RM新时代有限公司-首页

    •

  • 24小時(shí)服務(wù)熱線(xiàn)

    400-812-7308
    在線(xiàn)溝通,請點(diǎn)我 在線(xiàn)咨詢(xún)
    咨詢(xún)電話(huà):
    400-812-7308
    地址:
    江西省南昌市青山湖區南京東路
    您的位置:神州司法  >   機構動(dòng)態(tài)

    關(guān)于電子數據恢復的幾種分類(lèi)

    日期:2021-06-04

    硬件恢復

    > 主要針對硬件故障而丟失的數據

    -- 據稱(chēng),占所有數據意外故障一半以上

    -- 要注意:不要嘗試對硬盤(pán)反復加電,防止人為造成更大面積的劃傷

    > 故障形成

    -- 雷擊、高壓、高溫等造成的電路故障

    -- 高溫、振動(dòng)碰撞等造成的機械故障;惡意損毀

    -- 高溫、振動(dòng)碰撞、存儲介質(zhì)老化造成的物理壞磁道扇區故障

    -- 意外丟失損壞的固件BIOS信息

    > 能力需求

    -- 電路故障需要我們有電路基礎,需要更加深入了解硬盤(pán)詳細工作原理、流程

    -- 機械磁頭故障需要100級以上的工作臺或工作間來(lái)進(jìn)行診斷修復工作

    軟件恢復

    > 主要是恢復操作系統、文件系統層的數據

    -- 物理介質(zhì)沒(méi)有發(fā)生實(shí)質(zhì)性的損壞

    故障形成

    -- 軟件邏輯故障、惡意程序、誤操作等造成的數據丟失

    -- 惡意刪除:普通刪除、軟件清理式刪除

    能力需求

    -- 邏輯故障造成的數據丟失,大部分情況可以通過(guò)電子數據恢復軟件找回

    -- 從文件系統存儲原理角度去提升能力,學(xué)習基礎的數據分析方法

    特定類(lèi)型文件恢復

    > 針對數據庫系統或特定類(lèi)型文件(封閉系統)恢復

    -- 往往自身有自己的一套完整的保護措施,難度較大(加密等)

    -- 基于專(zhuān)有文件類(lèi)型的電子數據恢復Word、JPG、AVI等) 

    故障形成

    -- 磁盤(pán)陣列(RAID)故障或數據刪除

    -- 一鍵刪除:失誤或惡意刪除

    能力需求

    -- 數據庫文件存儲的基本方法,數據庫記錄增刪改的基本原理

    -- 先排除硬件及軟故障,然后分析陣列順序、塊大小等參數,重組

    覆蓋恢復

    主要針對被覆蓋或粉碎的數據

    -- 專(zhuān)有軟件清0或填1

    -- 大文件的填充和覆蓋

    故障形成

    -- 惡意刪除、惡意覆蓋

    能力需求

    -- 一般民用環(huán)境下因需要投入的資源太大,往往得不償失

    -- 尖端的國防軍事等國家系統或個(gè)別掌握尖端科技的硬盤(pán)廠(chǎng)商也許可以做到

    FAT系統文件恢復

    > 回收站(Recycled)中的文件恢復

    -- Win7 下,被刪除的文件(目錄)被改名為$R為起始的文件(目錄)

    -- 同時(shí)生成一個(gè)以$I為前綴,且后續字符完全一樣的文件

    -- 如果是刪除的目錄,進(jìn)入$R目錄下,可以看到被刪除的文件原始文件名、擴展名不變

    回收站文件的存儲狀態(tài)和恢復

    -- 回收站臨時(shí)存放被刪除的文件,執行清空回收站,文件才會(huì )被徹底清除(或使用Shift+Del組合鍵方式可徹底刪除)

    -- 文件或文件夾對應目錄項的第一個(gè)字節被標記為“已刪除對象”(E5),該目錄項將不再顯示給用戶(hù)

    -- 更新FAT,FAT表中所記錄的分配給該文件或文件夾的所有簇的狀態(tài)值全部改變?yōu)椤拔捶峙浯亍保?/span>Unallocated

    NTFS系統文件恢復

    刪除文件或文件夾時(shí),主文件表MFT中會(huì )更新對象對應的記錄

    -- 將其狀態(tài)標記為可重新使用

    -- 然后在位圖文件($Bitmap)中將對象所占用的簇標記為未分配狀態(tài)

    關(guān)于偏移量(一個(gè)示例)

    -- 00H-37H$MFT屬性頭,38H-4FH、98H-AFH、188H-19FH、1B0H-17CH 分別為MFT10、30、40、80屬性頭

    文件刪除后,$MFT屬性頭四處數據發(fā)生了變化

    -- 08H-0FH處由6F 0D E0 00 00 00 00 00被修改為A8 08 00 01 00 00 00 00

    -- 10H-11H處由01 00被修改為02 00

    -- 16H-17H處由01 00被修改為00 00

    -- 30H-31H處由08 00被修改為09 00

    電子數據恢復軟件

    > RStudio

    > DiskGenius

    > EasyRecoveryWindows / MAC

    > FinalData

    > Undelete360

    > Wise Data Recovery

    > Recuva

    > Prosoft Data RescueWindows / MAC

    > Stellar Data RecoveryWindows / MAC

    > EaseUS Data Recovery WizardWindows / MAC

    > ApowerRecoverWindows / MAC

    一點(diǎn)思考

    > 為什么會(huì )有這樣一個(gè)觀(guān)點(diǎn)

    針對固態(tài)硬盤(pán)(SSD)中被刪除文件進(jìn)行電子數據恢復難度很大