硬盘数据恢复方法研究

计算机安全专家威廉·史密斯曾经说过:“创建这些数据也许只花了10万元, 但当你在关键时刻打算把它们全部找回来时, 你得准备100万元的支票。”

1 数据灾难与数据恢复概述

1.1 数据灾难

数据灾难指的是由于各种原因所导致的存储于计算机存储介质 (硬盘、软盘等) 上的数据损坏或丢失, 它会使部分或全部的数据不能读出和使用。

现在, “数据灾难”这个名词越来越多地出现在人们的视野里。目前中小企业和公司数据安全意识普遍较差, 对计算机的可靠性和安全性既缺乏了解又过于信任, 对于硬盘数据疏于备份;另一方面, 中小企业和公司缺乏足够的技术和资金支持用于采取先进的冗余、容错和备份技术来减小或消除因计算机故障而产生的损失, 于是数据很容易丢失。而对于这些企业和公司用户而言, 数据是极具价值的。数据一旦丢失, 其经济损失将是难以估量的。而对于个人用户来说, 也同样存在相同的困扰。

造成数据灾难的原因大致分为二种:软件故障和硬件故障。

软件故障主要有: (1) 病毒感染; (2) 误格式化、误分区; (3) 误克隆; (4) 误操作; (5) 网络删除; (6) 0磁道损坏; (7) 硬盘逻辑锁; (8) 操作时断电。

软件故障现象一般表现为无操作系统, 读盘错误, 文件找不到、打不开、乱码, 报告无分区、无格式化等。

硬件故障主要有: (1) 磁盘划伤; (2) 磁组变形; (3) 芯片及其它原器件烧坏。硬件故障一般表现为硬盘不认, 常有一种“咔嚓咔嚓”的磁组撞击声或电机不转、通电后无任何声音、选头不对造成读写错误等现象。

1.2 数据恢复

目前, “数据恢复”作为挽救数据的有效方法和手段越来越受到业界的重视。

数据恢复是指用相应的各种技术方法把计算机存储介质 (硬盘、软盘等) 上损坏的数据重新找回, 使其得以再用。我们所讨论的数据的恢复是基于硬盘这种最通用的存储介质的。

假若硬盘因为磁头缺损、电机故障、盘片划伤等原因导致不能正常工作, 这种纯物理故障只有将硬盘交给专业人员进行开盘操作了。由于维修环境和条件相当苛刻、数据修复相关技术难度很大, 不具通用性。

对于软件故障导致的数据灾难的数据恢复, 首先, 有一个前提要强调, 那就是计算机里数据的存取特征:数据取出时的复制性, 数据存储时的覆盖性。通俗地说, 数据在从存储单元里取出时取出的是副本, 是“复印件”;而数据在写入存储单元时会取代存储单元里原有的数据、因此, 如果硬盘中的原有数据被新数据完全覆盖或多次被部分覆盖, 就基本上没有恢复的可能。

2 硬盘软故障导致硬盘数据丢失的数据恢复

基于以上前提, 可以得出结论:由于硬盘软故障导致的数据灾难, 在一定前提下, 其数据恢复是完全可以实现的。正常情况下, 可以恢复80%~90%的数据, 100%的恢复也是可能的。硬盘软故障的数据恢复主要可以从以下几个方面入手。

2.1 主引导区恢复

目前很多恶意程序都喜欢攻击硬盘的主引导区与分区表, 攻击成功就会造成主引导区损坏。有时候磁盘分区软件的误操作以及中途断电也会造成主引导区损坏。出现此类故障时, 计算机常有“Disk Boot Failure, Insert System Disk And Press Enter”, “Miss Operation System”等提示。通常来说, 一旦主引导记录和分区表被破坏, 硬盘里的数据虽然无法访问, 但也没有丢失。所以可以利用软件修复损坏的主引导区, 这样就能找到丢失的数据。用系统引导盘启动系统。然后键入“℃:”, 看看能否读出C盘的内容。之后使用Fdisk/mbr命令进行无条件重写主引导区, 这样既可以使主引导区恢复正常, 也可以保留C盘原有的数据。另外, 值得注意的是, Fdisk/mbr对于解决主引导区病毒也是非常有效的。

2.2 分区表恢复

分区表故障经常表现为:进入操作系统后发现部分分区丢失, 或是磁盘管理器中显示错误的容量等故障现象。与主引导区相比, 分区表被破坏时的修复相对要复杂一些。一般而言, 要修复分区表可通过查找备份的分区并复制相应的扇区。因此我们使用分区表的备份覆盖被破坏的分区就可以将故障解决了。但是在部分情况下, 分区表的备份无法找到, 此时只能手动修改。使用WinHex等软件直接操作分区表数据。在软件操作界面里, 查找从“80”开始到“55AA”, 结束的DPT硬盘分区表信息, 这样可以得知硬盘分区的基本信息。然后, 寻找下一个“5 5 A A', 标志, 因为“55AA”, 之后就是下一个分区的开头。只要找到“55AA”的位置, 就可以推算出分区的磁头、扇区和柱面数字再折算成16进制并回写到相应位置即可修复分区表。

2.3 DBR修复

前文提到过, DBR (操作系统引导记录区) 是由高级格式化程序Format产生的, 因此DBR也是一段信息代码, 同样可能遭到破坏, 最终导致无法进入操作系统, 部分文件夹信息也会丢失。该类故障常出现以下现象:在windows下无法打开某个分区, 双击分区图标时提示“该分区未格式化”, 进入DOS系统, 使用“DIR”命令会出现提示“General Fail Reading Driver”。应注意的是, 此时千万不要格式化程序, 因为格式化程序会重写DBR, 这样固然能解决问题, 但分区里原有的数据也会丢失, 这与挽救数据的最终目的是相违背的。

2.4 零磁道损坏的修复

对于硬盘而言, 零磁道是最为关键的地方, 因为硬盘的分区表信息就在其中。一旦零磁道损坏, 那么硬盘将无法启动。其实, 零磁道损坏只是物理坏道的特殊情况, 所不同的只是损坏之处十分敏感。对于带有物理坏道的硬盘, 最简单的数据恢复方法就是将该硬盘设置为从盘, 然后使用另一块正常的硬盘作为主盘引导进入操作系统。在磁盘管理器里对坏盘进行盘符分配, 如果成功, 直接拷贝就能成功挽救并保存数据。但若坏道过多, 那就只能尝试其它方法。

3 关于故障硬盘是否需要低级格式化

以上是硬盘软故障的数据恢复方法。笔者个人没有提到对硬盘进行低级格式化这一方法。因为实践表明低级格式化过程有可能进行下列几项工作。

(1) 对扇区清零和重写校验值; (2) 对扇区的标识信息重写; (3) 对扇区进行读写检查, 并尝试替换缺陷扇区; (4) 对所有物理扇区进行重新编号; (5) 写磁道伺服信息, 对所有磁道进行重新编号; (6) 写状态参数, 并修改特定参数。不同硬盘的低格过程相差很大, 不同的软件的低格过程也相差很大, 运用不当很可能导致硬盘性能下降。故我们认为绝大多数情况下, 硬盘是不需要低级格式化的, 多数所谓的复杂情况下, 如:中了逻辑炸弹或出现按物理地址记录的坏扇区, “零填充”和“屏蔽坏扇区”就足以解决问题了。

4 结语

以上是笔者多次成功修复硬盘丢失数据案例的经验积累, 说明了硬盘数据丢失后是可以恢复的。同时笔者也力图纠正读者对硬盘数据修复认识上的偏差, 即一些看似不可能恢复的数据通过适当的手段和方法同样能够恢复, 当然这需要相当专业的知识和技能。

摘要：本文基于笔长期从事硬件相关工作经验, 以硬盘数据恢复为研究对象, 深度探讨了硬盘数据恢复的方法, 论文首先阐述了数据灾难和数据恢复的概念, 在此基础上, 论文详细阐述了硬盘数据恢复的方法, 全文是笔者长期工作经验的积累, 相信对从事相关工作同行有着重要的参考价值和借鉴意义。

关键词：硬盘数据,数据灾难,数据恢复,存储结构