(jì)算機(jī)代碼。人們通過(guò)計(jì)算機(jī)進(jìn)行信息的查詢(xún)，保存等工作，大量的信息以代碼的形式保存在計(jì)算機(jī)的儲(chǔ)存卡中，進(jìn)而形成了計(jì)算機(jī)數(shù)據(jù)。在計(jì)算機(jī)中，這些數(shù)據(jù)雖然得到了良好的保存，但是，經(jīng)常會(huì)出現(xiàn)計(jì)算機(jī)損害，造成數(shù)據(jù)破壞和銷(xiāo)毀等跡象。在數(shù)據(jù)丟失之后，通?？梢酝ㄟ^(guò)操作系統(tǒng)、重新下載等方式進(jìn)行信息找回，但是，這不僅浪費(fèi)時(shí)間不說(shuō)，還造成人們的經(jīng)濟(jì)和利益損失，并且浪費(fèi)大齡的精力。但是，有一些數(shù)據(jù)的損失是不能進(jìn)行有效的找回的。如稿件、客戶(hù)信息等這些重要的數(shù)據(jù)一旦丟失并不是只花費(fèi)一定的時(shí)間和精力就可以彌補(bǔ)的。這帶給人們巨大的精神損失和經(jīng)濟(jì)損失。還有些資料的丟失給人們?cè)斐闪穗y以承受的傷害。

一、引起數(shù)據(jù)丟失、破壞的原因

首先，網(wǎng)絡(luò)具有開(kāi)放性、匿名性和共享性等特點(diǎn)，這就對(duì)計(jì)算機(jī)網(wǎng)路的安全提出了挑戰(zhàn)；其次，操作系統(tǒng)不完善不成熟，軟件自身不安全，系統(tǒng)設(shè)計(jì)不全面，這都會(huì)留下網(wǎng)絡(luò)的安全隱患；再者，防火墻的脆弱性以及受自然情況的影響和管理欠缺、規(guī)章制度不全面、安全水平低、操作事物等都會(huì)對(duì)計(jì)算機(jī)信息的安全產(chǎn)生影響。其中，計(jì)算機(jī)在傳輸信息和儲(chǔ)存資料中扮演者重要的角色，在大大提高了工作效率和方便了人們生活的同時(shí)，一些新的問(wèn)題也應(yīng)用而生，列如：數(shù)據(jù)損害、計(jì)算機(jī)故障、黑客入侵等，都會(huì)給人們帶來(lái)嚴(yán)重的損失和必不可少的利益的受損。這些也有可能是人為的因素，也有一部分是自然原因，機(jī)體設(shè)計(jì)不健全、管理不到位等，主要包括以下幾方面的原因：

1.1計(jì)算機(jī)設(shè)計(jì)不完善

在計(jì)算機(jī)的研制當(dāng)中，很有可能出現(xiàn)設(shè)計(jì)不合理或檢查不完善等情況的發(fā)生，計(jì)算機(jī)的制作，是人為發(fā)明的，只要是認(rèn)為研制的物品，都必不可少的存在一定的缺陷。有些數(shù)據(jù)的使用和書(shū)寫(xiě)錯(cuò)誤，就會(huì)導(dǎo)致計(jì)算機(jī)研制的不健全。因此，在進(jìn)行計(jì)算機(jī)系統(tǒng)研制的時(shí)，應(yīng)該進(jìn)行詳細(xì)的檢查，減少錯(cuò)誤的發(fā)生。

1.2計(jì)算機(jī)硬件故障

計(jì)算機(jī)的硬件是整個(gè)系統(tǒng)的基礎(chǔ)，由于使用不合理或者產(chǎn)品使用不佳等情況，計(jì)算機(jī)的硬件很有可能損壞。進(jìn)而影響計(jì)算機(jī)的使用和數(shù)據(jù)的存儲(chǔ)。例如：硬盤(pán)磁道的損壞、服務(wù)器停止等，都會(huì)加劇硬盤(pán)的損傷，今而毀壞電腦數(shù)據(jù)。

1.3計(jì)算階軟件故障

由于用戶(hù)使用不當(dāng)或者系統(tǒng)設(shè)計(jì)有缺陷等，不穩(wěn)定因素的出現(xiàn)，計(jì)算機(jī)系統(tǒng)可能出現(xiàn)癱瘓等情況而無(wú)法使用。黑客入侵、偷盜、壓力和緊張?jiān)斐傻恼`刪等情況不可避免。

1.4邏輯錯(cuò)誤

邏輯錯(cuò)誤顧名思義，是因?yàn)檫壿嬌系膿p壞，一般的軟件可以進(jìn)行解決，常見(jiàn)的問(wèn)題有：病毒感染、誤操作、誤刪除、斷電等事故的出現(xiàn)。會(huì)導(dǎo)致大量的數(shù)據(jù)損害和銷(xiāo)毀、操作系統(tǒng)丟失，無(wú)法正常的使用和啟動(dòng)，找不到文件、文件打開(kāi)后亂碼或者文件打不開(kāi)等情況的發(fā)生。

1.5破壞性病毒

病毒是系統(tǒng)可能遭受破壞的一個(gè)非常重要的問(wèn)題，隨著信息技術(shù)側(cè)不斷發(fā)展完善，病毒的產(chǎn)生也越來(lái)越頻繁種類(lèi)也越來(lái)越齊全?，F(xiàn)在，病毒不僅僅能破壞軟件系統(tǒng)，還可能破壞計(jì)算機(jī)的硬件系統(tǒng)。例如：CIH病毒就是一個(gè)典型的破壞計(jì)算機(jī)硬件系統(tǒng)的病毒。

1.5自然災(zāi)害

例如：火災(zāi)、雷電、洪水、地震、颶風(fēng)等，這是人力幾乎無(wú)法抗拒的原因。

二、計(jì)算機(jī)數(shù)據(jù)恢復(fù)的基本原理與恢復(fù)實(shí)現(xiàn)

下面通過(guò)比較常見(jiàn)計(jì)算機(jī)數(shù)據(jù)故障的數(shù)據(jù)恢復(fù)案例來(lái)詳細(xì)探討數(shù)據(jù)恢復(fù)的實(shí)現(xiàn)原理。

2.1文件誤刪除的數(shù)據(jù)恢復(fù)

2.1.1數(shù)據(jù)損壞的原因文件被誤刪除（徹底刪除，而不是放到回收站里）。

2.1.2恢復(fù)前的分析

根據(jù)上述文件損壞的原因，對(duì)于操作系統(tǒng)來(lái)說(shuō)，該文件是真的不存在了。那么這個(gè)文件還能夠被恢復(fù)嗎？答案是很有可能（不是絕對(duì)的）。文件可以恢復(fù)的理論依據(jù)是，我們?cè)趧h除文件時(shí)，操作系統(tǒng)并不是將文件所在所有扇區(qū)，按字節(jié)全部清0，從而將文件數(shù)據(jù)徹底擦除。事實(shí)上系統(tǒng)僅僅改動(dòng)了該文件在文件目錄表（FDT）中和文件分配表（FAT）中的特定記錄信息。具體的講，系統(tǒng)將該文件目錄項(xiàng)的首字節(jié)改為E5H，并將記錄文件起始簇號(hào)高16位的2個(gè)字節(jié)清0，同時(shí)將該文件在文件分配表中的記錄信息清0，從而完成了所謂的“文件刪除”操作，而真正的文件信息，仍然保存在DATA區(qū)，“毫發(fā)未損”，只是系統(tǒng)找不到了。系統(tǒng)采用這種刪除方式，是為了提高操作效率。從客觀上，為我們實(shí)現(xiàn)數(shù)據(jù)恢復(fù)提供了可能性，只要能夠找到文件所在的位置，并獲得文件大小的數(shù)值，就很有可能將該文件恢復(fù)。

2.1.3文件恢復(fù)的實(shí)現(xiàn)原理

a.首先運(yùn)行磁盤(pán)編輯軟件winhex，打開(kāi)文件所在的分區(qū)，進(jìn)入文件目錄表，找到該文件的目錄項(xiàng)。由于其目錄項(xiàng)的首字節(jié)改為E5H，則短文件名被破壞了，但是文件擴(kuò)展名還在，記錄下來(lái)，為文件恢復(fù)后確定其打開(kāi)方式提供依據(jù)。

b.找到目錄項(xiàng)里該文件起始簇號(hào)低16位CH，換算出文件起始扇區(qū)號(hào)K0。計(jì)算公式如下：

K0=DBR+2*FAT+（CH-2）*S/N

DBR為DOS引導(dǎo)記錄區(qū)所占用的扇區(qū)數(shù)，

DBR=32，固定值；

FAT為文件分配表所占用的扇區(qū)數(shù)，

FAT=FAT2起始扇區(qū)號(hào)-FAT1起始扇區(qū)號(hào)；

S=512（扇區(qū)的字節(jié)數(shù)）；N=簇因子值。

c.進(jìn)到DATA（數(shù)據(jù)）區(qū)，移動(dòng)到KO扇區(qū)選擇“塊首”，再移動(dòng)到Km扇區(qū)，選擇“塊尾”，選擇“復(fù)制”———“新文件”命令，輸人文件名、擴(kuò)展名（用原來(lái)的文件名），給出保存路徑（必須保存在非當(dāng)前分區(qū)），最后按“確定”，該文件恢復(fù)就完成了。

文件修復(fù)的重要前提文件要在連續(xù)的簇上存儲(chǔ)，否則很難恢復(fù)；文件起始簇號(hào)高16位未使用，否則文件起始扇區(qū)信息丟失；文件所在的分區(qū)，在文件誤刪除后，一定不要寫(xiě)入新的數(shù)據(jù)，否則，新文件的信息可能會(huì)覆蓋掉該文件的目錄項(xiàng)信息。

說(shuō)明：以上的修復(fù)過(guò)程，僅僅是為了說(shuō)明文件誤刪除恢復(fù)的原理，在實(shí)際應(yīng)用中，為了提高操作效率，建議使用數(shù)據(jù)恢復(fù)軟件，如EasyRecory進(jìn)行恢復(fù)，這類(lèi)軟件的操作原理和上述手工方式是一樣，只不過(guò)自動(dòng)程度高，處理速度快而已。

2.2分區(qū)誤格式化的數(shù)據(jù)恢復(fù)

2.2.1數(shù)據(jù)損壞原因

對(duì)分區(qū)誤格式化操作。

2.2.2恢復(fù)前的分析

根據(jù)上述數(shù)據(jù)損壞的原因，對(duì)于操作系統(tǒng)來(lái)說(shuō)，該分區(qū)上所有數(shù)據(jù)都已被刪除，變成了一個(gè)新的分區(qū)。而事實(shí)上系統(tǒng)只是將該分區(qū)根目錄的FDT表和FAT表清0，但各級(jí)子目錄下的FDT表中的記錄信息還存在，因此，還是很有可能恢復(fù)分區(qū)子目錄下的所有數(shù)據(jù)的。

結(jié)束語(yǔ)

由此可見(jiàn)，數(shù)據(jù)恢復(fù)軟件也不是萬(wàn)能的，單純依賴(lài)此類(lèi)軟件工具并不能解決數(shù)據(jù)恢復(fù)的所有問(wèn)題，所以深入了解硬盤(pán)的邏輯結(jié)構(gòu)和數(shù)據(jù)組織的相關(guān)原理，進(jìn)而熟練掌握數(shù)據(jù)手工恢復(fù)操作的方法和技巧仍是十分必要的。

參考文獻(xiàn)：

[1]陶永紅.數(shù)據(jù)恢復(fù)實(shí)踐與研究[J].信息網(wǎng)絡(luò)安全42013.472-74

[2]王立鵬，王震.數(shù)據(jù)恢復(fù)在司法鑒定中的應(yīng)用調(diào)查研究[J].科技信息102013，101-2.

[3]王寧，劉志軍，Windows7系統(tǒng)注冊(cè)表的取證分析[J]警察技術(shù)32013，3，39-41

[4]朱小龍，孫國(guó)梓.瀏覽器歷史痕跡提取技術(shù)[J].信息網(wǎng)絡(luò)安全12013.119-21.