RM新时代有限公司-首页

最近筆者做了幾回面向企業(yè)法務(wù)、監察人員的電子數據取證同享鍛煉，同享內容從電子數據根本概念、取證辦法到概括的案例分析都有觸及，而常常幾個(gè)小時(shí)講下來(lái)，究竟溝通互動(dòng)環(huán)節發(fā)問(wèn)最多的卻是——“假設數據被刪了，還有沒(méi)有或許恢復?”、“職工出借電腦時(shí)把硬盤(pán)格式化了怎樣辦?

或許是影視劇或許小說(shuō)的宏大影響，在普通人眼中，電子數據取證的要點(diǎn)就是“恢復數據”，而且技藝非常不可捉摸。但是在真實(shí)的電子數據取證中，“電子數據恢復”卻是相比照較客觀(guān)單一的進(jìn)程，恢復概率的大小與介質(zhì)自身親密相關(guān)，除了硬件缺陷需求專(zhuān)業(yè)設備停止“開(kāi)盤(pán)”等操作，普通的電子數據恢復都經(jīng)過(guò)軟件層面來(lái)處置。

本文筆者要點(diǎn)選擇了幾個(gè)常被問(wèn)及的“高頻問(wèn)題”，希冀經(jīng)過(guò)問(wèn)答的方式，以一種淺顯易懂的描畫(huà)，撥開(kāi)電子數據恢復奧妙的面紗。

分離如今技藝和產(chǎn)業(yè)展開(kāi)的現狀，最普遍運用的電子數據存儲介質(zhì)主要是磁盤(pán)(如機械硬盤(pán)）和閃存(如固態(tài)硬盤(pán)、U盤(pán)等）這兩種，本文以機械硬盤(pán)為例加以說(shuō)明，閃存的數據存儲恢復機理在今后推送中另行引見(jiàn)。

1什么是電子數據恢復?

電子數據恢復就是把遭受損壞招致丟掉的數據恢復成正常數據的進(jìn)程。

數據丟掉有許多緣由，其中包含硬件缺陷(如硬盤(pán)缺陷無(wú)法讀取)、軟件問(wèn)題（程序失常致數據丟掉)、黑客侵略、病毒損壞(如某種病毒會(huì )招致U盤(pán)文件失常丟掉)、失常斷電(如處置到—半的文檔遭受斷電)、人為操作(包含誤操作和成心損壞)等。

以上這些都或許需求電子數據恢復，以至從某種水平講，用戶(hù)由于各種緣由忘掉本人把文件保管在哪里了，由技藝人員經(jīng)過(guò)專(zhuān)業(yè)的檢索辦法幫用戶(hù)找到方針文件，也算是一種電子數據恢復。

2我的數據被刪去了還能恢復么?

這個(gè)呆若木雞的問(wèn)題有點(diǎn)難以回答，由于電子數據恢復不是一個(gè)正向進(jìn)程，從恢復到無(wú)缺的原始狀況，到僅僅僅僅恢復局部數據碎片以至毫無(wú)所獲，這兩個(gè)極點(diǎn)成果之間的任何狀況都有或許產(chǎn)生。

恢復的概率和介質(zhì)的實(shí)踐狀況嚴密相關(guān)，以下羅列幾個(gè)判別數據能否恢復的必要不充沛條件:

1、原始數據存儲在哪里?

2、數據是怎樣刪去的?

3、數據刪去后存儲介質(zhì)能否仍在運用過(guò)?

4、數據刪去后能否有新數據寫(xiě)入?

所以，要想搞分明數據能否恢復，就要先理解一下數據是怎樣存儲的。

3數據在介質(zhì)上是怎樣存儲的?

以機械硬盤(pán)為例，在硬盤(pán)的磁片上劃一擺放著(zhù)許多磁性單元，就像一個(gè)個(gè)永磁鐵，這些磁性單元“S”極和“N”的朝向分別代表電子數據最根本的單位“O”和“1”。

當硬盤(pán)寫(xiě)入數據時(shí)，盤(pán)片高速旋轉，磁頭精確定位在需求修正數據的一個(gè)個(gè)磁性單元上，經(jīng)過(guò)施加電壓，磁性單元的磁極被回轉，完成從“O”到“1”的改動(dòng)。

原理上就是這么簡(jiǎn)單!

但是這么多的O和1，操作系統是怎樣曉得細致是哪個(gè)數據存在硬盤(pán)的什么方位呢?這就引入了現代硬盤(pán)上—個(gè)重要的概念:分區表。下面打個(gè)比如解釋一下:

把整個(gè)硬盤(pán)比作一個(gè)圖書(shū)館，不同的分區就像不同的圖書(shū)室，文件夾就仿佛一個(gè)個(gè)書(shū)架，細致數據則是一本本書(shū)。分區表就像圖書(shū)館的檢索卡片，它包含了全部圖書(shū)室(分區)、書(shū)架(文件夾目錄)、書(shū)本（數據)的信息，操作系統經(jīng)過(guò)讀取分區表，就能夠將文件所在的邏輯方位(某某分區某某文件夾)和硬盤(pán)上的物理方位對應起來(lái)。

想想以前去圖書(shū)館檢索圖書(shū)，就能理解系統是怎樣找數據的了。

4數據在介質(zhì)上是怎樣刪去的?

理解了數據的寫(xiě)入，我們再來(lái)看一個(gè)幽默的現象，平常在運用電腦時(shí)，你一定會(huì )留意到:寫(xiě)入文件的時(shí)辰和文件大小成比例改動(dòng)，大文件時(shí)辰長(cháng)，小文件時(shí)辰短;但刪去文件的時(shí)分，不論文件大小，簡(jiǎn)直都是—霎時(shí)就完畢了，時(shí)辰上沒(méi)有明顯的不同。

你有沒(méi)有想過(guò)這是為什么?

這種現象是由系統刪去文件的機理決議的，寫(xiě)入進(jìn)程與時(shí)辰成比例是由于數據中的每個(gè)“O”和“1”都要在磁盤(pán)上停止校驗，分歧的就“放行”，相反的就“回轉”，每個(gè)磁性單元都如此地遍歷—次，其表象就是寫(xiě)入時(shí)辰與文件大小成比例。

而刪去的進(jìn)程，系統僅僅在分區表里將文件標明成了“不存在”，卻基本沒(méi)有肅清數據自身，也就比如在圖書(shū)館中把圖書(shū)檢索卡片拿走，卻沒(méi)有真實(shí)在對應書(shū)架上拿走那本書(shū)!這樣做大大進(jìn)步刪去文件的速度，改良了用戶(hù)領(lǐng)會(huì )，而且由于硬盤(pán)上的“磁極”只需SN之分，當下次有別的文件要寫(xiě)入的時(shí)分，實(shí)踐上一定需求修正全部的磁極指向——這也變相延長(cháng)了硬盤(pán)的壽數。

5數據是怎樣恢復的?

引見(jiàn)到這兒，或許你曾經(jīng)能猜了，正由于機械硬盤(pán)特別的刪去機制，才給電子數據恢復供應了機遇。我們經(jīng)過(guò)專(zhuān)用軟件將全部沒(méi)被新數據掩蓋的局部停止掃描，對分區表停止重建，比如圖書(shū)館的索引卡片都丟失了，只需重新清點(diǎn)一遍庫存，就能找到尚存的全部書(shū)本，而且樹(shù)立起新的索引，數據就是這么簡(jiǎn)單就被恢復了。

絕大多數民用等級的電子數據恢復軟件在恢復剛剛刪去的文件時(shí)都能應對自若，就是根據這個(gè)原理。

6硬盤(pán)格式化了能夠恢復數據么?

硬盤(pán)格式化與刪去文件的機理是相同的，差別僅僅在于，刪去文件時(shí)系統僅僅刪去分區表中對應文件信息，而格式化則是把整個(gè)分區表重建成空白磁盤(pán)的狀況，所以原始的數據沒(méi)有遭到影響，經(jīng)過(guò)掃描磁盤(pán)，簡(jiǎn)直能夠無(wú)缺重建原本的分區表，恢復全部數據。

但假設格式化后許多寫(xiě)入新文件，或許長(cháng)期一再運用電腦，那就無(wú)法保證原始數據不被損壞，恢復相應文件的概率也就逐步降低了。

看完這些，是不是覺(jué)得電子數據恢復—下子就不奧妙了呢?

7電子數據恢復真的這么簡(jiǎn)單而沒(méi)技藝含量么?

電子數據恢復根本原理的確很簡(jiǎn)單，但實(shí)踐狀況千差萬(wàn)別，要想盡或許的恢復方針數據，遠遠不止上述現象這么簡(jiǎn)單。

比如，原始文件被刪去后，硬盤(pán)又重新寫(xiě)入許多新數據，假設新數據就寫(xiě)在原始數據存儲的磁盤(pán)方位上，掩蓋了原始數據，使原始數據自身遭到損壞，那就只能對文件未被掩蓋的數據殘留局部停止恢復恢復。

這樣恢復后的文件一定是一種受損殘損的狀況，或許丟掉了文件頭，也或許丟掉了內容數據，所以正常的“翻開(kāi)”操作是無(wú)法完畢的，要讀取原始文件恢復出的局部數據，就必需憑仗其他東西停止數據讀取、轉化和拼接，這就需求技藝人員具備較高的電子數據恢復常識程度，理解各類(lèi)文件底層代碼，假設是針對案子查詢(xún)的電子數據恢復取證，以至還需求查詢(xún)人員有滿(mǎn)足的案情敏感度和豐厚的辦案閱歷才氣完畢。

能夠說(shuō)，電子數據恢復入門(mén)非常簡(jiǎn)單，而深化則具有恰當難度。

簡(jiǎn)單引見(jiàn)了一些電子數據恢復最根本的常識，在究竟覺(jué)得仍是有必要做個(gè)提示:

有果必有因，數據不會(huì )本人消逝，只需及時(shí)采用辦法，亡羊補牢的行動(dòng)仍能夠最大極限的削減損失。但，靠譜的辦法仍是備份，硬盤(pán)有價(jià)數據無(wú)價(jià)，只需未雨綢繆，才氣真實(shí)保證數據的萬(wàn)無(wú)一失。