數據恢復基礎知識

說到數據恢復，我們就不能不提到硬盤的數據結構、文件的存儲原理，甚至操作系統的啓動流程，這些是你在恢復硬盤數據時不得不利用的基本知識。即使你不需要恢復數據，理解了這些知識（即使只是稍微多知道一些），對於你平時的電腦操作和應用也是很有幫助的。
  我們就從硬盤的數據結構談起吧……
硬盤數據結構
  初買來一塊硬盤，我們是沒有辦法使用的，你需要將它分區、格式化，然後再安裝上操作系統纔可以使用。就拿我們一直沿用到現在的 Win9x/Me 系列來說，我們一般要將硬盤分成主引導扇區、操作系統引導扇區、 FAT 、 DIR 和 Data 等五部分（其中只有主引導扇區是唯一的，其它的隨你的分區數的增加而增加）。
  主引導扇區
  主引導扇區位於整個硬盤的 0 磁道 0 柱面 1 扇區，包括硬盤主引導記錄 MBR （ Main Boot Record ）和分區表 DPT （ Disk Partition Table ）。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區爲引導分區，並在程序結束時把該分區的啓動程序（也就是操作系統引導扇區）調入內存加以執行。至於分區表，很多人都知道，以 80H 或 00H 爲開始標誌，以 55AAH 爲結束標誌，共 64 字節，位於本扇區的最末端。值得一提的是， MBR 是由分區程序（例如 DOS  的 Fdisk.exe ）產生的，不同的操作系統可能這個扇區是不盡相同。如果你有這個意向也可以自己去編寫一個，只要它能完成前述的任務即可，這也是爲什麼能實現多系統啓動的原因（說句題外話 : 正因爲這個主引導記錄容易編寫，所以纔出現了很多的引導區病毒）。
  操作系統引導扇區
OBR （ OS Boot Record ）即操作系統引導扇區，通常位於硬盤的 0 磁道 1 柱面 1 扇區（這是對於 DOS 來說的，對於那些以多重引導方式啓動的系統則位於相應的主分區 / 擴展分區的第一個扇區），是操作系統可直接訪問的第一個扇區，它也包括一個引導程序和一個被稱爲 BPB （ BIOS Parameter Block ）的本分區參數記錄表。其實每個邏輯分區都有一個 OBR ，其參數視分區的大小、操作系統的類別而有所不同。引導程序的主要任務是判斷本分區根目錄前兩個文件是否爲操作系統的引導文件（例如 MSDOS 或者起源於 MSDOS 的 Win9x/Me 的 IO.SYS 和 MSDOS.SYS ）。如是，就把第一個文件讀入內存，並把控制權交予該文件。 BPB 參數塊記錄着本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、 FAT 個數、分配單元（ Allocation Unit ，以前也稱之爲簇）的大小等重要參數。 OBR 由高級格式化程序產生（例如 DOS  的 Format.com ）。  
文件分配表
　　  FAT(File Allocation Table)即文件分配表，是DOS/Win9x系統的文件尋址系統，爲了數據安全起見，FAT一般做兩個，第二FAT爲第一FAT的備份, FAT區緊接在OBR之後，其大小由本分區的大小及文件分配單元的大小決定。關於FAT的格式歷來有很多選擇，Microsoft 的DOS及Windows採用我們所熟悉的FAT12、FAT16和FAT32格式，但除此以外並非沒有其它格式的FAT，像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
　　  目錄區
　　  DIR是Directory即根目錄區的簡寫，DIR緊接在第二FAT表之後,只有FAT還不能定位文件在磁盤中的位置，FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄着每個文件（目錄）的起始單元（這是最重要的）、文件的屬性等。定位文件位置時，操作系統根據DIR中的起始單元，結合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區之後，纔是真正意義上的數據存儲區，即DATA區。
　　  數據區
　　  DATA雖然佔據了硬盤的絕大部分空間，但沒有了前面的各部分，它對於我們來說，也只能是一些枯燥的二進制代碼，沒有任何意義。在這裏有一點要說明的是，我們通常所說的格式化程序（指高級格式化，例如DOS下的Format程序），並沒有把DATA區的數據清除，只是重寫了FAT表而已，至於分區硬盤，也只是修改了MBR和OBR，絕大部分的DATA區的數據並沒有被改變，這也是許多硬盤數據能夠得以修復的原因。但即便如此，如MBR/OBR/FAT/DIR之一被破壞的話，也足夠咱們那些所謂的DIY老鳥們忙乎半天了……需要提醒大家的是，如果你經常整理磁盤，那麼你的數據區的數據可能是連續的，這樣即使MBR/FAT/DIR全部壞了，我們也可以使用磁盤編輯軟件（比如DOS下的DiskEdit），只要找到一個文件的起始保存位置，那麼這個文件就有可能被恢復（當然了，這需要一個前提，那就是你沒有覆蓋這個文件……）。
　　  硬盤分區方式
　　  我們平時說到的分區概念，不外乎三種:主分區、擴展分區和邏輯分區。
　　  主分區是一個比較單純的分區，通常位於硬盤的最前面一塊區域中，構成邏輯C磁盤。在主分區中，不允許再建立其它邏輯磁盤。
　　  擴展分區的概念則比較複雜，也是造成分區和邏輯磁盤混淆的主要原因。由於硬盤僅僅爲分區表保留了64個字節的存儲空間，而每個分區的參數佔據16個字節，故主引導扇區中總計可以存儲4個分區的數據。操作系統只允許存儲4個分區的數據，如果說邏輯磁盤就是分區，則系統最多隻允許4個邏輯磁盤。對於具體的應用，4個邏輯磁盤往往不能滿足實際需求。爲了建立更多的邏輯磁盤供操作系統使用，系統引入了擴展分區的概念。 
所謂擴展分區，嚴格地講它不是一個實際意義的分區，它僅僅是一個指向下一個分區的指針，這種指針結構將形成一個單向鏈表。這樣在主引導扇區中除了主分區外，僅需要存儲一個被稱爲擴展分區的分區數據，通過這個擴展分區的數據可以找到下一個分區（實際上也就是下一個邏輯磁盤）的起始位置，以此起始位置類推可以找到所有的分區。無論系統中建立多少個邏輯磁盤，在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁盤。
　　  需要特別注意的是，由於主分區之後的各個分區是通過一種單向鏈表的結構來實現鏈接的，因此，若單向鏈表發生問題，將導致邏輯磁盤的丟失。
　　  數據存儲原理
　　  既然要進行數據的恢復，當然數據的存儲原理我們不能不提，在這之中，我們還要介紹一下數據的刪除和硬盤的格式化相關問題……
　　  文件的讀取
　　  操作系統從目錄區中讀取文件信息（包括文件名、後綴名、文件大小、修改日期和文件在數據區保存的第一個簇的簇號），我們這裏假設第一個簇號是0023。
　　  操作系統從0023簇讀取相應的數據，然後再找到FAT的0023單元，如果內容是文件結束標誌（FF），則表示文件結束，否則內容保存數據的下一個簇的簇號，這樣重複下去直到遇到文件結束標誌。
　　  文件的寫入
　　  當我們要保存文件時，操作系統首先在DIR區中找到空區寫入文件名、大小和創建時間等相應信息，然後在Data區找到閒置空間將文件保存，並將Data區的第一個簇寫入DIR區，其餘的動作和上邊的讀取動作差不多。
　　  文件的刪除
　　  看了前面的文件的讀取和寫入，你可能沒有往下邊繼續看的信心了，不過放心，Win9x的文件刪除工作卻是很簡單的，簡單到只在目錄區做了一點小改動——將目錄區的文件的第一個字符改成了E5就表示將改文件刪除了。
　　  Fdisk和Format的一點小說明
　　  和文件的刪除類似，利用Fdisk刪除再建立分區和利用Format格式化邏輯磁盤（假設你格式化的時候並沒有使用/U這個無條件格式化參數）都沒有將數據從DATA區直接刪除，前者只是改變了分區表，後者只是修改了FAT表，因此被誤刪除的分區和誤格式化的硬盤完全有可能恢復……
　　  系統啓動流程
　　  各種不同的操作系統啓動流程不盡相同，我們這裏以Win9x/DOS的啓動流程爲例。
第一階段:系統加電自檢POST過程。POST是Power On Self Test的縮寫，也就是加電自檢的意思，微機執行內存FFFF0H處的程序（這裏是一段固化的ROM程序），對系統的硬件（包括內存）進行檢查。
第二階段 : 讀取分區記錄和引導記錄。當微機檢查到硬件正常並與 CMOS 設置相符後，按照 CMOS 設置從相應設備啓動（我們這裏假設從硬盤啓動），讀取硬盤的分區記錄（ DPT ）和主引導記錄（ MBR ）。
第三階段 : 讀取 DOS 引導記錄。微機正確讀取分區記錄和主引導記錄後，如果主引導記錄和分區表校驗正確，則執行主引導記錄並進一步讀取 DOS 引導記錄（位於每一個主分區的第一個扇區），然後執行該 DOS 引導記錄。
第四階段 : 裝載系統隱含文件。將 DOS 系統的隱含文件 IO.SYS 入內存，加載基本的文件系統 FAT ，這時候一般會出現 Starting Windows 9x... 的標誌， IO.SYS 將 MS.SYS 讀入內存，並處理 System.dat 和 User.dat 文件，加載磁盤壓縮程序。
第五階段 : 實 DOS 模式配置。系統隱含文件裝載完成，微機將執行系統隱含文件，並執行系統配置文件（ Config.sys ），加載 Config.sys 中定義的各種驅動程序。
第六階段 : 調入命令解釋程序 (Command.com) 。系統裝載命令管理程序，以便對系統的各種操作命令進行協調管理（我們所使用的 Dir 、 Copy 等內部命令就是由 Command.com 提供的）。
第七階段 : 執行批處理文件 (Autoexec.bat) 。微機將一步一步地執行批處理文件中的各條命令。
第八階段 : 加載 Win.com 。 Win.com 負責將 Windows 下的各種驅動程序和啓動執行文件加以執行，至此啓動完畢。
  數據恢復的基礎知識到此就給你介紹得差不多了。如果你領會了以上的這些知識，相信加上工具軟件的輔助，恢復你丟失的數據簡直是輕而易舉，這裏就不再多說.