反黑行动之数据恢复幻灯片.pdf

反黑行动之数据恢复 数据恢复一直以来都是我们关注的问题，因为你的电脑数据每天都在受着诸如病毒、恶意代码、黑客、误操作等的威胁！那么如何才能恢复 你的数据呢？希望本文能对你有所帮助！ 一、理论篇 要深入学习数据恢复，并非是一件容易的事，要想成为一个数据恢复专家，没有深厚的理论知识是不可能的，你必须了十分了解磁盘的逻辑 结构，就让我们来看看需要学习的理论知识吧。 当我们对文件进行访问时，你有没有想过，操作系统是如何对文件进行操作的呢？这些文件又是如何存放在磁盘当中的呢？先来看看硬盘的 总体结构，在介绍硬盘总体结构之前有必要介绍一下硬盘的参数，硬盘是以磁头（Heads ），柱面(Cylinders)，扇区(Sectors)进行访问的。其 中: 磁头数(Heads)表示硬盘总共有几个磁头,也就是有几面盘片, 最大为 255 (用 8 个二进制位存储); 柱面数(Cylinders) 表示硬盘每一面盘 片上有几条磁道,最大为 1023 (用 10 个二进制位存储); 扇区数(Sectors) 表示每一条磁道上有几个扇区, 最大为 63(用 6 个二进制位存储). 每个扇区一般是 512 个字节,学习过汇编语言的朋友可能想到了，BIOS 中断13H 的入口参数中，CH 是磁道号其值为0H~FEH （最多255 个 磁道），CL 中低6 位为扇区号，其值为1H~3FH （最多63 个扇区），DH 为磁头号的低位，CL 中的高2 位为磁头号的高位，也就是说，磁 头号最多由10 位二进制数表示，（1111111111）2= （1023）10，也就是说最多可以表示的磁头数为1024 个。请大家记住这些在我们以后的 学习中还会用到的，由此可以看出基于这种访问方式我们最大能访问的磁盘容量为： 255 * 1023 * 63 * 512 字节=8414461440/1048576=8024.66M 只有大约8G 的空间，这是因为早期磁盘还很小，想想当年你拥有一块200M 硬盘时的喜悦心情吧！就好象当年的科学家们以为 1K 内存已经 很大了一样，让电脑用户很长一段时间都为配置DOS 下的内存而烦恼。而今，你肯定拥有一块大于8G 的硬盘了，你能够用她，应该多亏了 一种较新的硬盘访问技术——扩展 Int13H 技术。采用线性寻址方式存取硬盘, 所以突破了 8 G 的限制, 而且还加入了对可拆卸介质（如活 动硬盘）的支持，因为是谈数据恢复不是谈编程，关于扩展INT13H 技术我在此就不详述了。 硬盘数据（基于FAT 结构）总体结构如下： 1、主引导扇区（Master boot sector ） （占用一个扇区） 2 、第一个分区的引导扇区（Boot sector ）（占用一个扇区） 3、第一个分区的FAT1 （占用空间由磁盘大小和FAT 类型来定） 4 、第一个分区的FAT2 （占用空间由磁盘大小和FAT 类型来定） 5、第一个分区的根目录区 6、第一个分区数据区 （用来存放各种文件的数据） 7、扩展分区表 （占用一个扇区） 8、第二个分区的引导扇区（Boot sector ）（占用一个扇区） 9、第二个分区的FAT1 （占用空间由磁盘大小和FAT 类型来定） 10、第二个分区的FAT2 （占用空间由磁盘大小和FAT 类型来定） 11、第二个分区的根目录区 12、第二个分区数据区 （用来存放各种文件的数据） 13、扩展分区表 . . . 注意：当你的硬盘没有扩展分区的时候，你就没有扩展分区表了；当你只有一个硬盘分区的时候你的硬盘结构到6 就完了。 (一)主引导扇区（Master boot sector ）的结构: 它是硬盘的第一个扇区, 由主引导程序（MasterBoot Record 简称MBR ），硬盘分区表（Disk Partition Table 简称DPT ）和结束标识三部分 组成。其结构如下： 1、偏移0H~1BDH 主引导程序（占446 个字节，但实际可能并没有到这么多的字节） 2 、偏移1BEH~1FDH 硬盘分区表（占64 个字节，每个分区项占 16 个字节，最多可容纳4 个分区项） 3、偏移1FEH~1FFH 结束标识 （占2 个字节，结束标志，总为55H AAH ） 主引导程序我在此就不分析了，需要注意的是在主引导程序中有一些出错信息，一些