NTF格式的数据恢复研究

摘　要：数据恢复就是把异常数据还原为正常数据的过程。数据可分为系统数据和用户数据。本文主要是针对NTFS格式下的用户数据的恢复。

关键词：NTFS；数据；恢复

文件系统基础
1.1WindowsXP安装和启动
　　在一台计算机上安装WindowsXP时，先在系统的主物理盘上创建一个分区。WindowsXP在其上定义系统卷，用于存储引导过程中用到的文件。另外，WindowsXP的安装过程也需要创建一个分区做引导卷，WindowsXP在引导卷上安装系统文件和创建系统目录(Windows）。系统卷和引导卷是同一卷可以不必为引导卷创建一个新分区。
　　WindowsXP必须遵守一个要求，主盘的第一个扇区中必须包含主引导记录（MBR）。CPU开始引导时计算机的BIOS读取MBR中的内容，以确定各个逻辑驱动器及其起始参数，然后调入活动分区的DBR（DOS引导记录），将控制权交给DBR，由DBR来引导系统。系统文件调入后，计算机系统就完全外于操作系统的控制之下。

1.2RAID的知识
　　RAID是由美国加州大学伯克分校的son教授在1988年提出的。RAID（Redundent Array of Indendent Disks）直译为"独立冗余磁盘阵列"，简称为"磁盘阵列"。RAID把两个以上物理硬盘进行协作，逻辑上作为一个磁盘驱动器来使用，能提供数据冗余容错协同工作能力，以此来全面提升磁盘子系统的性能。
　　（1）RAID0级，无冗余无校验的磁盘阵列，使用了"数据串行"机制，它将数据对应存储在一堆不同硬盘所组成的大硬盘中，因此单一文件中的不同串行可平行处理。数据传输速率为阵列中最低速硬盘的数据传输速率与该阵列硬盘数之乘积。适用于高速存取而对数据安全要求不高的场合。
　　（2）RAID1级，是一种镜像硬盘阵列，将一块硬盘的内容完全复制到另一块上。适用于数据安全性高，能快速恢复被破坏数据的场合。
　　（3） RAID0+1级，这是一种Dual Level RAID，即两组按一定分割区域连贯成不同的两块大容量阵列硬盘，互为"镜像"。就像是RAID0和RAID1组合。适用于有大量数据存取，并对数据安全性要求十分严格的领域。如银行、金融等。
　　RAID的优点：成本低，功耗小，传输速率高。可以提供容错功能。
　　个人使用磁盘RAID主要是用RAID0、RAID1或RAID0+1阵列。

1.3坏磁道的处理技术
　　数据恢复前提是磁道是好的，如果出现坏磁道要分清。硬盘坏道分为逻辑坏道和物理坏道。修复逻辑坏道可以在DOS提示符下键入"Scandisk C："，有坏道程序会提示是否Fixit（修复），许多因系统区出现逻辑坏道而无法正常启动Windows的问题都可解决。修复物理坏道用PartitionMagic中Operations菜单下的"check"命令来测试，有坏簇选择"Advanced/bad Sector Retest"。把坏簇分成一个或几个区后，再通过Hide Partition菜单项把含有坏道的分区隐藏。

阵列下NTFS格式的数据恢复原理
　　只要数据区未被覆盖，都是可以恢复的。恢复数据也从硬盘的5个区域入手，首先恢复MBR，然后恢复分区，DBR，FAT，最后恢复数据文件。由于恢复MBR建立在0磁道正常的基础上，而分区时，系统需要检测磁道，所以先介绍0磁道的恢复，下面就按照这个顺序进行介绍。
　　2.1 0磁道的恢复
　　在纯DOS模式下运行DiskGenius，在"硬盘"菜单中选择物理硬盘，再在"分区→更改分区参数"，在弹出的修改分区对话框中，将起始柱面的值由"0"改为"1"。修改后要重新格式化硬盘。

　　
　　2.2MBR的恢复
　　恢复主引导记录最简单的方法是使用Fdisk。只是要注意将要操作的硬盘作为主硬盘挂接在主IDE接口上，对于其他连接方式，需使用"Fdisk/CMBR"形式指定IDE设备的接口位置。
　　2.3分区的恢复
　　可用DiskGenius(硬盘分区软件)， DiskGenius "工具"菜单栏中"搜索已丢失分区(重建分区表)"，将首先搜索0柱0磁头从2扇区开始的隐含扇区，寻找被病毒挪动过的分区表。然后搜索每个磁头的第一个扇区。
　　2.4DBR的恢复
　　位于柱面0，磁头1，扇区1，即逻辑扇区0。DBR分为两部分：DOS引导程序和BPB（BIOS参数块）。其中DOS引导程序完成DOS系统文件（，）的定位与装载，而BPB用来描述本DOS分区的磁盘信息，BPB位于DBR偏移0BH处，共13字节。 它包含逻辑格式化时使用的参数，可供DOS计算磁盘上的文件分配表，目录区和数据区的起始地址，BPB之后三个字提供物理格式化（低格）时采用的一些参数。引导程序或设备驱动程序根据这些信息将磁盘逻辑地址（DOS扇区号）转换成物理地址（绝对扇区号）。

　　使用WinHex恢复，WinHex模板下NTFS分区的BPB参数显示如图。
　　
                                 图3  NTFS分区的DBR参数
　　2.5FAT（文件分配表）的恢复
　　在恢复DBR之后，采用FAT2覆盖FAT1。还可用WinHex恢复。
　　2.6数据的恢复
    用EasyRecovery恢复。在计算机上安装好EasyRecovery，注意不要安装在所要恢复数据的磁盘上，以防将所要恢复的数据覆盖。安装好后运行，在其主界面有磁盘诊断、数据恢复、文件修复、邮件修复等列表。进入数据恢复选项，在数据恢复中有高级恢复、删除恢复、格式化恢复、原始恢复、继续恢复和紧急引导盘等选项。可以进行相关的恢复。
　　当然，数据恢复工具远远不止这些，这里介绍的几个工具都是大众经常用到的。随着技术的发展，有更新更好的数据恢复工具不断出现。

参考文献：

向科峰. 基于NTFS格式的数据恢复关键技术研究. 四川绵阳：长春理工大学学报，2011。

作者简介：沈维（1970-），女，江苏苏州人，苏州市职业大学实验师，工程硕士，研究方向：数据恢复