涉密硬盤數(shù)據(jù)恢復研究

在信息化和網(wǎng)絡化時代，紙質(zhì)化辦公轉向電子化辦公，不管是政府、企業(yè)、軍隊還是個人，每天都需要通過電腦獲取、處理大量信息，但作為信息存儲載體的磁盤卻不是萬無一失的，磁盤故障、病毒破壞、黑客攻擊、自然災害等意外事故都可能引發(fā)數(shù)據(jù)災難。硬盤有價，數(shù)據(jù)無價，一旦災難發(fā)生，輕則導致一筆合同的延誤，重則導致一個企業(yè)的破產(chǎn)，而政府、軍隊的涉密數(shù)據(jù)一旦非法外泄，甚至可能危及國家安全。因此，數(shù)據(jù)恢復是不亞于醫(yī)生治病救人的神圣工作，且其更肩負著國家秘密與商業(yè)秘密不外泄的重任！本文將介紹常用系統(tǒng)的文件結構、數(shù)據(jù)恢復常用工具，就中央和國家機關保密技術服務中心涉密數(shù)據(jù)恢復中心開展數(shù)據(jù)恢復業(yè)務以來遇到的案例進行具體列舉分析及總結。

一、Windows操作系統(tǒng)的分區(qū)結構及文件系統(tǒng)介紹

Windows作為目前主流的操作系統(tǒng)，能夠支持的分區(qū)結構包括MBR磁盤分區(qū)、動態(tài)磁盤分區(qū)及GPT磁盤分區(qū)。MBR磁盤分區(qū)是使用最為廣泛的一種分區(qū)結構，它也被稱為DOS分區(qū)，但它并不是一個僅僅應用于Windows操作系統(tǒng)平臺的分區(qū)結構，Linux系統(tǒng)、基于X86架構的UNIX系統(tǒng)都能夠支持MBR分區(qū)。

（一）Windows操作系統(tǒng)分區(qū)結構

1.MBR磁盤分區(qū)結構

MBR扇區(qū)位于整個磁盤的第一個扇區(qū)：按照C/H/S地址描述，即0柱面0磁頭1扇區(qū)；按照LBA地址描述，即0扇區(qū)，是一個特殊而重要的扇區(qū)。總共512字節(jié)的MBR扇區(qū)，由以下部分組成：

（1）引導程序：引導程序占用其中的前440字節(jié)，其地址在偏移0~偏移1B7H處。

（2）Windows磁盤簽名：Windows磁盤標簽占用引導程序后的4個字節(jié)，其地址在偏移1B8H~1BBH處，是Windows系統(tǒng)對硬盤初始化時寫入的一個磁盤標簽。

（3）分區(qū)表：偏移1BEH~偏移1FDH的64字節(jié)為硬盤分區(qū)表（DiskPartitionTable，DPT），這是MBR中非常重要的一個結構，也包含邏輯數(shù)據(jù)恢復中最為常用的信息。

（4）結束標志：扇區(qū)最后的兩個字節(jié)“55AA”（偏移1FEH~1FFH）是MBR的結束標志。

2.動態(tài)磁盤分區(qū)結構動態(tài)磁盤的磁盤配置信息存放在磁盤上，Windows的邏輯磁盤管理（LogicDiskManager，LDM）子系統(tǒng)負責管理動態(tài)盤。LDM的卷與MS-DOS分區(qū)的一個主要的不同點在于，LDM維護一個單獨的數(shù)據(jù)庫用來存儲系統(tǒng)動態(tài)盤的分區(qū)信息，包括多分區(qū)卷的設置。由于LDM封閉區(qū)域在磁盤的MS-DOS分區(qū)表中并沒有體現(xiàn)出來，所以被稱為軟分區(qū)，而MS-DOS分區(qū)被稱為硬分區(qū)。動態(tài)磁盤分區(qū)由下面三部分結構組成：

（1）MBR區(qū)：動態(tài)磁盤的第一個扇區(qū)和MBR磁盤一樣，是一個MBR，MBR的分區(qū)表中有一項MS-DOS類型的分區(qū)表項。在MBR區(qū)域的第7個扇區(qū)，也就是6號扇區(qū)，是動態(tài)磁盤的私有頭。私有頭是動態(tài)磁盤中非常重要的結構，它占用1個扇區(qū)，同時在LDM數(shù)據(jù)庫中還有兩個備份。

（2）LDM軟分區(qū)區(qū)域：這一部分用來給動態(tài)磁盤劃分軟分區(qū)。

（3）LDM數(shù)據(jù)庫區(qū)域：LDM數(shù)據(jù)庫占用動態(tài)磁盤最后的1MB的空間，其中含有私有頭的兩個備份，并且用特定的數(shù)據(jù)結構記錄著動態(tài)磁盤的結構信息。

3.GPT磁盤分區(qū)結構

GPT是GUIDPartitionTable的縮寫，其含義為“全局唯一標識磁盤分區(qū)表”。GPT磁盤分區(qū)由6部分結構組成：

（1）保護MBR：保護MBR位于GPT磁盤的第一個扇區(qū)，也就是0號扇區(qū)，由磁盤簽名、MBR磁盤分區(qū)表和結束標志組成。

（2）GPT頭：GPT頭位于GPT磁盤的第二個扇區(qū)，也就是1號扇區(qū)，該扇區(qū)是在創(chuàng)建GPT磁盤時生成的，GPT頭會定義分區(qū)表的起始位置、分區(qū)表的結束位置、每個分區(qū)表項的大小、分區(qū)表項的個數(shù)及分區(qū)表的校驗和等信息。

（3）分區(qū)表：分區(qū)表位于GPT磁盤的2~33號扇區(qū)，一共占用32個扇區(qū)，能夠容納128個分區(qū)表項，每個分區(qū)表項大小為128字節(jié)。因為每個分區(qū)表項管理一個分區(qū)，所以Windows系統(tǒng)允許GPT磁盤創(chuàng)建128個分區(qū)。

（4）分區(qū)區(qū)域：GPT分區(qū)區(qū)域通常都是起始于GPT磁盤的34號扇區(qū)，是整個GPT磁盤中最大的區(qū)域，由多個具體分區(qū)組成，如EFI系統(tǒng)分區(qū)（ESP）、微軟保留分區(qū)（MSR）、LDM元數(shù)據(jù)分區(qū)、LDM數(shù)據(jù)分區(qū)、OEM分區(qū)、主分區(qū)等。分區(qū)區(qū)域的起始地址和結束地址由GPT頭定義。

（5）GPT頭備份：GPT頭有一個備份，放在GPT磁盤的最后一個扇區(qū)，但這個GPT頭備份并不是GPT頭的簡單復制，他們結構雖然一樣，但是其中的參數(shù)卻又有一些區(qū)別。

（6）分區(qū)表備份：分區(qū)區(qū)域結束后，緊跟著就是分區(qū)表的備份，其地址在GPT頭備份扇區(qū)中有描述。分區(qū)表備份是對分區(qū)表32個扇區(qū)的完整備份。如果分區(qū)表被破壞，系統(tǒng)會自動讀取分區(qū)表備份，也就能夠正常地識別分區(qū)。

（二）Windows操作系統(tǒng)的文件系統(tǒng)

微軟的文件系統(tǒng)主要有FAT、NTFS和ExFAT：FAT文件系統(tǒng)有FAT12（目前已經(jīng)非常少見，本文將不再介紹）、FAT16、FAT32等3種類型；NTFS是目前微軟系統(tǒng)中主流的文件系統(tǒng)；ExFAT則是微軟近期剛推出的一種新的文件系統(tǒng)，主要針對移動介質(zhì)。

1.FAT16文件系統(tǒng)

FAT16文件系統(tǒng)是從微軟的DOS3.0系統(tǒng)開始使用的，它能夠支持大于16MB小于2GB的分區(qū)，Windows2000以上的操作系統(tǒng)可以創(chuàng)建4GB的FAT16分區(qū)，但與傳統(tǒng)的FAT16不兼容，該文件系統(tǒng)包含以下5個部分：

（1）DBR及其保留扇區(qū)：DBR的全稱為DOSBootRecord，含義是DOS引導記錄，也稱為操作系統(tǒng)引導記錄，在DBR之后往往有一些保留扇區(qū)。

（2）FAT1：FAT的全稱為FileAllocationTable，含義是文件分配表。FAT16一般有兩份FAT，F(xiàn)AT1是第一份，也是主FAT。

（3）FAT2：FAT2是FAT16的第二份文件分配表，也就是FAT1的備份，稱為備份FAT。

（4）FDT：FDT的全稱為FileDirectory（5）DATA：DATA也就是數(shù)據(jù)區(qū)，是FAT16文件系統(tǒng)的主要區(qū)域。

2.FAT32文件系統(tǒng)

FAT32文件系統(tǒng)是從微軟Windows95系統(tǒng)開始使用的，它能夠支持大于32MB小于32GB的分區(qū)。雖然第三方的格式化程序可以把超過32GB的分區(qū)格式化為FAT32，但微軟自身的系統(tǒng)不允許將大于32GB的分區(qū)格式化為FAT32文件系統(tǒng)，該系統(tǒng)共包含4個部分（與FAT16文件系統(tǒng)相似），分別為DBR及其保留扇區(qū)、FAT1、FAT2及DATA4個部分。

3.NTFS文件系統(tǒng)

NTFS文件系統(tǒng)是隨著WindowsNT操作系統(tǒng)的誕生而產(chǎn)生的，并隨著WindowsNT4跨入主力文件系統(tǒng)行列。它的優(yōu)點是安全性和穩(wěn)定性極其出色，在使用中不易產(chǎn)生文件碎片；同時還提供了容錯結構日志，可以將用戶的操作全部記錄下來，從而保護了系統(tǒng)的安全。NTFS主要由$Boot文件、$MFT文件、$MFTMirr文件及16個元文件組成。元文件主要有16個。

4.ExFAT文件系統(tǒng)

ExFAT全稱為ExtendedFileAllocationTableFileSystem，即擴展文件分配表，是微軟在WindowsEmbeded6.0中引入的一種適合于閃存的文件系統(tǒng)。該文件系統(tǒng)由以下5部分組成：

（1）DBR及其保留扇區(qū)：DOS引導記錄，也稱為操作系統(tǒng)引導記錄。在DBR之后往往有一些保留扇區(qū)，其中12號扇區(qū)為DBR的備份。

（2）FAT：FAT的全稱為FileAllocationTable，含義是文件分配表。

（3）簇位圖文件：簇位圖文件是ExFAT文件系統(tǒng)中的一個元文件，類似于NTFS文件系統(tǒng)中的元文件$BitMap，用來管理分區(qū)中簇的使用情況。

（4）大寫字符文件：是ExFAT文件系統(tǒng)中的第二個元文件，類似于NTFS文件系統(tǒng)中的源文件$UpCase，Unicode字母表中每一個字符在這個文件中都有一個對應的條目，用于比較、排序、計算Hash值等方面。

（5）用戶數(shù)據(jù)區(qū)：是ExFAT文件系統(tǒng)的主要區(qū)域，用來存放用戶的文件及目錄。

二、數(shù)據(jù)恢復常用軟件介紹

（一）Victoria硬盤壞道檢測軟件

Victoria是在Windows環(huán)境下功能強大的硬盤壞道檢測工具，該軟件具備硬盤表面檢測/硬盤壞道修復/cache緩存控制等功能。對于存在壞道但可以正常使用的硬盤，該軟件可以檢測發(fā)現(xiàn)硬盤壞道，越早發(fā)現(xiàn)壞道，可修復的概率就越高。在數(shù)據(jù)恢復業(yè)務中主要用該軟件來檢測硬盤的壞道有多少，從而根據(jù)數(shù)據(jù)類型估算數(shù)據(jù)的可恢復性及完整性。

（二）R-Studio數(shù)據(jù)恢復軟件

R-Studio是一款功能強大的數(shù)據(jù)恢復軟件，它針對各種不同版本的Windows操作系統(tǒng)的文件系統(tǒng)都能應付自如。R-Studio軟件也可以針對非Windows系列的Linux操作系統(tǒng)進行數(shù)據(jù)恢復。而在WindowsNT、Windows2000、Windows7等操作系統(tǒng)上所使用的NTFS文件系統(tǒng)，R-Stduio亦具有處理的能力，而且R-Studio甚至也能處理NTFS文件系統(tǒng)的加密與壓縮狀態(tài)，并將發(fā)生問題的文件復原。同時，高版本的R-Studio也增加了RAID重組功能，可以虛擬重組RAID的類型包括RAID0、RAID5等，并支持陣列的缺失重組。實際數(shù)據(jù)恢復業(yè)務中主要是用該軟件對已存在分區(qū)表的硬盤進行數(shù)據(jù)恢復或者進行硬盤的分區(qū)表掃描等操作。

（三）SuperRecovery超級硬盤數(shù)據(jù)恢復軟件

SrperRecovery軟件是一款功能強大、簡單易用的數(shù)據(jù)恢復軟件，該軟件可快速恢復被誤刪除、被格式化、分區(qū)丟失、分區(qū)被覆蓋等數(shù)據(jù)。該軟件支持FAT、FAT32、NTFS等Windows操作系統(tǒng)常用分區(qū)格式，支持按文件類型進行掃描的數(shù)據(jù)恢復，支持的文件類型包括Word、Excel、PowerPoint、JPG、MP4、RAR、CAD等常用文件類型。該軟件主要針對硬盤的分區(qū)掃描、按文件類型掃描等需求進行相關數(shù)據(jù)恢復。

（四）PC-3000硬盤修復工具

PC-3000是由俄羅斯著名硬盤實驗室——ACELaboratory研究開發(fā)的專業(yè)修復硬盤綜合工具，該工具包含硬件及軟件。操作人員可通過PC-3000工具的軟硬件結合對硬盤固件進行讀取、屏蔽壞道、壞扇區(qū)、壞磁頭等，可進行硬盤數(shù)據(jù)的快速拷貝，也可更改硬盤SN號、容量大小等信息。PC-3000的強大之處在于，該工具軟件已經(jīng)對市面上絕大部分的廠商生產(chǎn)的硬盤專用CPU指令集進行了破解，讀取出大部分硬盤的Firmware（固件），從而控制硬盤內(nèi)部的工作，使用戶可以用簡單的操作就能解決復雜的問題。在數(shù)據(jù)恢復業(yè)務中，PC-3000是處理數(shù)據(jù)恢復工作的重要工具，數(shù)據(jù)的備份、固件的修復及硬盤的檢測都需要該工具來完成。

（五）WinHex

WinHex是一款以通用的16位進制編輯器為核心，專門用來處理計算機取證、數(shù)據(jù)恢復、低級數(shù)據(jù)處理等問題的高級工具，它可以用來檢查和修復各種文件、恢復誤刪除文件、恢復磁盤損壞造成的數(shù)據(jù)丟失等。WinHex中集成了很多功能強大的工具，包括磁盤編輯器、Hex轉換器和RAM編輯工具，并能夠方便地調(diào)用系統(tǒng)常用工具，如計算器、筆記本、瀏覽器等。WinHex功能強大、使用簡單，在數(shù)據(jù)恢復業(yè)務中，主要用來查看分區(qū)表、文件系統(tǒng)及文件的底層結構，用于修復損壞的文件系統(tǒng)及分區(qū)系統(tǒng)，重組陣列硬盤的數(shù)據(jù)等。

三、數(shù)據(jù)恢復案例解析

（一）硬盤壞道、文件目錄損壞等

案例信息

某單位工作人員攜帶希捷ST500DM002硬盤送至我中心，稱其開機后無法正常進入系統(tǒng)，出現(xiàn)藍屏現(xiàn)象，硬盤沒有摔碰等物理損壞行為，望數(shù)據(jù)恢復中心將硬盤內(nèi)數(shù)據(jù)恢復。

1.故障現(xiàn)象工作人員首先對外觀進行了觀察，硬盤外觀完好。隨后，將硬盤接入我中心專用數(shù)據(jù)恢復設備，通電后硬盤正常識別，且利用Victoria軟件測試硬盤的容量和型號均正常，但部分硬盤數(shù)據(jù)無法訪問，提示文件目錄錯誤。

2.故障原因分析

（1）壞道。如果硬盤存在壞道且壞道位于目錄區(qū)，文件系統(tǒng)無法解析，則操作系統(tǒng)文件無法正常加載，以致開機后藍屏。

（2）文件系統(tǒng)邏輯損壞。意外斷電、非正常關機等情況可能致使硬盤目錄區(qū)被緩存文件破壞，從而導致電腦無法從硬盤讀取數(shù)據(jù)。

3.恢復過程

（1）在判斷該硬盤可正常運行后，工作人員將硬盤接入專用設備利用PC-3000對硬盤進行整盤克隆備份。

（2）克隆完成后，將原故障盤放入硬盤存放柜，將備份硬盤連接至專用設備，使用數(shù)據(jù)提取軟件展開分區(qū)時提示“該區(qū)域不包含有效的分區(qū)結構”。用WinHex查看硬盤底層代碼結構，我們發(fā)現(xiàn)硬盤的分區(qū)結構是完好的，該硬盤包含3個NTFS分區(qū)，分區(qū)的DBR（DOS引導記錄）也沒有異常，但是當我們跳轉到系統(tǒng)分區(qū)（C區(qū)）的目錄區(qū)（$MFT）時，發(fā)現(xiàn)該區(qū)域前8個扇區(qū)的代碼全部為00字節(jié)，由于這8個扇區(qū)在硬盤中是有備份的，因此我們跳轉到備份目錄區(qū)（$MFTMirr），發(fā)現(xiàn)備份是完好的，由于NTFS的目錄和備份目錄是同步讀寫的，如果目錄發(fā)生變化，則備份目錄必然同步改變，而現(xiàn)在備份目錄完好而目錄本身全是00字節(jié)，這就驗證了我們一開始分析的原因，這是硬盤壞道引起的。

（3）找到原因之后，有兩種方式可恢復數(shù)據(jù)。其一，在WinHex中將$MFTMirr前8個扇區(qū)粘貼到$MFT對應的位置上，保存后，該分區(qū)恢復正常，通過數(shù)據(jù)提取軟件將數(shù)據(jù)提取至用戶所攜帶的數(shù)據(jù)拷貝盤中。其二，通過軟件對硬盤底層進行掃描，軟件可以按照文件目錄結構將其重新解析，然后再提取數(shù)據(jù)。

（4）數(shù)據(jù)恢復完成后，總大小及文件種類與用戶介紹的大體一致。

（5）將備份硬盤及數(shù)據(jù)拷貝盤放入存放柜，等待用戶進行數(shù)據(jù)驗證。

（二）硬盤磁頭未歸位、磁頭損壞

案例信息

某部委信息中心工作人員攜帶西數(shù)WD3200AAJS硬盤來我中心進行恢復，稱電腦在故障出現(xiàn)的前一天使用時突然斷電導致電腦未正常關機，第二天開機后設備無法識別硬盤，且硬盤在通電時有異響。1.故障現(xiàn)象

工作人員首先進行了外觀的檢測后確定硬盤外觀完好，然后，將硬盤連接上專用恢復用設備。通電后，硬盤無法起轉，且有規(guī)律地發(fā)出“嘀嘀嘀”異響，設備無法識別該硬盤的型號及容量。

2.故障原因分析

（1）硬盤無法起轉且發(fā)出規(guī)律性異響，可能是磁頭未歸回初始位置（西數(shù)該系列硬盤磁頭有起落架），導致通電后磁頭卡住碟片，主軸馬達抱死而無法起轉，磁頭無法正常移動，讀取不了硬盤固件代碼，因此電腦不識別該硬盤。此類故障只需手動協(xié)助磁頭回到起落架，即可使其恢復正常。

（2）如果將磁頭移回起落架后，硬盤通電仍無法識別且發(fā)出“咔咔咔”異響，則說明磁頭已出現(xiàn)物理損壞，需要用同型號硬盤磁頭將其更換方可恢復數(shù)據(jù)。

3.恢復過程

（1）工作人員在確定該盤為磁頭出現(xiàn)問題后，在百級潔凈間內(nèi)進行開盤。

（2）打開硬盤后發(fā)現(xiàn)磁頭未停放在起落架上，將磁頭推入起落架上，蓋上硬盤蓋。

（3）連接專用設備，硬盤加電后仍有異響，這說明硬盤的磁頭已經(jīng)損壞，硬盤的型號及容量仍無法被識別。

（4）斷電后，重啟開盤，取出磁頭可以用電子顯微鏡發(fā)現(xiàn)其前端讀寫部位已損壞，從備件庫中選取同一型號磁頭進行更換。

（5）更換磁頭后，將硬盤加電運行，硬盤運行聲音正常，經(jīng)過PC-3000對硬盤固件進行修復后，硬盤正常識別。

（6）將硬盤接入專用設備利用PC-3000進行硬盤全盤備份。

（7）備份完成后，將原故障盤放入硬盤存放柜，將備份硬盤連接至專用設備，用邏輯恢復軟件（R-Studio、SuperRecovery）進行數(shù)據(jù)整理與提取。將硬盤分區(qū)展開后，目錄及文件大小與用戶所說的基本一致，將其提取至用戶所攜帶的數(shù)據(jù)拷貝盤中。

（8）將備份硬盤及數(shù)據(jù)拷貝盤放入存放柜，等待用戶進行數(shù)據(jù)驗證。

（三）硬盤電路板損壞、電機損壞

案例信息

某軍工單位涉密電腦硬盤出現(xiàn)故障，故障出現(xiàn)前使用時無任何非正常操作，現(xiàn)開啟電腦，硬盤加電后無任何反應。該單位工作人員將該硬盤送至我中心進行數(shù)據(jù)恢復。

1.故障現(xiàn)象

工作人員首先進行了外觀的檢測后確定硬盤外觀完好，將硬盤接入專用設備后給硬盤通電，硬盤不旋轉，設備無法識別該硬盤的型號及容量。

2.故障分析原因

（1）硬盤通電后沒有反應，磁盤電機不啟動，此類問題可能由于電路板老化接觸不良、電路板燒毀、電路板電源接口老化等原因造成。

（2）硬盤通電后沒有反應，磁盤電機不啟動，此類問題也可能由于電機損壞而無法起轉所致。

3.恢復過程

（1）硬盤通電后無任何反應，工作人員初步判斷該硬盤故障可能由電路板損毀或硬盤電機損壞導致。

（2）將硬盤電路板拆下，觀察電路板情況，沒有發(fā)現(xiàn)明顯燒毀的芯片。

（3）工作人員從備件庫中找出同批次的硬盤電路板，將故障硬盤ROM芯片焊接至新主板上，將新主板安裝回硬盤，硬盤仍無任何反應。新主板在其他同型號硬盤上時，硬盤可以起轉，則判斷硬盤主板正常，此故障可能由電機損壞所致。

（4）在百級潔凈間內(nèi)對硬盤進行開盤，該硬盤由兩個碟片封裝而成，用記號筆在碟片側面對齊位置進行標記（防止碟片裝回后，兩碟片間發(fā)生大的偏移），取出碟片，將其平移至備件盤中。

（5）調(diào)平碟片，安裝好磁頭，將硬盤重新密封后通電。

（6）通電后硬盤正常運行，確定該故障由于硬盤電機損毀引起，經(jīng)過固件修復后，設備可正常識別出硬盤型號及容量。

（7）將硬盤接入專用設備利用PC-3000進行硬盤全盤備份。

（8）備份完成后，將原故障盤放入硬盤存放柜，將備份硬盤連接至專用設備，用邏輯恢復軟件（R-Studio、SuperRecovery）提取數(shù)據(jù)，恢復后的文件目錄及文件大小與用戶描述一致。

（9）將備份硬盤及數(shù)據(jù)拷貝盤放入存放柜，等待用戶進行數(shù)據(jù)驗證。

四、常用故障分析總結

（一）硬盤壞道、文件目錄損壞類故障

1.此類故障大體表現(xiàn)為硬盤通電后可正常運行，在BIOS中能正確識別該硬盤的型號與容量，但無法進入系統(tǒng)。

2.造成此類故障主要由文件系統(tǒng)受損導致，而受損原因可能為壞道或緩存異常回寫。

3.此類故障恢復的方式為重建受損的目錄區(qū)，或通過軟件完整掃描硬盤的目錄結構，從而通過數(shù)據(jù)恢復軟件（R-Studio、SuperRecovery）將其解析重建，然后就可提取數(shù)據(jù)。

（二）硬盤磁頭未歸位、磁頭損壞類故障

1.在目前市場使用較多的型號的硬盤系列中，意外斷電、非正常關機等情況最為常見，常會導致硬盤磁頭損壞。

2.出現(xiàn)異響是磁頭發(fā)生故障后最直觀的表現(xiàn)，此時應關閉電腦，防止反復通電造成磁頭劃傷硬盤碟片而使數(shù)據(jù)徹底丟失。

3.磁頭損壞類故障只能通過開盤方式進行恢復數(shù)據(jù)，無法直接通過軟件進行恢復。

（三）硬盤電路板損壞、電機損壞類故障

1.硬盤通電后不運轉，沒有反應，此類故障通常由硬盤電機損壞、電路板損壞造成。若由電機損壞造成，則需要更換電機，將盤片整體平移到正常的硬盤中進行數(shù)據(jù)恢復，此方法對單盤片的硬盤恢復有較好的效果，只需注意碟片正反不要搞錯即可，但若硬盤為多盤片，還需要在移動盤片的過程中注意盤片間的相對位移，若盤片間的相對位移出錯，后期數(shù)據(jù)恢復將有很大難度。

2.若此類故障由電路板損壞造成，則可通過更換同型號主板，再交換ROM芯片來實現(xiàn)恢復。注意，ROM芯片相當于硬盤的身份證，對每一塊硬盤來說都是唯一的，對數(shù)據(jù)恢復有著至關重要的作用，在更換ROM芯片過程中，切忌將其弄混或焊壞。

五、結語

在涉密數(shù)據(jù)恢復業(yè)務開展實際工作中，遇到過各種介質(zhì)的數(shù)據(jù)恢復問題，比如閃存介質(zhì)的數(shù)據(jù)恢復問題，需要工程師對閃存內(nèi)部電路及芯片進行深入分析；RAID磁盤陣列的數(shù)據(jù)恢復問題，需要工程師對受損硬盤進行修復后再對整個磁盤陣列進行重組，這需要對數(shù)據(jù)的邏輯結構有更進一步的了解；有的數(shù)據(jù)文件格式比較少見（軟件無法掃描到），或者恢復出來的數(shù)據(jù)已經(jīng)被病毒損壞，則需要工程師對文件底層結構進行分析，并人工對文件進行提取，對于這些故障的解決方法將在以后的文章中總結出來。由于硬盤的數(shù)據(jù)恢復是一門專業(yè)性、操作性要求都比較高的工作，所以想要提高數(shù)據(jù)恢復技術、提高數(shù)據(jù)恢復的成功率，應多學習數(shù)據(jù)恢復理論知識、多動手操作、多累積實踐經(jīng)驗。

（作者：宏鵬 曲天光）