职场文秘网

首页 > 条据书信 > 表扬信 / 正文

论文:误删文件恢复的可行性原理

2020-07-27 20:13:49

误删文件恢复的可行性原理 储云杰,胡云婷 (武汉生物工程学院 制药系,湖北 武汉 ) (武汉信息传播职业技术学院 新闻系,湖北 武汉) 摘要:在计算机的使用过程中,用户难免对文件的错误操作或杀毒软件对用户文件的误删,硬盘被错误的格式化,或者错误的分区,从而导致用户的文件丢失,可能也许并非彻底的丢失,从原理上对经过此类操作后文件恢复的可行性进行了分析。

关键词:误删除,硬盘格式化,硬盘分区,文件恢复 本文从原理上分析磁盘对文件进行的各种操作, 然后在此基础上讨论丢失文件恢复的可行性. 1.磁盘对文件进行存储、删除等操作的原理。

硬盘是由若干个盘片组成, 这些盘片被一根轴固定, 每个盘片有两个读写面. 读写面又由许多同心圆组成, 这些同心圆被称为磁道. 其中0 磁道是最重要的, 因为系统的主引导程序和硬盘分区表都保存在0 磁道上. 磁道可以被划分为若干个段, 这些段被称为扇区, 但在使用过程中并不是以扇区为单位给文件分配存储空间, 因为如果逐个扇区的保存文件效率很低, 而在使用过程中, 这些扇区又被划分为簇, 操作系统是以簇为基本单位为文件分配存储空间的. Window s 在保存文件的时候会将文件划分为文件头和文件内容两个部分保存, 其中文件头包括文件名、文件大小、属性等内容. 在存放中, 文件头和文件内容是分开的. 文件头存放在文件目录表( FDT, 也叫根目录区) 的文件目录项中, 而文件内容则存放在数据区中, 这些数据区是由若干个簇组成的, 需要多少个簇取决于文件的大小. 所以在保存一个文件的时候操作系统的操作分为两个步骤: 第一步, 先在文件目录表中找到一个空目录项, 在其中写入文件的文件名、文件大小、创建时间、文件类型和下一簇号地址等信息; 第二步, 根据文件的大小, 分配若干个空闲的簇来保存文件内容, 每分配一个簇都要去文件分配表( FAT ) 中登记一次. 需要注意的是这些簇并非一定是连续的, 而可能是分散的存储在硬盘的各个簇中, 然后通过指针链接在一起. 第一个簇的地址保存在文件目录项中, 实现了从文件头到文件内容的链接, 而整个文件所有簇之间的链接关系被保存在文件分配表( FAT) 中. 这样整个文件就被链接在一起. 在这里, 文件的数据区中仅保存文件的数据内容, 而保存文件内容的各个簇之间的关系则完全是由FAT 和FDT 来解释, 所以一旦FAT 和FDT遭到破坏, 数据区中的数据则无法得到解释, 文件也就不能被正确读取. 由文件的保存方式看出, 在读取文件时, 先要从这个文件的文件名调用FDT 中的文件目录项, 从而读取到文件的第一个簇的地址, 然后再结合FAT 中记录的文件中各个簇之间的链接关系来读取整个文件内容. 而文件的删除并非人们所想象的在执行了删除操作后操作系统会直接把保存在硬盘数据区中数据内容都清除掉, 根据文件的保存原理可知, 文件的各个数据之间的关系是由FAT 和FDT 来解释的, 那么只要修改FAT 和FDT 中的内容, 操作系统对文件的解释就会被破坏, 文件读取操作也就无法完成, 给用户一种文件已经被删除的-“假象”. 操作系统也正是利用这一原理来实现文件删除的. 事实上, 操作系统在删除一个文件的时候只是在该文件的文件目录项上做了一个删除标记, 把文件在FAT 表中所占用的簇标记为空簇, 仅是重新做了标记, 而文件的数据内容仍旧保留在数据区中, 即文件的删除操作仅是改变了文件的FAT 和FDT 表 而已. 然而就是因为FAT 和FDT 的这一变化, 就改变了对原文件的解释, 原文件的数据之间的关系也就无法再从原来的FAT 和FDT 表中得到, 自然通过文件名就找不到进行了删除操作的文件.. 2 对磁盘及其文件进行各种操作后文件恢复的可行性. 根据上文所述的一些原理, 在磁盘数据区中的数据内容还没有被覆盖的条件下, 可以对磁盘进行低级扫描, 从而找到原文件的一些残留信息, 然后进行删除操作的逆向操作, 修改文件头, 重建FAT 和FDT 中的文件映射关系, 那么数据区中的这些无法解释的支离破碎的文件内容又被链接在了一起, 从而实现了文件的恢复操作. 当然这种文件的恢复操作有前提的, 必须要保证在对原文件进行删除操作后, 原文件在磁盘上的数据内容没有被覆盖掉. 那么怎样才能保证这些数据内容没有被覆盖掉? 我们只能做一些预防措施, 比如在做了删除或误删除操作后不要再对磁盘进行写操作, 起码不要再在原文件所在的磁盘分区上进行写操作, 要在第一时间对数据进行恢复, 这样才能使恢复操作成功的几率更大一些. 当然如果在进行了删除操作后对磁盘进行了写操作, 也并不一定不能找回原有的文件, 因为文件系统在给新文件分配空间的时候总是先找那些确确实实没有数据的簇来分配, 只有当这些真正空闲的簇用完时, 操作系统才会把那些已有数据但是被标记为空闲的簇分配给新文件. 但硬盘的这一物理操作对用户是透明的, 用户无法保证磁盘分区中到底还有没有真正空闲的簇, 所以在进行了删除操作后最好不要再进行写入操作, 以免数据完全丢失. 格式化和分区操作后丢失的文件也有可能得到恢复. 首先, 硬盘格式化有两种类型, 即低级格式化和高级格式化. 对这两种格式化操作进行文件恢复的可能性是有差异的. 低级格式化是对硬盘最彻底的初始化方式, 经过低级格式化后的硬盘, 原来保存的数据将全部丢失, 这是真正意义上的丢失, 所以一般来说低级格式化是不可取的. 它一般只出现在种情况下, 一种是硬盘出厂前由工程师操纵的, 另一种是当硬盘出现坏道时, 可以通过低级格式化来偏转扇区, 从而起到恢复硬盘使用性的作用. 低级格式化是物理级别上的操作. 高级格式化, 一般的讲系统并不是把数据区中的所有数据都清除, 而只是把相应的FAT 表进行重写. 所以这时候的文件内容还是有希望恢复的. 但是有些高级格式化后若加了某些参数, 比如format / u,那么系统在对分区进行格式化时将强制对每一扇区写入-F6. , 这样数据就完全被破坏掉, 在这种情况下文件就难以恢复. 对于硬盘分区操作, 系统也只是修改了硬盘主引导记录( MBR) 和操作系统引导扇区( DBR) , 数据区中绝大部分的数据并没有被修改. 此时文件不能被读取的原因是MBR 和DBR 的改变导致了文件路径被破坏. 但是因为数据区中的数据仍然存在, 所以还是存在文件恢复的可能性. 以上分析只是从理论上说明文件恢复是有可能成功的, 但是并不能保证成功, 为了增加成功的可能性, 必须要在数据丢失后第一时间进行恢复操作, 即是文件丢失后切忌对磁盘进行写操作, 以免数据区中的数据被新文件的数据覆盖. 再者, 防止文件丢失重在预防, 不管多么好的恢复方法或软件都不可能是万能的, 所以最可靠的作法就是对重要文件进行 备份, 最好是异地备份, 以提高数据安全性. 参考文献;

[1]Soott Mueller.PC 硬件工程师手册[M].北京:机械工业出版社,2002. [2]罗强.硬盘数据抢修实例分析[M].北京:北京科海电子出版社,2002. [3]戴士剑,陈永红。数据恢复技术[M].北京:电子工业出版社,2003.

Tags:

搜索
网站分类
标签列表