一、 对数据的潜在威胁:

1、恶意的程序：大家最熟悉的恶意程序就是病毒，很多人认为病毒对数据的影响仅仅是病毒的破坏性，这是不正确的，实际上病毒的感染本身就是一种破坏，一个病毒无论他借助修改你的引导区、可执行程序还是OFFICE文档，他都把你正常的数据做了改变，当然，你可能举良性伴随性病毒这种极端的例子。但毫无疑问，他同样对数据构成了破坏，至少他减少了你的硬盘的可用空间。同时，恶意的程序还包括特洛伊木马，逻辑炸弹等等。
恶意的程序造成的破坏可能是最难恢复的。

2、其他恶意的破坏，即使不借助病毒或者其他的工具，只要拥有足够的权限，任何系统都有一定的“自毁”能力。比如依靠系统正常的删除、移动、格式化等操作也可以达到破坏数据的目的。随着网络技术的发展，威胁已经不仅仅限于本机，

3、误操作：很多数据丢失源于使用者的操作失误，比如误删除，误格式化等等。

4、操作系统或应用软件的错误：随着操作系统和应用程序的代码量的成倍增加，BUG也在不断增加。我们最常用的桌面系统WIN9X就是一个BUG大王。操作系统和应用软件的错误，往往会给人的工作带来一些不可预期的影响。比如前阶段，发现FRONT PAGE98的一个BUG，触发后会把你目录下的文件全部删除，另外，象著名的游戏神话II，出现了如不安装在默认目录中可能会使你丢失扩展分区这样严重的问题。

5、加密和权限：尽管加密和权限设置是你保护数据的有效手段，但遗忘密码也会带来很大的问题。

6、掉电：机器突然掉电的后果可能不仅仅是内存数据的丢失，也可能造成磁盘数据的丢失，或导致系统无法正常启动。

7、内存溢出：导致内存溢出或者进程非法终止等低层错误的原因很多，他就象掉电一样，会使你损失当前的工作。

8、升级：软件系统升级有时会带来一些问题，后面我们将举相应例子。

9、硬件损坏和失窃：这可能是最严重的威胁之一。有时这把你恢复数据的可能降低为零。

二、 数据丢失的各种逻辑现象

对数据的恢复，基本上是一种逻辑处理。只有对情况有一个准确的判定，才能做出准确的应对。一般的来说，问题可以归纳为以下几种情况。

1、 硬盘无法完成正确引导：因物理故障造成的逻辑损坏、引导区故障、重要扇区崩溃等等，都会使系统不能完成正常的自举过程。

2、 文件丢失：由于有意破坏，误删除等等都会造成数据的丢失。另外，这种归类不仅仅包括某个或某几个文件，也适用于目录，分区或卷的丢失。

3、 文件无法正常打开：由于病毒感染，加密，文件头损坏等情况，会使文件无法正常打开。

4、 数据紊乱：由于各种因素的影响，数据库中的信息，文本文件等，可能面目全非。

三、 保护数据的建议

这个专题是探讨数据恢复的，而不是信息保护的，因此点到为止，一句话，那就是防患于未然，我们列举了对数据的威胁，如果我们最大程度的减弱了这些威胁，对每一种可预知的潜在威胁都有相应的预防和对策，我们的数据安全才会有最大的保障。这些对策主要包括选择良好的反病毒和系统维护产品、加强保安全措施、采用UPS掉电保护、提高用户操作水平和安全意识、形成系统的信息管理和备份制度等等。都可以有效的保证数据的安全，总之，我对数据恢复的认识与病毒是相同的——与其亡羊补牢，不如防患未然

1、 系统工作机理的简单介绍

这一部分在原作中是最重要的一章，考虑到篇幅关系，进行了大量的删节。

①、 DOS（DOS兼容系统）硬盘数据的构成

DOS磁盘系统，可以按照逻辑分区的概念管理物理空间，不同分区可以装载不同的OS系统。

示意如下：

硬盘空间
第一扇区|分区1 |分区2 |分区3 |分区4
主引导扇区|引导扇区|引导扇区|引导扇区|引导扇区|
各分区公用|各个分区相对独立，可安装不同操作系统。

对FAT结构的分区每一分区都有独立的引导记录，FDT表，FAT表等。同时，系统还有一个最为重要的主引导记录。在0柱0面1扇区，今后我们用CYL代表柱、SIDE代表面，SEC代表扇区。以下一个FAT结构分区的简图。

保留区- 磁盘参数表、DOS引导记录控制区-FAT表1、FAT表2根目录区数据区-数据区

以下简单介绍一下重要的部分：
主引导记录又称主分区表、MBR等等：MBR占一个扇区，在CYL 0、SIDE 0、SEC 1，由代码区和数据区构成。其中代码区是一端标准的程序，完成BIOS自举到OS BOOT之间的工作，为OS启动做最后的准备。标准代码区可以由FDISK/MBR重建，但对于多系统引导的不标准MBR，将被这一操作破坏。MBR的数据区记录了分区情况。

系统扇区：CYL 0、SIDE 0 、SEC 1-CYL 0、SIDE 0 、SEC 63，共62个扇区引导区又称BOOT区：CYL 0、SIDE 1 、SEC 1 这是我们过去称的DOS引导区。也占一个扇区。

文件分配表又称FAT：是记录文件占用簇的情况和连接关系的地方。一般有两个FAT表，起到备份的作用。FAT12、FAT16的第一FAT表一般均在0-1-2，FAT32的第一FAT表在0-1-33。由于FAT表记录文件占用扇区连接的地方，如果两个FAT表都坏了，后果不堪设想。

由于FAT表的长度与当前分区的大小有关所以FAT2的地址是需要计算的。

根目录区（ROOT、FDT）：这里记录了根目录里的目录文件项等，ROOT区跟在FAT2后面。
数据区：跟在ROOT区后面，这才是数据内容

其实， MBR、隐含扇区、BOOT区，重建都比较容易。数据恢复的关键在于恢复数据文件。由于FAT表记录了文件在硬盘上占用扇区的链表，如果2个FAT表都完全损坏了。那么恢复文件，特别是占用多个不连续扇区文件就相当困难了。

②、 主引导记录简单说明：
主引导记录是硬盘引导的起点，关于代码区不多说了，其数据区，比较重要的是2个标志，80H和55AA，80H一般在偏移1BE处，80是分区激活的标志的标记表示系统可引导，且整个分区表只能有一个80标记。另一个就是结尾的55 AA标记，用来表示主引导记录是一个有效的记录。另外，各个分区自身的引导记录，也是以55AA结束，这是我们查找分区的标志。我们后面在介绍如何主引导记录中，给出了一个完整的分区表的例子，大家可对照查看。数据区中，用10H字节表示一个分区，最多可表示4个分区，分别从1BE、1CE、1DE、1EE开始，我们后面给出了分区表项对应地址的含义。大家可以对应分析一下以下分区的情况。

80 01 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00
① ② ③ ④ ⑤ ⑥

[1] [2] [3] [4] [5] 下一页

文章来自:云通信息技术网 www.kmxm.net

版权声明：部分内容转载于网络，其版权属于原作者，如果有任何内容方面的问题，请联系我们。