效哥帶你讀懂Access資料庫檔案恢復提取技術

Access 是微軟公司推出的基於Windows的桌面關聯式資料庫管理系統，Access在很多地方得到廣泛使用，例如小型企業，大公司的部門，喜愛程式設計的開發人員也專門利用它來製作處理資料的桌面系統。它也常被用來開發簡單的WEB應用程式。

Access不僅僅是一個資料庫，而且它具有強大的資料管理功能，它可以方便地利用各種資料來源生成窗體、表單、查詢、報表、應用程式等，所以，Access資料庫在日常生活中使用量也非常大，在公檢法辦案或一些證據收集時，常常要對Access資料庫中的資料進行恢復和提取。

效率源科技效哥就結合Access資料庫（資料庫版本為Access2010，此方法也適用於最新版的Access資料庫檔案恢復提取）特徵來闡述如何快速有效的恢復Access資料庫檔案中的資料，從而幫助公檢法電子資料恢復取證提供支援。

1.Access檔案儲存原理

Access是通過頁結構來管理資料的。每頁的大小為4096Bytes，每頁的第一個位元組表示了該頁的型別，主要有：

00資料庫資訊頁，01資料頁，02資料表結構頁，04過渡頁等

Access資料庫讀取資料的基本結構，如下所示，其中02頁中記錄了某表的管理資訊，04頁中記錄了01資料頁的頁號，01頁中記錄了該表對應的資料，如下圖：

Access資料庫讀取表結構的基本結構，如下所示，其中的00頁固定為第一頁，02頁固定為第二頁，04頁中記錄著01頁的頁號，01頁表示資料頁，但此處01頁中不是記錄某個資料表的資料，而是記錄該資料庫中所有的表的基本資訊，如下圖：

00頁結構如下所示，其中記錄資料庫的基本資訊：

01頁結構如下所示，其中記錄了資料資訊：

02頁結構，如下圖：

04頁結構，如下圖：

2.Access的碎片重組恢復思路

通過對Access資料庫的深入分析，發現當刪除行或者表資料的時候，資料內容是不會存在變化的，僅僅是01資料頁的管理資訊發生了變化，相對於該資料頁頭偏移0x0F的值0F變成了CF，如下圖：

根據資料行結構資訊恢復出刪除行資料，具體資料行結構資訊如下所示：

通過以上對ACCESS資料庫的儲存結構深入分析，研究ACCESS資料庫中資料發生刪除時的情況變化，發現無論何種刪除行為的發生，比如行資料被刪除，表資料被刪除，甚至是資料庫檔案被刪除，都可以按照ACCESS資料庫頁的結構特徵通過底層分析或者相應工具進行資料恢復和提取。

以上，就是效率源科技效哥關於ACCESS資料庫檔案恢復提取技術的介紹，通過上述方法不僅能夠快速高效提取ACCESS資料庫資料，還能提取不能正常開啟的資料庫檔案。