详细说明数据恢复的原理

说到数据恢复，我们不得不提到硬盘的数据结构，文件存储的原理，甚至是操作系统的启动过程. 这些是恢复硬盘数据时必须使用的基本知识. 即使您不需要恢复数据，了解这一知识（即使您只知道一点点）对于您通常的计算机操作和应用程序也很有帮助.

首先，硬盘的文件系统结构

当我们第一次购买硬盘驱动器时，我们无法使用它. 您需要对其进行分区和格式化，然后安装操作系统以使用它. 以迄今为止我们一直使用的Win9x / Me系列为例，我们通常将硬盘分为五个部分: 主引导扇区，操作系统引导扇区，FAT表，DIR目录区域和数据数据区域. 我们通常所说的主引导扇区MBR在硬盘中是唯一的. MBR区域的内容仅在硬盘启动时读取，然后驻留在内存中. 其他几项随硬盘驱动器上的分区数而变化.

2. 主引导扇区（MBR）

主引导扇区位于整个硬盘的0磁道0柱面1扇区中，包括硬盘主引导记录MBR（主引导记录）和分区表DPT（磁盘分区表）. 主引导记录的作用是检查分区表是否正确，并确定哪个分区是可引导分区，并在程序末尾传输该分区的启动程序（即操作系统引导扇区）. 进入内存以执行.

三，分区表（DPT）

在主引导区中，从地址BE到FD末尾的64个字节就是所谓的分区表. 分区表以80H或00H开头，以55AAH结束. 每个分区占用16个字节. 硬盘只能分为四个主分区，扩展分区也是主分区. 随着硬盘容量的快速扩展，引入的扩展分区可以将硬盘分区的数量扩展为“ Z”，而不受四个主分区的限制.

值得一提的是，MBR是由分区程序（例如DOS的Fdisk.exe）生成的. 对于该扇区的内容，不同的操作系统可能具有不同的代码，但是仅实现了一个功能. 活动分区将获取控制区域并正常启动系统.

（在磁盘D和磁盘E的前面有一个粉红色的扇区，这是所谓的扩展分区表所在的位置，下面的62个扇区是空闲的，共享一个隐式磁道. ）

主分区是一个相对简单的分区，通常位于硬盘的最前端区域，形成逻辑C盘. 在主分区中，不允许创建其他逻辑磁盘. 您还可以使用分区软件在分区末尾或磁盘中间创建主分区.

扩展分区的概念更为复杂，它也是分区与逻辑磁盘之间混淆的主要原因. 由于硬盘仅为分区表保留64个字节的存储空间，并且每个分区的参数占用16个字节，因此在主引导扇区中总共可以存储4个分区. 操作系统仅允许将数据存储在4个分区中. 如果逻辑磁盘是分区，则系统最多只允许4个逻辑磁盘. 对于特定的应用程序，通常无法满足4个逻辑磁盘的实际需求. 为了构建更多的逻辑磁盘供操作系统使用，系统引入了扩展分区的概念.

所谓的扩展分区，严格来说，它不是实际意义上的分区，它只是指向下一个分区的指针，并且该指针结构将形成一个单链表. 这样，除了主引导扇区中的主分区外，仅需要存储一个称为扩展分区数据的分区，并且可以通过以下方式找到下一个分区（实际上是下一个逻辑磁盘）的起始位置: 该扩展分区的数据，可以类似地从此起始位置找到所有分区. 无论系统中创建了多少个逻辑磁盘，都可以通过主引导扇区中的扩展分区参数一一找到每个逻辑磁盘.

请务必注意，由于主分区之后的分区是通过单链接列表结构链接的，因此，如果单链接列表有问题，将导致逻辑​​磁盘丢失. 这就是为什么当硬盘被CIH病毒损坏时，我们可以通过KV3000的F10功能找到丢失的D，E和后来的逻辑分区.

三，操作系统启动扇区（OBR）

OBR（操作系统启动记录）是操作系统的启动扇区，通常位于硬盘的0磁道，1个柱面和1个扇区中（这适用于DOS，以及以多重启动方式启动的系统模式，它位于相应的位置. 主分区/扩展分区的第一个扇区）是操作系统可以直接访问的第一个扇区. 它还包括该分区的引导程序和参数记录表，称为BPB（BIOS参数块）. 实际上，每个逻辑分区都有一个OBR，其参数取决于分区的大小和操作系统的类型.

引导程序的主要任务是在当前根目录中找到系统文件IO.SYS，MSDOS.SYS和WINBOOT.SYS. 如果存在，则将IO.SYS文件读入内存并将控制权转移给它. 文件. 在WIN98系统中，如果没有MSDOS.sys文件，则系统可以正常启动，但不能进入桌面. 如果没有COMMAND.COM文件，它可以正常启动到桌面，但不能进入DOS字符模式.

BPB参数块: 记录开始扇区，结束扇区，文件存储格式，硬盘介质描述符，根目录大小，FAT编号，分配单位（Allocation Unit，以前也称为簇）和其他重要参数. OBR由高级格式化程序（例如DOS）生成.

四个. 文件分配表（FAT）

FAT（文件分配表）是文件分配表，它是DOS / Win9x系统的文件寻址系统. 为了防止意外损坏，通常将FAT设为两个（或可以设置为一个），第二个FAT是第一个FAT的备份，FAT区域紧接在OBR之后（对于FAT32格式，位置为第32个从引导扇区开始，扇区是第一个FAT表的位置），其大小由分区的空间大小和文件分配单元的大小确定.

随着硬盘容量的飞速发展，Microsoft的DOS和Windows已陆续采用熟悉的FAT12，FAT16和FAT32格式. 但是，Windows NT，OS / 2，UNIX / Linux，Novell等具有自己的文件管理方法，这些方法与FAT文件格式不同.

FAT12使用12BIT指示群集的位置，最大容量为32M，FAT16使用两个16BIT字节指示群集的位置，最大分区容量为2G，而FAT32使用4字节指示群集的位置的集群. 分区的最大容量为65G.

5. 目录区（DIR）

DIR是Directory（根目录区域）的缩写. 在FAT12和FAT16格式中，DIR在第二个FAT表之后. 在FAT32格式中，根目录区域的位置可以在分区中的任何位置. 起始位置由引导扇区给出. 仅FAT表无法确定文件在磁盘上的特定位置. 只有FAT表和DIR区域可以一起使用，才能准确定位文件的确切位置.

DIR记录每个文件（目录）的文件名和扩展名，是否支持长文件，起始单位（这是最重要的），文件属性，大小，创建日期，修改日期等. 操作系统读写文件时，可以根据DIR和FAT表中的起始单元知道磁盘上文件的特定位置，然后依次读取每个群集的内容.

六. 数据区（DATA）

DIR区域之后是实际数据存储区域，即DATA区域.

尽管DATA占据了大部分硬盘空间，但没有前面的部分，但对于我们来说，它仅仅是一些无聊的二进制代码，没有任何意义.

注意: 我们通常所说的格式化程序（指的是高级格式化，例如DOS下的Format程序）不会清除DATA区域中的数据，而只会重写FAT表，除非您使用“ Format X : / U”命令，为每个扇区强行写入“ F6”.

对于硬盘分区，仅MBR和OBR被修改. DATA区域中的大多数数据尚未更改. 这就是为什么可以修复许多硬盘数据的原因. 但是即使这样，如果MBR，OBR，FAT，DIR之一损坏，我们的数据也无法正常读取.

我需要提醒大家，如果您经常整理磁盘，则数据区域中的数据可能是连续的，因此即使MBR / FAT / DIR都坏了，我们也可以使用磁盘编辑软件（例如DOS DiskEdit， DDD，KV3000，EasyRevoery等），只要找到文件的初始保存位置，就可以恢复该文件.

本教程来自: 计算机网络安全性

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/dianqi/article-297810-1.html