数据安全基础知识
硬盘是一种采用磁介质的数据存储设备,数据存储在密封于洁净的硬盘驱动器内腔的若干个磁盘片上。这些盘片一般是在以铝为主要成分的片基表面涂上磁性介质所形成,在磁盘片的每一面上,以转动轴为轴心、以一定的磁密度为间隔的若干个同心圆就被划分成磁道(track),每个磁道又被划分为若干个扇区(sector),数据就按扇区存放在硬盘上。在每一面上都相应地有一个读写磁头(head),所以不同磁头的所有相同位置的磁道就构成了所谓的柱面(cylinder)。传统的硬盘读写都是以柱面、磁头、扇区为寻址方式的(CHS寻址)。硬盘在上电后保持高速旋转(5400转/min以上),位于磁头臂上的磁头悬浮在磁盘表面,可以通过步进电机在不同柱面之间移动,对不同的柱面进行读写。所以在上电期间如果硬盘受到剧烈振荡,磁盘表面就容易被划伤,磁头也容易损坏,这都将给盘上存储的数据带来灾难性的后果。 硬盘的第一个扇区(0道0头1扇区)被保留为主引导扇区。在主引导区内主要有两项内容:主引导记录和硬盘分区表。主引导记录是一段程序代码,其作用主要是对硬盘上安装的操作系统进行引导;硬盘分区表则存储了硬盘的分区信息。计算机启动时将读取该扇区的数据,并对其合法性进行判断(扇区最后两个字节是否为0x55AA或0xAA55 ),如合法则跳转执行该扇区的第一条指令。所以硬盘的主引导区常常成为病毒攻击的对象,从而被篡改甚至被破坏。可引导标志:0x80为可引导分区类型标志;0表示未知;1为FAT12;4为FAT16;5为扩展分区等等。 硬盘信息与硬盘数据恢复 在计算机的CMOS中也存储了硬盘的信息,主要有硬盘类型、容量、柱面数、磁头数、每道扇区数、寻址方式等内容,对硬盘参数加以说明,以便计算机正确访问硬盘。当CMOS因故掉电或发生错误时,硬盘设置可能会丢失或错误,硬盘访问也就无法正确进行。这种情况我们就必须重新设置硬盘参数,如果事先已记下硬盘参数或者有某些防病毒软件事先备份的CMOS信息,只需手工恢复即可;否则也可使用BIOS设置(setup)中的“自动检测硬盘类型”(HD type auto detection)的功能,一般也能得到正确的结果。 硬盘故障大体上可以分为软故障和硬故障两大类,具体有硬盘操作系统被损坏、硬盘主引导区被破坏、 FAT表表被破坏、CMOS硬盘参数不正确、硬盘控制器与硬盘驱动器未能正常连接、硬盘驱动器或硬盘控制器硬件故障、主板故障等情况。比如: 开机自检过程中,屏幕提示“Hard disk drive failure”或类似信息,则可以判断为硬盘驱动器或硬盘控制器(提示“Hard drive controller failure”)硬件故障。 开机自检过程中,屏幕提示“Hard disk not present”或类似信息,则可能是CMOS硬盘参数设置错误或硬盘控制器与硬盘驱动器连接不正确。 开机自检过程中,屏幕提示“Missing operating system”、“Non OS” 、“Non system disk or disk error,replace disk and press a key to reboot”等类似信息,则可能是硬盘主引导区分区表被破坏、操作系统未正确安装或者CMOS硬盘参数设置错误等。 开机用软盘启动后无法进入C盘,可能是分区表被破坏,硬盘数据恢复是可以的说到数据恢复,我们就不得不提到硬盘的数据结构、文件的存储原理,甚至操作系统的启动流程,这些是你在恢复硬盘数据时必须使用的基本知识。即使你不需要恢复数据,了解这些知识(即使只是稍微多知道一些),对于你平时的电脑操作和应用也是很有帮助的。 硬盘的文件系统结构 初买来一块硬盘,我们是没有办法使用的,你需要将它分区、格式化,然后再安装上操作系统才可以使用。就拿我们一直沿用到现在的Win9x/Me系列来说,我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT表、DIR目录区和Data数据区等五部分。我们通常所说的主引导扇区MBR在一个硬盘中是是唯一的,MBR区的内容只有在硬盘启动时才读取其内容,然后驻留内存。其它几项内容随你的硬盘分区数的多少而异。 主引导扇区(MBR) 主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及判别哪个分区为可引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。 分区表(DPT) 在主引导区中,从地址BE开始,到FD结束为止的64个字节中的内容就是通常所说的分区表。分区表以80H或00H为开始标志,以55AAH为结束标志,每个分区占用16个字节,一个硬盘最多只能分成四个主分区,其中扩展分区也是一个主分区。随着硬盘容量的迅速扩大,引入的扩展分区可以不受四个主分区的限制,把硬盘分区数扩展到“Z”。 值得一提的是,MBR是由分区程序(例如DOS的Fdisk.exe)产生的,不同的操作系统可能这个扇区的内容代码是不相同,但是实现的功能只有一个,使其中的一个活动分区获得控制区,正常启动系统。 。 (在D盘,E盘前面都有一个粉红色的扇区,就是所谓的扩展分区表所在的位置,其后的62个扇区空闲,共同占有一个隐含磁道。) 主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。在主分区中,不允许再建立其它逻辑磁盘。也可以通过分区软件,在分区的最后建立主分区,或在磁盘的中部建立主分区。 扩展分区的概念则比较复杂,也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间,而每个分区的参数占据16个字节,故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据,如果说逻辑磁盘就是分区,则系统最多只允许4个逻辑磁盘。对于具体的应用,4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用,系统引入了扩展分区的概念。
所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区(实际上也就是下一个逻辑磁盘)的起始位置,以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。 需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢失。这就是当硬盘被CIH病毒破坏后,我们可以通过KV3000的F10功能来找到丢失的D,E及以后的逻辑分区的原因。 操作系统引导扇区(OBR) OBR(OS Boot Record)即操作系统引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。 引导程序的主要任务在当根目录中寻找系统文件IO.SYS,MSDOS.SYS和WINBOOT.SYS三个文件,如果存在,就把IO.SYS文件读入内存,并移交控制权予该文件。在WIN98的系统中,没有MSDOS.sys文件,系统能够正常启动,但是无法进入桌面;如果没有COMMAND.COM文件,能够正常启动到桌面,但是无法进入DOS字符方式。 BPB参数块:记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(Allocation Unit,以前也称之为簇)的大小等重要参数。OBR由高级格式化程序产生(例如DOS 的Format.com)。 文件分配表(FAT) FAT(File Allocation Table)即文件分配表,是DOS/Win9x系统的文件寻址系统。为了防止意外损坏,FAT一般做两个(也可以设置为一个),第二FAT为第一FAT的备份, FAT区紧接在OBR之后(对于FAT32格式,位置是从引导扇区开始的第32个扇区就是第一个FAT表的位置),其大小由这个分区的空间大小及文件分配单元的大小决定。 随着硬盘容量的迅速发展,Microsoft 的DOS及Windows也先后采用我们所熟悉的FAT12、FAT16和FAT32格式。不过Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式,不同于FAT文件格式。 FAT12是使用12BIT来表示簇的位置,最大容量32M,FAT16是使用两个字节16BIT位来表示簇的位置,分区最大容量2G,而FAT32采用4个字节来表示簇的位置,分区最大容量65G。
目录区(DIR) DIR是Directory即根目录区的简写,在FAT12和FAT16格式中,DIR紧接在第二FAT表之后,而在FAT32格式中,根目录区的位置可以在分区中的任意位置,其起始位置是由引导扇区给出的。单有FAT表还不能确定文件在磁盘中的具体位置,只有FAT表和DIR区配合使用,才能准确定位文件的确切位置。 DIR记录着每个文件(目录)的文件名,扩展名,是否支持长文件各,起始单元(这是最重要的)、文件的属性,大小,创建日期,修改日期等住处内容。操作系统在读写文件时,根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置,然后顺序读取每个簇的内容就可以了。 数据区(DATA) 在DIR区之后,才是真正意义上的数据存储区,即DATA区。 DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。 注意:我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,除非你使用了“Format X: /U”命令,强制对每一扇区写“F6”。 至于硬盘分区,也只是修改了MBR和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。但即便如此,MBR,OBR,FAT,DIR之一被破坏的话,我们的数据也无法正常读取。 需要提醒大家的是,如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏了,我们也可以使用磁盘编辑软件(比如DOS下的DiskEdit,DDD,KV3000,EasyRevoery等),只要找到一个文件的起始保存位置,那么这个文件就有可能被恢复。
数据安全对于用户,尤其是商务人士来说非常重要。毫不夸张地说,硬盘上存储的数据的价值甚至要超过笔记本电脑本身。因此,“安全性”理所当然地成为笔记本电脑的热点词汇之一,各大一线厂商也都在数据安全上下足了功夫。本文介绍的两大技术就是结合软硬件来实现数据信息保护所采取的主要手段。
[b]APS硬盘保护系统[/b]
硬盘的损坏通常来自于硬盘的物理震动。其中一种物理震动为运行中震动,发生在硬盘进行读写操作时。硬盘读写期间,硬盘磁头通常在硬盘盘面上进行读写数据的操作,磁头本身悬浮于盘片上方,与盘片的距离在0.3微米以内,当运行期间驱动器发生物理震动时,驱动器磁头和驱动器盘面可能会直接发生接触,从而造成数据丢失,甚至形成物理坏道,造成硬盘损坏。
第二种震动为非运行震动,在磁头处于停泊位置或不在硬盘盘面之上时发生。当在非运行状态下发生较大的震动时,硬盘磁头可能碰到其上的斜轨,使驱动器磁头损坏,从而不能再在硬盘进行数据读写操作。经深入研究表明,能够造成破坏所需要的震动和摆动速率值。对于典型的 2.5 英寸硬盘,运行中震动的值是 100G /ms,非运行中震动的值是 800G/ms。
针对硬盘的这一特点,从迅驰平台开始,ThinkPad在T系列和X系列的笔记本电脑上加入了新的动态硬盘保护技术——APS硬盘保护系统。这套系统由内嵌于主板上的加速度感应芯片(如图1)和预装在操作系统中的震动预测管理软件所组成,其中,硬件层用来监测笔记本的横纵加速度,而软件层则从加速感应芯片中接收到相应的信号,通过分析判断出哪些是对硬盘有害的,哪些是规律性的运动。当笔记本电脑突然发生震动、高速移动或者失重(跌落情况)时,感应器将检测到有可能损坏硬盘的突发加速度,并向硬盘发出一个瞬时信号,使硬盘磁头在受到强烈震动前就从工作状态收回到磁头停止区,以减小词头与盘片接触的几率,即使在读写操作期间也不例外;当震动消失之后,感应器会再次发出信号使硬盘重新恢复工作状态,这个过程的响应时间仅为0.5秒。通过APS硬盘保护系统提供的硬盘震动保护,硬盘可以提高4倍的耐用性。
[align=center][img]http://media.ccidnet.com/media/ciw/img/1478/d1101t01.jpg[/img]
[b]图1 [/b][/align][align=left]
除了严重性的震动之外,持续的小幅度震动环境(如火车车厢)也会对硬盘的使用寿命产生不利影响,内嵌在ThinkPad笔记本电脑如T41等产品内的感应器同样可以感应到小幅震动,并对这些震动的范围和大致规律进行记录。这样,在类似的震动重复性发生时,还可以通过进行选项设定来帮助电脑硬盘来摆脱这种震动带来的影响。
[b]三维硬盘保护技术[/b]
东芝的三维硬盘保护技术与APS硬盘保护系统也颇有异曲同工之妙。这项保护技术集中体现于全新设计的内置三维感应探测器,通过在笔记本电脑内设置的加速度感应器来灵敏地自动感知机器的震动情况,在机身跌落或受撞击时,能快速锁定硬盘,并发出指令使磁头快速移开,从而保护硬盘。传统的加速度感应器多是二维的,只能感应到两个方向的跌落震动;东芝采用的则是三维加速度感应器,除了可以探知突然发生的来自横向、纵向的震动以外,更能敏感体察到来自侧向的震动或跌落产生的加速度。同时,三维监测的敏感性也会随着硬盘倾斜角度的增加而提高。
东芝自行开发了4个保护级别设置的硬盘保护程序(如图2),使用户可以更直观、方便地了解硬盘保护的状态,并根据具体使用环境灵活改变三维感应器的监测级别:具体来说,除“关闭”状态外,还有三个等级,即Level 1:低灵敏度;Level 2:通用灵敏度;Level 3:高灵敏度 (默认)。比如:在车辆运行时,笔记本电脑会出现持续抖动的情况,而用户在这时便可通过改变监测级别设置(Level 2)来避免监测到一些不必要的微小震动;而在桌面插上AC适配器使用笔记本时则可以调高监测级别 (Level 3)。而在LCD关闭时, AC适配器拔出时(也许要拿起并移动PC)等情况发生后的10秒内,监测级别将会自动升至最高。
[/align][align=center][img]http://media.ccidnet.com/media/ciw/img/1478/d1101t02.jpg[/img]
[b]图2[/b] [/align] 哦··支持··
就是有点密··看得我眼花··· :Q 眼都花了 学习中,请楼主编辑一下帖子字体太小了 [quote]原帖由 [i]qq65827[/i] 于 2007-4-22 18:07 发表 [url=http://bbs.cnnsc.org/redirect.php?goto=findpost&pid=118616&ptid=22813][img]http://bbs.cnnsc.org/images/common/back.gif[/img][/url]
哦··支持··
就是有点密··看得我眼花··· [/quote]
同感,又密又多,晕倒了 看的人头晕。。。。。。。。 看的有点晕了
页:
[1]