数据恢复实训报告.doc

xxxxxxx学生实习（实训）总结报告 学 院:xxxxxxxxxxxxxxxxxx 专业班级:_xxxxxxxxxx_学生姓名:_xxxxxxxxx_ 学 号:xxxxxxxxxx_实习(实训)地点:_xxxxx_ _ _报告题目:_xxxxxxxxxxxxxxxxxxxx_ _ 报告日期： xxx 年 xxx月 xxx日 指导教师评语: _ _ _ 成绩（五级记分制）:_ _ 指导教师（签字）:_xxxxx实习（实训）任务书设计题目：数据恢复技术应用学生姓名xxxxx课程名称xxxxx专业班级xxxxx地 点xxxxx起止时间xxxxx设计内容及要求数据恢复是在系统数据丢失或其他诸多原因而导致的灾难后，快速进行数据恢复，以保障系统正常运行的常用手段。通过该综合训练，使学生了解数据恢复的重要性，并认识到电磁泄漏现象引起的数据恢复，硬件损坏、文件的删除等实现数据恢复的内容。要求：理解数据备份的重要性，以及磁盘数据恢复的原理，认识数据恢复技术对信息安全的影响。能够使用数据恢复软件EasyRecovery进行文件恢复。提高要求：能够对磁盘数据进行彻底清除。设计参数1、 掌握EasyRecovery的应用；2、 理解磁盘分区的原理及特征；3、 设计利用EasyRecovery或手动方法进行数据恢复的解决方案。 进度要求12月1920日：了解设计任务、掌握磁盘分区特征、熟悉工具软件；12月2128日：数据恢复的实施；12月2930日：撰写综合训练总结报告，作品检查、提交、答辩。参考资料1 吴灏网络攻防技术M北京：机械工业出版社，20092胡建伟.网络安全与保密M. 西安电子科技大学出版社，2006.3牛少彰，江为强.网络的攻击于防范理论与实践M. 北京：北京邮电大学出版社，2006.4 蒋朝惠. 信息安全综合实验M. 北京：中国铁道出版社，2010.5 蒋朝惠. 信息安全原理与技术M. 北京：中国铁道出版社，2009.其它说明.本表应在每次实施前一周由负责教师填写二份，院系审批后交院系办备案，一份由负责教师留用。.若填写内容较多可另纸附后。3.一题多名学生共用的，在设计内容、参数、要求等方面应有所区别。系主任： 指导教师：xxxxx年 月 日前言随着计算机技术的发展，同时硬盘由于其容量大价格便宜也成为人们存储数据的主要设备。然而由于种种原因，硬盘的数据可能会被损坏，这也给个人和社会带来很大的损失。因此，数据损坏后的数据恢复显得非常重要。虽然在数据恢复领域有很多的厂商已经有比较成熟的技术。然而对于并不了解硬盘原理普通人来说，如果试图恢复数据，但又无法采用很好的方法，选择正确的工具，就很难很好的恢复数据。然而不管用什么方法进行数据恢复，都不能保证100%的能成功，所以在使用电脑时，我们应该注意数据备份工作。本文分析了硬盘的有关内部结构与文件存储系统以及硬盘数据损坏的有关原因，然后介绍如何使用数据恢复软件EasyRecovery进行文件恢复。目录前言I1 设计内容及要求11.1 实训内容11.2 实训要求12 数据恢复原理23 数据恢复常见实例43.1 主引导区的恢复43.2 分区表破坏修复53.3 DBR修复53.4 文件删除后的修复63.5 因病毒侵害而导致的文件丢失63.6 利用EasyRecovery恢复丢失文件74 总结14致谢15参考文献161 设计内容及要求硬盘数据丢失对于硬盘来说，仅仅就是硬盘上的某些地方的磁性消失。硬盘数据的丢失的原因本来就有很多种，可能因为人的误操作而丢失，也可能是因为病毒的入侵而破坏数据。并且数据丢失的程度与情况也不尽相同。可能是文件数据的丢失，可能是文件分配（FAT）表丢失，也可能硬盘的分区表等重要信息丢失。所以，硬盘数据丢失本身就是一个非常复杂的问题。要恢复硬盘的数据首先就是要分析硬盘的结构，分析数据丢失的情况。只有彻底分析硬盘数据丢失的原因才能更好的采取下一步的行动。同时，由于硬盘可能的数据丢失的情况的复杂性，这也使得数据恢复的方法的多样性。对于不同的情况，必须采用不同的方法，才会有更好的效果。1.1 实训内容数据恢复是在系统数据丢失或其他诸多原因而导致的灾难后，快速进行数据恢复，以保障系统正常运行的常用手段。通过该综合训练，使学生了解数据恢复的重要性，并认识到电磁泄漏现象引起的数据恢复，硬件损坏、文件的删除等实现数据恢复的内容。1.2 实训要求要求：理解数据备份的重要性，以及磁盘数据恢复的原理，认识数据恢复技术对信息安全的影响。能够使用数据恢复软件EasyRecovery进行文件恢复。2 数据恢复原理要了解数据恢复的原理，我们就不得不先理解硬盘的数据结构、文件的存储原理，甚至操作系统的启动流程，这些是我们在恢复硬盘数据时必须使用的基础知识。刚生产出来的硬盘是无法使用的，若要使用就先将它分区、格式化，然后再安装上操作系统才可以使用。而在这一过程中，要将硬盘分成主引导区（MBR），操作系统引导记录区（DBR）、AT 表、DIR 目录区和 DATA 数据区五个部分。MBR(Main Boot Record，主引导区)位于整个硬盘的 0 磁道 0 柱面 1 扇区中。不过在总共 512 字节的主引导扇区中，MBR 只占了其中的 446 字节，另外的 64字节交给了 DPT(Disk Partition Table，硬盘分区表)，最后的两个字节“55AA”是分区的结束标志，其整体构成了硬盘的主引导扇区。DBR(Dos Boot Record，操作系统引导区)，DBR 是由高级格式化程序(如 Format.m 等程序)所产生。通常位于硬盘的 0 磁道 1 柱面 1扇区，是操作系统可以直接访问的第一个扇区，它包括一个引导程序和一个被称为 BPB(Bios Parameter Block)的分区参数记录表，最后的结束标志为“55AA”。引导程序的主要任务是当 MBR 将系统控制权交给它时，判断本分区跟目录前两个文件是不是操作系统的引导文件。如果确定存在,就把它读入内存，并把控制权交给该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数，分配单元的大小等重要参数。FAT(File Allocation Table，文件分配表)，是操作系统的文件寻址系统。为了防止意外损坏，FAT 一般做两个(也可以设置为一个)，第二个 FAT 为第一个 FAT的备份。同一个文件的数据并不一定完整地存放在磁盘的一个连续的区域内，而往往会分成若干段，像一条链子一样存放，这样存放更多是为了读写速度上的考虑。由于硬盘上保存着段与段之间的连接信息，操作系统在读取文件时，总是能够准确地找到各段的位置并正确读出。在 FAT 区之后便是 DIR 目录区与 DATA 数据区，其中目录区起到定位的作用，通过这些目录可以找到相应的数据。数据区是真正存储数据的地方。数据出现问题主要包括两大类：逻辑问题和硬件问题，相对应的恢复也分别称为软件恢复和硬件恢复。本文主要从软件恢复来讨论数据的恢复方法。软件恢复是指通过软件的方式进行数据修复，整个过程并不涉及硬件维修。而导致数据丢失的原因往往是病毒感染、误格式化、误分区、误克隆、误删除、操作断电等。事实上，造成软件类数据丢失的原因十分复杂，每种情况都有特定的症状出现，或者多种症状同时出现。一般情况下，只要数据区没有被彻底覆盖，个人用户通过相关软件的使用，一般都可以顺利恢复。以最普通的删除操作为例，实际上此时保存在硬盘中的文件并没有真正被完全覆盖掉，而只是把指向这数据存储空间的链条删除了，真正的数据还是以二进制的方式存储在硬盘上。只要这些数据不被覆盖，通过一些特定的软件方法，对这些存储数据的磁盘进行扫描，通过对所扫描得到的数据进行分析，以一定的格式来进行编译，就能够在一定范围内把丢失的数据找回来。比如一块硬盘或者是一个闪存，在 Windows下进行高级格式化，实际上主要是对FAT表进行重新分配，把通向原来数据的通道给切断了，这样从表面上看起来是把磁盘进行格式化了，而实际上原来存储的数据还存储在盘片或是存储元件上，通过对盘片或存储元件进行扫描，然后按照主引导区、分区、DBR、FAT、文件实体恢复的顺序来解决，可以在一定限度内对文件进行恢复。当然也应当承认的是，尽管软件类数据恢复有很多细节性的技巧与难以简单表达的经验，但是也的确存在现有软件恢复技术无能为力的情况。如果硬盘中的数据被完全覆盖或多次被部分覆盖，很可能使用任何软件也无法修复。基于以上原因，当出现数据丢失的情况时，最主要的操作就是不要对原来存放数据的区域进行数据存储或写操作，以保持原来存放数据的区域不被改动，为数据恢复做好充足的准备。3 数据恢复常见实例3.1 主引导区的恢复MBR（Master Boot Record），是硬盘的主引导记录，在主引导扇区，位于硬盘的 cylinder 0， head 0， sector 1（Sector 是从 1 开始的）。MBR 可以通过 FDISK创建，通过 INT 13h 的 fun 2 来读取。引导扇区是每个分区（Partition）的第一扇区，而主引导扇区是硬盘的第一扇区。它由三个部分组成，主引导记录 MBR、硬盘分区表 DPT 和硬盘有效标志。在总共 512 字节的主引导扇区里 MBR 占 446个字节（偏移 0-偏移 1BDH），DPT 占 64 个字节（偏移 1BEH-偏移 1FDH），最后两个字节“55AA”（偏移 1FEH-偏移 1FFH）是硬盘有效标志。对于开机自检后提示Miss operation system而且 DOS 下查看 C 盘内容完整，这是属于主引导区故障。另外在电脑启动中，系统能够通过自检并检测到硬盘，但在即将进入操作系统之前提示DISK BOOT FAILURE.INSERT SYSTEM DISK AND PRESS ENER，这也是主引导区错误。对于这一类故障，可以用软盘或是光盘来启动，进行 DOS 系统,然后键入C：，看能否读取 C 盘上的内容。如果C 盘上的内容可以读取的话，大家只要使用 Fdisk/mbr 命令就可以进行无条件重写主引导区，这个方法一般都能成功，而且可以保留原有的数据。当然即便是不能读取 C 盘，我们也可以使用 Fdisk/mbr 命令。事实上 Fdisk/mbr的作用十分明显，也能对付一些主引导区病毒，大家一定要好好利用，这堪称是对付硬盘在 BIOS 下可以识别而 DOS 下无法操作的第一工具。修复 MBR 命令 Fdisk /mbr 详解：1.主引导程序受损此乃常见故障，硬盘不能自举，微机死锁，或显示 boot failureinsert system diskette，之类；经由软盘引导，fdisk 命令能列出分区信息。取硬盘同版本 dos软盘或应急盘引导，运行 afdisk/mbr 命令，仅向主引导扇区写入当前系统固有的主引导程序，硬盘即恢复自举能力，如果 dos 引导信息及系统文件等均正常。2.仅设基本 dos 分区硬盘的主引导信息全损前述表现之外，执行 ac:，显示 invalid drive specification，乃分区表遭毁；fdisk 命令不能列出分区信息。实践中曾遇两例原仅设基本 dos 分区的硬盘(无扩展 dos 分区)，主引导扇区面目皆非，经分别运行原用的 ms dos 7.0及 7.1 fdisk /mbr 命令，常规重写全套完全适用的主引导信息，由于其 dos引导信息、文件分配表、根目录及用户数据完好，c盘均迅即康复。(常规 fdisk命令初始化 dos引导扇区等，有需后续处理)。3.清除lilo信息在以系统自带的linux load过程中，每修改主引导信息，籍以导linux。需要时，删除linux分区后，可用fdisk /mbr命令恢复系统固有的主引导程序。3.2 分区表破坏修复如用 PQ Magic 时操作失误所导致的无法进入系统或者是进入系统后文件打不开等情况，即是典型的分区表故障。自动修复分区表的操作一般就是通过查找备份分区表并复制相应扇区，这里使用 DiskGenius 软件。此软件可以在纯 DOS系统下运行。操作方法：首先将此软件拷入启动盘，之后可以直接运行，进入此软件的主界面后，按下 F10 就能够轻松地自动恢复硬盘分区表。3.3 DBR修复对于一台电脑，在 Windows 系统下打开一个分区时提示未被格式化，在 DOS下进入此分区时提示General Fail Reading Drive。这种情况下，如果使用格式化工具对所要访问的分区进行格式化，当然就很轻松地进入此分区，但代价就是此分区下所有的数据都将不复存在，此做法也与挽救数据的最终目的相违背。这时可以用 WinHex 软件来修复 DBR 模板。在使用时可以把出问题的硬盘当作从盘进行挂接，随后从打开的 WinHex 中选择此硬盘，而后此软件就可以使用硬盘中的分区表信息来处理分区，以达到修复的目的。3.4 文件删除后的修复当我们存储一个文件的时候，操作系统首先会在一个记录所有空间使用情况的文件分配表中，找到足够容纳我们的新文件的空间，然后把文件内容写到相对应的硬盘扇区上，最后在分配表中标出该空间被占用了。当我们删除一个文件的时候，一般并不对实际文件所占用的扇区进行操作，而是仅仅在该分配表中标记哪些空间是空白的，可以分配给别的文件使用。事实上在这个时候，要删除的文件的实际内容并没有受到破坏，可以恢复回来。但是如果我们删除一个文件后，在原来文件所在的扇区上，又重新创建了一个文件，那么被删除文件所占用的扇区就有可能被新创建的文件所使用，这时候就无法恢复原来被删除的文件了。但如果在删除的时候按住了SHIFT 键，那么就相当于把数据进行了物理删除，而没有通过回收站，这时候就无法通过一般的方法来找回删除的数据了。文件删除后的恢复方法相对简单。操作系统删除文件的操作进行了两方面个操作：一，将文件在磁盘的文件目录表中的相应文件目录登记项的第一个字节更改了E5H；二，将文件所占簇号在文件分配表中的记录清零，以释放该文件所占空间。文件数据信息仍然“保留”在硬盘数据区中。因此此类型的数据恢复只要通过某些硬盘管理工具或者数据恢复软件（比如 EasyRecovery），按照有关的设置进行。被彻底删除的文件还是很容易被恢复过来。必须注意的是，恢复后的数据一定不能存放在原来的硬盘分区。3.5 因病毒侵害而导致的文件家丢失有这么一类病毒，感染后会在根目录下创建一个与原文件夹同名且可以运行的程序，使用杀毒软件把病毒查杀后，原来的文件夹都变成隐藏的了，并且通过查看文件夹的属性不能进行修改。虽然使用专业的修改软件可以进行修改，但使用较为麻烦。这里可以使用 Attrib 命令。在 Windows 运行的过程中，打开 MS-DOS，无论是 Windows98，还是 Window7.0，都可以通过运行 CMD 命令打开 DOS，而后找到相应的盘符，输入 attrib /d /shs，这样就可以把隐藏的文件恢复到正常的状态了。Attrib 是修改文件夹属性的一个 DOS 命令，/d 与/s 是两个开关，-h 就是消除隐藏属性。3.6 利用EasyRecovery恢复丢失文件 EasyRecovery 是数据恢复公司 Ontrack 的产品，它是一个硬盘数据恢复工具，能够帮你恢复丢失的数据以及重建文件系统。下面我们图文结合介绍如何利用EasyRecovery恢复删除的文件。图 3.1 目录中的原文件如图3.1 在E盘下网络安全实验文件夹中，有2个MP3文件，2个TXT文件，一个DOC文件。下面我们将把这5个文件删除。图 3.2 删除文件图 3.3 未在回收站如上2图，图3.2和3.3，我们对这5个文件进行完全性删除，没有放入到回收站中。图 3.4 EasyRecovery软件如图3.4 ，为EasyRecovery软件，EasyRecovery本来是一款英文软件，为了方便适用我们下载了一个汉化的EasyRecovery软件。这款软件使用很方便，只需要双击压缩包中的EXE文件即可。图 3.5 EasyRecovery数据恢复选项如图 3.5所示，在启动 EasyRecovery 之后，点击左边列表中的“数据修复”。数据修复里面有六个选项，分别是：磁盘诊断、数据恢复、文件恢复、邮件恢复、软件更新、救援中心。我们点击数据恢复，然后点击DeletedRecovery，它的功能是查找并恢复已删除的文件。图 3.6 扫描E盘文件如图 3.6 为扫描文件，因为我们刚才删除的是 E 盘中的文件，因此我们将硬盘的盘符选择成 E，点击下一步后，软件就开始扫描E盘分区了。图 3.7 正在扫描图3.8 扫描完成如图3.7 ，图3.8经过软件的扫描，我们找到了刚才E盘当中被删除的文件，列表中显示了各个文件的信息。图3.9 选择恢复地址如图3.8中，在所要恢复的文件前面的白色方框中点击鼠标打钩选中。然后点击下一步，界面中如图3.9为选择恢复的文件存放路径。对于恢复地址这里要说明一下：选择好要恢复的文件后，我们就来选择恢复目标的选项，一般我们都是恢复到本地驱动器里的，此时需要注意的是恢复的文件不能与原来的保存分区一致，否则不能保存。举个例子，刚才我们删除的是E盘的文件夹，接下来我们选择将文档存放在 D 盘的文件夹中。点击下一步后，文件就开始恢复了，恢复完成后，弹出一个对话框显示文件恢复报告，你可以进行保存或取消，这样文件恢复就完成了。图3.10 恢复完全如图3.10为最后恢复得到的文件。4 总结硬盘数据恢复的基础是在数据丢失后没有对磁盘进行任何写操作或者低级格式化。而且可能恢复的概率也不可能是百分之百，所以数据备份就尤为重要。 在日常使用电脑时在装好操作系统后最好对硬盘和系统一些重要数据如分区表，DBR进行备份，并且定期对硬盘重要分区数据进行备份，只有这样，在硬盘数据损坏后可以最大程度的恢复数据。对于一般情况的数据丢失，我们必须首先详细的分析原因，采取对应的有效的方法，在数据恢复时首先复制一份原硬盘数据，以免出现意外情况，使得数据又受到更严重的损坏。在恢复时不能保存恢复后的数据到原来的逻辑分区。致谢通过两周的综合实训，学到了很多关于数据恢复方面的知识。感谢父母的精心培养和无私的给予，您们是我学习和生活的源动力。感谢你们让我懂得了如何生活。感谢老师辛勤培养，无私的栽培。参考文献1 吴灏网络攻防技术M北京：机械工业出版社，20092胡建伟.网络安全与保密M. 西安电子科技大学出版社，2006.3牛少彰，江为强.网络的攻击于防范理论与实践M. 北京：北京邮电大学出版社，2006.4 蒋朝惠. 信息安全综合实验M. 北京：中国铁道出版社，2010.5 蒋朝惠. 信息安全原理与技术M. 北京：中国铁道出版社，2009.