NTFS 数据恢复软件案例研究

（a）已删除分区

分区是指将硬盘和大容量存储空间逻辑划分为独立部分。对硬盘驱动器进行分区对于在计算机系统上安装多个操作系统非常有用。例如，用户可以为 LINUX 保留一个分区，为 Windows 保留另一个分区。

在 Microsoft DOS（磁盘操作系统）中，分区磁盘的每个分区都充当单独的磁盘驱动器。对计算机系统硬盘驱动器进行分区可以提高磁盘效率，因为 Windows 操作系统使用的 NTFS（新技术文件系统）系统会根据磁盘大小自动分配簇大小（磁盘越大，簇越大）。

系统对分区的识别完全依赖于分区表和分区的引导扇区，如果分区表或分区的引导扇区被病毒破坏或者被意外删除，用户将无法看到该分区。

数据恢复软件提供NTFS 和 NTFS5 文件系统的分区恢复功能。可以轻松从已删除分区、丢失分区、缺失分区中恢复文件。

（b）病毒攻击

病毒是一种通过将自身附加到其他可执行文件（COM 或 EXE）来复制自身代码的程序，以便在执行受攻击的可执行文件时执行病毒代码。

病毒通过以下方式攻击文件：

• 删除文件和文件夹
• MBR 文件系统损坏
• 删除分区

最近，为互联网网站编写的脚本和/或包含在电子邮件中的脚本也可以被执行和感染。

病毒可以通过添加到文件末尾、插入到文件中间或将指针指向磁盘上发现病毒的不同位置来附加文件。

所有病毒的工作行为都比较类似，先感染文件，再攻击数据，部分恶意代码还会以木马、蠕虫、逻辑炸弹等形式破坏数据。

可以感染计算机操作系统和文件系统多个不同部分的病毒包括：

• 文件病毒感染或攻击程序（COM 和 EXE）文件。
• 伴随病毒将首先运行的文件添加到计算机磁盘上。
• 批处理文件病毒使用文本批处理文件进行感染。
• 源代码病毒是一种特殊类型的病毒，它会在实际程序源代码中添加代码。

病毒根据其感染方式可分为以下几类：

• 多态病毒是指在感染过程中会改变其特征的病毒。
• 隐形病毒会尝试主动隐藏自己，以逃避防病毒软件或系统软件的检测。
• 快速和慢速感染病毒以特定方式感染并试图避开特定的防病毒软件。
• 稀疏感染者病毒不会频繁感染。
• 装甲病毒经过编程，很难被拆卸。
• 多部分病毒可能属于多个顶级类别。

媒体恢复软件可以轻松恢复由于病毒攻击而被删除、移除、擦除和丢失的所有文件。

（c）操作系统安装错误

操作系统在安装过程中遇到以下错误消息：

• Windows Vista 中“无法为‘ ’设置数据”（实际为空白区域）
• 加载操作系统时出错
• 可用内存不足
• 可用磁盘空间不足

计算机启动时可能会显示一些常见的错误消息：

• NTLDR 缺失：NTLDR 允许用户在 NT 和基于 NT 的操作系统菜单中选择从哪个操作系统启动。
• 无效的驱动器规范：如果用户在有效驱动器（例如 C:）上收到此 DOS 消息，则表示硬盘已损坏。
• 启动盘故障：如果 CMOS 中的启动选项设置不正确、计算机中没有可启动的 CD 或 CD-R 以及设置的所有启动设备都无法启动，则可能会导致此问题。
• 缺少操作系统：缺少操作系统错误消息的不同原因可能是缺少或损坏的 command.com 或其他引导文件、计算机病毒、引导记录损坏以及硬盘驱动器出现故障或已被擦除。
• 无效系统磁盘：无效数据、编程缺陷或输入错误产生的错误信息。例如，如果计算机中有一张无法启动的软盘，则在启动计算机时会显示错误信息“无效系统磁盘”。

NTFS 数据恢复软件可以轻松地从硬盘驱动器恢复所有丢失和删除的数据。

（d）逻辑坏道硬盘

计算机硬盘坏扇区因永久性损坏而无法使用。逻辑坏扇区可以通过磁盘实用程序软件（例如 Microsoft 系统中的 CHKDSK 或 SCANDISK）或 UNIX 操作系统中的坏块来检测。一旦扇区被标记为不可用，操作系统以后就无法使用它。

逻辑坏扇区硬盘驱动器将来无法使用，数据也会损坏和损坏。NTFS 数据恢复软件提供解决方案，可轻松从受逻辑坏扇区影响的存储介质中恢复和检索数据。