数据恢复

数据恢复(Data Recovery)

　　数据恢复是指由于各种原因导致数据损失时，把保留在介质上的数据重新还原。即使数据被删除或硬盘出现故障，在介质没有严重受损的情况下，数据均有可能被无损恢复。

　　格式化或误删除引起的数据损失情况，大部分数据仍未损坏，只要用软件重新恢复连接环节，即可重读数据。如果硬盘因硬件损坏而无法访问时，只要更换发生故障的零件，即可恢复数据。但在介质严重受损或数据被覆盖时，数据将极难恢复。

　　数据恢复可以是对文件恢复、对恢复物理损伤盘的数据恢复、对不同操作系统数据的恢复、对不同移动数码存储卡的数据恢复等。数据恢复是出现问题之后的一种补救措施，既不是预防措施，也不是备份。因此，在一些特殊情况下数据将很难被恢复，如数据覆盖、低级格式化清零、磁盘盘片严重损坏。

　　“删除文件”只是改变文件在FAT中的链接指向，而“格式化”也不是真正删除数据区中的数据，只是重写了FAT表，并没有把DATA区的数据清除。至于硬盘分区，是修改了MBR和DBR，绝大部分的DATA区的数据并没有被改变。只要没有覆盖这个文件，即使MBR、FAT、DIR全部坏了，只要找到一个文件的起始保存位置，就可使用磁盘编辑软件把这个文件恢复出来，这是许多硬盘数据能够得以修复的原因。

　　对于Windows文件系统来说，文件删除仅仅是把文件的首字节改为E5H，并把文件所占区域标记为未分配，而并不破坏文件本身，因此可以恢复。在下次写入数据时该空间的数据就会被覆盖，所以文件删除后不要向需恢复盘随意安装软件或写入数据。文件既可采用手动的方式也可利用一些软件来恢复。这些工具有：FastFileUndelete，EasyRecovery，FinalData，FileRecovery，DiskInvestigator，DivFix等。这些设备进行恢复的工作原理是利用激光束对盘面上的磁信号(0、1)进行扫描，激光束根据反射的不同的数字信号发射不同的信号，通过对这些仪器的扫描，把整个硬盘的原始信号记录在仪器附带的电脑里面，然后再通过专门的软件分析来进行数据恢复。有的数据恢复设备恢复率是相当高的，即使是位于物理坏道上面的数据，由于多种信息的缺失而无法找出准确的数据值，也可以通过大量的运算，在多种可能的数据值之间进行逐一代入，结合其他相关扇区的数据信息，进行逻辑合理性校验，从而找出逻辑上最符合的真值。即使对于已经被覆盖的数据、完全低级格式化、全盘清零、强磁场破坏的硬盘，仍然可通过“深层信号还原”来恢复数据，其原理相对复杂一些。对于磁介质晶体来说，原来没有数据的新盘和进行多次删除和写入操作的磁盘是不同的，对于一个被删除后又写入数据的簇，虽然以前的数据被覆盖了，但在介质的深层，仍然会留存着原有数据的“残影”。通过使用不同波长、不同强度的射线对这个晶体进行照射，可以产生不同的反射、折射和衍射信号。利用这些设备发出的不同射线去照射磁盘盘面，然后通过分析各种反射、折射和衍射信号，就可以得到在不同深度下这个磁介质晶体的残影。根据目前的技术，大概可以观察到4～5层，也就是说，即使一个数据被不同的其他数据重复覆盖了4次，仍然有被“深层信号还原”设备读出来的可能性。

　　①存储介质中的数据并不是在任何情况下都可恢复。一般情况下，能恢复数据的情况有：

• 文件或文件夹被删除，而且文件没有被覆盖。

• 在Windows下格式化的硬盘，快速格式的软盘。

• 硬盘分区被Fdisk删除或重新分区。

　　②在恢复前，不要对恢复盘进行任何操作，同时停止其他无关的应用程序的运行，尤其是杀毒软件、自动更新软件等。

　　③为了提高数据的修复率，不要再对要修复的分区或硬盘进行新的读写操作。如果要修复的分区恰恰是系统启动分区，那就马上退出系统，用另外一个硬盘来启动系统(采用双硬盘结构)。恢复的文件不能保存在需要恢复的分区中。

　　④不同的恢复软件功能上各有所长，某一恢复软件不能恢复的文件并不能说明其他恢复软件就一定不能恢复，在恢复时要多尝试不同的恢复软件。

　　⑤除了必须要网络恢复外，建议断开计算机与网络的连接。

　　⑥建议在安全模式下进行恢复。

　　数据恢复通常遵循如下恢复步骤：

• 检测硬件。

• 重新安装操作系统。

• 设置操作系统，如驱动程序设置、系统设置、用户设置等。

• 重新安装各应用程序。

• 使用最近备份恢复系统数据。

　　一般地，数据恢复操作通常有以下三种：

• 全盘恢复。也称为系统恢复，应用于服务器发生意外灾难导致数据全部丢失、系统崩溃或系统升级、重组等情况。

• 个别文件恢复。恢复个别受损文件时只需浏览备份数据库的目录，找到该文件，触动恢复功能，软件将自动恢复指定文件。

• 重定向恢复。重定向恢复是将备份文件恢复到与备份该文件时原所在位置不同的位置或系统上去。重定向恢复可针对整个系统，也可针对个别文件进行恢复。

　　在对硬盘中的数据进行恢复时，需要遵循一定的原则使数据恢复过程更加安全，避免造成对数据的二次伤害。

• 首先，需要准确判断硬盘故障，可以依据硬盘使用者在硬盘出现故障前的使用描述，再结合硬盘的故障表现以及丰富的经验综合判断；之后对故障进行分析，了解其产生的原因，并选择解决故障的手段，采用最合理的手段来处理故障。

• 对于硬盘相对正常的软故障，能够镜像的尽量采取镜像技术先镜像一份，镜像工具也尽可能选择DOS下的工具，或者先进行相应的处理后再使用Wmdows下的工具来进行处理，镜像工具必须达到STOS(扇区到扇区)方式来进行，当然对某些特殊的个案，还需要使用校验方式进行。

• 对于没有任何数据恢复操作经验的人来说，在硬盘数据出现丢失后，应立即关机，不要再对硬盘进行任何写操作，否则会增大修复的难度，也影响到修复的成功率。修复的每一步操作都应该是可逆的或者对故障硬盘是只读的，这也是很多数据恢复软件的工作原理。

　　另外在数据恢复之前，可以首先完成以下几个步骤。

• 备份当前能工作的驱动器上的所有数据。如果C盘损坏，那么，在开始任何工作之前首先备份D盘及其他盘上的数据到其他可靠的地方。

• 调查使用者。询问在数据丢失之前发生的事情，是否有其他的应用程序对硬盘进行过操作。

• 如果可能，备份所有扇区是一个不错的方法。

• 手头要有一个好的扇区编辑工具，如WinHex就是一款不错的基于扇区的编辑工具。

• 尽可能多地得到最后使用者的关键文件的信息。

　　了解完这些信息后，就该对数据恢复有一个基本的认识，如为什么会出现这个问题，破坏程度如何，什么工具能达到最好的恢复效果，其主要步骤有哪些等。另外要记住的是：先恢复最有把握的数据，恢复一点，备份一点。