RM新时代有限公司-首页

也許是影視劇或許小說(shuō)的巨大影響，在一般人眼中，電子數據恢復取證的關(guān)鍵就是“恢復數據”，并且技術(shù)非常高深莫測。然而在真實(shí)的電子數據恢復取證中，“數據恢復”卻是相對比較客觀(guān)單一的進(jìn)程，恢復概率的大小與介質(zhì)本身密切相關(guān)，除了硬件缺點(diǎn)需求專(zhuān)業(yè)設備進(jìn)行“開(kāi)盤(pán)”等操作，一般的數據恢復都通過(guò)軟件層面來(lái)處理。

本期關(guān)鍵選擇了幾個(gè)常被問(wèn)及的“高頻問(wèn)題”，期望通過(guò)問(wèn)答的方法，以一種通俗易懂的描繪，撥開(kāi)電子數據恢復微妙的面紗。

結合目前技術(shù)和工業(yè)打開(kāi)的現狀，最廣泛運用的電子數據恢復存儲介質(zhì)主要是磁盤(pán)（如機械硬盤(pán)）和閃存（如固態(tài)硬盤(pán)、U盤(pán)等）這兩種，本期以機械硬盤(pán)為例加以闡明，閃存的數據存儲恢復機理在往后推送中另行介紹。

1什么是電子數據恢復？

電子數據恢復就是把遭受損壞導致丟掉的數據恢復成正常數據的進(jìn)程。數據丟掉有許多原因，其間包括硬件缺點(diǎn)（如硬盤(pán)缺點(diǎn)無(wú)法讀?。?、軟件問(wèn)題（程序反常致數據丟掉）、黑客侵略、病毒損壞（如某種病毒會(huì )導致U盤(pán)文件反常丟掉）、反常斷電（如處理到一半的文檔遭受斷電）、人為操作（包括誤操作和故意損壞）等。

以上這些都或許需求數據恢復，甚至從某種程度講，用戶(hù)由于各種原因忘記自己把文件保存在哪里了，由技術(shù)人員通過(guò)專(zhuān)業(yè)的檢索方法幫用戶(hù)找到方針文件，也算是一種數據恢復。

2我的數據被刪去了還能恢復么？

這個(gè)目瞪口呆的問(wèn)題有點(diǎn)難以答復，由于數據恢復不是一個(gè)正向進(jìn)程，從恢復到無(wú)缺的原始情況，到只是只是恢復部分數據碎片甚至毫無(wú)所獲，這兩個(gè)極點(diǎn)效果之間的任何情況都有或許發(fā)生。

恢復的概率和介質(zhì)的實(shí)際情況嚴密相關(guān)，以下羅列幾個(gè)判別數據能否恢復的必要不充分條件：

1、原始數據存儲在哪里？

2、數據是怎樣刪去的？

3、數據刪去后存儲介質(zhì)是否仍在運用過(guò)？

4、數據刪去后是否有新數據寫(xiě)入？

所以，要想搞清楚數據能否恢復，就要先了解一下數據是怎樣存儲的。

3數據在介質(zhì)上是怎樣存儲的？

以機械硬盤(pán)為例，在硬盤(pán)的磁片上規整擺放著(zhù)許多磁性單元，就像一個(gè)個(gè)永磁鐵，這些磁性單元“S”極和“N”的朝向分別代表電子數據恢復最基本的單位“0”和“1”。

當硬盤(pán)寫(xiě)入數據時(shí)，盤(pán)片高速旋轉，磁頭準確定位在需求修改數據的一個(gè)個(gè)磁性單元上，通過(guò)施加電壓，磁性單元的磁極被反轉，實(shí)現從“0”到“1”的改動(dòng)。

原理上就是這么簡(jiǎn)略！

但是這么多的0和1，操作系統是怎樣知道具體是哪個(gè)數據存在硬盤(pán)的什么方位呢？這就引入了現代硬盤(pán)上一個(gè)重要的概念：分區表。下面打個(gè)比方解釋一下：

把整個(gè)硬盤(pán)比作一個(gè)圖書(shū)館，不同的分區就像不同的圖書(shū)室，文件夾就好像一個(gè)個(gè)書(shū)架，具體數據則是一本本書(shū)。分區表就像圖書(shū)館的檢索卡片，它包括了全部圖書(shū)室（分區）、書(shū)架（文件夾目錄）、書(shū)本（數據）的信息，操作系統通過(guò)讀取分區表，就可以將文件地點(diǎn)的邏輯方位（某某分區某某文件夾）和硬盤(pán)上的物理方位對應起來(lái)。

想想以前去圖書(shū)館檢索圖書(shū)，就能了解系統是怎樣找數據的了。

4數據在介質(zhì)上是怎樣刪去的？

了解了數據的寫(xiě)入，我們再來(lái)看一個(gè)風(fēng)趣的現象，往常在運用電腦時(shí)，你一定會(huì )注意到：寫(xiě)入文件的時(shí)刻和文件大小成份額改動(dòng)，大文件時(shí)刻長(cháng)，小文件時(shí)刻短；但刪去文件的時(shí)分，不管文件大小，幾乎都是一會(huì )兒就完畢了，時(shí)刻上沒(méi)有明顯的不同。

你有沒(méi)有想過(guò)這是為什么？

這種現象是由系統刪去文件的機理抉擇的，寫(xiě)入進(jìn)程與時(shí)刻成份額是由于數據中的每個(gè)“0”和“1”都要在磁盤(pán)上進(jìn)行校驗，一同的就“放行”，相反的就“反轉”，每個(gè)磁性單元都如此地遍歷一次，其表象就是寫(xiě)入時(shí)刻與文件大小成份額。

而刪去的進(jìn)程，系統只是在分區表里將文件標示成了“不存在”，卻底子沒(méi)有鏟除數據本身，也就比方在圖書(shū)館中把圖書(shū)檢索卡片拿走，卻沒(méi)有真實(shí)在對應書(shū)架上拿走那本書(shū)！這樣做大大提高刪去文件的速度，改進(jìn)了用戶(hù)領(lǐng)會(huì )，并且由于硬盤(pán)上的“磁極”只需SN之分，當下次有其他文件要寫(xiě)入的時(shí)分，實(shí)際上未必需求修改全部的磁極指向——這也變相延長(cháng)了硬盤(pán)的壽數。

5數據是怎樣恢復的？

介紹到這兒，或許你現已能猜了，正由于機械硬盤(pán)特別的刪去機制，才給數據恢復供給了機遇。我們通過(guò)專(zhuān)用軟件將全部沒(méi)被新數據掩蓋的部分進(jìn)行掃描，對分區表進(jìn)行重建，比方圖書(shū)館的索引卡片都丟掉了，只需從頭清點(diǎn)一遍庫存，就能找到尚存的全部書(shū)本，并且建立起新的索引，數據就是這么簡(jiǎn)略就被恢復了。

絕大多數民用級其他數據恢復軟件在恢復剛剛刪去的文件時(shí)都能應對自若，就是根據這個(gè)原理。

6硬盤(pán)格式化了可以恢復數據么？

硬盤(pán)格式化與刪去文件的機理是相同的，差異只是在于，刪去文件時(shí)系統只是刪去分區表中對應文件信息，而格式化則是把整個(gè)分區表重建成空白磁盤(pán)的情況，所以原始的數據沒(méi)有受到影響，通過(guò)掃描磁盤(pán)，幾乎可以無(wú)缺重建本來(lái)的分區表，恢復全部數據。

但假設格式化后許多寫(xiě)入新文件，或許長(cháng)時(shí)刻一再運用電腦，那就無(wú)法確保原始數據不被損壞，恢復相應文件的概率也就逐步降低了。

看完這些，是不是覺(jué)得數據恢復一會(huì )兒就不微妙了呢？

7數據恢復真的這么簡(jiǎn)略而沒(méi)技術(shù)含量么？

數據恢復根底原理確實(shí)很簡(jiǎn)略，但實(shí)際情況千差萬(wàn)別，要想盡或許的恢復方針數據，遠遠不止上述現象這么簡(jiǎn)略。

比方，原始文件被刪去后，硬盤(pán)又從頭寫(xiě)入許多新數據，假設新數據就寫(xiě)在原始數據存儲的磁盤(pán)方位上，掩蓋了原始數據，使原始數據本身遭到損壞，那就只能對文件未被掩蓋的數據殘留部分進(jìn)行恢復恢復。

這樣恢復后的文件一定是一種受損殘損的情況，或許丟掉了文件頭，也或許丟掉了內容數據，所以正常的“翻開(kāi)”操作是無(wú)法完畢的，要讀取原始文件恢復出的部分數據，就必須仰仗其他東西進(jìn)行數據讀取、轉換和拼接，這就需求技術(shù)人員具有較高的電子數據恢復知識水平，了解各類(lèi)文件底層代碼，假設是針對案件查詢(xún)的電子數據恢復取證，甚至還需求查詢(xún)人員有滿(mǎn)足的案情敏感度和豐富的辦案閱歷才調完畢。

可以說(shuō)，數據恢復入門(mén)非常簡(jiǎn)略，而深化則具有適當難度。

8有備無(wú)患仍是亡羊補牢？

簡(jiǎn)略介紹了一些數據恢復最根底的知識，在畢竟覺(jué)得仍是有必要做個(gè)提示：

有果必有因，數據不會(huì )自己消失，只需及時(shí)選用方法，亡羊補牢的行為仍可以最大極限的減少丟掉。

但，靠譜的方法仍是備份，硬盤(pán)有價(jià)數據無(wú)價(jià)，只需有備無(wú)患，才調真實(shí)確保數據的滿(mǎn)有把握。