內容簡介
在邏輯類數據恢複方面,本書包括MBR磁碟分區、動態磁碟分區、GPT磁碟分區、Solaris分區、APM分區、BSD分區的恢復技術,Windows平台的FAT32、FAT16、NTFS、ExFAT檔案系統的恢復技術,UNIX平台的UFS檔案系統恢復技術,Apple平台的HFS+檔案系統恢復技術,Linux平台的EXT3、Ext4檔案系統恢復技術,以及Windows、UNIX、Apple、Linux平台的RAID-0、RAID-1、RAID-5、RAID-5EE、RAID-6、HP雙循環等磁碟陣列恢復技術。
在物理類數據恢複方面,本書包括各大品牌硬碟出現電路故障、磁頭故障、電機故障、扇區讀取故障、固件故障後數據恢復的方法及優盤無法識別的恢複方法。
如果您是數據恢復技術的初學者,本書可以由淺入深,一步步將您引入數據恢復技術的神秘殿堂;如果您已經是數據恢復技術的高手,本書同樣可以帶來令您驚喜的經驗和技巧。
作者簡介
劉偉,北京信息科技大學數據恢復研究所數據恢復專家,國內外多家數據恢復公司的高級顧問,長期從事數據恢復技術的研究,工作在數據恢復實踐和教學第一線,理論基礎紮實、實踐經驗豐富。從2004年3月開始受聘於國家信息產業部,獲“信息產業部數據恢復技術培訓特聘專家顧問”稱號,負責信息產業部數據恢復技術培訓的課程研發及教學工作,在授課過程中很好地將高深的理論演繹得形象化、簡單化,以便於學生充分理解,受到了各地學員的一致好評。著有《數據恢復高級技術》、《數據恢複方法及案例分析》等數據恢復專業書籍,並且均被中國電子信息產業發展研究院培訓中心指定為數據恢復培訓專用教材。
圖書目錄
目 錄
第一篇 數據恢復入門與進階知識儲備
第1章 計算機中數據的記錄方法 2
1.1 數據的表示方法 2
1.1.1 計算機中數據的含義 2
1.1.2 數值數據在計算機中的表示方法 6
1.1.3 字元數據在計算機中的表示方法 10
1.1.4 圖形數據在計算機中的表示方法 13
1.2 數據存儲的位元組序與位序 14
1.2.1 Endian的含義 14
1.2.2 Little-endian的含義 15
1.2.3 Big-endian的含義 15
1.2.4 位元組序與CPU架構的關係 15
1.2.5 位序的含義 16
1.3 數據的邏輯運算 17
1.3.1 邏輯或 17
1.3.2 邏輯與 18
1.3.3 邏輯非 18
1.3.4 邏輯異或 18
1.4 數據恢復中常用的數據結構 19
1.4.1 數據結構簡介 19
1.4.2 樹 21
1.4.3 二叉樹 23
1.4.4 B樹、B-樹、B+樹和B*樹 24
1.4.5 樹的遍歷 27
第2章 現代硬碟的結構揭秘 29
2.1 現代硬碟的物理結構揭秘 29
2.1.1 硬碟的外殼及盤標信息 29
2.1.2 硬碟的電路結構 32
2.1.3 硬碟的磁頭定位驅動系統 36
2.1.4 硬碟的主軸系統 37
2.1.5 硬碟的數據控制系統 37
2.1.6 硬碟的碟片 38
2.1.7 硬碟的區段及物理C/H/S 39
2.1.8硬碟的接口技術 40
2.1.9 硬碟的主要性能指標 48
2.2 現代硬碟的邏輯結構揭秘 50
2.2.1 硬碟的邏輯磁軌 50
2.2.2 硬碟的邏輯扇區 50
2.2.3 硬碟的邏輯柱面 51
2.2.4 硬碟的邏輯磁頭 52
2.2.5 硬碟的邏輯C/H/S 52
2.2.6 硬碟的28位LBA及48位LBA 52
第3章 學習及研究數據恢復的基本工具 54
3.1 磁碟編輯器類工具 54
3.1.1winhex使用方法詳解 54
3.1.2 DiskExplorer for Fat使用方法詳解 72
3.1.3 DiskExplorer for NTFS使用方法詳解 79
3.1.4 DiskExplorer for Linux使用方法詳解 81
3.2 虛擬工具 84
3.2.1 虛擬硬碟工具使用方法詳解 84
3.2.2 虛擬機使用方法詳解 87
第二篇 邏輯類數據恢復技術揭秘
第4章 Windows系統的數據恢復技術 92
4.1 Windows系統的MBR磁碟分區 92
4.1.1 主引導記錄MBR的結構和作用 92
4.1.2主磁碟分區的結構分析 97
4.1.3 擴展分區的結構分析 103
4.1.4 MBR及EBR被破壞的分區恢復實例 109
4.1.5 分區誤刪除的恢復實例 121
4.1.6 系統誤Ghost後的分區恢復實例 129
4.2 Windows系統的動態磁碟卷 134
4.2.1 動態磁碟概述 134
4.2.2 動態磁碟卷的種類及創建方法 135
4.2.3 動態磁碟LDM結構原理詳解 137
4.2.4 MBR磁碟誤轉換為動態磁碟的恢復實例 161
4.2.5 動態磁碟擴展卷丟失的恢復實例 165
4.3 Windows系統的GPT磁碟分區 179
4.3.1 GPT磁碟分區基本介紹 179
4.3.2 GPT磁碟分區的創建方法 181
4.3.3 GPT磁碟分區的結構原理 185
4.3.4 GPT磁碟分區丟失的恢復實例 192
4.4 FAT16檔案系統詳解 197
4.4.1 FAT16檔案系統結構總覽 198
4.4.2 FAT16檔案系統的DBR分析 198
4.4.3 FAT16檔案系統的FAT表分析 203
4.4.4 FAT16檔案系統的FDT分析 206
4.4.5 FAT16檔案系統目錄項分析 208
4.4.6 FAT16檔案系統根目錄與子目錄的管理 218
4.4.7 FAT16檔案系統刪除檔案的分析 219
4.4.8 FAT16檔案系統誤格式化的分析 223
4.4.9 FAT16檔案系統DBR手工重建的實例 226
4.5 FAT32檔案系統詳解 229
4.5.1 FAT32檔案系統結構總覽 229
4.5.2 FAT32檔案系統的DBR分析 229
4.5.3 FAT32檔案系統的FAT表分析 235
4.5.4 FAT32檔案系統的數據區分析 237
4.5.5 FAT32檔案系統目錄項分析 238
4.5.6 FAT32檔案系統根目錄與子目錄的管理 242
4.5.7 FAT32檔案系統刪除檔案的分析 248
4.5.8 FAT32檔案系統刪除檔案後目錄項起始簇號
高位清零的分析 252
4.5.9 FAT32檔案系統誤格式化的分析 257
4.5.10 FAT32檔案系統DBR破壞的恢復實例 260
4.5.11 FAT32分區檔案亂碼的手工恢復實例 261
4.5.12 FAT32分區被蘋果電腦誤格式化後的完美
恢復實例 267
4.6 NTFS檔案系統詳解 277
4.6.1 NTFS檔案系統基本介紹 277
4.6.2 NTFS檔案系統結構總覽 278
4.6.3 NTFS檔案系統引導扇區分析 280
4.6.4 元檔案$MFT分析 285
4.6.5 檔案記錄分析 287
4.6.6 10H屬性分析 296
4.6.7 20H屬性分析 298
4.6.8 30H屬性分析 298
4.6.9 40H屬性分析 302
4.6.10 50H屬性分析 303
4.6.11 60H屬性分析 308
4.6.12 70H屬性分析 308
4.6.13 80H屬性分析 309
4.6.14 90H屬性分析 313
4.6.15 A0H屬性分析 315
4.6.16 B0H屬性分析 315
4.6.17 C0H屬性分析 316
4.6.18 D0H屬性分析 317
4.6.19 E0H屬性分析 317
4.6.20 100H屬性分析 318
4.6.21 元檔案$MFTMirr分析 318
4.6.22 元檔案$LogFile分析 321
4.6.23 元檔案$Volume分析 329
4.6.24 元檔案$AttrDef分析 332
4.6.25 元檔案$Root分析 334
4.6.26 元檔案$Bitmap分析 336
4.6.27 元檔案$Boot分析 337
4.6.28 元檔案$BadClus分析 338
4.6.29 元檔案$Secure分析 339
4.6.30 元檔案$UpCase分析 341
4.6.31 元檔案$Extend分析 342
4.6.32 元檔案$ObjId分析 343
4.6.33 元檔案$Quota分析 344
4.6.34 元檔案$Reparse分析 346
4.6.35 元檔案$UsnJrnl分析 347
4.6.36 NTFS的索引結構分析 348
4.6.37 手工遍歷NTFS的B+樹 352
4.6.38 NTFS的EFS加密分析 356
4.6.39 NTFS檔案系統刪除檔案的分析 358
4.6.40 NTFS檔案系統格式化的分析 364
4.6.41 NTFS檔案系統DBR手工重建的實例 367
4.7 ExFAT檔案系統詳解 372
4.7.1 ExFAT檔案系統基本介紹 372
4.7.2 ExFAT檔案系統結構總覽 374
4.7.3 ExFAT檔案系統的DBR分析 374
4.7.4 ExFAT檔案系統的FAT表分析 378
4.7.5 ExFAT檔案系統的簇點陣圖檔案分析 379
4.7.6 ExFAT檔案系統的大寫字元檔案分析 380
4.7.7 ExFAT檔案系統的目錄項分析 380
4.7.8 ExFAT檔案系統根目錄與子目錄的管理 388
4.7.9 ExFAT檔案系統刪除檔案的分析 395
4.7.10 ExFAT檔案系統誤格式化的分析 396
4.7.11 ExFAT檔案系統DBR手工重建的實例 400
4.7.12 能夠支持ExFAT檔案系統的恢復工具 404
4.8 Windows系統RAID恢復技術詳解 406
4.8.1 RAID基礎知識介紹 406
4.8.2 RAID級別詳解 407
4.8.3 硬RAID實現方法 413
4.8.4 軟RAID實現方法 416
4.8.5RAID數據恢復原理 418
4.8.6 RAID起始扇區的分析方法 423
4.8.7 RAID條帶大小的分析方法 425
4.8.8 RAID成員盤的盤序分析 428
4.8.9 RAID-5校驗方向的分析方法 429
4.8.10 RAID-5數據同步與異步的分析方法 430
4.8.11 RAID恢復工具一:WinHex 432
4.8.12 RAID恢復工具二:R-studio 434
4.8.13 RAID恢復工具三:Raid Reconstructor 437
4.8.14 RAID恢復工具四:FileScav 439
4.8.15 RAID恢復工具五:UFS Explorer 442
4.8.16 RAID恢復工具六:Getway Raid Recovery 442
4.8.17 伺服器專業硬碟與數據恢復工作機的連線
方法 445
4.8.18 RAID恢復實例一:Dell伺服器RAID-5實
例分析 447
4.8.19 RAID恢復實例二:HP伺服器RAID-5雙循環
實例分析 454
4.8.20 RAID恢復實例三:光纖陣列櫃12塊FC硬碟
RAID-5實例分析 457
4.8.21 RAID恢復實例四:IBM伺服器RAID-5EE實
例分析 459
第5章 UNIX系統的數據恢復技術 466
5.1 UNIX家族介紹 466
5.1.1 UNIX的起源及分裂 466
5.1.2 UNIX分類及特點 467
5.2 UNIX的分區詳解 469
5.2.1 Solaris分區基本介紹 469
5.2.2 Sparc Solaris分區結構分析 471
5.2.3 Sparc Solaris分區恢復實例 476
5.2.4 x86 Solaris分區結構分析 479
5.2.5 x86 Solaris分區恢復實例 485
5.2.6 Free BSD分區結構分析 485
5.2.7 Free BSD分區恢復實例 490
5.2.8 Open BSD分區結構分析 493
5.3 UFS1及UFS2檔案系統詳解 498
5.3.1 UFS檔案系統基本介紹 498
5.3.2 UFS檔案系統結構總覽 499
5.3.3 UFS檔案系統的引導塊分析 500
5.3.4 UFS檔案系統的超級塊分析 501
5.3.5 UFS檔案系統的柱面組概要分析 517
5.3.6 UFS檔案系統的柱面組描述符分析 518
5.3.7 UFS檔案系統的點陣圖分析 522
5.3.8 UFS檔案系統的i-節點分析 524
5.3.9 UFS檔案系統的目錄項分析 531
5.3.10 UFS檔案刪除與恢復的分析 535
5.3.11 UFS檔案系統超級塊的恢復實例 544
5.3.12 UNIX系統數據恢復專業工具詳解 546
5.4 UNIX系統RAID恢復技術詳解 548
5.4.1 UNIX RAID結構參數的分析方法 548
5.4.2 SunSolaris系統DAS-RAID-5恢復實例 550
第6章 Apple系統的數據恢復技術 558
6.1 Apple電腦介紹 558
6.1.1 Apple電腦的起源與發展 558
6.1.2 Mac作業系統的發展 559
6.2 Apple電腦的分區結構詳解 560
6.2.1 APM分區結構分析 560
6.2.2 APM分區恢復實例 568
6.2.3 GPT分區結構分析 572
6.3 HFS+檔案系統詳解 574
6.3.1 HFS+檔案系統基本介紹 574
6.3.2 HFS+檔案系統結構總覽 577
6.3.3 HFS+檔案系統的卷頭分析 577
6.3.4 HFS+檔案系統的頭節點分析 584
6.3.5 HFS+檔案系統的點陣圖節點分析 591
6.3.6 HFS+檔案系統的索引節點分析 591
6.3.7 HFS+檔案系統的葉節點分析 592
6.3.8 HFS+檔案系統節點的綜合套用 593
6.3.9 HFS+檔案系統的編錄檔案分析 594
6.3.10 HFS+檔案系統的盤區溢出檔案分析 604
6.3.11 HFS+檔案系統的分配檔案分析 608
6.3.12 HFS+檔案系統的屬性檔案分析 609
6.3.13 HFS+檔案系統的壞塊檔案分析 610
6.3.14 手工遍歷HFS+的B樹 610
6.3.15 HFS+檔案刪除與恢復的分析 614
6.3.16 HFS+檔案系統卷頭的恢復實例 617
6.3.17 Apple系統數據恢復專業工具詳解 618
6.4 Apple系統RAID恢復技術詳解 621
6.4.1 Apple RAID結構參數的分析方法 621
6.4.2 Apple RAID恢復實例分析 622
第7章 Linux系統的數據恢復技術 629
7.1 Linux系統介紹 629
7.1.1 Linux系統的起源與發展 629
7.1.2 Linux系統的分類及特點 630
7.2 Linux系統的分區結構詳解 631
7.2.1 MBR磁碟分區結構分析 632
7.2.2 MBR磁碟分區恢復實例 635
7.2.3 GPT分區結構分析 639
7.3 Ext3檔案系統結構詳解 641
7.3.1 Ext3檔案系統基本介紹 642
7.3.2 Ext3檔案系統結構總覽 642
7.3.3 Ext3檔案系統的超級塊分析 643
7.3.4 Ext3檔案系統的塊組描述符分析 649
7.3.5 Ext3檔案系統的塊點陣圖分析 651
7.3.6 Ext3檔案系統的i-節點點陣圖分析 652
7.3.7 Ext3檔案系統的i-節點分析 654
7.3.8 Ext3檔案系統的目錄項分析 660
7.3.9 Ext3檔案刪除與恢復的分析 663
7.3.10 Ext3檔案系統超級塊的恢復實例 674
7.3.11 Linux系統數據恢復專業工具詳解 677
7.4 Ext4檔案系統分析 680
7.4.1 Ext4檔案系統介紹 680
7.4.2 Ext4檔案系統的特點 681
7.4.3 Ext4檔案系統的結構 682
7.4.4 Ext4檔案系統的向前與向後兼容 684
7.5 Linux系統RAID恢復技術詳解 685
7.5.1 Linux RAID結構參數的分析方法 685
7.5.2 Linux RAID恢復實例分析 686
第三篇 物理類數據恢復技術揭秘
第8章 硬碟物理故障的種類及判定 698
8.1 硬碟外部物理故障的種類和判定方法 698
8.1.1 電路板供電故障 698
8.1.2 電路板接口故障 700
8.1.3 電路板快取故障 700
8.1.4 電路板BIOS故障 701
8.1.5 電路板電機驅動晶片故障 701
8.2 硬碟內部物理故障的種類和判定方法 702
8.2.1 磁頭組件故障 702
8.2.2 主軸電機故障 703
8.2.3 碟片故障 704
8.2.4 固件故障 705
第9章 硬碟電路板故障的數據恢複方法 706
9.1 維修法 706
9.1.1 電路板常見故障及維修方法 706
9.1.2 希捷硬碟電路板的故障及檢測方法 707
9.1.3 西部數據硬碟電路板的故障及檢測方法 708
9.2 替換法 708
9.2.1 替換法介紹 708
9.2.2 希捷3.5英寸硬碟電路板兼容性判定及
替換方法 709
9.2.3 希捷2.5英寸硬碟電路板兼容性判定及
替換方法 711
9.2.4 西部數據3.5英寸硬碟電路板兼容性判
定及替換方法 711
9.2.5 西部數據2.5英寸硬碟電路板兼容性判
定及替換方法 713
9.2.6 邁拓3.5英寸硬碟電路板兼容性判定及
替換方法 714
9.2.7 富士通2.5英寸硬碟電路板兼容性判定
及替換方法 714
9.2.8 三星3.5英寸硬碟電路板兼容性判定及
替換方法 716
9.2.9 三星2.5英寸硬碟電路板兼容性判定及
替換方法 717
9.2.10 日立3.5英寸硬碟電路板兼容性判定及
替換方法 719
9.2.11 日立2.5英寸硬碟電路板兼容性判定及
替換方法 719
9.2.12 日立1.8英寸硬碟電路板兼容性判定及
替換方法 721
9.2.13 東芝2.5英寸硬碟電路板兼容性判定及
替換方法 722
第10章 硬碟磁頭組件故障的數據恢複方法 725
10.1 硬碟磁頭組件故障的恢復思路 725
10.1.1 開盤換磁頭所需環境及工具 725
10.1.2 開盤換磁頭的操作步驟 727
10.2 希捷硬碟磁頭兼容性判定及開盤方法 728
10.2.1 3.5英寸硬碟開盤實例 729
10.2.2 2.5英寸硬碟開盤實例 733
10.3 西部數據硬碟磁頭兼容性判定及開盤方法 736
10.3.1 3.5英寸硬碟開盤實例 736
10.3.2 2.5英寸硬碟開盤實例 739
10.4 邁拓硬碟磁頭兼容性判定及開盤方法 741
10.5 富士通硬碟磁頭兼容性判定及開盤方法 743
10.6 三星硬碟磁頭兼容性判定及開盤方法 744
10.6.1 3.5英寸硬碟開盤實例 744
10.6.2 2.5英寸硬碟開盤實例 745
10.7日立硬碟磁頭兼容性判定及開盤方法 747
10.7.1 3.5英寸硬碟開盤實例 747
10.7.2 2.5英寸硬碟開盤實例 749
10.8 東芝硬碟磁頭兼容性判定及開盤方法 750
10.9 開盤成功後如何獲得數據 752
10.9.1 物理鏡像法753
10.9.2 數據提取法 753
第11章 硬碟主軸電機故障的數據恢複方法 754
11.1 主軸電機故障的恢復思路 754
11.1.1 處理主軸電機故障所需環境及工具 754
11.1.2 處理主軸電機故障的操作步驟 755
11.2 希捷3.5英寸硬碟主軸電機故障處理方法 755
11.2.1 主軸電機兼容性判定 755
11.2.2 實例演示 756
11.3 邁拓3.5英寸硬碟主軸電機故障處理方法 759
11.3.1 主軸電機兼容性判定 759
11.3.2 實例演示 760
11.4 東芝2.5英寸硬碟主軸電機故障處理方法 762
11.4.1 主軸電機兼容性判定 762
11.4.2 實例演示 762
第12章硬碟碟片故障的數據恢複方法 766
12.1 碟片扇區故障的檢測方法 766
12.2 碟片扇區故障的修複方法 769
12.2.1 重寫校驗法 770
12.2.2 G-List替換法 770
12.2.3 P-List隱藏法 770
12.3 碟片扇區故障的數據恢複方法 771
12.3.1 物理鏡像法與數據提取法的區別與聯繫 771
12.3.2 用Media Tools Professional做物理鏡像 771
12.3.3 用HDduplicator做物理鏡像 775
12.3.4 用PC-3000 UDMA DE做物理鏡像 780
12.3.5 用PC-3000 For SCSI做物理鏡像 784
12.3.6 用PC-3000 UDMA DE提取數據 789
12.3.7 用PC-3000 UDMA DE分磁頭做物理鏡像 790
第13章 硬碟固件故障的數據恢複方法 795
13.1 現代硬碟的固件結構 795
13.1.1 什麼是硬碟的固件 795
13.1.2 硬碟固件的組成及作用 795
13.1.3 硬碟的生產流程 797
13.1.4 硬碟固件故障的表現 797
13.2 硬碟固件修復工具介紹 798
13.2.1 PC-3000 for DOS 798
13.2.2 PC-3000 for Windows 799
13.2.3 PC-3000 UDMA 800
13.2.4 PC-3000 UDMA for SCSI 801
13.3 用PC-3000 UDMA修復邁拓硬碟的固件 801
13.3.1 識別邁拓硬碟的型號 802
13.3.2 邁拓硬碟的固件結構 803
13.3.3 邁拓硬碟A區、B區和C區固件 807
13.3.4 備份固件 808
13.3.5 檢測固件 810
13.3.6 修復固件 812
13.4 用PC-3000 UDMA修復希捷硬碟的固件 812
13.4.1 識別希捷硬碟的型號 812
13.4.2 希捷硬碟與PC-3000 UDMA的連線方法 814
13.4.3 希捷硬碟的固件結構 814
13.4.4 希捷硬碟指令詳解 816
13.4.6 酷魚企業級硬碟ES.2“固件門”解決方案 822
第14章 優盤物理故障的數據恢複方法 824
14.1 優盤物理故障的表現及分類 824
14.1.1 優盤物理故障的表現 824
14.1.2 優盤物理故障的分類 825
14.2 優盤物理故障的修復 827
14.2.1 補焊 827
14.2.2 替換晶振 827
14.2.3 替換主控晶片 828
14.2.4 替換快閃記憶體晶片 828
14.3 用PC-3000 Flash直接提取快閃記憶體晶片的數據 829
14.3.1 PC-3000 Flash的工作原理 829
14.3.2 提取快閃記憶體晶片的數據 830
參考文獻 835
