涉密硬盤(pán)數(shù)據(jù)恢復(fù)研究

在信息化和網(wǎng)絡(luò)化時(shí)代，紙質(zhì)化辦公轉(zhuǎn)向電子化辦公，不管是政府、企業(yè)、軍隊(duì)還是個(gè)人，每天都需要通過(guò)電腦獲取、處理大量信息，但作為信息存儲(chǔ)載體的磁盤(pán)卻不是萬(wàn)無(wú)一失的，磁盤(pán)故障、病毒破壞、黑客攻擊、自然災(zāi)害等意外事故都可能引發(fā)數(shù)據(jù)災(zāi)難。硬盤(pán)有價(jià)，數(shù)據(jù)無(wú)價(jià)，一旦災(zāi)難發(fā)生，輕則導(dǎo)致一筆合同的延誤，重則導(dǎo)致一個(gè)企業(yè)的破產(chǎn)，而政府、軍隊(duì)的涉密數(shù)據(jù)一旦非法外泄，甚至可能危及國(guó)家安全。因此，數(shù)據(jù)恢復(fù)是不亞于醫(yī)生治病救人的神圣工作，且其更肩負(fù)著國(guó)家秘密與商業(yè)秘密不外泄的重任！本文將介紹常用系統(tǒng)的文件結(jié)構(gòu)、數(shù)據(jù)恢復(fù)常用工具，就中央和國(guó)家機(jī)關(guān)保密技術(shù)服務(wù)中心涉密數(shù)據(jù)恢復(fù)中心開(kāi)展數(shù)據(jù)恢復(fù)業(yè)務(wù)以來(lái)遇到的案例進(jìn)行具體列舉分析及總結(jié)。

一、Windows操作系統(tǒng)的分區(qū)結(jié)構(gòu)及文件系統(tǒng)介紹

Windows作為目前主流的操作系統(tǒng)，能夠支持的分區(qū)結(jié)構(gòu)包括MBR磁盤(pán)分區(qū)、動(dòng)態(tài)磁盤(pán)分區(qū)及GPT磁盤(pán)分區(qū)。MBR磁盤(pán)分區(qū)是使用最為廣泛的一種分區(qū)結(jié)構(gòu)，它也被稱(chēng)為DOS分區(qū)，但它并不是一個(gè)僅僅應(yīng)用于Windows操作系統(tǒng)平臺(tái)的分區(qū)結(jié)構(gòu)，Linux系統(tǒng)、基于X86架構(gòu)的UNIX系統(tǒng)都能夠支持MBR分區(qū)。

（一）Windows操作系統(tǒng)分區(qū)結(jié)構(gòu)

1.MBR磁盤(pán)分區(qū)結(jié)構(gòu)

MBR扇區(qū)位于整個(gè)磁盤(pán)的第一個(gè)扇區(qū)：按照C/H/S地址描述，即0柱面0磁頭1扇區(qū)；按照LBA地址描述，即0扇區(qū)，是一個(gè)特殊而重要的扇區(qū)。總共512字節(jié)的MBR扇區(qū)，由以下部分組成：

（1）引導(dǎo)程序：引導(dǎo)程序占用其中的前440字節(jié)，其地址在偏移0~偏移1B7H處。

（2）Windows磁盤(pán)簽名：Windows磁盤(pán)標(biāo)簽占用引導(dǎo)程序后的4個(gè)字節(jié)，其地址在偏移1B8H~1BBH處，是Windows系統(tǒng)對(duì)硬盤(pán)初始化時(shí)寫(xiě)入的一個(gè)磁盤(pán)標(biāo)簽。

（3）分區(qū)表：偏移1BEH~偏移1FDH的64字節(jié)為硬盤(pán)分區(qū)表（DiskPartitionTable，DPT），這是MBR中非常重要的一個(gè)結(jié)構(gòu)，也包含邏輯數(shù)據(jù)恢復(fù)中最為常用的信息。

（4）結(jié)束標(biāo)志：扇區(qū)最后的兩個(gè)字節(jié)“55AA”（偏移1FEH~1FFH）是MBR的結(jié)束標(biāo)志。

2.動(dòng)態(tài)磁盤(pán)分區(qū)結(jié)構(gòu)動(dòng)態(tài)磁盤(pán)的磁盤(pán)配置信息存放在磁盤(pán)上，Windows的邏輯磁盤(pán)管理（LogicDiskManager，LDM）子系統(tǒng)負(fù)責(zé)管理動(dòng)態(tài)盤(pán)。LDM的卷與MS-DOS分區(qū)的一個(gè)主要的不同點(diǎn)在于，LDM維護(hù)一個(gè)單獨(dú)的數(shù)據(jù)庫(kù)用來(lái)存儲(chǔ)系統(tǒng)動(dòng)態(tài)盤(pán)的分區(qū)信息，包括多分區(qū)卷的設(shè)置。由于LDM封閉區(qū)域在磁盤(pán)的MS-DOS分區(qū)表中并沒(méi)有體現(xiàn)出來(lái)，所以被稱(chēng)為軟分區(qū)，而MS-DOS分區(qū)被稱(chēng)為硬分區(qū)。動(dòng)態(tài)磁盤(pán)分區(qū)由下面三部分結(jié)構(gòu)組成：

（1）MBR區(qū)：動(dòng)態(tài)磁盤(pán)的第一個(gè)扇區(qū)和MBR磁盤(pán)一樣，是一個(gè)MBR，MBR的分區(qū)表中有一項(xiàng)MS-DOS類(lèi)型的分區(qū)表項(xiàng)。在MBR區(qū)域的第7個(gè)扇區(qū)，也就是6號(hào)扇區(qū)，是動(dòng)態(tài)磁盤(pán)的私有頭。私有頭是動(dòng)態(tài)磁盤(pán)中非常重要的結(jié)構(gòu)，它占用1個(gè)扇區(qū)，同時(shí)在LDM數(shù)據(jù)庫(kù)中還有兩個(gè)備份。

（2）LDM軟分區(qū)區(qū)域：這一部分用來(lái)給動(dòng)態(tài)磁盤(pán)劃分軟分區(qū)。

（3）LDM數(shù)據(jù)庫(kù)區(qū)域：LDM數(shù)據(jù)庫(kù)占用動(dòng)態(tài)磁盤(pán)最后的1MB的空間，其中含有私有頭的兩個(gè)備份，并且用特定的數(shù)據(jù)結(jié)構(gòu)記錄著動(dòng)態(tài)磁盤(pán)的結(jié)構(gòu)信息。

3.GPT磁盤(pán)分區(qū)結(jié)構(gòu)

GPT是GUIDPartitionTable的縮寫(xiě)，其含義為“全局唯一標(biāo)識(shí)磁盤(pán)分區(qū)表”。GPT磁盤(pán)分區(qū)由6部分結(jié)構(gòu)組成：

（1）保護(hù)MBR：保護(hù)MBR位于GPT磁盤(pán)的第一個(gè)扇區(qū)，也就是0號(hào)扇區(qū)，由磁盤(pán)簽名、MBR磁盤(pán)分區(qū)表和結(jié)束標(biāo)志組成。

（2）GPT頭：GPT頭位于GPT磁盤(pán)的第二個(gè)扇區(qū)，也就是1號(hào)扇區(qū)，該扇區(qū)是在創(chuàng)建GPT磁盤(pán)時(shí)生成的，GPT頭會(huì)定義分區(qū)表的起始位置、分區(qū)表的結(jié)束位置、每個(gè)分區(qū)表項(xiàng)的大小、分區(qū)表項(xiàng)的個(gè)數(shù)及分區(qū)表的校驗(yàn)和等信息。

（3）分區(qū)表：分區(qū)表位于GPT磁盤(pán)的2~33號(hào)扇區(qū)，一共占用32個(gè)扇區(qū)，能夠容納128個(gè)分區(qū)表項(xiàng)，每個(gè)分區(qū)表項(xiàng)大小為128字節(jié)。因?yàn)槊總�(gè)分區(qū)表項(xiàng)管理一個(gè)分區(qū)，所以Windows系統(tǒng)允許GPT磁盤(pán)創(chuàng)建128個(gè)分區(qū)。

（4）分區(qū)區(qū)域：GPT分區(qū)區(qū)域通常都是起始于GPT磁盤(pán)的34號(hào)扇區(qū)，是整個(gè)GPT磁盤(pán)中最大的區(qū)域，由多個(gè)具體分區(qū)組成，如EFI系統(tǒng)分區(qū)（ESP）、微軟保留分區(qū)（MSR）、LDM元數(shù)據(jù)分區(qū)、LDM數(shù)據(jù)分區(qū)、OEM分區(qū)、主分區(qū)等。分區(qū)區(qū)域的起始地址和結(jié)束地址由GPT頭定義。

（5）GPT頭備份：GPT頭有一個(gè)備份，放在GPT磁盤(pán)的最后一個(gè)扇區(qū)，但這個(gè)GPT頭備份并不是GPT頭的簡(jiǎn)單復(fù)制，他們結(jié)構(gòu)雖然一樣，但是其中的參數(shù)卻又有一些區(qū)別。

（6）分區(qū)表備份：分區(qū)區(qū)域結(jié)束后，緊跟著就是分區(qū)表的備份，其地址在GPT頭備份扇區(qū)中有描述。分區(qū)表備份是對(duì)分區(qū)表32個(gè)扇區(qū)的完整備份。如果分區(qū)表被破壞，系統(tǒng)會(huì)自動(dòng)讀取分區(qū)表備份，也就能夠正常地識(shí)別分區(qū)。

（二）Windows操作系統(tǒng)的文件系統(tǒng)

微軟的文件系統(tǒng)主要有FAT、NTFS和ExFAT：FAT文件系統(tǒng)有FAT12（目前已經(jīng)非常少見(jiàn)，本文將不再介紹）、FAT16、FAT32等3種類(lèi)型；NTFS是目前微軟系統(tǒng)中主流的文件系統(tǒng)；ExFAT則是微軟近期剛推出的一種新的文件系統(tǒng)，主要針對(duì)移動(dòng)介質(zhì)。

1.FAT16文件系統(tǒng)

FAT16文件系統(tǒng)是從微軟的DOS3.0系統(tǒng)開(kāi)始使用的，它能夠支持大于16MB小于2GB的分區(qū)，Windows2000以上的操作系統(tǒng)可以創(chuàng)建4GB的FAT16分區(qū)，但與傳統(tǒng)的FAT16不兼容，該文件系統(tǒng)包含以下5個(gè)部分：

（1）DBR及其保留扇區(qū)：DBR的全稱(chēng)為DOSBootRecord，含義是DOS引導(dǎo)記錄，也稱(chēng)為操作系統(tǒng)引導(dǎo)記錄，在DBR之后往往有一些保留扇區(qū)。

（2）FAT1：FAT的全稱(chēng)為FileAllocationTable，含義是文件分配表。FAT16一般有兩份FAT，F(xiàn)AT1是第一份，也是主FAT。

（3）FAT2：FAT2是FAT16的第二份文件分配表，也就是FAT1的備份，稱(chēng)為備份FAT。

（4）FDT：FDT的全稱(chēng)為FileDirectory（5）DATA：DATA也就是數(shù)據(jù)區(qū)，是FAT16文件系統(tǒng)的主要區(qū)域。

2.FAT32文件系統(tǒng)

FAT32文件系統(tǒng)是從微軟Windows95系統(tǒng)開(kāi)始使用的，它能夠支持大于32MB小于32GB的分區(qū)。雖然第三方的格式化程序可以把超過(guò)32GB的分區(qū)格式化為FAT32，但微軟自身的系統(tǒng)不允許將大于32GB的分區(qū)格式化為FAT32文件系統(tǒng)，該系統(tǒng)共包含4個(gè)部分（與FAT16文件系統(tǒng)相似），分別為DBR及其保留扇區(qū)、FAT1、FAT2及DATA4個(gè)部分。

3.NTFS文件系統(tǒng)

NTFS文件系統(tǒng)是隨著WindowsNT操作系統(tǒng)的誕生而產(chǎn)生的，并隨著WindowsNT4跨入主力文件系統(tǒng)行列。它的優(yōu)點(diǎn)是安全性和穩(wěn)定性極其出色，在使用中不易產(chǎn)生文件碎片；同時(shí)還提供了容錯(cuò)結(jié)構(gòu)日志，可以將用戶(hù)的操作全部記錄下來(lái)，從而保護(hù)了系統(tǒng)的安全。NTFS主要由$Boot文件、$MFT文件、$MFTMirr文件及16個(gè)元文件組成。元文件主要有16個(gè)。

4.ExFAT文件系統(tǒng)

ExFAT全稱(chēng)為ExtendedFileAllocationTableFileSystem，即擴(kuò)展文件分配表，是微軟在WindowsEmbeded6.0中引入的一種適合于閃存的文件系統(tǒng)。該文件系統(tǒng)由以下5部分組成：

（1）DBR及其保留扇區(qū)：DOS引導(dǎo)記錄，也稱(chēng)為操作系統(tǒng)引導(dǎo)記錄。在DBR之后往往有一些保留扇區(qū)，其中12號(hào)扇區(qū)為DBR的備份。

（2）FAT：FAT的全稱(chēng)為FileAllocationTable，含義是文件分配表。

（3）簇位圖文件：簇位圖文件是ExFAT文件系統(tǒng)中的一個(gè)元文件，類(lèi)似于NTFS文件系統(tǒng)中的元文件$BitMap，用來(lái)管理分區(qū)中簇的使用情況。

（4）大寫(xiě)字符文件：是ExFAT文件系統(tǒng)中的第二個(gè)元文件，類(lèi)似于NTFS文件系統(tǒng)中的源文件$UpCase，Unicode字母表中每一個(gè)字符在這個(gè)文件中都有一個(gè)對(duì)應(yīng)的條目，用于比較、排序、計(jì)算Hash值等方面。

（5）用戶(hù)數(shù)據(jù)區(qū)：是ExFAT文件系統(tǒng)的主要區(qū)域，用來(lái)存放用戶(hù)的文件及目錄。

二、數(shù)據(jù)恢復(fù)常用軟件介紹

（一）Victoria硬盤(pán)壞道檢測(cè)軟件

Victoria是在Windows環(huán)境下功能強(qiáng)大的硬盤(pán)壞道檢測(cè)工具，該軟件具備硬盤(pán)表面檢測(cè)/硬盤(pán)壞道修復(fù)/cache緩存控制等功能。對(duì)于存在壞道但可以正常使用的硬盤(pán)，該軟件可以檢測(cè)發(fā)現(xiàn)硬盤(pán)壞道，越早發(fā)現(xiàn)壞道，可修復(fù)的概率就越高。在數(shù)據(jù)恢復(fù)業(yè)務(wù)中主要用該軟件來(lái)檢測(cè)硬盤(pán)的壞道有多少，從而根據(jù)數(shù)據(jù)類(lèi)型估算數(shù)據(jù)的可恢復(fù)性及完整性。

（二）R-Studio數(shù)據(jù)恢復(fù)軟件

R-Studio是一款功能強(qiáng)大的數(shù)據(jù)恢復(fù)軟件，它針對(duì)各種不同版本的Windows操作系統(tǒng)的文件系統(tǒng)都能應(yīng)付自如。R-Studio軟件也可以針對(duì)非Windows系列的Linux操作系統(tǒng)進(jìn)行數(shù)據(jù)恢復(fù)。而在WindowsNT、Windows2000、Windows7等操作系統(tǒng)上所使用的NTFS文件系統(tǒng)，R-Stduio亦具有處理的能力，而且R-Studio甚至也能處理NTFS文件系統(tǒng)的加密與壓縮狀態(tài)，并將發(fā)生問(wèn)題的文件復(fù)原。同時(shí)，高版本的R-Studio也增加了RAID重組功能，可以虛擬重組RAID的類(lèi)型包括RAID0、RAID5等，并支持陣列的缺失重組。實(shí)際數(shù)據(jù)恢復(fù)業(yè)務(wù)中主要是用該軟件對(duì)已存在分區(qū)表的硬盤(pán)進(jìn)行數(shù)據(jù)恢復(fù)或者進(jìn)行硬盤(pán)的分區(qū)表掃描等操作。

（三）SuperRecovery超級(jí)硬盤(pán)數(shù)據(jù)恢復(fù)軟件

SrperRecovery軟件是一款功能強(qiáng)大、簡(jiǎn)單易用的數(shù)據(jù)恢復(fù)軟件，該軟件可快速恢復(fù)被誤刪除、被格式化、分區(qū)丟失、分區(qū)被覆蓋等數(shù)據(jù)。該軟件支持FAT、FAT32、NTFS等Windows操作系統(tǒng)常用分區(qū)格式，支持按文件類(lèi)型進(jìn)行掃描的數(shù)據(jù)恢復(fù)，支持的文件類(lèi)型包括Word、Excel、PowerPoint、JPG、MP4、RAR、CAD等常用文件類(lèi)型。該軟件主要針對(duì)硬盤(pán)的分區(qū)掃描、按文件類(lèi)型掃描等需求進(jìn)行相關(guān)數(shù)據(jù)恢復(fù)。

（四）PC-3000硬盤(pán)修復(fù)工具

PC-3000是由俄羅斯著名硬盤(pán)實(shí)驗(yàn)室——ACELaboratory研究開(kāi)發(fā)的專(zhuān)業(yè)修復(fù)硬盤(pán)綜合工具，該工具包含硬件及軟件。操作人員可通過(guò)PC-3000工具的軟硬件結(jié)合對(duì)硬盤(pán)固件進(jìn)行讀取、屏蔽壞道、壞扇區(qū)、壞磁頭等，可進(jìn)行硬盤(pán)數(shù)據(jù)的快速拷貝，也可更改硬盤(pán)SN號(hào)、容量大小等信息。PC-3000的強(qiáng)大之處在于，該工具軟件已經(jīng)對(duì)市面上絕大部分的廠商生產(chǎn)的硬盤(pán)專(zhuān)用CPU指令集進(jìn)行了破解，讀取出大部分硬盤(pán)的Firmware（固件），從而控制硬盤(pán)內(nèi)部的工作，使用戶(hù)可以用簡(jiǎn)單的操作就能解決復(fù)雜的問(wèn)題。在數(shù)據(jù)恢復(fù)業(yè)務(wù)中，PC-3000是處理數(shù)據(jù)恢復(fù)工作的重要工具，數(shù)據(jù)的備份、固件的修復(fù)及硬盤(pán)的檢測(cè)都需要該工具來(lái)完成。

（五）WinHex

WinHex是一款以通用的16位進(jìn)制編輯器為核心，專(zhuān)門(mén)用來(lái)處理計(jì)算機(jī)取證、數(shù)據(jù)恢復(fù)、低級(jí)數(shù)據(jù)處理等問(wèn)題的高級(jí)工具，它可以用來(lái)檢查和修復(fù)各種文件、恢復(fù)誤刪除文件、恢復(fù)磁盤(pán)損壞造成的數(shù)據(jù)丟失等。WinHex中集成了很多功能強(qiáng)大的工具，包括磁盤(pán)編輯器、Hex轉(zhuǎn)換器和RAM編輯工具，并能夠方便地調(diào)用系統(tǒng)常用工具，如計(jì)算器、筆記本、瀏覽器等。WinHex功能強(qiáng)大、使用簡(jiǎn)單，在數(shù)據(jù)恢復(fù)業(yè)務(wù)中，主要用來(lái)查看分區(qū)表、文件系統(tǒng)及文件的底層結(jié)構(gòu)，用于修復(fù)損壞的文件系統(tǒng)及分區(qū)系統(tǒng)，重組陣列硬盤(pán)的數(shù)據(jù)等。

三、數(shù)據(jù)恢復(fù)案例解析

（一）硬盤(pán)壞道、文件目錄損壞等

案例信息

某單位工作人員攜帶希捷ST500DM002硬盤(pán)送至我中心，稱(chēng)其開(kāi)機(jī)后無(wú)法正常進(jìn)入系統(tǒng)，出現(xiàn)藍(lán)屏現(xiàn)象，硬盤(pán)沒(méi)有摔碰等物理?yè)p壞行為，望數(shù)據(jù)恢復(fù)中心將硬盤(pán)內(nèi)數(shù)據(jù)恢復(fù)。

1.故障現(xiàn)象工作人員首先對(duì)外觀進(jìn)行了觀察，硬盤(pán)外觀完好。隨后，將硬盤(pán)接入我中心專(zhuān)用數(shù)據(jù)恢復(fù)設(shè)備，通電后硬盤(pán)正常識(shí)別，且利用Victoria軟件測(cè)試硬盤(pán)的容量和型號(hào)均正常，但部分硬盤(pán)數(shù)據(jù)無(wú)法訪問(wèn)，提示文件目錄錯(cuò)誤。

2.故障原因分析

（1）壞道。如果硬盤(pán)存在壞道且壞道位于目錄區(qū)，文件系統(tǒng)無(wú)法解析，則操作系統(tǒng)文件無(wú)法正常加載，以致開(kāi)機(jī)后藍(lán)屏。

（2）文件系統(tǒng)邏輯損壞。意外斷電、非正常關(guān)機(jī)等情況可能致使硬盤(pán)目錄區(qū)被緩存文件破壞，從而導(dǎo)致電腦無(wú)法從硬盤(pán)讀取數(shù)據(jù)。

3.恢復(fù)過(guò)程

（1）在判斷該硬盤(pán)可正常運(yùn)行后，工作人員將硬盤(pán)接入專(zhuān)用設(shè)備利用PC-3000對(duì)硬盤(pán)進(jìn)行整盤(pán)克隆備份。

（2）克隆完成后，將原故障盤(pán)放入硬盤(pán)存放柜，將備份硬盤(pán)連接至專(zhuān)用設(shè)備，使用數(shù)據(jù)提取軟件展開(kāi)分區(qū)時(shí)提示“該區(qū)域不包含有效的分區(qū)結(jié)構(gòu)”。用WinHex查看硬盤(pán)底層代碼結(jié)構(gòu)，我們發(fā)現(xiàn)硬盤(pán)的分區(qū)結(jié)構(gòu)是完好的，該硬盤(pán)包含3個(gè)NTFS分區(qū)，分區(qū)的DBR（DOS引導(dǎo)記錄）也沒(méi)有異常，但是當(dāng)我們跳轉(zhuǎn)到系統(tǒng)分區(qū)（C區(qū)）的目錄區(qū)（$MFT）時(shí)，發(fā)現(xiàn)該區(qū)域前8個(gè)扇區(qū)的代碼全部為00字節(jié)，由于這8個(gè)扇區(qū)在硬盤(pán)中是有備份的，因此我們跳轉(zhuǎn)到備份目錄區(qū)（$MFTMirr），發(fā)現(xiàn)備份是完好的，由于NTFS的目錄和備份目錄是同步讀寫(xiě)的，如果目錄發(fā)生變化，則備份目錄必然同步改變，而現(xiàn)在備份目錄完好而目錄本身全是00字節(jié)，這就驗(yàn)證了我們一開(kāi)始分析的原因，這是硬盤(pán)壞道引起的。

（3）找到原因之后，有兩種方式可恢復(fù)數(shù)據(jù)。其一，在WinHex中將$MFTMirr前8個(gè)扇區(qū)粘貼到$MFT對(duì)應(yīng)的位置上，保存后，該分區(qū)恢復(fù)正常，通過(guò)數(shù)據(jù)提取軟件將數(shù)據(jù)提取至用戶(hù)所攜帶的數(shù)據(jù)拷貝盤(pán)中。其二，通過(guò)軟件對(duì)硬盤(pán)底層進(jìn)行掃描，軟件可以按照文件目錄結(jié)構(gòu)將其重新解析，然后再提取數(shù)據(jù)。

（4）數(shù)據(jù)恢復(fù)完成后，總大小及文件種類(lèi)與用戶(hù)介紹的大體一致。

（5）將備份硬盤(pán)及數(shù)據(jù)拷貝盤(pán)放入存放柜，等待用戶(hù)進(jìn)行數(shù)據(jù)驗(yàn)證。

（二）硬盤(pán)磁頭未歸位、磁頭損壞

案例信息

某部委信息中心工作人員攜帶西數(shù)WD3200AAJS硬盤(pán)來(lái)我中心進(jìn)行恢復(fù)，稱(chēng)電腦在故障出現(xiàn)的前一天使用時(shí)突然斷電導(dǎo)致電腦未正常關(guān)機(jī)，第二天開(kāi)機(jī)后設(shè)備無(wú)法識(shí)別硬盤(pán)，且硬盤(pán)在通電時(shí)有異響。1.故障現(xiàn)象

工作人員首先進(jìn)行了外觀的檢測(cè)后確定硬盤(pán)外觀完好，然后，將硬盤(pán)連接上專(zhuān)用恢復(fù)用設(shè)備。通電后，硬盤(pán)無(wú)法起轉(zhuǎn)，且有規(guī)律地發(fā)出“嘀嘀嘀”異響，設(shè)備無(wú)法識(shí)別該硬盤(pán)的型號(hào)及容量。

2.故障原因分析

（1）硬盤(pán)無(wú)法起轉(zhuǎn)且發(fā)出規(guī)律性異響，可能是磁頭未歸回初始位置（西數(shù)該系列硬盤(pán)磁頭有起落架），導(dǎo)致通電后磁頭卡住碟片，主軸馬達(dá)抱死而無(wú)法起轉(zhuǎn)，磁頭無(wú)法正常移動(dòng)，讀取不了硬盤(pán)固件代碼，因此電腦不識(shí)別該硬盤(pán)。此類(lèi)故障只需手動(dòng)協(xié)助磁頭回到起落架，即可使其恢復(fù)正常。

（2）如果將磁頭移回起落架后，硬盤(pán)通電仍無(wú)法識(shí)別且發(fā)出“咔咔咔”異響，則說(shuō)明磁頭已出現(xiàn)物理?yè)p壞，需要用同型號(hào)硬盤(pán)磁頭將其更換方可恢復(fù)數(shù)據(jù)。

3.恢復(fù)過(guò)程

（1）工作人員在確定該盤(pán)為磁頭出現(xiàn)問(wèn)題后，在百級(jí)潔凈間內(nèi)進(jìn)行開(kāi)盤(pán)。

（2）打開(kāi)硬盤(pán)后發(fā)現(xiàn)磁頭未停放在起落架上，將磁頭推入起落架上，蓋上硬盤(pán)蓋。

（3）連接專(zhuān)用設(shè)備，硬盤(pán)加電后仍有異響，這說(shuō)明硬盤(pán)的磁頭已經(jīng)損壞，硬盤(pán)的型號(hào)及容量仍無(wú)法被識(shí)別。

（4）斷電后，重啟開(kāi)盤(pán)，取出磁頭可以用電子顯微鏡發(fā)現(xiàn)其前端讀寫(xiě)部位已損壞，從備件庫(kù)中選取同一型號(hào)磁頭進(jìn)行更換。

（5）更換磁頭后，將硬盤(pán)加電運(yùn)行，硬盤(pán)運(yùn)行聲音正常，經(jīng)過(guò)PC-3000對(duì)硬盤(pán)固件進(jìn)行修復(fù)后，硬盤(pán)正常識(shí)別。

（6）將硬盤(pán)接入專(zhuān)用設(shè)備利用PC-3000進(jìn)行硬盤(pán)全盤(pán)備份。

（7）備份完成后，將原故障盤(pán)放入硬盤(pán)存放柜，將備份硬盤(pán)連接至專(zhuān)用設(shè)備，用邏輯恢復(fù)軟件（R-Studio、SuperRecovery）進(jìn)行數(shù)據(jù)整理與提取。將硬盤(pán)分區(qū)展開(kāi)后，目錄及文件大小與用戶(hù)所說(shuō)的基本一致，將其提取至用戶(hù)所攜帶的數(shù)據(jù)拷貝盤(pán)中。

（8）將備份硬盤(pán)及數(shù)據(jù)拷貝盤(pán)放入存放柜，等待用戶(hù)進(jìn)行數(shù)據(jù)驗(yàn)證。

（三）硬盤(pán)電路板損壞、電機(jī)損壞

案例信息

某軍工單位涉密電腦硬盤(pán)出現(xiàn)故障，故障出現(xiàn)前使用時(shí)無(wú)任何非正常操作，現(xiàn)開(kāi)啟電腦，硬盤(pán)加電后無(wú)任何反應(yīng)。該單位工作人員將該硬盤(pán)送至我中心進(jìn)行數(shù)據(jù)恢復(fù)。

1.故障現(xiàn)象

工作人員首先進(jìn)行了外觀的檢測(cè)后確定硬盤(pán)外觀完好，將硬盤(pán)接入專(zhuān)用設(shè)備后給硬盤(pán)通電，硬盤(pán)不旋轉(zhuǎn)，設(shè)備無(wú)法識(shí)別該硬盤(pán)的型號(hào)及容量。

2.故障分析原因

（1）硬盤(pán)通電后沒(méi)有反應(yīng)，磁盤(pán)電機(jī)不啟動(dòng)，此類(lèi)問(wèn)題可能由于電路板老化接觸不良、電路板燒毀、電路板電源接口老化等原因造成。

（2）硬盤(pán)通電后沒(méi)有反應(yīng)，磁盤(pán)電機(jī)不啟動(dòng)，此類(lèi)問(wèn)題也可能由于電機(jī)損壞而無(wú)法起轉(zhuǎn)所致。

3.恢復(fù)過(guò)程

（1）硬盤(pán)通電后無(wú)任何反應(yīng)，工作人員初步判斷該硬盤(pán)故障可能由電路板損毀或硬盤(pán)電機(jī)損壞導(dǎo)致。

（2）將硬盤(pán)電路板拆下，觀察電路板情況，沒(méi)有發(fā)現(xiàn)明顯燒毀的芯片。

（3）工作人員從備件庫(kù)中找出同批次的硬盤(pán)電路板，將故障硬盤(pán)ROM芯片焊接至新主板上，將新主板安裝回硬盤(pán)，硬盤(pán)仍無(wú)任何反應(yīng)。新主板在其他同型號(hào)硬盤(pán)上時(shí)，硬盤(pán)可以起轉(zhuǎn)，則判斷硬盤(pán)主板正常，此故障可能由電機(jī)損壞所致。

（4）在百級(jí)潔凈間內(nèi)對(duì)硬盤(pán)進(jìn)行開(kāi)盤(pán)，該硬盤(pán)由兩個(gè)碟片封裝而成，用記號(hào)筆在碟片側(cè)面對(duì)齊位置進(jìn)行標(biāo)記（防止碟片裝回后，兩碟片間發(fā)生大的偏移），取出碟片，將其平移至備件盤(pán)中。

（5）調(diào)平碟片，安裝好磁頭，將硬盤(pán)重新密封后通電。

（6）通電后硬盤(pán)正常運(yùn)行，確定該故障由于硬盤(pán)電機(jī)損毀引起，經(jīng)過(guò)固件修復(fù)后，設(shè)備可正常識(shí)別出硬盤(pán)型號(hào)及容量。

（7）將硬盤(pán)接入專(zhuān)用設(shè)備利用PC-3000進(jìn)行硬盤(pán)全盤(pán)備份。

（8）備份完成后，將原故障盤(pán)放入硬盤(pán)存放柜，將備份硬盤(pán)連接至專(zhuān)用設(shè)備，用邏輯恢復(fù)軟件（R-Studio、SuperRecovery）提取數(shù)據(jù)，恢復(fù)后的文件目錄及文件大小與用戶(hù)描述一致。

（9）將備份硬盤(pán)及數(shù)據(jù)拷貝盤(pán)放入存放柜，等待用戶(hù)進(jìn)行數(shù)據(jù)驗(yàn)證。

四、常用故障分析總結(jié)

（一）硬盤(pán)壞道、文件目錄損壞類(lèi)故障

1.此類(lèi)故障大體表現(xiàn)為硬盤(pán)通電后可正常運(yùn)行，在BIOS中能正確識(shí)別該硬盤(pán)的型號(hào)與容量，但無(wú)法進(jìn)入系統(tǒng)。

2.造成此類(lèi)故障主要由文件系統(tǒng)受損導(dǎo)致，而受損原因可能為壞道或緩存異�；貙�(xiě)。

3.此類(lèi)故障恢復(fù)的方式為重建受損的目錄區(qū)，或通過(guò)軟件完整掃描硬盤(pán)的目錄結(jié)構(gòu)，從而通過(guò)數(shù)據(jù)恢復(fù)軟件（R-Studio、SuperRecovery）將其解析重建，然后就可提取數(shù)據(jù)。

（二）硬盤(pán)磁頭未歸位、磁頭損壞類(lèi)故障

1.在目前市場(chǎng)使用較多的型號(hào)的硬盤(pán)系列中，意外斷電、非正常關(guān)機(jī)等情況最為常見(jiàn)，常會(huì)導(dǎo)致硬盤(pán)磁頭損壞。

2.出現(xiàn)異響是磁頭發(fā)生故障后最直觀的表現(xiàn)，此時(shí)應(yīng)關(guān)閉電腦，防止反復(fù)通電造成磁頭劃傷硬盤(pán)碟片而使數(shù)據(jù)徹底丟失。

3.磁頭損壞類(lèi)故障只能通過(guò)開(kāi)盤(pán)方式進(jìn)行恢復(fù)數(shù)據(jù)，無(wú)法直接通過(guò)軟件進(jìn)行恢復(fù)。

（三）硬盤(pán)電路板損壞、電機(jī)損壞類(lèi)故障

1.硬盤(pán)通電后不運(yùn)轉(zhuǎn)，沒(méi)有反應(yīng)，此類(lèi)故障通常由硬盤(pán)電機(jī)損壞、電路板損壞造成。若由電機(jī)損壞造成，則需要更換電機(jī)，將盤(pán)片整體平移到正常的硬盤(pán)中進(jìn)行數(shù)據(jù)恢復(fù)，此方法對(duì)單盤(pán)片的硬盤(pán)恢復(fù)有較好的效果，只需注意碟片正反不要搞錯(cuò)即可，但若硬盤(pán)為多盤(pán)片，還需要在移動(dòng)盤(pán)片的過(guò)程中注意盤(pán)片間的相對(duì)位移，若盤(pán)片間的相對(duì)位移出錯(cuò)，后期數(shù)據(jù)恢復(fù)將有很大難度。

2.若此類(lèi)故障由電路板損壞造成，則可通過(guò)更換同型號(hào)主板，再交換ROM芯片來(lái)實(shí)現(xiàn)恢復(fù)。注意，ROM芯片相當(dāng)于硬盤(pán)的身份證，對(duì)每一塊硬盤(pán)來(lái)說(shuō)都是唯一的，對(duì)數(shù)據(jù)恢復(fù)有著至關(guān)重要的作用，在更換ROM芯片過(guò)程中，切忌將其弄混或焊壞。

五、結(jié)語(yǔ)

在涉密數(shù)據(jù)恢復(fù)業(yè)務(wù)開(kāi)展實(shí)際工作中，遇到過(guò)各種介質(zhì)的數(shù)據(jù)恢復(fù)問(wèn)題，比如閃存介質(zhì)的數(shù)據(jù)恢復(fù)問(wèn)題，需要工程師對(duì)閃存內(nèi)部電路及芯片進(jìn)行深入分析；RAID磁盤(pán)陣列的數(shù)據(jù)恢復(fù)問(wèn)題，需要工程師對(duì)受損硬盤(pán)進(jìn)行修復(fù)后再對(duì)整個(gè)磁盤(pán)陣列進(jìn)行重組，這需要對(duì)數(shù)據(jù)的邏輯結(jié)構(gòu)有更進(jìn)一步的了解；有的數(shù)據(jù)文件格式比較少見(jiàn)（軟件無(wú)法掃描到），或者恢復(fù)出來(lái)的數(shù)據(jù)已經(jīng)被病毒損壞，則需要工程師對(duì)文件底層結(jié)構(gòu)進(jìn)行分析，并人工對(duì)文件進(jìn)行提取，對(duì)于這些故障的解決方法將在以后的文章中總結(jié)出來(lái)。由于硬盤(pán)的數(shù)據(jù)恢復(fù)是一門(mén)專(zhuān)業(yè)性、操作性要求都比較高的工作，所以想要提高數(shù)據(jù)恢復(fù)技術(shù)、提高數(shù)據(jù)恢復(fù)的成功率，應(yīng)多學(xué)習(xí)數(shù)據(jù)恢復(fù)理論知識(shí)、多動(dòng)手操作、多累積實(shí)踐經(jīng)驗(yàn)。

（作者：宏鵬 曲天光）