清风细语 - 2006-1-15 21:49:00
数据恢复作为一个数据再现的过程一定要解决两个问题第一是从哪里恢复第二是怎么恢复解决了这两个问题我们事实上就把握了数据恢复的这里就是探讨从哪里恢复的问题
1有效而及时的备份是数据恢复最可靠的来源在许多人倡导备份到秒的今天恐怕不会有人怀疑这点而有些备份机制则是系统内建的比如两份FAT表
2数据的实际有效性的判定是关键对我们来说硬盘无法自举文件找不到文件打不开等现象其实并不与数据丢失划等号因为此时往往只是逻辑丢失和物理意义上它仍然存在或部分存在最明显的就是文件删除的例子事实上这只是把文件首字节改为OE5而已文件体依然存在
3数据损坏过程的可逆性分析对数据的改变无非两种取代和变换前者是不可逆的后者则是可逆的我们以杀毒为例对于大多文件性病毒来说那些引起以附加而非代换方式感染的文件型病毒理想的杀毒过程就是感染的逆过程这种分析也适用于重要信息被隐藏搬移或者被加密的情况但分析将比较复杂
4数据本身是否是标准信息有些信息实际是通用或局部通用的你无须考虑如何从本机抢救只要有相同或相近的系统版本就可以了比如BOOT区隐含扇区Windows的DLL文件等等典型的例子如分区表的代码区这是一段标准代码事实上它就放在你的FDISK程序里面你可以用DEBUG把他提取出来
5数据本身是否可以由其它信息统计再生有些信息尽管丢失了也没有备份但它实际可以从其他数据中间接求得最典型的就是主分区表中的分区信息即使你把它清零也不必害怕因为你可以从你几个分区中计算再生
6破坏的完成程度事实上FDISKFORMAT都不会彻底破坏数据一般只有低格和扇区覆盖操作才会长度破坏数据但有时破坏过程或者误操作过程会因人终止死机等原因不能完成最明显的就是CIH病毒的例子由于CIH是以1024字节为单位覆盖扇区这当然是不可逆过程于是我们最初都认为破坏是很难恢复的除非人工终止事实上当病毒覆盖某些扇区时会与Win9x系统发生冲突从而造成死机使数据得到了保护
© 2000 - 2024 Rising Corp. Ltd.