在信息化和網(wǎng)絡(luò)化時代,紙質(zhì)化辦公轉(zhuǎn)向電子化辦公,不管是政府、企業(yè)、軍隊還是個人,每天都需要通過電腦獲取、處理大量信息,但作為信息存儲載體的磁盤卻不是萬無一失的,磁盤故障、病毒破壞、黑客攻擊、自然災(zāi)害等意外事故都可能引發(fā)數(shù)據(jù)災(zāi)難。硬盤有價,數(shù)據(jù)無價,一旦災(zāi)難發(fā)生,輕則導(dǎo)致一筆合同的延誤,重則導(dǎo)致一個企業(yè)的破產(chǎn),而政府、軍隊的涉密數(shù)據(jù)一旦非法外泄,甚至可能危及國家安全。因此,數(shù)據(jù)恢復(fù)是不亞于醫(yī)生治病救人的神圣工作,且其更肩負(fù)著國家秘密與商業(yè)秘密不外泄的重任!本文將介紹常用系統(tǒng)的文件結(jié)構(gòu)、數(shù)據(jù)恢復(fù)常用工具,就中央和國家機(jī)關(guān)保密技術(shù)服務(wù)中心涉密數(shù)據(jù)恢復(fù)中心開展數(shù)據(jù)恢復(fù)業(yè)務(wù)以來遇到的案例進(jìn)行具體列舉分析及總結(jié)。
一、Windows操作系統(tǒng)的分區(qū)結(jié)構(gòu)及文件系統(tǒng)介紹
Windows作為目前主流的操作系統(tǒng),能夠支持的分區(qū)結(jié)構(gòu)包括MBR磁盤分區(qū)、動態(tài)磁盤分區(qū)及GPT磁盤分區(qū)。MBR磁盤分區(qū)是使用最為廣泛的一種分區(qū)結(jié)構(gòu),它也被稱為DOS分區(qū),但它并不是一個僅僅應(yīng)用于Windows操作系統(tǒng)平臺的分區(qū)結(jié)構(gòu),Linux系統(tǒng)、基于X86架構(gòu)的UNIX系統(tǒng)都能夠支持MBR分區(qū)。
(一)Windows操作系統(tǒng)分區(qū)結(jié)構(gòu)
1.MBR磁盤分區(qū)結(jié)構(gòu)
MBR扇區(qū)位于整個磁盤的第一個扇區(qū):按照C/H/S地址描述,即0柱面0磁頭1扇區(qū);按照LBA地址描述,即0扇區(qū),是一個特殊而重要的扇區(qū)?偣512字節(jié)的MBR扇區(qū),由以下部分組成:
(1)引導(dǎo)程序:引導(dǎo)程序占用其中的前440字節(jié),其地址在偏移0~偏移1B7H處。
(2)Windows磁盤簽名:Windows磁盤標(biāo)簽占用引導(dǎo)程序后的4個字節(jié),其地址在偏移1B8H~1BBH處,是Windows系統(tǒng)對硬盤初始化時寫入的一個磁盤標(biāo)簽。
(3)分區(qū)表:偏移1BEH~偏移1FDH的64字節(jié)為硬盤分區(qū)表(DiskPartitionTable,DPT),這是MBR中非常重要的一個結(jié)構(gòu),也包含邏輯數(shù)據(jù)恢復(fù)中最為常用的信息。
(4)結(jié)束標(biāo)志:扇區(qū)最后的兩個字節(jié)“55AA”(偏移1FEH~1FFH)是MBR的結(jié)束標(biāo)志。
2.動態(tài)磁盤分區(qū)結(jié)構(gòu)動態(tài)磁盤的磁盤配置信息存放在磁盤上,Windows的邏輯磁盤管理(LogicDiskManager,LDM)子系統(tǒng)負(fù)責(zé)管理動態(tài)盤。LDM的卷與MS-DOS分區(qū)的一個主要的不同點在于,LDM維護(hù)一個單獨的數(shù)據(jù)庫用來存儲系統(tǒng)動態(tài)盤的分區(qū)信息,包括多分區(qū)卷的設(shè)置。由于LDM封閉區(qū)域在磁盤的MS-DOS分區(qū)表中并沒有體現(xiàn)出來,所以被稱為軟分區(qū),而MS-DOS分區(qū)被稱為硬分區(qū)。動態(tài)磁盤分區(qū)由下面三部分結(jié)構(gòu)組成:
(1)MBR區(qū):動態(tài)磁盤的第一個扇區(qū)和MBR磁盤一樣,是一個MBR,MBR的分區(qū)表中有一項MS-DOS類型的分區(qū)表項。在MBR區(qū)域的第7個扇區(qū),也就是6號扇區(qū),是動態(tài)磁盤的私有頭。私有頭是動態(tài)磁盤中非常重要的結(jié)構(gòu),它占用1個扇區(qū),同時在LDM數(shù)據(jù)庫中還有兩個備份。
(2)LDM軟分區(qū)區(qū)域:這一部分用來給動態(tài)磁盤劃分軟分區(qū)。
(3)LDM數(shù)據(jù)庫區(qū)域:LDM數(shù)據(jù)庫占用動態(tài)磁盤最后的1MB的空間,其中含有私有頭的兩個備份,并且用特定的數(shù)據(jù)結(jié)構(gòu)記錄著動態(tài)磁盤的結(jié)構(gòu)信息。
3.GPT磁盤分區(qū)結(jié)構(gòu)
GPT是GUIDPartitionTable的縮寫,其含義為“全局唯一標(biāo)識磁盤分區(qū)表”。GPT磁盤分區(qū)由6部分結(jié)構(gòu)組成:
(1)保護(hù)MBR:保護(hù)MBR位于GPT磁盤的第一個扇區(qū),也就是0號扇區(qū),由磁盤簽名、MBR磁盤分區(qū)表和結(jié)束標(biāo)志組成。
(2)GPT頭:GPT頭位于GPT磁盤的第二個扇區(qū),也就是1號扇區(qū),該扇區(qū)是在創(chuàng)建GPT磁盤時生成的,GPT頭會定義分區(qū)表的起始位置、分區(qū)表的結(jié)束位置、每個分區(qū)表項的大小、分區(qū)表項的個數(shù)及分區(qū)表的校驗和等信息。
(3)分區(qū)表:分區(qū)表位于GPT磁盤的2~33號扇區(qū),一共占用32個扇區(qū),能夠容納128個分區(qū)表項,每個分區(qū)表項大小為128字節(jié)。因為每個分區(qū)表項管理一個分區(qū),所以Windows系統(tǒng)允許GPT磁盤創(chuàng)建128個分區(qū)。
(4)分區(qū)區(qū)域:GPT分區(qū)區(qū)域通常都是起始于GPT磁盤的34號扇區(qū),是整個GPT磁盤中最大的區(qū)域,由多個具體分區(qū)組成,如EFI系統(tǒng)分區(qū)(ESP)、微軟保留分區(qū)(MSR)、LDM元數(shù)據(jù)分區(qū)、LDM數(shù)據(jù)分區(qū)、OEM分區(qū)、主分區(qū)等。分區(qū)區(qū)域的起始地址和結(jié)束地址由GPT頭定義。
(5)GPT頭備份:GPT頭有一個備份,放在GPT磁盤的最后一個扇區(qū),但這個GPT頭備份并不是GPT頭的簡單復(fù)制,他們結(jié)構(gòu)雖然一樣,但是其中的參數(shù)卻又有一些區(qū)別。
(6)分區(qū)表備份:分區(qū)區(qū)域結(jié)束后,緊跟著就是分區(qū)表的備份,其地址在GPT頭備份扇區(qū)中有描述。分區(qū)表備份是對分區(qū)表32個扇區(qū)的完整備份。如果分區(qū)表被破壞,系統(tǒng)會自動讀取分區(qū)表備份,也就能夠正常地識別分區(qū)。
(二)Windows操作系統(tǒng)的文件系統(tǒng)
微軟的文件系統(tǒng)主要有FAT、NTFS和ExFAT:FAT文件系統(tǒng)有FAT12(目前已經(jīng)非常少見,本文將不再介紹)、FAT16、FAT32等3種類型;NTFS是目前微軟系統(tǒng)中主流的文件系統(tǒng);ExFAT則是微軟近期剛推出的一種新的文件系統(tǒng),主要針對移動介質(zhì)。
1.FAT16文件系統(tǒng)
FAT16文件系統(tǒng)是從微軟的DOS3.0系統(tǒng)開始使用的,它能夠支持大于16MB小于2GB的分區(qū),Windows2000以上的操作系統(tǒng)可以創(chuàng)建4GB的FAT16分區(qū),但與傳統(tǒng)的FAT16不兼容,該文件系統(tǒng)包含以下5個部分:
(1)DBR及其保留扇區(qū):DBR的全稱為DOSBootRecord,含義是DOS引導(dǎo)記錄,也稱為操作系統(tǒng)引導(dǎo)記錄,在DBR之后往往有一些保留扇區(qū)。
(2)FAT1:FAT的全稱為FileAllocationTable,含義是文件分配表。FAT16一般有兩份FAT,F(xiàn)AT1是第一份,也是主FAT。
(3)FAT2:FAT2是FAT16的第二份文件分配表,也就是FAT1的備份,稱為備份FAT。
(4)FDT:FDT的全稱為FileDirectory(5)DATA:DATA也就是數(shù)據(jù)區(qū),是FAT16文件系統(tǒng)的主要區(qū)域。
2.FAT32文件系統(tǒng)
FAT32文件系統(tǒng)是從微軟Windows95系統(tǒng)開始使用的,它能夠支持大于32MB小于32GB的分區(qū)。雖然第三方的格式化程序可以把超過32GB的分區(qū)格式化為FAT32,但微軟自身的系統(tǒng)不允許將大于32GB的分區(qū)格式化為FAT32文件系統(tǒng),該系統(tǒng)共包含4個部分(與FAT16文件系統(tǒng)相似),分別為DBR及其保留扇區(qū)、FAT1、FAT2及DATA4個部分。
3.NTFS文件系統(tǒng)
NTFS文件系統(tǒng)是隨著WindowsNT操作系統(tǒng)的誕生而產(chǎn)生的,并隨著WindowsNT4跨入主力文件系統(tǒng)行列。它的優(yōu)點是安全性和穩(wěn)定性極其出色,在使用中不易產(chǎn)生文件碎片;同時還提供了容錯結(jié)構(gòu)日志,可以將用戶的操作全部記錄下來,從而保護(hù)了系統(tǒng)的安全。NTFS主要由$Boot文件、$MFT文件、$MFTMirr文件及16個元文件組成。元文件主要有16個。
4.ExFAT文件系統(tǒng)
ExFAT全稱為ExtendedFileAllocationTableFileSystem,即擴(kuò)展文件分配表,是微軟在WindowsEmbeded6.0中引入的一種適合于閃存的文件系統(tǒng)。該文件系統(tǒng)由以下5部分組成:
(1)DBR及其保留扇區(qū):DOS引導(dǎo)記錄,也稱為操作系統(tǒng)引導(dǎo)記錄。在DBR之后往往有一些保留扇區(qū),其中12號扇區(qū)為DBR的備份。
(2)FAT:FAT的全稱為FileAllocationTable,含義是文件分配表。
(3)簇位圖文件:簇位圖文件是ExFAT文件系統(tǒng)中的一個元文件,類似于NTFS文件系統(tǒng)中的元文件$BitMap,用來管理分區(qū)中簇的使用情況。
(4)大寫字符文件:是ExFAT文件系統(tǒng)中的第二個元文件,類似于NTFS文件系統(tǒng)中的源文件$UpCase,Unicode字母表中每一個字符在這個文件中都有一個對應(yīng)的條目,用于比較、排序、計算Hash值等方面。
(5)用戶數(shù)據(jù)區(qū):是ExFAT文件系統(tǒng)的主要區(qū)域,用來存放用戶的文件及目錄。
二、數(shù)據(jù)恢復(fù)常用軟件介紹
(一)Victoria硬盤壞道檢測軟件
Victoria是在Windows環(huán)境下功能強大的硬盤壞道檢測工具,該軟件具備硬盤表面檢測/硬盤壞道修復(fù)/cache緩存控制等功能。對于存在壞道但可以正常使用的硬盤,該軟件可以檢測發(fā)現(xiàn)硬盤壞道,越早發(fā)現(xiàn)壞道,可修復(fù)的概率就越高。在數(shù)據(jù)恢復(fù)業(yè)務(wù)中主要用該軟件來檢測硬盤的壞道有多少,從而根據(jù)數(shù)據(jù)類型估算數(shù)據(jù)的可恢復(fù)性及完整性。
(二)R-Studio數(shù)據(jù)恢復(fù)軟件
R-Studio是一款功能強大的數(shù)據(jù)恢復(fù)軟件,它針對各種不同版本的Windows操作系統(tǒng)的文件系統(tǒng)都能應(yīng)付自如。R-Studio軟件也可以針對非Windows系列的Linux操作系統(tǒng)進(jìn)行數(shù)據(jù)恢復(fù)。而在WindowsNT、Windows2000、Windows7等操作系統(tǒng)上所使用的NTFS文件系統(tǒng),R-Stduio亦具有處理的能力,而且R-Studio甚至也能處理NTFS文件系統(tǒng)的加密與壓縮狀態(tài),并將發(fā)生問題的文件復(fù)原。同時,高版本的R-Studio也增加了RAID重組功能,可以虛擬重組RAID的類型包括RAID0、RAID5等,并支持陣列的缺失重組。實際數(shù)據(jù)恢復(fù)業(yè)務(wù)中主要是用該軟件對已存在分區(qū)表的硬盤進(jìn)行數(shù)據(jù)恢復(fù)或者進(jìn)行硬盤的分區(qū)表掃描等操作。
(三)SuperRecovery超級硬盤數(shù)據(jù)恢復(fù)軟件
SrperRecovery軟件是一款功能強大、簡單易用的數(shù)據(jù)恢復(fù)軟件,該軟件可快速恢復(fù)被誤刪除、被格式化、分區(qū)丟失、分區(qū)被覆蓋等數(shù)據(jù)。該軟件支持FAT、FAT32、NTFS等Windows操作系統(tǒng)常用分區(qū)格式,支持按文件類型進(jìn)行掃描的數(shù)據(jù)恢復(fù),支持的文件類型包括Word、Excel、PowerPoint、JPG、MP4、RAR、CAD等常用文件類型。該軟件主要針對硬盤的分區(qū)掃描、按文件類型掃描等需求進(jìn)行相關(guān)數(shù)據(jù)恢復(fù)。
(四)PC-3000硬盤修復(fù)工具
PC-3000是由俄羅斯著名硬盤實驗室——ACELaboratory研究開發(fā)的專業(yè)修復(fù)硬盤綜合工具,該工具包含硬件及軟件。操作人員可通過PC-3000工具的軟硬件結(jié)合對硬盤固件進(jìn)行讀取、屏蔽壞道、壞扇區(qū)、壞磁頭等,可進(jìn)行硬盤數(shù)據(jù)的快速拷貝,也可更改硬盤SN號、容量大小等信息。PC-3000的強大之處在于,該工具軟件已經(jīng)對市面上絕大部分的廠商生產(chǎn)的硬盤專用CPU指令集進(jìn)行了破解,讀取出大部分硬盤的Firmware(固件),從而控制硬盤內(nèi)部的工作,使用戶可以用簡單的操作就能解決復(fù)雜的問題。在數(shù)據(jù)恢復(fù)業(yè)務(wù)中,PC-3000是處理數(shù)據(jù)恢復(fù)工作的重要工具,數(shù)據(jù)的備份、固件的修復(fù)及硬盤的檢測都需要該工具來完成。
(五)WinHex
WinHex是一款以通用的16位進(jìn)制編輯器為核心,專門用來處理計算機(jī)取證、數(shù)據(jù)恢復(fù)、低級數(shù)據(jù)處理等問題的高級工具,它可以用來檢查和修復(fù)各種文件、恢復(fù)誤刪除文件、恢復(fù)磁盤損壞造成的數(shù)據(jù)丟失等。WinHex中集成了很多功能強大的工具,包括磁盤編輯器、Hex轉(zhuǎn)換器和RAM編輯工具,并能夠方便地調(diào)用系統(tǒng)常用工具,如計算器、筆記本、瀏覽器等。WinHex功能強大、使用簡單,在數(shù)據(jù)恢復(fù)業(yè)務(wù)中,主要用來查看分區(qū)表、文件系統(tǒng)及文件的底層結(jié)構(gòu),用于修復(fù)損壞的文件系統(tǒng)及分區(qū)系統(tǒng),重組陣列硬盤的數(shù)據(jù)等。
三、數(shù)據(jù)恢復(fù)案例解析
(一)硬盤壞道、文件目錄損壞等
案例信息
某單位工作人員攜帶希捷ST500DM002硬盤送至我中心,稱其開機(jī)后無法正常進(jìn)入系統(tǒng),出現(xiàn)藍(lán)屏現(xiàn)象,硬盤沒有摔碰等物理損壞行為,望數(shù)據(jù)恢復(fù)中心將硬盤內(nèi)數(shù)據(jù)恢復(fù)。
1.故障現(xiàn)象工作人員首先對外觀進(jìn)行了觀察,硬盤外觀完好。隨后,將硬盤接入我中心專用數(shù)據(jù)恢復(fù)設(shè)備,通電后硬盤正常識別,且利用Victoria軟件測試硬盤的容量和型號均正常,但部分硬盤數(shù)據(jù)無法訪問,提示文件目錄錯誤。
2.故障原因分析
(1)壞道。如果硬盤存在壞道且壞道位于目錄區(qū),文件系統(tǒng)無法解析,則操作系統(tǒng)文件無法正常加載,以致開機(jī)后藍(lán)屏。
(2)文件系統(tǒng)邏輯損壞。意外斷電、非正常關(guān)機(jī)等情況可能致使硬盤目錄區(qū)被緩存文件破壞,從而導(dǎo)致電腦無法從硬盤讀取數(shù)據(jù)。
3.恢復(fù)過程
(1)在判斷該硬盤可正常運行后,工作人員將硬盤接入專用設(shè)備利用PC-3000對硬盤進(jìn)行整盤克隆備份。
(2)克隆完成后,將原故障盤放入硬盤存放柜,將備份硬盤連接至專用設(shè)備,使用數(shù)據(jù)提取軟件展開分區(qū)時提示“該區(qū)域不包含有效的分區(qū)結(jié)構(gòu)”。用WinHex查看硬盤底層代碼結(jié)構(gòu),我們發(fā)現(xiàn)硬盤的分區(qū)結(jié)構(gòu)是完好的,該硬盤包含3個NTFS分區(qū),分區(qū)的DBR(DOS引導(dǎo)記錄)也沒有異常,但是當(dāng)我們跳轉(zhuǎn)到系統(tǒng)分區(qū)(C區(qū))的目錄區(qū)($MFT)時,發(fā)現(xiàn)該區(qū)域前8個扇區(qū)的代碼全部為00字節(jié),由于這8個扇區(qū)在硬盤中是有備份的,因此我們跳轉(zhuǎn)到備份目錄區(qū)($MFTMirr),發(fā)現(xiàn)備份是完好的,由于NTFS的目錄和備份目錄是同步讀寫的,如果目錄發(fā)生變化,則備份目錄必然同步改變,而現(xiàn)在備份目錄完好而目錄本身全是00字節(jié),這就驗證了我們一開始分析的原因,這是硬盤壞道引起的。
(3)找到原因之后,有兩種方式可恢復(fù)數(shù)據(jù)。其一,在WinHex中將$MFTMirr前8個扇區(qū)粘貼到$MFT對應(yīng)的位置上,保存后,該分區(qū)恢復(fù)正常,通過數(shù)據(jù)提取軟件將數(shù)據(jù)提取至用戶所攜帶的數(shù)據(jù)拷貝盤中。其二,通過軟件對硬盤底層進(jìn)行掃描,軟件可以按照文件目錄結(jié)構(gòu)將其重新解析,然后再提取數(shù)據(jù)。
(4)數(shù)據(jù)恢復(fù)完成后,總大小及文件種類與用戶介紹的大體一致。
(5)將備份硬盤及數(shù)據(jù)拷貝盤放入存放柜,等待用戶進(jìn)行數(shù)據(jù)驗證。
(二)硬盤磁頭未歸位、磁頭損壞
案例信息
某部委信息中心工作人員攜帶西數(shù)WD3200AAJS硬盤來我中心進(jìn)行恢復(fù),稱電腦在故障出現(xiàn)的前一天使用時突然斷電導(dǎo)致電腦未正常關(guān)機(jī),第二天開機(jī)后設(shè)備無法識別硬盤,且硬盤在通電時有異響。1.故障現(xiàn)象
工作人員首先進(jìn)行了外觀的檢測后確定硬盤外觀完好,然后,將硬盤連接上專用恢復(fù)用設(shè)備。通電后,硬盤無法起轉(zhuǎn),且有規(guī)律地發(fā)出“嘀嘀嘀”異響,設(shè)備無法識別該硬盤的型號及容量。
2.故障原因分析
(1)硬盤無法起轉(zhuǎn)且發(fā)出規(guī)律性異響,可能是磁頭未歸回初始位置(西數(shù)該系列硬盤磁頭有起落架),導(dǎo)致通電后磁頭卡住碟片,主軸馬達(dá)抱死而無法起轉(zhuǎn),磁頭無法正常移動,讀取不了硬盤固件代碼,因此電腦不識別該硬盤。此類故障只需手動協(xié)助磁頭回到起落架,即可使其恢復(fù)正常。
(2)如果將磁頭移回起落架后,硬盤通電仍無法識別且發(fā)出“咔咔咔”異響,則說明磁頭已出現(xiàn)物理損壞,需要用同型號硬盤磁頭將其更換方可恢復(fù)數(shù)據(jù)。
3.恢復(fù)過程
(1)工作人員在確定該盤為磁頭出現(xiàn)問題后,在百級潔凈間內(nèi)進(jìn)行開盤。
(2)打開硬盤后發(fā)現(xiàn)磁頭未停放在起落架上,將磁頭推入起落架上,蓋上硬盤蓋。
(3)連接專用設(shè)備,硬盤加電后仍有異響,這說明硬盤的磁頭已經(jīng)損壞,硬盤的型號及容量仍無法被識別。
(4)斷電后,重啟開盤,取出磁頭可以用電子顯微鏡發(fā)現(xiàn)其前端讀寫部位已損壞,從備件庫中選取同一型號磁頭進(jìn)行更換。
(5)更換磁頭后,將硬盤加電運行,硬盤運行聲音正常,經(jīng)過PC-3000對硬盤固件進(jìn)行修復(fù)后,硬盤正常識別。
(6)將硬盤接入專用設(shè)備利用PC-3000進(jìn)行硬盤全盤備份。
(7)備份完成后,將原故障盤放入硬盤存放柜,將備份硬盤連接至專用設(shè)備,用邏輯恢復(fù)軟件(R-Studio、SuperRecovery)進(jìn)行數(shù)據(jù)整理與提取。將硬盤分區(qū)展開后,目錄及文件大小與用戶所說的基本一致,將其提取至用戶所攜帶的數(shù)據(jù)拷貝盤中。
(8)將備份硬盤及數(shù)據(jù)拷貝盤放入存放柜,等待用戶進(jìn)行數(shù)據(jù)驗證。
(三)硬盤電路板損壞、電機(jī)損壞
案例信息
某軍工單位涉密電腦硬盤出現(xiàn)故障,故障出現(xiàn)前使用時無任何非正常操作,現(xiàn)開啟電腦,硬盤加電后無任何反應(yīng)。該單位工作人員將該硬盤送至我中心進(jìn)行數(shù)據(jù)恢復(fù)。
1.故障現(xiàn)象
工作人員首先進(jìn)行了外觀的檢測后確定硬盤外觀完好,將硬盤接入專用設(shè)備后給硬盤通電,硬盤不旋轉(zhuǎn),設(shè)備無法識別該硬盤的型號及容量。
2.故障分析原因
(1)硬盤通電后沒有反應(yīng),磁盤電機(jī)不啟動,此類問題可能由于電路板老化接觸不良、電路板燒毀、電路板電源接口老化等原因造成。
(2)硬盤通電后沒有反應(yīng),磁盤電機(jī)不啟動,此類問題也可能由于電機(jī)損壞而無法起轉(zhuǎn)所致。
3.恢復(fù)過程
(1)硬盤通電后無任何反應(yīng),工作人員初步判斷該硬盤故障可能由電路板損毀或硬盤電機(jī)損壞導(dǎo)致。
(2)將硬盤電路板拆下,觀察電路板情況,沒有發(fā)現(xiàn)明顯燒毀的芯片。
(3)工作人員從備件庫中找出同批次的硬盤電路板,將故障硬盤ROM芯片焊接至新主板上,將新主板安裝回硬盤,硬盤仍無任何反應(yīng)。新主板在其他同型號硬盤上時,硬盤可以起轉(zhuǎn),則判斷硬盤主板正常,此故障可能由電機(jī)損壞所致。
(4)在百級潔凈間內(nèi)對硬盤進(jìn)行開盤,該硬盤由兩個碟片封裝而成,用記號筆在碟片側(cè)面對齊位置進(jìn)行標(biāo)記(防止碟片裝回后,兩碟片間發(fā)生大的偏移),取出碟片,將其平移至備件盤中。
(5)調(diào)平碟片,安裝好磁頭,將硬盤重新密封后通電。
(6)通電后硬盤正常運行,確定該故障由于硬盤電機(jī)損毀引起,經(jīng)過固件修復(fù)后,設(shè)備可正常識別出硬盤型號及容量。
(7)將硬盤接入專用設(shè)備利用PC-3000進(jìn)行硬盤全盤備份。
(8)備份完成后,將原故障盤放入硬盤存放柜,將備份硬盤連接至專用設(shè)備,用邏輯恢復(fù)軟件(R-Studio、SuperRecovery)提取數(shù)據(jù),恢復(fù)后的文件目錄及文件大小與用戶描述一致。
(9)將備份硬盤及數(shù)據(jù)拷貝盤放入存放柜,等待用戶進(jìn)行數(shù)據(jù)驗證。
四、常用故障分析總結(jié)
(一)硬盤壞道、文件目錄損壞類故障
1.此類故障大體表現(xiàn)為硬盤通電后可正常運行,在BIOS中能正確識別該硬盤的型號與容量,但無法進(jìn)入系統(tǒng)。
2.造成此類故障主要由文件系統(tǒng)受損導(dǎo)致,而受損原因可能為壞道或緩存異;貙。
3.此類故障恢復(fù)的方式為重建受損的目錄區(qū),或通過軟件完整掃描硬盤的目錄結(jié)構(gòu),從而通過數(shù)據(jù)恢復(fù)軟件(R-Studio、SuperRecovery)將其解析重建,然后就可提取數(shù)據(jù)。
(二)硬盤磁頭未歸位、磁頭損壞類故障
1.在目前市場使用較多的型號的硬盤系列中,意外斷電、非正常關(guān)機(jī)等情況最為常見,常會導(dǎo)致硬盤磁頭損壞。
2.出現(xiàn)異響是磁頭發(fā)生故障后最直觀的表現(xiàn),此時應(yīng)關(guān)閉電腦,防止反復(fù)通電造成磁頭劃傷硬盤碟片而使數(shù)據(jù)徹底丟失。
3.磁頭損壞類故障只能通過開盤方式進(jìn)行恢復(fù)數(shù)據(jù),無法直接通過軟件進(jìn)行恢復(fù)。
(三)硬盤電路板損壞、電機(jī)損壞類故障
1.硬盤通電后不運轉(zhuǎn),沒有反應(yīng),此類故障通常由硬盤電機(jī)損壞、電路板損壞造成。若由電機(jī)損壞造成,則需要更換電機(jī),將盤片整體平移到正常的硬盤中進(jìn)行數(shù)據(jù)恢復(fù),此方法對單盤片的硬盤恢復(fù)有較好的效果,只需注意碟片正反不要搞錯即可,但若硬盤為多盤片,還需要在移動盤片的過程中注意盤片間的相對位移,若盤片間的相對位移出錯,后期數(shù)據(jù)恢復(fù)將有很大難度。
2.若此類故障由電路板損壞造成,則可通過更換同型號主板,再交換ROM芯片來實現(xiàn)恢復(fù)。注意,ROM芯片相當(dāng)于硬盤的身份證,對每一塊硬盤來說都是唯一的,對數(shù)據(jù)恢復(fù)有著至關(guān)重要的作用,在更換ROM芯片過程中,切忌將其弄混或焊壞。
五、結(jié)語
在涉密數(shù)據(jù)恢復(fù)業(yè)務(wù)開展實際工作中,遇到過各種介質(zhì)的數(shù)據(jù)恢復(fù)問題,比如閃存介質(zhì)的數(shù)據(jù)恢復(fù)問題,需要工程師對閃存內(nèi)部電路及芯片進(jìn)行深入分析;RAID磁盤陣列的數(shù)據(jù)恢復(fù)問題,需要工程師對受損硬盤進(jìn)行修復(fù)后再對整個磁盤陣列進(jìn)行重組,這需要對數(shù)據(jù)的邏輯結(jié)構(gòu)有更進(jìn)一步的了解;有的數(shù)據(jù)文件格式比較少見(軟件無法掃描到),或者恢復(fù)出來的數(shù)據(jù)已經(jīng)被病毒損壞,則需要工程師對文件底層結(jié)構(gòu)進(jìn)行分析,并人工對文件進(jìn)行提取,對于這些故障的解決方法將在以后的文章中總結(jié)出來。由于硬盤的數(shù)據(jù)恢復(fù)是一門專業(yè)性、操作性要求都比較高的工作,所以想要提高數(shù)據(jù)恢復(fù)技術(shù)、提高數(shù)據(jù)恢復(fù)的成功率,應(yīng)多學(xué)習(xí)數(shù)據(jù)恢復(fù)理論知識、多動手操作、多累積實踐經(jīng)驗。
(作者:宏鵬 曲天光)