RM新时代有限公司-首页

結合目前技術(shù)和產(chǎn)業(yè)發(fā)展的現狀，最廣泛使用的電子數據存儲介質(zhì)主要是磁盤(pán)(如機械硬盤(pán)）和閃存(如固態(tài)硬盤(pán)、U盤(pán)等）這兩種，本文以機械硬盤(pán)為例加以說(shuō)明，閃存的電子數據恢復并不在本文以后另行介紹。

1什么是電子數據恢復?

電子數據恢復就是把遭受破壞導致丟失的數據還原成正常數據的過(guò)程。數據丟失有很多原因，其中包括硬件故障(如硬盤(pán)故障無(wú)法讀取)、軟件問(wèn)題（程序異常致數據丟失)、黑客入侵、病毒破壞(如某種病毒會(huì )導致U盤(pán)文件異常丟失)、異常斷電(如處理到—半的文檔遭遇斷電)、人為操作(包括誤操作和故意破壞)等。

以上這些都可能需要電子數據恢復，甚至從某種程度講，用戶(hù)由于各種原因忘記自己把文件保存在哪里了，由技術(shù)人員通過(guò)專(zhuān)業(yè)的檢索方法幫用戶(hù)找到目標文件，也算是一種電子數據恢復。

2我的數據被刪除了還能恢復么?

這個(gè)沒(méi)頭沒(méi)腦的問(wèn)題有點(diǎn)難以回答，因為電子數據恢復不是一個(gè)正向過(guò)程，從恢復到完整的原始狀態(tài)，到僅僅只是恢復部分數據碎片甚至毫無(wú)所獲，這兩個(gè)極端結果之間的任何情況都有可能發(fā)生。

恢復的概率和介質(zhì)的實(shí)際情況緊密相關(guān)，以下列舉幾個(gè)判斷數據能否恢復的必要不充分條件:

1、原始數據存儲在哪里?

2、數據是怎么刪除的?

3、數據刪除后存儲介質(zhì)是否仍在使用過(guò)?

4、數據刪除后是否有新數據寫(xiě)入?

所以，要想搞清楚數據能否恢復，就要先了解一下數據是如何存儲的。

3數據在介質(zhì)上是怎么存儲的?

以機械硬盤(pán)為例，在硬盤(pán)的磁片上整齊排列著(zhù)大量磁性單元，就像一個(gè)個(gè)永磁鐵，這些磁性單元“S”極和“N”的朝向分別代表電子數據最基本的單位“O”和“1”。

當硬盤(pán)寫(xiě)入數據時(shí)，盤(pán)片高速旋轉，磁頭準確定位在需要修改數據的一個(gè)個(gè)磁性單元上，通過(guò)施加電壓，磁性單元的磁極被逆轉，實(shí)現從“O”到“1”的改變。

原理上就是這么簡(jiǎn)單!

可是這么多的O和1，操作系統是如何知道具體是哪個(gè)數據存在硬盤(pán)的什么位置呢?這就引入了現代硬盤(pán)上—個(gè)重要的概念:分區表。下面打個(gè)比方解釋一下:

把整個(gè)硬盤(pán)比作一個(gè)圖書(shū)館，不同的分區就像不同的圖書(shū)室，文件夾就好像一個(gè)個(gè)書(shū)架，具體數據則是一本本書(shū)。分區表就像圖書(shū)館的檢索卡片，它包含了所有圖書(shū)室(分區)、書(shū)架(文件夾目錄)、書(shū)籍（數據)的信息，操作系統通過(guò)讀取分區表，就可以將文件所處的邏輯位置(某某分區某某文件夾)和硬盤(pán)上的物理位置對應起來(lái)。

想想以前去圖書(shū)館檢索圖書(shū)，就能明白系統是怎么找數據的了。

4數據在介質(zhì)上是怎么刪除的?

了解了數據的寫(xiě)入，我們再來(lái)看一個(gè)有趣的現象，平時(shí)在使用電腦時(shí)，你一定會(huì )注意到:寫(xiě)入文件的時(shí)間和文件大小成比例變化，大文件時(shí)間長(cháng)，小文件時(shí)間短;但刪除文件的時(shí)候，無(wú)論文件大小，幾乎都是—瞬間就完成了，時(shí)間上沒(méi)有明顯的差別。

你有沒(méi)有想過(guò)這是為什么?

這種現象是由系統刪除文件的機理決定的，寫(xiě)入過(guò)程與時(shí)間成比例是因為數據中的每個(gè)“O”和“1”都要在磁盤(pán)上進(jìn)行校驗，一致的就“放行”，相反的就“逆轉”，每個(gè)磁性單元都如此地遍歷—次，其表象就是寫(xiě)入時(shí)間與文件大小成比例。

而刪除的過(guò)程，系統只是在分區表里將文件標注成了“不存在”，卻根本沒(méi)有清除數據本身，也就好比在圖書(shū)館中把圖書(shū)檢索卡片拿走，卻沒(méi)有真正在對應書(shū)架上拿走那本書(shū)!這樣做大大提高刪除文件的速度，改善了用戶(hù)體驗，而且由于硬盤(pán)上的“磁極”只有SN之分，當下次有別的文件要寫(xiě)入的時(shí)候，實(shí)際上未必需要修改所有的磁極指向——這也變相延長(cháng)了硬盤(pán)的壽命。

5數據是怎么恢復的?

介紹到這里，可能你已經(jīng)能猜了，正因為機械硬盤(pán)特殊的刪除機制，才給電子數據恢復提供了機會(huì )。我們通過(guò)專(zhuān)用軟件將所有沒(méi)被新數據覆蓋的部分進(jìn)行掃描，對分區表進(jìn)行重建，好比圖書(shū)館的索引卡片都遺失了，只要重新清點(diǎn)一遍庫存，就能找到尚存的所有書(shū)籍，并且建立起新的索引，數據就是這么簡(jiǎn)單就被恢復了。

絕大多數民用級別的電子數據恢復軟件在恢復剛剛刪除的文件時(shí)都能應對自如，就是基于這個(gè)原理。

6硬盤(pán)格式化了可以恢復數據么?

硬盤(pán)格式化與刪除文件的機理是相同的，區別僅僅在于，刪除文件時(shí)系統只是刪除分區表中對應文件信息，而格式化則是把整個(gè)分區表重建成空白磁盤(pán)的狀態(tài)，所以原始的數據沒(méi)有受到影響，通過(guò)掃描磁盤(pán)，幾乎可以完整重建原來(lái)的分區表，恢復所有數據。

但如果格式化后大量寫(xiě)入新文件，或者長(cháng)期頻繁使用電腦，那就無(wú)法保證原始數據不被破壞，恢復相應文件的概率也就逐步降低了。

看完這些，是不是覺(jué)得電子數據恢復—下子就不神秘了呢?

7電子數據恢復真的這么簡(jiǎn)單而沒(méi)技術(shù)含量么?

電子數據恢復基礎原理的確很簡(jiǎn)單，但實(shí)際情況千差萬(wàn)別，要想盡可能的恢復目標數據，遠遠不止上述情形這么容易。

比如，原始文件被刪除后，硬盤(pán)又重新寫(xiě)入大量新數據，如果新數據就寫(xiě)在原始數據存儲的磁盤(pán)位置上，覆蓋了原始數據，使原始數據本身遭到破壞，那就只能對文件未被覆蓋的數據殘留部分進(jìn)行還原恢復。

這樣恢復后的文件一定是一種受損殘缺的狀態(tài)，可能丟失了文件頭，也可能丟失了內容數據，所以正常的“打開(kāi)”操作是無(wú)法完成的，要讀取原始文件恢復出的部分數據，就必須借助其他工具進(jìn)行數據讀取、轉換和拼接，這就需要技術(shù)人員具備較高的電子數據恢復知識水平，熟悉各類(lèi)文件底層代碼，如果是針對案件調查的電子數據恢復取證，甚至還需要調查人員有足夠的案情敏感度和豐富的辦案經(jīng)驗才能完成。