效哥帶你讀懂Access資料庫文件恢復提取技術

Access 是微軟公司推出的基於Windows的桌面關係資料庫管理系統，Access在很多地方得到廣泛使用，例如小型企業，大公司的部門，喜愛編程的開發人員也專門利用它來製作處理數據的桌面系統。它也常被用來開發簡單的WEB應用程序。

Access不僅僅是一個資料庫，而且它具有強大的數據管理功能，它可以方便地利用各種數據源生成窗體、表單、查詢、報表、應用程序等，所以，Access資料庫在日常生活中使用量也非常大，在公檢法辦案或一些證據收集時，常常要對Access資料庫中的數據進行恢復和提取。

效率源科技效哥就結合Access資料庫（資料庫版本為Access2010，此方法也適用於最新版的Access資料庫文件恢復提取）特徵來闡述如何快速有效的恢復Access資料庫文件中的數據，從而幫助公檢法電子數據恢復取證提供支持。

1.Access文件存儲原理

Access是通過頁結構來管理數據的。每頁的大小為4096Bytes，每頁的第一個位元組表示了該頁的類型，主要有：

00資料庫信息頁

01數據頁

02數據表結構頁

04過渡頁等

Access資料庫讀取數據的基本結構，如下所示，其中02頁中記錄了某表的管理信息，04頁中記錄了01數據頁的頁號，01頁中記錄了該表對應的數據，如下圖：

Access資料庫讀取表結構的基本結構，如下所示，其中的00頁固定為第一頁，02頁固定為第二頁，04頁中記錄著01頁的頁號，01頁表示數據頁，但此處01頁中不是記錄某個數據表的數據，而是記錄該資料庫中所有的表的基本信息，如下圖：

00頁結構如下所示，其中記錄資料庫的基本信息：

01頁結構如下所示，其中記錄了數據信息：

02頁結構，如下圖：

04頁結構，如下圖：

2.Access的碎片重組恢復思路

通過對Access資料庫的深入分析，發現當刪除行或者表數據的時候，數據內容是不會存在變化的，僅僅是01數據頁的管理信息發生了變化，相對於該數據頁頭偏移0x0F的值0F變成了CF，如下圖：

根據數據行結構信息恢復出刪除行數據，具體數據行結構信息如下所示：

通過以上對ACCESS資料庫的存儲結構深入分析，研究ACCESS資料庫中數據發生刪除時的情況變化，發現無論何種刪除行為的發生，比如行數據被刪除，表數據被刪除，甚至是資料庫文件被刪除，都可以按照ACCESS資料庫頁的結構特徵通過底層分析或者相應工具進行數據恢復和提取。

以上，就是效率源科技效哥關於ACCESS資料庫文件恢復提取技術的介紹，通過上述方法不僅能夠快速高效提取ACCESS資料庫數據，還能提取不能正常打開的資料庫文件。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！