RM新时代有限公司-首页

    •

  • 24小時(shí)服務(wù)熱線(xiàn)

    400-812-7308
    在線(xiàn)溝通,請點(diǎn)我 在線(xiàn)咨詢(xún)
    咨詢(xún)電話(huà):
    400-812-7308
    地址:
    江西省南昌市青山湖區南京東路
    您的位置:神州司法  >   機構動(dòng)態(tài)

    淺談電子數據恢復的種類(lèi)

    日期:2021-11-25

    硬件中的電子數據恢復

    首要針對硬件問(wèn)題而丟掉的數據

    據稱(chēng),占全部數據意外問(wèn)題一半以上

    要注意:不要測驗對硬盤(pán)重復加電,避免人為構成更大面積的劃傷

    問(wèn)題構成

    雷擊、高壓、高溫等構成的電路問(wèn)題

    高溫、振動(dòng)磕碰等構成的機械問(wèn)題;歹意損毀

    高溫、振動(dòng)磕碰、存儲介質(zhì)老化構成的物理壞磁道扇區問(wèn)題

    意外丟掉損壞的固件BIOS信息

    功能需求

    電路問(wèn)題需求我們有電路根底,需求更加深化了解硬盤(pán)具體作業(yè)原理、流程

    機械磁頭問(wèn)題需求100級以上的作業(yè)臺或作業(yè)間來(lái)進(jìn)行確診修正作業(yè)

    軟件的電子數據恢復

    首要是恢復操作系統、文件系統層的數據

    物理介質(zhì)沒(méi)有發(fā)生實(shí)質(zhì)性的損壞

    問(wèn)題構成

    軟件邏輯問(wèn)題、歹意程序、誤操作等構成的數據丟掉

    歹意刪去:一般刪去、軟件清理式刪去

    功能需求

    邏輯問(wèn)題構成的數據丟掉,大部分狀況可以經(jīng)過(guò)電子數據恢復軟件找回

    從文件系統存儲原理視點(diǎn)去提高功能,學(xué)習根底的數據剖析辦法

    特定類(lèi)型文件恢復

    針對數據庫系統或特定類(lèi)型文件(封閉系統)恢復

    往往自身有自己的一套無(wú)缺的保護措施,難度較大(加密等)

    依據專(zhuān)有文件類(lèi)型的電子數據恢復Word、JPG、AVI等) 

    問(wèn)題構成

    磁盤(pán)陣列(RAID)問(wèn)題或數據刪去

    一鍵刪去:失誤或歹意刪去

    功能需求

    數據庫文件存儲的底子辦法,數據庫記載增修正的底子原理

    先打掃硬件及軟問(wèn)題,然后剖析陣列次序、塊大小等參數,重組

    掩蓋恢復

    首要針對被掩蓋或破壞的數據

    專(zhuān)有軟件清0或填1

    大文件的填充和掩蓋

    問(wèn)題構成

    歹意刪去、歹意掩蓋

    功能需求

    一般民用環(huán)境下因需求投入的資源太大,往往因小失大

    尖端的國防軍事等國家系統或單個(gè)把握尖端科技的硬盤(pán)廠(chǎng)商或許可以做到

    FAT系統文件恢復

    回收站(Recycled)中的文件恢復

    Win7 下,被刪去的文件(目錄)被改名為$R為開(kāi)端的文件(目錄)

    一起生成一個(gè)以$I為前綴,且后續字符徹底相同的文件

    如果是刪去的目錄,進(jìn)入$R目錄下,可以看到被刪去的文件原始文件名、擴展名不變

    回收站文件的存儲狀況和恢復

    回收站暫時(shí)寄存被刪去的文件,執行清空回收站,文件才會(huì )被徹底清除(或運用Shift+Del組合鍵辦法可徹底刪去)

    文件或文件夾對應目錄項的第一個(gè)字節被標記為已刪去政策”(E5),該目錄項將不再閃現給用戶(hù)

    更新FAT,FAT表中所記載的分配給該文件或文件夾的全部簇的狀況值全部改動(dòng)為未分配簇Unallocated

    NTFS系統文件恢復

    刪去文件或文件夾時(shí),主文件表MFT中會(huì )更新政策對應的記載

    將其狀況標記為可從頭運用

    然后在位圖文件($Bitmap)中將政策所占用的簇標記為未分配狀況

    關(guān)于偏移量(一個(gè)示例)

    00H-37H$MFT特允許,38H-4FH、98H-AFH、188H-19FH、1B0H-17CH 分別為MFT10、30、40、80特允許

    文件刪去后,$MFT特允許四處數據發(fā)生了改動(dòng)

    08H-0FH處由6F 0D E0 00 00 00 00 00被修正為A8 08 00 01 00 00 00 00

    10H-11H處由01 00被修正為02 00

    16H-17H處由01 00被修正為00 00

    30H-31H處由08 00被修正為09 00

    電子數據恢復軟件

    > RStudio

    > DiskGenius

    > EasyRecoveryWindows / MAC

    > FinalData

    > Undelete360

    > Wise Data Recovery

    > Recuva

    > Prosoft Data RescueWindows / MAC

    > Stellar Data RecoveryWindows / MAC

    > EaseUS Data Recovery WizardWindows / MAC

    > ApowerRecoverWindows / MAC

    一點(diǎn)考慮

    為什么會(huì )有這樣一個(gè)觀(guān)念

    針對固態(tài)硬盤(pán)(SSD)中被刪去文件進(jìn)行電子數據恢復難度很大