专题5 《数据恢复技术》-V1.0.ppt

数据恢复技术作者：魏立志工号：05506课程目的l 熟悉常用数据恢复方法l 熟悉常用数据恢复软件的使用l 了解国内数据恢复发展现状 l 数据恢复基本概念l 数据恢复分类及数据恢复方法l 国内数据恢复发展现状及部分公司概况目 录数据恢复概念l 为什么需要数据恢复由于各种病毒的蔓延、系统故障以及人为误操作等因素，数据丢失的几率已越来越大在这个以数据为中心的社会，数据一旦丢失将会带来不可估量的损失一旦发生数据丢失，应通过数据恢复方法来恢复出原来的数据，将损失尽量降到最低数据恢复概念l 数据恢复：指由于各种原因导致数据丢失时把保 留在介质上的数据重新恢复的过程l 数据恢复不等于数据修复数据恢复是修复和恢复数据的总称数据修复指在硬件发生故障，但数据没有损失的情况下进行故障修复实现数据恢复的过程l 数据恢复基本概念l 数据恢复分类及数据恢复方法l 国内数据恢复发展现状及部分公司概况目 录数据恢复分类l 磁盘阵列：是指由于磁盘阵列故障而引起的数据丢失l 软件故障：是指由于软件故障或人为误操作 引起的数据丢失l 硬件故障：是指由于系统硬件故障引起的数据丢失磁盘阵列简介l RAID是“Redundant Array of Independent Disk”的缩写，中文意思是独立冗余磁盘阵列。

l 主要有RAID0、RAID1、RAID10、RAID5等l 磁盘阵列数据恢复是指由于磁盘阵列故障而引起的数据丢失磁盘阵列故障类型l RAID信息丢失l 由于某块硬盘掉线，替换后重建失败，系统崩溃l 硬盘掉线（单块或多块）l RAID卡损坏，更换后阵列崩溃l 拔插磁盘导致磁盘顺序出错l 重建中途失败l 重建成功后，分区丢失或系统无法启动信息收集－－磁盘阵列数据恢复l RAID类型（硬、软）l 如果为硬RAID，最好能提供RAID卡型号l RAID级别l 阵列所建卷分区文件系统（包括操作系统）l 故障产生原因l 磁盘编号，指阵列中的各磁盘所在位置序号相关概念－－磁盘阵列数据恢复l 重组：将磁盘阵列中每块磁盘的数据重新组合到一块磁盘上l 盘序：对磁盘阵列中物理磁盘进行数据读取的顺序l 条带大小(StripeSize)：对磁盘阵列一次读取或写入的数据块大小l 起始扇区：磁盘阵列在每块磁盘上的开始扇区l 校验顺序(Parity)：校验块的分布顺序恢复方法－－磁盘阵列数据恢复l 重建RAID信息，恢复磁盘阵列这种方法要求RAID控制器支持l 设置重组所需参数，通过重组，实现恢复对于磁盘阵列故障均适用，但容量超大卷，重组过程时间会很长，尽量不使用此方法思路一－－磁盘阵列数据恢复l 对于无校验算法的磁盘阵列类型，通过重组生 成完整文件系统，然后按照单块盘的数据恢复思路进行恢复。

条带策略卷恢复原理图条带镜像策略卷恢复原理图思路二－－磁盘阵列数据恢复l 对于存在校验的磁盘阵列可以直接通过重组， 也可以根据校验算法实现重组l 以存在校验算法的RAID5为例讲解（三块盘情况）：原理图（图中P为校验块）RAID5策略卷恢复lRAID5校验算法：异或逻辑运算（算法可逆）RAID5策略卷恢复l 从校验算法上可以得知：构成RAID5策略卷其中一块盘去掉，同样可以得到完整数据l 读任意两块磁盘（图中标识读取第一块和第二块），通过重组都能得到一个完整文件系统，实现恢复实现重组的常用软件－－磁盘阵列数据恢复l Raid Reconstructorl 如果各恢复参数已知，可自编一个读写程序重组数据恢复分类l 磁盘阵列：是指由于磁盘阵列故障而引起的数据丢失l 软件故障：是指由于软件故障或人为误操作 引起的数据丢失l 硬件故障：是指由于系统硬件故障引起的数据丢失软件故障种类l 文件误删l 误格式化l 误GHOST（GHOST备份与恢复软件）l 重装系统覆盖l 分区表丢失l 误分区l 中病毒l 黑客攻击l PQ误操作（Partition Magic软件）l BOOT区丢失 软件故障数据恢复l 文件误删、误格式化、分区表丢失、 BOOT区丢失恢复方法：可以用常用的数据恢复扫描即可进行恢复l 误GHOST、重装系统覆盖视覆盖情况而定，如果只恢复单个文档可以按文件头恢复l 误分区、PQ误操作恢复软件扫描分区信息，找到原有分区信息，进行恢复l 中病毒、黑客攻击视破坏内容而定软件类常用软件l 软件类常用恢复软件：EASYRECOVERY、R-STUDIO、FINALDATAl 常用磁盘扇区查看工具：RUNTIME、Winhex等常用软件介绍l EASYRECOVERY （能对误GHOST、重装系统覆盖进行文件提取）常用软件介绍l R-Studio（支持FAT12/16/32、NTFS、NTFS5和Ext2FS文件系统数据恢复；能够重建损毁的RAID阵列）常用软件介绍l RUNTIME工具（强大的扇区查看编辑及文件系统分析工具）常用软件介绍l FINALDATA（文件误删、误格式化、分区表丢失、BOOT区丢失）FINALDATA数据恢复步骤一首先打开要恢复的磁盘或者磁盘分区FINALDATA数据恢复步骤二然后开始扫描分区，到扫描结束FINALDATA数据恢复步骤三选中要恢复的数据，开始进行恢复常用软件介绍l WinHex（强大的扇区查看编辑及文件系统分析工具）数据恢复分类l 磁盘阵列：是指由于磁盘阵列故障而引起的数据丢失l 软件故障：是指由于软件故障或人为误操作 引起的数据丢失l 硬件故障：是指由于系统硬件故障引起的数据丢失硬件故障 l 不需开盘维修l 需开盘维修(要求100级以上洁净间 )不需开盘维修l 外电路故障l 电路板损坏l 断针（IDE接口）l 固件损坏l 坏道l 硬盘加密主要使用工具：PC3000、MHDD、效率源等PC3000－－修复硬盘综合工具MHDD－－强大的硬盘检测能力效率源－－修复硬盘逻辑坏道洁净间概念在硬盘生产过程中，盘片只能暴露在低于100级的洁净间中，俗称“10级洁净间”，基本为无尘环境，这样才能保证硬盘长期稳定运行; 而数据修复是以备份出数据为前提，物理故障的硬盘是不会长期运行的， 所以其洁净间标准可适当降低，但如果等级高于1000级，就会影响修复效果。

需开盘维修(100级以上 )l 硬盘异响l 磁头老化l 磁头移位l 电机不转l 磁阻变形l 内电路芯片击穿l 盘片轻微划伤注：需提供备件 不能进行数据恢复的情况l 盘片被严重划伤l 盘体严重变形，破碎l 被工具进行过不正确处理，数据层已经消失l 经过熏烤，盘片磁性已经消退 l 盘体暴露在强磁场而遭破坏l 数据恢复基本概念l 数据恢复分类及数据恢复方法l 国内数据恢复发展现状及部分公司概况目 录国内数据恢复发展现状l 磁盘阵列方面基于根据RAID算法通过重组实现，最后导出数据；不能达到手工修复RAID信息，恢复应用环境的地步l 软件故障方面大部分基于第三方软件实现恢复，恢复扇区中存在的数据，对于坏块或者坏道上的数据无法恢复国内数据恢复发展现状l 硬件故障方面通过硬件维修（严重的需开盘换磁头等部件）、或修复坏道等达到能读出扇区数据，最后对扇区数据通过软件恢复工具提取国内数据恢复公司技术概况l 以盗版软件进行数据恢复，电子市场为主l 掌握部分技术，如磁盘阵列重组算法l 做数据恢复软件、兼顾数据恢复业务l 数据恢复业务外兼顾做数据恢复技术培训小结推荐：《数据恢复技术》第二版 戴士剑注谢 谢 !。