圖書信息
書名:安全技術大係數據恢復技術(經典重現版)
出版社:電子工業出版社
出版時間:2014年7月
開本: 16開
宣傳語:數據恢復與電子證據調查必備基礎。最好的“恢復”永遠是備份、備份、再備份!
內容簡介
數據恢復技術是一門新興技術,它通過各種手段把丟失和遭到破壞的數據還原為正常數據。《數據恢復技術(經典重現版)》通過多種典型實例詳細介紹了Windows系統下數據恢復技術的原理和方法,內容包括硬碟數據組織、檔案系統原理、數據恢復技術、文檔修復技術、密碼遺失處理技術、數據安全技術和數據備份技術。
《
數據恢復技術(經典重現版)》作者戴士劍是知名數據恢復專家,有多年的數據恢復工作經驗。《數據恢復技術(經典重現版)》是作者工作經驗和技術理論的總結,適合IT系統客戶服務人員、技術支持工程師、技術培訓人員、數據恢復技術工程師、信息安全工作人員、系統管理人員、安全保密部門人員、計算機取證人員、作業系統開發人員、存儲技術相關人員、學生,以及任何對相關技術和工作感興趣的讀者,作為學習材料、參考資料或培訓教材使用。
編輯推薦
本書作者戴士劍是知名數據恢復專家,有多年的數據恢復工作經驗。本書是作者工作經驗和技術理論的總結,通過多種典型實例詳細介紹了Windows系統下數據恢復技術的原理和方法。
內容提要
數據恢復技術是一門新興技術,它通過各種手段把丟失和遭到破壞的數據還原為正常數據。《數據恢復技術(經典重現版)》通過多種典型實例詳細介紹了Windows系統下數據恢復技術的原理和方法,內容包括硬碟數據組織、檔案系統原理、數據恢復技術、文檔修復技術、密碼遺失處理技術、數據安全技術和數據備份技術。
《數據恢復技術(經典重現版)》作者戴士劍是知名數據恢復專家,有多年的數據恢復工作經驗。《數據恢復技術(經典重現版)》是作者工作經驗和技術理論的總結,適合IT系統客戶服務人員、技術支持工程師、技術培訓人員、數據恢復技術工程師、信息安全工作人員、系統管理人員、安全保密部門人員、計算機取證人員、作業系統開發人員、存儲技術相關人員、學生,以及任何對相關技術和工作感興趣的讀者,作為學習材料、參考資料或培訓教材使用。
目錄
第1篇 檔案系統原理
第1章 綜述 2
1.1 數據存儲技術總論 2
1.1.1 數據存儲介質 2
1.1.2 存儲技術展望 10
1.2 數據恢復技術總論 11
1.2.1 數據的內涵 11
1.2.2 數據恢復的定義 11
1.2.3 數據恢復的服務範圍 12
1.2.4 數據恢復的一般原則 15
1.3 硬碟數據恢復與硬碟修理的區別與聯繫 16
1.4 硬碟數據保護方式介紹 17
1.4.1 作業系統提供的系統還原功能 17
1.4.2 隨機贈送的系統恢復光碟 17
1.4.3 Ghost 18
1.4.4 防毒軟體提供的系統備份功能 18
1.4.5 硬碟保護卡 18
1.4.6 主機板BIOS內置的系統保護軟體 19
1.4.7 虛擬還原工具軟體 19
1.4.8 硬碟保護與數據恢復 19
1.5 硬碟缺陷 20
1.5.1 硬碟缺陷介紹 20
1.5.2 出廠處理 22
1.5.3 硬碟高級修理 22
第2章 硬碟基礎知識 26
2.1 硬碟結構 26
2.1.1 硬碟外部結構 26
2.1.2 硬碟內部結構 29
2.2 硬碟邏輯結構 35
2.2.1 碟片 35
2.2.2 磁軌 35
2.2.3 柱面 35
2.2.4 扇區 36
2.2.5 容量 39
2.2.6 數制與碼制 39
2.3 硬碟發展簡史 42
2.3.1 ST-506接口 43
2.3.2 ESDI接口 44
2.3.3 IDE與EIDE接口 45
2.3.4 Serial ATA接口 46
2.3.5 硬碟新技術 51
2.3.6 數據保護技術 54
2.4 硬碟接口介紹 57
2.4.1 IDE 57
2.4.2 SCSI 58
2.4.3 Fibre Channel 59
2.4.4 IEEE1394 59
2.4.5 Serial ATA 60
2.4.6 USB 61
2.5 硬碟的技術指標及參數 63
2.5.1 容量 63
2.5.2 平均尋道時間 64
2.5.3 平均潛伏期 64
2.5.4 道至道時間 65
2.5.5 旋轉速度 65
2.5.6 全程訪問時間 65
2.5.7 平均訪問時間 65
2.5.8 最大內部數據傳輸速率 65
2.5.9 外部數據傳輸速率 66
2.5.10 數據快取 66
2.5.11 硬碟表面溫度 67
2.5.12 MTBF 67
2.5.13 傳輸模式 67
2.5.14 再談ATA/133 69
2.6 硬碟數據組織 70
2.6.1 低級格式化 70
2.6.2 分區 72
2.6.3 硬碟的高級格式化 81
2.6.4 硬碟數據存儲區域 84
第3章 Windows 95/98/Me檔案系統 113
3.1 硬碟區域的組織 113
3.1.1 系統如何利用FDT和FAT查找檔案 113
3.1.2 各個區域的相互關係 115
3.2 根目錄下檔案的管理 121
3.2.1 FAT16根目錄下檔案的管理 121
3.2.2 FAT32根目錄下檔案的管理 124
3.2.3 Windows 95長檔案名稱的實現及存在的問題 127
3.3 子目錄的管理 130
3.3.1 FAT16子目錄管理 130
3.3.2 FAT32子目錄管理 137
3.4 檔案的刪除 137
3.4.1 FAT16下檔案的刪除 137
3.4.2 FAT32下檔案的刪除 142
3.5 子目錄的刪除 145
3.5.1 FAT16下子目錄的刪除 145
3.5.2 FAT32下子目錄的刪除 145
3.6 分區快速高級格式化 149
3.6.1 FAT16分區的快速高級格式化 149
3.6.2 FAT32分區的快速高級格式化 151
3.7 分區完全高級格式化 151
3.7.1 FAT16分區的完全高級格式化 151
3.7.2 FAT32分區的完全高級格式化 152
第4章 Windows NT/2000/XP/2003檔案系統 153
4.1 RAID簡介 153
4.1.1 RAID的優點 154
4.1.2 RAID的分級 155
4.1.3 RAID的套用 159
4.2 NTFS檔案系統基礎 161
4.2.1 基本分區 162
4.2.2 動態分區 162
4.2.3 驅動程式 164
4.2.4 多重分區管理 167
4.2.5 卷名字空間 170
4.2.6 NTFS的特點 172
4.3 NTFS檔案系統的層次模型 174
4.3.1 本地FSD 176
4.3.2 遠程FSD 177
4.3.3 FSD與檔案系統操作 177
4.4 NTFS檔案系統的特性分析 178
4.4.1 多數據流 179
4.4.2 完全支持Unicode 181
4.4.3 綜合索引 181
4.4.4 日誌記錄 183
4.4.5 磁碟限額 183
4.4.6 分散式連結跟蹤 184
4.4.7 加密 185
4.4.8 集中化的安全信息 187
4.4.9 重解析點 188
4.4.10 稀疏檔案 190
4.4.11 卷變更跟蹤 191
4.5 Windows NT 4.0的磁碟分區 192
4.5.1 基本分區 192
4.5.2 擴展分區 193
4.5.3 卷集 193
4.5.4 條帶集和帶奇偶校驗的條帶集 194
4.6 Windows 2000/XP/2003的磁碟分區 194
4.6.1 基本磁碟 195
4.6.2 動態磁碟 204
4.6.3 卷的創建 208
4.6.4 動態磁碟簡單卷的組織 209
4.7 NTFS檔案系統結構分析 216
4.7.1 NTFS的DBR 217
4.7.2 NTFS的元檔案 218
4.7.3 NTFS的元檔案與DBR參數的關係 224
4.7.4 NTFS的檔案和資料夾 227
4.7.5 常駐屬性與非常駐屬性 229
4.7.6 $MFT檔案分析 232
4.7.7 NTFS的其他元檔案分析 252
4.7.8 NTFS的屬性分析 265
4.7.9 NTFS的索引記錄與目錄 281
4.7.10 可恢復損壞檔案的實現 293
4.7.11 數據壓縮 301
4.7.12 NTFS壞簇恢復支持 303
4.7.13 NTFS安全性支持 305
4.8 LDM管理 306
4.8.1 微軟磁碟管理簡史 308
4.8.2 檔案系統和容器 309
4.8.3 LDM磁碟結構 311
4.9 NTFS的性能 321
第2篇 數據恢復技術詳解
第5章 數據恢復 326
5.1 數據恢復的定義 326
5.2 數據恢復的原理 326
5.3 主引導記錄的恢復 326
5.3.1 使用Fdisk恢復主引導記錄 327
5.3.2 使用Fixmbr恢復主引導記錄 327
5.3.3 使用其他工具恢復主引導記錄 328
5.4 分區的恢復 328
5.4.1 使用工具軟體自動重建分區表 328
5.4.2 手工重建分區表 335
5.5 0磁軌損壞的修復 359
5.5.1 使用PM修復損壞的0磁軌 359
5.5.2 使用DiskEdit修復損壞的0磁軌 360
5.5.3 使用SmartFdisk修復損壞的0磁軌 361
5.5.4 使用PCTOOLS修復損壞的0磁軌 361
5.5.5 使用DiskMan修復損壞的0磁軌 362
5.6 硬碟邏輯鎖的處理 362
5.6.1 使用DM破解硬碟邏輯鎖 362
5.6.2 使用Ghost破解硬碟邏輯鎖 363
5.6.3 使用熱插拔破解硬碟邏輯鎖 363
5.6.4 使用依格磁碟救星破解硬碟邏輯鎖 363
5.7 磁碟壞道的處理 364
5.7.1 硬碟有壞道的表現 364
5.7.2 硬碟壞道的修復 365
5.7.3 如何使用才能減少壞道 369
5.7.4 硬碟測試工具簡介 371
5.8 DBR的恢復 375
5.8.1 使用Format恢復DBR 378
5.8.2 使用DiskEdit恢復DBR 378
5.8.3 使用WinHex恢復DBR 385
5.9 FAT的恢復 385
5.9.1 使用DiskEdit恢復FAT 386
5.9.2 使用WinHex恢復FAT 386
5.10 數據的恢復 387
5.10.1 Windows 95/98/Me下數據檔案的恢復 387
5.10.2 Windows NT/2000/XP/2003下數據檔案的恢復 409
5.11 RAID的恢復 435
5.11.1 磁碟鏡像 436
5.11.2 數據重組 438
5.11.3 數據恢復 442
第6章 文檔修復 443
6.1 文檔修復的定義 443
6.2 Windows常見文檔類型 444
6.2.1 Windows 9x下的文檔關聯 446
6.2.2 Windows NT/2000/XP/2003下的文檔關聯 448
6.3 辦公文檔修復 449
6.3.1 Word文檔修復 449
6.3.2 PowerPoint文檔修復 455
6.3.3 Access和Excel文檔修復 455
6.3.4 Exchange文檔修復 455
6.4 影音文檔修復 456
6.4.1 DivX文檔修復 456
6.4.2 RM檔案修復 457
6.4.3 WMV/ASF文檔修復 457
6.5 壓縮文檔修復 458
6.5.1 ZIP文檔修復 458
6.5.2 RAR文檔修復 462
6.6 文檔修復的局限 463
第7章 密碼遺失的處理 464
7.1 密碼遺失的範圍 464
7.2 密碼遺失的處理 464
7.2.1 Word文檔密碼遺失的處理 464
7.2.2 Excel文檔密碼遺失的處理 472
7.2.3 ACE文檔密碼遺失的處理 479
7.2.4 ZIP文檔密碼遺失的處理 480
7.2.5 RAR文檔密碼遺失的處理 484
7.2.6 PDF文檔密碼遺失的處理 485
第8章 數據安全與數據備份 487
8.1 文檔保護 487
8.1.1 使用相應的應用程式對文檔加密 487
8.1.2 使用Windows 2000的EFS進行文檔加密 488
8.1.3 使用第三方工具軟體進行文檔加密 489
8.1.4 使用第三方工具軟體進行文檔保護 494
8.1.5 使用第三方工具軟體讓文檔“改頭換面” 496
8.2 數據刪除安全 497
8.2.1 使用WipeInfo擦除檔案 498
8.2.2 使用Clean Disk Security徹底刪除檔案 498
8.2.3 使用WinHex徹底刪除檔案或填充區域 499
8.2.4 使用Absolute Security擦除數據檔案 500
8.2.5 低級格式化徹底破壞數據 501
8.2.6 數據刪除安全的注意事項 501
8.3 數據備份的定義 501
8.4 數據備份方案比較 502
8.5 系統數據的備份方法 503
8.5.1 使用Ghost全盤備份 503
8.5.2 使用系統還原功能 504
8.5.3 使用系統還原卡 504
8.5.4 使用主機板BIOS內置工具進行硬碟備份 504
8.5.5 防毒軟體的備份功能 505
8.5.6 作業系統的備份功能 506
8.6 用戶數據的備份方法 508
8.6.1 指定個人檔案存放位置 508
8.6.2 同步備份工具Second Copy 2000的使用 510
8.6.3 File Genie 2000的使用 519
8.6.4 同步精靈的使用 520
8.6.5 SmartSync Pro的使用 522
8.6.6 “公文包”的使用 526
8.7 數據備份注意事項 527
第9章 軟碟、光碟和數碼設備 529
9.1 軟碟 529
9.1.1 軟碟數據結構 529
9.1.2 軟碟數據恢復 530
9.1.3 軟碟數據恢復常見問題 536
9.1.4 特殊軟碟 538
9.2 光碟 546
9.2.1 CD-ROM 546
9.2.2 CD-R/RW 547
9.2.3 防欠載技術 548
9.2.4 DVD-ROM 549
9.2.5 CD光碟的主要格式 552
9.2.6 CD光碟規格分析 554
9.2.7 CD光碟的檔案系統 558
9.2.8 數據刻錄方式 560
9.2.9 光碟數據恢復技術 561
9.2.10 特殊光碟簡介 568
9.3 數碼存儲設備及其數據恢復 569
9.3.1 數碼存儲設備 570
9.3.2 數碼存儲設備的數據恢復 573
第3篇 數據恢復典型實例
第10章 數據恢復實例 582
10.1 MBR修復實例 582
10.1.1 病毒破壞MBR無法啟動的處理 582
10.1.2 系統損壞無法啟動的處理 582
10.1.3 Linux錯誤安裝導致系統無法啟動的處理 583
10.2 分區恢復實例 583
10.2.1 硬碟分區實例分析 584
10.2.2 分區丟失的恢復操作 606
10.2.3 分區轉換失敗的恢復操作 614
10.3 DBR恢復實例 617
10.4 FAT恢復實例 617
10.4.1 遭受CIH攻擊硬碟的恢復 617
10.4.2 FAT及DBR損壞的恢復 619
10.5 DATA恢復實例 632
10.5.1 誤刪除的恢復 632
10.5.2 誤格式化的恢復 638
10.5.3 光碟病毒破壞伺服器後的檔案恢復 641
10.5.4 Novell伺服器斷電後的資料庫檔案恢復 642
10.6 其他情況的處理 642
10.6.1 0磁軌損壞的修復 642
10.6.2 磁碟壞道的處理 642
10.6.3 硬碟邏輯鎖的解鎖 643
附錄A 軟體資源速查表 647
附錄B 硬碟缺陷綜述 657
參考文獻 674
作者簡介
戴士劍,湖北南漳人,合肥炮兵學院作戰指揮專業碩士研究生。公開出版的著作主要有《數據恢復技術》第1版、繁體版、第2版(原信息產業部數據恢復培訓專用教材),以及《數據恢復與硬碟修理》、《電子證據調查指南》等;參與編寫的圖書主要有《企業管理建模數據流程圖集》、《數據安全與編程技術》、《物證技術學(第3版)》、《計算機取證與司法鑑定》、《電子數據司法鑑定實務》等。現就職於最高人民檢察院司法鑑定中心,從事電子證據方面的相關工作。
前言
《數據恢復技術》第1版出版於2003年5月,第2版出版於2005年3月,至今已經過去11年和9年,最後一次重印是2008年6月,兩版的總銷量達4萬餘冊,為社會培養了一大批從事數據恢復、智慧型儀器設備消費品開發、計算機法庭科學等方面的優秀人才。雖然經過這么多年,等級保護、災難備份等套用已深入人心,但從來就沒有萬無一失的系統,包括數據恢復技術本身,也無法解決所有問題,它雖然可以作為“後悔藥”來使用,但卻不是每次都有效,因此它只是一種補救措施——最好的“恢復”,永遠是備份、備份、再備份。
但是,數據恢復技術自有其不可替代的套用領域,除了情報獲取、失泄密調查、數據銷毀、數據挽救等傳統套用外,作為重要的證據調查技術,它更是具有基礎性的地位。順應資訊時代的實際需求,我國《刑事訴訟法》和《民事訴訟法》均做了修訂,“電子數據”作為證據已經被人們所認識和接納。
我們無時無刻不處於電磁環境的籠罩之下,信息世界與物理世界一起,共同構成我們所處的真實世界,信息世界本身就是真實世界的一個重要組成部分,在工作過程中會自動記錄各種各樣的信息,這些信息有著豐富多彩的表現形式,存在於形形色色的網路和設備中,如監控網、通信網、遊戲網、即時聊天系統、IC卡、網際網路、廣播電視網、有線電視電話網、雷達網、全球定位系統、證券交易系統、期貨交易系統、各類管理及辦公系統等。而隨著三網融合與物聯網的發展,這些信息網路在我們的日常生活中將發揮著越來越重要的作用,人們在這些網路中的活動都必然留下相應的“痕跡”,這些痕跡,通常不僅表結果,還表過程,其信息量巨大,最容易實現過程重建。因此,我們在勘驗犯罪現場時,除了傳統模式的勘驗物理世界痕跡外,還必須勘驗相應的信息世界,從信息世界得到物理世界所得不到的內容,共同重建犯罪現場與犯罪過程。
國內外都有許多利用這種電子數據痕跡破案的經典案例,並且通過這些網路,可以獲取大量的背景信息,包括個人社會文化知識背景、興趣愛好、生活消費習慣、朋友圈等。電子數據在司法實踐中起著越來越重要的作用,如利用信息對嫌疑人進行畫像,對其性格特徵、作案手法、心理活動進行分析,對犯罪過程進行重建等。
從以上套用也可以看出,信息系統在實際案件辦理過程中,往往既不是純粹的線索,也不是純粹的證據,我個人給它的定位是“沉默的‘現場知情人’”,它自己不會訴說,需要通過相應的技術手段將它們展現出來,這正是計算機法庭科學的研究領域。
計算機法庭科學研究信息技術在司法活動中的套用,包括線索發現、證據調查(《電子證據調查指南》將由中國檢察出版社出版)、證據分析與鑑定、法庭示證等方面的問題,而證據分析與鑑定直接與數據管理相關。例如,通常的以單機為對象的電子證據的鑑定範圍主要包括如下部分。
(一)電子證據數據內容一致性的認定。
(二)對各類存儲介質或設備存儲數據內容的認定。
(三)對各類存儲介質或設備已刪除數據內容的認定。
(四)加密檔案數據內容的認定。
(五)電腦程式功能或系統狀況的認定。
(六)電子證據的真偽及形成過程的認定。
(七)根據訴訟需要進行的關於電子證據的其他認定。
顯然,磁碟數據分析在這個鑑定過程中占據著重要的地位,而磁碟分析,正是建立在作業系統、檔案系統、文檔格式、計算機編程、加解密等技術基礎之上。本書的主要內容,就是檔案系統原理,最早設定的書名就是《檔案系統原理與數據恢復技術》,後因書名太長而進行了取捨。
本書停止重印後,經常遇到好學之人需要參考該書而無處可得,原計畫後續出版《文檔格式與碎片處理技術》,卻因我工作變動,從軍隊研究機構,到大學(只做了兩三個月老師,為中國人民大學信息學院設定了“計算機取證”方向的研究生,目前仍在招生),再到最高人民檢察院,專門從事電子證據調查與分析工作。結合當前司法改革實際,和電子工業出版社聊到該書的重印問題,沒想到與郭立女士一拍即合,也討論了多個方案,最後還是決定重印,原因是多方面的,最主要的原因是給這本書的定位:經典重現——數據恢復與電子證據調查必備基礎。其他內容,如GPT、exFAT、Ext2、Ext3、UFS等,在學好本書的基礎上,都不是什麼難題。畢竟現在與我當年分析這些系統時的環境不一樣了,有太多的信息渠道可以提高分析效率,但如果不能將資料庫碎片恢復技術、文檔碎片重組技術寫進來就出版第3版,我自己都是無法接受的。
這本書非常適合自學,讀者在學習時,只要多進行對照分析,就一定能掌握其索引規則,從而達到舉一反三的效果。
廢話不再說,以下內容是直接保留下來的。
本書特點
本書飽含我多年心血之精華,是我在多年數據恢復工作經驗的基礎上,進一步完善技術資料,總結恢復經驗寫成的,主要有以下特點。
由淺入深,精簡有序。是什麼原因讓讀者覺得數據恢復技術神秘而深不可測?是什麼擋住了讀者的探索之路?本書基於多年的數據恢復工作經驗和對數據恢復技術的深刻理解,用最貼近讀者需求的方式闡述了數據恢復技術需要了解和掌握的關鍵內容。
結構合理,脈絡清晰。本書首先對檔案系統原理進行剖析,然後在此基礎上剖析數據恢復技術並通過實例精講數據恢復操作,使沒有任何數據恢復基礎的讀者都能迅速掌握檔案系統原理和數據恢復技術。不同技術基礎的讀者,可以選擇從不同的章節切入,以最快的速度掌握所需的技術。
操作性強,容易掌握。由於數據恢復技術是一門理論和實踐結合很強的技術,掌握起來有一定難度,單純從理論上介紹會使人感到乏味,因此,本書結合實例對原理和操作技術進行介紹,使之可操作性強,且易於掌握。
主要內容
本書共分為3篇。第1篇是檔案系統原理篇(包括第1章~第4章),詳細講解了硬碟數據組織管理和檔案系統原理等基礎知識;第2篇是數據恢復技術篇(包括第5章~第9章),是本書的中心內容,詳細介紹了當前典型的數據恢復技術、壞磁軌處理技術、文檔修復技術、密碼遺失處理技術、數據安全與備份技術,以及光碟、軟碟、數碼存儲設備的數據恢復技術,基本涵蓋了數據恢復技術的各個方面;第3篇為數據恢復典型實例篇(包括第10章),通過實例對各種典型數據丟失情況的處理操作進行了介紹,特別是其中的操作注意事項和心得體會,是多年的經驗總結。
讀者對象
本書適合IT系統客戶服務人員、技術支持工程師、技術培訓人員、數據恢復技術工程師、信息安全工作人員、系統管理人員、安全保密部門人員、電子證據調查分析人員、作業系統開發人員、存儲技術相關人員、學生及任何對此感興趣的朋友作為參考資料或培訓教材使用。
感謝
本書由戴士劍、塗彥暉統籌,由羅松、趙強、李祥芬、郭久武、李毅、賈永軍、楊婕、張宇、楊霖、陳永紅、戴士禮、柳紅梅、代仕林、陳向東、段秀英、劉秀明、陳福壽、劉金玲分工負責完成各章節的編寫工作,由張喜平博士審校定稿。
在本書的寫作過程中,得到了我的親人和朋友的大力支持和幫助,特別是得到了數據恢復網所有網友的支持和鼓勵,在此表示最真摯的謝意,並祝福所有的親人和朋友一生平安。
結束語
硬碟有價,數據無價。願所有的朋友都能從數據丟失和損壞的“噩夢”中走出來,從此不再有數據丟失、損壞的煩惱!
電子證據調查,不怕不承認,不怕刪除和破壞,只怕壓根兒不使用!
戴士劍
2014年3月