数据重现:文件系统原理精解与数据恢复最佳实践(配光盘)(附DVD光盘2张)
分類: 图书,计算机与互联网,安全与加密,计算机数据安全,
品牌: 马林
基本信息·出版社:清华大学出版社
·页码:551 页
·出版日期:2009年
·ISBN:7302198934/9787302198932
·条形码:9787302198932
·包装版本:1版
·装帧:平装
·开本:16
·正文语种:中文
·附带品描述:附DVD光盘2张
产品信息有问题吗?请帮我们更新产品信息。
内容简介《数据重现:文件系统原理精解与数据恢复最佳实践》是国内第一本全面介绍Windows及非Windows文件系统的数据恢复技术书籍,不仅涵盖面广,内容也达到了足够的深度。为畅销书《大话存储》姊妹篇。《数据重现:文件系统原理精解与数据恢复最佳实践》不仅对常见的DOS分区体系及Windows的FAT文件系统、NTFS文件系统进行了详细的介绍,更涵盖了苹果机分区、BSD分区、SPRC平台的Sun Solaris分区、GPT分区等分区方式,以及Linux的Ext2/Ext3、Unix的UFS1/UFS2、MAC的HFS+等文件系统布局及详细数据结构的讲解,多数资料的详细程度是目前绝无仅有的。同时对常见RAID类型及包括HP内外双循环、RAID 1E、RAID6及RAID DP在内的异种或新型RAID类型进行了详细的分析和介绍。
另外,《数据重现:文件系统原理精解与数据恢复最佳实践》还充分考虑到初学者刚接触数据恢复实际工作时无从下手的感觉,从数据恢复前的准备到实际恢复工作的进行,从理论分析到数据恢复软件的使用,一步步带领读者踏入数据恢复的殿堂。
更为重要的是,为了使读者有接近实战的机会练习RAID分析与恢复技术,配书光盘(双DVD)中附送了近30个精心制作的RAID模型,包含了RAID0、RAID5、RAID 1E、HP内外双循环阵列等。
作者简介马林,天津市电子技术研究所专业数据存储安全与数据灾难拯救研究员,首席数据恢复专家,天亚数据恢复技术总监。多年来致力于数据存储与文件系统的研究,时刻跟踪数据恢复技术的发展方向。受天津市国家保密局指定,为党政机关、科研院所等机构提供专业涉密数据恢复保障。同时,还将研究成果应用于民用数据恢复领域,并在实际工作中积累和总结了大量的实践经验。现就职公司为天津市保密局唯一指定官方涉密数据恢复单位。
媒体推荐文件系统将其下层的存储空间虚拟成文件的方式向其上层呈现,是整个数据系统中最关键的一环,是影响IO性能的一个瓶颈点,文件系统如果出了问题,轻则数据丢失,重则数据全毁。本书全面介绍了各种文件系统原理,而且讲述了主流数据恢复原理和操作,是一本不可多得的好书!
——《大话存储》作者:张冬 网名:冬瓜头
从9.11事件到四川大地震,从CIH到熊猫烧香,您是否想过,在信息引领一切的时代,这些灾难过后,银行能不能正常工作,企业是否能正常运营?这一切都取决于数据是否遭受威胁,遭受威胁的数据又是否能够重现!本书为你铺就了一条从入门到精通的数据恢复学习之路。而且,数据恢复程序设计需要透彻了解文件系统的数据结构及工作方式,本书是目前公开技术资料最多的一本相关书籍,是难得的学习及参考书!
——中国矿业大学博士、哈市海云数据恢复总工、黑龙江科技学院软件讲师 江传力
本书有内容,有深度,是数据恢复不可多得的好书。回想1996年开始研究数据恢复技术的时候,要想找到这种相关的资料是非常困难的。为了提高国内数据恢复技术,精心创办了技术交流的平台中国硬盘基地(www.intohard.com),一举成为国内最专业的硬盘维修与数据恢复技术论坛。时至今日,本书的出版也一定会成为数据恢复技术人员的一大福音!
——中国十大存储论坛之一“中国硬盘基地”网站创始人:田茂帅(八喜)
该书不仅为有志于数据恢复技术研究的人士提供了难得的技术资料,更兼顾了初学数据恢复者不知从何学起、不知如何下手恢复数据的状况。作者结合实际工作经验,从如何检测磁盘、如何克隆磁盘、如何恢复数据、数据恢复软件恢复结果分析等一步步进行介绍。本书的作者马林,首次将数据恢复行业的一些核心技术内容放到书中,很有勇气!希望该书的出版能为中国的数据恢复行业做出应有的贡献!
——08北京奥林匹克运动会特聘信息网络安全专家,北京市网络行业协会信息安全应急响应与处置中心主任 王江民
编辑推荐《数据重现:文件系统原理精解与数据恢复最佳实践》适合文件系统研究人员、数据恢复从业人员、数据恢复教学人员、数据恢复编程人员、电子取证工作者、数据安全研究人员、系统管理员及数据安全存储与灾难恢复爱好者阅读和使用。
目录
PART 1 理论篇
第1章 数据恢复相关基础
1.1 硬盘探秘
1.1.1 硬盘结构
1.1.2 硬盘接口
1.1.3 磁道、扇区与柱面
1.1.4 硬盘的启动过程
1.1.5 硬盘的性能指标
1.1.6 寻址方式
1.2 计算机运行流程
1.2.1 基本概念
1.2.2 计算机的启动过程
1.3 “数”之体验
1.3.1 数制
1.3.2 数制间的转换
1.3.3 取整与取余运算
1.3.4 数的存储格式
1.4 工具软件
1.4.1 虚拟磁盘软件nsPro Dsk
1.4.2 十六进制编辑软件Wnhex
1.4.3 硬盘检测软件MHDD
第2章 分区
2.1 概述
2.1.1 分区与卷
2.1.2 Unx下卷的使用
2.1.3 扇区地址
2.1.4 根据合理性判断分区信息的正确性
2.1.5 数据恢复及电子取证
2.2 DOS分区
2.2.1 概述
2.2.2 主引导记录扇区MBR
2.2.3 扩展引导记录扇区EBR
2.2.4 数据恢复及电子取证
2.3 Apple分区
2.3.1 概述
2.3.2 Apple磁盘布局
2.3.3 分区表项数据结构
2.3.4 数据恢复与电子取证
2.4 BSD分区
2.4.1 BSD分区概述
2.4.2 Free BSD分区
2.4.3 NetBSD与OpenBSD分区
2.4.4 磁盘标签数据结构
2.4.5 磁盘标签实例分析
2.4.6 总结
2.5 Sun Solars分区
2.5.1 概述
2.5.2 Sparc平台下的Sun Solars分区
2.5.3 386平台下的Sun Solars分区
2.5.4 总结
2.6 GPT分区
2.6.1 概述
2.6.2 GPT磁盘总体布局
2.6.3 数据结构
2.6.4 总结
2.7 移动介质分区
第3章 FAT文件系统
3.1 文件系统总论
3.2 FAT文件系统概述
3.3 FAT文件系统整体布局
3.4 FAT32的保留区
3.4.1 引导扇区
3.4.2 引导代码
3.4.3 FSNFO信息扇区
3.5 FAT32的FAT表
3.5.1 FAT表概述
3.5.2 FAT表的特性
3.5.3 FAT表的使用
3.5.4 其他
3.6 FAT32的数据区
3.6.1 根目录
3.6.2 子目录
3.6.3 目录项
3.7 FAT12/16文件系统
3.7.1 FAT12/16文件系统概述
3.7.2 引导扇区
3.7.3 FAT表
3.7.4 根目录与目录项
3.8 分配策略
3.8.1 簇的分配策略
3.8.2 目录项的分配策略
3.9 文件的建立与删除
3.10 总结
3.10.1 数据恢复分析
3.10.2 取证分析
第4章 NTFS文件系统
4.1 NTFS概述
4.1.1 概述
4.1.2 基本概念
4.2 NTFS文件系统总体布局
4.3 引导扇区
4.4 主文件表MFT
4.4.1 基本概述
4.4.2 Wndows 2000的MFT项
4.4.3 Wndows XP的MFT项
4.5 MFT属性
4.5.1 属性的结构
4.5.2 常规属性类型
4.5.3 其他属性
4.6 文件系统元文件
4.6.1 $MFT文件
4.6.2 $MFTMrr文件
4.6.3 $LogFle文件
4.6.4 $Volume文件
4.6.5 $AttrDef文件
4.6.6 $Root文件
4.6.7 $Btmap文件
4.6.8 $Boot文件
4.6.9 $Secure文件
4.6.10 $UsnJrnl文件
4.6.11 $Quota文件
4.6.12 $Objd文件
4.7 分配策略
4.7.1 簇空间分配策略
4.7.2 MFT项分配策略
4.7.3 属性分配策略
4.8 时间值的更新
4.9 文件的建立与删除
4.9.1 建立文件
4.9.2 删除文件
4.10 总结
4.10.1 分析注意事项
4.10.2 数据恢复与取证分析
第5章 ExtX文件系统
5.1 ExtX文件系统概述
5.2 ExtX文件系统整体布局
5.3 超级块
5.3.1 超级块数据结构
5.3.2 超级块实例分析
5.4 块组描述符表和块组描述符
5.4.1 块组描述符数据结构
5.4.2 块组描述符实例分析
5.5 块位图
5.5.1 块位图的工作方式
5.5.2 块位图实例分析
5.6 节点位图
5.6.1 节点位图实例
5.6.2 定位一个节点的位图
5.7 节点表与节点
5.7.1 节点数据结构
5.7.2 节点实例分析
5.7.3 节点的属性
5.7.4 节点中时间值的更新
5.8 扩展属性
5.8.1 扩展属性的结构
5.8.2 扩展属性实例分析
5.9 目录项
5.9.1 目录项数据结构
5.9.2 目录项的特性
5.9.3 目录项实例分析
5.10 链接和挂载点
5.10.1 链接
5.10.2 挂载点
5.11 Hash树
5.11.1 Hash树数据结构
5.11.2 Hash树实例分析
5.12 文件系统日志
5.12.1 数据结构
5.12.2 日志实例分析
5.13 分配策略
5.13.1 块的分配策略
5.13.2 节点分配策略
5.13.3 文件名空间分配策略
5.14 文件的建立与删除
5.14.1 建立文件
5.14.2 删除文件
5.15 总结
5.15.1 分析注意事项
5.15.2 数据恢复与电子取证
第6章 UFS文件系统
6.1 概述
6.2 UFS文件系统整体布局
6.3 超级块
6.3.1 概述
6.3.2 数据结构
6.4 柱面组摘要
6.5 柱面组描述符
6.5.1 概述
6.5.2 数据结构
6.5.3 位图
6.6 引导代码
6.7 节点
6.7.1 UFS1的节点
6.7.2 UFS2的节点
6.8 目录项
6.8.1 数据结构
6.8.2 实例分析
6.9 分配策略
6.9.1 存储空间分配策略
6.9.2 节点分配策略
6.9.3 目录项分配策略
6.10 文件的建立与删除
6.10.1 建立文件
6.10.2 删除文件
6.11 总结
6.11.1 分析注意事项
6.11.2 数据恢复与取证分析
第7章 HFS+文件系统
7.1 HFS封装
7.1.1 HFS卷主目录块结构
7.1.2 HFS卷主目录块实例分析
7.2 概述
7.2.1 HFS+的改进
7.2.2 基本概念
7.2.3 主要数据结构类型
7.2.4 HFS+特性
7.3 HFS+文件系统整体布局
7.4 卷头
7.4.1 数据结构
7.4.2 实例分析
7.5 节点
7.5.1 节点的种类
7.5.2 节点的基本结构
7.5.3 头节点
7.5.4 图节点
7.5.5 索引节点
7.5.6 叶节点
7.5.7 节点的使用
7.5.8 HFS+节点与HFS节点的区别
7.6 目录文件
7.6.1 目录文件中档案项的key部分
7.6.2 目录文件中档案项的数据部分
7.7 域溢出文件
7.7.1 域溢出文件中档案项的key部分
7.7.2 域溢出文件中档案项的数据部分
7.7.3 域溢出文件节点实例分析
7.7.4 域溢出文件的使用
7.8 坏块文件
7.9 分配文件
7.10 属性文件
7.10.1 叉数据属性
7.10.2 域属性
第8章 多磁盘卷
8.1 RAD
8.1.1 RAD级别简介
8.1.2 RAD中的基本概念
8.1.3 RAD0阵列原理
8.1.4 RAD1阵列原理
8.1.5 RAD4阵列原理
8.1.6 RAD5阵列原理
8.1.7 RAD6阵列原理
8.1.8 RAD 1E阵列原理
8.1.9 RAD DP阵列原理
8.1.10 RAD的实现
8.1.11 数据恢复及取证注意事项
8.2 磁盘跨区
8.2.1 概述
8.2.2 Lnux MD
8.2.3 Lnux LVM
8.2.4 Mcrosoft Wndows LDM
8.2.5 总结
PART 2 实践篇
第9章 数据恢复前的准备
9.1 写在数据恢复之前的话
9.2 检测磁盘
9.2.1 用MHDD检测磁盘
9.2.2 用MHDD清除主引导扇区“55AA”标志
9.2.3 用PC3000检测磁盘
9.3 坏道处理
9.4 镜像磁盘
9.4.1 什么是“镜像磁盘”
9.4.2 什么情况下需要对磁盘进行镜像
9.4.3 用Meda Tools镜像磁盘
9.4.4 用HDClone镜像磁盘
9.4.5 用Wnhex镜像磁盘
9.5 分区及格式化对磁盘的写入
9.5.1 Wnhex“比较”功能的使用
9.5.2 分区过程对磁盘的写入
9.5.3 格式化过程对磁盘的写入
第10章 基本数据恢复
10.1 分区恢复
10.1.1 主分区表损坏恢复
10.1.2 重新分区未格式化
10.1.3 分区布局改变并进行了格式化
10.1.4 使用FnalData快速寻找分区
10.2 DBR损坏后的恢复
10.2.1 FAT文件系统DBR损坏后的恢复
10.2.2 NTFS文件系统DBR损坏后的恢复
10.3 格式化恢复
10.3.1 原FAT32格式化成FAT32
10.3.2 原FAT32格式化成NTFS
10.3.3 原NTFS格式化成NTFS
10.3.4 原NTFS格式化成FAT32
10.4 删除恢复
10.4.1 FAT16文件系统下的删除
10.4.2 FAT32文件系统下的删除
10.4.3 NTFS文件系统下的删除
10.5 数据恢复软件的使用
10.5.1 使用RStudo恢复数据
10.5.2 使用Recover My Fles恢复数据
第11章 RAD数据恢复
11.1 概述
11.2 FAT表在阵列恢复中的作用
11.2.1 利用FAT表计算块大小
11.2.2 利用FAT表判断数据块顺序
11.2.3 利用FAT表寻找校验块
11.3 MFT在阵列恢复中的作用
11.3.1 利用MFT记录编号判断块大小及数据块顺序
11.3.2 利用MFT寻找校验块
11.4 RAD0阵列恢复
11.4.1 参数分析
11.4.2 使用Wnhex重组数据
11.4.3 使用RStudo恢复数据
11.5 RAD5阵列恢复
11.5.1 循环方向的判断
11.5.2 同步与异步的判断
11.5.3 计算各个成员盘第一个校验块的位置
11.5.4 利用FAT恢复演示
11.5.5 利用MFT恢复演示
11.6 HP内外双循环阵列恢复
11.7 RAD 1E阵列恢复
11.7.1 参数判断
11.7.2 数据恢复
附录A Wn32环境下磁盘操作五大函数
附录B 文件后缀名速查表
……[看更多目录]
序言在信息时代中,数据的重要性不言而喻。但由于各种原因(计算机病毒、物理损伤、误操作等),导致数据丢失问题不断发生。例如1998年4月26日,全世界爆发了CIH计算机病毒,一夜之间,上千万台计算机的数据被病毒破坏,这就要求我们必须在数据意外丢失后能够尽最大可能地挽回数据,将损失降到最低。数据恢复便成了保障数据安全的最后一道防线。
数据恢复在安全系统中是最为精细的工作,稍不注意就会造成不可挽回的损失、彻底断送客户最后的希望。因此,数据恢复这个行业需要受过专业教育的从业人员和经过资质认证的企业。然而,用于数据恢复这方面教育和培训的书籍目前非常匮乏,很少有特别实用的数据恢复核心资料进入市面。
另外,恢复数据的工作要求必须对数据存储及管理方式有足够的了解,但这方面的相关技术资料也比较匮乏。在已有的部分数据恢复书籍中,内容一般都只集中于Windows方面,非Windows方面的内容一直缺乏足够的深度。《数据重现——文件系统原理精解与数据恢复最佳实践》一书,恰恰弥补了这个不足。
在分区体系方面,该书不仅介绍了使用较为广泛的MBR分区体系,还详细介绍了Apple、GPT等分区体系;在文件系统方面,不仅对Windows类的FAT、NTFS文件系统进行了详细的介绍,而且对Linux、FreeBSD、OpenBSD、Sun Solaris、Mac等操作系统所使用的文件系统格式进行了详细的讲解。不仅包含基本磁盘的数据恢复,还包含了磁盘跨区、RAID等多磁盘卷的介绍。涵盖范围之广,内容之详细程度,是绝无仅有的。
最难能可贵的是,该书不仅为有志于数据恢复技术研究的人士提供了难得的技术资料,更兼顾了初学数据恢复者不知从何学起、不知如何下手恢复数据的状况。作者结合实际工作经验,从如何检测磁盘、如何克隆磁盘、如何恢复数据、数据恢复软件恢复结果分析等一步步进行介绍,为有志于学习数据恢复的人士提供了很好的书籍,也是相关大学及专业进修学校的有力教材和参考书。
我在上世纪(1992年)就开始研究数据恢复技术,在民用和企业级防病毒安全产品上就提供了基本的数据恢复功能,深知这个领域的艰辛与重要性。
我衷心希望这本书的出版,能为数据恢复这个行业培育出更多的人才,让数据恢复产业更加蓬勃发展。
本书的作者马林,首次将数据恢复行业的一些核心技术内容放到书中,很有勇气!希望该书的出版能为中国的数据恢复行业做出应有的贡献!
江民科技创始人
2008北京奥林匹克运动会特聘信息网络安全专家
北京市网络行业协会信息安全应急响应与处置中心主任
文摘插图:
2.机器代码虽然CPU具有高速的运算处理能力,但并不能够自主工作。它就像一台计算器,虽然运算速度很快,但运算之前必须由人们输入需要运算的数值。中央处理器CPU也一样,它只能根据人们的要求进行相应的运算处理工作,人机交互是通过“指令”进行的一一能够直接被计算机识别的指令称为机器代码。中央处理器从存储器或高速缓冲存储器中取出指令,放入指令寄存器,并对指令译码。它把指令分解成一系列的微操作,然后发出各种控制命令,执行微操作系列,从而完成一条指令的执行。指令是计算机规定执行操作的类型和操作数的基本命令。
3.引导代码我们刚刚提到,CPU是计算机的核心,并且需要指令才能够工作。因此,当计算机启动时,就需要先找到一段CPU指令一一引导代码。所有的卷及文件系统都有一个特定的位置用来存放引导代码,但并不是所有的代码都被经常地用到。
4.BIOS(基本输入输出系统)BIOS是直接与硬件打交道的底层代码,它为操作系统提供了控制硬件设备的基本功能。BIOS包括系统BIOS[即常说的主板BIOS]、显卡BIOS和其他设备的BIOS,计算机的启动过程是在系统BIOS的控制下进行的。BIOS一般被存放在ROM(只读存储芯片]之中,即使在关机或掉电以后,这些代码也不会消失。
5.内存地址我们的机器中一般安装有512MB、1GB或2GB内存,这些内存的每一个字节都被赋予了一个地址,以便CPU访问内存。较早的计算机内存并没有这么大,一般是32MB、64MB或工28MB,32MB的地址范围用十六进制数表示就是0~1FFFFFFH。1.2.2计算机的启动过程大多数计算机启动时都是首先对硬件进行检测,然后加载操作系统、应用程序。下面我们就以Windows操作系统为例介绍计算机的启动过程。第1步:Power-OnSelfTest,加电后自检[1]当按下电源开关时,电源就开始向主板和其他设备供电,电压稳定后,CPU就从特定的位置开始执行指令。[2]然后系统BIOS的启动代码进行POS7(Power-OnSelfTest,加电后自检)。