数据恢复的背景
元数据
为描述数据的数据(data about data),主要是描述数据属性(property )的信息,用 来支持如指示存储位置、历史数据、资源查、文件记录等功能。
一、    磁盘映像
是指复制到不同的装置或数据格式,主要用于数据备份
二、    文件雕复
文件雕复可以定义为不依赖文件系统的元信息从一个磁盘映像中按适当的 顺序把所有属于同一个文件的字节序列拷贝出来的过程是一种深度的数据恢复 方法。早期最经典的文件雕复算法是基于文件头 /文件尾雕复方法。而后数据恢 复领域的专家们提出了许多的雕复方法如文件头/最大长度雕复基于文件结构的 雕复、基于块内容的雕复、基于图论的雕复、基于映射函数的雕复、原地文件雕 复、二分片雕复、零存储雕复和Smart雕复等方法。然而这些雕复方法其实可以 大致分为两类一类是基于文件结构的雕复方法另一类是基于文件内容的雕复方 法。
三、    数据恢复的背景
目前,人类已经进入信息化社会,很多信息都在肉眼看不到的比特流中进行 传播。凝结着人类智慧结晶的计算机也开始步入人们的家庭,    为人们的生活提供
了方便快捷的工具。对于普通用户而言,数据保护意识薄弱,因为误操作而清除 了磁盘上的文件或者认为该数据无用而删除文件而事后又需要使用,    等等原因造
成的数据丢失的事情频繁发生。因此,为了用户能更好的使用计算机,减少用户 损失,数据恢复的一些相关技术得以成熟和发展。
四、    数据恢复的意义
对于普通用户而言,防止数据丢失的一个很重要且有效的方法就是使用备份。 但是,对于大多数用户而言,一般对备份这个问题没有充分的认识, 对数据的保 护意识也比较模糊。在无数据备份的情况下,或者更糟糕的情况下,比如连备份 数据也遭到破坏,那么,数据恢复无疑成了最后一根救命稻草。
另外,除了对于用户数据的恢复问题,数据恢复同时也是计算机取证中的一 种关键技术手段。现在,犯罪现场不单纯的停留在现实生活中的环境,网络、计 算机也成为犯罪现场的重要客体。随着《中华人民共和国计算机信息系统安全保 护条例》、《计算机信息网络国际联网安全保护管理办法》等法津法规的不断完善, 电子科技大学硕士学位论文反计算机犯罪的进程不断加强,通过司法程序合理的 取得犯罪证据使得计算机取证技术成了当前一个热门技术。本论文也是在此背景 下完成的。作为挽救因数据丢失而造成损失的最后一道屏障,    本文的目标是尽可
能减少损失,最大程度的保障用户数据。因此,数据恢复技术对于保证计算机系
统的数据安全有着非常重要的意义:
1.为普通用户减少不必要的损失,保障用户数据完整性;
2.拯救政府及一些相关单位涉密数据,减少数据灾难造成的经济损失;
五、    不同文件系统的文件分配策略
FAT: FAT16支持的分区最大为2GB。计算机将信息保存在硬盘上称为簇” 的区域内。使用的簇越小,保存信息的效率就越高。在    FAT16的情况下,分区
越大簇就相应的要大,存储效率就越低,势必造成存储空间的浪费。文件系统 wow 字体FAT32。同FAT16相比,FAT32主要具有以下特点:
FAT16仙剑三魔剑养成相比FAT32最大的优点是可以支持的磁盘大小达到 32GB,但是不 能支持小于512MB的分区。基于FAT32Win2000可以支持分区最大为32GB; 而基于FAT16Win2000支持的分区最大为4GB
由于采用了更小的簇,FAT32文件系统可以更有效率地保存信息。如两个分 区大小都为2GB,一个分区采用了 FAT16文件系统,另一个分区采用了 FAT32 文件系统。采用FAT16的分区的簇大小为32KB,而FAT32分区的簇只有4KB 的大小。这样FAT32就比FAT16的存储效率要高很多,通常情况下可以提高15%
NTFSNTFS文件系统是一个基于安全性的文件系统, 是Windows NT所采 用的独特的文件系统结构, 它是建立在保护文件和目录数据基础上, 同时照顾节 省存储资源、减少
磁盘占用量的一种先进的文件系统。 NTFS可以支持的分区大 小可以达到2TB。而 Win 2000中的FAT32支持分区的大小最大为 32GB
NTFS是一个可恢复的文件系统。在 NTFS分区上用户很少需要运行磁盘修 复程序。 NTFS 通过使用标准的事物处理日志和恢复技术来保证分区的一致性。 发生系统失败事件时, NTFS 使用日志文件和检查点信息自动恢复文件系统的一 致性。
六、    文件删除原理
根据文件系统的不一样 ,文件删除分为两类:
FAT文件系统下文件的删除分为两步首先把文件或者目录所在的目录项 的第一字节修改为 OxE5然后根据目录项中的首簇信息到文件分配表的相应 位置把该文件所占用的簇标记为未占用。
NTFS 文件系统下 ,删除文件可以分为三个步骤 首先修改被删除文件或目 录所对应的 MFIX 网络防火墙怎么关主文件表项头偏移 16H 处得一个字节 ,0x00 表示该文件被删 除,0x01kissgoodbye表示该文件正在被使用0x02表示该目录被删除,0x03表示这是一个目录。 其次从 MFT 于震演过的电视剧中提取该文件所
占用的族的信息。最后在系统文件 $Bitmap 中该文 件所占用的簇的相应的位(Bit)置为0
七、    恢复文件
不同的文件系统的文件族链的组织方式也是不同的 ,因此重组文件族来恢复 文件的方式也不同。依据文件被删除的原理 ,FAT 文件系统下能用于恢复文件 的信息只有目录项中被删除文件的首簇号和文件大小 ,而整个簇链的信息在文件 删除时已经被清空了 ,这个文件恢复带来极大的难度。在文件大小比较小的时候 其占用的空间也比较小 ,在分区中所占的簇很可能是连续的 ,因而可以利用得到文 件大小计算所占用的簇的数目 ,然后用首藤号 ,连续从磁盘中取出计算所得的簇数 作为文件数据。然而 ,提取出来的这些簇有可能已经被其他文件所占用 ,这样就是 导致恢复出来的文件出现错误。而且 ,当文件较大的时候 ,它在磁盘上占用的簇很 有可能不是连续的 ,因而无法用上述的方法正确的恢复文件。
NTFS 文件系统下 , 文件恢复的过程可以分为三个步骤 : 首先到被删除文 件对于的 MFT 记录项 ,从中可以得到文件所占用的簇的族号信息 ;然后打开系统 $Bitmap 边的组词查看文件所占用的簇是否被重新分配 ,如果未被重新分配则可恢复文件 最后根据被删文件的占用族的簇号信息恢复文件。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。