《数据恢复技术精.ppt》由会员分享,可在线阅读,更多相关《数据恢复技术精.ppt(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、数据恢复技术课件第1页,本讲稿共38页有无必要专门学习这门技术没必要?有必要!第2页,本讲稿共38页数据恢复的分类物理类数据恢复逻辑类数据恢复第3页,本讲稿共38页本课程内容:原理:介绍存储介质、硬盘接口分区表文件系统RAID技术操作:虚拟存储软件WINHEX软件常用数据恢复软件应用第4页,本讲稿共38页存储介质:磁存储:硬盘,软盘,磁带电存储:U盘,存储卡,固态硬盘,内存条光存储:光盘 固态硬盘(Solid State Disk或Solid State Drive):也称作电子硬盘或者固态电子盘,是由控制单元和固态存储单元(DRAM或FLASH芯片)组成的硬盘。固态硬盘的接口规范和定义、功能
2、及使用方法上与普通硬盘的相同,在产品外形和尺寸上也与普通硬盘一致。由于固态硬盘没有普通硬盘的旋转介质,因而抗震性极佳。其芯片的工作温度范围很宽(-4085)。目前广泛应用于军事、车载、工控、视频监控、网络监控、网络终端、电力、医疗、航空等、导航设备等领域。目前由于成本较高,正在逐渐普及到DIY市场。新一代的固态硬盘普遍采用SATA-2接口。第5页,本讲稿共38页固态硬盘:第6页,本讲稿共38页普通硬盘:第7页,本讲稿共38页普通硬盘内部结构普通硬盘内部结构磁头组件。这个组件是硬盘中最精密的部位之一,它由读写磁头、传动手臂、传动轴三部分组成。磁头组件。这个组件是硬盘中最精密的部位之一,它由读写磁
3、头、传动手臂、传动轴三部分组成。磁头组件。这个组件是硬盘中最精密的部位之一,它由读写磁头、传动手臂、传动轴三部分组成。磁头组件。这个组件是硬盘中最精密的部位之一,它由读写磁头、传动手臂、传动轴三部分组成。第8页,本讲稿共38页硬盘的接口:IDE:(Integrated Drive Electronics),即“电子集成驱动器”,它的本意是指把“硬盘控制器”与“盘体”集成在一起的硬盘驱动器。把盘体与控制器集成在一起的做法减少了硬盘接口的电缆数目与长度,数据传输的可靠性得到了增强,硬盘制造起来变得更容易,因为硬盘生产厂商不需要再担心自己的硬盘是否与其它厂商生产的控制器兼容。对用户而言,硬盘安装起来
4、也更为方便。IDE这一接口技术从诞生至今就一直在不断发展,性能也不断的提高,其拥有的价格低廉、兼容性强的特点,为其造就了其它类型硬盘无法替代的地位。第9页,本讲稿共38页SCSI:(Small Computer System Interface)(小型计算机系统接口),是同IDE(ATA)完全不同的接口,IDE接口是普通PC的标准接口,而SCSI并不是专门为硬盘设计的接口,是一种广泛应用于小型机上的高速数据传输技术。SCSI接口具有应用范围广、多任务、带宽大、CPU占用率低,以及热插拔等优点,但较高的价格使得它很难如IDE硬盘般普及,因此SCSI硬盘主要应用于中、高端服务器和高档工作站中。第1
5、0页,本讲稿共38页SATA:(Serial ATA)接口的硬盘又叫串口硬盘,Serial ATA采用串行连接方式,串行ATA总线使用嵌入式时钟信号,具备了更强的纠错能力,与以往相比其最大的区别在于能对传输指令(不仅仅是数据)进行检查,如果发现错误会自动矫正,这在很大程度上提高了数据传输的可靠性。串行接口还具有结构简单、支持热插拔的优点。不再使用4针的“D形”电源接口,改用新式的易于插拔的15针接口代替。S-ATA采用点对点连接方式,因此每个S-ATA线缆(或通道)只能连接一块硬盘,相应的也就不必像并行硬盘那样设置主、从跳线。第11页,本讲稿共38页光纤通道(Fibre Channel):和S
6、CIS接口一样光纤通道最初也不是为硬盘设计开发的接口技术,是专门为网络系统设计的,但随着存储系统对速度的需求,才逐渐应用到硬盘系统中。光纤通道硬盘是为提高多硬盘存储系统的速度和灵活性才开发的,它的出现大大提高了多硬盘系统的通信速度。光纤通道的主要特性有:热插拔性、高速带宽、远程连接、连接设备数量大等。第12页,本讲稿共38页硬盘坏磁头通电响盘片用专门的工具读数据电路板更换同型号电路板 BIOS芯片 固件用PC3000恢复第13页,本讲稿共38页硬盘数据地址定位参数:C/H/S:三维地址结构:柱面(磁道):C(Cylinder)磁头(盘面):H(Head)扇区 :S(Sector)L/B/A(L
7、ogic Block Address):线性地址,只有“扇区”这一个地址。第14页,本讲稿共38页第15页,本讲稿共38页MBR:(Mater Boot Record)主引导记录(存放在第一个扇区里)由分区软件创建。引导代码:(00-1BDH)分区表:(64bytes,1BE1FDH)DPT(Disk Partition Table)结束标志:55AA第16页,本讲稿共38页引导代码的恢复:复制其他硬盘的引导代码(挂坏盘)用DOS引导盘,进入DOS,输入命令:FDISK/MBR。进入windows磁盘管理,挂盘,“初始化”磁盘,再将以前备份的“分区表”复制,粘贴进来。第17页,本讲稿共38页分
8、区表项的含义:第1字节:00H:分区活动标志,80表示被激活,00表示未激活。第2字节:01H:本分区开始磁头号(H)第3字节:02H:本分区开始扇区号(S)第4字节:03H:本分区开始柱面号(C)第5字节:04H:分区类型分区类型(微软:FAT12:01H FAT16:04H(分区小于32M)06H(分区大于32M)FAT32:0BH或0CH NTFS:07H 扩展分区:05H或0FH第6字节:05H:本分区结束磁头号第7字节:06H:本分区结束扇区号第8字节:07H:本分区结束柱面第9-12字节:08-0BH:本分区开始扇区号本分区开始扇区号(LBA地址地址)(本分区之前使用的扇区数目)第
9、13-16字节:0CH-0FH:本分区大小本分区大小(单位:扇区)(单位:扇区)第18页,本讲稿共38页 分区表扩展分区:扩展引导记录 结束标志(55AA)主扩展分区主扩展分区子扩展分区子扩展分区(EBR:Extended Boot Record)定义C盘描述剩余空间 未用未用定义D盘 EBR 未用未用定义E盘 EBR 未用未用定义F盘 未用 未用未用 C盘分区表 D盘分区表 E盘分区表 F盘分区表 表项1 表项2 表项3 表项4第19页,本讲稿共38页文件系统:FAT12,16,32;NTFS(微软)OS:FS:DOS3.0之前 FAT12DOS3.0-6.22 FAT12,16Win3.x
10、 FAT12,16win95OSR2之前 FAT12,16win95OSR2之后 FAT12,16,32win98、SE、winme FAT12,16,32Winnt3.51之前 FAT12,16,32Winnt3.51-4.0 FAT12,16,32,NTFSWin2000 FAT12,16,32,NTFSWinxp,win2003 FAT12,16,32,NTFSvista FAT12,16,32,NTFS第20页,本讲稿共38页DBR:DOS引导记录 FAT:文件分配表FDT:文件目录表。簇:是文件管理的最小单元,第一个簇的簇号为2。1簇=2n 扇区FAT12,16:FAT32:DBR(
11、占1-8扇区)FAT1 FAT2 FDT(占32扇区)DATADBR(占32-38扇区)FAT1 FAT2 DATA第21页,本讲稿共38页簇大小:(默认数值)分区大小 簇/扇区2G 8第22页,本讲稿共38页 跳转指令 :EB OEMDBR BPB参数(Bios parameter block)引导代码 结束标志符:55AA第23页,本讲稿共38页BPB参数:(大多在63号扇区)0BH-0CH:每扇区字节数。0DH:簇大小(每簇扇区数)0EH0FH:DBR的保留扇区数。(用于找FAT1表)10H:FAT表的个数。11H12H:FDT最大存放的目录项数。13H14H:本分区大小。(小于本分区大
12、小。(小于32M分区)(分区)(FAT)15H:介质描述符(F8:硬盘,F0:软盘)16H17H:FAT表大小。(用于找FAT2)18H19H:每磁道扇区数。(63)。1CH1FH:本分区开始扇区号。20H23H:本分区大小。(大于本分区大小。(大于32M的分区)的分区)(FAT)32H33H:DBR备份所在的扇区(只有FAT32有此功能,一般在6号扇区)第24页,本讲稿共38页文件目录项:32Bytes(存放文件名等文件属性信息。文件开始簇号所在偏移量(第2 行54,BA)前11字节:文件名文件目录项 第12字节:“10”表示文件夹 “20”表示文件 最后4字节:文件所占用的字 节数(文件大
13、小)(文件夹都 是0)注:FAT32最大的管理分区大小:32G(由微软的系统限制)第25页,本讲稿共38页FAT表:以链(指针)方式存放簇号。3 4 8 10 4 8 10 FF 文件存储/读取步骤:1、FDT2、FAT3、DATA第26页,本讲稿共38页误删除操作的变化:FDT:“E5”FAT:“00”DATA:不变格式化操作的变化:FDT:“00”FAT:“00”DATA:不变第27页,本讲稿共38页NTFS:格式化后会往分区中写入16个元文件:$BOOT:占用16个扇区,其中第一个扇区是DBR$ROOT(根目录)$MFT:主文件表,管理文件之用$MFTMIRR:主文件表的镜像(部分)$L
14、OGFILE:日志$BITMAP:位图(记录簇的使用情况)DBR$BOOT MFTMFTMIRR第28页,本讲稿共38页NTFS的DBR结构:0B-0CH:每扇区字节数0DH:簇大小1C-1FH:本分区开始扇区号(隐藏扇区数)28-2FH:分区大小(比分区表中的值小1)30-37H:$MFT的开始簇号38-3FH:$MFTMIRR的开始簇号40-43H:每个文件记录包含的簇数第29页,本讲稿共38页文件记录头的结构:($MFT)00-03H:文件记录的头标志(46494C45/FILE)14-15H:第一个属性的开始偏移地址16-17H:“01”表示文件在使用中;“00”表示文件已经被删除第3
15、0页,本讲稿共38页属性的公共结构:(相对偏移地址)00-03H:属性类型(用16进制表示)注:“10H”:标准信息属性 “30H”:文件名属性 “80H”:数据属性08H:属性是否常驻。“00”表示常驻 “01”表示非常驻第31页,本讲稿共38页常驻属性的结构:(相对偏移地址)10-13H:属性体的大小14-15H:属性体的开始偏移地址非常驻属性的结构:20-21H:属性体RUNLIST的起始地址例:31 40 58 92 01 00所占簇数开始簇号第32页,本讲稿共38页误删除操作的变化:MFT:16-17H由01变为00,表示文件被删除。DATA:不变格式化操作的变化:MFT:清零DAT
16、A:不变第33页,本讲稿共38页RAID:独立冗余磁盘阵列(初名:廉价冗余磁盘阵列)磁盘阵列最小管理单元:块RAID技术:0 1 2 3 4 5 6 7(级别)淘汰技术刚出来 复杂 常用技术第34页,本讲稿共38页RAID-015243769810 Stripe(条带/块)条带模式:提高读写速度第35页,本讲稿共38页RAID-11312243545镜像模式:提供冗余第36页,本讲稿共38页RAID-51P337P164P425P28P1P2恢复原理:异或异或运算0 0=00 1=11 0=11 1=0第37页,本讲稿共38页软件实现RAID:Win2000 PRO:RAID-0 SERVER:RAID-0,1,5XP:RAID-0Win2003:RAID-1,5第38页,本讲稿共38页