系统与数据恢复技术-复习总结
概述
修复前提
当备份有效且及时的时候
当数据只是从操作系统的角度是一种逻辑丢失
数据被取代 – 不可逆
数据被变化 – 可逆(文件删除)
病毒破坏:一般采取隐藏、加密、搬移等方式
标准信息(如BOOT区)数据可以被重新植入
破坏程度:一般只有低格和扇区覆盖操作才能彻底破坏数据
修复方式
替换/重写IC,专用设备扫描片面,产生新的硬盘缺陷列表.
反向磁化
修改硬盘缺陷列表
数据脆弱性
电子数据可访问、修改、删除
数据可泄露、可复制、可传输
编程语言与工具可以直接访问磁盘
可以直接存取数据库
电子数据可以伪造
数据是动态的、可变的、易丢失的
数据存储



容灾与备份


备份:
- 完全备份(0级-初始时所有数据的备份)
- 差异备份-完全备份开始的变化的数据
- 增量备份-与上一次备份的差异

数据恢复-内容






磁盘
磁盘结构


接口





磁盘算法
影响因素

节约寻道时间
就近读取
FCFS - 先到先服务
SSTF - 最短寻道时间优先
SCAN - 回旋扫描(循环)
C-SCAN - 单向扫描(单一方向扫描)
LOOK/C-LOOK - 与SCAN/CSCAN类似,但不需要扫描到边缘
性能参数







系统启动



文件系统
概述



组成




分配策略
- 第一可用 - 从文件系统起始开始寻找 - 文件碎片化/被删除数据快速覆盖
- 下一刻用 - 直接向下搜寻 - 有利于数据恢复
- 最佳分配 - 尽量找到足够大的空间 - 减少碎片/若文件过大容易片段化
更新策略


磁盘阵列
RAID 0
实现需要至少两块磁盘,没有差错控制、数据分布于不同磁盘上,数据吞吐能力强。设磁盘数为n,则读些速度均提高为单个磁盘的n倍。
RAID 1
采用镜象结构,用n个磁盘形成n份完整备份,安全性高,读写速度相对单个磁盘没有优化,在某个磁盘故障后可从其他磁盘恢复,同时应当及时更新损坏的磁盘。
RAID 2, 3
RAID 2使用汉明码校验,具有检错、纠错能力;
RAID 3使用奇偶校验码,具有检错能力但不可纠错。
RAID 4, 5
RAID 4和RAID 5使用相同的简单擦除代码,但具有不同的条带布局。在这里,纠删码是一种MDS码,其中\(m = 1\),\(w = 1\),唯一的编码位被标记为p,它是所有数据位的异或:
当任何位被擦除时,它可能被解码为幸存的位异或。
RAID 4构成方式如下所示,每个磁盘身份固定,有一个磁盘p专用于编码。

RAID 5构成方式如下所示,磁盘的身份在各个条带中轮转,每个磁盘都保存有数据和编码,系统更加平衡。

RAID 6
添加一个磁盘(Q)到RAID-4/5系统中,该系统使用6个磁盘进行存储。使用一个(6,2)MDS码。以\(w=8\)为例,通过以下算法进行计算:
其中,由于伽罗瓦域中加法相当于异或操作,因此P盘的纠错码相当于RAID-4/5,同时由于:
所以Q盘仅可以使用加法和乘法进行计算。
分区
格式化


分区与卷

DOS分区







APPLE分区


BSD分区

移动设备分区

FAT


关键问题









文件目录表FDT



年份:从1980开始的年数,可以到2108年;月:2^4 即16个月;天:2^5 即32天;时:25,即32小时,分:26即64分;秒的2倍:2^5=32即64秒




数据恢复分析




数据隐藏






NTFS
功能












结构




主要属性










10H








30H
90H索引









数据恢复



NTFS整理
ntfs





数据恢复