硬盤分區(qū)被GHOST覆蓋后的文件恢復(fù)技術(shù)

摘 要：分析了硬盤被克隆軟件覆蓋后可能出現(xiàn)的幾種狀態(tài)、相關(guān)結(jié)構(gòu)以及數(shù)據(jù)恢復(fù)的可能性。深入剖析了待恢復(fù)文件的結(jié)構(gòu)、長度與恢復(fù)成功率的關(guān)系。給出了恢復(fù)被覆蓋WORD文檔的技術(shù)。

關(guān)鍵詞：克隆；覆蓋；文件恢復(fù)

1 什么是Ghost

Ghost（幽靈）是美國賽門鐵克公司推出的一款用于硬盤備份還原的工具軟件。利用此軟件可對FAT16、FAT32、NTFS、OS2等多種分區(qū)格式的硬盤進(jìn)行分區(qū)，還可以完成硬盤的備份還原工作。日常工作中常被稱作\"克隆軟件\"。 利用Ghost進(jìn)行的備份還原是以硬盤的扇區(qū)為單位進(jìn)行的，是將硬盤上的數(shù)據(jù)，一個扇區(qū)一個扇區(qū)地進(jìn)行物理復(fù)制，連磁盤碎片都會一起復(fù)制到目標(biāo)位置。Ghost可將分區(qū)或硬盤直接備份到一個擴(kuò)展名為.gho的文件里（即鏡像文件），也可直接備份到另一個分區(qū)或硬盤里。

2 誤操作的情況分析

一般硬盤被克隆軟件覆蓋有以下幾種常見情況，根據(jù)不同的情況，我們可以采用不同的方式進(jìn)行恢復(fù)。在此我們先對幾種誤操作的情況進(jìn)行分析。

2.1 將C：盤的鏡像文件寫到D：盤或E：盤等非目標(biāo)盤中

出現(xiàn)這種情況時，要根據(jù)C：盤鏡像文件的映射結(jié)構(gòu)來判斷其中數(shù)據(jù)被覆蓋的程度，如果鏡像文件的盤較小，其后面的內(nèi)容可恢復(fù)；如果鏡像文件結(jié)構(gòu)稀疏，則該盤中也會有部分文件沒有被覆蓋，沒有被完全覆蓋的文件也有條件去恢復(fù)。

2.2 將C：盤的鏡像文件寫到C：盤

C：盤的鏡像文件建立后，經(jīng)過一段時間，C：盤中的桌面上又存放了一些重要的資料，此時由于某種原因C盤不能正常啟動，若此時將C盤的鏡像文件還原，重新啟動后，會發(fā)現(xiàn)桌面上新存放的重要的資料會不見了。但是，只要這些資料的文件實(shí)體沒有被覆蓋，就能恢復(fù)回來。

2.3 將非本盤C：盤的鏡像文件寫到C：盤

如果鏡像文件是另一物理硬盤的單分區(qū)鏡像文件，不慎將其還原到當(dāng)前物理硬盤中，使該盤就剩一個C：盤，其后D：、E：、F：等盤的數(shù)據(jù)全部丟失.此時文件的恢復(fù)主要取決于這個鏡像文件的大小，若這個鏡像文件的實(shí)體小于丟失C：盤的實(shí)體，則后面的D：、E：、F：均能恢復(fù)，若鏡像文件實(shí)體小于C：、D：盤的實(shí)體，則E：、F：盤中的文件可以完全恢復(fù)，余之類推。

3 實(shí)現(xiàn)技術(shù)

3.2 原鏡像文件覆蓋C：盤新增文件的恢復(fù)

3.3 邏輯盤的恢復(fù)

將該部分與正常主引導(dǎo)扇區(qū)的程序段合并后，就組成了重建的主引導(dǎo)扇區(qū)，寫到絕對線性扇區(qū)號0，設(shè)置其為從盤，再重新啟動計(jì)算機(jī)，就可以識別出D：、E：、F：盤中的文件了。

4 結(jié)束語

通過分析待恢復(fù)文件的結(jié)構(gòu)、長度等特點(diǎn)，給出了硬盤被克隆軟件覆蓋后可能出現(xiàn)的幾種狀態(tài)的恢復(fù)方法。當(dāng)需要進(jìn)行文件與邏輯盤的恢復(fù)時，可根據(jù)實(shí)際情況，依照本文所提到得方法，靈活應(yīng)用，去解決問題，該技術(shù)實(shí)用性很強(qiáng)，受到了用戶的好評。

參考文獻(xiàn)

[1] 孫維連.DEBUG與軟件維修技術(shù)[M].哈爾濱.哈爾濱工程大學(xué)出版社.2005.1

[2] 孫維連等.硬盤維修與數(shù)據(jù)恢復(fù)[M].北京.中國水利水電出版社.2007.6

作者簡介：富春巖（1974.2-）黑龍江佳木斯人，佳木斯大學(xué)信息電子技術(shù)學(xué)院，副教授。