效率源数据恢复论坛
标题: 电子取证-缺陷硬盘图片文件恢复提取技术研究 [打印本页]
作者: 笑笑 时间: 2016-3-16 11:13
标题: 电子取证-缺陷硬盘图片文件恢复提取技术研究
本帖最后由 笑笑 于 2016-3-22 14:00 编辑
: I$ ~9 e L* w. O2 H1 ~& N" W$ l# s N
编者按 本期感谢数据恢复四川省重点实验室科研人员带来关于“运用精确读取进行硬盘数据恢复”的研究报告。
j- y* H! I3 s" X8 _7 \0 |
- l# B6 M" z9 v R9 G( o3 u
) j: d4 w: \3 K( }( `' s8 K 精确读取(Intensive Read)又叫强制读取,其目的是增强对故障硬盘有坏道的数据的读取强度,通过特殊的指令使硬盘通过加大电流来增加磁头工作强度,通常用于一些非常重要的数据不能正常访问时进行的强制恢复。但该功能过度使用会加快源盘的老化,并不推荐大量使用。但是针对个别特别重要文件(如案件相关证据文件、数据库文件等)的恢复时,往往能起到意想不到的效果。例如,在某案件中用普通方式恢复的重要文件(此处用其他非案件相关图片替代)不能正常显示,精确读取功能就是一把解决问题的利剑。见下图1、图2所示。
3 u) Y" s6 W, d: r6 }
【图1:某坏道盘利用普通恢复方法恢复】
6 V" L3 _6 h: p* h
【图2:借助精确读取功能恢复】
+ ]$ @& c h4 w* \- |. i; a' r6 e4 u
: r2 m8 H/ p* f+ n4 h1 G
下面以对一块希捷笔记本硬盘(型号为ST94011A,SN为3KW1AA08)的数据恢复为例进行详细讲解。
& T, z1 }* U0 I: l2 P3 |& G( U- `* V
01 目测硬盘外观 首先对硬盘的外观进行检测,检测结果为该硬盘外观完好,没有开过盘的迹象,PCB电路板也看不出看有明显的烧毁痕迹。
. n+ H, x6 v) k( ?- j% L8 ~" Q9 r
02 硬盘连接电脑 将硬盘通过只读设备连接到电脑,在COMS下边可以正常识别到此硬盘的相关参数,但操作系统中鼠标失去控制,所有程序失去响应,并且表现出假死机的现象,主机的系统分区也看不到。见下图3所示。
& K3 s/ V3 `) }5 u- x% h3 _【图3:操作系统假死,鼠标失去响应,分区也无法查看】 6 s* B4 D/ Z) B$ b& P% ]$ }8 N
/ T0 p+ }/ q3 A; E6 v
03 检测扫描坏道 为了更直观的查看硬盘的数据区损坏情况,利用坏道检测工具进行扫描,结果如下图4所示。从扫描结果此盘的健康状况不容乐观。
- Q; g+ c% A# o. J) M2 G7 z4 r
【图4:硬盘ST94011A通过预检平台中坏道检测的结果】 & _, [) ?2 ~6 R& k0 h& `- p7 E
( G* q( p* g* u: k: V/ k x* f9 k
从扫描的结果来看,本盘的坏道比较严重,有大量红绿块:绿块代表存取速度较慢;红块代表此处读取很困难;黑色方块是代表有坏道或者有错误的地方。从目前的情况分析来看,将此盘直接作为从盘恢复数据基本上是不可能的,因为操作系统在启动后,会检查所有硬件设备,当发现硬盘驱动器的时候,会去读取硬盘的所有分区信息。但是一遇到有坏扇区的时候,就会不断循环读取损坏的扇区,导致整个系统假死或直接卡死。
/ `% `5 w0 R8 D d04 数据恢复 将该硬盘与专业数据恢复设备数据指南针(DataCompass,以下简称DC)连接后,在上层数据恢复工作界面中能够直接查看到分区和对应分区下的文件,勾选所有文件直接进行恢复操作。见下图5、图6所示。
) _: F# ^1 M- p1 E6 _【 图5:与专业数据恢复设备DC连接 】
% S# J4 H: W1 y/ w2 J8 [/ B【图6:在DC上层恢复软件中直接查看到分区和文件】 0 s- w5 M Z+ M, h( o. s
+ J, f A, w$ S05 恢复部分文件(图片显示不完整) 仔细查看恢复文件后,发现有部分文件存在损坏或图片显示不完整的情况。针对有问题的这些文件进行多次恢复后结果一样,如下图7所示;用Winhex打开该图片文件查看,可以看到如图8所示的信息。很明显,有一部分显示为“4040”的信息,“4040”代表没有成功读取到文件内容,这可能是由于该部分数据存储位置的坏道较多所造成的。借助专业数据恢复设备使盘识别的前提条件下,尝试利用其他恢复软件如EasyRecovery、R-Studio等恢复结果仍然一样。
% |1 b( i; R! W【图7:恢复出的图片显示不完整】
& Q8 d& d# H) U/ @! M) G
【图8:图片文件在winhex中查看情况为部分数据为“4040”】 0 y" a: |% K- t
& O$ o$ Q" ^$ q) p
06 勾选“精确读取” 在DC中影子盘控制面板(Shadow Control)下初始化并打开影子盘,设置影子盘的相应参数,将精确读取(Intensive Read)选项勾选上,如下图9所示。
% q- |8 z% D. i8 e( u5 T0 Y
【图9:勾选精确读取功能】
4 p" G7 W# l$ D9 m- k1 d7 v$ |' n0 f
07 成功恢复文件(图片正常浏览) 进入DC上层数据恢复工作界面,用前面的方法重新读取“R0014628.jpg”文件。在文件恢复过程中,可以从声音明显感觉到与正常恢复时的不同。稍后,文件恢复完成,直接打开该图片,可以看到,该图片已经可以正常浏览了。见下图10所示。
) X1 P0 A; [5 @# J1 v( s【图10:利用精确读取功能恢复的图片】 7 N1 A t3 x/ r0 Y5 f' b. a0 s
5 d- e7 o6 Q9 |. Q0 W2 g+ {' |; q% I3 O) y7 @& j; ~
针对其他没有显示完整的图片、损坏文件或者硬盘原本磁头有问题,开盘换磁头后硬盘又可以被电脑识别的情况,若有需要的重要数据无法正常恢复,可以采用这种方法进行二次读取。由此可见,灵活运用精确读取功能,可以在数据恢复的过程中起到意想不到的作用。
: i: i. K- {- z- W% J _9 y( J7 h. v Y) r' Z O
温馨提示
0 p. Y# I& C, a& c3 a+ y0 p 需要注意的是,若用户有非常重要的数据无法正常恢复,先不要使用精确读取功能。过度使用会加快源盘的老化,同时,缺陷盘很可能读取完这一个文件后,整个盘都不识别了 。因此,正确的流程是先将其他数据都尽量恢复出来后,再对没有正常恢复出来的重要数据进行精确读取。
% }2 \0 W3 m+ Y0 ?' N8 l. q
编后语
' |& y# r8 Q2 ~6 m, a9 _ 文中涉及到的精确读取技术除了已经运用到效率源数据指南针DC中外,还运用在效率源第五代数据恢复系统DRS中,对该技术感兴趣的读者欢迎一同探讨。
( x9 V i. Y( R6 J3 K/ s* E0 F# y/ w. f# i% V" L2 q7 a1 {* b
关注微信公众号“xiaolvyuantech”或微信搜索“效率源科技”加关注,了解更多技术知识!
| 欢迎光临 效率源数据恢复论坛 (http://bbs.xlysoft.net/) |
Powered by Discuz! X3.2 |