硬盤分區被GHOST覆蓋后的文件恢復技術

摘 要：分析了硬盤被克隆軟件覆蓋后可能出現的幾種狀態、相關結構以及數據恢復的可能性。深入剖析了待恢復文件的結構、長度與恢復成功率的關系。給出了恢復被覆蓋WORD文檔的技術。

關鍵詞：克隆；覆蓋；文件恢復

1 什么是Ghost

Ghost（幽靈）是美國賽門鐵克公司推出的一款用于硬盤備份還原的工具軟件。利用此軟件可對FAT16、FAT32、NTFS、OS2等多種分區格式的硬盤進行分區，還可以完成硬盤的備份還原工作。日常工作中常被稱作\"克隆軟件\"。 利用Ghost進行的備份還原是以硬盤的扇區為單位進行的，是將硬盤上的數據，一個扇區一個扇區地進行物理復制，連磁盤碎片都會一起復制到目標位置。Ghost可將分區或硬盤直接備份到一個擴展名為.gho的文件里（即鏡像文件），也可直接備份到另一個分區或硬盤里。

2 誤操作的情況分析

一般硬盤被克隆軟件覆蓋有以下幾種常見情況，根據不同的情況，我們可以采用不同的方式進行恢復。在此我們先對幾種誤操作的情況進行分析。

2.1 將C：盤的鏡像文件寫到D：盤或E：盤等非目標盤中

出現這種情況時，要根據C：盤鏡像文件的映射結構來判斷其中數據被覆蓋的程度，如果鏡像文件的盤較小，其后面的內容可恢復；如果鏡像文件結構稀疏，則該盤中也會有部分文件沒有被覆蓋，沒有被完全覆蓋的文件也有條件去恢復。

2.2 將C：盤的鏡像文件寫到C：盤

C：盤的鏡像文件建立后，經過一段時間，C：盤中的桌面上又存放了一些重要的資料，此時由于某種原因C盤不能正常啟動，若此時將C盤的鏡像文件還原，重新啟動后，會發現桌面上新存放的重要的資料會不見了。但是，只要這些資料的文件實體沒有被覆蓋，就能恢復回來。

2.3 將非本盤C：盤的鏡像文件寫到C：盤

如果鏡像文件是另一物理硬盤的單分區鏡像文件，不慎將其還原到當前物理硬盤中，使該盤就剩一個C：盤，其后D：、E：、F：等盤的數據全部丟失.此時文件的恢復主要取決于這個鏡像文件的大小，若這個鏡像文件的實體小于丟失C：盤的實體，則后面的D：、E：、F：均能恢復，若鏡像文件實體小于C：、D：盤的實體，則E：、F：盤中的文件可以完全恢復，余之類推。

3 實現技術

3.2 原鏡像文件覆蓋C：盤新增文件的恢復

3.3 邏輯盤的恢復

將該部分與正常主引導扇區的程序段合并后，就組成了重建的主引導扇區，寫到絕對線性扇區號0，設置其為從盤，再重新啟動計算機，就可以識別出D：、E：、F：盤中的文件了。

4 結束語

通過分析待恢復文件的結構、長度等特點，給出了硬盤被克隆軟件覆蓋后可能出現的幾種狀態的恢復方法。當需要進行文件與邏輯盤的恢復時，可根據實際情況，依照本文所提到得方法，靈活應用，去解決問題，該技術實用性很強，受到了用戶的好評。

參考文獻

[1] 孫維連.DEBUG與軟件維修技術[M].哈爾濱.哈爾濱工程大學出版社.2005.1

[2] 孫維連等.硬盤維修與數據恢復[M].北京.中國水利水電出版社.2007.6

作者簡介：富春巖（1974.2-）黑龍江佳木斯人，佳木斯大學信息電子技術學院，副教授。