4、数据的恢复
在这一章我们主要讲当用户数据遭到破坏是,怎样用数据恢复的方法去恢复这些被破坏的数据。所有的方法都涉及到综合的硬盘工具PC3000和DE软件。
所有的情况都是假定所用的硬盘是IDE接口的,建议你上http://www.acelab.ru/hddtech.pdf看一下硬盘的出错代码等一些知识。
4.1用户数据遭到破坏的原因
用户的数据遭到破坏是有很多原因的,如果不知道这些原因(病毒破坏,还是误操作:格式化了还是删除了)的话,不管是硬盘物理坏道还是好盘上的数据破坏去恢复数据相当难。
有以下两种主要的原导致读取数据是不可能的:
1、要恢复数据的硬盘受到了物理上的损坏。
2、要恢复数据的硬盘物理功能上功能问题。
这样数据恢复就分为物理恢复和逻辑恢复两种。
一般的进行了物理恢复后通常要进行逻辑恢复。
4.1.1硬盘有物理缺陷导致不能读取数据的原因
4.1.1.1坏扇区
磁盘老化会让磁头在盘片上留下一些刮痕,这样就形成了坏扇区。
用PC3000的PC3000AT扫描就会发现UNC、AMNF、IDNF错误。
如果用磁盘扫描工具不能识别就标记为坏扇区。
从有坏道的扇区上读取数据的机会全靠硬盘上的坏道的分布数量。
如果坏扇区没有破坏你需要的数据的话,恢复这些数据是完全可能的。但是,用系统的工具拷贝出这些数据并不是一样非常容易的事情。
更糟糕的情况是坏扇区正在系统的区域,如果没有特别的工具,是不可能读取数据的。
有时候,坏扇区破坏了你需要的文件,当你拷贝时根本没法进行的,例如:如果出现了I/O错误就会中止拷贝。
4.1.1.2不能连接到缺陷硬盘的伺候器
很多情况下,缺陷硬盘的坏道在硬盘上占有一个重要的位置(很多缺陷在表面上,但也有很多缺陷是伺候器内部)。
硬盘的伺候器是维护和控制硬盘速度和硬盘读取扇区的通道。
如果硬盘的伺候器遭到破坏时,硬盘的行为就很难控制了。硬盘的运转主要是靠处在某一模式下的微程序来控制的。
简单说来,硬盘出现了一个IDNF错误后会读下一个伺候器。
如果所有的伺候器遭到破坏,原则上,硬盘不可能稳定的旋转,磁道也变得不精密啦。
以上说明,不同情况的硬盘的工作情况是不同的。
例如:当正在以一个稳定的速度移动到下一个柱面,回来时却遇到伺候器破坏的情况等。
这种过程是一直伴随着嗡嗡的硬盘杂音在响。
有些硬盘读着突然停下来敲盘。
从硬盘的伺候器被破坏的区域读数在理论是不可能的。
首先,扇区的位置不能定下来。
第二,硬盘因为出现了这么严重的问题差不多挂啦。
第三,因为磁头不能确定扇区的位置,所以不断的敲盘。
最让人不开心的事情就是在从伺候器出错硬盘上读取数据时,出现了敲盘的现象。这是发生磁头碰撞的问题,首先,要赶快把硬盘的停掉,垂直的摆动并且敲它表面,所有的这些操作都是为了让磁头在一个合适的位置。
然而,当正在从缺陷硬盘中读数时一定要避免碰撞它。
4.1.1.3磁头编译器部分的缺陷-硬件级别的
这个问题是磁头前置放大电路的开关信号存在问题。
在这种情况下,硬盘读取相应的盘片是不可能的。读取硬盘的盘片上的硬件信息也是不可能的。对盘片的开关将直接让碰撞磁头停止而没法读取伺候器的数据。
在读取结束后,有可能可以读取部分数据,然而一旦选择了有缺陷的磁头时,这个磁头马上就会不寻道开始敲盘。
4.1.1.4硬盘伺服信息被破坏后的结果
有很多种原因导致伺服信息遭到破坏,例如:在伺候区有坏扇区,微程序出错等。
硬盘候信息被破坏,就不能初始化,不能被BIOS和系统认出,所以在一般的操作系统中读取数据是不可能的。
4.1.1.5不能从缺陷硬盘上读取数据的另外的一些原因
另外一些原因是电路板移位导致硬盘运转不正常。
4.1.2逻辑数据破坏和如下问题导致不能读取硬盘数据的原因
4.1.2.1系统文件不能运行
系统文件夹如果丢失的话就会导致一系统问题,例如:电脑不能正常开机,程序运行出错,用户的一行操作失败。
在这些系统子文件夹中有一些重要的列表。
分区表包含的数据就是操作系统逻辑分区的信息。逻辑分区可以占用硬盘所有的物理空间,但是硬盘也能划分为独立的逻辑盘。不同的逻辑盘可以装不同的操作系统。如果分区表被破坏或者因为别的原因被清除掉了,那么操作系统就不能初始化了。
另外还有两个子系统表,准备读文件的和记录文件的。文件被作为一连串的簇放在硬盘上,这些簇不需要一个跟着一个,它们能分散的分布在整个硬盘上。每个文件开始的一连串簇被作为一个记录放在根目录中。根目录中有个文件列表,按照这个表来与相应的文件通讯。这些文件列表与文件的第一个扇区关联,包括文件的大小、创建的时间、文件名等。在WIN95后的操作系统还支持长文件名。
读取扇区的簇顺序要全靠文件分配表来的。这个文件分配表关联着硬盘上的所有的扇区信息。每一个扇区的簇在文件分配表中都有相应的信息,如果这个簇是空白的,那么在文件分配表上就存在一个零记录。如果簇位于一系列文件分配表相应的簇的最后,那么文件分配表的第一个就和它对应。如果在硬盘上有遭到破坏而导致硬盘不能运行的地方,那么系统会用一种特殊的标记来标识它,让操作系统不再去读取它。
文件系统是怎么工作的呢?当操作系统的一些程序要用到关联的文件时,操作系统会根据根目录的文件名和一系列簇的第一簇来找到这个文件。这个簇被查找到后,信息读入到文件交换区中。接着,文件分配表根据这些记录找到相应的簇,再接着簇的数据就从它里面读出来,直到读到扇区的最后一簇。
如果根目录文件结构被破坏,那么我们在硬盘上看到的都是一些奇怪的文件名,以前的文件都不见了。这就是文件分配表被破坏了,你不能管理和控制这些文件。
然而,在大多数情况下,系统文件不能正常运行时,数据恢复这些被改动的信息的机会是很大的。
那些侵害根目录结构或文件分配表的信息并没有完全被清除掉的,我们可以根据现存的信息,分析逻辑结构,找到没有被格式化部分的硬盘的分区信息,恢复分区表,从而恢复硬盘上的文件,是完全可能的。
4.1.2.2用户不正确的操作-删除、格式化等
当文件被删除,其实它在硬盘上的一些相关的东西并没有删除掉,而是简单的删除了文件名,这样原来占用的簇就成了自由的空间,就可以在它们里面写记录了。
一时不小心删除了文件让程序提示出错。如果误操作马上被操作者马上意识到了,恢复这些数据是100%的可能。在DOS操作系统中提供了一个UNDELETE的命令来撤消删除操作,在WIN95或98的操作系统中提供了回收站。这都给用户提供了一个恢复数据的机会。
当用户执行高级格式化命令时,数据在物理上并没有被删除,如果用户在格式化后没有向硬盘上写入数据,完全是可能恢复数据的!
相关文章:
数据恢复DE说明书一
数据恢复DE说明书二
数据恢复DE说明书三
数据恢复DE说明书四
数据恢复DE说明书五
数据恢复DE说明书六
数据恢复DE说明书七
数据恢复DE说明书八
数据恢复DE说明书九
数据恢复DE说明书十 |
