移動硬盤RAW格式數(shù)據(jù)恢復技術研究

關鍵詞：移動硬盤；RAW格式；數(shù)據(jù)恢復技術

0 引言

作為常見的數(shù)據(jù)存儲設備，移動硬盤在日常使用過程中可能會遭遇多種數(shù)據(jù)丟失問題，其中之一是移動硬盤轉變?yōu)镽AW格式。當移動硬盤呈現(xiàn)RAW格式時，用戶無法直接獲取硬盤內部數(shù)據(jù)，這給數(shù)據(jù)的使用和恢復造成了諸多困擾。因此，深入研究移動硬盤RAW格式數(shù)據(jù)恢復技術具有十分重要的意義。本文旨在探究基于硬件的數(shù)據(jù)恢復方法在處理移動硬盤RAW格式數(shù)據(jù)恢復中的應用，以期為數(shù)據(jù)恢復技術的進一步研究提供有益參考。

1 數(shù)據(jù)存儲單元

在信息學中，未經(jīng)處理的原始信息稱為“數(shù)據(jù)”。數(shù)據(jù)是指以數(shù)字媒體存儲和傳輸?shù)男盘柣蛭淮慕y(tǒng)稱。在信息系統(tǒng)的記錄介質中，緊湊形式的信息確保了信息可以被軟件處理，這被稱為數(shù)據(jù)。數(shù)字數(shù)據(jù)存儲在磁性和光學盤片以及電子存儲單元中。數(shù)據(jù)存儲介質在使用目的、連接類型和數(shù)據(jù)記錄技術方面各不相同。內部或外部磁盤、相機、平板電腦、手機、閃存驅動器、CD/DVD/藍光光盤和存儲卡是日常生活中經(jīng)常使用的數(shù)據(jù)存儲介質[1]。

1.1 移動硬盤的組成結構

移動硬盤于1956年首次由IBM公司推出。從外觀上觀察，移動硬盤由兩部分組成。第一部分是印刷電路板（PCB） ，其中包含硬盤的電子電路元件、電源和數(shù)據(jù)接口。第二部分是金屬外殼，稱為硬盤裝配體（HDA） ，其中包含數(shù)據(jù)讀取/記錄頭、金屬盤片（盤片）、馬達和磁鐵。硬盤旋轉的金屬盤片表面具有磁性特性。當特定于硬盤結構時，計算機中使用的二進制數(shù)據(jù)（1和0） 被磁性地保留在這些盤片上。通過位于盤片上方和下方的數(shù)據(jù)讀寫頭，可以訪問盤片上的數(shù)據(jù)，并通過感應的方式實現(xiàn)數(shù)據(jù)的讀取和寫入。移動硬盤的組件如圖1所示。

移動硬盤可以根據(jù)其連接接口分為Pata（并行ATA-IDE） 、SATA（串行ATA） 、SAS（串行連接SCSI） 、SCSI（小型計算機系統(tǒng)接口）、Zif/Lif（低插入力）等類型。由于移動硬盤具有持續(xù)可用性、高容量、可擴展性、優(yōu)異性能和數(shù)據(jù)保護等特點，企業(yè)公司通常在DAS、SAN或NAS系統(tǒng)上使用配置了RAID級別（1、5、6、10等）的移動硬盤。DAS類型的存儲設備是服務器計算機的一部分，它類似于計算機移動硬盤，或者直接連接到服務器。為了使網(wǎng)絡上的計算機能夠訪問存儲空間，必須先訪問服務器計算機。NAS由移動硬盤和設備管理軟件組成，被配置為在網(wǎng)絡上共享其文件。SAN是一種高性能存儲網(wǎng)絡，獨立于本地網(wǎng)絡運行，位于存儲區(qū)域和服務器之間。因此，SAN提供了服務器和數(shù)據(jù)存儲單元之間的同時數(shù)據(jù)傳輸和通信。DAS和NAS提供文件級共享，而SAN傳輸大數(shù)據(jù)塊[2]。

1.2 固態(tài)硬盤（SSDs）

固態(tài)硬盤（Solid-State Disk，SSDs） 采用了與閃存驅動器和存儲卡相似的電子數(shù)據(jù)寫入/讀取技術，目前已被廣泛用作全球的數(shù)據(jù)存儲單元。由于其內部或頂部不包含機械（可移動）系統(tǒng)，因此被稱為“固態(tài)硬盤”。隨著半導體技術的發(fā)展，從用于電子電路的真空管到基于固態(tài)的晶體管的過渡，人們選擇了“固態(tài)硬盤”這一術語，意在表明其結構固定且不含磁旋轉盤和電機系統(tǒng)，以避免與過去的技術混淆。由于不包含可移動部件，SSD的優(yōu)點包括靜音運行、運動速度不會引起發(fā)熱問題，以及具有電子讀寫功能，速度更快[3]。與移動硬盤不同，SSD不受外部沖擊的影響，并且突然失效的可能性較小。然而，與硬盤相比，從失效的SSD中恢復數(shù)據(jù)要困難得多。SSD單元具有一定數(shù)量的寫入次數(shù)限制，當達到該數(shù)量時，該單元將變得無法訪問。為了占據(jù)更少的物理空間并提供更高的速度，SSD以不同的形狀和大小生產(chǎn)，常見的SSD 接口有Sata、M.2 SATA、mSata和NVMe等類型[4]。

2 數(shù)據(jù)恢復方法

通過使用特殊的硬件和軟件，使被刪除、加密或損壞的數(shù)據(jù)能夠被訪問，而這些數(shù)據(jù)無法通過正常手段或方法訪問，這被稱為“數(shù)據(jù)恢復”。選擇的數(shù)據(jù)恢復方法取決于數(shù)據(jù)丟失的原因[5]。

2.1 基于軟件的數(shù)據(jù)恢復

2.1.1 數(shù)據(jù)存儲和文件系統(tǒng)

盡管記錄數(shù)據(jù)的單元運行正常且沒有任何物理損壞，但無法訪問內部信息表明存在軟件問題。數(shù)據(jù)記錄環(huán)境中的數(shù)據(jù)區(qū)域被劃分為用戶區(qū)和系統(tǒng)區(qū)。系統(tǒng)區(qū)包括存儲單元操作所需的模塊，用于設備使用的系統(tǒng)文件（如定義磁盤品牌和容量信息、啟動設備的系統(tǒng)文件）以及哪些扇區(qū)是不可用的信息（P-list、G-list等），而用戶區(qū)則包含所有用戶文件。

2.1.2 文件系統(tǒng)操作和文件刪除

數(shù)據(jù)根據(jù)特定文件系統(tǒng)（如NTFS、FAT等）保存在存儲單元上。文件系統(tǒng)管理諸如命名、創(chuàng)建、刪除、修改、訪問日期等操作，以便將數(shù)據(jù)以文件和文件夾的形式組織在記錄介質中。根據(jù)用戶給出的刪除命令（而非擦除命令），文件并未完全從磁盤上刪除。以FAT文件系統(tǒng)為例，當刪除文件時，文件記錄的FAT 表中的文件名的第一個字符會被更改為“_”。這表示該文件所在的扇區(qū)已被標記為“現(xiàn)在可用”，從而使被刪除的文件不可見，如圖2所示。

2.1.3 數(shù)據(jù)恢復的邏輯和技術

由于文件的數(shù)據(jù)受到保護，因此可以通過邏輯排列來恢復數(shù)據(jù)。文件系統(tǒng)中保存了兩種類型的文件信息：第一種是相關文件的名稱、屬性和簇；第二種是這些簇的列表，如果相關文件不適合相應的簇，則會被寫入下一個簇或隨機簇。如果要執(zhí)行原始恢復且此列表不可用，則無法完全恢復文件，或者必須花費大量時間才能恢復文件[6]。

2.1.4 系統(tǒng)區(qū)損壞和加密數(shù)據(jù)的影響

系統(tǒng)區(qū)中的定義和地址為訪問文件提供了基礎。如果這些結構不可訪問（如刪除、損壞等），則無法讀取操作系統(tǒng)存儲介質中的文件和文件夾。只有在系統(tǒng)區(qū)中的文件受損時，才能通過修復這些文件來訪問數(shù)據(jù)。數(shù)據(jù)加密的目的是讓選定的人員可以訪問，這可以被定義為數(shù)據(jù)隱藏。例如，使用Bitlocker、TrueCrypt、FileVault等軟件加密的硬盤中的數(shù)據(jù)，唯一的訪問方式是知曉密碼。

2.1.5 數(shù)據(jù)恢復軟件和工具

數(shù)字取證領域也使用專門開發(fā)的數(shù)據(jù)恢復操作程序。其中一些軟件介紹如表1所示。

這些軟件可以恢復因任何原因而損壞或刪除的文件或分區(qū)，以及由于硬件或系統(tǒng)崩潰而導致的數(shù)據(jù)丟失，并且還可以從RAID磁盤中恢復刪除的數(shù)據(jù)和配置信息[7]。

2.2 基于硬件的數(shù)據(jù)恢復

2.2.1 移動硬盤的硬件結構和潛在問題

移動硬盤是由旋轉盤片、驅動電機、數(shù)據(jù)讀取臂和磁頭組成的設備。盤片和數(shù)據(jù)讀取頭之間的距離非常精確，甚至肉眼難以察覺，因此在這個空間中不應存在任何異物，如灰塵、頭發(fā)、濕氣等，如圖3所示。否則，該區(qū)域的數(shù)據(jù)可能無法讀取，與之關聯(lián)的信息集也無法解釋。如果磁盤的讀/寫頭接觸到盤片表面，可能會因物理損害（如硬盤掉落等原因）在接觸點形成死區(qū)，導致數(shù)據(jù)無法寫入/讀取[8]。

因此，在這個空間中不應存在任何異物。否則，該區(qū)域的數(shù)據(jù)可能無法讀取，并且與之關聯(lián)的信息集也無法解釋。此外，如果磁盤的讀/寫頭因硬盤掉落等原因而接觸到盤面，這個區(qū)域可能會受到物理損壞。在這種情況下，數(shù)據(jù)無法被寫入/讀取的接觸點會形成死區(qū)。死區(qū)是由物理沖擊引起的，因此不可能從這些區(qū)域恢復數(shù)據(jù)。

2.2.2 硬盤的印刷電路板故障處理

如果硬盤的印刷電路板由于電氣或物理效應而無法工作，應該使用合適的印刷電路板進行更換，必要時可替換ROM芯片，這是數(shù)據(jù)恢復中常用的方法之一[9]。同樣，如果由于印刷電路板上的一個或多個元件失去了功能，導致該電路板上的相關元件無法正常工作，則可以通過更換電路板上的相關元件來進行數(shù)據(jù)恢復。在這種物理故障中，如果記錄數(shù)據(jù)的磁盤表面未受到物理損傷，就不會發(fā)生數(shù)據(jù)丟失。

2.2.3 物理加密和高級數(shù)據(jù)恢復

一些最新生產(chǎn)的硬盤（WD、Hitachi、Toshiba等）可能由于某些原因會鎖定自身（SED） 或進行加密。在這種情況下，可以借助先進的數(shù)據(jù)恢復軟件和硬件訪問數(shù)據(jù)。當硬盤的馬達或磁頭堆組件發(fā)生故障時，需要提供一個與損壞硬盤幾乎相同的硬盤（品牌、型號、DCM、前置型號等相同）來恢復數(shù)據(jù)。可以通過將損壞硬盤中的盤片插入完好硬盤，或將完好硬盤的承載臂移動到損壞驅動器來解決問題。在這些操作期間，最重要的一點是保護盤面免受任何異物（包括灰塵顆粒）的接觸。這些操作應在數(shù)據(jù)恢復實驗室的潔凈/ 無塵室（潔凈室）中進行，因為與常規(guī)室內環(huán)境相比，潔凈室內顆粒物（灰塵、毛發(fā)、濕氣）的比例要小得多。

2.2.4 光學介質的數(shù)據(jù)恢復

使用光學寫入－讀取技術的記錄介質可能很容易受損，因為它們沒有任何蓋子或框架來保護它們免受外部因素的影響。光學介質由不同的層組成。記錄數(shù)據(jù)的層根據(jù)光學介質的類型而變化，但不位于光盤的頂部或底部。如果被劃傷，可以通過濕潤這部分并用非常細的砂紙輕輕擦拭而不造成新的劃痕來訪問數(shù)據(jù)。使用光學介質清潔和填充工具來覆蓋介質表面上的深度劃痕。與磁盤和閃存驅動器相比，光學介質在將數(shù)據(jù)寫入的區(qū)域方面最重要的區(qū)別是它們由一個單一的圓形軌道組成。圓形結構從光學介質的內部開始，向外部延伸。由于光學介質的這種結構，水平劃痕而不是垂直劃痕會導致更多的數(shù)據(jù)丟失。因此，在清潔光學介質時不應產(chǎn)生圓形劃痕。

為了從破損的光學介質中恢復數(shù)據(jù)，需要將碎片拼合并粘合。如果使用這種方法無法恢復數(shù)據(jù)，則可以使用激光從破損區(qū)域切割損壞的部分。然后，通過激光切割另一塊相同尺寸的空白光學介質，并將其放置在先前光學介質切割的位置。它應該粘貼在反射表面上以反射光。重要的是要注意避免任何殘留物和水平差異。使用這種方法，可以從光學介質中恢復大部分數(shù)據(jù)。

如果光學介質呈凹形，但沒有裂縫/破損，可以將光學介質放置在真空加熱器中并使其與地板充分接觸。在光學介質上放置重物，并等待直到它變成直形。完成這些操作后，就能夠訪問數(shù)據(jù)了。

2.2.5 SSD 和閃存設備的數(shù)據(jù)恢復

從SSD 恢復數(shù)據(jù)時，由于SSD 印刷電路板上的SMD是可見的，因此可以使用下一個標題中描述的方法執(zhí)行數(shù)據(jù)恢復操作。如果內存卡和閃存存儲器的SMD可見，則目前使用3種不同的方法來恢復數(shù)據(jù)。第一種方法是通過檢測這些存儲器中的有缺陷的SMD并替換它們來使存儲器功能正常，從而恢復數(shù)據(jù)。第二種方法是在獲取等效（供體）存儲器后，將存儲器芯片移到供體閃存存儲器中，直接訪問所需的數(shù)據(jù)。第三種方法是使用特殊工具直接讀取存儲器數(shù)據(jù)芯片并將其記錄到計算機中，然后使用適當?shù)能浖M控制器，處理記錄的原始數(shù)據(jù)并獲取所需的數(shù)據(jù)。

如果內存卡或閃存存儲器上沒有可見的SMD，則這種類型的存儲器是一個單體設備[10]。大多數(shù)單片設備（如電阻器、存儲卡、控制器和存儲單元）都嵌入在設備中。如果無法訪問單片設備的控制器或控制器的內存芯片，必須知道由于刮掉設備的印刷電路板涂層（Conformal） 而創(chuàng)建的技術接觸點（引腳布局）以從此類單片設備中恢復數(shù)據(jù)，以及哪個數(shù)據(jù)總線（WE、RB、RE） 對應于哪個接觸點。如果技術接觸點的對應關系未知，則無論如何都無法從這些設備中恢復數(shù)據(jù)。

單片設備中存儲器的引腳布局在其制造過程中確定。如果知道這些引腳布局對應于哪個總線（WE、RB、RE） ，則可以將它們焊接到為此過程開發(fā)的特殊硬件上。此硬件連接到計算機，并將焊接的存儲器讀取并保存到計算機中作為文件。然后，通過使用適當?shù)能浖M控制器軟件來處理原始數(shù)據(jù)。經(jīng)過這個階段，可以從處理后的數(shù)據(jù)中獲取所需的數(shù)據(jù)。如果存儲器芯片本身存在物理故障，則無法進行數(shù)據(jù)恢復。

3 結束語

通過對移動硬盤RAW格式數(shù)據(jù)恢復技術的研究和探討，本文提出了一種綜合利用硬件和軟件的數(shù)據(jù)恢復方案。該方案結合了基于硬件的數(shù)據(jù)恢復技術的優(yōu)勢，能夠有效地應對移動硬盤RAW格式數(shù)據(jù)丟失問題，提高了數(shù)據(jù)恢復的成功率和效率。然而，移動硬盤數(shù)據(jù)恢復技術仍然是一個復雜而多樣化的領域，需要進一步地研究和探索，以滿足不同情況下的數(shù)據(jù)恢復需求。希望本文的研究成果能夠為相關領域的學者和從業(yè)人員提供參考，并為移動硬盤數(shù)據(jù)恢復技術的進一步發(fā)展作出貢獻。