作者简介:王志(1957—
),男,沈阳人,副教授,学士,主要从事刑事影像技术及刑事相貌技术的教学与科研工作。
人为删改和破坏的硬盘数据的恢复
王志,邵 健 (中国刑事警察学院刑技系,沈阳 110035)
摘要: 随着信息产业的高速发展,计算机的应用已变得越来越普遍。传统的纸张存储信息的方式也被计算机存储所替代。而信息技术本身是一项非常前沿的技术,计算机存储数据的安全性也就很难保证的。通过人为的删改和破坏数据来销毁证据的案例屡屡发生。这也就对公安工作提出了新的挑战。被修改和破坏了的数据统称损坏数据。目前,数据存储体被损坏的类型主要有软损坏和硬损坏。本文针对这两个方面在数据存储原理、恢复原理、恢复方法等内容上进行了深入的探讨。
关键词:损坏数据;数据恢复;软损坏;硬损坏
中图分类号:DF793 文献标识码:B 文章编号:100823650(2005)0320020203
R ecovery of deleted or destroyed dafa on disk
WAN G Zhi 2qun ,SHAO Jian (China Criminal Police College ,S henyang 110035,China )
ABSTRACT :
贷款收入证明范本As the case of destroying the evidence through deleting or modifying the data on the computer are occurred frequently ,this is a new challenge to forensic scientists.The data which are destroyed and modified are shattered data.At present ,the main kinds of shattered data are the hardware shattered data and the software shattered data.Thispaper give a detailed discussion on the principle of data storage ,data recovery ,and the recovery methods.KE Y WOR DS :
data recovery ;electron evidence 高速发展的科学技术、日益更新的科技产品给我们的工作、生活带来了方便,同时它也带来了许多安全上的隐患,利用计算机作案已越来越普遍,数据安全已越来越为人们所重视。数据安全的隐患多种多样。如通过网络黑客手段进行数据窃取,数据存储媒体的物理损坏、人为删除修改等。而本文所探讨的是犯罪分子为销毁物证对存储数据人为造成的物理损坏、删除、修改如何恢复的问题。1 硬盘的数据存储和恢复原理
硬盘是计算机的主要数据存储体,要想恢复被损坏的数据首先要了解它的原理。盘片上的存储介质用的是不稳定的化合物,很容易被氧化,在过去,盘片是处于真空环境下工作的。现在的硬盘不是真空的了,改充稀有气体,好处之一是缩短磁头和盘片之间的距离,提高盘片转速。因为在高速运动的物体表面,会形成一层空气膜,运动速度越快,这层空气膜的
浮力也就越大。磁头,就是靠这层空气膜悬浮在盘片表面,对盘片进行读写操作。而信息的存储总是以0和1的数据形式的标记保存在硬盘的盘片上。在目前技术条件下,这些存储介质并不像保险柜一样安全,保存在上面的数据也常有丢失的可能,本文要探讨的是如何回这些丢失的数据。0和1的数字信号,在硬盘中就表现为磁头在变化的磁场中产生电阻值的变化,导致产生高电位和低电位的不同信号。在光盘中,则表现为凸出和凹陷的光盘介质表面产生强弱变化的光反馈信号,进而导致不同的高低电位信号。因此,硬盘结构和理论看起来虽然复杂,但是归根到底就是盘面上表示0和表示1的磁信号。只要磁盘上还有表示0和1的磁信号还能被分辨出来,可以说这个盘片具备了数据恢复的条件。硬盘内部是有一定的校验公式来保障数据的完整性的,根据每一个扇区内数据的内容、扇区的伺服信息,再根据一定的校验公式经过运算,会产生一个唯一的校验和,这个值每一个扇区都是不一样的。同一个扇区储存不同数据的时候校验和固然不一样,不同的扇区储存相
品牌和商标的区别・
02・・技术交流・
刑事技术2005年第3期
同的数据也会产生不一样的校验和(SCSI硬盘在这方面的机制会更加完善)。数据恢复正是利用了这样的原理,通过逆向运算,在某一方面的信息因为错误操作而丢失或者被改变的情况下,仍然可以根据
其余的原始信息,把数据尽可能完整地还原出来。其实在实际操作中,删除文件、重新分区并快速格式化(For2 mat不要加U参数)、快速低格、重整硬盘缺陷列表等等,都不会把数据从物理扇区中实际抹去。删除文件只是把文件的地址信息在列表中抹去,而文件的数据本身还是在原来的地方静静躺着,除非拷贝新的数据进去那些扇区,才会把原来的数据真正抹去。重新分区和快速格式化只不过是重新构造新的分区表和扇区信息,同样不会影响原来的数据在扇区中的物理存在,直到有新的数据去覆盖他们为止。快速低格一般只有原厂的DM才可以实现,是用DM软件快速重写盘面、磁头、柱面、扇区等等初始化信息,仍然不会把数据从原来的扇区中抹去。重整硬盘缺陷列表也只不过是把新的缺陷扇区加入到G列表或者P列表中去,对于那些本来储存在缺陷扇区中的数据那是没有办法了,因为扇区已经出现物理损坏,即使不加入缺陷列表,也很难恢复;但对于其他数据,其实还是没有实质性影响的。对这样的硬盘进行数据恢复,是数据恢复里面比较简单的,最关键的一点是在错误操作出现后,不要再对硬盘作任何自己都不知道目的的无意义操作和不要再往硬盘里面写入任何东西。
2 硬盘数据损坏分类
211 硬损坏(又称物理坏道)
21111 磁头组件损坏 主要指硬盘中磁头组件的某部分被损坏,造成部分或全部磁头无法正常读写的情况。磁头组件损坏的方式和可能性非常多,主要包括磁头脏、磁头磨损、磁头悬臂变形、磁线圈受损、移位等。
21112 控制电路损坏 是指硬盘的电子线路板中的某一部分线路断路或短路,或者某些电气元件或IC 芯片损坏等等,导致硬盘在通电后盘片不能正常起转,或者起转后磁头不能正确寻道等。
21113 综合性损坏 主要是指因为一些微小的变化使硬盘产生种种问题。有些是硬盘在使用过程中因为发热或者其他关系导致部分芯片老化;有些是硬盘在受到震动后,外壳或盘面或马达主轴产生了微小的 变化或位移;有些是硬盘本身在设计方面就在散热、摩擦或结构上存在缺陷。种种的原因导致硬盘不稳定,经常丢数据或者出现逻辑错误,工作噪音大,读写速度慢,有时能正常工作但有时又不能正常工作等。
21114 扇区物理性损坏 是指因为碰撞、磁头摩擦或其他原因导致磁盘盘面出现的物理性损坏,譬如划伤、掉磁等。
212 软损坏(又称逻辑坏道)
21211 磁道伺服信息出错 是指因为某个物理磁道的伺服信息受损或失效,导致了该物理磁道无法被访问。
21212 系统信息区出错 是指硬盘的系统信息区(硬盘内部的一个系统保留区,里面又分成若干模块,保存了许多硬盘出厂的参数、设置信息和内部控制程序)在通电自检时读不出某些模块的信息或者校验不正常,导致硬盘无法进入准备状态。
21213 扇区逻辑错误 是指因为校验错误(ECC错误和CRC错误)、扇区标志错误(IDN F错误)、地址信息错误(AMN F错误)、坏块标记错误(BBM)等原因导致该扇区失效。
白马会所是什么意思3 修复方法
一般来说,修复硬盘的软损坏是可能的,很多硬盘厂商发布的硬盘管理和维护软件(DM)都具备修复硬盘软损坏的能力。像扇区逻辑错误这样的问题,即使是一般的低级格式化软件,也是完全可以胜任的。不过在所有的软损坏当中,系统信息区出错属于比较难以修复的种类,因为即使是同一个厂商同一种型号的硬盘,系统信息区也不一定相同;而且硬盘厂商对于自己产品的系统信息区内容和读取的指令代码,一般是不公开的。但是,如果仅仅是为了修复软损坏,一个原厂的DM软件就可以完成90%以上的任务了,也就不需要购买上万元的所谓专业软件。而现在HDD Regenerator、MHDD、PC23000和效率源等等这些软件,在宣传上就说明了他们所针对的不仅仅是软损坏,而且连硬损坏里面的物理坏道甚至是一些IC的损坏都可以修复。
而硬损坏多是采用软硬件结合的数据恢复方式。它的关键在于恢复用的仪器设备。这些设备都需要放置在超净无尘工作间里面,而且这些设备内部的工
・
表示笑的成语2022高考英语试卷1
2
芒种节气・
刑事技术2005年第3期
作台也是级别非常高的超净空间。这些设备的恢复原理也是大同小异,都是把硬盘拆开,把磁碟放进机器的超净工作台上,然后用激光束对盘片表面进行扫描,因为盘面上的磁信号其实是数字信号(0和1),所以相应地,反映到激光束发射的信号上也是不同的。这些仪器就是通过这样的扫描,一丝不漏地把整个硬盘的原始信号记录在仪器附带的电脑里面,然后再通过专门的软件分析来进行数据恢复。可以说,这种设备的数据恢复率是相当惊人的,即使是位于物理坏道上面的数据,由于多种信息的缺失而无法出准确的数据值,也可以通过大量的运算,在多种可能的数据值之间进行逐一代入,结合其他相关扇区的数据信息,进行逻辑合理性校验,从而出逻辑上最符合的真值。4 实战应用
从公安工作的实际情况出发,我们所接触和要处理的更多是人为的软损坏。因为,犯罪分子所要做的是销毁与他(她)的违法行经相关的重要信息而又不让人发现。所以,他们所采用的普遍方法是删除或修改原数据,而非明显的破坏数据存储体硬件设备。既然是非物理损坏,那么针对这方面的特点我们所采用的方式也就主要是应用第三方软件来完成。上述提到了重新分区和快速格式化只不过是重新构造新的分区表和扇区信息,同样不会影响原来的数据在扇区中的物理存在,直到有新的数据去覆盖他
们为止。也就是说无论犯罪分子如何修改、删除数据,甚至重新分区、格式化磁盘,只要没有新的数据占领原数据存储区,理论上都能够恢复原有数据。因此,案发后所要做的第一件,也是最为重要的事就是控制好要恢复的数据存储体,不能让其遭到进一步的破坏(如被写入新的数据等)。恢复这种硬盘的数据,可以通过纯粹的软件操作来完成。目前大家能够到的数据恢复软件还是非常多的,大致有EasyRecovery 、Recov 2er 、Lost &Found 、FinalData 、Disk Recover 等等。对于
误删除、错误格式化,但又没有用其他数据覆盖这些形式的数据恢复,应用软件恢复还是有相当好的效果的。
不过这仍旧不是数据恢复的终极方式。因为他们都有一个前提,就是数据没有被覆盖。对于已经被覆盖的数据、完全低格、全盘清零、强磁场破坏的硬盘,仍然有最终极的数据恢复方式,叫“深层信号还原”。具体的原理比较复杂,但是可以通过一个相关的例子来说明。譬如一个人开车撞人肇事后逃匿,为了逃避公安人员的侦查,他把汽车撞过凹陷的地方重新鼓起拉直,并喷上了新的油漆。那么,这样处理过的车子,在肉眼的观察下是看不出碰撞过的痕迹的。但是公安技术部门只需要用弧光灯照射汽车,戴上专门的偏光镜去看,碰撞过的痕迹就马上一目了然。“深层信号还原”应用了与此类似的原理。从硬盘磁头的角度来看,同样的数据,拷贝进原来没有数据的新盘和拷贝进旧盘去覆盖掉原有数据,是没有分别的,因为这时候磁头所读取到的数字信号都是一样的。但是对于磁介质晶体来说,情况就有点不一样了,以前的数据虽然被覆盖了,但在介质的深层,仍然会留存着原有数据的“残影”,
通过使用不同波长、不同强度的射线对这个晶体进行照射,可以产生不同的反射、折射和衍射信号,这就是说,用这些设备发出不同的射线去照射磁盘盘面,然后通过分析各种反射、折射和衍射信号,就可以帮助我们“看到”在不同深度下这个磁介质晶体的残影。根据目前的资料,大概可以观察到4~5层,也就是说,即使一个数据被不同的其他数据重复覆盖4次,仍然有被“深层信号还原”设备读出来的可能性。当然,这样的操作成本无疑是非常高的,目前世界范围内有国家可以拥有这样的技术,只有极少数规模庞大的计算机公司和不计成本的极少政府机关能拥有这样级别的数据恢复设备。
参考文献:
[1] 戴士剑,陈永红.数据恢复技术[M ].北京:电子工业出
版社,2003.
[2] 徐文军,麻信洛.硬盘应用与维护[M ].北京:机械工业
出版社,2002.
[3] Data Recovery and Providing Access to Digital Manuscrip 2
ts.http ://v.au/nla/staffpaper/2001/wood 2yard3.html.20042228.
收稿日期:2004205221
・
22・刑事技术2005年第3期
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论