硬盘分区被GHOST覆盖后的文件恢复技术
作者:富春岩 葛茂松 孙维连 来源:《科技创新与应用》2013年第01期
摘 要:分析了硬盘被克隆软件覆盖后可能出现的几种状态、相关结构以及数据恢复的可能性。深入剖析了待恢复文件的结构、长度与恢复成功率的关系。给出了恢复被覆盖WORD文档的技术。
关键词:克隆;覆盖;文件恢复 1 什么是Ghost
Ghost(幽灵)是美国赛门铁克公司推出的一款用于硬盘备份还原的工具软件。利用此软件可对FAT16、FAT32、NTFS、OS2等多种分区格式的硬盘进行分区,还可以完成硬盘的备份还原工作。日常工作中常被称作\"克隆软件\"。 利用Ghost进行的备份还原是以硬盘的扇区为单位进行的,是将硬盘上的数据,一个扇区一个扇区地进行物理复制,连磁盘碎片都会一起复制到目标位置。Ghost可将分区或硬盘直接备份到一个扩展名为.gho的文件里(即镜像文件),也可直接备份到另一个分区或硬盘里。 2 误操作的情况分析
一般硬盘被克隆软件覆盖有以下几种常见情况,根据不同的情况,我们可以采用不同的方式进行恢复。在此我们先对几种误操作的情况进行分析。 2.1 将C:盘的镜像文件写到D:盘或E:盘等非目标盘中
出现这种情况时,要根据C:盘镜像文件的映射结构来判断其中数据被覆盖的程度,如果镜像文件的盘较小,其后面的内容可恢复;如果镜像文件结构稀疏,则该盘中也会有部分文件没有被覆盖,没有被完全覆盖的文件也有条件去恢复。 2.2 将C:盘的镜像文件写到C:盘
C:盘的镜像文件建立后,经过一段时间,C:盘中的桌面上又存放了一些重要的资料,此时由于某种原因C盘不能正常启动,若此时将C盘的镜像文件还原,重新启动后,会发现桌面上新存放的重要的资料会不见了。但是,只要这些资料的文件实体没有被覆盖,就能恢复回来。
2.3 将非本盘C:盘的镜像文件写到C:盘
龙源期刊网 http://www.qikan.com.cn
如果镜像文件是另一物理硬盘的单分区镜像文件,不慎将其还原到当前物理硬盘中,使该盘就剩一个C:盘,其后D:、E:、F:等盘的数据全部丢失.此时文件的恢复主要取决于这个镜像文件的大小,若这个镜像文件的实体小于丢失C:盘的实体,则后面的D:、E:、F:均能恢复,若镜像文件实体小于C:、D:盘的实体,则E:、F:盘中的文件可以完全恢复,余之类推。 3 实现技术
3.2 原镜像文件覆盖C:盘新增文件的恢复 3.3 逻辑盘的恢复
将该部分与正常主引导扇区的程序段合并后,就组成了重建的主引导扇区,写到绝对线性扇区号0,设置其为从盘,再重新启动计算机,就可以识别出D:、E:、F:盘中的文件了。 4 结束语
通过分析待恢复文件的结构、长度等特点,给出了硬盘被克隆软件覆盖后可能出现的几种状态的恢复方法。当需要进行文件与逻辑盘的恢复时,可根据实际情况,依照本文所提到得方法,灵活应用,去解决问题,该技术实用性很强,受到了用户的好评。 参考文献
[1] 孙维连.DEBUG与软件维修技术[M].哈尔滨.哈尔滨工程大学出版社.2005.1 [2] 孙维连等.硬盘维修与数据恢复[M].北京.中国水利水电出版社.2007.6
作者简介:富春岩(1974.2-)黑龙江佳木斯人,佳木斯大学信息电子技术学院,副教授。
因篇幅问题不能全部显示,请点此查看更多更全内容