元数据
为描述数据的数据(data about data),主要是描述数据属性(property )的信息,用 来支持如指示存储位置、历史数据、资源查、文件记录等功能。
一、 磁盘映像
是指复制到不同的装置或数据格式,主要用于数据备份
二、 文件雕复
文件雕复可以定义为不依赖文件系统的元信息,从一个磁盘映像中按适当的 顺序把所有属于同一个文件的字节序列拷贝出来的过程,是一种深度的数据恢复 方法。早期最经典的文件雕复算法是基于文件头 /文件尾雕复方法。而后,数据恢 复领域的专家们提出了许多的雕复方法,如文件头/最大长度雕复基于文件结构的 雕复、基于块内容的雕复、基于图论的雕复、基于映射函数的雕复、原地文件雕 复、二分片雕复、零存储雕复和Smart雕复等方法。然而这些雕复方法其实可以 大致分为两类:一类是基于文件结构的雕复方法,另一类是基于文件内容的雕复方 法。
三、 数据恢复的背景
目前,人类已经进入信息化社会,很多信息都在肉眼看不到的比特流中进行 传播。凝结着人类智慧结晶的计算机也开始步入人们的家庭, 为人们的生活提供
了方便快捷的工具。对于普通用户而言,数据保护意识薄弱,因为误操作而清除 了磁盘上的文件或者认为该数据无用而删除文件而事后又需要使用, 等等原因造
成的数据丢失的事情频繁发生。因此,为了用户能更好的使用计算机,减少用户 损失,数据恢复的一些相关技术得以成熟和发展。
四、 数据恢复的意义
对于普通用户而言,防止数据丢失的一个很重要且有效的方法就是使用备份。 但是,对于大多数用户而言,一般对备份这个问题没有充分的认识, 对数据的保 护意识也比较模糊。在无数据备份的情况下,或者更糟糕的情况下,比如连备份 数据也遭到破坏,那么,数据恢复无疑成了最后一根救命稻草。
另外,除了对于用户数据的恢复问题,数据恢复同时也是计算机取证中的一 种关键技术手段。现在,犯罪现场不单纯的停留在现实生活中的环境,网络、计 算机也成为犯罪现场的重要客体。随着《中华人民共和国计算机信息系统安全保 护条例》、《计算机信息网络国际联网安全保护管理办法》等法津法规的不断完善, 电子科技大学硕士学位论文反计算机犯罪的进程不断加强,通过司法程序合理的 取得犯罪证据使得计算机取证技术成了当前一个热门技术。本论文也是在此背景 下完成的。作为挽救因数据丢失而造成损失的最后一道屏障, 本文的目标是尽可
能减少损失,最大程度的保障用户数据。因此,数据恢复技术对于保证计算机系
统的数据安全有着非常重要的意义:
1.为普通用户减少不必要的损失,保障用户数据完整性;
2.拯救政府及一些相关单位涉密数据,减少数据灾难造成的经济损失;
五、 不同文件系统的文件分配策略
FAT: FAT16支持的分区最大为2GB。计算机将信息保存在硬盘上称为簇” 的区域内。使用的簇越小,保存信息的效率就越高。在 FAT16的情况下,分区
越大簇就相应的要大,存储效率就越低,势必造成存储空间的浪费。文件系统 wow 字体FAT32。同FAT16相比,FAT32主要具有以下特点:
同FAT16仙剑三魔剑养成相比FAT32最大的优点是可以支持的磁盘大小达到 32GB,但是不 能支持小于512MB的分区。基于FAT32的Win2000可以支持分区最大为32GB; 而基于FAT16的Win2000支持的分区最大为4GB。
由于采用了更小的簇,FAT32文件系统可以更有效率地保存信息。如两个分 区大小都为2GB,一个分区采用了 FAT16文件系统,另一个分区采用了 FAT32 文件系统。采用FAT16的分区的簇大小为32KB,而FAT32分区的簇只有4KB 的大小。这样FAT32就比FAT16的存储效率要高很多,通常情况下可以提高15%。
NTFS: NTFS文件系统是一个基于安全性的文件系统, 是Windows NT所采 用的独特的文件系统结构, 它是建立在保护文件和目录数据基础上, 同时照顾节 省存储资源、减少
磁盘占用量的一种先进的文件系统。 NTFS可以支持的分区大 小可以达到2TB。而 Win 2000中的FAT32支持分区的大小最大为 32GB。
NTFS是一个可恢复的文件系统。在 NTFS分区上用户很少需要运行磁盘修 复程序。 NTFS 通过使用标准的事物处理日志和恢复技术来保证分区的一致性。 发生系统失败事件时, NTFS 使用日志文件和检查点信息自动恢复文件系统的一 致性。
六、 文件删除原理
根据文件系统的不一样 ,文件删除分为两类:
在FAT文件系统下,文件的删除分为两步:首先把文件或者目录所在的目录项 的第一字节修改为 OxE5,然后根据目录项中的首簇信息到文件分配表的相应 位置把该文件所占用的簇标记为未占用。
在 NTFS 文件系统下 ,删除文件可以分为三个步骤 :首先修改被删除文件或目 录所对应的 MFIX 网络防火墙怎么关主文件表项头偏移 16H 处得一个字节 ,0x00 表示该文件被删 除,0x01kissgoodbye表示该文件正在被使用,0x02表示该目录被删除,0x03表示这是一个目录。 其次从 MFT 于震演过的电视剧中提取该文件所
占用的族的信息。最后在系统文件 $Bitmap 中该文 件所占用的簇的相应的位(Bit)置为0。
七、 恢复文件
不同的文件系统的文件族链的组织方式也是不同的 ,因此重组文件族来恢复 文件的方式也不同。依据文件被删除的原理 ,在 FAT 文件系统下能用于恢复文件 的信息只有目录项中被删除文件的首簇号和文件大小 ,而整个簇链的信息在文件 删除时已经被清空了 ,这个文件恢复带来极大的难度。在文件大小比较小的时候 其占用的空间也比较小 ,在分区中所占的簇很可能是连续的 ,因而可以利用得到文 件大小计算所占用的簇的数目 ,然后用首藤号 ,连续从磁盘中取出计算所得的簇数 作为文件数据。然而 ,提取出来的这些簇有可能已经被其他文件所占用 ,这样就是 导致恢复出来的文件出现错误。而且 ,当文件较大的时候 ,它在磁盘上占用的簇很 有可能不是连续的 ,因而无法用上述的方法正确的恢复文件。
在 NTFS 文件系统下 , 文件恢复的过程可以分为三个步骤 : 首先到被删除文 件对于的 MFT 记录项 ,从中可以得到文件所占用的簇的族号信息 ;然后打开系统 $Bitmap 边的组词查看文件所占用的簇是否被重新分配 ,如果未被重新分配则可恢复文件 最后根据被删文件的占用族的簇号信息恢复文件。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论