数据恢复基础介绍

admin 2022年9月25日19:27:14安全闲碎评论7 views2471字阅读8分14秒阅读模式

​前

无论你是刚开始接触数据恢复,还是想更深入地了解这个概念,本文章将带你了解它的基本原理,帮助你评估各种数据丢失情况下的成功机率。


尽管存储设备的可靠性不断提高,但数据信息的丢失仍然相当普遍。丢失文件的常见原因包括人为错误、软件故障(如计算机病毒)、停电以及硬件故障。幸运的是,存储在设备上的数据几乎很多都是可以恢复的。下面的文章解释了什么是数据恢复,介绍了最常见的数据丢失问题以及解决这些问题的方法。


什么是数据恢复?


数据恢复可以被定义为一个获得位于存储设备上的信息的过程,这些信息由于以前的删除或对数字媒介的某些损坏而无法通过标准的手段进行访问。数据恢复的方法有很多,前提是数据已经保存到了存储介质上。例如,数据恢复并不包括文件从未被写入持久性存储的情况,如你正在编辑一个文件,但由于突然断电,还没来得及保存到磁盘上的情况。



另外,无门无法针对被覆盖的数据进行恢复,比如分区被格式化以后,又被拷贝进来大量新数据的情况。


一般来说,数据恢复技术分为两种类型:基于软件的和涉及在实验室环境中修复或更换受损硬件组件的。基于软件的方法在大多数情况下被采用,包括使用专门的工具,扫描到元数据,然后读出所需的数据,并以可用的形式提供给用户,以便进一步复制。


在最严重的情况下,例如,当磁盘的一些机械或电气部件,如磁头、电机等不再正常工作时,由数据恢复专家进行物理维修:开盘更换磁头、电机等 - 在这种情况下,所有的措施都是为了一次性提取关键内容,即数据恢复,不要再继续使用该磁盘。


最典型的数据丢失案例


总的来说,数据恢复的整体成功在很大程度上取决于选择正确的数据恢复方法和出现数据丢失后的及时恢复。这就是为什么了解特定损失实例的性质并知道在每个特定情况下可以做什么是非常重要的。相反,错误的行动会导致磁盘的二次破坏。


数据丢失的最常见原因包括


意外删除文件或文件夹 在删除文件时,每个文件系统的处理方式都不同。例如,在Windows中,FAT文件系统将文件目录条目标记为 "未使用",并销毁有关文件分配的信息(除了文件的开头);在NTFS中,只有文件条目被标记为 "未使用",记录被从目录中删除,磁盘空间也被标记为 "未使用";


大多数Linux/Unix文件系统销毁文件描述符(有关文件位置、文件类型、文件大小等信息),并将磁盘空间标记为 "可使用"。我们删除文件的主要目的是释放无用文件所使用的存储空间来存储新的文件。由于性能的原因,存储空间不会立即被清除,这使得实际的文件内容仍然留在磁盘上,直到这个存储空间被重新用于保存一个新文件。


磁盘或分区格式化


磁盘或分区格式化可能因误操作而开始,例如,由于指定了一个错误的磁盘分区或由于错误地处理了一个存储(例如,NAS设备通常在试图重新配置RAID后格式化内部存储)。


格式化的过程在存储上创建了空的文件系统结构,并覆盖了之前的文件系统信息。如果格式化后的新分区和以前的文件系统的类型一致,它通过用新的文件系统结构覆盖来破坏现有的文件系统结构;如果文件系统的类型不同,文件系统结构被写入不同的位置,可能会抹去用户的内容。


文件系统的逻辑损坏 现代文件系统对内部错误有很高的保护水平,然而,它们对硬件或软件的故障往往仍然束手无策。即使是一小块错误的内容写到存储的错误位置,也会导致文件系统结构的破坏,破坏文件系统对象链接,使文件系统不可读。有时,这个问题可能由于停电或硬件故障而发生。


丢失有关分区的信息 这种故障可能是由于 "fdisk "操作失败或用户的错误造成的,这通常会导致分区的位置和大小信息的丢失。


存储故障 如果你怀疑存储设备有任何物理问题(例如,设备无法启动、发出不寻常的声音、过热、面临读取问题等),不建议你自己进行任何数据恢复尝试。你应该把存储设备送到数据恢复的专业机构。


如果一个RAID系统发生了故障(RAID 1或RAID 5中一个驱动器的故障,RAID 6中最多两个驱动器的故障,等等),在没有丢失的驱动器的情况下也可以进行恢复,因为RAID的冗余性允许重新创建一个故障组件的内容。


数据恢复软件是如何工作的?


残留在完好的磁盘上的信息通常可以在没有专业帮助的情况下通过数据恢复软件进行恢复。然而,重要的是要记住,被覆盖后的信息是无法恢复的。出于这个原因,在最后一个文件被抢救出来之前,不应该把任何东西写到磁盘中。


大多数数据恢复工具都是利用元数据分析的算法和基于文件已知内容的特征码恢复方法或这两种方法的结合来操作的。元数据是包含在文件系统中的隐藏服务信息。对于它的分析使软件能够找到存储上的主要结构,这些结构记录了文件内容的位置、它们的属性和目录层次结构。


之后,这些信息被处理并用于恢复受损的文件系统。这种方法比依据文件的特征码恢复更受欢迎,因为它可以得到具有原始名称、文件夹、日期和时间戳的文件。如果元数据没有被严重破坏,就有可能重建整个文件夹结构,这取决于文件系统为删除的 "无效 "项目而采用的机制的具体情况。


然而,当元数据的关键部分丢失时,这种分析就无法成功进行。这就是为什么在数据完全恢复之前,避免使用文件系统修复工具或对磁盘进行写入操作是极其重要的。


作为一项规则,当元数据分析的帮助下没有达到预期的结果时,就按已知的文件特征码搜索文件。在这种情况下,"已知内容 "并不意味着文件的全部原始内容,只是指特定格式的文件的典型模式,可能表明文件的开始或结束。这些模式被称为 "文件签名",可用于确定存储器上的一块数据是否属于一个公认类型的文件。


用这种方法恢复的文件会根据找到的签名获得一个扩展名,并被分配到新的文件夹,通常是为不同类型的文件创建的。这种方法的主要局限性是,一些文件可能缺乏可识别的签名,或者只有一个表示文件开始的签名,因此很难预测它在哪里结束,特别是当它的各个部分没有连续的存储在磁盘上的情况时。


为了以最大的效率找回丢失的文件,数据恢复软件可以在存储上发起的一次扫描中同时使用上述两种技术。其他细节主要取决于数字媒介的类型,我们将在数据恢复解决方案部分重点叙述。


原文始发于微信公众号(网络安全与取证研究):数据恢复基础介绍

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月25日19:27:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  数据恢复基础介绍 http://cn-sec.com/archives/1313684.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: