計算機硬盤數據恢復的技術分析

謝新軍

摘 要： 隨著人們對數據安全的認識及對數據恢復技術的了解加深，數據恢復技術行業的價值已經得到各個方面的認可，不僅可以為個人或者企業用戶恢復丟失的文件數據，還可以為公安機關打擊各種計算機犯罪行為提供技術支持。因此，數據恢復技術在計算機領域中占有重要位置。

關鍵詞： 計算機硬盤 數據恢復技術 信息安全

通常情況下，病毒、黑客襲擊計算機等是造成數據丟失的主要因素。隨著全球信息化的不斷加劇，信息早已成為社會發展的重要資源，圍繞這一資源展開的競爭日益激烈。數據是信息的重要載體，所以系統與數據恢復技術作為一種新技術便應運而生了。硬盤是計算機系統中最主要的外部存儲設備，硬盤上存儲的數據會因為各種原因而遭到損壞或丟失，數據恢復是將硬盤上損壞或丟失的數據重新找回來，還原為正常可用數據的過程。

一、硬盤數據損壞或丟失的原因

1.硬件故障

硬件故障是造成數據損壞或丟失的重要原因之一，如供電電壓不穩造成系統自動重啟、硬盤出現壞道、盤片劃傷、磁頭變形、磁頭臂斷裂、磁頭放大器損壞、芯片組或其他元器件損壞等。硬件故障屬于物理故障，維修工作需要有關專業設備和儀器的支持，所以對于一般用戶很難掌握，而且由硬件故障造成的數據損壞或丟失往往恢復的可能性很小。因此，避免硬件故障的發生是防止數據丟失的有效途徑，比如定期進行檢修維護、更新換代硬件等。

2.惡意程序或網絡非法入侵

惡意程序一般是指網絡上流行的各種計算機病毒，系統感染病毒后會導致不同程度的系統癱瘓、程序被破壞或數據丟失，嚴重的甚至會造成硬盤損壞、主板BIOS芯片被破壞。計算機病毒無論是改變硬盤引導區、可執行文件，還是Office文檔，都可能影響系統的正常運行或導致數據丟失，即使是良性伴隨性病毒，同樣會破壞數據。除此之外，網絡黑客的非法入侵也會對計算機系統文件和數據進行盜取和破壞。因此，有效地防治計算機病毒感染和網絡非法入侵對于數據安全性有著重要意義。

3.誤操作

除了客觀存在的各種因素造成數據損壞或丟失的原因外，硬盤數據也經常因為人為誤操作導致損壞或丟失，尤其是對于一些計算機初學者用戶，由于理論知識不足和實際操作技能欠缺，有可能會對系統進行誤操作，如刪除系統重要文件、非正常關機、誤將硬盤格式化、重裝系統時刪除分區等都會造成數據的損壞或丟失。因此，計算機的操作人員要進行必要的學習和培訓，以掌握計算機操作的基本技能，從而避免硬盤數據發生損壞或丟失。

除以上三種原因外，突然斷電有時也會造成硬盤損壞或數據丟失，或導致系統無法正常啟動、內存溢出或者進程非法終止而損壞當前正在執行的數據文件。其他情況如軟件更新升級有時也會帶來一些問題，從而造成重要數據被破壞。

二、數據存儲結構原理

要掌握數據恢復技術，首先要了解數據的存儲結構原理，這樣在做恢復工作時才能有針對性地分析并且解決問題。新買來的硬盤要先分區，再格式化后才可以使用，而在分區過程中主要將硬盤分成五個部分：主引導區和操作系統引導記錄區，還包括目錄區和FAT表及數據區。

操作系統可訪問的第一扇區是操作系統的引導區，該引導區主要由一個引導程序和一個BPB分區參數記錄表。引導程序的任務便是負責判斷文件是否為引導文件，如果是，就讀入內存，并且將其控制權交給該文件。而參數快BPB則記錄著許多重要的參數，有分區的起始和結束扇區，還記錄著文件的存儲格式和根目錄的大小等。

文件分配表即FAT，是操作系統的文件尋址系統。一般為了確保其安全，都會準備兩個，第二個是第一個的備份。硬盤上的文件都是被分成若干小段，但是彼此之間都是有聯系的，操作系統可以很準確地讀取出文件。在FAT區之后還有兩個區：目錄區和數據區。

三、硬盤數據的恢復原理

在硬盤內部有一個校驗公式，可用來對數據進行完整性校驗。校驗方法是將每個扇區的數據內容和伺服信息通過校驗公式計算，得到的值我們稱之為校驗和，這個值是唯一的，也即對于每個扇區其值都不相同。換句話說，只要數據改變存儲內容或存儲扇區位置，其校驗和都不會相同。對于數據因為誤操作而損壞或丟失，我們可以完全利用這個數據恢復原理，通過逆向運算找到剩余的原始信息，把數據完整地恢復出來。

在對硬盤的操作中，快速低級格式化、硬盤分區、快速高級格式化（假設格式化時沒有使用/U這個無條件格式化參數）、刪除文件、重整硬盤缺陷列表等操作，都不會真正將數據從數據區Data中實際抹去。快速低級格式化一般只有硬盤廠家才能實現，是通過軟件快速重寫每個盤面、柱面、扇區等初始化信息，不會將扇區中的數據抹掉。硬盤分區和快速高級格式化是重新構造新的扇區信息和文件分區表，不會對原來扇區中Data區的數據造成影響。刪除文件只是在目錄區作了刪除標記，將文件的地址信息從列表中抹去，而數據本身并沒有真正被刪除，除非在原來數據所在扇區重新寫入新的數據。重整硬盤缺陷列表是把新的缺陷扇區加入G列表或者P列表中，對于其他扇區中的數據沒有任何影響。對于以上這類操作造成硬盤數據“損壞”或“丟失”的情況，在進行數據恢復時是比較容易的，關鍵是在以上操作之后，千萬不要在硬盤上寫入任何其他數據。因此，各類數據恢復軟件正是利用Data區中的數據不易被改寫，從而根據其中殘留的種種痕跡恢復數據。

四、分區表或文件損壞造成的幾項數據修復

1.破壞分區表造成的數據修復

當前，病毒重點侵入的環節在于記錄主引導硬盤所在的扇區，通過DPT（分區表）的破壞，進而達到損壞主引導硬盤扇區的分區內資料信息的目的。破壞的分區表即損壞分區內的數據而損壞相應的記錄。對此，要適當地應用一定的軟件進行數據修復。針對此情況，可使用諾頓磁盤醫生NDD進行自動修復分區內的數據，及時有效地找回壞軟盤內的數據，強行讀取并轉移到適合的空白扇區。同時，DiskMan中文磁盤工具也可對損壞的分區表進行修復。

2.出現亂碼的Word或WPS文件修復

出現亂碼的Word或WPS文件，主要原因是由文檔不同格式的轉換或病毒造成的。此種情況下，雖然未丟失數據文件，但處理不恰當，也相當于數據丟失。若為格式轉換情況，可應用Adobe Reader等專用工具打開對應的文檔。若是病毒原因，則需使用一定的殺毒軟件清除。

3.誤格式化硬盤數據的恢復

在缺省情況下進行操作格式化，可構建磁盤格式化的復信息，換句話說，即在未徹底改變數據區的內容前提下，在最后幾個相對使用較少的磁盤扇區備份全部磁盤的DOS引導扇區及Fat分區表、目錄表內容。Unformat軟件工具可在計算機處于DOS狀態下使用，恢復由Format命令所對磁盤清除的數據，或對破壞的硬盤驅動器分區表數據進行構建或重新修復。但是，Unformat只限于本地硬盤或軟件驅動器的恢復，并不能應用于網絡驅動器的數據恢復。