在信息化和网络化时代,纸质化办公转向电子化办公,不管是政府、企业、军队还是个人,每天都需要通过电脑获取、处理大量信息,但作为信息存储载体的磁盘却不是万无一失的,磁盘故障、病毒破坏、黑客攻击、自然灾害等意外事故都可能引发数据灾难。硬盘有价,数据无价,一旦灾难发生,轻则导致一笔合同的延误,重则导致一个企业的破产,而政府、军队的涉密数据一旦非法外泄,甚至可能危及国家安全。因此,数据恢复是不亚于医生治病救人的神圣工作,且其更肩负着国家秘密与商业秘密不外泄的重任!本文将介绍常用系统的文件结构、数据恢复常用工具,就中央和国家机关保密技术服务中心涉密数据恢复中心开展数据恢复业务以来遇到的案例进行具体列举分析及总结。
一、Windows操作系统的分区结构及文件系统介绍
Windows作为目前主流的操作系统,能够支持的分区结构包括MBR磁盘分区、动态磁盘分区及GPT磁盘分区。MBR磁盘分区是使用最为广泛的一种分区结构,它也被称为DOS分区,但它并不是一个仅仅应用于Windows操作系统平台的分区结构,Linux系统、基于X86架构的UNIX系统都能够支持MBR分区。
(一)Windows操作系统分区结构
1.MBR磁盘分区结构
MBR扇区位于整个磁盘的第一个扇区:按照C/H/S地址描述,即0柱面0磁头1扇区;按照LBA地址描述,即0扇区,是一个特殊而重要的扇区。总共512字节的MBR扇区,由以下部分组成:
(1)引导程序:引导程序占用其中的前440字节,其地址在偏移0~偏移1B7H处。
(2)Windows磁盘签名:Windows磁盘标签占用引导程序后的4个字节,其地址在偏移1B8H~1BBH处,是Windows系统对硬盘初始化时写入的一个磁盘标签。
(3)分区表:偏移1BEH~偏移1FDH的64字节为硬盘分区表(DiskPartitionTable,DPT),这是MBR中非常重要的一个结构,也包含逻辑数据恢复中最为常用的信息。
(4)结束标志:扇区最后的两个字节“55AA”(偏移1FEH~1FFH)是MBR的结束标志。
2.动态磁盘分区结构动态磁盘的磁盘配置信息存放在磁盘上,Windows的逻辑磁盘管理(LogicDiskManager,LDM)子系统负责管理动态盘。LDM的卷与MS-DOS分区的一个主要的不同点在于,LDM维护一个单独的数据库用来存储系统动态盘的分区信息,包括多分区卷的设置。由于LDM封闭区域在磁盘的MS-DOS分区表中并没有体现出来,所以被称为软分区,而MS-DOS分区被称为硬分区。动态磁盘分区由下面三部分结构组成:
(1)MBR区:动态磁盘的第一个扇区和MBR磁盘一样,是一个MBR,MBR的分区表中有一项MS-DOS类型的分区表项。在MBR区域的第7个扇区,也就是6号扇区,是动态磁盘的私有头。私有头是动态磁盘中非常重要的结构,它占用1个扇区,同时在LDM数据库中还有两个备份。
(2)LDM软分区区域:这一部分用来给动态磁盘划分软分区。
(3)LDM数据库区域:LDM数据库占用动态磁盘最后的1MB的空间,其中含有私有头的两个备份,并且用特定的数据结构记录着动态磁盘的结构信息。
3.GPT磁盘分区结构
GPT是GUIDPartitionTable的缩写,其含义为“全局唯一标识磁盘分区表”。GPT磁盘分区由6部分结构组成:
(1)保护MBR:保护MBR位于GPT磁盘的第一个扇区,也就是0号扇区,由磁盘签名、MBR磁盘分区表和结束标志组成。
(2)GPT头:GPT头位于GPT磁盘的第二个扇区,也就是1号扇区,该扇区是在创建GPT磁盘时生成的,GPT头会定义分区表的起始位置、分区表的结束位置、每个分区表项的大小、分区表项的个数及分区表的校验和等信息。
(3)分区表:分区表位于GPT磁盘的2~33号扇区,一共占用32个扇区,能够容纳128个分区表项,每个分区表项大小为128字节。因为每个分区表项管理一个分区,所以Windows系统允许GPT磁盘创建128个分区。
(4)分区区域:GPT分区区域通常都是起始于GPT磁盘的34号扇区,是整个GPT磁盘中最大的区域,由多个具体分区组成,如EFI系统分区(ESP)、微软保留分区(MSR)、LDM元数据分区、LDM数据分区、OEM分区、主分区等。分区区域的起始地址和结束地址由GPT头定义。
(5)GPT头备份:GPT头有一个备份,放在GPT磁盘的最后一个扇区,但这个GPT头备份并不是GPT头的简单复制,他们结构虽然一样,但是其中的参数却又有一些区别。
(6)分区表备份:分区区域结束后,紧跟着就是分区表的备份,其地址在GPT头备份扇区中有描述。分区表备份是对分区表32个扇区的完整备份。如果分区表被破坏,系统会自动读取分区表备份,也就能够正常地识别分区。
(二)Windows操作系统的文件系统
微软的文件系统主要有FAT、NTFS和ExFAT:FAT文件系统有FAT12(目前已经非常少见,本文将不再介绍)、FAT16、FAT32等3种类型;NTFS是目前微软系统中主流的文件系统;ExFAT则是微软近期刚推出的一种新的文件系统,主要针对移动介质。
1.FAT16文件系统
FAT16文件系统是从微软的DOS3.0系统开始使用的,它能够支持大于16MB小于2GB的分区,Windows2000以上的操作系统可以创建4GB的FAT16分区,但与传统的FAT16不兼容,该文件系统包含以下5个部分:
(1)DBR及其保留扇区:DBR的全称为DOSBootRecord,含义是DOS引导记录,也称为操作系统引导记录,在DBR之后往往有一些保留扇区。
(2)FAT1:FAT的全称为FileAllocationTable,含义是文件分配表。FAT16一般有两份FAT,FAT1是第一份,也是主FAT。
(3)FAT2:FAT2是FAT16的第二份文件分配表,也就是FAT1的备份,称为备份FAT。
(4)FDT:FDT的全称为FileDirectory(5)DATA:DATA也就是数据区,是FAT16文件系统的主要区域。
2.FAT32文件系统
FAT32文件系统是从微软Windows95系统开始使用的,它能够支持大于32MB小于32GB的分区。虽然第三方的格式化程序可以把超过32GB的分区格式化为FAT32,但微软自身的系统不允许将大于32GB的分区格式化为FAT32文件系统,该系统共包含4个部分(与FAT16文件系统相似),分别为DBR及其保留扇区、FAT1、FAT2及DATA4个部分。
3.NTFS文件系统
NTFS文件系统是随着WindowsNT操作系统的诞生而产生的,并随着WindowsNT4跨入主力文件系统行列。它的优点是安全性和稳定性极其出色,在使用中不易产生文件碎片;同时还提供了容错结构日志,可以将用户的操作全部记录下来,从而保护了系统的安全。NTFS主要由$Boot文件、$MFT文件、$MFTMirr文件及16个元文件组成。元文件主要有16个。
4.ExFAT文件系统
ExFAT全称为ExtendedFileAllocationTableFileSystem,即扩展文件分配表,是微软在WindowsEmbeded6.0中引入的一种适合于闪存的文件系统。该文件系统由以下5部分组成:
(1)DBR及其保留扇区:DOS引导记录,也称为操作系统引导记录。在DBR之后往往有一些保留扇区,其中12号扇区为DBR的备份。
(2)FAT:FAT的全称为FileAllocationTable,含义是文件分配表。
(3)簇位图文件:簇位图文件是ExFAT文件系统中的一个元文件,类似于NTFS文件系统中的元文件$BitMap,用来管理分区中簇的使用情况。
(4)大写字符文件:是ExFAT文件系统中的第二个元文件,类似于NTFS文件系统中的源文件$UpCase,Unicode字母表中每一个字符在这个文件中都有一个对应的条目,用于比较、排序、计算Hash值等方面。
(5)用户数据区:是ExFAT文件系统的主要区域,用来存放用户的文件及目录。
二、数据恢复常用软件介绍
(一)Victoria硬盘坏道检测软件
Victoria是在Windows环境下功能强大的硬盘坏道检测工具,该软件具备硬盘表面检测/硬盘坏道修复/cache缓存控制等功能。对于存在坏道但可以正常使用的硬盘,该软件可以检测发现硬盘坏道,越早发现坏道,可修复的概率就越高。在数据恢复业务中主要用该软件来检测硬盘的坏道有多少,从而根据数据类型估算数据的可恢复性及完整性。
(二)R-Studio数据恢复软件
R-Studio是一款功能强大的数据恢复软件,它针对各种不同版本的Windows操作系统的文件系统都能应付自如。R-Studio软件也可以针对非Windows系列的Linux操作系统进行数据恢复。而在WindowsNT、Windows2000、Windows7等操作系统上所使用的NTFS文件系统,R-Stduio亦具有处理的能力,而且R-Studio甚至也能处理NTFS文件系统的加密与压缩状态,并将发生问题的文件复原。同时,高版本的R-Studio也增加了RAID重组功能,可以虚拟重组RAID的类型包括RAID0、RAID5等,并支持阵列的缺失重组。实际数据恢复业务中主要是用该软件对已存在分区表的硬盘进行数据恢复或者进行硬盘的分区表扫描等操作。
(三)SuperRecovery超级硬盘数据恢复软件
SrperRecovery软件是一款功能强大、简单易用的数据恢复软件,该软件可快速恢复被误删除、被格式化、分区丢失、分区被覆盖等数据。该软件支持FAT、FAT32、NTFS等Windows操作系统常用分区格式,支持按文件类型进行扫描的数据恢复,支持的文件类型包括Word、Excel、PowerPoint、JPG、MP4、RAR、CAD等常用文件类型。该软件主要针对硬盘的分区扫描、按文件类型扫描等需求进行相关数据恢复。
(四)PC-3000硬盘修复工具
PC-3000是由俄罗斯著名硬盘实验室——ACELaboratory研究开发的专业修复硬盘综合工具,该工具包含硬件及软件。操作人员可通过PC-3000工具的软硬件结合对硬盘固件进行读取、屏蔽坏道、坏扇区、坏磁头等,可进行硬盘数据的快速拷贝,也可更改硬盘SN号、容量大小等信息。PC-3000的强大之处在于,该工具软件已经对市面上绝大部分的厂商生产的硬盘专用CPU指令集进行了破解,读取出大部分硬盘的Firmware(固件),从而控制硬盘内部的工作,使用户可以用简单的操作就能解决复杂的问题。在数据恢复业务中,PC-3000是处理数据恢复工作的重要工具,数据的备份、固件的修复及硬盘的检测都需要该工具来完成。
(五)WinHex
WinHex是一款以通用的16位进制编辑器为核心,专门用来处理计算机取证、数据恢复、低级数据处理等问题的高级工具,它可以用来检查和修复各种文件、恢复误删除文件、恢复磁盘损坏造成的数据丢失等。WinHex中集成了很多功能强大的工具,包括磁盘编辑器、Hex转换器和RAM编辑工具,并能够方便地调用系统常用工具,如计算器、笔记本、浏览器等。WinHex功能强大、使用简单,在数据恢复业务中,主要用来查看分区表、文件系统及文件的底层结构,用于修复损坏的文件系统及分区系统,重组阵列硬盘的数据等。
三、数据恢复案例解析
(一)硬盘坏道、文件目录损坏等
案例信息
某单位工作人员携带希捷ST500DM002硬盘送至我中心,称其开机后无法正常进入系统,出现蓝屏现象,硬盘没有摔碰等物理损坏行为,望数据恢复中心将硬盘内数据恢复。
1.故障现象工作人员首先对外观进行了观察,硬盘外观完好。随后,将硬盘接入我中心专用数据恢复设备,通电后硬盘正常识别,且利用Victoria软件测试硬盘的容量和型号均正常,但部分硬盘数据无法访问,提示文件目录错误。
2.故障原因分析
(1)坏道。如果硬盘存在坏道且坏道位于目录区,文件系统无法解析,则操作系统文件无法正常加载,以致开机后蓝屏。
(2)文件系统逻辑损坏。意外断电、非正常关机等情况可能致使硬盘目录区被缓存文件破坏,从而导致电脑无法从硬盘读取数据。
3.恢复过程
(1)在判断该硬盘可正常运行后,工作人员将硬盘接入专用设备利用PC-3000对硬盘进行整盘克隆备份。
(2)克隆完成后,将原故障盘放入硬盘存放柜,将备份硬盘连接至专用设备,使用数据提取软件展开分区时提示“该区域不包含有效的分区结构”。用WinHex查看硬盘底层代码结构,我们发现硬盘的分区结构是完好的,该硬盘包含3个NTFS分区,分区的DBR(DOS引导记录)也没有异常,但是当我们跳转到系统分区(C区)的目录区($MFT)时,发现该区域前8个扇区的代码全部为00字节,由于这8个扇区在硬盘中是有备份的,因此我们跳转到备份目录区($MFTMirr),发现备份是完好的,由于NTFS的目录和备份目录是同步读写的,如果目录发生变化,则备份目录必然同步改变,而现在备份目录完好而目录本身全是00字节,这就验证了我们一开始分析的原因,这是硬盘坏道引起的。
(3)找到原因之后,有两种方式可恢复数据。其一,在WinHex中将$MFTMirr前8个扇区粘贴到$MFT对应的位置上,保存后,该分区恢复正常,通过数据提取软件将数据提取至用户所携带的数据拷贝盘中。其二,通过软件对硬盘底层进行扫描,软件可以按照文件目录结构将其重新解析,然后再提取数据。
(4)数据恢复完成后,总大小及文件种类与用户介绍的大体一致。
(5)将备份硬盘及数据拷贝盘放入存放柜,等待用户进行数据验证。
(二)硬盘磁头未归位、磁头损坏
案例信息
某部委信息中心工作人员携带西数WD3200AAJS硬盘来我中心进行恢复,称电脑在故障出现的前一天使用时突然断电导致电脑未正常关机,第二天开机后设备无法识别硬盘,且硬盘在通电时有异响。1.故障现象
工作人员首先进行了外观的检测后确定硬盘外观完好,然后,将硬盘连接上专用恢复用设备。通电后,硬盘无法起转,且有规律地发出“嘀嘀嘀”异响,设备无法识别该硬盘的型号及容量。
2.故障原因分析
(1)硬盘无法起转且发出规律性异响,可能是磁头未归回初始位置(西数该系列硬盘磁头有起落架),导致通电后磁头卡住碟片,主轴马达抱死而无法起转,磁头无法正常移动,读取不了硬盘固件代码,因此电脑不识别该硬盘。此类故障只需手动协助磁头回到起落架,即可使其恢复正常。
(2)如果将磁头移回起落架后,硬盘通电仍无法识别且发出“咔咔咔”异响,则说明磁头已出现物理损坏,需要用同型号硬盘磁头将其更换方可恢复数据。
3.恢复过程
(1)工作人员在确定该盘为磁头出现问题后,在百级洁净间内进行开盘。
(2)打开硬盘后发现磁头未停放在起落架上,将磁头推入起落架上,盖上硬盘盖。
(3)连接专用设备,硬盘加电后仍有异响,这说明硬盘的磁头已经损坏,硬盘的型号及容量仍无法被识别。
(4)断电后,重启开盘,取出磁头可以用电子显微镜发现其前端读写部位已损坏,从备件库中选取同一型号磁头进行更换。
(5)更换磁头后,将硬盘加电运行,硬盘运行声音正常,经过PC-3000对硬盘固件进行修复后,硬盘正常识别。
(6)将硬盘接入专用设备利用PC-3000进行硬盘全盘备份。
(7)备份完成后,将原故障盘放入硬盘存放柜,将备份硬盘连接至专用设备,用逻辑恢复软件(R-Studio、SuperRecovery)进行数据整理与提取。将硬盘分区展开后,目录及文件大小与用户所说的基本一致,将其提取至用户所携带的数据拷贝盘中。
(8)将备份硬盘及数据拷贝盘放入存放柜,等待用户进行数据验证。
(三)硬盘电路板损坏、电机损坏
案例信息
某军工单位涉密电脑硬盘出现故障,故障出现前使用时无任何非正常操作,现开启电脑,硬盘加电后无任何反应。该单位工作人员将该硬盘送至我中心进行数据恢复。
1.故障现象
工作人员首先进行了外观的检测后确定硬盘外观完好,将硬盘接入专用设备后给硬盘通电,硬盘不旋转,设备无法识别该硬盘的型号及容量。
2.故障分析原因
(1)硬盘通电后没有反应,磁盘电机不启动,此类问题可能由于电路板老化接触不良、电路板烧毁、电路板电源接口老化等原因造成。
(2)硬盘通电后没有反应,磁盘电机不启动,此类问题也可能由于电机损坏而无法起转所致。
3.恢复过程
(1)硬盘通电后无任何反应,工作人员初步判断该硬盘故障可能由电路板损毁或硬盘电机损坏导致。
(2)将硬盘电路板拆下,观察电路板情况,没有发现明显烧毁的芯片。
(3)工作人员从备件库中找出同批次的硬盘电路板,将故障硬盘ROM芯片焊接至新主板上,将新主板安装回硬盘,硬盘仍无任何反应。新主板在其他同型号硬盘上时,硬盘可以起转,则判断硬盘主板正常,此故障可能由电机损坏所致。
(4)在百级洁净间内对硬盘进行开盘,该硬盘由两个碟片封装而成,用记号笔在碟片侧面对齐位置进行标记(防止碟片装回后,两碟片间发生大的偏移),取出碟片,将其平移至备件盘中。
(5)调平碟片,安装好磁头,将硬盘重新密封后通电。
(6)通电后硬盘正常运行,确定该故障由于硬盘电机损毁引起,经过固件修复后,设备可正常识别出硬盘型号及容量。
(7)将硬盘接入专用设备利用PC-3000进行硬盘全盘备份。
(8)备份完成后,将原故障盘放入硬盘存放柜,将备份硬盘连接至专用设备,用逻辑恢复软件(R-Studio、SuperRecovery)提取数据,恢复后的文件目录及文件大小与用户描述一致。
(9)将备份硬盘及数据拷贝盘放入存放柜,等待用户进行数据验证。
四、常用故障分析总结
(一)硬盘坏道、文件目录损坏类故障
1.此类故障大体表现为硬盘通电后可正常运行,在BIOS中能正确识别该硬盘的型号与容量,但无法进入系统。
2.造成此类故障主要由文件系统受损导致,而受损原因可能为坏道或缓存异常回写。
3.此类故障恢复的方式为重建受损的目录区,或通过软件完整扫描硬盘的目录结构,从而通过数据恢复软件(R-Studio、SuperRecovery)将其解析重建,然后就可提取数据。
(二)硬盘磁头未归位、磁头损坏类故障
1.在目前市场使用较多的型号的硬盘系列中,意外断电、非正常关机等情况最为常见,常会导致硬盘磁头损坏。
2.出现异响是磁头发生故障后最直观的表现,此时应关闭电脑,防止反复通电造成磁头划伤硬盘碟片而使数据彻底丢失。
3.磁头损坏类故障只能通过开盘方式进行恢复数据,无法直接通过软件进行恢复。
(三)硬盘电路板损坏、电机损坏类故障
1.硬盘通电后不运转,没有反应,此类故障通常由硬盘电机损坏、电路板损坏造成。若由电机损坏造成,则需要更换电机,将盘片整体平移到正常的硬盘中进行数据恢复,此方法对单盘片的硬盘恢复有较好的效果,只需注意碟片正反不要搞错即可,但若硬盘为多盘片,还需要在移动盘片的过程中注意盘片间的相对位移,若盘片间的相对位移出错,后期数据恢复将有很大难度。
2.若此类故障由电路板损坏造成,则可通过更换同型号主板,再交换ROM芯片来实现恢复。注意,ROM芯片相当于硬盘的身份证,对每一块硬盘来说都是唯一的,对数据恢复有着至关重要的作用,在更换ROM芯片过程中,切忌将其弄混或焊坏。
五、结语
在涉密数据恢复业务开展实际工作中,遇到过各种介质的数据恢复问题,比如闪存介质的数据恢复问题,需要工程师对闪存内部电路及芯片进行深入分析;RAID磁盘阵列的数据恢复问题,需要工程师对受损硬盘进行修复后再对整个磁盘阵列进行重组,这需要对数据的逻辑结构有更进一步的了解;有的数据文件格式比较少见(软件无法扫描到),或者恢复出来的数据已经被病毒损坏,则需要工程师对文件底层结构进行分析,并人工对文件进行提取,对于这些故障的解决方法将在以后的文章中总结出来。由于硬盘的数据恢复是一门专业性、操作性要求都比较高的工作,所以想要提高数据恢复技术、提高数据恢复的成功率,应多学习数据恢复理论知识、多动手操作、多累积实践经验。
(作者:宏鹏 曲天光)