一个硬盘,最前面的N个扇区是启动扇区,N这个数字是固定的,当然,在一些新型硬盘里,N可以是其它数字,这样新型硬盘拥有更好的性能。不过那些一般家庭用户很少用,我名字记不清了,所以这里只讨论我们用的硬盘,被称作MBR硬盘。
在MBR硬盘的前n扇区(n
我没深入学习过linux的分区(没时间),这里就以fat为例。
文件在fat分区里,无非两个东西,一是文件属性值,一是文件内容。最早的8.3命名法的文件,其属性值的大小也是固定的,为方便理解,暂且称为属性区,8个文件名加3个扩展名,然后就是诸如创建时间、修改时间这些,后面跟着的就是文件的内容了。现在的文件已经突破了8.3的限制,是因为其文件可以占用多个属性区,但如果文件名没有正好将属性区占满,其它的就会空下,因为文件内容绝对不会记录在属性区里。在属性区里还有一个属性,就是该扇区是否可用。一般是不能使用(说明该扇区有文件)或者可以使用(说明该文件被删除),还有很多,比如扇区坏了。
所以,被删除的文件并不是把文件所在的扇区清0,而是修改了此扇区“是否可用”的值。数据恢复就是找到这些被修改为“已被删除”但仍留在硬盘里的文件。
而加密技术,就是对文件的二进制重新计算,生成新的文件。如果你的编程很好,又理解数据结构、算法这些东西,那你可以尝试把别人的加密文件解了。(事实上,很多加密软件垃圾的很,根本就没用到算法这些技术,仅仅是修改一些属性值,让它在win系统下不可见)
还有一个就是数据保护软件,可以把将要丢弃的硬盘通过二进制,全部清零,这样增加数据恢复的难度(不是绝对安全,有经验的恢复专家可以通过高超的编程技术复原),以保护个人或公司隐私。
最后说说相思加密法,此方法使用的效果和在win下用copy命令加b参数一样,都是将两个文件通过二进制输出,然后再输入成新的文件。这里的文件输出顺序至关重要。
cat *.jpg *.txt>*.jpg 与 cat *.txt *.jpg >*.jpg
前一个,先输出jpg文件,则新文件的文件属性就是jpg的,后一个先输出txt文件,新文件属性属于txt,但最后却输出成jpg文件名,各位可以试一下,该图片不能打开。因为新文件是按照输出顺序,以二进制代码重新生成。
有人想问相思加密法在win下如何查看,办法有很多,比如有人回了winhex(抱歉,我用手机上网,不方便来回检索),这是最强大的,不过,我再说一个软件,听了别蛋疼:
记事本
用记事本打开,可能会有编码的问题,但记事本是一定可以查看的。
最后一个声明:以上是m久以前看的,有些表述不准或者有错误的,请及时通知,以免误人子弟。很多词(如属性区)不是官方语言,是我为方便理解,自己造的,千万别到处跟专业人员扯蛋。
yur 于 2010-12-19 01:02:40发表:
good
ruthless369 于 2010-11-29 15:19:01发表:
了解了解
相思爱文 于 2010-11-29 11:30:19发表:
shred命令,随机数替换文件数据,一般方法不能恢复。
BENGBENG 于 2010-11-28 23:17:35发表:
0:w(5(
wangyu 于 2010-11-28 22:29:38发表:
5# Scnbea
还是听大宝的,用炼钢炉吧,据说放在水里泡着的都能弄回来,铁锤真不保险了
Scnbea 于 2010-11-28 20:49:52发表:
用大锤无后顾之忧
大宝 于 2010-11-28 20:29:40发表:
看来要确保硬盘数据被正真彻底销毁,还是得靠小钉锤 + 强力磁铁 + 炼钢炉
shenhao0129 于 2010-11-28 17:37:58发表:
应该有早期的ext2得到的源代码嘛,可以研究一下
wangyu 于 2010-11-28 17:28:47发表:
10年5月才出的一本书《数据恢复技术深度揭秘》里有linux分区的结构,能弄到电子版的,劳烦共享下哈,谢谢啦