数据恢复技术:
	WinHex 中,Find Text搜索功能的使用
	备份和容灾系统概念
	回收箱原理,$I $R, 恢复清空回收箱后的数据恢复原理,分析十六进制数据
	RAID5常识
	分配策略的概念
	常见数据恢复工具
	RPO,RTO的概念
	存储设备破坏的原因
	机械硬盘修复顺序
	文件修复、文件系统修复的概念
分区
	识别MBR和结构
	MBR代码(了解)
	分区大小,激活标志,EBR标志
	GPT头
FAT
	文件删除/建立的过程(Del键删除、Shift+Del键删除)
	修复DBR的方法
	FAT32文件恢复中首簇号丢失的解决方法;
	长文件和短文件
	短文件名规范
	FDT结构:2E、 E5、 长文件名结构、首簇号、文件大小

NTFS
	文件记录项基本结构,大小、起始标记、结束标记
	短文件名记录方式
	删除和创建过程
	WinHex:常见关键标志的搜索
 	10H 30H 80H 90H A0H B0H的功能
	长文件和短文件
	ADS特点和存储方式
	30H 80H的结构
	时间特征保存位置
	取证中,访问时间判断和特征
	NTFS支持的功能
	DBR恢复过程,寻找DBR
	根据$MFT中$MFTMirr的内容,计算每簇的扇区数
	文件分配的大小,VCN概念
	找到并计算datarun,计算多运行的值,计算LCN
	NTFS EFS机制
JPEG
	常见恢复点
	课件中的恢复案例

系统与数据恢复

概述

一些定义

  1. 数据备份:从已有的备份中恢复数据的过程
  2. 数据恢复:从损坏的计算机、备份、文件或被删除的文件中恢复游泳数据的过程
  3. 计算机取证:运用计算机及其相关科学和技术的原理获取计算机相关的证据。以证明某个客观事实的过程

安全机制

  1. 用户鉴别
    • 用户标识—用户识别–用户验证–用户确认
  2. 访问控制
    • 权限标记–授权组合–权限检查–违规处理
  3. 安全保密
    • 信息隐藏–信息加密–信息锁定–信息控制
  4. 安全审计
    • 访问记录–环境记录–审计追踪–审计确认
  5. 安全恢复
    • 数据恢复–环境恢复–数据库恢复

电子数据资源的脆弱性

  1. 电子数据可以伪造、访问、修改、删除
  2. 数据可泄露、复制、传输,动态可变易丢失
  3. 编程语言和工具可以访问磁盘,可以直接存取数据库

数据可恢复前提

  1. 备份有效及时
  2. OS角度只是逻辑丢失
  3. 数据被取代不可逆,数据变化如文件删除可逆
  4. 只有低格和扇区覆盖才能彻底破坏数据

容灾和备份

  • 数据备份:数据复制到其它存储介质的过程。侧重于数据的安全。

    1. 备份:文件级备份、块级备份

    2. 复制:同步复制、异步复制

    3. 快照:基于文件系统的快照、卷快照

    4. 备份

      • 完全备份:在初始时间进行所有数据备份

      • 差异备份:对完全备份开始变化的数据进行备份—多个时间点选择数据恢复,丢失数据可能性小

      • 增量备份:只备份与上次备份有差异的部分—备份速度快,BUT必须有上次完全备份和需要增量备份的磁带,按顺序逐个恢复

  • 容灾:异地构建相同的信息系统,实现业务切换。侧重于业务的安全。

    1. RPO(Recovery Point Object):数据恢复完整性指标
    2. RTO(Recovery Time Object):业务恢复及时性指标

文件损坏

  • 存储部件和介质 的损坏
  • 文件记录格式的损坏
  • 文件搜索路径和关联结构的损坏
  • 所记录的数据和文档的损坏丢失

数据恢复

  1. 软件恢复

    • 系统级恢复:修复软件修复系统
    • 文件级恢复

  2. 硬件恢复

    • 硬件替代
    • 固件修复:修复工具修复
    • 盘片读取

    技术层次

    1. 软件恢复与简单的硬件替代

    2.专业数据恢复工具

​ 3.软硬件结合:专门设备

​ 4.磁信号

降低故障

  1. 定期整理碎片
  2. 不要撞击硬盘
  3. 控制环境温度
  4. 硬盘原理磁场
  5. 杀毒 硬盘声音
  6. 数据不要放在系统盘
  7. 备份

硬盘

接口

  1. ST-506/416:希捷开发,传输速率低,容量小,MFM

  2. ESDI:迈拓开发,编、解码放在硬盘上,而不是控制卡上

  3. IDE(Integrated Drive Electronics) ATA 和 EIDE

    • 将盘体和控制器集成在一起、
    • 减少硬盘接口和电缆数目与长度
    • 增强了数据传输的可靠性
    • 提高了兼容性

  4. SATA:串行ATA,速率较高使用ATA指令集,热插拔 ,信号电压低

  5. M.2接口

  6. SCSI:总线型的系统接口

  7. USB:通用串行总线,需要主机硬件、操作系统和外设三个方面的支持才能工作。

传输模式

  1. PIO模式(Programming Input/Output Model):一种通过CPU执行I/O端口指令进行数据读写的数据交换模式
  2. DMA模式(Direct Memory Access):CPU通过DMA控制器直接访问内存
  3. Ultea DMA模式(Direct Memory Access):加入循环冗余码校验,双倍数据传输技术

传输策略

  1. 就近
  2. FCFS
  3. SSTF(寻找最近的)
  4. SCAN(从最内侧到最外测)
  5. CSCAN(到达最外侧后立刻返回)
  6. LOOK(与SCAN相比,不必到达两侧)
  7. CLOOK(与CSCAN相比,不必到达两侧)

传输参数*

  1. IOPS:每秒进行多少次IO
    • 取决于写入数据大小,非固定
    • 频繁换道,写入数据块较大获得较低IOPS,写入10000个大小1KB的文件比写一个10MB的文件耗时
  2. 传输带宽
    • 高端产品同时具有较高的IOPS和带宽
    • =数据/时间
  3. 磁盘缓存
    1. 预读取:将正在读的下n个簇放到缓存中
    2. 写缓存:存入写入命令,返回已写入,等到磁盘空闲时再写入
    3. 存储频繁访问的数据

运作流程

  1. 每个IO设备在启动时都要向内存中映射一个或者多个地址
  2. 将IO地址放在北桥上,北桥等待CPU对该设备发出指令

存储介质

  1. 磁盘:硬盘、软盘
  2. 磁带
  3. 磁带:大容量数据存储,存储数据量大,不能作为数据实时存储介质
  4. 录音带

方式:

  1. 块式:数据被一块块的存放到介质上,可直接选择读写某一段数据,定位
  2. 流式:数据连续不断的存放到介质上,每个流之间可以有空隙用于定位,定位

硬盘结构

  • 接口
    • 电源接口
    • 数据接口
      • IDE
      • SCSI
  • 控制电路板

读写原理

  • 通关控制电路用硬盘读写头改变磁盘表面粒子簇N、S极性实现读写
  • 磁头不接触盘片

CHS

  1. 盘片

    • 从0开始
    • 每个盘片有两个盘面
    • Aka磁头号,每个盘面对应一个磁头
    • 电子切换

  2. 磁道

    • 从0开始

  3. 扇区

    • 从1开始

    • 组成

      -

      • 交叉因子

        • 比值表示法

          17个扇区,按2:1的交叉因子编号

          1、10、2、11、3、12、4、13、5、14、6、15、7、16、8、17、9

          转完需要两圈

        • 太高:需要等待磁盘存入和读出

        • 太低:降低性能

  4. 柱面

    • 从0开始
    • 所有盘面上的同一个磁道构成柱面
    • 机械切换
    • 同一柱面所有磁头读写完毕,才移动磁头到下一柱面

  5. 格式

    C 柱面 16位
    H 磁头 4位
    S 扇面 8位
    CS 起始柱面 0
    HS 起始磁头 0
    SS 起始扇区号 1
    PS 每个磁道有多少扇区 63
    PH 每个柱面有多少磁道 255

    实际的CHS取决于min(ATA,INT 13)

LBA

CHS和LBA的换算小记 - 知乎 (zhihu.com)

LBA=(C-CS)x PH x PS + (H-HS) x PS + (S-SS)

  • 地址转换通过硬盘控制器完成
  • OS对磁盘的访问不需要调用INT 13h
  • 需要BIOS做CHS到LBA的转换

计算

  1. 硬盘容量=盘数x柱面数x扇区数x512字节

    ​ =H * C * T * B

BIOS

参考:操作系统启动过程——启动引导+硬件自检+系统引导+系统加载+系统登录 - _tham - 博客园 (cnblogs.com)

  1. BIOS:Basic Input Output System 软件程序和硬件设备之间的枢纽

    • 系统BIOS
    • 显卡BIOS
    • 其他BIOS

  2. 位置

分区

MBR

  • BOOT Sector=MBR(446)+DPT(64)+55AA(2)
    • MBR=引导程序(139)+错误信息数据区(79)+空(228)

DPT

注意后面两个四字节参数的单位都是扇区

偏移4的标志

格式化

低级格式化

  • 硬盘物理格式化
  • 划分柱面和磁道,扇区,交叉因子
  • 标识ID、数据区
  • 测试磁盘表面,标志坏磁道和扇区
  • 低格后OS不能使用,单纯的写数据可以进行

分区和卷

分区(Partition)和卷(Volume)是计算机存储管理中的两个重要概念,但它们在功能和用途上有所不同。

分区(Partition)

定义:
分区是指将一块物理硬盘划分成若干个独立的区域,每个区域称为一个分区。分区是在物理层面上的划分,是硬盘的逻辑分割单位。

特点:

  1. 物理划分:分区是对物理硬盘的直接划分,每个分区对应硬盘上的一个连续存储区域。
  2. 启动信息:通常第一个分区包含主引导记录(MBR)或GUID分区表(GPT),用于引导操作系统。
  3. 类型限制:一个硬盘上可以有若干个主分区和扩展分区(MBR模式下最多4个主分区或3个主分区加一个扩展分区,GPT模式下几乎没有限制)。
  4. 文件系统:每个分区可以格式化成不同的文件系统,比如NTFS、FAT32、EXT4等。

卷(Volume)

不连续,可跨区

定义:
卷是指在操作系统层面上,将一个或多个分区或物理磁盘合并成一个逻辑存储单元。卷可以跨越多个硬盘或多个分区,提供更灵活的存储管理。

特点:

  1. 逻辑划分:卷是对存储资源的逻辑管理单位,可以由一个或多个分区组成。
  2. 灵活性:卷管理可以实现动态调整存储大小、增加或减少卷的容量。
  3. 卷管理器:现代操作系统通过卷管理器(如Windows的动态磁盘管理、Linux的LVM)来管理卷,可以实现卷的创建、删除、扩展等操作。
  4. 高级功能:卷可以实现镜像、条带化(RAID 0)、镜像(RAID 1)、纠错(RAID 5)等功能,增强数据可靠性和性能。

区别总结

  1. 层次不同

    • 分区是物理层面的划分。
    • 卷是逻辑层面的划分。

  2. 用途不同

    • 分区用于划分硬盘的物理区域,通常用于安装操作系统和引导计算机。
    • 卷用于灵活管理存储资源,可以跨越多个分区和硬盘。

  3. 管理工具

    • 分区管理使用工具如fdisk、parted、Disk Management(Windows)。
    • 卷管理使用工具如LVM(Linux)、Disk Management(Windows的动态磁盘)。

通过理解分区和卷的区别,可以更好地管理计算机存储资源,提高存储系统的灵活性和效率。

高级格式化