《数据恢复概念原理.ppt》由会员分享,可在线阅读,更多相关《数据恢复概念原理.ppt(40页珍藏版)》请在三一办公上搜索。
1、1,数据恢复原理篇,2,硬盘修复目前误区,1.硬盘逻辑坏道可以修复,而物理坏道不可修复。坏道并不分为逻辑坏道和物理坏道,可以分为按逻辑地址记录的坏扇区和按物理地址记录的坏扇区。2.硬盘出厂时没有坏道,用户发现坏道就意味着硬盘进入危险状态。每个硬盘出厂前都记录有一定数量的坏道,有些数量甚至达到数千上万个坏扇区,相比之下,用户发现一两个坏道算多大危险?3.硬盘不认盘就没救,0磁道坏可以用分区方法来解决。有相当部分不认的硬盘可以修好,而0磁道坏时很难分区。,3,硬盘缺陷硬盘修复相关概念,Bad sector(坏扇区)在硬盘中无法被正常访问或不能被正确读写的扇区都称为Bad sector。一个扇区能存
2、储512Bytes的数据,如果在某个扇区中有任何一个字节不能被正确读写,则这个扇区为Bad sector。除了存储512Bytes外,每个扇区还有数十个Bytes信息,包括标识(ID)、校验值和其它信息。这些信息任何一个字节出错都会导致该扇区变“Bad”。例如,在低级格式化的过程中每个扇区都分配有一个编号,写在ID中。如果ID部分出错就会导致这个扇区无法被访问到,则这个扇区属于Bad sector。有一些Bad sector能够通过低级格式化重写这些信息来纠正。,4,硬盘缺陷硬盘修复相关概念,Bad cluster 坏簇 在用户对硬盘分区并进行高级格式化后,每个区都会建立文件分配表(File
3、Allocation Table,FAT)。FAT中记录有该区内所有cluster(簇)的使用情况和相互的链接关系。如果在高级格式化(或工具软件的扫描)过程中发现某个cluster使用的扇区包括有坏扇区,则在FAT中记录该cluster为Bad cluster,并在以后存放文件时不再使用该cluster,以避免数据丢失。有时病毒或恶意软件也可能在FAT中将无坏扇区的正常cluster标记为Bad cluster,导致正常cluster不能被使用。这里需要强调的是,每个cluster包括若干个扇区,只要其中存在一个坏扇区,则整个cluster中的其余扇区都一起不再被使用.,5,硬盘缺陷硬盘修复相
4、关概念,Defect(缺陷)在硬盘内部中所有存在缺陷的部分都被称为Defect。如果某个磁头状态不好,则这个磁头为Defect head。如果盘面上某个Track(磁道)不能被正常访问,则这Track为Defect Track.如果某个扇区不能被正常访问或不能正确记录数据,则该扇区也称为Defect Sector.可以认为Bad sector 等同于 Defect sector.从总的来说,某个硬盘只要有一部分存在缺陷,就称这个硬盘为Defect hard disk.,6,硬盘缺陷硬盘修复相关概念,P-list(永久缺陷表)现在的硬盘密度越来越高,单张盘片上存储的数据量超过40Gbytes.硬
5、盘厂家在生产盘片过程极其精密,但也极难做到100%的完美,硬盘盘面上或多或少存在一些缺陷。厂家在硬盘出厂前把所有的硬盘都进行低级格式化,在低级格式化过程中将自动找出所有defect track和defect sector,记录在P-list中。并且在对所有磁道和扇区的编号过程中,将skip(跳过)这些缺陷部分,让用户永远不能用到它们。这样,用户在分区、格式化、检查刚购买的新硬盘时,很难发现有问题。一般的硬盘都在P-list中记录有一定数量的defect,少则数百,多则数以万计。如果是SCSI硬盘的话可以找到多种通用软件查看到P-list,因为各种牌子的SCSI硬盘使用兼容的SCSI指令集。而不
6、同牌子不同型号的IDE硬盘,使用各自不同的指令集,想查看其P-list要用针对性的专业软件。,7,硬盘缺陷硬盘修复相关概念,G-list(增长缺陷表)用户在使用硬盘过程中,有可能会发现一些新的defect sector。按“三包”规定,只要出现一个defect sector,商家就应该为用户换或修。现在大容量的硬盘出现一个defect sector概率实在很大,这样的话硬盘商家就要为售后服务忙碌不已了。于是,硬盘厂商设计了一个自动修复机制,叫做Automatic Reallcation。有大多数型号的硬盘都有这样的功能:在对硬盘的读写过程中,如果发现一个defect sector,则自动分配一
7、个备用扇区替换该扇区,并将该扇区及其替换情况记录在G-list中。这样一来,少量的defect sector对用户的使用没有太大的影响。,8,硬盘缺陷硬盘修复相关概念,G-list(增长缺陷表)也有一些硬盘自动修复机制的激发条件要严格一些,需要用某些软件来判断defect sector,并通过某个端口(据说是50h)调用自动修复机制。比如常用的Lformat,ADM,DM中的Zero fill,Norton中的Wipeinfo和校正工具,西数工具包中的wddiag,IBM的DFT中的Erase等。这些工具之所以能在运行过后消除了一些“坏道”,很重要的原因就在这Automatic Reallca
8、tion(当然还有其它原因),而不能简单地概括这些“坏道”是什么“逻辑坏道”或“假坏道”。用查看G-list的专业工具运行过后就知道,G-list将会增加多少记录!“逻辑坏道”或“假坏道”有必要记录在G-list中并用其它扇区替换么?,9,硬盘缺陷硬盘修复相关概念,G-list(增长缺陷表)当然,G-list的记录不会无限制,所有的硬盘都会限定在一定数量范围内。如火球系列限度是500,美钻二代的限度是636,等等。超过限度,Automatic Reallcation就不能再起作用。这就是为何少量的“坏道”可以通过上述工具修复(有人就概括为:“逻辑坏道”可以修复),而坏道多了不能通过这些工具修复
9、(又有人概括为:“物理坏道”不可以修复)。,10,硬盘缺陷硬盘修复相关概念,Bad track(坏道)这个概念源于十多年前小容量硬盘(100M以下),当时的硬盘在外壳上都贴有一张小表格,上面列出该硬盘中有缺陷的磁道位置(新硬盘也有)。在对这个硬盘进行低级格式化时(如用ADM或DM 5.0等工具,或主板中的低格工具),需要填入这些Bad track的位置,以便在低格过程中跳过这些磁道。现在的大容量硬盘在结构上与那些小容量硬盘相差极大,这个概念用在大容量硬盘上有点牵强。,11,硬盘修复中存在误区的概念,物理坏道,逻辑坏道?真坏道,假坏道?硬坏道,软坏道?,12,硬盘参数讲解,硬盘有一系列基本参数包
10、括:牌子、型号、容量、柱面数、磁头数、每磁道扇区数、系列号、缓存大小、转速、值等。其中一部分参数就写在硬盘的标签上,有些则要通过软件才能测出来。,13,硬盘参数讲解,上述参数仅仅是初始化参数的一小部分,盘片中记录的初始化参数有数十甚至数百个!硬盘的CPU在通电后自动寻找BIOS中的启动程序,然后根据启动程序的要求,依次在盘片中指定的位置读取相应的参数。如果某一项重要参数找不到或出错,启动程序无法完成启动过程,硬盘就进入保护模式。在保护模式下,用户可能看不到硬盘的型号与容量等参数,或者无法进入任何读写操作。近来有些系列的硬盘就是这个原因而出现类似的通病,如:FUJITSU MPG系列自检声正常却
11、不认盘,MAXTOR美钻系列认不出正确型号及自检后停转,WD BB EB系列能正常认盘却拒绝读写操作等。,14,硬盘参数讲解,不同牌子不同型号的硬盘有不同的初始化参数集,以Fujitsu硬盘为例讲解内部初始化参数的原理。通过专用的程序控制硬盘的CPU,根据BIOS程序的需要,依次读出初始化参数集,按模块分别存放为69个不同的文件,文件名也与BIOS程序中调用到的参数名称一致。,15,硬盘参数讲解,DM硬盘内部的基本管理程序-PL永久缺陷表-TS缺陷磁道表-HS实际物理磁头数及排列顺序-SM最高级加密状态及密码-SU用户级加密状态及密码-CI 硬件信息,包括所用的CPU型号,BIOS版本,磁头种
12、类,磁盘碟片种类等-FI生产厂家信息-WE写错误记录表-RE读错误记录表-SI容量设定,指定允许用户使用的最大容量(MAX LBA),转换为外部逻辑磁头数(一般为16)和逻辑每磁道扇区数(一般为63)-ZP区域分配信息,将每面盘片划分为十五个区域,各个区域上分配的不同的扇区数量,从而计算出最大的物理容量。,16,硬盘参数讲解,这些参数一般存放在普通用户访问不到的位置,有些是在物理零磁道以前,可以认为是在负磁道的位置。可能每个参数占用一个模块,也可能几个参数占用同一模块。模块大小不一样,有些模块才一个字节,有些则达到64K字节。这些参数并不是连续存放的,而是各有各的固定位置。读出内部初始化参数表
13、后,就可以分析出每个模块是否处于正常状态。当然,也可以修正这些参数,重新写回盘片中指定的位置。这样,就可以把一些因为参数错乱而无法正常使用的硬盘“修复”回正常状态。,17,低级格式化,不同的工具所做的低格对硬盘的作用各不一样(进行低格所使用的工具也有多种:有用厂家专用设备做的低格,有用厂家提供的软件工具做的低格,有用DM工具做的低格,有用主板BIOS中的工具做的低格,有用Debug工具做的低格,还有用专业软件做低格)。有些人觉得低格可以修复一部分硬盘有些人则觉得低格十分危险,会严重损害硬盘。我们认为低格是修复硬盘的一个有效手段。,18,低格过程分析,A.对扇区清零和重写校验值。低格过程中将每个
14、扇区的所有字节全部置零,并将每个扇区的校验值也写回初始值,这样可以将部分缺陷纠正过来。譬如,由于扇区数据与该扇区的校验值不对应,通常就被报告为校验错误(ECC Error)。如果并非由于磁介质损伤,清零后就很有可能将扇区数据与该扇区的校验值重新对应起来,而达到“修复”该扇区的功效。这是每种低格工具和每种硬盘的低格过程最基本的操作内容,同时这也是为什么通过低格能“修复大量坏道”的基本原因。另外,DM中的Zero Fill(清零)操作与IBM DFT工具中的Erase操作,也有同样的功效。,19,低格过程分析,B.对扇区的标识信息重写。在多年以前使用的老式硬盘(如采用ST506接口的硬盘),需要在
15、低格过程中重写每个扇区的标识(ID)信息和某些保留磁道的其他一些信息,当时低格工具都必须有这样的功能。但现在的硬盘结构已经大不一样,如果再使用多年前的工具来做低格会导致许多令人痛苦的意外。难怪经常有人在痛苦地高呼:“危险!切勿低格硬盘!我的硬盘已经毁于低格!”,20,低格过程分析,C.对扇区进行读写检查,并尝试替换缺陷扇区。有些低格工具会对每个扇区进行读写检查,如果发现在读过程或写过程出错,就认为该扇区为缺陷扇区。然后,调用通用的自动替换扇区(Automatic reallocation sector)指令,尝试对该扇区进行替换,也可以达到“修复”的功效。,21,低格过程分析,D.对所有物理扇
16、区进行重新编号。编号的依据是P-list中的记录及区段分配参数(该参数决定各个磁道划分的扇区数),经过编号后,每个扇区都分配到一个特定的标识信息(ID)。编号时,会自动跳过P-list中所记录的缺陷扇区,使用户无法访问到那些缺陷扇区(用户不必在乎永远用不到的地方的好坏)。如果这个过程半途而废,有可能导致部分甚至所有扇区被报告为标识不对(Sector ID not found,IDNF)。要特别注意的是,这个编号过程是根据真正的物理参数来进行的,如果某些低格工具按逻辑参数(以 16heads 63sector为最典型)来进行低格,是不可能进行这样的操作。,22,低格过程分析,E.写磁道伺服信息,
17、对所有磁道进行重新编号。有些硬盘允许将每个磁道的伺服信息重写,并给磁道重新赋予一个编号。编号依据P-list或TS记录来跳过缺陷磁道(defect track),使用户无法访问(即永远不必使用)这些缺陷磁道。这个操作也是根据真正的物理参数来进行。,23,低格过程分析,F.写状态参数,并修改特定参数。有些硬盘会有一个状态参数,记录着低格过程是否正常结束,如果不是正常结束低格,会导致整个硬盘拒绝读写操作,这个参数以富士通IDE硬盘和希捷SCSI硬盘为典型。有些硬盘还可能根据低格过程的记录改写某些参数。,24,低格工具做了些什么操作,1.DM中的Low level format:进行了A和B操作。速
18、度较快,极少损坏硬盘,但修复效果不明显。2.Lformat:进行了A、B、C操作。由于同时进行了读写检查,操作速度较慢,可以替换部分缺陷扇区。但其使用的是逻辑参数,所以不可能进行D、E和F的操作。遇到IDNF错误或伺服错误时很难通过,半途会中断。,25,低格工具做了些什么操作,3.SCSI卡中的低格工具:由于大部SCSI硬盘指令集通用,该工具可以对部分SCSI硬盘进行A、B、C、D、F操作,对一部分SCSI硬盘(如希捷)修复作用明显。遇到缺陷磁道无法通过。同时也由于自动替换功能,检查到的缺陷数量超过G-list限度时将半途结束,硬盘进入拒绝读写状态。4.专业的低格工具:一般进行A、B、D、E、
19、F操作。通常配合伺服测试功能(找出缺陷磁道记入TS),介质测试功能(找出缺陷扇区记入P-list),使用的是厂家设定的低格程序(通常存放在BIOS或某一个特定参数模块中),自动调用相关参数进行低格。一般不对缺陷扇区进行替换操作。低格完成后会将许多性能参数设定为刚出厂的状态。,26,低格常见问题分析,低格能不能修复硬盘?合适的低格工具能在很大程度上修复硬盘缺陷。低格会不会损伤硬盘?正确的低格过程绝不会在物理上损伤硬盘。用不正确的低格工具则可能严重破坏硬盘的信息,而导致硬盘不能正常使用。什么时候需要对硬盘进行低格?在修改硬盘的某些参数后必须进行低格,如添加P-list记录或TS记录,调整区段参数,
20、调整磁头排列等。另外,每个用户都可以用适当低格工具修复硬盘缺陷,注意:必须是适当的低格工具。什么样的低格工具才可以称为专业低格工具?能调用特定型号的记录在硬盘内部的厂家低格程序,并能调用到正确参数集对硬盘进行低格,这样的低格工具均可称为专业低格工具,27,数据恢复的原理,硬盘内部是有一定的校验公式来保障数据的完整性的,根据每一个扇区内数据的内容、扇区的伺服信息,再根据一定的校验公式经过运算,会产生一个唯一的校验和,这个值每一个扇区都是不一样的。同一个扇区储存不同数据的时候校验和固然不一样,不同的扇区储存相同的数据也会产生不一样的校验和(SCSI硬盘在这方面的机制会更加完善)。数据恢复正是利用了
21、这样的原理,通过逆向运算,在某一方面的信息因为错误操作而丢失或者被改变的情况下,仍然可以根据其余的原始信息,把数据尽可能完整地还原出来。,28,数据恢复的原理,文件的读取(Read)操作系统从目录区中读取文件信息(包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号),我们这里假设第一个簇号是0028。操作系统从0028簇读取相应的数据,然后再找到FAT的0023单元,如果此外的内容是文件结束标志“FF”,则表示文件结束,否则从该处读取下一个簇号,再读取相应单元的内容,这样重复下去直到遇到文件结束标志。文件的写入(Write)当我们要保存文件时,操作系统首先在DIR区中找到
22、空闲区写入文件名、大小和创建时间等相应信息,然后在数据DATA区找出空闲区域将文件保存,再将Data区的第一个簇写入DIR区,同时完成FAT表的填写,具体的动作和文件读取动作差不多。文件的删除(Delete)Win9X操作系统的文件删除工作却是很简单的,只是将目录区中该文件的第一个字符改为“E5”来表示该文件已经删除,同时改写引导扇区的第二个扇区中表示该分区点用空间大小的相应信息。,29,数据恢复的原理,Fdisk的使用和文件的删除类似,利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘(假设你格式化的时候并没有使用/U这个无条件格式化参数)都没有将数据从DATA区直接删除,前者只是
23、改变了分区表,后者只是修改了FAT表,因此被误删除的分区和误格式化的硬盘完全有可能恢复Fdisk/MBR可以用来再建主引导区,可以在使用光盘或软盘启动系统后,使用该命令来去除还原精灵或一些引导区病毒。注意:在使用该命令之前一定要先备份分区表内容,防止病毒对分区表进行加密处理。,30,数据恢复的原理,Format的使用Format命令可以完成分区的格式化,同时检测该分区有无坏扇区。格式化也就好比是将一幢新楼的每一个房间赋于房间好,以便以后存放物品和查找。Fotmat的内个重要参数:/C测试坏扇区并进行标记为“B”。/S在格式化结束后传送系统文件。/Q进行快速格式化,只重建FAT表和目录区。/U无
24、条件对分区进行格式化,对每一扇区重写“F6H”,31,数据恢复的基本操作步骤,1.询问客户接到硬盘后,应向客户询问数据丢失的类型,是误删除,误格式化,误分区,意外丢失,还是硬盘突然丢失或无法读写,并且还要询问故障发生后,客户自己还做过哪些操作。把故障类型和原因问清楚了,可能会减少我们在数据恢复过程中一些不必要的麻烦,提高工作效率。2.硬盘外观检测对于硬件问题造成的数据丢失,这时我们应首先检查硬盘的电路板有无明显的烧灼痕迹,避免因该硬盘的电路损坏再次造成电脑主机的损坏。3.加电试盘如硬盘无明显的电路损坏,把硬盘加电试机,在CMOS中是否能够找到硬盘。,32,数据恢复的基本操作步骤,4.根据故障类
25、型选用合适的数据恢复工具如果能够找到硬盘,就按软件方面使用EasyRecovery之类的软件进行数据恢复。如果找不到硬盘,就按硬件的方法进行处理。5.将数据转移安全区域把找回的数据拷贝到另一块物理硬盘上,一定不能拷贝在同一块硬盘的不同分区。6.将数据用刻录机刻成光盘,交给用户数据全部读出后,使用刻录机把用户的数据刻成光盘,交由用户保管,任务完成。,33,数据恢复分类,纯软件的恢复软硬件结合的恢复,34,纯软件的恢复范围,删除文件只是把文件的地址信息在列表中抹去,而文件的数据本身还是在原来的地方静静躺着,除非拷贝新的数据进去那些扇区,才会把原来的数据真正抹去。重新分区和快速格式化(Format不
26、要加U参数)只不过是重新构造新的分区表和扇区信息,同样不会影响原来的数据在扇区中的物理存在,直到有新的数据去覆盖他们为止。快速低格一般只有原厂的DM才可以实现,是用DM软件快速重写盘面、磁头、柱面、扇区等等初始化信息,仍然不会把数据从原来的扇区中抹去。重整硬盘缺陷列表也只不过是把新的缺陷扇区加入到G列表或者P列表中去,对于那些本来储存在缺陷扇区中的数据那是没有办法了,因为扇区已经出现物理损坏,即使不加入缺陷列表,也很难恢复;但对于其他数据,其实还是没有实质性影响的。,数据恢复最关键的一点是在错误操作出现后,不要再对硬盘作任何自己都不知道目的的无意义操作和不要再往硬盘里面写入任何东西。,35,软
27、件的恢复的局限性,前提条件是必须要硬盘还能够正常使用才行。因此,对于一些有轻微缺陷的硬盘,稍微修理一下,让硬盘可以正常使用后,再进行软件的数据恢复是明智的,因为这样可以节省大量的数据恢复成本。毕竟,对于那些无论如何不能动的硬盘,软件是无能为力的,这时候就需要使用成本比较高的软硬件结合的恢复方式。,36,软硬件结合的数据恢复方式,关键在于恢复用的仪器设备。这些设备都需要放置在超净无尘工作间里面,而且这些设备内部的工作台也是级别非常高的超净空间。设备的恢复原理也是大同小异,都是把硬盘拆开,把磁碟放进机器的超净工作台上,然后用激光束对盘片表面进行扫描,因为盘面上的磁信号其实是数字信号(0和1),所以
28、相应地,反映到激光束发射的信号上也是不同的。这些仪器就是通过这样的扫描,一丝不漏地把整个硬盘的原始信号记录在仪器附带的电脑里面,然后再通过专门的软件分析来进行数据恢复。这种设备的数据恢复率是相当惊人的,即使是位于物理坏道上面的数据,由于多种信息的缺失而无法找出准确的数据值,也可以通过大量的运算,在多种可能的数据值之间进行逐一代入,结合其他相关扇区的数据信息,进行逻辑合理性校验,从而找出逻辑上最符合的真值。,37,数据恢复设备,38,数据恢复的终极方式“深层信号还原”,“深层信号还原”是真对于已经被覆盖的数据、完全低格、全盘清零、强磁场破坏的硬盘的数据恢复方式“深层信号还原”的原理从硬盘磁头的角
29、度来看,同样的数据,拷贝进原来没有数据的新盘和拷贝进旧盘去覆盖掉原有数据,是没有分别的,因为这时候磁头所读取到的数字信号都是一样的。但是对于磁介质晶体来说,情况就有点不一样了,以前的数据虽然被覆盖了,但在介质的深层,仍然会留存着原有数据的“残影”,通过使用不同波长、不同强度的射线对这个晶体进行照射,可以产生不同的反射、折射和衍射信号,这就是说,用这些设备发出不同的射线去照射磁盘盘面,然后通过分析各种反射、折射和衍射信号,就可以帮助我们“看到”在不同深度下这个磁介质晶体的残影。根据目前的资料,大概可以观察到45层,也就是说,即使一个数据被不同的其他数据重复覆盖4次,仍然有被“深层信号还原”设备读出来的可能性。操作成本高、只能用在国家安全级别的用途上,目前世界范围内也没有几个国家可以拥有这样的技术,只有极少数规模庞大的计算机公司和不计成本的政府机关能拥有这样级别的数据恢复设备,而且主要都是由美国人掌握。,39,讨论:,国外务实、技术先进国内操作(“Banana软件”)扩展讨论(二手硬盘市场),40,日立出品的Disk Eraser,
