数据恢复的应用及现状分析
2014-09-25王伟
王伟
摘 要:随着计算机应用的普及,越来越多的企业、事业单位都在采用计算机作为非常重要的数据保存媒体。然而计算机总要出现这样或那样的问题,那么保存在其中的数据会不会受到影响呢?会不会丢失呢?
关键词:计算机;数据恢复;存储介质;格式化;删除;文件分配表
计算机作为非常重要的数据存储媒介,越来越受到人们的重视,特别是一些非常重要的部门,这些数据的安全性必须做到万无一失,然而计算机并不是万能的,总要出现一些问题。当然除了计算机以外,还有很多数据存储的媒介,比如U盘、储存卡、移动硬盘、MP3等等。我们今天就来探讨一下数据恢复的话题。
首先,我们来了解一下什么是数据恢复。数据恢复就是当存储介质出现损伤或由于人员误操作、操作系统本身故障所造成的数据看不见、无法读取、丢失时,工程师通过特殊的手段读取在正常状态下不可见、不可读、无法读的数据,从而将这些数据得以恢复或找到。其实就是指通过技术手段,将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、Mp3等等设备上丢失的电子数据进行抢救和恢复的技术。
数据恢复包括:1)逻辑故障数据:恢复逻辑故障是指与文件系统有关的故障。硬盘数据的写入和读取,都是通过文件系统来实现的。如果磁盘文件系统损坏,那么计算机就无法找到硬盘上的文件和数据。逻辑故障造成的数据丢失,大部分情况是可以通过数据恢复软件找回的。2)硬件故障数据恢复:硬件故障占所有数据意外故障一半以上,常有雷击、高压、高温等造成的电路故障,高温、振动碰撞等造成的机械故障,高温、振动碰撞、存储介质老化造成的物理坏磁道扇区故障,当然还有意外丢失损坏的固件BIOS信息等。硬件故障的數据恢复当然是先诊断,对症下药,先修复相应的硬件故障,然后根据修复其他软故障,最终将数据成功恢复。电路故障需要我们有电路基础,需要更加深入了解硬盘详细工作原理流程。
其次,我们来了解一下数据恢复应用在哪些地方。现实中很多人不知道删除、格式化等硬盘操作丢失的数据可以恢复,以为删除、格式化以后数据就不存在了。事实上,上述简单操作后数据仍然存在于硬盘中,懂得数据恢复原理知识的人只需几下便可将消失的数据找回来,不要觉得不可思议,在了解数据在硬盘、优盘、软盘等介质上的存储原理后,大家都可以将丢失的数据找回来。
从简单方面来讲,计算机在使用的时候,总会出现不小心删除一些文件或文件夹,或者被某些用户误删除,这时候我们就需要分析一下,不小心删除的这些文件是放入回收站了,还是彻底删除了。如果在删除文件时只按下DEL键或者在右键快捷菜单中选择删除命令,那么这时,只要去回收站里就可以找到删除的文件,找到该文件后,在右键快捷菜单中选择还原即将该文件恢复到原先的位置。这是最为简单的一种数据恢复,这咱数据恢复一学即会,任何一个普通的计算机用户都可以使用其进行最简单的数据恢复。
从复杂方面来讲,当文件被彻底删除后或者被格式化(高级格式化)后或者进行过系统还原,这些文件如果想到找回来,就比较困难一些了,但是一旦真的出现数据丢失后,不管是计算机还是其它数据存储媒介,都不要再往上写入数据了。如果一旦又写入了数据,那么恢复数据的可能性就会非常弱小。其实对于一位职业数据恢复师来讲:“只要数据没有被覆盖,数据就有可能恢复回来”。因为磁盘的存储特性,当我们不需要硬盘上的数据时,数据并没有被拿走。删除时系统只是在文件上写一个删除标志,格式化和低级格式化也是在磁盘上重新覆盖写一遍以数字0为内容的数据,这就是覆盖。当一个文件被标记上删除标志后,他所占用的空间在有新文件写入时,将有可能被新文件占用覆盖写上新内容。这时删除的文件名虽然还在,但他指向数据区的空间内容已经被覆盖改变,恢复出来的将是错误异常内容。同样文件分配表内有删除标记的文件信息所占用的空间也有可能被新文件名文件信息占用覆盖,文件名也将不存在了。当将一个分区格式化后,有拷贝上新内容,新数据只是覆盖掉分区前部分空间,去掉新内容占用的空间,该分区剩余空间数据区上无序内容仍然有可能被重新组织,将数据恢复出来。同理,克隆、一键恢复、系统还原等造成的数据丢失,只要新数据占用空间小于破坏前空间容量,数据恢复工程师就有可能恢复你要的分区和数据。
然后,我们再来谈一下数据分析的现状。目前对于误删除、误格式化或在做系统还原前忘记备份相应文件的数据恢复方法,一般都是通过使用相关的数据恢复软件来实现的。比如:效率源DATACOMPASS、PC-3000、Final Data、 Easy Recovery、easy undelete、AneData安易硬盘数据恢复软件、D-Recovery达思数据恢复软件、易我数据恢复向导等。其中Easyrecovery是一个非常著名的老牌数据恢复软件。该软件功能可以说是非常强大。无论是误删除/格式化还是重新分区后的数据丢失,其都可以轻松解决,其甚至可以不依靠分区表来按照簇来进行硬盘扫描。但要注意不通过分区表来进行数据扫描,很可能不能完全恢复数据,原因是通常一个大文件被存储在很多不同的区域的簇内,即使我们找到了这个文件的一些簇上的数据,很可能恢复之后的文件是损坏的。所以这种方法并不是万能的,但其提供给我们一个新的数据恢复方法,适合分区表严重损坏使用其他恢复软件不能恢复的情况下使用。
最后,我们来谈一下数据恢复的技巧。1)不必完全扫描:如果你仅想找到不小心误删除的文件,无论使用哪种数据恢复软件,也不管它是否具有类似EasyRecovery快速扫描的方式,其实都没必要对删除文件的硬盘分区进行完全的簇扫描。因为文件被删除时,操作系统仅在目录结构中给该文件标上删除标识,任何数据恢复软件都会在扫描前先读取目录结构信息,并根据其中的删除标志顺利找到刚被删除的文件。所以,你完全可在数据恢复软件读完分区的目录结构信息后就手动中断簇扫描的过程,软件一样会把被删除文件的信息正确列出,如此可节省大量的扫描时间,快速找到被误删除的文件数据。2)尽可能采取NTFS格式分区:NTFS分区的MFT以文件形式存储在硬盘上,实际上它们在读取NTFS的MFT后并没有真正进行簇扫描,只是根据MFT信息列出了分区上的文件信息,非常取巧,从而在NTFS分区的扫描速度上压倒了老老实实逐个簇扫描的其他软件。不过对于NTFS分区的文件恢复成功率各款软件几乎是一样的,事实证明这种取巧的办法确实有效,也证明了NTFS分区系统的文件安全性确实比FAT分区要高得多,这也就是NTFS分区数据恢复在各项测试成绩中最好的原因,只要能读取到MFT信息,就几乎能100%恢复文件数据。3)巧妙设置扫描的簇范围:设置扫描簇的范围是一个有效加快扫描速度的方法。像EasyRecovery的高级自定义扫描方式。当然要判断目的文件在硬盘上的位置需要一些技巧,这里提供一个简单的方法,使用操作系统自带的硬盘碎片整理程序中的碎片分析程序,在分区分析完后程序会将硬盘的未使用空间用图形方式清楚地表示出来,那么根据图形的比例估计这些未使用空间的大致簇范围,搜索时设置只搜索这些空白的簇范围就好了,对于大的分区,这确实能节省不少扫描时间。4)使用文件格式过滤器:当我们只是要找几个误删的文件的时候,可软件却列出了成百上千个以前删除了的文件,要找到自己真正需要的文件确实十分麻烦。这里就要使用EasyRecovery独有的文件格式过滤器功能了,在扫描时在过滤器上填好要找文件的扩展名,如“*.doc”,那么软件就只会显示找到的DOC文件了。
参考文献
[1]张晓娟,杨世松.硬盘数据恢复在信息安全应急响应中的应用[J]. 微计算机信息. 2006(12)
[2]付合军.数据恢复技术与信息安全[J]. 光盘技术. 2006(03)
[3]孙建华.硬盘数据恢复技术解析[J]. 电脑知识与技术. 2008(11)
[4] 翁永平.文件删除终极大法[J]. 网络与信息. 2006(02)