效率源数据恢复工具-SD卡/CF卡/记忆棒/U盘数据恢复大师4.0版技术白皮书

xlysoft · 发表于 2010-8-3 16:28:00

效率源数据恢复工具-SD卡/CF卡/记忆棒/U盘数据恢复大师4.0版技术白皮书

   U盘数据恢复、SD卡数据恢复、CF卡数据恢复、记忆棒数据恢复现在占整个数据恢复服务业务量的比重越来越大，目前全球能有效解决这类主控损坏，电脑不认别的专业级FLASH数据恢复工具设备只有两款，而效率源于2009年推出的FLASH数据恢复大师更是目前全球客户公认的最先进，功能最强的产品，特别适用于中国市场，经过三次大的升级和无数次小功能升级，这次效率源将最新研发目录自动修复，文件结构自动修复全新技术提供免费升级，使FLASH数据恢复的成功率和易用*再上一次台阶。
      随着U盘、SD卡、CF卡、记忆棒、MP3、MP4等FLASH存储设备应用的不断大众化，再加上FLASH本身的存储原理和寿命问题，FLASH存储设备的损坏机率会远远大于目前使用的机械硬盘，既然有这么大的市场需求量，那么针对 FLASH 设备的数据恢复技术自然也成为了当下各大专业数据恢复机构的迫切之需，在行业竞争激烈的今天，技术的落后就意味着在竞争中会被淘汰，掌握领先的技术才是立足行业、保持竞争优势的基本条件。
      效率源 Flash 闪存数据恢复大师一经推出，就受到全球各大专业数据恢复机构的重点关注。实践证明，效率源没有辜负广大客户的期望，在工具上市的半年时间以来，效率源根据实际的情况不断的升级更新工具的功能，支持和恢复的成功率不断的提高，产品在实际应用中的成功率普遍高达 60% 以上，这对应用于市场上成千上万的 FLASH 产品型号来说，不能不说是一个难得的成绩。当然，能保障如此理想的效果，与效率源的售后技术服务的大力协助有着密切的关系。
      在效率源2010年全球巡回培训交流会各分会场上，FLASH数据恢复技术也被当着最前沿的重点来和大家一起交流探讨，现场讲解的工程师详细介绍了整个FLASH的存储原理、FLASH数据丢失的市场情况、FLASH数据恢复和数据安全的发展方向、以前FLASH数据恢复和现在效率源FLASH数据恢复大师恢复的技术方向的差异化以及目前最新技术的亮点，再结合大量的实际案例的讲解，使广大的数据恢复行业者、企事业单位等众多的人群得到了实惠，了解和学习了最前沿的技术。
      技术的领先在于不断的创新，在为大量客户远程服务的过程中，技术人员总结了大量的操作经验，同时也发现了很多以前没有遇到过的案例，如：节区的数据区被分割成多个部分、多个节区组合成更大的数据块、一个页中只有一个 ID 、相同 ID 的所有块同时参与交换、半页存储、扇区交换、目录修正等等；自效率源FLASH数据恢复大师成功上市以来，效率源的工程师本着精益求精的精神，不断研发升级FLASH的功能和算法，以便进一步提高恢复的成功率。效率源于 2010 年5月针对以上问题进行了解决方案的升级；为满足客户的不断需求，不断提高 FLASH 数据恢复的成功率，效率源不断寻求更好的解决方案，在效率源强大研发团队的共同努力下， 2010 年 7月，在效率源 Flash 闪存恢复大师正式推出半年的时间，进行第四次重大针对*的升级，为广大客户提供更新版本（ 4.0 版），以保障产品的日益完善及领先地位；每一次升级，数据恢复的数据完整*和精确*上都有质的提高，保障了用户能快速获得实际效益，提高用户在数据恢复行业里的信誉和企业形象。本次升级对 FLASH 数据恢复行业具有重大的意义。
      由于FLASH数据恢复是一项比较新和前沿的技术，大家对工具操作感到困难的很大部分原因在于对工具中提到的特有术语没有深刻理解。这里将对这些术语做一个简短阐述，以便大家使用FLASH数据恢复大师的时候更容易上手：

1: 芯片数：具体就是指一个设备中的芯片个数，目前闪存数据恢复大师最大支持4个芯片。
2 : 通道数：芯片中所包含的通道个数，一个芯片中有可能包含：1个通道、2个通道、4个通道等，以后还有可能包含更多的通道数。目前闪存数据恢复大师支持单芯片的最大通道数为4个。
备注：闪存数据恢复大师支持的通道总数为：4（芯片）x 4（通道） = 16（通道）
3 : 节区：硬盘数据的最小单位是扇区，而flash芯片数据的最小单位是节区，通常情况下节区包含节区头、节区数据、节区尾等3个部分：
则：页结构=页头 + 节区 x? N + 页尾，当然页结构不是固定不变的，对于不同的厂家会有所不同，在FLASH数据恢复大师里面已经集成了常见的页结构信息，用户只需要根据页大小来选择不同的结构，如页长度为2112的就存在以下几种情况：
2112 = 0 + （512 + 16）x 4 + 0
2112 = 30 + （512 + 8）x 4 + 2
2112 = 0 + 512? x 4 + 16 x 45 : 块：这里的块概念不同于芯片所指的物理参数，而是特指数据ID号相同并且在物理位置上连续的相邻页所构成的。也就是说一个块中的所有页的数据ID号是相同的，并且这些页在芯片中的位置是相邻的。所以组成每个块的页数有可能是不一样的，也有可能一个页就组成了一个块，多个页组成一个块。
块的概念是抽象出来的概念，它必须具备以下的特征：
ID号相同：同一个块内的所有页的ID号都必须是一致的
块内中的所有页在物理位置上是两两相邻的
6 : 交换：举个简单的例子来说明交换的概念，即，假定在一个块内有64个页，逻辑页顺序和实际页的关系见下图。即逻辑页号的取定不是按照块内的物理页号顺序选取，而是按照一定的规则交换选择，就像下图所示的一样，当逻辑页0选取了块内的0页后，逻辑页1就不再按照顺序选择块内的1页，而是跳到块内选取块内的32页，依次类推：

Logical Page 1 = Page 32
Logical Page 2 = Page 1
Logical Page 3 = Page 33
Logical Page 4 = Page 2
Logical Page 5 = Page 34
Logical Page 6 = Page 3
…..
Logical Page 62 = Page 31
Logical Page 63 = Page 63
直到整个块内的页全部取完

8 : 特殊结构：上面已经说过一个页结构=页头 + 节区 x? N + 页尾，但有的FLASH数据一个扇区却被被分割成多个小的节区，或是由多个扇区合并成一个大的节区。我们知道硬盘一个扇区是512字节有效数据，但对U盘来说512字节可能被分为两部分或者更多部分组成。
而有的U盘数据将两个扇区合成了一个大节区1024字节

      上面是FLASH数据恢复大师的一些术语解释，这有助于客户更加深入理解FLASH 数据恢复大师的工作流程及原理。下面介绍FLASH 数据恢复大师4.0 升级功能。
1．增加“扇区快速修正”功能
      “扇区快速修正”功能是用于修正父目录与子目录之间的族无法对齐问题，如簇号没有对齐，将无法直接访问到文件名。在以前一些FLASH的数据恢复中，由于FLASH数据存储的不连续*，即使算法正确的情况下，组合出来的数据，也有可能只能看到分区和根目录，但每个子目录下的文件却无法访问。如下图：
      效率源工程师为了更完美的恢复出数据，新增加了“扇区快速修复”功能。该功能的作用主要是需要目录下的文件记录，使恢复出来的数据都有正常的文件名。使用该功能的时候有下面一些限制：需要效率源FLASH数据恢复大师能在数据组合完成后，直接能找到分区表，或是通过扫描分区的方式找到分区；并能通过RAW扫描恢复出的文件，大部分文件可以打开的情况下，才使用“扇区快速修正”功能。使用RAW扫描来恢复文件是为了验证数据组合方式是否正确，如果组合方式不对，即使“扇区快速修正”功能恢复出来了目录名，但是下面的文件依然无法正常访问。
操作如下：
      首先选中分区，点鼠标右键

选择“扇区快速修正”后，系统自动开始分析目录。这一步操作将需要等待一段时间。
耐心等待，直到“完成”提示框出现。重新再打开分区，访问目录项，就可以看到目录下的文件名都显示出来了。
需要注意的是：“扇区快速修正”后显示出来的文件名，并不能一定都能打开，还是会存在一部分的文件簇号无法对齐。如果需要恢复这类文件，用户可以使用RAW扫描文件，根据文件内容修改文件名即可。

“扇区快速修正”是根据父目录下每个记录项的族号和文件大小为标记来搜索对应的子目录所在位置。如下图是一个父目录项，这是一个长文件名记录项，以64字节表示一个记录。字节“05 00”和“D6 1E”联合起来表示该目录的开始位置，即开始簇号。

下图是该目录下的详细内容，“2E 20 20 20 20 20”后面被红色标识的部分表示本级目录的开始簇，“2E 2E 20 20 20 20 20”后面被红色标识部分为上级目录的开始簇号。

当找到正确的子目录后，将以该目录的实际位置作为当前簇的起始位置，后面的文件都将以该位置为基础，实现簇对齐。

2．扇区深度修正
扇区深度修正功能主要是修复office文件和比较特殊的图片文件，比如是NIKON，OLYPMUS等数码相机的图片。这种数码相机的图片格式和传统的JPG文件格式有一定的区别。当用户遇到这种格式的文件时，都可以采用“扇区深度修正”功能来修复文件。该功能的操作流程与“扇区快速修正”的操作一样。同时“扇区深度修正”包含了修正文件目录，这种功能需要的时间比“扇区快速修正”要多一些。下面是文件修复前后的比较：

图片修复前红框中的内容无法查看
图片修复后红框中的内容以可以查看
Office 文档修复前
Office 文档修复后

实现原理：
“扇区深度修正”是利用目录项中所记录的每个文件的大小和创建时间，然后在文件中找到对应的长度的标识和时间标识，重新组合数据，从而达到修复目的。

NIKON 图片部分结构
OFFICE 文件修改时间

3．修正扫描分区报错的BUG。
      由于一些FLASH设备，如U盘，存储卡经常在不同电脑上使用。很有可能被感染上一些病*文件，有些病*文件直接破坏FAT分区表中相关参数，导致在访问这一分区数据的时候，形成一个死循环，造成程序崩溃，这就是著名的“FAT分区表逻辑炸弹”。在FLASH4.0程序中已解决这种问题，当扫描到这种错误的时候，程序不会再出现崩溃，并能正确访问分区。
4．优化“提取数据”功能
      由于FLASH数据不连续*的分布，数据需要通过大量的算法组合后才能提取，在早期的版本中，数据收集完成后，直接提取数据前，需要等待程序处理大量的数据，即缓冲过程。如不等待一两分钟，直接进入提取数据界面，很可能查看不到数据。在FLASH4.0升级功能后，由于优化了算法，直接进入提取数据介面也不会影响数据恢复。
技术前瞻：
1．一键自动化恢复
      效率源技术研发部，为了简化FLASH数据恢复大师的使用和提高数据恢复大师的成功率，把“一键自动化恢复”作为研发方向。在大量FLASH数据恢复大师成功恢复出数据的案例中，将把大量成功案例的分析经验集成到程序里面，自动匹对客户数据。简化操作，提高成功率。
2．增加物理页交换
      物理页交换是指对多个通道的FLASH 数据组合，在第一个通道上存储第一个页，再在第二个通道上存储第二个页，然后又回到第一个通道上存储第三个页，依次类推的存储下去。这种算法是按物理位置进行，在前面的版本中效率源FLASH数据恢复大师支持多通道间的扇区交换，这是以一个节区为交换单位。而物理页交换是以页大小为交换单位，原理基本上一样。

3．增加块间旋转
块的含义我们在前面已经介绍过，这是个抽象的概念。块间旋转是只在不同的块之间，数据交错存储，这与以前的程序中通道间交换类似，但原理上有细微的区别。

U盘的数据加密一般是分为四种：
A、非运算加密。主控芯片将所有数据的内容通过取反的方式进行加密。这种加密方式，在FLASH数据恢复大师中已有解决办法。典型的主控有：SM321QF等等。
B、数据被上层软件加密。数据在拷贝到FLASH存储设备之前已经被上层软件加密。该类加密不会改变主控里的ID信息，一般用于保密数据比较多，上层软件可用：DES、MD5等加密算法。该数据的恢复，需要对上层加密软件破解才可以实现。
C、数据被主控完全加密。该类加密方式是通过密匙文件，对数据流进行异或运算，从而达到加密的目的。做这类数据的恢复，需要找到该主控对应的密文，通过异或运算，实现解密。该类主控有：6690，PS2251等。该类主控的密文及算法将在后期升级公布。
D、SANDISK U盘加密，属于主控存储算法加密，目前市面上还没有解决的完善方案，效率源研发部门正在对其进行技术攻关。