数据恢复技术原理与应用 戴士剑(精品·公开课件).ppt

而典型的Unix和linux文件系统为：ext2、 ext3，采用i-node的管理方式。 文件被删除后保留的信息 根据3M公司对8000名网络微机用户的调查发现，硬盘的每次失效将造成5天以上的无效工作日。而在一个典型的商业应用中，重建1000MB的数据，平均要耗时3.5个月，费用为95000美元。由此可见，信息存储对最终用户来说是何等的重要，可以说，它是信息时代的数字财富。 很显然，数据恢复技术的一个最大应用就是在数据出现问题时快速进行恢复，毕竟，信息的复制虽然很容易，但信息的重建却非常的困难，无论是重建时间，还是重建费用，都让人无法忍受，而有些信息甚至根本就不可能重建。 在这里我们可能会有一个疑问，那就是对于重要数据用户都会做好备份。的确是这样，现在的用户大多知道了数据备份的重要性，可是，在实际应用中，仍然有大量的用户出现各种各样的问题，在这些丢失数据的用户中，知道并且注意备份的还占有相当的比例，毕竟，没有完全可靠的系统，也没有完全可靠的备份，而且很多系统不能实现实时的完整的备份。 下面以一个实例来说明这个问题。 但即使是这样，任何时候，对重要数据都需要做好备份，有时甚至是数份备份。 主服务器 从服务器 双机热备份 带热备的RAID5 RAID5 定期移动硬盘备份 Windows+Oracle 事物都有其两面性，数据恢复也不例外，由此产生它的另一个应用就是数据的反恢复问题。 一般企业存储重要数据的服务器，其存储设备出现问题后磁盘都是直接销毁的，对于重要部门也一样，处理重要数据的计算机，一定要做这方面的处理工作，如很多涉密单位的计算机，要求机器中不能存储涉密数据，但是，却忽视了即使是这样，计算机中仍会留下一些临时文件，正是这些临时文件造成了很多重要信息的失泄密。 * * 数据恢复技术原理与应用 中国人民解放军63961部队 戴士剑 1. 数据恢复的概念与范畴 2. 数据恢复的基本原理 3. 数据恢复与信息安全的关系 4. 数据恢复与取证的关系 5. 数据恢复技术的应用领域 6. 数据恢复技术研究现状 数据恢复，简单的说，就是对一切计算机相关存储设备中丢失的数据进行恢复，这些数据包括所有存储在存储设备中的数据—系统数据与用户数据。 这里所说的恢复，指的并不是与备份相对应地那个恢复，而是指对于系统表现为不可见的“信息”，通过一定的技术手段，使之重现的恢复。 1. 数据恢复的概念与范畴 这里所说的系统，包括当前所有的操作系统，除主流的Microsoft、UNIX、LINUX系列外，也包括MAC系列、各种数字设备/仪表使用的嵌入式系列以及实时操作系统等。 这里所说的存储设备，指的是断电后能保持的存储设备，一般并不包括易失性的存储设备，如内存等。 这些存储设备，除了直接与计算机相连的，也包括其他所有同源的与计算机相关的存储设备。也就是说，数据恢复的工作对象涵盖了从最早的软盘，到后来逐渐发展起来的各种硬盘、光盘、移动存储设备，数码存储设备（各种存储卡），MP3、录音笔、数码相机、工控设备、嵌入式设备、PDA、手机等等，以及它们在各种系统下的各种组合，如工作在不同操作系统下的RAID、NAS、SAN等等，在数据不可访问时，都可以进行恢复。 数据出现问题后为什么能够恢复，这与操作系统如何管理存储设备上的数据直接相关。这里以Windows系列为例来介绍这个问题，其他操作系统类似。 我们都知道，微软从DOS开始，使用的文件系统为FAT12，后来逐渐发展到FAT16、FAT32和NTFS，这些都只是操作系统管理存储介质中的数据的一种方式，是用来索引磁盘上的数据的，类似于图书分类索引，用于定位和管理磁盘上的数据。 2. 数据恢复的基本原理 如FAT文件系统，在磁盘分区中，第一个扇区是引导扇区，引导扇区中有很多参数，操作系统在访问该分区时，就用这些参数来定位FAT文件系统中的其他系统数据，以确定该分区中数据的存储情况。微软操作系统访问数据时是以文件为单位进行访问的，也就是直接与用户打交道的数据单元是文件，如使用资源管理器对文件进行复制、删除、移动等等，就是修改数据，也是修改的文件的数据，这些数据都是依存于文件的，文件不存在了，数据也就不存在了。那么FAT文件系统是如何管理这些文件的呢？ 首先，FAT对磁盘扇区的划分方式如下图所示。 操作系统通过引导扇区获取磁盘分区的相关参数，确定两个FAT表的位置和大小，以及文件目录表（FDT）的位置，系统在查找文件/目录时，通过文件目录表来获取文件/目录的相关信息，如文件/目录名、大小、时间戳等，以及存储的首簇（系统在管理扇区时是以簇为单位的，一个簇可能是