聂　阳

当今社会，计算机在我们的日常生活和工作中起着举足轻重的作用，我们许多的工作成果也以数据的形式存储在各种磁盘上，如硬盘、闪盘等。一旦磁盘上的数据损坏，有时损失是难以用金钱来衡量的，可见计算机数据的重要性。也因此，催生了数据恢复这一市场的发展。本系列，我们就将给大家介绍一些数据恢复的理论知识及实战，希望能给大家在就业或创业方面提供一些帮助。

业界探幽

CFan：飞客作为一家专业的数据恢复公司，也在做这方面的培训，能否请你们谈谈数据恢复市场的现状？

聂阳：据IDC调查分析：数据存储量以年均80%的速度增长，数据备份恢复服务市场到2010年将增长到100亿美元以上，中国市场也将猛增到7亿美元。随着电子产品越来越多地走进千家万户，数据问题爆发得愈加频繁。一方面数据恢复的需要促进了市场供给，另一方面数据恢复相较传统维修业务的高回报率，促使了数据恢复公司如雨后春笋般成立。目前这一领域，代表性的如江民科技旗下的飞客数据恢复中心，已发展成大规模的全国性连锁服务商。

CFan：数据恢复工程师，一般薪资待遇如何？

聂阳：巨大的市场需求造成了短期的数据恢复人才短缺，国外经验丰富的数据恢复工程师薪金最高可达每月7万美元，国内水平较高的数据恢复工程师年薪也超过了10万元人民币。

芝麻开门

CFan：数据恢复工程师需要什么样的基础知识？

聂阳：到了数据恢复公司，一般会问你“用的操作系统是什么？”“分区类型是FAT32还是NTFS?”“存放的是什么类型的数据？”之类的问题。这就如同去医院看病，医生会问很多问题以判断是什么疾病一样。其实这几个常规问题，也反应出了对数据恢复工程师的基本知识要求：需要对各类操作系统、FAT32及NTFS等常见的硬盘分区格式、不同类型的文件格式等有深入的了解。所以在培训的初始阶段，我们一般要先讲解硬件的工作原理。

知己知彼

了解数据存储原理

无论是有实力的数据恢复公司还是市场上的那些零散的“专业数据恢复提供商”，其实从大家所使用的工具软件上来讲，都是类似的。差别就在于经验和对软件的了解——每种软件对于恢复不同的文件系统、不同类型的数据、不同情况的故障原因，效果差别极大。而这也是一般用户所不了解的。所以针对不同的文件系统、不同的故障，适当地选择数据恢复软件可以有效地进行数据抢救。

怎么选择及合理应用数据恢复软件？首先必须了解存储介质的存储结构以及数据的存储原理，了解文件的读取方式、写入方式以及删除方式等。

文件的读取

操作系统从目录区中读取文件信息，包括文件名、扩展名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号等。我们这里假设第一个簇号是0023，操作系统从0023簇读取相应的数据，然后再找到FAT的0023单元，如果内容是文件结束标志（FF），则表示文件结束，否则内容保存数据的下一个簇的簇号，这样重复下去直到遇到文件结束标志。

文件的写入

当我们要保存文件时，操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信息，然后在Data区找到闲置空间将文件保存，并将Data区的第一个簇写入DIR区，其余的动作和上边的读取动作差不多。

文件的删除

看了前面的文件的读取和写入，你可能没有往下边继续看的信心了。不过放心，Windows的文件删除工作却是很简单的，简单到只在目录区做了一点小改动—将目录区的文件的第一个字符改成了E5就表示将该文件删除了。

网络大补贴

当然，数据存储的原理，不是上面几段文字就能够说清楚的，所以对有志于数据恢复这一行业的朋友来说，应该多找一些相关的专业书籍深入研究阅读，另外，网上也能搜索到不少这方面的资料，下面就列举一些。

★FAT文件系统原理

● http://zh.wikipedia.org/w/index.php?title=FAT32&variant;=zh-cn

● http://www.mypm.net/blog/user2/shujuhuifu/archives/2009/33442.html

★NTFS文件系统原理

● http://zh.wikipedia.org/w/index.php?title=NTFS&variant;=zh-cn

★Linux常见的ext3文件系统原理

● http://zh.wikipedia.org/w/index.php?title=Ext3&variant;=zh-cn

任务实战

在整个PC与服务器架构中，硬盘可谓是最为脆弱的部件，却又担当着最艰巨的任务—数据存储。正所谓“硬盘有价而数据无价”，一旦硬盘出现故障，用户的数据将无法得到保障（见图1）。

从故障上来看，一般的数据恢复公司会把故障分为软件、硬件、开盘、磁盘阵列等几类。这几个分类又可以进一步细分，例如软件方面可以细分为：误删除、误格式化、误合并分区、文件损坏、病毒破坏等等。针对不同的问题会有不同的解决方案。一般用户并不知道这个道理，不管什么问题一律用从网上找到的恢复软件扫描修改，结果有可能加剧数据损坏。

实战：抢救RAW闪盘中的数据

当你把保存有重要文件的闪盘插入电脑的USB接口中，资源管理器中也很快显示出“可移动磁盘(X:)”的盘符，可是当你双击打开它时，却弹出磁盘未格式化的窗口，肯定会吓你一大跳。当然不能点击“是”了，里面还有重要文件怎能格式化！当右击出问题的盘符，选择“属性”时，可看到它的文件系统变成了RAW。

RAW英文有未经加工的意思，Windows中则是指未经格式化的磁盘。本来用得好好的闪盘，因为中毒、误操作、读取数据过程中强行拨出、设计不良的USB接口等多方面原因造成闪盘分区被破坏，都会出现RAW问题。从RAW化磁盘中抢救数据，目前EasyRecovery（试用下载：http://www.onlinedown.net/soft/73968.htm）做得比较好。

第一步：下载后解压安装，然后插入故障闪盘，另外再插入一块好的闪盘（容量要大于故障闪盘），然后运行EasyRecovery，进入软件主界面后点选左侧“数据恢复”，然后点击右侧“Raw恢复”。

图2

第二步：软件扫描系统后会发现RAW化的闪盘（见图2），点选它，再单击前进（Next），接下来是漫长的扫描过程。完成后将显示如图3所示的界面。因为它没有显示具体的文件名，所以你要自己确定文件类型（比如要恢复的是RAR文件就勾选左侧DIR.RAR），并根据文件大小判断并选定要恢复的文件。

图3

第三步：选好后点击“前进”进入下一个界面，在这里通过“浏览”设置恢复后的文件保存位置（见图4）。最好是选择其他的磁盘，比如保存到另一块好的闪盘或移动硬盘上，实在没有第二块磁盘的话，可选择与要修复的文件不同的另一个分区。设置完毕，点击“前进”。恢复完毕，在设置的目标磁盘中会找到“DIR2.RAR”之类的文件夹，打开后就可以看到你需要的文件了。

图4

小提示

★小编在做测试的时候，发现有些恢复的RAR文件头损坏，无法用WinRAR打开。这时可先启动WinRAR，在WinRAR内嵌的资源管理器中选中损坏的RAR文件，再点击工具栏的“修复”，根据向导提示操作，可修复RAR文件。

★在确认需要的数据都已经恢复完毕并已安全保存到别处之后，我们可以试试Mformat(U盘修复工具，http://work.newhua.com/cfan/200913/MformatV1.00.zip)这款软件来修复闪盘。解压后运行软件，它会自动检测到闪盘，本例中闪盘为H盘，点击“H”按钮即可开始修复（见图5）。如果是同时修复多个闪盘，也可点击左下角“全部开始”，就不用一一点击了。修复好的闪盘，又会变回FAT32格式，可以正常使用了。不过这样的闪盘终究不是很稳定，重要资料以后最好不要用它来保存。

图5