王偉

摘 要：隨著計算機應用的普及，越來越多的企業(yè)、事業(yè)單位都在采用計算機作為非常重要的數(shù)據(jù)保存媒體。然而計算機總要出現(xiàn)這樣或那樣的問題，那么保存在其中的數(shù)據(jù)會不會受到影響呢？會不會丟失呢？

關鍵詞：計算機；數(shù)據(jù)恢復；存儲介質(zhì)；格式化；刪除；文件分配表

計算機作為非常重要的數(shù)據(jù)存儲媒介，越來越受到人們的重視，特別是一些非常重要的部門，這些數(shù)據(jù)的安全性必須做到萬無一失，然而計算機并不是萬能的，總要出現(xiàn)一些問題。當然除了計算機以外，還有很多數(shù)據(jù)存儲的媒介，比如U盤、儲存卡、移動硬盤、MP3等等。我們今天就來探討一下數(shù)據(jù)恢復的話題。

首先，我們來了解一下什么是數(shù)據(jù)恢復。數(shù)據(jù)恢復就是當存儲介質(zhì)出現(xiàn)損傷或由于人員誤操作、操作系統(tǒng)本身故障所造成的數(shù)據(jù)看不見、無法讀取、丟失時，工程師通過特殊的手段讀取在正常狀態(tài)下不可見、不可讀、無法讀的數(shù)據(jù)，從而將這些數(shù)據(jù)得以恢復或找到。其實就是指通過技術(shù)手段，將保存在臺式機硬盤、筆記本硬盤、服務器硬盤、存儲磁帶庫、移動硬盤、U盤、數(shù)碼存儲卡、Mp3等等設備上丟失的電子數(shù)據(jù)進行搶救和恢復的技術(shù)。

數(shù)據(jù)恢復包括：1）邏輯故障數(shù)據(jù)：恢復邏輯故障是指與文件系統(tǒng)有關的故障。硬盤數(shù)據(jù)的寫入和讀取，都是通過文件系統(tǒng)來實現(xiàn)的。如果磁盤文件系統(tǒng)損壞，那么計算機就無法找到硬盤上的文件和數(shù)據(jù)。邏輯故障造成的數(shù)據(jù)丟失，大部分情況是可以通過數(shù)據(jù)恢復軟件找回的。2）硬件故障數(shù)據(jù)恢復：硬件故障占所有數(shù)據(jù)意外故障一半以上，常有雷擊、高壓、高溫等造成的電路故障，高溫、振動碰撞等造成的機械故障，高溫、振動碰撞、存儲介質(zhì)老化造成的物理壞磁道扇區(qū)故障，當然還有意外丟失損壞的固件BIOS信息等。硬件故障的數(shù)據(jù)恢復當然是先診斷，對癥下藥，先修復相應的硬件故障，然后根據(jù)修復其他軟故障，最終將數(shù)據(jù)成功恢復。電路故障需要我們有電路基礎，需要更加深入了解硬盤詳細工作原理流程。

其次，我們來了解一下數(shù)據(jù)恢復應用在哪些地方?，F(xiàn)實中很多人不知道刪除、格式化等硬盤操作丟失的數(shù)據(jù)可以恢復，以為刪除、格式化以后數(shù)據(jù)就不存在了。事實上，上述簡單操作后數(shù)據(jù)仍然存在于硬盤中，懂得數(shù)據(jù)恢復原理知識的人只需幾下便可將消失的數(shù)據(jù)找回來，不要覺得不可思議，在了解數(shù)據(jù)在硬盤、優(yōu)盤、軟盤等介質(zhì)上的存儲原理后，大家都可以將丟失的數(shù)據(jù)找回來。

從簡單方面來講，計算機在使用的時候，總會出現(xiàn)不小心刪除一些文件或文件夾，或者被某些用戶誤刪除，這時候我們就需要分析一下，不小心刪除的這些文件是放入回收站了，還是徹底刪除了。如果在刪除文件時只按下DEL鍵或者在右鍵快捷菜單中選擇刪除命令，那么這時，只要去回收站里就可以找到刪除的文件，找到該文件后，在右鍵快捷菜單中選擇還原即將該文件恢復到原先的位置。這是最為簡單的一種數(shù)據(jù)恢復，這咱數(shù)據(jù)恢復一學即會，任何一個普通的計算機用戶都可以使用其進行最簡單的數(shù)據(jù)恢復。

從復雜方面來講，當文件被徹底刪除后或者被格式化（高級格式化）后或者進行過系統(tǒng)還原，這些文件如果想到找回來，就比較困難一些了，但是一旦真的出現(xiàn)數(shù)據(jù)丟失后，不管是計算機還是其它數(shù)據(jù)存儲媒介，都不要再往上寫入數(shù)據(jù)了。如果一旦又寫入了數(shù)據(jù)，那么恢復數(shù)據(jù)的可能性就會非常弱小。其實對于一位職業(yè)數(shù)據(jù)恢復師來講：“只要數(shù)據(jù)沒有被覆蓋，數(shù)據(jù)就有可能恢復回來”。因為磁盤的存儲特性，當我們不需要硬盤上的數(shù)據(jù)時，數(shù)據(jù)并沒有被拿走。刪除時系統(tǒng)只是在文件上寫一個刪除標志，格式化和低級格式化也是在磁盤上重新覆蓋寫一遍以數(shù)字0為內(nèi)容的數(shù)據(jù)，這就是覆蓋。當一個文件被標記上刪除標志后，他所占用的空間在有新文件寫入時，將有可能被新文件占用覆蓋寫上新內(nèi)容。這時刪除的文件名雖然還在，但他指向數(shù)據(jù)區(qū)的空間內(nèi)容已經(jīng)被覆蓋改變，恢復出來的將是錯誤異常內(nèi)容。同樣文件分配表內(nèi)有刪除標記的文件信息所占用的空間也有可能被新文件名文件信息占用覆蓋，文件名也將不存在了。當將一個分區(qū)格式化后，有拷貝上新內(nèi)容，新數(shù)據(jù)只是覆蓋掉分區(qū)前部分空間，去掉新內(nèi)容占用的空間，該分區(qū)剩余空間數(shù)據(jù)區(qū)上無序內(nèi)容仍然有可能被重新組織，將數(shù)據(jù)恢復出來。同理，克隆、一鍵恢復、系統(tǒng)還原等造成的數(shù)據(jù)丟失，只要新數(shù)據(jù)占用空間小于破壞前空間容量，數(shù)據(jù)恢復工程師就有可能恢復你要的分區(qū)和數(shù)據(jù)。

然后，我們再來談一下數(shù)據(jù)分析的現(xiàn)狀。目前對于誤刪除、誤格式化或在做系統(tǒng)還原前忘記備份相應文件的數(shù)據(jù)恢復方法，一般都是通過使用相關的數(shù)據(jù)恢復軟件來實現(xiàn)的。比如：效率源DATACOMPASS、PC-3000、Final Data、 Easy Recovery、easy undelete、AneData安易硬盤數(shù)據(jù)恢復軟件、D-Recovery達思數(shù)據(jù)恢復軟件、易我數(shù)據(jù)恢復向?qū)У取Ｆ渲蠩asyrecovery是一個非常著名的老牌數(shù)據(jù)恢復軟件。該軟件功能可以說是非常強大。無論是誤刪除/格式化還是重新分區(qū)后的數(shù)據(jù)丟失，其都可以輕松解決，其甚至可以不依靠分區(qū)表來按照簇來進行硬盤掃描。但要注意不通過分區(qū)表來進行數(shù)據(jù)掃描，很可能不能完全恢復數(shù)據(jù)，原因是通常一個大文件被存儲在很多不同的區(qū)域的簇內(nèi)，即使我們找到了這個文件的一些簇上的數(shù)據(jù)，很可能恢復之后的文件是損壞的。所以這種方法并不是萬能的，但其提供給我們一個新的數(shù)據(jù)恢復方法，適合分區(qū)表嚴重損壞使用其他恢復軟件不能恢復的情況下使用。

最后，我們來談一下數(shù)據(jù)恢復的技巧。1）不必完全掃描：如果你僅想找到不小心誤刪除的文件，無論使用哪種數(shù)據(jù)恢復軟件，也不管它是否具有類似EasyRecovery快速掃描的方式，其實都沒必要對刪除文件的硬盤分區(qū)進行完全的簇掃描。因為文件被刪除時，操作系統(tǒng)僅在目錄結(jié)構(gòu)中給該文件標上刪除標識，任何數(shù)據(jù)恢復軟件都會在掃描前先讀取目錄結(jié)構(gòu)信息，并根據(jù)其中的刪除標志順利找到剛被刪除的文件。所以，你完全可在數(shù)據(jù)恢復軟件讀完分區(qū)的目錄結(jié)構(gòu)信息后就手動中斷簇掃描的過程，軟件一樣會把被刪除文件的信息正確列出，如此可節(jié)省大量的掃描時間，快速找到被誤刪除的文件數(shù)據(jù)。2）盡可能采取NTFS格式分區(qū)：NTFS分區(qū)的MFT以文件形式存儲在硬盤上，實際上它們在讀取NTFS的MFT后并沒有真正進行簇掃描，只是根據(jù)MFT信息列出了分區(qū)上的文件信息，非常取巧，從而在NTFS分區(qū)的掃描速度上壓倒了老老實實逐個簇掃描的其他軟件。不過對于NTFS分區(qū)的文件恢復成功率各款軟件幾乎是一樣的，事實證明這種取巧的辦法確實有效，也證明了NTFS分區(qū)系統(tǒng)的文件安全性確實比FAT分區(qū)要高得多，這也就是NTFS分區(qū)數(shù)據(jù)恢復在各項測試成績中最好的原因，只要能讀取到MFT信息，就幾乎能100%恢復文件數(shù)據(jù)。3）巧妙設置掃描的簇范圍：設置掃描簇的范圍是一個有效加快掃描速度的方法。像EasyRecovery的高級自定義掃描方式。當然要判斷目的文件在硬盤上的位置需要一些技巧，這里提供一個簡單的方法，使用操作系統(tǒng)自帶的硬盤碎片整理程序中的碎片分析程序，在分區(qū)分析完后程序會將硬盤的未使用空間用圖形方式清楚地表示出來，那么根據(jù)圖形的比例估計這些未使用空間的大致簇范圍，搜索時設置只搜索這些空白的簇范圍就好了，對于大的分區(qū)，這確實能節(jié)省不少掃描時間。4）使用文件格式過濾器：當我們只是要找?guī)讉€誤刪的文件的時候，可軟件卻列出了成百上千個以前刪除了的文件，要找到自己真正需要的文件確實十分麻煩。這里就要使用EasyRecovery獨有的文件格式過濾器功能了，在掃描時在過濾器上填好要找文件的擴展名，如“*.doc”，那么軟件就只會顯示找到的DOC文件了。

參考文獻

[1]張曉娟，楊世松.硬盤數(shù)據(jù)恢復在信息安全應急響應中的應用[J]. 微計算機信息. 2006（12）

[2]付合軍.數(shù)據(jù)恢復技術(shù)與信息安全[J]. 光盤技術(shù). 2006（03）

[3]孫建華.硬盤數(shù)據(jù)恢復技術(shù)解析[J]. 電腦知識與技術(shù). 2008（11）

[4] 翁永平.文件刪除終極大法[J]. 網(wǎng)絡與信息. 2006（02）