摘 要:为了挽救数据丢失给单位、个人带来的损失,从数据丢失常见现象,如恶意能破坏、硬盘损坏、误操作、死机等现象入手,分析了数据丢失的各种原因,大部分是因介质中的程序或数据受到损坏出现的,只要能掌握一些常用的恢复方法,就可以挽回不必要的损失。具体结合数据存储各种介质结构和文件的存储原理,以及日常的工作经验,给出了不同介质故障的数据恢复方法及避免数据丢失的注意事项,相信会给工作中遇到数据丢失方面的问题带来方便,做到防患于未然。创新点在于为非专业人员提供数据恢。
关键词:数据丢失;分析; 恢复; GHOST
中图分类号:TN919-34 文献标识码:A
文章编号:1004-373X(2011)20-0019-05
Analysis and Restoration of Common Data Loss
ZHANG Yao-min
(Shaanxi Radio & Tv University, Xi’an 710061, China)
Abstract: In order to remedy the loss caused by date loss which brings some loss to units and individuals, proceeding from the common losing phenomena such as malicious destruction, hard disk problems, incorrect operation and system halted, various causes of data loss are analysed. Mostly because the medium of a program or data damaged appear, as long as we learn some common recovery method, can save unnecessary losses. Specific Combining various medium structures of data storage and file storage principles with daily practical experiences, Different medium fault restorations of data loss and considerations avoiding data loss are given, which will help you with the data loss and prevent future problems in your work. The innovation point is to provide the possibility of data recovery for non-professional personnel.
Keywords: data loss; analysis; restoration; GHOST
随着信息化热潮在中国的不断推进,越来越多的企事业单位在工作中引入计算机系统来辅助工作,越来越多关系企业正常经营的重要信息也被保存在计算机系统中。据CCID统计,截至2005年12月底,我国上网计算机数仅次于美国,位居世界第二,到2010年年底,宽带用户达到1.25亿[1]。另据IDC调查分析,数据存储量以年均80%的速度增长。面对这种情况,当越来越多的用户习惯于把重要资料保存到电脑中的时候,却不得不面对数据可能丢失的尴尬,即便是在数据保存、备份方面花费不菲的企业用户,如银行和证券业,也无法保证自己的数据百分之百不被破坏。一旦系统发生故障,难免会产生重要数据丢失,将会导致企业停止运转,甚至面临破产。可见,数据恢复的重要性不言而喻。因此,当系统发生故障时如何找回丢失的数据,把给企业、个人带来的损失降低到最低就显得日益重要,数据恢复就顺应这一市场需求而产生了。
顾名思义,“数据恢复”,就是面对计算机系统遭受误操作、病毒入侵、硬件故障、黑客攻击等事件后,将用户的数据从各种无法读取的存储介质中挽救出来,从而将损失降低到最小的技术[2]。造成数据丢失的原因很多,不管是普通用户还是电脑高手,数据丢失是人人都会碰到而且是令人最头疼的事情。下面从数据丢失现象入手,分析了数据丢失各种原因,结合数据存储的介质结构与实践经验,给出了常用的数据恢复方法,最后提出避免数据丢失的日常注意事项。
1 数据丢失现象[3]
1.1 恶意的破坏
比较典型的例子就是各种病毒对文件和系统程序的破坏;另外,只要拥有足够的操作权限,任何系统都有一定的“自毁”能力。比如依靠系统正常的删除、移动、格式化等操作会造成对数据的破坏,这些多数也是病毒所致。还有,有的用户对自己使用的用户名设置了必要的密码,而对于Administrator这个具有系统最高权限的用户,密码却为空,这就是任何一个连接在网络上的非法用户都可以对该系统进行任何操作。这一情况是大多数非专业用户忽视而造成的,属于管理上漏洞。
1.2 硬盘问题
启动时,硬盘自检不到是常见的硬件故障,但此故障又可分为主板的硬盘控制器(包括IDE口)故障和硬盘本身的故障。如果问题在主板上,那么数据应当没有影响。如果出现在硬盘上,也不是一定不能修复。硬盘故障又可能分别在控制电路、电机和磁头以及盘片上。如果是控制电路的问题,一般修好它,就可以读出数据。但如果电机、磁头和盘片故障,数据恢复基本没有可操作性。
1.3 误操作
所谓误操作一般指对计算机操作不太熟悉,对系统提示的信息不清楚或不注意而造成的一些破坏行为。如未保存文件退出,导致文件或文件修改内容丢失;如安装Ghost的时候误操作,结果不知道怎么回事,原来的多个分区变成一个分区了,而且以前的数据全部没有了;如还有误删除、误格式化等。文件丢失、误格式化的情况一般来说,文件删除仅仅是把文件的首字节改为E5H,而并不破坏本身,因此可以恢复。GHOST时的误操作,只是破坏了原来的分区表,也是可以恢复的。
1.4 计算机突然死机是造成文件丢失的最大杀手
如果正在编辑Word文档过程中死机,先别垂头丧气,关掉电源后重新启动计算机,然后直接点击启动Word,就会发现刚才正在编辑的文件将会以一个恢复文件的形式出现在屏幕上,将其另存为一个文件后可继续使用。这是因为Word在打开文档编辑时会在Windows系统目录的Temp目录中形成临时文件,并在当前的编辑目录中形成一个中间文件,直到存盘退出时自行删除,这就使文件恢复成为可能。
2 常见数据丢失原因分析
信息化时代,各种存储介质(硬盘、U盘、光盘等)在使用时难免会出错,轻则数据丢失,重则整个介质报废,造成不可预料的后果。从以上分析可知,造成数据丢失的原因大致分为软件故障和硬件故障2种情况。软件故障一般表现为无操作系统,读盘错误,文件找不到、打不开,出现乱码,报告无分区、无法格式化等。通常由错误分区、格式化硬盘不慎、误操作、病毒的攻击等造成。据不完全统计,对大多数用户来说,计算机日常使用中80%以上故障为软件原因导致的“软故障”[4]。此文重点讨论软故障的修复。
(1) 黑客入侵与网络病毒感染,造成数据丢失。
相信这一因素造成数据灾难所占的比例最高,如今的黑客能在装有防火墙的网络中进出自如,病毒可以在几个小时之内遍布全球,时刻都在威胁着数据的安全,这些都是人们无法预料的事情。
(2) 用户的硬盘数据保护意识不高,造成数据丢失。
目前不论是企业用户还是个人用户,多数都是在计算机里安装了一种或几种防病毒软件,然后就认为可以高枕无忧了。这种过分依赖防病毒软件的思想使得用户疏忽了对数据的保护,等到数据灾难发生的时候才发觉,其实防护软件并不是万能的。
(3) 硬盘或系统、软件故障,造成数据丢失。
由这一原因造成的数据丢失多数表现为:数据无法找到,系统不认识所使用的装置,机器发出噪音,电脑或硬盘不工作等,这与用户使用电脑的方式和在电脑上安装的软件有关,视不同情况处理,不能一概而论。
(4) 自然损坏。
风、雷电、洪水以及意外事故(如电磁干扰、地板振动等)也有可能导致数据丢失,不过这一因素出现的可能性比前面三点要低很多。
综上分析,多数情况下,用户找不到的数据往往并没有真正的丢失,只要处理得当,恢复是完全有可能的。
3 各种介质存储原理
面对数据丢失的各种可能原因,要了解数据恢复方法首先应知道各种介质的存储结构和文件存储原理。
3.1 硬盘
3.1.1 硬盘数据结构
硬盘一般分为5个部分:主引导扇区、操作系统引导扇区、文件分配表区、目录区和数据区。主引导扇区共512 B,包括硬盘主引导记录(Main Boot Record,MBR)和硬盘分区表(Disk Partition Table,DPT)。MBR的作用是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序调入内存加以执行。
操作系统引导扇区(Dos Boot Record,DBR)是操作系统可直接访问的第一个扇区,包括引导程序和被称为BPB(BIOS Parameter Block)的本分区参数记录表。引导程序的主要任务是判断本分区根目录前2个文件是否为操作系统的引导文件,然后把第一个文件读入内存,并把控制权交给该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(Allocation Unit,簇)的大小等重要参数。
文件分配表区(File Allocation Table,FAT)用来表明一个文件所占用的各簇和簇链分配情况,标明坏簇和可用簇。磁盘上有2个FAT,第1个是基本表,第2个是第1个的备份,其大小取决于该分区的大小及文件分配单元的大小等因素。
目录区(Directory,DIR)也称文件目录表(File Directory Table,FDT),记录着每个文件(目录)的起始单元、文件的属性等。数据区即Data,是真正意义上的数据存储区,占据硬盘上的大部分空间。
Data区的数据由FDT和FAT来解释,若FDT和FAT对Data区域的描述为“未使用”,则对应的Data区就是“未被占用”的空闲空间,可进行新数据的写入。
3.1.2 数据存储原理[5]
操作系统在保存文件时,首先在FDT区中找到空闲区写入文件名、大小和创建时间等相应信息,然后在Data区找到闲置空间将文件保存,并将文件在Data区第1个簇的簇号写入FDT,如果文件结束,则将Data区的最后一个簇的簇号写入FDT,并在Data区的最后一个簇写入结束标志。读取文件时,操作系统从FDT区中读取文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号等文件信息,根据FDT区中的簇号读取Data区相应簇号的数据,然后去找FAT的相应单元,如果内容是文件结束标志,则表示文件结束,否则内容保存数据的下一个簇的簇号,这样重复下去直到遇到文件结束标志。
明白了数据存储结构和各种操作对硬盘数据的影响,就不难理解为什么数据在被破坏后,只要没有新的数据覆盖,数据还能够再次找回来。这就为数据恢复提供了可能性。
3.2 U盘
U盘工作原理比较简单:USB端口负责连接电脑,是数据输入或输出的通道;主控芯片负责各部件的协调管理和下达各项动作指令,并使计算机将U盘识别为“可移动磁盘”,是U盘的“大脑”;FLASH芯片与电脑中内存条的原理基本相同,是保存数据的实体,其特点是断电后数据不会丢失,能长期保存;PCB底板是负责提供相应处理数据平台,且将各部件连接在一起。当U盘被操作系统识别后,使用者下达数据存取的动作指令后,USB移动存储盘的工作便包含了这几个处理过程。
3.3 光盘
3.3.1 光盘系统存储结构
光盘系统的核心模块由存储数据的盘片及其旋转驱动机构、读写数据的光学头组件以及控制和接口的系统电路3部分组成。总体结构与硬盘系统比较类似,不同的是存储介质变成了光学介质,数据的读写机构由磁头变成了光学头。
当系统工作时,由半导体激光器发出的激光束经光学系统聚焦于光盘盘片的记录层,处于记录状态时,半导体激光器光功率输出较大,焦点处大的激光功率密度使得记录介质的反射率发生变化,形成信息点;处于读出状态时,半导体激光器的输出较小,当其焦点在记录道上扫描时,由于记录点反射特性与其余位置反射特性的差异,检测反射光功率的变化即可读出已存储信息。
3.3.2 光盘的存取原理[6]
光盘利用激光束在记录表面上的存储信息,根据激光束和反射光的强弱不同可以实现信息的读写。由于光学读写头和介质保持较大的距离,因此,它是非接触型读写的存储器。
对于只读型和只写一次型光盘而言,写入时将光束聚焦成直径小于1 mm的微小光点,使其能量高度集中,在记录的介质上发生物理或化学变化,从而存储信息。例如,激光束以其热作用,融化盘表面的光存储介质薄膜,在薄膜上形成小凹坑,有坑的位置表示记录“1”,没坑的位置表示“0”。又比如,有些光存储介质在激光照射下,使照射点温度升高,冷却后晶体结构或晶粒大小会发生变化,从而导致介质膜光学性质发生变化(如折射率和反射串),利用这一现象便可记录信息。读出时,在读出光束的照射下,在有凹坑处和无凹坑处反射的光强是不同的,利用这种差别,可以读出二进制信息。由于读出光束的功率只有写入光束的1/10,因此不会使盘面熔出新的凹坑。
可擦写光盘是利用激光在磁性薄膜上产生热磁效应来记录信息。它利用激光照射磁性薄膜,使其被照处温度升高,矫顽力下降,在外磁场作用下,该处发生磁通翻转,并使其磁方向与外磁场一致,这就可视为寄存“1”。不被照射处,或小于矫顽力处可视为寄存“0”。通常把这种磁记录材料因受热而发生磁性交化的现象,叫作热磁效应。擦除信息和记录信息原理一样,擦除时外加一个和记录方向相反的磁场,对已写入的信息用激光束照射,使磁外场大于矫顽力,则被照射处又发生反方向磁化,使之恢复为记录前的状态。
4 常用数据恢复方法
不同数据丢失,其数据恢复方法各具差异。就大的方面而言,数据恢复分为纯软件恢复方法和软硬件结合方法,软硬件结合方法需要一定的硬件支持,对于大多数管理员来说是不现实的。结合实际,本文主要讨论纯软件恢复。这种类型的软件有很多,如:EasyRecovery,DiskGenius等,使用时必须掌握每一个软件的特性,有针对性地合理选择或配合使用,才能提高数据恢复的效率。
4.1 系统不承认硬盘
此类故障比较常见,即从硬盘无法启动,使用CMOS中的自动检测功能也无法发现硬盘的存在。这种故障大都出现在连接电缆或早期硬盘的IDE口上(现在硬盘多使用串口SATA),硬盘本身的故障率很少,可通过重新插拔硬盘电缆或者改换IDE口及电缆等进行替换试验,这样很快就能发现故障所在。如果新接上的硬盘不承认,还有一个常见的原因就是硬盘上的主从跳线错误。如果硬盘接在IDE的主盘位置,则硬盘主从跳线必须设置为主盘状,因为跳线错误一般也会无法检测到硬盘。
4.2 误删除数据的恢复
对于误删除数据的恢复,可以从网上免费下载数据恢复工具EasyRecovery,安装后启动EasyRecovery,并单击“数据恢复”,进入数据恢复的主菜单。选择“删除恢复”可以恢复已经被删除的文件。选择要恢复文件所在的分区。如果仅恢复删除了的一两个文件,可以选择默认情况下的快速扫描,但如果要恢复删除了包含子目录和文件的整个目录,就必须选择完全扫描。单击“下一步”,系统将对选择的目录进行扫描。扫描结束后,屏幕上显示所有可能恢复的文件信息。因此可以像使用“资源管理器”一样,选择想要恢复的文件进行恢复,单击“下一步”即可。
注意:由于EasyRecovery在恢复数据时并不重写硬盘,而只是在内存中镜像文件的FAT表和目录表,所有恢复文件都是存放在内存里,这就需要选择恢复文件存放的位置,然后把在内存中的恢复文件写到硬盘上。
4.3 手工恢复数据
(1) 恢复删除到回收站的文件数据。凡是在Windows系统里删除的文件,都会先存放在“回收站”里,通过打开“回收站”就可以选择要还原的文件。误将一个系统文件删除了,导致计算机运行不正常。如果文件被删到回收站,可以通过回收站的还原功能来恢复:打开“回收站”,并选中被删文件;然后单击“回收站任务”栏中的“还原此项目”即可。如果回收站中找不到被删的文件,也可以通过“系统还原”来恢复,操作如下:鼠标依次单击“开始→程序→附件→系统工具→系统还原”,打开“系统还原”向导;在向导界面中选择“恢复我的计算机到一个较早的时间”复选框,单击“下一步”继续;在“日历”中选择系统还原点,此还原点应该选择文件删除之前的日期,单击“下一步”继续;确认还原点,单击“下一步”,系统重启后即可。
(2) 用自动恢复功能还原死机前的文件。计算机突然死机后,你只需要重新启动,并打开Word文件,就会发现有个“恢复文件”。如果Word文件突然不动,也无法进行保存,不要紧张,对死机的电脑,你可以同时按下健盘上的“Ctr1+A1t+Delete”三键,按一下“没有响应”这一项,再按一下“结束任务”,就可以关闭这个死机的画面。重新启动后,再一次执行Word程序,你会发现复原后的文件。
(3) 由于突然断电,编辑的Word文档没有及时保存。若使用Word 2003,当你遭遇突然断电后,再次启动系统并打开Word后,系统会自动弹出一个列表,从中找到那个没有保存的文件并打开,再将其重新保存即可。以后,在编辑重要的Word文档时,请设置自动保存功能,让系统每隔多少时间保存一次,这样风险会变小很多。具体设置是单击“工具”菜单,选择“选项”子项,在弹出选项对话框中选择“保存”选项卡,并在其中选中“自动保存时间间隔”复选框,时间设置3~5 min为宜。
4.4 U盘数据恢复与介质修复
在使用U盘时,由于没有采用正确的插拔操作,导致U盘上一些重要文件丢失,甚至U盘无法格式化。U盘上的数据丢失可以尝试用“Final Data”这个软件,它是一款可以按扇区读取并进行数据恢复的软件。下载、安装后运行软件,单击“文件”菜单中的“打开”命令;在“选择驱动器”对话框中选择优盘盘符后单击“确定”按钮开始扫描;待扫描结束后,在“丢失的目录”或“丢失的文件”内选中所有需要恢复的文件;单击“文件”菜单下的“恢复”命令,弹出“选择目录保存”对话框,确定保存路径后单击“保存”按钮就可以了。
有些时候,由于不当操作或者中毒引起,原文件系统完全被破坏,表现为无法打开、无法格式化等信息,这种情况可以尝试使用“量产工具”把U盘恢复到出厂时的状态。首先用ChipGenius这个软件测试一下你的U盘是什么型号的芯片,然后再到网上去下载一个与之对应的“量产工具”对其进行量产重塑或者低格,以达到出厂时的设置,如果想要挽回里面数据的话,建议下载EasyRecovery软件先恢复U盘里面的数据,然后再使用“量产工具”。
4.5 光盘数据恢复
为了确保数据的安全性,一些用户将一些重要的文件都刻录到光盘中。但不知道光盘是否受到磨损,还是刻录质量的原因,使用时遇到光盘数据不能读取的现象,有什么办法可以恢复这些不能读取的文件呢?遇到这种情况确实很无奈,不过可以尝试用BadCopy来修复,BadCopy软件可以在不需要人工干预的情况下帮您读出CD-ROM或磁盘上的坏文件。不仅可以恢复损坏的文件,还可以恢复丢失的文件。软件运行后,在“恢复来源”中选择“CD-ROM”,进入恢复向导;在向导第一步对话框中单击“恢复模式”下拉框,针对您的现象可以选择“挽救已损坏文件”项,单击“下一步”继续;进入待修复文件的文件夹,选中需要修复的文件,单击“下一步”开始修复;文件修复后,单击“浏览”按钮,选择修复后文件的保存路径;最后单击“下一步”即可。
4.6 由于误操作,将某个盘进行了格式化,如何恢复存储在该盘的文件
格式化后的分区也可以通过软件来实现数据恢复。可以尝试使用Recover My Files软件,安装后运行,单击快捷工具栏中的“打开磁盘驱动器”按钮,选择需要恢复的磁盘分区,扫描结束后,选择需要恢复的文件,单击快捷工具栏中的“保存”按钮,选择保存文件的驱动器。
4.7 不小心打开了某个病毒邮件,导致系统中部分文件的损坏,如何恢复损坏的数据
首先经过杀毒软件的扫瞄,确认是哪一种病毒,如果杀毒软件不能处理的话,多数是网络病毒,根据病毒名称可以到网上下载相应的专杀工具。下载后运行该专杀工具,单击“浏览”按钮选择需要恢复的文件;单击“修复”按钮,弹出“另存为”对话框,选择文件修复后的保存路径;最后单击“保存”即可。
4.8 用GHOST镜像恢复系统时,磁盘分区丢失,如何恢复原有的分区
通常系统维护中经常使用一键GHOST恢复系统,本打算将GHOST镜像安装到C盘去,由于误操作选了“Disk→From Image”,恢复完成后,重新启动计算机,整个硬盘只有一个C盘分区,其他盘都没有了。遇到这种情况,不要担心,GHOST镜像系统一般小于原来C盘的容量,也就是说,它只写入原C盘的位置,并没有写入到其他盘的位置上,只要恢复被破坏的分区表,就可以解决问题。具体解决方法如下:首先,重新启动系统进入GHOST,单击“Local”→“Disk”→“From Image”→“OK”,在出现的Destination Drive Details界面中,按“Tab”键将光标移动到“New Size”下面的数字栏中,输入数字将上面的容量调整为原先的C盘容量(如果不记得C盘原来的分区大小,可以自行设置为比Ghost镜像文件稍大一点的数值,比如设多8 GB至10 GB左右),然后单击“OK”,将Ghost镜像恢复到硬盘。其次,恢复完成后,重新启动计算机进入系统。最后,到网上下载免费软件DiskGenius.exe,安装后启动Disk Genius,单击“硬盘”菜单→“搜索已丢失分区(重建分区表)”→打开“搜索丢失分区”对话框,单击“开始搜索”按钮,稍等一会儿,Disk Genius就会扫描到丢失的扩展分区,并发现扩展分区中的各盘符,只要按照上面的提示进行操作,重新启动计算机后即可恢复正常。
5 避免文件丢失应采取的措施[7]
(1) 安装杀毒软件以及防火墙,养成及时升级杀毒软件、病毒库更新、定期全盘扫描,以防止病毒侵入、及时维护好计算机以防计算机死机、避免误操作等人为因素造成文件丢失。
(2) 磁盘格式最好使用NTFS格式,由于NTFS格式增加了一个索引文件信息的主文件表,而且在存储数据时,系统将在存储工作完成后,将存储的结果与源数据进行比较,以确认操作的正确性。因此,使用NTFS格式的硬盘数据更安全,这样当发生数据丢失问题时恢复的程度比较高。
(3) 一般情况下, 要删除文件最好不要用“Shift+Delete”键删除文件,这样在误删除后还可从回收站轻松恢复,其次就是在清理回收站时应认真确认要清理的文件。另外,保存文件时最好不要把文件保存在桌面和系统盘里,这样可避免在以后丢失数据后,恢复数据带来的麻烦。
(4) 在编辑Word文件时,应定时建立Word文件备份。最好的方式就是养成“经常保存”的好习惯,不过在好习惯养成之前,也可以用Word的内建设置,自动帮你存一份备份文件,以免去时常重打文件的麻烦。这里的保险做法,让Word每隔一段时间自动备份正在编辑的文件,万一不幸死机,这个备份的文件会出现在同一个文件夹内,仅需要将它打开并用它覆盖掉原来的文件,就可以得到与死机前相同的文件了。
(5) 恢复数据是要通过读取簇内容来实现的,所以一个没有硬盘碎片的硬盘恢复起来会容易很多。因此,在日常操作中经常整理硬盘不只是可以提高硬盘效率的工作,还是一种可以提高数据恢复几率的好习惯。
6 结 语
如何避免数据丢失。任何数据恢复解决方案都不能保证所有数据能100%的恢复。而要真正做到数据的万无一失,最重要的工作还在于防患于未然。日常工作中就要有危机意识,除了采用上述避免数据丢失的措施外,还要养成良好的工作习惯,坚决不使用来历不明的文件,一旦遇到数据丢失问题时,不要紧张,分析问题的原因,找到解决问题的方法,相信你一定会取得好的结果。
参考文献
[1]郭靖.数字家庭网络用户预测[J].产业观察,2006(7):103-105.
[2]文光斌.数据恢复技术的发展前景、技术层次及常用方法[J].网络安全技术与应用,2005(13):5-7.
[3]刘三满.计算机数据恢复技术分析[J].山西电子技术,2007(1):95-97.
[4]黄飞.电脑硬件常见故障处理速查手册[M].北京:国防工业出版社,2005.
[5]王大伟,王常亮.浅谈数据恢复技术[J].网络财富,2009(6):13-15.
[6]张瑞琴.启动光盘原理及常用启动光盘制作技术[J].河北企业,2010(1):16-18.
[7]任兴洲.常见数据丢失问题的分析及应对措施[J].兰台世界,2005(6):32-35.
[8]单学红.计算机组装与维护[M].北京:清华大学出版社,2009.
作者简介: 张耀民 男,1976年出生,陕西西安人,工程硕士,工程师。主要研究方向为数据库和软件工程。