【摘要】 本文以信息系统安全为宗旨,以硬盘数据恢复为主线,周详介绍了硬盘分区表、I/O参数块BPB、FAT 表、长文档名等概念,深入浅出,用一个大容量、多分区硬盘遭病毒袭击后通过重新填写分区表成功恢复全部数据的实际例子,验证了文中所介绍的概念和方法的可应用性。
【关键词】信息安全 电脑 硬盘 数据恢复 分区表 FAT表 I/O表 BPB 长文档名
在信息技术作为一个产业蓬勃发展,并为各行各业服务的今天,网络和电脑的信息安全问题已越来越引人注目地提到日程上来。如所周知,由于电脑病毒连同类似的恶意攻击程式通过数据存储媒介(软盘、数据光盘、优盘等)、互连网电子邮件连同很领域内的技术手段等途径的肆虐,硬盘数据丢失已成为令企业、学校信息管理人员甚至个人电脑的拥有者头痛的事情。这里所说的硬盘数据丢失,并不是指若干年前由于硬盘存取技术的局限造成盘片磁介质表面的物理损伤(坏道、坏扇区)引起的个别文档丢失,而是由于主引导扇区中的分区表、基本分区I/O表、逻辑分区的引导扇区被改写或清零,造成系统不能启动,用DOS启动软盘引导后发现有些驱动器的盘符丢失,甚至全部丢失,根本看不到任何盘符的情况。
 |
对于此类硬盘数据丢失的恢复,需要对硬盘的数据结构有较为清楚的了解。本文旨在通过对一例40GB硬盘的数据恢复过程的解读,伴读者走进这个似为神秘的领域,使对硬盘数据结构有一定了解的读者能试着自己动手恢复大量丢失了的硬盘数据。
了解一下硬盘数据丢失的原因,会对查找故障点及解决问题的思路有所帮助。对一块找上门来求助恢复数据的硬盘,假如硬盘的主人对原来的分区情况无法提供有用信息(这在多数情况下是正常的),在什么情况下丢失的也不清楚,则修复起来就会困难一些;假如知道先前有几个分区连同每个分区的大小,甚至能了解数据是在遭受了何种病毒袭击后丢失的,那么针对该病毒特征所做的数据恢复工作就会顺利一些。
造成硬盘数据丢失的原因有以下几种:
- 目标为主引导扇区的电脑病毒袭击(如CIH、POLY BOOT等);
- 恶意攻击程式的破坏;--从实质上讲,恶意攻击程式和电脑病毒没有大的区别,只但是前者的作用范围和具体目标有限,比起后者来,名不见经传而已,但其破坏作用不可小视。
- 使用测试级的硬盘分区工具软件对硬盘做了分区操作;
- 虽然使用了主流分区软件,但在分区或修改分区过程中有误操作;
- 其他(如硬盘对拷时,旧版本拷盘软件对新型大容量硬盘的几何构成参数识别不正确,导致拷贝完成后大容量硬盘的分区表有误)。
一.主引导扇区
主引导扇区即主引导记录mbr(Master Boot Record),是硬盘的第一个物理扇区(0柱面,0磁头,1扇区),也就是硬盘的"0"扇区。在他的512个字节中,包括三部分:
- 主引导程式代码,占446字节
- 硬盘分区表HDPT,占用64字节
- 主引导扇区结束标志AA55H
 |
硬盘分区表分为四小部分,每一小部分表示一个分区的信息,占16字节。这64字节的硬盘分区表又称为主引导扇区上的第二关键代码。在这里我们能够看出,硬盘的总分区数为什么不能大于4。此外,其中可激活分区数不得大于3,扩展分区数不得大于1,当前活动分区数必须等于1。图2为硬盘分区表的结构示意图。从偏移1BEH开始到偏移1FEH结束的64个字节是硬盘分区表。
分区表的每一部分长16字节。第0个字节是自举标志,其值为80H时,表示该分区是当前活动分区,可引导;其值为00H时,表示该分区不可引导。
第4字节是分区类型。假如分区不是NetWare服务器或Linux分区,则两个16进制数各表示不同的含义。左边的16进制数(即8个二进制位中的高4位)只取两个值:0H或1H,为0H时表示此分区为非隐藏分区,为1H时则表示是隐藏分区。右边的16进制数(即8个二进制位中的低4位)表示分区的文档系统格式、类别(是操作系统所在的基本分区还是扩展分区)等信息:取6H则表示是FAT16格式,且大于32MB;取5H表示是DOS扩展分区;取7H表示是NTFS文档格式;取BH表示是FAT32文档格式;取CH表示是FAT32X文档格式;取EH表示是FAT16X文档格式;取FH表示是ExtendedX扩展分区。
每一分区的第1至第3字节是该分区起始地址。其中第1字节为起始磁头号(面号);第2字节的低6位为起始扇区号,高2位则为起始柱面号的高2位;第3字节为起始柱面号的低8位。因此,分区的起始柱面号是用10位二进制数表示的,最大值为210 = 1024,因逻辑柱面号从0开始计,故柱面号的显示最大值为1023。同理,用6位二进制数表示的扇区号不会超过2
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
