《数据恢复介绍》PPT课件.ppt

数据恢复介数据恢复介绍内容介绍前 言基 础 知 识 介 绍数 据 恢 复 软 件 简 介数 据 恢 复 机 介 绍前言 存储有价，数据无价。随着信息时代的到来和电子产品的普及，我们的生活中的点滴记忆和一切工作内容都逐渐都被存放在各种存储中，但是数据丢失的事情总是难以避免的。你是否有这样的经历，一不小心删除了重要文件，让你后悔莫及，损失惨重？你是否有这样的经历，因为一次重装操作系统，结果导致所有的数据分区从你眼前消失，整个硬盘中中剩下一个操作系统分区？你是否有这样的经历，想使用U盘中的文件，但U盘莫名奇妙地打不开了，任你怎么着急，它自岿然不“开”。你是否有这样的经历，单位的服务器突然崩溃，核心数据全部丢失，导致工厂不能开工、企业无法正常运行，甚至面临倒闭的危险？如果你有过以上这些噩梦般的经历，并想通过自己的努力找回丢失的数据；或者你还没有遇到以上问题，但对如何解决这些问题感兴趣，那么，我们的项目就是您最佳的选择，它将一步一步引领你实现自己成为数据恢复技术高手的心愿。内容介绍前 言基 础 知 识 介 绍数 据 恢 复 软 件 简 介数 据 恢 复 机 介 绍基 础 知 识 介 绍定定 义分分 类结 构构什么是数据恢复什么是数据恢复 数据恢复是指当存储介质出现损伤或由于人员误操作、操作系统本身故障所造成的数据看不见、无法读取、丢失。工程师通过特殊的手段读取在正常状态下不可见、不可读、无法读的数据的过程被称为数据恢复。数 据 恢 复 介 绍定定 义分分 类结 构构数 据 恢 复 介 绍定定 义分分 类结 构构 硬盘可分为多类比如黑盘、蓝盘、绿盘，品牌就有希捷、西数、日立等。黑盘，西部数据高端硬盘，转速7200转，性能高，稳定，速度快（主要用于企业或对数据要求高用户）蓝盘，转速7200转。数据读写速度比绿盘快，进入程序，游戏的速度也比绿盘快（大多数都选择蓝盘，家用）绿盘，节能低功耗硬盘，主要是因为硬盘转数从在5400-7200转，根据运行程序大小，自动变速。（基本上转速都达不到7200转,主要用于视频监控，家用）数 据 恢 复 介 绍定定 义分分 类结 构构数据恢复分类 software软件恢复硬件恢复开盘恢复阵列恢复hardwareopen diskRAID数 据 恢 复 介 绍定定 义分分 类结 构构软件数据恢复software data recoveryOS重装分区丢失误删除误格式化系统自检碎片整理文件损坏病毒破坏1 12 24 43 3数 据 恢 复 介 绍定定 义分分 类结 构构硬件数据恢复harddisk data recovery电路板损坏固件损坏 逻辑、物理坏道50%65%83%75%70%90%数 据 恢 复 介 绍定定 义分分 类结 构构开盘数据恢复opendisk data recovery磁头损坏电机损坏数 据 恢 复 介 绍定定 义分分 类结 构构数据恢复常见问题数据恢复常见问题1拔插硬盘时误将顺序弄错2硬盘强制上线，同步出错3磁头烧坏、磁头老化4磁头芯片损坏、磁头偏移5盘片划伤、磁组变形6电路板损坏、芯片烧坏、断针断线7U盘无法打开8误删除、ghost 误克隆9病毒破坏、黑客攻击10单反相机数据丢失基 础 知 识 介 绍定定 义分分 类结 构构硬盘的外部结构基 础 知 识 介 绍定定 义分分 类结 构构西数硬盘标签结构识别基 础 知 识 介 绍定定 义分分 类结 构构硬盘的外部结构基 础 知 识 介 绍定定 义分分 类结 构构希捷硬盘标签结构识别希捷(Seagate)硬盘的型号ST3500320ASSTSeagate（希捷）33.5英寸（1=3.5英寸全高硬盘，3=3.5英寸半高硬盘）500500GB容量（160=160GB，250=250GB，320=320GB，以此类推）332MB缓存（8=8MB，6=16MB）2两张碟片（1=单碟，3=三碟，4=四碟）0保留位SSerial ATA串行接口（A=PATA并行接口）Product中国基 础 知 识 介 绍定定 义分分 类结 构构硬盘尺寸硬盘的尺寸说明0.85英寸多用于手机等便携设备中1英寸（微型硬盘，MicroDrive），多用于数码相机（CF type II接口）MicroDrive），多用于数码相机（CF type II接口）1.8英寸多用于笔记本电脑及外置硬盘盒中2.5英寸 多用于笔记本电脑及外置硬盘盒中3.5英寸多用于台式机中。采用3.5硬盘的外置硬盘盒需要外接电源3.5硬盘的外置硬盘盒需要外接电源5.25英寸多为早期之台式机使用。今已无厂商生产基 础 知 识 介 绍定定 义分分 类结 构构硬盘电源接口电源接口说明白色的电源接口，是3.5寸的台式机硬盘，与ATA配合使用的是“D形4针电源接口”（俗称“大4pin”），由Molex公司设计并持有专利3.5寸的台式机硬盘，与ATA配合使用的是“D形4针电源接口”（俗称“大4pin”），由Molex公司设计并持有专利黑色的是SATA电源线SATA电源线基 础 知 识 介 绍定定 义分分 类结 构构硬盘数据线接口类型IDE（Advanced Technology Attachment）俗称：并口 IDE接口SATA（Serial ATA）俗称：串口SATASCSI（Small Computer System Interface）SCSI接口SAS（Serial Attached SCSI）SAS接口基 础 知 识 介 绍定定 义分分 类结 构构硬盘的内部结构基 础 知 识 介 绍定定 义分分 类结 构构硬盘主板结构：主控、电控、缓存、BIOS内容介绍前 言基 础 知 识 介 绍数 据 恢 复 软 件 简 介数 据 恢 复 机 介 绍数 据 恢 复 机 介 绍 设备箱体采用特种混合树脂注塑而成，重量轻的同时保证箱体坚不可破。箱体整体防水、抗压、防震、防腐蚀、耐盐雾。自动气体平衡阀可随时平衡箱内外压，保证箱体可容易被打开。设备内部框架需为全金属、开放台式结构，内部部件都为工控结构设计。设备在结构设计上可以有效防止学生对机器内部造成破坏。设备在同一平面中集成电源开关以及各种接口，硬盘放置区，集成度高，易识别。设备为一体机设计，内含液晶显示屏、键盘.设备在完成教学任务的同时也能完成日常的数据恢复工作，它不仅是一个教学设备更是一台真正的数据恢复机！数 据 恢 复 机 介 绍1、键盘2、源盘SATA接口和硬盘供电接口3、目标盘SATA接口和硬盘供电接口4、220V电源线接口和电源开关5、开机电源按钮6、USB接口注：接入存储设备时应正确拔插，上电后减少对存储设备的移动。的数据恢复机！数 据 恢 复 软 件 介 绍数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 逻辑逻辑数据恢复数据恢复软软件件(R-STUDIO)简介介 逻辑数据恢复软件(R-STUDIO)是一款非常强大的数据恢复软件，目前能支持的文件系统有：FAT、ExFAT、NTFS、Ext2、Ext3、Ext4、UFS、HFS 换句话说目前能支持恢复的操作系统有：Windows，Linux，Unix 和Apple Mac OS。用逻辑数据恢复软件数据恢复软件常见的几个操作步骤。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX第一第一 怎怎样创建硬建硬盘镜像像 首先选择需要做镜像的源硬盘(如果对分区镜像，也可以选择相应的硬盘分区)。选择要把镜像保存的目标盘一定要有足够空间容纳源硬盘的镜像。点击菜单 Drive 选择 Create Image数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 创建镜像以后（存于比源盘大容量的盘），就可以卸载掉源硬盘，直接对该硬盘的镜像操作，如同对真实的源硬盘效果一样。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX直接对该硬盘的镜像操作，点击菜单 Drive 选择 Open Image数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 打开源硬盘的镜像文件，看到的效果如同源硬盘同样的效果，从而保证了不会对源物理硬盘进行任何写破坏的操作，同时也起到了如同操作源物理硬盘的效果，因此学会做硬盘镜像是数据恢复技术的必备能力。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX第二第二 怎怎样利用利用逻辑数据恢复数据恢复软件恢复件恢复 误删除的数据文件除的数据文件首先要确定误删除的文件或者文件夹所在的硬盘分区，如误删除了 F 盘文件夹”中盈创信数据恢复”和 F盘的其他文件。打开逻辑数据恢复软件数据恢复软件，选中 F（也就是误删除的文件所在的分区）。然后双击鼠标或者点击鼠标右键选择”Open Drive Files”快捷键 F5 或者 Drive 菜单下的”Open Drive Files”这几个操作效果是等效的。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 打开后，会清楚的看到所打开后，会清楚的看到所删除的文件除的文件夹”有有红色打叉的色打叉的标记，在在逻辑数据恢复数据恢复软件数据恢复件数据恢复软件中，件中，红色打叉色打叉标记表明表明该文件文件或文件或文件夹被被删除了。直接勾除了。直接勾选上需要恢复的上需要恢复的误删除文件和或文件除文件和或文件夹；然后点；然后点击鼠鼠标右右键，选择”Recover Marked”Recover Marked”恢复勾恢复勾选的文的文件或文件件或文件夹。然后。然后选择要保存恢复文件或文件要保存恢复文件或文件夹的目的目录数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX第三第三 误格式化后怎格式化后怎样恢复恢复 如 I 盘被误格式化了，打开 I 盘之后，发现没有任何数据。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 选择 I 盘，点击鼠标右键，选择“Scan”进行 I 盘分区全扫描。其中“File System”是“Scan”过程中能够识别的文件系统类型；“Save to File”主要是指保存“Scan”硬盘的状态信息，如果要扫描的硬盘或者分区比较大，强烈介意勾选这个选项,防止断电或者机器重启，避免重新“Scan”。只需选择这个保存的文件对应的硬盘或者分区，让然后点击鼠标右键，选择“Open Scan Information”。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 如下图所示，共识别两个分区，Recoginze1(绿色部),Recognized0(红色部分),很明显排名第一名的绿色分区，重要性要高于排名在第二的红色分区。”Extra Found Files”这是按照不同文件类型进行的分类。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 双击绿色 Recognized1(绿色分区)；由于格式化以后，破坏了根目录结构，造成了根目录文件夹和文件名字破坏了，在 FAT32 文件系统中表现的最为明显。找到要恢复的文件，进行恢复就OK了，误格式化恢复完成。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX底底层层数据数据编辑软编辑软件件（WINHEX）介）介绍 Winhex是一款有名的硬盘编辑与恢复软件，硬盘中的每一个扇区数据都会以16进制的方式来展示，看到的是硬盘每一个扇区的底层数据，对分析硬盘文件系统的逻辑结构，协助其它数据恢复软件顺利恢复数据方面有着很重要的作用和意义，因此灵活掌握Winhex的使用方法是每一个数据恢复工程师必备的基础技能。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 点击菜单栏“Tools”(工具)下拉菜单“Open Disk”(打开磁盘)或快捷键 F9 或点击工具栏中“Open Disk”（打开磁盘）图标 ，就会弹出以下窗口。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX第一第一 怎怎样利用底利用底层数据数据编辑软件做硬件做硬盘镜像像 打开菜单栏“Tools”(工具)下的“Disk Tools”(磁盘工具)-Clone Disk(克隆磁盘)或快捷 Ctrl+D 或直接点击工具栏中的”Clone Disk”(克隆磁盘)图标 源物理磁盘就是只需要做镜像的磁盘，此项操作必须认真，千万不要循序颠倒，如果颠倒了，就会造成源盘数据彻底覆盖，酿成一起不必要的数据灾难。从这个窗口中可以看出，有四种镜像方式，1 物理磁盘-物理磁盘 2 物理磁盘-镜像文件 3 镜像文件-物理磁盘 4 镜像文件-镜像文件。具体采用什么方式，要根据实际情况来决定。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX第二第二 怎怎样用底用底层数据数据编辑软件安全清除硬件安全清除硬盘上的数据（防止数据泄密）上的数据（防止数据泄密）删除的文件可以恢复，格式化之后的分区照样可以恢复，追根究底是因为数据没有被彻底清除，只是对应该文件的源数据结构进行了简单的标记，在操作系统的层面上是看不到这些数据的，但是这些数据实际上是存在的，只要利用文件系统的原理就可以轻而易举的进行恢复，这样就很有可能造成数据泄密，利用底层数据编辑软件提供的(Fill Block)填充数据的功能模块，可以从底层上彻底解决数据被恢复的可能性。让数据彻底清楚，无法恢复，从而避免硬盘数据泄密的风险。首先打开要清除的对象硬盘，Ctrl+A(全选)或点击底层数据编辑软件菜单栏”Edit”(编辑)下”Select All”（选择全部）。然后，Ctrl+L(快捷键)或底层数据编辑软件菜单栏”Edit”下的”Fill Block”(填充块)。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 默认要填充的数据是”00”,也可以自己定义，或让底层数据编辑软件随机填充，最好使用默认的”00”，然后点击”OK”按钮，底层数据编辑软件就开始对选择硬盘进行数据填充了，填充过程是个漫长的过程，填充完毕后，关闭软件，数据安全填充就完成了。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX第第三三 怎怎样查找数据找数据数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX第四第四如何定位某个具体扇区如何定位某个具体扇区点击工具栏目中的图标 ，或者快捷键 Ctrl+G数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX紧接着就会弹出下面的窗口 然后输入你要查询的扇区号，点击”OK”按钮就可以轻松跳转到指定的扇区。众所周知，目前的硬盘寻址方式是按照LBA方式寻址的，硬盘扇区编号是从0开始的，换句话说，硬盘的第一个扇区就是第0扇区。此模块是以扇区为单位进行定位的，也就是说只能跳转到512字节（一个扇区的容量）的整数倍，如果不是512的整数倍，只能选择Winhex的另一个类似功能模块”Go To Offset”(转到偏移)。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX点击工具栏”Go To Offset”(转到偏移)的图标 或者菜单栏”Position”(位置)下的”Go To Offset”(转到偏移)或者快捷键 Alt+G数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX紧接着就会弹出下面的窗口 单位按钮后面的括弧内容(hexadec)表示输入的数字是16进制，这样对使用者来说很不方便，使用者习惯十进制，那么十六进制面板怎样转换成十进制面板呢？其实很简单，只需用鼠标点击一下显示硬盘内容面板下的”Offset”（偏移）下方的任何位置，就可以进行两种进制之间的相互转换。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX第五第五 怎怎样使用使用Winhex自自带的模版的模版 Template(模版)在Winhex软件中，是一种特定的数据结构，硬盘上每一个扇区的数据，在Winhex中是以十六进制的形式来展现的，面对这些底层的16进制，即便是一个熟练的数据恢复技术人员也是很费劲的，对具体的每一个十六进制代表的意思更让人困惑，为克服这个不足，Winhex自带了一些常见的数据结构模版，利用这些模版(Template)可以很轻松的理解具体十六进制对应的含义。例子：数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 利用Winhex自带的模版，可以很容易的解析出这个扇区重要数据区具体的意义，首先鼠标停在套用模版的数据起始的位置，如下图所示，这一步非常终于，如果起始位置错误，模版对应的数据结构解析就会错位紊乱。数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX 然后选择Winhex菜单栏”View”(查看)下的”Template Manager”(模版管理器)或者快捷键 Alt+F12数 据 恢 复 软 件 介 绍R-STUDIOWINHEXWINHEX然后点击左下方的按钮”Apply”(应用)。谢谢!