返回
数据恢复技术基础--第六讲

数据恢复技术基础--第六讲

ID:22792841

大小:58.66 KB

页数:7页

时间:2018-10-31

数据恢复技术基础--第六讲_第1页
数据恢复技术基础--第六讲_第2页
数据恢复技术基础--第六讲_第3页
数据恢复技术基础--第六讲_第4页
数据恢复技术基础--第六讲_第5页
资源描述:

《数据恢复技术基础--第六讲》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、〔据恢复技术基础四川师范大学计算机科学学院郭果第六讲DOS分区体系及MBR分析这一讲的内容.•1、概述2、DOS分区体系3、MBR分析一主分区4、EBR(虚拟MBR)分析••扩展分区一、概述5、DOS分区体系下的数据恢复根据前面的介绍,我们知道,要想使用硬盘来存储数据,首先要将硬盘进行分区(常规情况下,低级格式化可以不用做!),规划出合理的逻辑区域,然后,对各个区域进行高级格式化来建立相应的文件系统,以后,操作系统才能够在这些分区上进行数据的存储与管理了。在有正确分区的计算机中,计算机系统的启动程序通过记录在分区表(或叫磁盘

2、标签)中的分区信息对各个分区进行识别与管理。如果这些信息被损坏,就会表现为分区不可见,数据丢失等等问题。由于可能要安装不同的操作系统来管理硬盘,管理数据,这就是环境的差异,因此,就有了各种不同的分区体系,如DOS分区体系、Apple分区体系、DSB分区体系、SunSolaris分区体系、GPT分区体系以及移动介质分区系统等等。这些分区体系就是我们应该深入学习的,是数据恢复技术的基本内容。后面我们重点学DOS分区体系。二、DOS分区体系DOS分区是使用最多的分区类型。在多年来,DOS分区体系一直是INTELIA32硬件平台(i

3、386/x89等)的分区体系。Microsoft将使用DOS分区体系的磁盘称为(主引导记录“MasterBootRecorder”)MBR磁盘。DOS分区体系不仅仅是DOS操作系统或WINDOWS操作系统使用的一种分区系统,也就是说,DOS分区并不是以操作系统的不同而划定的分区体系,它是指“主引导记录(MBR)”的分区体系。能使用DOS分区体系的操作系统除了微软的DOS和WINDOWS外,还有如Linux以及基于IA32平台的FreeBSD和OpenBSD等操作系统都能使用DOS分区体系。DOS分区是最常见也是最复杂的分区体

4、系。微软的另外一种分区体系是GPT(全局ID分区表“GUIDPartitionTable”)磁盤。GPT是windowsServer2003屮能使用的一种磁盤架构,是一种基于Itanium计算机中的可扩展固件接口(ExtensibleFirmwareInterface,EFI)使用的磁盘分区架构。这种64位的Itanium版WINDOWS系统采用的磁盘布局,与传统的32位磁盘布局架构(DOS分区体系)完全不同。DOS分区体系与GPT分区体系的区别:GPT允许每个磁盘有多达128个分区,而MBR体系最多只能有4个主分区(或3个

5、主分区加一个扩展分区和无限制的逻辑驱动器等);GPT支持高达18千兆兆字节(EB,exabytes)的卷,而MBR体系磁盘支持的最人卷为2TB;GPT允许将主磁盘分区表和备份磁盘分区表用于冗余,支持唯一的磁盘和分区ID,以及性能更加稳定等等。如果在“磁盘管理”中的磁盘属性对话框中观察“卷”,如果使用的是GPT分区,磁盘显示为GUID分区表(GPT)磁盘;如果使用MBR分区,就显示为主启动记录(MBR)磁盘。三、MBR分析一主分区参见实验教材“实验十”!、EBR(虚拟MBR)分析••扩展分区参见实验教材“实验H”!五、DOS分

6、区体系下的数据恢复在数据恢复的过程中(包括电了取证),常常需要对分区(或卷)进行分析。在分区表结构正常的情况下,可以使用自动分析软件对整个磁盘或磁盘的镜像进行分析。但是,有时候分区表会遭到破坏,或者文件系统出现问题,自动分析软件就无法正常地解释出数据内容,这时候就需要我们技术人员进行手工分析了。技术人员不仅仅需要对现在存在的分区结构及文件系统进行分析,还需要对磁盘的整个布局结构进行详细的分析,以寻找出所有曾经可能存在的分区及文件系统。因为我们所需要的数据也许并不是由现有的分区及文件系统进行管理的,而是很由可能存在于以前的分区

7、布局及文件系统中。而且,并不是磁盘上的所有扇区都被分配给分区和文件系统使用,而是会有若干数量的保留及隐藏扇区。在这部分扇区中,很有可能保留有存在于以前的文件系统上的数据,也有可能被有意用于隐藏一些敏感的数据内容。要对磁盘进行分析,一般地,首先要根据某些特征找到分区表,再根据分区表中提供的分区起始位置、分区大小等信息确定一个卷所在的位置。之后,根据卷内的管理信息确定其文件系统类型、管理方式等,进而提取出宥用的数据。如果分区表已经被破坏,就要首先根据磁盘.h的文件系统信息或其他残留分区信息重建分区表,然后,再进行后续的工作。特别

8、对于RAID屮的卷,如果卷是由磁盘上的多个不连续的空间组成的,或是由多个磁盘上的多个不连续空问组成的,就需要仔细分析这些空间之间的相互关系,分析它们是以怎样的布局结构存在的,进而将其重新组合在一起,形成一个完整的卷结构,以便提取出有用的数据。不同的RAID,因为有不同的厂商会采用不同的方式

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。