数据恢复在审计中的应用

作 者:

作者简介:
戴春军 宁夏回族自治区审计厅信息中心

原文出处:
宁夏审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2008 年 11 期

关 键 词:

字号:

      近日、审计组在对某企业进行审计时,发现该企业财务工作人员对计算机中所存储的数据进行了删除。由于不能确定该数据是否对审计工作有用,因此、决定对该企业涉及财务及销售资料的十多台电脑,运用数据恢复软件对其删除的数据进行恢复检查。在数据恢复后发现,被该企业财务人员删除的数据中,果然有许多有价值的资料。

      审计中如需要进行数据恢复,在进行数据恢复以前,首先必须要明确,硬盘数据恢复很大程度依靠运气,无必胜把握。建议数据恢复前先用硬盘保护卡对拷到其它硬盘上做一个备份,然后修理备份数据(不能用GHOST做备份)。或者将需要恢复数据的硬盘挂接到其它主机上,进行数据恢复。

      一个完整硬盘的数据应该包括五部分:MBR,DBR,FAT,DIR区和DATA区。其中只有主引导扇区是唯一的,其它的随你的分区数的增加而增加。我们所做的工作,主要是对硬盘的DATA区数据进行恢复。

      DATA区虽然占据了硬盘的绝大部分空间,它对于我们来说,只是一些枯燥的二进制代码,没有任何意义。在这里有一点要说明的是,我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,至于分区硬盘,也只是修改了MBR和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏了,我们也可以使用磁盘编辑软件(比如DOS下的Disk Edit),只要找到一个文件的起始保存位置,那么这个文件就有可能被恢复。当然,这里需要一个前提,那就是你没有覆盖这个文件,如果你删除了文件,又在该区域内重新写入了文件,那么想要恢复完整的文件数据将会是很难的。审计组在这次数据恢复的过程中,由于被审计单位的财务人员得知审计部门要对其单位的财务收支进行审计,因此只是对其电脑中的相关数据进行了删除,在短时间内,没有机会进行新文件的写入,恢复出来的数据在一定程度上还是比较完整的。

      下面是运用数据恢复软件Final Data和Easy Recovery进行实际操作时的一些过程记录。之所以选择上面所述的软件,是因为在实际的工作中由于条件所限,无法采取其它的恢复手段,只能运用软件来进行数据恢复。

      我们在这次数据恢复过程中,将被审计单位的电脑硬盘拆卸后,挂接在一台正常运行的已经事先安装了数据恢复软件Final Data和Easy Recovery电脑上,然后运行软件就可恢复和转移被审计单位硬盘上的数据了。

      Final Data的安装很简单,运行软件后选择你要恢复的数据文件所在的逻辑驱动器。如果你是恢复整个硬盘的数据,可以直接选择恢复“物理驱动器”。根据经验,一般情况下我们都会选择财务软件安装目录所在的磁盘分区,或者财务人员以个人名称或特殊符号命名的隐藏目录作为数据恢复的重点目标,在确定了目标任务后,Final Data会自动的搜索和分析哪些是正常的目录和文件,哪些是已被删除的文件和目录。

      Final Data在完成所有的检查后会将目标任务驱动器的所有文件分类后以表格形式详细列出来,包括正常的目录、已删除的目录和删除的文件等大类。在表格右边的详细列表中列明了所有的文件资料,包括文件的名称、大小、目前状态(是否破损)和创建时间,最关键是文件所在的物理簇位置,这样恢复这个文件就不是什么问题了!文件恢复详细界面见图1:

      选中要恢复的文件,点击“恢复”命令即可将已被删除文件重新移至新的驱动盘使用。Final Data恢复文件时,已被删除文件不能移至原目标驱动盘,只能移至新目标驱动盘。

      图2是Easy Recovery的启动界面,Easy Recovery是一个威力非常强大的硬盘数据恢复工具,能够恢复丢失的数据以及重建文件系统。

      首先我们启动Easy Recovery,点击左边列表中的“数据修复”。

      数据修复里面有六个选项,我们点击“删除恢复(Deleted Recovery)”,它的功能是查找并恢复已删除的文件。

      选择要恢复文件所在的分区,在默认情况下,软件对分区执行的是快速扫描,如果你需要对分区进行更彻底的扫描,就在“完成扫描”前打上勾就行了,选择好分区后,我们点击“下一步”。软件就开始扫描你刚才选择的分区了。

      

      图1 文件恢复详细界面

      

      图2 Easy Recovery启动界面

      经过3~4分钟的扫描后结果就出来了,点击左面文件夹列表中的文件夹,在右面列出来的文件就是能被恢复的删除文件,选择一个要恢复的文件,一定要把前面的勾打上,然后点击“下一步”。就可以选择恢复目标的选项,一般我们都是将文件恢复到本地驱动器里(选择分区时一定注意,保存恢复文件的分区不能与文件原来所在的分区一样,否则不能保存)。文件恢复完成后,弹出一个对话框显示文件恢复摘要,你可以进行保存或者打印,然后点击“完成”。一个文件就被恢复了。

相关文章: