xxxxxxx学生实习(实训)总结报告学院:xxxxxxxxxxxxxxxxxx 专业班级:_xxxxxxxxxx_学生姓名:____xxxxxxxxx_____ 学号:xxxxxxxxxx_实习(实训)地点:___xxxxx____ ____________ __报告题目:__xxxxxxxxxxxxxxxxxxxx__________ ____报告日期: xxx 年 xxx月 xxx日指导教师评语: ____________ _______________________ _____________________________________________________ _____________________________________________________ _____________________________________________________成绩(五级记分制):______ _______指导教师(签字):_____________________xxxxx实习(实训)任务书设计题目:数据恢复技术应用系主任:指导教师:xxxxx年月日前言随着计算机技术的发展,同时硬盘由于其容量大价格便宜也成为人们存储数据的主要设备。
然而由于种种原因,硬盘的数据可能会被损坏,这也给个人和社会带来很大的损失。
因此,数据损坏后的数据恢复显得非常重要。
虽然在数据恢复领域有很多的厂商已经有比较成熟的技术。
然而对于并不了解硬盘原理普通人来说,如果试图恢复数据,但又无法采用很好的方法,选择正确的工具,就很难很好的恢复数据。
然而不管用什么方法进行数据恢复,都不能保证100%的能成功,所以在使用电脑时,我们应该注意数据备份工作。
本文分析了硬盘的有关内部结构与文件存储系统以及硬盘数据损坏的有关原因,然后介绍如何使用数据恢复软件EasyRecovery进行文件恢复。
目录前言 (I)1 设计内容及要求 (1)1.1 实训内容 (1)1.2 实训要求 (1)2 数据恢复原理 (2)3 数据恢复常见实例 (4)3.1 主引导区的恢复 (4)3.2 分区表破坏修复 (5)3.3 DBR修复 (5)3.4 文件删除后的修复 (6)3.5 因病毒侵害而导致的文件丢失 (6)3.6 利用EasyRecovery恢复丢失文件 (7)4 总结 (14)致谢 (15)参考文献 (16)1 设计内容及要求硬盘数据丢失对于硬盘来说,仅仅就是硬盘上的某些地方的磁性消失。
硬盘数据的丢失的原因本来就有很多种,可能因为人的误操作而丢失,也可能是因为病毒的入侵而破坏数据。
并且数据丢失的程度与情况也不尽相同。
可能是文件数据的丢失,可能是文件分配(FAT)表丢失,也可能硬盘的分区表等重要信息丢失。
所以,硬盘数据丢失本身就是一个非常复杂的问题。
要恢复硬盘的数据首先就是要分析硬盘的结构,分析数据丢失的情况。
只有彻底分析硬盘数据丢失的原因才能更好的采取下一步的行动。
同时,由于硬盘可能的数据丢失的情况的复杂性,这也使得数据恢复的方法的多样性。
对于不同的情况,必须采用不同的方法,才会有更好的效果。
1.1 实训内容数据恢复是在系统数据丢失或其他诸多原因而导致的灾难后,快速进行数据恢复,以保障系统正常运行的常用手段。
通过该综合训练,使学生了解数据恢复的重要性,并认识到电磁泄漏现象引起的数据恢复,硬件损坏、文件的删除等实现数据恢复的内容。
1.2 实训要求要求:理解数据备份的重要性,以及磁盘数据恢复的原理,认识数据恢复技术对信息安全的影响。
能够使用数据恢复软件EasyRecovery进行文件恢复。
2 数据恢复原理要了解数据恢复的原理,我们就不得不先理解硬盘的数据结构、文件的存储原理,甚至操作系统的启动流程,这些是我们在恢复硬盘数据时必须使用的基础知识。
刚生产出来的硬盘是无法使用的,若要使用就先将它分区、格式化,然后再安装上操作系统才可以使用。
而在这一过程中,要将硬盘分成主引导区(MBR),操作系统引导记录区(DBR)、AT 表、DIR 目录区和 DATA 数据区五个部分。
MBR(Main Boot Record,主引导区)位于整个硬盘的 0 磁道 0 柱面 1 扇区中。
不过在总共 512 字节的主引导扇区中,MBR 只占了其中的 446 字节,另外的 64字节交给了 DPT(Disk Partition Table,硬盘分区表),最后的两个字节“55AA”是分区的结束标志,其整体构成了硬盘的主引导扇区。
DBR(Dos Boot Record,操作系统引导区),DBR 是由高级格式化程序(如Format.m 等程序)所产生。
通常位于硬盘的 0 磁道 1 柱面 1扇区,是操作系统可以直接访问的第一个扇区,它包括一个引导程序和一个被称为 BPB(Bios Parameter Block)的分区参数记录表,最后的结束标志为“55AA”。
引导程序的主要任务是当 MBR 将系统控制权交给它时,判断本分区跟目录前两个文件是不是操作系统的引导文件。
如果确定存在,就把它读入内存,并把控制权交给该文件。
BPB 参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT 个数,分配单元的大小等重要参数。
FAT(File Allocation Table,文件分配表),是操作系统的文件寻址系统。
为了防止意外损坏,FAT 一般做两个(也可以设置为一个),第二个 FAT 为第一个 FAT的备份。
同一个文件的数据并不一定完整地存放在磁盘的一个连续的区域内,而往往会分成若干段,像一条链子一样存放,这样存放更多是为了读写速度上的考虑。
由于硬盘上保存着段与段之间的连接信息,操作系统在读取文件时,总是能够准确地找到各段的位置并正确读出。
在 FAT 区之后便是 DIR 目录区与 DATA 数据区,其中目录区起到定位的作用,通过这些目录可以找到相应的数据。
数据区是真正存储数据的地方。
数据出现问题主要包括两大类:逻辑问题和硬件问题,相对应的恢复也分别称为软件恢复和硬件恢复。
本文主要从软件恢复来讨论数据的恢复方法。
软件恢复是指通过软件的方式进行数据修复,整个过程并不涉及硬件维修。
而导致数据丢失的原因往往是病毒感染、误格式化、误分区、误克隆、误删除、操作断电等。
事实上,造成软件类数据丢失的原因十分复杂,每种情况都有特定的症状出现,或者多种症状同时出现。
一般情况下,只要数据区没有被彻底覆盖,个人用户通过相关软件的使用,一般都可以顺利恢复。
以最普通的删除操作为例,实际上此时保存在硬盘中的文件并没有真正被完全覆盖掉,而只是把指向这数据存储空间的链条删除了,真正的数据还是以二进制的方式存储在硬盘上。
只要这些数据不被覆盖,通过一些特定的软件方法,对这些存储数据的磁盘进行扫描,通过对所扫描得到的数据进行分析,以一定的格式来进行编译,就能够在一定范围内把丢失的数据找回来。
比如一块硬盘或者是一个闪存,在 Windows 下进行高级格式化,实际上主要是对FAT 表进行重新分配,把通向原来数据的通道给切断了,这样从表面上看起来是把磁盘进行格式化了,而实际上原来存储的数据还存储在盘片或是存储元件上,通过对盘片或存储元件进行扫描,然后按照主引导区、分区、DBR、FAT、文件实体恢复的顺序来解决,可以在一定限度内对文件进行恢复。
当然也应当承认的是,尽管软件类数据恢复有很多细节性的技巧与难以简单表达的经验,但是也的确存在现有软件恢复技术无能为力的情况。
如果硬盘中的数据被完全覆盖或多次被部分覆盖,很可能使用任何软件也无法修复。
基于以上原因,当出现数据丢失的情况时,最主要的操作就是不要对原来存放数据的区域进行数据存储或写操作,以保持原来存放数据的区域不被改动,为数据恢复做好充足的准备。
3 数据恢复常见实例3.1 主引导区的恢复MBR(Master Boot Record),是硬盘的主引导记录,在主引导扇区,位于硬盘的 cylinder 0, head 0, sector 1(Sector 是从 1 开始的)。
MBR 可以通过 FDISK创建,通过 INT 13h 的 fun 2 来读取。
引导扇区是每个分区(Partition)的第一扇区,而主引导扇区是硬盘的第一扇区。
它由三个部分组成,主引导记录 MBR、硬盘分区表 DPT 和硬盘有效标志。
在总共 512 字节的主引导扇区里 MBR 占 446个字节(偏移 0--偏移 1BDH),DPT 占 64 个字节(偏移 1BEH--偏移 1FDH),最后两个字节“55AA”(偏移 1FEH--偏移 1FFH)是硬盘有效标志。
对于开机自检后提示"Miss operation system"而且 DOS 下查看 C 盘内容完整,这是属于主引导区故障。
另外在电脑启动中,系统能够通过自检并检测到硬盘,但在即将进入操作系统之前提示"DISK BOOT FAILURE.INSERT SYSTEM DISK AND PRESS ENER",这也是主引导区错误。
对于这一类故障,可以用软盘或是光盘来启动,进行 DOS 系统,然后键入"C:",看能否读取 C 盘上的内容。
如果C 盘上的内容可以读取的话,大家只要使用 Fdisk/mbr 命令就可以进行无条件重写主引导区,这个方法一般都能成功,而且可以保留原有的数据。
当然即便是不能读取 C 盘,我们也可以使用 Fdisk/mbr 命令。
事实上 Fdisk/mbr的作用十分明显,也能对付一些主引导区病毒,大家一定要好好利用,这堪称是对付硬盘在BIOS 下可以识别而 DOS 下无法操作的第一工具。
修复 MBR 命令 Fdisk /mbr 详解:1.主引导程序受损此乃常见故障,硬盘不能自举,微机死锁,或显示 boot failure-insert system diskette,…之类;经由软盘引导,fdisk 命令能列出分区信息。
取硬盘同版本 dos软盘或应急盘引导,运行 a>fdisk/mbr 命令,仅向主引导扇区写入当前系统固有的主引导程序,硬盘即恢复自举能力,如果 dos 引导信息及系统文件等均正常。
2.仅设基本 dos 分区硬盘的主引导信息全损前述表现之外,执行 a>c:,显示 invalid drive specification,乃分区表遭毁;fdisk 命令不能列出分区信息。
实践中曾遇两例原仅设基本 dos 分区的硬盘(无扩展 dos 分区),主引导扇区面目皆非,经分别运行原用的 ms dos 7.0及 7.1 fdisk /mbr 命令,常规重写全套完全适用的主引导信息,由于其 dos 引导信息、文件分配表、根目录及用户数据完好,c盘均迅即康复。