移动硬盘RAW格式数据恢复技术研究
作者: 杨毅
关键词:移动硬盘;RAW格式;数据恢复技术
0 引言
作为常见的数据存储设备,移动硬盘在日常使用过程中可能会遭遇多种数据丢失问题,其中之一是移动硬盘转变为RAW格式。当移动硬盘呈现RAW格式时,用户无法直接获取硬盘内部数据,这给数据的使用和恢复造成了诸多困扰。因此,深入研究移动硬盘RAW格式数据恢复技术具有十分重要的意义。本文旨在探究基于硬件的数据恢复方法在处理移动硬盘RAW格式数据恢复中的应用,以期为数据恢复技术的进一步研究提供有益参考。
1 数据存储单元
在信息学中,未经处理的原始信息称为“数据”。数据是指以数字媒体存储和传输的信号或位串的统称。在信息系统的记录介质中,紧凑形式的信息确保了信息可以被软件处理,这被称为数据。数字数据存储在磁性和光学盘片以及电子存储单元中。数据存储介质在使用目的、连接类型和数据记录技术方面各不相同。内部或外部磁盘、相机、平板电脑、手机、闪存驱动器、CD/DVD/蓝光光盘和存储卡是日常生活中经常使用的数据存储介质[1]。
1.1 移动硬盘的组成结构
移动硬盘于1956年首次由IBM公司推出。从外观上观察,移动硬盘由两部分组成。第一部分是印刷电路板(PCB) ,其中包含硬盘的电子电路元件、电源和数据接口。第二部分是金属外壳,称为硬盘装配体(HDA) ,其中包含数据读取/记录头、金属盘片(盘片)、马达和磁铁。硬盘旋转的金属盘片表面具有磁性特性。当特定于硬盘结构时,计算机中使用的二进制数据(1和0) 被磁性地保留在这些盘片上。通过位于盘片上方和下方的数据读写头,可以访问盘片上的数据,并通过感应的方式实现数据的读取和写入。移动硬盘的组件如图1所示。
移动硬盘可以根据其连接接口分为Pata(并行ATA-IDE) 、SATA(串行ATA) 、SAS(串行连接SCSI) 、SCSI(小型计算机系统接口)、Zif/Lif(低插入力)等类型。由于移动硬盘具有持续可用性、高容量、可扩展性、优异性能和数据保护等特点,企业公司通常在DAS、SAN或NAS系统上使用配置了RAID级别(1、5、6、10等)的移动硬盘。DAS类型的存储设备是服务器计算机的一部分,它类似于计算机移动硬盘,或者直接连接到服务器。为了使网络上的计算机能够访问存储空间,必须先访问服务器计算机。NAS由移动硬盘和设备管理软件组成,被配置为在网络上共享其文件。SAN是一种高性能存储网络,独立于本地网络运行,位于存储区域和服务器之间。因此,SAN提供了服务器和数据存储单元之间的同时数据传输和通信。DAS和NAS提供文件级共享,而SAN传输大数据块[2]。
1.2 固态硬盘(SSDs)
固态硬盘(Solid-State Disk,SSDs) 采用了与闪存驱动器和存储卡相似的电子数据写入/读取技术,目前已被广泛用作全球的数据存储单元。由于其内部或顶部不包含机械(可移动)系统,因此被称为“固态硬盘”。随着半导体技术的发展,从用于电子电路的真空管到基于固态的晶体管的过渡,人们选择了“固态硬盘”这一术语,意在表明其结构固定且不含磁旋转盘和电机系统,以避免与过去的技术混淆。由于不包含可移动部件,SSD的优点包括静音运行、运动速度不会引起发热问题,以及具有电子读写功能,速度更快[3]。与移动硬盘不同,SSD不受外部冲击的影响,并且突然失效的可能性较小。然而,与硬盘相比,从失效的SSD中恢复数据要困难得多。SSD单元具有一定数量的写入次数限制,当达到该数量时,该单元将变得无法访问。为了占据更少的物理空间并提供更高的速度,SSD以不同的形状和大小生产,常见的SSD 接口有Sata、M.2 SATA、mSata和NVMe等类型[4]。
2 数据恢复方法
通过使用特殊的硬件和软件,使被删除、加密或损坏的数据能够被访问,而这些数据无法通过正常手段或方法访问,这被称为“数据恢复”。选择的数据恢复方法取决于数据丢失的原因[5]。
2.1 基于软件的数据恢复
2.1.1 数据存储和文件系统
尽管记录数据的单元运行正常且没有任何物理损坏,但无法访问内部信息表明存在软件问题。数据记录环境中的数据区域被划分为用户区和系统区。系统区包括存储单元操作所需的模块,用于设备使用的系统文件(如定义磁盘品牌和容量信息、启动设备的系统文件)以及哪些扇区是不可用的信息(P-list、G-list等),而用户区则包含所有用户文件。
2.1.2 文件系统操作和文件删除
数据根据特定文件系统(如NTFS、FAT等)保存在存储单元上。文件系统管理诸如命名、创建、删除、修改、访问日期等操作,以便将数据以文件和文件夹的形式组织在记录介质中。根据用户给出的删除命令(而非擦除命令),文件并未完全从磁盘上删除。以FAT文件系统为例,当删除文件时,文件记录的FAT 表中的文件名的第一个字符会被更改为“_”。这表示该文件所在的扇区已被标记为“现在可用”,从而使被删除的文件不可见,如图2所示。
2.1.3 数据恢复的逻辑和技术
由于文件的数据受到保护,因此可以通过逻辑排列来恢复数据。文件系统中保存了两种类型的文件信息:第一种是相关文件的名称、属性和簇;第二种是这些簇的列表,如果相关文件不适合相应的簇,则会被写入下一个簇或随机簇。如果要执行原始恢复且此列表不可用,则无法完全恢复文件,或者必须花费大量时间才能恢复文件[6]。
2.1.4 系统区损坏和加密数据的影响
系统区中的定义和地址为访问文件提供了基础。如果这些结构不可访问(如删除、损坏等),则无法读取操作系统存储介质中的文件和文件夹。只有在系统区中的文件受损时,才能通过修复这些文件来访问数据。数据加密的目的是让选定的人员可以访问,这可以被定义为数据隐藏。例如,使用Bitlocker、TrueCrypt、FileVault等软件加密的硬盘中的数据,唯一的访问方式是知晓密码。
2.1.5 数据恢复软件和工具
数字取证领域也使用专门开发的数据恢复操作程序。其中一些软件介绍如表1所示。
这些软件可以恢复因任何原因而损坏或删除的文件或分区,以及由于硬件或系统崩溃而导致的数据丢失,并且还可以从RAID磁盘中恢复删除的数据和配置信息[7]。
2.2 基于硬件的数据恢复
2.2.1 移动硬盘的硬件结构和潜在问题
移动硬盘是由旋转盘片、驱动电机、数据读取臂和磁头组成的设备。盘片和数据读取头之间的距离非常精确,甚至肉眼难以察觉,因此在这个空间中不应存在任何异物,如灰尘、头发、湿气等,如图3所示。否则,该区域的数据可能无法读取,与之关联的信息集也无法解释。如果磁盘的读/写头接触到盘片表面,可能会因物理损害(如硬盘掉落等原因)在接触点形成死区,导致数据无法写入/读取[8]。
因此,在这个空间中不应存在任何异物。否则,该区域的数据可能无法读取,并且与之关联的信息集也无法解释。此外,如果磁盘的读/写头因硬盘掉落等原因而接触到盘面,这个区域可能会受到物理损坏。在这种情况下,数据无法被写入/读取的接触点会形成死区。死区是由物理冲击引起的,因此不可能从这些区域恢复数据。
2.2.2 硬盘的印刷电路板故障处理
如果硬盘的印刷电路板由于电气或物理效应而无法工作,应该使用合适的印刷电路板进行更换,必要时可替换ROM芯片,这是数据恢复中常用的方法之一[9]。同样,如果由于印刷电路板上的一个或多个元件失去了功能,导致该电路板上的相关元件无法正常工作,则可以通过更换电路板上的相关元件来进行数据恢复。在这种物理故障中,如果记录数据的磁盘表面未受到物理损伤,就不会发生数据丢失。
2.2.3 物理加密和高级数据恢复
一些最新生产的硬盘(WD、Hitachi、Toshiba等)可能由于某些原因会锁定自身(SED) 或进行加密。在这种情况下,可以借助先进的数据恢复软件和硬件访问数据。当硬盘的马达或磁头堆组件发生故障时,需要提供一个与损坏硬盘几乎相同的硬盘(品牌、型号、DCM、前置型号等相同)来恢复数据。可以通过将损坏硬盘中的盘片插入完好硬盘,或将完好硬盘的承载臂移动到损坏驱动器来解决问题。在这些操作期间,最重要的一点是保护盘面免受任何异物(包括灰尘颗粒)的接触。这些操作应在数据恢复实验室的洁净/ 无尘室(洁净室)中进行,因为与常规室内环境相比,洁净室内颗粒物(灰尘、毛发、湿气)的比例要小得多。
2.2.4 光学介质的数据恢复
使用光学写入-读取技术的记录介质可能很容易受损,因为它们没有任何盖子或框架来保护它们免受外部因素的影响。光学介质由不同的层组成。记录数据的层根据光学介质的类型而变化,但不位于光盘的顶部或底部。如果被划伤,可以通过湿润这部分并用非常细的砂纸轻轻擦拭而不造成新的划痕来访问数据。使用光学介质清洁和填充工具来覆盖介质表面上的深度划痕。与磁盘和闪存驱动器相比,光学介质在将数据写入的区域方面最重要的区别是它们由一个单一的圆形轨道组成。圆形结构从光学介质的内部开始,向外部延伸。由于光学介质的这种结构,水平划痕而不是垂直划痕会导致更多的数据丢失。因此,在清洁光学介质时不应产生圆形划痕。
为了从破损的光学介质中恢复数据,需要将碎片拼合并粘合。如果使用这种方法无法恢复数据,则可以使用激光从破损区域切割损坏的部分。然后,通过激光切割另一块相同尺寸的空白光学介质,并将其放置在先前光学介质切割的位置。它应该粘贴在反射表面上以反射光。重要的是要注意避免任何残留物和水平差异。使用这种方法,可以从光学介质中恢复大部分数据。
如果光学介质呈凹形,但没有裂缝/破损,可以将光学介质放置在真空加热器中并使其与地板充分接触。在光学介质上放置重物,并等待直到它变成直形。完成这些操作后,就能够访问数据了。
2.2.5 SSD 和闪存设备的数据恢复
从SSD 恢复数据时,由于SSD 印刷电路板上的SMD是可见的,因此可以使用下一个标题中描述的方法执行数据恢复操作。如果内存卡和闪存存储器的SMD可见,则目前使用3种不同的方法来恢复数据。第一种方法是通过检测这些存储器中的有缺陷的SMD并替换它们来使存储器功能正常,从而恢复数据。第二种方法是在获取等效(供体)存储器后,将存储器芯片移到供体闪存存储器中,直接访问所需的数据。第三种方法是使用特殊工具直接读取存储器数据芯片并将其记录到计算机中,然后使用适当的软件模拟控制器,处理记录的原始数据并获取所需的数据。
如果内存卡或闪存存储器上没有可见的SMD,则这种类型的存储器是一个单体设备[10]。大多数单片设备(如电阻器、存储卡、控制器和存储单元)都嵌入在设备中。如果无法访问单片设备的控制器或控制器的内存芯片,必须知道由于刮掉设备的印刷电路板涂层(Conformal) 而创建的技术接触点(引脚布局)以从此类单片设备中恢复数据,以及哪个数据总线(WE、RB、RE) 对应于哪个接触点。如果技术接触点的对应关系未知,则无论如何都无法从这些设备中恢复数据。
单片设备中存储器的引脚布局在其制造过程中确定。如果知道这些引脚布局对应于哪个总线(WE、RB、RE) ,则可以将它们焊接到为此过程开发的特殊硬件上。此硬件连接到计算机,并将焊接的存储器读取并保存到计算机中作为文件。然后,通过使用适当的软件模拟控制器软件来处理原始数据。经过这个阶段,可以从处理后的数据中获取所需的数据。如果存储器芯片本身存在物理故障,则无法进行数据恢复。
3 结束语
通过对移动硬盘RAW格式数据恢复技术的研究和探讨,本文提出了一种综合利用硬件和软件的数据恢复方案。该方案结合了基于硬件的数据恢复技术的优势,能够有效地应对移动硬盘RAW格式数据丢失问题,提高了数据恢复的成功率和效率。然而,移动硬盘数据恢复技术仍然是一个复杂而多样化的领域,需要进一步地研究和探索,以满足不同情况下的数据恢复需求。希望本文的研究成果能够为相关领域的学者和从业人员提供参考,并为移动硬盘数据恢复技术的进一步发展作出贡献。