数据恢复的原理与方法
2011-8
广东高等教育出版社
胡向东
355
数据恢复与电脑应用的关系,就如同疾病防治与人的健康一样。所谓数据恢复,就是指通过技术手段把各种原因导致的常态下不能正常读出的保留在介质中的数据重新恢复到能够正常读出的状态的过程。数据之所以能够被读出,既有物理的因素,也有逻辑的因素,因此只要存储介质没有严重受损或数据没有被完全覆盖,数据就有可能完全或大部分恢复过来。
随着社会的进步和科技的发展,电脑及数码产品越来越普及,人们对电脑及数码产品的依赖程度越来越高,存储在电脑及数码产品中的数据越来越重要,而因数据丢失造成的风险也越来越大。因此,使更多的人了解数据恢复的原理和方法,有利于预防及自保,甚至可以造福他人,造福社会。这是出版这本书的目的之一。
笔者读过大学,也当过大学老师,现在也有很多高校的朋友,深感我们国家的高等教育与实际有些脱节,计算机专业的本科生、研究生对数据恢复的原理和方法知之甚少,与用人单位的需求相去甚远。因此,希望这本书对这些学生或希望增加这方面知识的人能有所帮助。这是出版这本书的目的之二。
时代在不断发展,新陈代谢是不可抗拒的历史规律,长江后浪推前浪,一代新人超旧人。笔者从1983年9月从事计算机应用研究以来,特别是1992年1月下海创建数据修复公司以来,一直重视把经历过的重要的数据恢复案例记录并加以总结,经过多年的拼搏,现在也该退下来用另一种方式发挥余热了,希望笔者的经验得到传承和发展。这是出版这本书的目的之三。
胡向东,1948年出生于澳门,籍贯浙江温州。1977年12月参加第一届恢复高考,入读海南琼州学院数学系,1981年大专毕业后留校任教,后在华南师范大学数学系进修一年。1983年9月应聘到广州市计算机应用研究所,发表过30多篇科技论文,其间获得广州市科技进步三等奖等多项奖励。1992年1月下海创办广州正大电脑应用与数据修复有限公司至今,开发有NOVELL和NTFS下的数据恢复软件,1998年7月与美国NOVELL公司驻京办事处签约,成为NOvELL公司在华业务数据恢复特荐专家,数据恢复足迹遍布全国多个城市。为银行、证券等行业挽回了价值约100亿元人民币的直接经济损失。2002年7月被广州市委评为广州市私营企业优秀共产党员,事迹收录在《蓝天下的新广东》、《展望广东十二•五》等12套纪念改革开放三十年丛书。
第1章 FAT数据恢复
1.1 FAT文件系统概述
1.1.1 FATl2、FATl6、FAT32文件系统的共同点
1.1.2 FATl2、FATl6、FAT32文件系统的不同点
1.2 主分区表修复
1.2.1 主分区表
1.2.2 修复主分区表的方法
1.3 逻辑分区参数表修复
1.3.1 FAT逻辑分区参数表
1.3.2 修复FAT逻辑分区参数表的方法
1.4 FAT表修复
1.4.1 FAT表概况
1.4.2 注意FAT表首区标志
1.4.3 利用FAT副本修复FAT正本
1.4.4 利用FAT正副本的比较进行互补修复
1.4.5 仿造若干扇区的FAT表
1.5 目录项修复
1.5.1 FAT分区短文件名目录结构
1.5.2 FAT分区长文件名目录结构
1.5.3 仿造根目录
1.5.4 对付目录变文件的病毒
1.6 误删除的修复
1.6.1 用数据恢复软件扫描
1.6.2 利用TMP文件来恢复
1.6.3 利用被删除文件中文字之间的内在联系来恢复一
1.6.4 根据被删文件的数据结构来恢复
1.7 FAT格式化后的修复
1.7.1 FAT格式化成FAT
……
第2章 NTFS数据恢复
第3章 NOVELL数据恢复
第4章 卷集数据恢复
第5章 阵列数据恢复
第6章 其他问题数据恢复
版权页: 如某NTFS分区,每簇8扇区,主文件表$MFT正本起始于LBA6291582,对应起始簇号0C0000H(即786432),逻辑扇区号为6291456(786432×8=6291456),从而可判断该盘的逻辑0区位置LBA值为126(6291582—6291456=126),即该盘逻辑0区位于0×2×1扇区。 (5)通过查找NTFS分区主文件表SMFT副本起始簇号来确认原逻辑0区的位置。 有时,该NTFS分区主文件表SMFT正本被破坏,就要通过查找NTFS分区主文件表SMFT副本起始簇号来确认原逻辑0区的位置。 如某NTFS分区,主文件表SMFT正本被破坏,而LBA61577368处有该分区的$MFI副本,$MFTMIRR的文件长为1000H(即4096)字节,每扇区512字节,即$MFTMIRR的文件占8个扇区。而$MFTMIRR的簇流列表是“3101980A56”,表示$MFTMIRR的文件起始簇号为560A9BH(占3个字节),长度为1个簇(占1个字节)。有关簇流列表的解释后面有论述(此处略)。 $MFTMIRR的文件起始簇号为560A9BH(即5638811),换算成扇区为45110488(5638811×8=45110488),而$MFr副本的位置在LBA61577368处,由此可确定该NTFS分区原逻辑0区的位置LBA值是16466880(61577368—45110488=16466880)。 2.每簇扇区数 判断每簇扇区数通常有下述两种方法。 (1)利用文件长度除以所占簇数求解每簇扇区数。 在NTFS的MFT属性表中,有一个80H为代号的数据属性,该属性偏移量为18H的8个字节是文件的虚拟结束簇号,由于从0算起,文件的虚拟结束簇号加1,就是文件所占簇数。该属性偏移量为28H的8个字节是文件的整簇长度,文件的整簇长度除以每扇区512字节,就是该文件所占扇区数,NTFS分区的每簇扇区数等于该文件所占扇区数除以该文件所占簇数。 另外,文件所占簇数也可从80H为代号的数据属性中反映数据链接关系的簇流列表中获得。 判断每簇扇区数,通常只看$MFTMIRR的80H为代号的数据属性即可。 下面是某NTFS分区的$MFTMIRR的80H数据属性: 108 80 00 00 00 48 00 00 00 110 01 00 00 00 00 00 01 00 118 00 00 00 00 00 00 00 00 120 00 00 00 00 00 00 00 00虚拟结束簇号为0,文件所占簇数为1 128 40 00 00 00 00 00 00 00 130 00 10 00 00 00 00 00 00文件整簇长度为1000H。
《数据恢复的原理与方法》由广东高等教育出版社出版。
内容能更加丰富就更好了
非常实用的一本书,看懂了再加上工具可以自己恢复数据