安全存储与数据恢复.ppt

第14章 安全存储与数据恢复,14.1 存储技术及其发展14.2 安全存储14.3 数据恢复与计算机取证思考题实验14 数据备份与数据恢复,内容导读存储容量、存取速度、经济可用性、可靠性、安全性以及数据管理能力是存储技术要解决的核心问题。理想的存储系统对外界用户而言应该是透明的，用户感受不到所需信息是分布在不同的地方。,传统的二维存储技术正逐步接近其物理极限，全息存储作为一种三维存储技术，以其存储密度和数据读出率高等特点成为当前存储技术热点。网络存储是搭建大规模信息系统的一种有效途径，网络存储系统包括NAS、FC-SAN、IP-SAN和对象存储系统(OBS)等。,安全存储是确保存储在计算机系统中的信息、数据不受意外的或者恶意的破坏、更改、泄露。实现安全存储的办法可分为预防性和灾后补救两大类，避错与容错、备份与容灾是其中最主要的方法。,从被损坏的数据载体、被损坏或被删除的文件中获得有用数据的过程或技术称为数据恢复，数据恢复在计算机取证中具有重要作用。磁盘数据恢复要综合考虑数据的逻辑组织方式和物理组织方式。,14.1 存储技术及其发展,14.1.1 单机存储器的层次化结构,单个计算机上的信息存储器主要包括磁存储、光存储、半导体存储以及各种新型存储设备。从体系结构上看，它是基于总线连接的存储，存储设备通过I/O总线如IDE、SCSI等与机器相连。,随着处理器速度的不断提升，存储器的访问时间成了影响处理器性能的主要因素。总体而言，容量越大的存储器，其每比特价格就越低，但相应的存取速度也就越慢。单机存储系统采用层次化的存储体系结构是对容量、速度和成本的综合权衡，也是存储访问局部性原理和缓冲技术的具体应用。,存储访问局部性原理：程序执行时，有很多的循环和子程序调用，一旦进入这样的程序段，就会重复存取相同的指令集合，对数据存取也有局部性，在较短的时间内，稳定地保持在一个存储器的局部区域。,缓冲技术：缓冲区是硬件设备之间进行数据传输时，用来暂存数据的一个存储区域。缓冲技术主要用来解决处理器与主存储器之间、处理器和其他外部设备之间、设备与设备之间的通信的速度匹配问题。,14.1.2 外存储器,硬盘是最基本的外存储器，硬盘的性能参数包括单碟容量、转速、平均寻道时间、平均访问时间、连续无故障时间和硬盘表面温度等。,U盘是一种基于USB接口和闪存技术来存储数据信息的高容量可移动存储设备，也是目前PC系统最主要的移动存储设备。有些厂商将U盘作为运行认证的设备之一，这些系统被设计为除非闪存盘被接上主机，否则系统不会运作。U盘的组成包括闪存芯片、USB I/O控制芯片及接口连接器三大部分。,闪存技术与传统的电磁存储技术相比有许多优点：这种存储技术在存储信息的过程中没有机械运动，从而提高了它的抗震性能；由于它不存在类似软盘、硬盘、光盘等的高速旋转的盘片，所以它的体积可以做得很小；闪存盘几乎不会让水或灰尘渗入，也不会被刮伤。,U盘对病毒的传播要借助Autorun.inf 文件的帮助。病毒首先把自身复制到U盘，然后创建一个Autorun.inf，当双击U盘时，Autorun.inf就会根据设置运行相关病毒。,被广泛应用于国内网上银行的U盾，是一种采用USB接口的硬件存储设备。它内置了智能卡芯片，有一定的存储空间，可以存储用户的私钥和公钥(数字证书)。在U盾初始化时，先将密码算法程序烧制在ROM中，然后由产生公私密钥对的程序生成一对公私密钥，公钥可以导出到U盾外，而私钥则存储于密钥区，不允许外部访问。凡有私钥参与的密码运算只能在芯片内部完成，以保证数字证书认证的安全性。,尽管光盘和光盘库适于随机读取，但性能较低，磁带和磁带库不适于反复读取，但适于长期存放，这两种存储介质一般被用作离线存储介质。,传统的二维存储技术，如磁存储和半导体存储正逐步接近其物理极限。全息存储作为一种三维存储技术，以其存储密度和数据读出率高及相关内容寻址等特点成为当前又一个存储技术热点。光学体全息存储技术能在一个方糖块体积大小的全息存储器上保存1000 GB(1 TB)的信息容量，其信息存储密度比普通微缩影像的存储密度高几十倍。它最大的优点在于几乎没有移动部件，也不要求接触式读写。全息存储是未来世界又一种高性能的存储方式。,14.1.3 存储技术的发展,大量数据资料应用的持续、快速增长，导致了对更大容量存储设备的需求。随着网络技术的发展，文件服务器应运而生，但巨大的网络客户访问量很快使之成为服务的瓶颈。用户对数据存储方面的需求，不仅体现在数据存储容量的快速增长上，而且对存储设备的性能、可扩展性、安全性及可管理性等诸多方面都提出了更高的要求。,这种挑战和网络与分布式技术的发展促进了直联存储(DAS)、存储区域网(SAN)、附网存储(NAS)、IP存储、对象存储系统(OBS)等网络存储技术的发展。网络存储是搭建大规模信息系统的一种有效途径，它易扩展性在带来便利的同时，也为数据中心的无限制扩展打开了方便之门。,网络附加存储设备(NAS)是一种专业的网络文件存储及文件备份设备，或称为网络直联存储设备、网络磁盘阵列。一个NAS包括核心处理器、文件服务管理工具。用于数据存储的一个或者多个的硬盘驱动器。NAS系统独立于操作平台，可以应用在任何的网络环境当中。主服务器和客户端可以非常方便地在NAS上存取任意格式的文件。,SAN(Storage Area Network，存储区域网)是指独立于服务器网络系统之外的高速光纤存储网络，这种网络采用高速光纤通道作为传输体，以SCSI-3协议作为存储访问协议，将存储系统网络化，实现真正的高速共享存储，如图14-1所示。,图14-1 SNA和NAS架构,IP存储使得服务器可以通过IP网络连接SCSI设备，并且像使用本地的设备一样，无需关心设备的地址或位置。由于IP交换机的技术进步远快于FC的交换机技术，IP存储将成为网络存储的主流协议。,现代存储系统还要求具有易管理性，最好具有智能化的自动管理和维护功能。存储管理主要包括存储资源管理(存储媒介、卷、文件管理)、数据备份和数据迁移、远程备份、集群系统、灾难恢复以及存储虚拟化等。电子商务和大部分网络服务都要求全天候服务，全天候要求存储系统具有极高的可用性和快速的灾难恢复能力，集群系统、实时备份、灾难恢复都是为全天候服务所开发的技术。,存储系统管理面临的挑战如下：(1)复杂的操作模式；(2)多重管理界面；(3)兼容性、开放性和互操作性；(4)缺乏统一的故障查找和排除机制。,虚拟技术能够提供一种高效、可广泛应用在各种不同平台上的存储集中化管理方式。在虚拟存储环境下，单个存储设备的容量、速度等物理特性都被屏蔽掉了，服务器及其应用系统看到的都是物理设备的一个逻辑映像。采用虚拟化技术以后，系统管理员只需专注于管理连续的逻辑存储空间即可，存储管理将变得更简单。,随着云计算的兴起，云存储走到了存储技术的前沿。与传统的存储技术相比，云存储更强调数据存储服务和业务访问服务。云存储通过应用软件来实现存储设备向存储服务转变。,总之，存储技术正朝着方便存储管理、保证存储安全、完全独立于计算资源和丰富高层应用的方向发展。,14.2 安 全 存 储,14.2.1 安全存储的概念,信息的安全存储指的是确保存储在计算机系统中的信息、数据不受意外的或者恶意的破坏、更改、泄露。数据安全存储的目标主要有：防止数据的非法访问，实现访问控制；防止信息泄露，保护数据的机密性；防止数据被破坏或丢失，确保数据的完整性；系统的部分工作异常时，对外提供的服务仍然是正常的，可达到较高的可靠性和可用性。,加密存储、避错与容错、数据备份、镜像与复现、奇偶校验与故障前兆分析以及容灾等，是实现安全存储的主要方法。这些方法大致可分为预防性和灾后补救两大类。,14.2.2 避错与容错,避错试图构造一个不包含故障的“完美”的系统，其手段是采用正确的设计和质量控制尽量避免把故障引进系统；容错是指当系统出现某些指定的硬件或软件错误时，仍能执行规定的一组程序。从容错技术的实际应用出发可以将容错系统分成高可用度系统、长寿命系统、延迟维修系统、高性能计算系统、关键任务计算系统等五种不同的类型。,容错系统的基本实现方法是配备冗余系统，实现存储系统冗余最为流行的几种方法有磁盘镜像、磁盘双联和RAID。,RAID(冗余磁盘阵列)是一种能够在不经历任何故障时间的情况下更换正在出错的磁盘或已发生故障的磁盘的存储系统，它是保证磁盘子系统非故障时间的一条途径。RAID的另一个优点是在其上面传输数据的速度远远高于单独一个磁盘上传输数据时的速度，即数据能够从RAID上较快地读出来。RAID 技术包括六种级别，每一个级别都描述了一种不同的技术，其实质就是对多个磁盘的控制采用不同的方法。,14.2.3 数据备份 数据备份就是创建数据的副本，以便灾后补救。备份是用来恢复出错系统或防止数据丢失的一种最常用的办法。备份分两个层次：一是重要系统数据的备份，用以保证系统正常运行；二是用户数据的备份，用以保护用户各种类型的数据，防止数据丢失或破坏。,常用的系统数据的备份方法有：使用Ghost全盘备份；使用“系统还原”功能或系统还原卡；使用主板BIOS内置工具进行硬盘备份；使用操作系统或杀毒软件的备份功能。,用户数据备份可根据备份策略分为完全备份、增量备份、差别备份和按需备份。完全备份是将所有的文件写入备份介质；增量备份是指只备份那些上次备份之后已经作过更改的文件，即备份已更新的文件；差别备份是对上次完全备份之后更新过的所有文件进行备份的一种方法，差别备份的主要优点是全部系统只需两组磁带就可以恢复最后一次全盘备份的磁带和最后一次差别备份的磁带；按需备份是在正常的备份外额外进行的备份操作，也可以弥补冗余管理、长期转储和日常备份的不足。,用户数据备份的方式可分为本地备份和异地备份。利用E-mail、网络硬盘或主页空间存储数据是个人数据备份的常见方法。在企业级数据备份中，使SAN技术提供的LAN-Free备份的用户只需将磁带机或磁带库等备份设备连接到SAN中，各服务器就可以把需要备份的数据直接发送到共享的备份设备上，不必经过局域网链路。无服务器备份是LAN-free的一种延伸，可使数据在SAN结构中的两个存储设备之间直接传输，大大缩短备份及恢复所用的时间。,备份与拷贝和磁盘阵列是有区别的。拷贝是实现数据备份的一个手段，但拷贝不能保存档案的历史记录，而备份可保存目录服务记录及重要的系统信息。磁盘阵列RAID主要针对数据安全，RAID的主要用途是保证在线，它们并不保留第二份或更多份的历史资料，因而不能作为备份。另外，单机系统提供的备份命令往往不具备开放性，对异构网络无法进行备份，对大型和超大型数据库也无能为力。,目前，数据备份工作还存在下面一些问题：数据往往以明文方式集中存储，存在安全隐患；自动化备份方式较低，管理方式复杂，容易遗漏；重复备份问题；大多数备份产品中，用户备份到服务器上的数据缺少完整性检测。,14.2.4 数据容灾数据容灾的目的是在灾难发生时，确保系统能全面、及时地恢复。数据容灾是一个系统工程，不仅包括容灾技术，还应有一整套容灾流程、规范及其具体措施。人们一般按照容灾能力的高低，将系统分为以下四个容灾等级。,第0级：本地备份、本地保存的冷备份。这一级容灾备份实际就是数据备份。其容灾恢复能力最弱，只在本地进行数据备份，并且被备份的数据磁带只在本地保存。第1级：本地备份、异地保存的冷备份。在本地将关键数据备份，然后送到异地保存，如交由银行保管。灾难发生后，按预定数据恢复程序恢复系统和数据。,第2级：热备份(站点备份)。在异地建立一个热备份点，通过网络进行数据备份。也就是通过网络以同步或异步方式，把主站点的数据备份到备份站点。备份站点一般只备份数据，不承担业务。当出现灾难时，备份站点接替主站点的业务，从而维护业务运行的连续性。,第3级：活动互援备份。主、从系统不再是固定的，而是互为对方的备份系统。这两个数据中心系统分别在相隔较远的地方建立，它们都处于工作状态，并进行相互数据备份。当某个数据中心发生灾难时，另一个数据中心接替其工作任务。,数据备份是数据容灾的基础，但数据容灾不仅需要考虑数据的备份与恢复，还要考虑周边的所有情况及应急方案，最终形成一个完整的容灾计划。容灾计划包括一系列应急计划，具体有业务持续计划、业务恢复计划、运行连续性计划、事件响应计划、场所紧急计划、危机通信计划和灾难恢复计划。,业务持续计划(BCP)是一套用来降低组织的重要营运功能遭受未能预料的中断风险的作业程序，它可能是人工的，也可能是系统自动的。业务持续计划的目的是使一个组织及其信息系统在灾难事件发生时仍可以继续运作。,业务恢复计划(BRP)也叫业务继续计划，通常涉及紧急事件后对业务处理的恢复，但与BCP不同，它在整个紧急事件或中断过程中缺乏确保关键处理的连续性的规程。BRP的制定应该与灾难恢复计划及BCP进行协调。BRP应该附加在BCP之后。,操作连续性计划(COOP)关注位于机构(通常是总部单位)备用站点的关键功能以及这些功能在恢复到正常操作状态之前最多30天的运行。事件响应计划(IRP)建立了处理针对机构的IT系统攻击的规程。这些规程用来协助安全人员对有害的计算机事件进行识别、消减并进行恢复。,场所紧急计划(OEP)在可能对人员的安全健康、环境或财产构成威胁的事件发生时，为设施中的人员提供反应规程。OEP设施级别的制定，与特定的地理位置和建筑结构有关。危机通信计划(CCP)通常由负责公共联络的机构制定。危机通信计划规程应该和所有其他计划协调，以确保只有受到批准的内容公之于众，它应该作为附录包含在BCP中。,灾难恢复计划(DRP)应用于重大的、灾难性的、造成长时间无法对正常设施进行访问的事件。通常，DRP指用于紧急事件后在备用站点恢复目标系统、应用或计算机设施运行的IT计划。,14.3 数据恢复与计算机取证,14.3.1 数据恢复技术,数据恢复是指从被损坏的数据载体，如磁盘、磁带、光盘和半导体存储器等，以及被损坏或被删除的文件中获得有用数据的过程或技术。,硬盘是计算机存取数据的核心部件，数据以文件的形式存储在硬盘之上。操作系统中的文件系统管理着各自的文件，不同的操作系统都有自己的文件管理系统，不同的文件系统又有各自不同的逻辑组织方式。Windows下有FAT32和NTFS等文件系统格式，Linux下有EXT3、JFS和XFS等文件系统格式。,数据恢复的基本原理如下：数据的删除操作只是在文件相应的位置作了标记，其文件内容在未被其他文件覆盖之前仍然存在；磁盘的格式化也仅是将用于访问文件系统的各种表进行了重新构造，其数据依旧存在；物理损坏的存储设备也可以利用相关工具直接读取磁盘盘片或半导体存储芯片内的数据内容。,(1)FAT32磁盘分区中数据的恢复。FAT32分区一般由主引导记录MBR区、DOS引导记录DBR区、文件分配表FAT区、文件目录表FDT区、用户数据区等几个部分组成。主引导记录MBR区位于整个硬盘的0磁道0柱面1扇区，总共占去512字节。DOS引导记录DBR区位于硬盘的0磁道1柱面1扇区，是操作系统可以直接访问的第一个扇区，它也包括一个引导程序和一个被称为BPB的本分区参数记录表。,在DBR之后的是文件分配表FAT区。FAT表共有两个，其中FAT2为FAT1的备份。FAT详细记录了文件的存储信息，其作用就是确保操作系统能够准确地找到文件的位置并读出。文件目录表FDT记录着根目录下每个文件或子目录的名称、起始单元、属性等重要参数。五个区域的硬盘排列如图14-2所示。,图14-2 磁盘FAT32分区示意图,保存文件时，操作系统首先在FDT区中找到空区写入文件名、大小和创建时间等相应信息，然后在FAT区找到闲置空间，并将数据写入到DATA区，与此同时，FAT区、FDT区和DATA区都发生相应的变化。文件系统对文件删除的操作仅仅是在FDT区对应的目录项前面第一个字节标记为E5，其余的信息保留，然后在FAT区标记此文件所占用的簇为空簇。文件删除后，记录该文件实际的存放情况的分配表中数据被清零，这给我们能否成功恢复数据带来了不确定性。,要恢复被删除的文件需要首先通过有关算法找出相关的目录项，然后就可以利用起始簇号信息访问FAT表对应的4 Byte，查看文件起始对应的双字是否被置零。如果相应的双字已经不为0，那么说明文件已经被覆盖，不可恢复；反之，则可能恢复。相关流程如图14-3所示。,图14-3 恢复被删除的文件流程,(2)NTFS磁盘分区中数据的恢复。磁盘NTFS分区由两大部分组成：第一部分包括分区引导扇区和主文件表MFT；第二部分为文件存储区域，在文件存储区中部存放的是MFT前4个(或更多)元数据文件备份，如图14-4所示。,图14-4 磁盘NTFS分区示意图,分区引导扇区保存了有关卷文件结构和BPB参数表。BPB表中的参数有MFT区域的起始簇号、每簇所占扇区数和每扇区字节数。主文件表由一系列文件记录组成，每个文件记录的大小固定为1 KB。MFT的前16个文件属于系统文件，也称为元文件。,这16个文件非常重要，为防止数据丢失，NTFS系统在文件存储区中对它们进行了备份。NTFS卷上的每个文件都有一64位的被称为文件引用号的唯一标识。文件引用号由文件号和文件顺序号两部分组成，文件号为低48位，表示该文件在MFT中的位置。,NTFS将文件作为属性或属性值的集合来处理。当属性值能直接存放在文件记录中时，该属性就称为常驻属性。如果一个属性(如数据流属性)太大而不能存放在只有1 KB大小的MFT文件记录中，那么，NTFS将从MFT之外的位置分配区域。这些区域通常称为一个运行，用来存储属性值。,文件创建时，系统在MFT中为文件生成一个文件记录；在文件删除时，系统所做的工作是：在文件记录头部中将标志字节置为00/02H，文件记录的其他属性均没有变化，对于有数据运行的文件，回收文件所占用的空间，不改变数据区(即数据运行)的内容，只是将数据运行所占用的簇在元文件$Bitmap中对应的位均置为0。因此，我们可以通过分析文件记录以及记录中的属性，来确定文件是否已删除，并获取数据恢复时所需要的文件信息。相关算法如图14-5所示。,图14-5 NTFS分区数据恢复原理,14.3.2 计算机取证计算机取证(Computer forensics)是指对存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。计算机取证技术是一个迅速成长的研究领域，它在国家安全、消费者保护和犯罪调查方面有着很好的应用前景。,由于当前取证软件的功能集中在对存储设备上删除的数据进行恢复和内容显示上，其他工作大部分依赖于取证专家人工进行，几乎造成计算机取证软件等同于磁盘分析软件的错觉。,电子证据的表现形式是多样的，犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储区、堆栈、文件缓冲区、文件系统本身等不同的位置。相应的计算机取证技术不仅涉及到磁盘分析，还涉及到加密、图形和音频文件的研究、日志信息发掘、网络与通信和数据库技术等多方面的知识。,目前，计算机取证技术还存在着很大的局限性，数据擦除、数据隐藏和数据加密技术及其结合使用，可能让取证工作的效果大打折扣。由于计算机犯罪手段的变化和其他技术的引入，现有的取证工作必须向着深入和综合的方向发展。,思 考 题,(1)简述数据存储技术的发展状况。(2)什么是DAS、NAS、SAN?(3)什么是数据备份，什么是容错，什么是磁盘阵列?(4)Windows 7在安全存储方面有哪些设计特点?(5)U盘数据恢复和磁盘数据恢复的方法是一样的吗？(6)计算机取证的流程是怎样的，电子证据的表现形式有哪些？,实验14 数据备份与数据恢复,一、实验目的(1)理解数据备份的概念，熟悉常用的数据备份方法。(2)理解数据恢复的原理，了解常见的恢复种类，熟悉常用数据恢复软件。(3)能用数据恢复软件EasyRecovery进行数据恢复。,二、实验准备1数据备份数据备份工作是系统管理员的重要工作和职责，数据备份的方法很多，备份的手段也多种多样，双机异地备份是商业服务器数据安全的基本要求。实验前要求复习备份的概念和方法，深入理解备份、增量备份、系统备份、数据备份、持续性数据保护等概念，掌握数据备份的常用方法。,确定备份计划主要考虑以下几个方面：(1)确定备份的频率。确定备份频率要考虑两个因素：一是系统恢复时的工作量，二是系统活动的事务量。数据库备份可以是每个月、每一周甚至是每一天进行，而事务日志备份可以是每一周、每一天甚至是每一小时进行。,(2)确定备份的内容、介质和存放地点。(3)确定备份采用动态备份还是静态备份。(4)估计备份需要的存储空间量。在执行备份前，应该估计备份需要使用的存储空间量。(5)确定备份的人员。,执行数据库恢复以前，应注意以下两点：(1)在数据库恢复前，应该删除故障数据库，以便删除对故障数据库的任何引用。(2)在数据库恢复前，必须限制用户对数据库的访问，数据库的恢复是静态的，应使用企业管理器或在系统存储过程中设置数据库为单用户。,2数据恢复请认真阅读14.3节内容和对应的参考文献，熟悉存储介质结构和对应的数据恢复原理，了解常用的数据恢复软件。,三、实验内容1利用Windows XP进行数据备份及还原(1)运行备份工具：开始程序附件系统工具备份。初次运行是以向导模式运行的，为了方便讲解，我们点击“高级模式”进入备份工具的主界面，如图14-6所示。,图14-6 备份工具的主界面,(2)对某些资料进行备份：备份向导下一步备份选定的文件、驱动器或网络数据在要备份的项目中勾选所要备份的文件夹(在文件列表框勾选需要备份的文件)，如图14-7所示。,图14-7 利用备份向导备份,单击下一步浏览，选择备份文件保存位置并输入备份的名称，如图14-8所示。,图14-8 选择备份位置,单击下一步完成，这样就建立了一个后缀名为Backup的备份文件，如图14-9所示。,图14-9 备份进度,提示：最好把备份文件放到另外的存储器中，比如第二个硬盘、U盘、刻录光盘等，以免主硬盘有问题导致数据与备份一起丢失。,(3)对备份进行还原(以还原刚创建的Backup.bkf这个备份文件为例)：还原向导下一步，在“要还原的项目”里选择需要还原的项目和对应的文件夹(在文件列表框勾选需要还原的文件)，如图14-10所示。如果你重装了系统导致没有还原项目列表的话，可以点击浏览按钮来找到备份文件。,图14-10 利用备份还原向导进行还原,单击下一步完成就把原来的备份还原到以前备份的源地址了。选择“高级”还原选项，可以对还原位置作出选择，如图14-11所示。,图14-11 高级还原选项设置,原位置：备份时的文件位于哪里就恢复到哪里。替换位置：自己选择还原的文件保存的位置，但保持原有的目录结构。单个文件夹：自己选择还原文件保存的位置，但不保存原有的目录结构。,2Windows7中文件的备份与还原(1)双击计算机，选择系统属性系统保护，然后选择想要开启高级备份与还原功能的磁盘，这里我们选择“D盘”，单击配置按钮。(2)创建系统还原点，填入还原点描述，这里我们填入“D”，然后单击创建按钮，创建成功后单击关闭按钮。,(3)双击计算机，右键单击“D盘”选择属性以前的版本，在这里我们能看到刚刚开启备份与还原功能的磁盘为我们创建的还原点文件，它是一个版本文件。(4)进入D盘，选择一个文件夹，然后删除该文件夹，并清空回收站。,(5)双击计算机，右键单击“D盘”，选择属性以前的版本，单击“D盘”(这就是系统为我们备份的以前的版本信息)，再单击还原按钮。系统现在就在为我们进行以前版本的还原操作。(6)打开计算机，双击“D盘”，检查被删除的文件是否已经恢复。,3使用数据恢复软件 进行数据恢复(1)解压缩并安装。(2)打开EasyRecovery.exe，选择数据恢复选项，如图14-12所示。,图14-12 EasyRecovery软件界面,单击高级恢复按钮，首先会弹出目标文件警告对话框，在此对话框中，EasyRecovery要求用户将要恢复的文件复制到除源文件位置以外的安全位置。如果系统中有多个被损坏的分区，不要将文件从一个分区恢复到另一个损坏的分区，这种情况下，可以使用可移动的介质或者另一个未损坏的硬盘驱动器作为目标位置。在该对话框中，选中不要再显示此消息复选框，然后单击确定按钮，如图14-13所示。,图14-13 将文件恢复至安全位置,(3)在“高级恢复”界面中，选择要查找的分区，然后单击高级选项按钮，如图14-14所示。,图14-14 高级恢复界面,(4)在弹出的高级选项对话框中，包含分区消息、文件系统扫描、分区设置和恢复选项4个选项卡。在分区信息选项卡中，可以设置起始扇区和结束扇区。当分区不可见时，可以在此输入起始和结束扇区，如果分区可见，则保留默认值，如图14-15所示。,图14-15 设置高级选项,在文件系统扫描选项卡的“文件系统”列表中选择分区的文件类型，可以在FAT12、FAT16、FAT32和NTFS之间选择，如图14-16所示。在选中高级扫描单选按钮后，单击高级选项按钮，从中可以设置簇大小和起始数据。,图14-16 确定文件系统,在分区设置中，如果分区已经损坏，选择使用MFT选项可以使用当前MFT扫描文件；如果分区被意外格式化了，选择忽略MFT选项，该选项将忽略所有文件系统结构并简单地扫描文件数据。在恢复选项中，允许用户忽略扫描过程中找到的含有无效属性或已被删除的文件。当所有设置完成后，单击确定按钮，再单击下一步按钮。,(5)这时EasyRecovery将开始扫描分区，当扫描到数据后，选中要恢复的文件或者文件夹，然后单击下一步按钮。,(6)EasyRecovery可以将数据恢复到本地驱动器，或者通过网络恢复到FTP服务器。如果要将数据恢复到本地驱动器，选中“恢复至本地驱动器”单击按钮，再单击浏览按钮选择目标文件夹；如果要将数据恢复到FTP服务器，则选中恢复至FTP服务器选项，并单击FTP选项按钮，在弹出的FTP选项对话框中键入FTP服务器的地址、端口及具有“上传”权限的用户名及密码，然后单击确定按钮。,在进行数据恢复时，还可以使用过滤器选项，以恢复指定类型的文件。选中使用过滤器复选框，然后单击过滤器选项按钮，在弹出的过滤器选项对话框中，选择要过滤的文件，在指定文件名文本框中指定要恢复文件的文件名或扩展名(支持*和？通配符，*代表所有，？代表一个字符)。在下拉列表中选择要恢复的文件类型，单击确定按钮返回，然后再进行恢复时，将恢复指定的文件，如图14-17所示。,图14-17 恢复指定文件,四、实验报告 1通过实验完成下列问题(1)完成对一个文件夹内容的备份与还原工作。(2)对U盘中的文件进行删除，然后通过数据恢复软件进行恢复，并对恢复后文件的完整性进行查看和记录。,2简答题(1)常见数据存储介质有哪些，他们分别容易出现哪种数据损失？(2)简述如何对分区进行恢复(如使用软件及手工重建分区)?(3)文件系统的不同对数据恢复有哪些影响？(4)你是如何对自己的数据进行备份的？,