谢新军

摘 要： 随着人们对数据安全的认识及对数据恢复技术的了解加深，数据恢复技术行业的价值已经得到各个方面的认可，不仅可以为个人或者企业用户恢复丢失的文件数据，还可以为公安机关打击各种计算机犯罪行为提供技术支持。因此，数据恢复技术在计算机领域中占有重要位置。

关键词： 计算机硬盘 数据恢复技术 信息安全

通常情况下，病毒、黑客袭击计算机等是造成数据丢失的主要因素。随着全球信息化的不断加剧，信息早已成为社会发展的重要资源，围绕这一资源展开的竞争日益激烈。数据是信息的重要载体，所以系统与数据恢复技术作为一种新技术便应运而生了。硬盘是计算机系统中最主要的外部存储设备，硬盘上存储的数据会因为各种原因而遭到损坏或丢失，数据恢复是将硬盘上损坏或丢失的数据重新找回来，还原为正常可用数据的过程。

一、硬盘数据损坏或丢失的原因

1.硬件故障

硬件故障是造成数据损坏或丢失的重要原因之一，如供电电压不稳造成系统自动重启、硬盘出现坏道、盘片划伤、磁头变形、磁头臂断裂、磁头放大器损坏、芯片组或其他元器件损坏等。硬件故障属于物理故障，维修工作需要有关专业设备和仪器的支持，所以对于一般用户很难掌握，而且由硬件故障造成的数据损坏或丢失往往恢复的可能性很小。因此，避免硬件故障的发生是防止数据丢失的有效途径，比如定期进行检修维护、更新换代硬件等。

2.恶意程序或网络非法入侵

恶意程序一般是指网络上流行的各种计算机病毒，系统感染病毒后会导致不同程度的系统瘫痪、程序被破坏或数据丢失，严重的甚至会造成硬盘损坏、主板BIOS芯片被破坏。计算机病毒无论是改变硬盘引导区、可执行文件，还是Office文档，都可能影响系统的正常运行或导致数据丢失，即使是良性伴随性病毒，同样会破坏数据。除此之外，网络黑客的非法入侵也会对计算机系统文件和数据进行盗取和破坏。因此，有效地防治计算机病毒感染和网络非法入侵对于数据安全性有着重要意义。

3.误操作

除了客观存在的各种因素造成数据损坏或丢失的原因外，硬盘数据也经常因为人为误操作导致损坏或丢失，尤其是对于一些计算机初学者用户，由于理论知识不足和实际操作技能欠缺，有可能会对系统进行误操作，如删除系统重要文件、非正常关机、误将硬盘格式化、重装系统时删除分区等都会造成数据的损坏或丢失。因此，计算机的操作人员要进行必要的学习和培训，以掌握计算机操作的基本技能，从而避免硬盘数据发生损坏或丢失。

除以上三种原因外，突然断电有时也会造成硬盘损坏或数据丢失，或导致系统无法正常启动、内存溢出或者进程非法终止而损坏当前正在执行的数据文件。其他情况如软件更新升级有时也会带来一些问题，从而造成重要数据被破坏。

二、数据存储结构原理

要掌握数据恢复技术，首先要了解数据的存储结构原理，这样在做恢复工作时才能有针对性地分析并且解决问题。新买来的硬盘要先分区，再格式化后才可以使用，而在分区过程中主要将硬盘分成五个部分：主引导区和操作系统引导记录区，还包括目录区和FAT表及数据区。

操作系统可访问的第一扇区是操作系统的引导区，该引导区主要由一个引导程序和一个BPB分区参数记录表。引导程序的任务便是负责判断文件是否为引导文件，如果是，就读入内存，并且将其控制权交给该文件。而参数快BPB则记录着许多重要的参数，有分区的起始和结束扇区，还记录着文件的存储格式和根目录的大小等。

文件分配表即FAT，是操作系统的文件寻址系统。一般为了确保其安全，都会准备两个，第二个是第一个的备份。硬盘上的文件都是被分成若干小段，但是彼此之间都是有联系的，操作系统可以很准确地读取出文件。在FAT区之后还有两个区：目录区和数据区。

三、硬盘数据的恢复原理

在硬盘内部有一个校验公式，可用来对数据进行完整性校验。校验方法是将每个扇区的数据内容和伺服信息通过校验公式计算，得到的值我们称之为校验和，这个值是唯一的，也即对于每个扇区其值都不相同。换句话说，只要数据改变存储内容或存储扇区位置，其校验和都不会相同。对于数据因为误操作而损坏或丢失，我们可以完全利用这个数据恢复原理，通过逆向运算找到剩余的原始信息，把数据完整地恢复出来。

在对硬盘的操作中，快速低级格式化、硬盘分区、快速高级格式化（假设格式化时没有使用/U这个无条件格式化参数）、删除文件、重整硬盘缺陷列表等操作，都不会真正将数据从数据区Data中实际抹去。快速低级格式化一般只有硬盘厂家才能实现，是通过软件快速重写每个盘面、柱面、扇区等初始化信息，不会将扇区中的数据抹掉。硬盘分区和快速高级格式化是重新构造新的扇区信息和文件分区表，不会对原来扇区中Data区的数据造成影响。删除文件只是在目录区作了删除标记，将文件的地址信息从列表中抹去，而数据本身并没有真正被删除，除非在原来数据所在扇区重新写入新的数据。重整硬盘缺陷列表是把新的缺陷扇区加入G列表或者P列表中，对于其他扇区中的数据没有任何影响。对于以上这类操作造成硬盘数据“损坏”或“丢失”的情况，在进行数据恢复时是比较容易的，关键是在以上操作之后，千万不要在硬盘上写入任何其他数据。因此，各类数据恢复软件正是利用Data区中的数据不易被改写，从而根据其中残留的种种痕迹恢复数据。

四、分区表或文件损坏造成的几项数据修复

1.破坏分区表造成的数据修复

当前，病毒重点侵入的环节在于记录主引导硬盘所在的扇区，通过DPT（分区表）的破坏，进而达到损坏主引导硬盘扇区的分区内资料信息的目的。破坏的分区表即损坏分区内的数据而损坏相应的记录。对此，要适当地应用一定的软件进行数据修复。针对此情况，可使用诺顿磁盘医生NDD进行自动修复分区内的数据，及时有效地找回坏软盘内的数据，强行读取并转移到适合的空白扇区。同时，DiskMan中文磁盘工具也可对损坏的分区表进行修复。

2.出现乱码的Word或WPS文件修复

出现乱码的Word或WPS文件，主要原因是由文档不同格式的转换或病毒造成的。此种情况下，虽然未丢失数据文件，但处理不恰当，也相当于数据丢失。若为格式转换情况，可应用Adobe Reader等专用工具打开对应的文档。若是病毒原因，则需使用一定的杀毒软件清除。

3.误格式化硬盘数据的恢复

在缺省情况下进行操作格式化，可构建磁盘格式化的复信息，换句话说，即在未彻底改变数据区的内容前提下，在最后几个相对使用较少的磁盘扇区备份全部磁盘的DOS引导扇区及Fat分区表、目录表内容。Unformat软件工具可在计算机处于DOS状态下使用，恢复由Format命令所对磁盘清除的数据，或对破坏的硬盘驱动器分区表数据进行构建或重新修复。但是，Unformat只限于本地硬盘或软件驱动器的恢复，并不能应用于网络驱动器的数据恢复。