[转帖]一个价值百万的专题 数据恢复技术大揭密(一) 计算机安全专家威廉·史密斯说:“创建这些数据也许只花了10万元,但当你在关键时刻打算把它们全部找回来时,你得准备100万元的支票。”
而如果你掌握了数据恢复技能,你就可以节省下这100万元,甚至还能从其他人那里赚取100万元!
现在,我们一起走近这项价值百万元的技术,你会发现,这项看似神秘的技术掌握起来并不太难。
硬盘有价而数据无价
硬盘有价而数据无价,或许很多人都有这样的概念,但是只有在真正遇到数据危机时才会有切身的感受,下面的几个镜头画面也许在你身边也发生过。
镜头一:一夜损失200万元!
2005年6月12日晚,上海某国际货运公司由三块SCSI硬盘组成的RAID5磁盘阵列突然出现故障而无法读取。由于这组磁盘阵列中存储了客户的数据,因此一旦出现故障整个公司的业务将陷入瘫痪。为拯救数据一夜就付出200万元的代价,对这个公司来说其感受就一个字——“痛”!
镜头二:停业!人心惶惶,声誉尽失……
大连某信用社的服务器磁盘阵列因供电系统异常而损坏,由于未及时备份前日和当日数据,只好调动全社工作人员连夜根据底单逐笔补账,并因此而停业一天,导致不明真相的客户人心惶惶,严重地影响了信用社的声誉。
镜头三:一个月的辛苦付之东流
重庆某公司用于保存全套参展和竞标方案的笔记本电脑硬盘在展会开幕前夕突然损坏,导致公司在展会上的活动大受影响,最后在本来很有希望的竞标中铩羽而归,公司上下一个多月的辛苦全部付诸东流。
类似的事件几乎每天都在发生。数据的意外损失给当事人带来的不仅仅是心痛,而且可能导致巨额的经济损失,甚至会导致公司从此一蹶不振。
尽管存储在各种磁盘中的计算机数据如此重要,但由于技术和工艺的原因,任何存储设备都存在毁损的风险。运行环境的改变和恶化,违规操作或折磨式操作,病毒的破坏和黑客的入侵,以及难以避免的各种异常情况,都可能导致存储设备报废和软件系统崩溃。
有实力的大公司、科研机构、政府部门等可以采取先进的冗余、容错、备份技术来减小或消除因计算机故障而产生的损失。然而对大多数中小企业和个人来说,这样的技术是难以承受的奢侈品。
既然无法在系统级获得保障,就只能在数据备份上多下功夫,并掌握必要的数据恢复手段。
拯救数据只在弹指间
早先,数据恢复是一项专业性很强的工作,需要对磁盘结构和文件系统有透彻的了解,能够在扇区和FAT表之间穿梭自如。若要对数据库数据进行修复和对加密文件进行解密,还必须具备过硬的数据库知识和加解密知识。即使到现在,许多数据恢复工作依然得靠专业人员借助专门的工具或设备才能完成,如拆开硬盘直接读取盘片。
由于需要恢复的数据都极具价值,而且通过别的方法恢复要付出更加昂贵的代价,因此数据恢复的费用一般都很高,花费上万元甚至几十万元找回一只价值几百元的硬盘上的数据的事情并不少见。
2005年4月,上海一家公司为恢复外贸客户资料,花十万元请专业数据恢复公司出手,终于在正式谈判前搞定,挽回了一张数百万元大单。由于挣钱故事往往充满传奇性,因此数据恢复这个行当在相当长的间里罩着神秘的面纱,数据恢复技术也被一些人吹嘘为旁人难窥门径的高技术。
其实并非如此。随着数据恢复技术的进步,以及大量功能强大的数据恢复软件的面世,往常不可企及的事现在非专业人员也可以问津了。对常见的数据丢失或损坏情况,如误删除或误格式化、分区丢失、磁盘产生坏道、中低强度加密等,在一定条件下,普通用户就可以借助数据恢复软件或密码破解软件进行数据的恢复或修复。
尽管大多数数据恢复软件还存在这样或那样的问题,但综合利用多种数据恢复软件并掌握一定的技巧,仍然可以将绝大多数数据恢复过来。
拯救数据还存商机
因特网的普及,使计算机暴露在更加“险恶”的环境中,存储于其中的数据受到的威胁成倍增加。而目前中小企业和个人数据安全意识普遍较差,对计算机的可靠性和安全性既缺乏了解又信任过了头,以致连起码的数据备份也疏于做或懒得做,于是数据轻易丢失又费尽周折找回的悲喜剧每天都在上演。
当然,从另一个角度看,这也意味着数据恢复有着巨大的商机。许多专做数据恢复的公司先后冒了出来,一些技术精湛的个人也涉足其中,本报以前就介绍过一位数据恢复高手和他的拯救数据的事业。
如果掌握了各种情况下数据丢失后的恢复技术,能够帮助用户快速找回丢失的数据,这就意味着有机会抓住这个具有潜力的商机。在一些大城市(北京、上海等)都有专业的数据恢复公司,它们专门帮助用户恢复丢失的数据,而在一些中小城市中,并没有专业帮助用户进行数据恢复的公司。而在国内,中小城市的比率大,换句话说,即使已经出现了专业的数据恢复公司,但是这块硕大的蛋糕只有很小一块已经被别人占有,剩下的却是大块头。
如果你对数据恢复颇有心得,对各种数据恢复软件的使用非常了解,不妨做做这桩本钱不大收益却很丰厚的生意。
动手恢复数据前应具备心态及基本功
针对一些简单的软件类数据丢失,我们自己动手就能解决问题,不仅可以省下一大笔费用,而且对自己的电脑水平的提高也是一个难得的机会。对于硬件数据恢复以及复杂的服务器磁盘阵列数据恢复,了解其过程也有助于我们选择适合的数据恢复服务商,并且可具备最基本的应急能力。掌握数据恢复的基本手段会使你遭遇突如其来的灾难时更加镇定,此时合理的解决方法自然能够成功挽救数据。
面对危机心态也很重要
一旦遭遇数据危机,保持一份从容不迫的心态非常重要,出现手忙脚乱的情况则很可能造成更大的破坏,让本来可以恢复的数据变得无法挽救。事实上,自己独立挽救百万元价值的数据并非是天方谭谈,只要掌握一些操作技巧并方法得当,大家完全可能会扮演拯救数据危机的英雄角色。下面我们将帮助大家了解哪些数据是可以恢复的,同时提供必要的基础知识和科学有效的修复步骤,将濒临毁灭的数据一步一步挽救回来。
对症下药:哪些数据可以挽救
数据出现问题主要包括两大类:逻辑问题和硬件问题,相对应的恢复也分别称为软件恢复和硬件恢复。软件恢复是指通过软件的方式进行数据修复,整个过程并不涉及硬件维修。而导致数据丢失的原因往往是病毒感染、误格式化、误分区、误克隆、误删除、操作断电等。
软件类故障的特点为:无法进入操作系统、文件无法读取、文件无法被关联的应用程序打开、文件丢失、分区丢失、乱码显示等。
事实上,造成软件类数据丢失的原因十分复杂,每种情况都有特定的症状出现,或者多种症状同时出现。一般情况下,只要数据区没有被彻底覆盖,个人用户通过本专题的学习,基本上都可以顺利恢复。以最普通的删除操作为例,实际上此时保存在硬盘中的文件并没有被完全覆盖掉,通过一些特定的软件方法,能够按照主引导区、分区、DBR、FAT,最后文件实体恢复的顺序来解决。
当然也应客观承认的是,尽管软件类数据恢复有很多细节性的技巧与难以简单表达的经验,但是也的确存在现有软件恢复技术无能为力的情况。如果硬盘中的数据被完全覆盖或者多次被部分覆盖,很可能使用任何软件也无法修复。至于业内谣传的美国部分专业数据恢复服务商能够在数据7次被彻底覆盖的情况下顺利恢复数据,这种说话也未经考证,而且从存储原理的角度来看其可能性并不大,否则我们的硬盘岂不是可以轻松扩容7倍?
练好基本功:硬盘数据存储结构要分清
想恢复数据,我们就必须先来了解硬盘的存储结构,以便在恢复数据时好对症下药。
刚买来的硬盘,我们是没有办法使用的,需要将它分区、格式化,然后再安装上操作系统才可以使用。而在这一过程中,要将硬盘分成主引导区(MBR)、操作系统引导记录区(DBR)、FAT表、DIR目录区和Data数据区等五部分(如图,硬盘存储的五个部分)。
MBR(Main Boot Record)位于整个硬盘的0磁道0柱面1扇区。不过,在总共512字节的主引导扇区中,MBR只占用了其中的446个字节,另外的64个字节交给了DPT(Disk Partition Table硬盘分区表),最后两个字节“55AA”是分区的结束标志,其整体构成了硬盘的主引导扇区。
主引导记录中包含了硬盘的一系列参数和一段引导程序。其中的硬盘引导程序的主要作用是检查分区表是否正确并且在系统硬件完成自检以后引导具有激活标志的分区上的操作系统,并将控制权交给启动程序。MBR是由分区程序(如Fdisk.exe)所产生的,它不依赖任何操作系统,而且硬盘引导程序也是可以改变的,从而实现多系统共存。
DBR(Dos Boot Record,操作系统引导区)通常位于硬盘的0磁道1柱面1扇区,是操作系统可以直接访问的第一个扇区,它包括一个引导程序和一个被称为BPB(Bios Parameter Block)的分区参数记录表。引导程序的主要任务是当MBR将系统控制权交给它时,判断本分区根目录前两个文件是不是操作系统的引导文件。如果确定存在,就把它读入内存,并把控制权交给该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数,分配单元的大小等重要参数。DBR是由高级格式化程序(如Format.com等程序)所产生。
FAT(File Allocation Table,即文件分配表),是操作系统的文件寻址系统。为了防止意外损坏,FAT一般做两个(也可以设置为一个),第二FAT为第一FAT的备份。同一个文件的数据并不一定完整地存放在磁盘的一个连续的区域内,而往往会分成若干段,像一条链子一样存放。由于硬盘上保存着段与段之间的连接信息,操作系统在读取文件时,总是能够准确地找到各段的位置并正确读出。在FAT区之后便是目录区与数据区,其中目录区起到定位的作用,而数据区则是真正存储数据的地方。
七大数据恢复绝技 让你身价倍升
七个经典案例,十种拯救方法,为你揭开专业数据恢复公司最常用的数据拯救大法,让你在危机时刻能轻而易举拯救价值上百万元的数据,从此让你身价倍增!
主引导区恢复一条命令就值400元
目前,正规数据恢复公司恢复数据的起价一般为300到400元,但一些简单的故障我们通过几分钟的学习完全就能自己解决,而不必送到专业的数据恢复公司恢复。
通常来说,一旦主引导记录和分区表被损坏,硬盘里的数据虽然无法访问 但也并没有丢失。所以我们可以利用软件修复损坏的主引导区,这样就可以找到丢失的数据。目前很多恶意程序都喜欢攻击硬盘的主引导区与分区表,有时候磁盘分区软件的误操作以及中途断电也会造成这类故障。
注:五颗星为最高级别。
案例:2005年6月8日,上海一家外贸公司老板的笔记本在开机启动过程中突然断电,当再次启动的时候,系统能够通过自检并检测到硬盘,但是即将进入操作系统之前提示“DISK BOOT FAILURE,INSERT SYSTEN DISK AND PRESS ENTER”。然而当时该公司的IT维护人员并不知道如何将这台全外置笔记本(没有内置光驱和软驱)引导进入DOS系统,而且对于数据恢复没有什么了解。在送到数据恢复公司时,工程师使用外置软盘启动并直接在DOS下查看C盘分区时,发现其中的数据都完好无损。
故障分析:这显然是一起典型的主引导区故障,只需要几分钟便可以搞定。此类故障大约占据整体软件故障的30%以上,所以学会对付这类问题的解决方法可谓掌握了一个有效的杀手锏。另外要提醒大家的是,如果开机自检后提示“Miss operation system”而且DOS下可以看到C盘完整内容,这也是属于主引导区故障。如果大家能够花点时间简单学习一下,完全可以自已解决。
对于这一类软件故障,大家可以用软盘启动系统。然后键入“C:”,看看能否读取C盘的内容。造成这一情况比较复杂,根据主引导区破坏程度的不同,C盘能否被读取也不能确定。如果C盘中的数据可以读出的话,那么大家只要使用Fdisk/mbr命令进行无条件重写主引导区一般都能成功,而且可以保留原有的数据。值得注意的是,运行Fdisk/mbr命令时系统是没有任何反应的,但实际上它已经起了作用,因为硬盘分区表的数据量很小,写入时间几乎让人感觉不到(图1,使用Fdisk/mbr命令无条件重写分区)。
图1
当然,即便不能读取C盘,我们也可以使用Fdisk/mbr命令。事实上Fdisk/mbr的作用十分明显,也能对付一些主引导区病毒,大家一定要好好利用,这堪称是对付硬盘在BIOS中可以识别而DOS下无法操作的第一件工具。
小知识:除了Fdisk的这一隐藏参数,大家还可以使用Fixmbr这款DOS下的小工具。在DOS下直接执行该文件之后,系统会自动检查分区表结构,经过用户确认之后,它就开始自动修复。与Fdisk/mbr命令相比,Fixmbr具有更好的效果,很多Fdisk/mbr命令不能解决的主引导区问题都能被它轻松搞定。
PCW工具谱
软件名称:Fixmbr
授权方式:共享软件
软件大小:12KB
下载地址:http://download.pchome.net/utility/antivirus/av98/6967.html
分区表破坏 导致文件无法访问
分区表的概念比主引导区更大,因此其故障情况已经包含上述主引导区故障,此外还会体现在进入操作系统后发现部分分区丢失,或是磁盘管理器中显示错误的容量。与主引导区相比,分区表被破坏时的修复相对要复杂一些。
案例:张先生是一家私营企业的财务主管,在电脑上安装了Windows 98和Windows XP双系统。但是最近想把Windows 98删除并且合并分区。不料在采用PQ Magic时操作失误,慌忙之下重新启动计算机。当再次进入Windows 98后,发现硬盘最后两个分区的容量都不对了,而且无法打开其中的文件。由于他保管的财务数据非常重要,因此一下子急得如热锅上的蚂蚁。最终张先生还是去了数据恢复公司进行处理,花费了整整600元,而且来回奔波令他苦不堪言。
故障分析:这应当属于典型的分区表故障,分区表故障在各种软件故障中也属于常见的,大约占据整体软件案例的30%。
自动修复:自动修复分区表的操作一般就是通过查找备份的分区表并复制相应扇区。这里推荐大家使用由国人编写的DiskGenius软件。该软件可以直接在纯DOS环境下运行,而且采用直观的中文界面,因此它对于英文不好的用户而言是最佳的选择。将DiskGenius软件复制到DOS启动盘之后可以直接运行,进入DiskGenius的主界面后,按下F10就能轻松地自动恢复硬盘分区表,而且这一招非常有效。
DiskGenius将首先搜索0柱面0磁头从2扇区开始的隐含扇区,寻找被病毒挪动过的分区表。然后搜索每个磁头的第一个扇区,其中搜索过程可以采用“自动”与“交互”两种方式进行。自动方式适用于大多数情况,建议大家选择这种方案。通过以上对主引导区以及分区表的修复,大家才可能让一个遭受严重破坏的硬盘得以在Windows下正确看到分区,进而为其他操作打下坚实的基础。
手动修复:在部分情况下,可能任何软件都无法找到备份的分区表,此时只能手动修改。手动修改将完全凭借经验,在WinHex等软件下直接操作分区表数据。以一块东芝30GB笔记本硬盘为例,使用WinHex打开磁盘后看到如下界面。其中从“80”开始到“55AA”结束的DPT硬盘分区表相当关键(图2,WinHex显示DPT硬盘分区表)。
图2
我们这里截图展示的硬盘分区表是完好的,因此并不需要修改。但是对于一个已经被破坏的分区表而言,其结束位置可能完全错乱,此时大家可以通过寻找下一个“55AA”标志来确定,因为下一个分区开始的位置向前推移一个扇区就是上一个分区的结束的位置。根据所得到的磁头、扇区和柱面数字再折算成16进制,然后使用WinHex回写即可。此外,在寻找下一个“55AA”的过程中可能会碰到很多干扰项,建议根据硬盘分区的容量结合判断。手写恢复分区表的整个过程需要拥有大量的实战经验,大家可以进一步深入学习。
PCW工具谱
软件名称:DiskGenius
授权方式:免费软件
软件大小:143KB
下载地址: http://www.mydown.com/soft/utilitie/diskmanager/170/402670.shtml
PCW工具谱
软件名称:WinHex
授权方式:免费软件
软件大小:990KB
下载地址: http://www.mydown.com/soft/256/256616.html
十分钟节省800元 按图索骥修复DBR
根据我们前面对DBR(操作系统引导记录区)的介绍可知,它是由高级格式化程序产生的,因此也是一段信息代码,同样可能遭到破坏,最终导致无法进入操作系统,部分文件夹信息也会丢失。
案例:老王是图书馆管理员,2005年3月13日,其负责的一台电脑突然在Windows下无法打开其中一个分区,双击分区图标时提示“该分区未格式化”。赶忙叫来IT部负责人之后,进入DOS系统,发现此时可以转到该盘符,但是一旦输入“DIR”命令时,系统就提示“General Fail Reading Drive”。这下可让老王傻眼了,因为里面的数据是新进图书的统计,如果丢失的话,后果不堪设想。万般无奈之中,只熟悉硬件维修的IT负责人找到了一家数据恢复公司,岂料对方仅仅十几分钟就完全搞定,而且数据丝毫无损。
故障分析:毫无疑问,直接使用格式化程序重新格式化能够解决问题(排除物理坏道与病毒的干扰因素),但是这种做法却与挽救数据的最终目的是相违背的。
关于DRB的底层原理,大家不必去了解,而很多网上所介绍的DiskEdit方法并不奏效,应该直接使用WinHex改写DBR模板。使用时建议将存在问题的硬盘作为从盘挂接。随后直接打开WinHex时选择该磁盘,而不要选择分区,这样就能使用硬盘中分区表信息来处理分区,从而巧妙绕过DRB信息。接下来的任务就非常简单了,直接在右上方的“访问”下拉列表中选择DBR故障的分区,然后打开“起始扇区模板”。对于FAT32和NTFS分区,其标准模板都是不同的,大家可以根据我们的截图一一加以对应,这样就能很轻松地解决问题(图3,图4,FAT32和NTFS对应的DBR信息。相关图片可到http://www.cpcw.com/xz/43g.rar下载)。
图3
图4
该帖子在 2008/11/5 9:59:50 编辑过
我们总是在走,却忘记了停留