数据恢复技术原理与应用..docx

《数据恢复技术原理与应用..docx》由会员分享，可在线阅读，更多相关《数据恢复技术原理与应用..docx（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、6I数据恢复技术原理与应用: 大同创和数据恢复中心BB1 .数据恢复的概念与范畴.数据恢复的基本原理2 .数据恢复与信息安全的关系.数据恢复与取证的关系3 .数据恢复技术的应用领域.数据恢复技术研究现状1.数据恢复的概念与范畴reference countfile size mactimesowner/group IDdata blocks data block data blockdata block123and so on .bar 456 Foo inode 123access perms file/directory/etc data block #s reference count*

2、file size mactimes * owner/group IDdata blocks data block data blockdata blockLJ ncdotim.MMTercwataxti口公 o之3 .数据恢复与信息安全的关系;而造成数据丢失的原因非常多，如系统软硬件故障、断电、死机、病毒破坏、黑客攻击、木马破坏、误操作、磁盘阵列失效、;磁盘电路板损坏、盘体坏、磁道坏、磁盘内:部损坏，以及口令遗失、文档错乱等情况，;都是数据恢复的研究范畴.这种情况下，数:据恢复就是找回数据的最后一颗“救命稻:草“，所以说，数据恢复是信息安全的最后一2道防线.:说它是最后一道防线，还有一层意思

3、，：那就是：虽然在信息的收集、整理、创建、-存储、管理、应用、更新、备份中，一般并 ：不考虑数据的恢复问题，但在其生命的最后 一个阶段销毁的时候，一定要考虑信息 ：的反恢复问题，反过来说，任何需要信息保 ：密的地方，都需要考虑数据的反恢复问题， ：所以实际上，数据恢复与反恢复，是伴随信 :息生命的整个周期的，从这个意义上来讲，它的研究，远还没有受到应有的重视.处理过公文，要脱密，先格式化，然后重:分区，安装操作系统，再格式化，安装各种防 :护程序，似乎是安全的，但是，即使通过一般:的系统调用，按扇区收集信息.数据恢复与取证的关系当然，两者也有不一致的地方，如计算机 取证可能需要对计算机工作状态

4、进行取证，而 数据恢复一般不做这方面的工作；另外采用的 侦察手段也不一样，数据恢复是直接地，面对 面地工作，而计算机取证，可能需要法律上的 刑侦手段。另外，侧重点也不一样，如数据恢 复主要是为了恢复一个忖RD文档，而计算机取 证，可能还需要找出这个MRD文档是属于谁 的。即使是这样，也可以说，两者的差别主要 来源于法律程序，而不是技术手段.数据恢复数据根据不同的法律程序使用相似的技术手段计算机取证证据4 .数据恢复技术的应用领域 根据3M公司对8000名网络微机用户的调：查发现，硬盘的每次失效将造成5天以上的无 ；效工作日。而在一个典型的商业应用中，重 ：建1000出的数据，平均要耗时3. 5

5、个月，费用 ；为95000美元。由此可见，信息存储对最终用 ：户来说是何等的重要，可以说，它是信息时 代的数字财富.：很显然，数据恢复技术的一个最大应用就是在数据出现问题时快速进行恢复，毕 竟，信息的复制虽然很容易，但信息的重建却非常的困难，无论是重建时间，还是重建 ：费用，都让人无法忍受，而有些信息甚至根 ：本就不可能重建.在这里我们可能会有一个疑问，那就是 对于重要数据用户都会做好备份。的确是这 样，现在的用户大多知道了数据备份的重要 性，可是，在实际应用中，仍然有大量的用 户出现各种各样的问题，在这些丢失数据的 用户中，知道并且注意备份的还占有相当的 比例，毕竟，没有完全可靠的系统，也没

6、有 完全可靠的备份，而且很多系统不能实现实 时的完整的备份。下面以一个实例来说明这个问题.主服务器从服务器双机热备份带热备的RAID5RAID5 定期移动硬盘备份Windows+Oracle: 事物都有其两面性，数据恢复也不例 i外，由此产生它的另一个应用就是数据的反 -恢复问题。: 一般企业存储重要数据的服务器，其存 ;储设备出现问题后磁盘都是直接销毁的，对 :于重要部门也一样，处理重要数据的计算 :机，一定要做这方面的处理工作，如很多涉 :密单位的计算机，要求机器中不能存储涉密 5数据，但是，却忽视了即使是这样，计算机 ：中仍会留下一些临时文件，正是这些临时文 2件造成了很多重要信息的失泄

7、密。另外我们都知道，各国都有自己的情 报部门，通过各种渠道收集各种存储介 质，如何彻底的销毁使用过的存储介质上 的重要数据，保护核心信息，应该成为信 息管理部门日常的工作内容之一。对于特 殊系统，特殊情况下如何自销毁，也是一 个新的课题。6.数据恢复技术研究现状2.数据恢复的基本原理这里所说的系统，包括当前所有的操作系统，除主流的Mcrosoft、UNIX.LINUX系列外，也包括岫C系列、各种数字设备/仪表使用的嵌入式系列以及实时操作系统等。这里所说的存储设备，指的是断电后能保持的存储设备，一般并不包括易失性的存储设备，如内存等。这些存储设备，除了直接与计算机相连也包括其他所有同源的与计算机

8、相关的存储设备.也就是说，数据恢复的工作对象涵盖了从最早的软盘，到后来逐渐发展起来的各种硬盘、光盘、移动存储设备，数码存储设备（各种存储卡），M3、录音笔、数码相机、工控设备、嵌入式设备、PDA、手机等等，以及它们在各种系统下的各种组合，如工作在不同操作系统下的RAI D、NAS、SAN等等，在数据当前国际上对数据恢复技术的基本分类如 下图所示。.: 其中软恢复指的是存储系统，或操作系 :统，或文件系统层次上的数据丢失，这种丢 :失是多方面的。对于一般文件系统来说，这 :方面的研究工作起步较早，国内外研究的都 :比较深.: 这方面的主要难点是：文件碎片的恢复 ;处理、文档修复和密码恢复:硬恢复

9、指的是由于硬件故障所造成的数:据丢失，如磁盘电路板损坏、盘体坏、磁道 :坏、磁盘内部系统数据损坏等，这种情况几 乎都会出现系统不认盘或认盘困难等症状， 恢复起来难度较大，如果是内部盘片数据区 :严重划伤，会造成数据彻底丢失，而无法恢 ;复数据。稍有常识的用户，在出现这种情况 :（如移动硬盘跌落）后，不会反复加电尝 :试，也就不会人为的造成大面积的划伤，因 :此，这种情况一般还是能够恢复大部分数据 ?的.:大型数据库系统往往存储着一些非常重5要的数据，其组成复杂，一般都有较完善的 -保护措施，所以一般不会出现小问题，只要 出现问题，基本上都是较难处理的问题，恢 复的难度较大。典型的大型数据库系统

10、主要 : 是SQL Server, I nf orrri x, Sybase, Oracl e:和I BM UDB/ DB2等。:异型操作系统的数据恢复，指的是不常用的，比较少见的操作系统下的数据恢复， 如网C、0S2、嵌入式系统、手持系统、实时系统等.:数据被覆盖后，再要恢复的话，难度非常大，这与其他四类数据恢复有着质的区 别，目前只有硬盘厂商及少数几个国家的特 :殊部门能够做到，它的应用，一般都与国家 S安全有关，这也是目前数据恢复学界和我们 :致力解决的问题。目前，软恢复国、内外水平相差不 大；硬恢复以美国和俄罗斯为龙头，特别 是美国，要高于其他国家，这与核心技术 都掌握在美国人手里有关

11、。数据库和异形 系统也一样，主要技术都掌握在西方国家 手里，仍以美国为领头羊；水平相差最大的是覆盖恢复，据说美国军方可以恢复覆盖69次的数据，俄 罗斯可以恢复覆盖34次的数据，IBM自己耗资6亿美元的研究成果是可以恢复 覆盖23次的数据，由于这些都涉及到国家核心机密，具体的细节和可靠性都尚 不可知，不过，日本对涉密载体要求必须低级格式化69次方可回收，还是能够 说明这一问题的。目前，国内从事数据恢复业务的几乎都以个体为单位，规模稍大的公司也就 是几个人的规模，即使是同源的计算机取证，也没有超出100人的，更不用说专 门从事研究的研究人员。但是，前面我们已经谈过，数据恢复与反恢复技术是伴 随信息

12、生命全周期的，只要这些信息被数字化，就面临着反恢复的客观存在，而 在此之前，国内尚没有专门的研究机构，所以，在前面我们讲，没有受到应有的 重视，但是现在，我国已经有了专门的数据恢复技术研究机构，我们已经建设了 一个系统的数据恢复研究实验室，系统的开展相关的技术研究。最后要说的是，除了严重的自然灾害，数据出现丢失，几乎100%都是可以恢 复的，即使是硬件故障，如存储数据的硬件损坏，也是可以恢复的，因为这种损 坏是一个渐变过程，而不是突变过程，就目前所接触的案例，恢复不成功的主要 原因，是数据出现问题后遭到了人为的严重的“二次破坏 如FAT文件系统，在磁盘分区中，第一个 ?扇区是引导扇区，引导扇区

13、中有很多参数，操 ：作系统在访问该分区时，就用这些参数来定位 :FAT文件系统中的其他系统数据，以确定该分 区中数据的存储情况。微软操作系统访问数据 时是以文件为单位进行访问的，也就是直接与 用户打交道的数据单元是文件，如使用资源管 :理器对文件进行复制、删除、移动等等，就是 ：修改数据，也是修改的文件的数据，这些数据 :都是依存于文件的，文件不存在了，数据也就 :不存在了。那么FAT文件系统是如何管理这些 文件的呢？首先，FAT对磁盘扇区的划分方式如下图所示。引3扇区（及境留扇区）帛f FAT我 需二个FAT表|文件目录表站第区家金国区图2逻辑分区各非分关系匡5操作系统通过引导扇区获取磁盘分

14、区的相关参:数，确定两个FAT表的位置和大小，以及文件目录表 ：(FDT)的位置，系统在查找文件/目录时，通过文件 ：目录表来获取文件/目录的相关信息，如文件/目录 ：名、大小、时间戳等，以及存储的首簇(系统在管理 ；扇区时是以废为单位的，一个镇可能是1、2、4、8、 ：16、32、64个扇区等)号，根据首簇号一方面到数据 区相应地震号所对应的扇区找到首筑数据，另一方面 ：从FAT表中找到后续的废以及结束标示，其FAT表与数 :据区中的簇是一一对应的，FAT后面的数字12、16和 ；32分别表示FAT表中用多少位来表示数据区中的一个 ：就，而数据区的实际数据只能通过文件/目录及子目 J录来解释

15、.这样就确定了一个完整的文件/目录，如 ;下图所示.3FAT16文件系统的文件目录项(FDT)每一项用12个字节来定义，其含义如下图所示。FAT32文件系统的文件目录项(FDT)每一项用32个字节来定义，其含义如下图所示。 ,亶1 电峙”找 1武W、工 L / ；可$ I川I?I1nDC C2 BD AS CE C4 7E 31DC C2 BD AS CE C4 7E 3154 se 54 RDB6的正文“IE .一IXf6 H,%产 88M 00 X-X-.a-.iVJTVflMMtnint)i 7 I “s r ，12 11 I o A，1 /b i | j Z I ! ol*”g 第a

16、txt irn. xvsurttK.由.星武一)Es FATMBlHTjRIIW析； 这样，系统在删除文件时，只是把FDT项 s的第一个字节（即文件名的首字母）改为十六 ：进制的“E5”（即ASCII码的“？ ”）,然后将相 ：应的FAT表中所对应的簇改为“0%以表示所对 ：应的数据区中的簇为空，可以存入新的数据 ：（FAT32还需要将FDT中表示起始簇号的高16位 :清0）。所以，对于这样删除的数据，虽然从 ：操作系统或文件系统的角度来说，文件/目录 确实已经不存在了，但通过直接对磁盘扇区进 ：行操作，修改FDT并重新建立FAT表，就可以将 。件或曰泰恢角向柬I 当然，重建的过信比想象的要复

17、杂的多。J 对于NTF3分区来说，采用了和FAT不一样 ：的管理方式。所有存储在分区中的数据都是 ：文件，其中这些文件分为两大类，一类是元 ：数据文件，这些元数据文件，用于引导该分 ;区，确定文件系统的相关参数，定位文件的 存储情况，相当于FAT文件系统中的DBR、FAT ；和FDT,是用来管理分区的，它们所占用的空 ；间称为主文件表（怀T）；另一类是普通文 ；件，它的磁盘扇区使用情况如下图所示。WFT中有一个元数据文件专门用来记录 所有文件/目录的相关信息，每个文件/目录 占用一条，称为文件记录，文件记录固定为 1KB大小，个别结构复杂的文件/目录还可能 占用多条文件记录。它的删除与FAT文

18、件系 统类似，也有一个标志位，同时将记录簇使 用情况的位图文件相应的位清空，所以，删 除的文件同样可以恢复。NTFS文件记录的组 织结构如下图所示。文件记录记录头属性属性属性记录头属性文件记录文件记录文件记录文件记录属性结构（或称属性体（常驻属性流（实际的属性值属性结构（非常驻属性流的存储位置文件记录记录头属性流（实际的属性值常驻属性流的存储位置（非常驻标准属性头属性内容标准属性头属性内容对于这两种文件系统，格式化相当于将 所有文件/目录全部删除，所以，格式化后的 分区，仍然可以恢复数据。and so on .bar 456foo 123inode 123access permsfile/directory/etc data block #s