Skip to content

带你了解数据恢复技术

2013-11-18 20:13:10   来源:华军科技数据恢复

 什么是数据恢复:当存储介质出现损伤或由于人员误操作、操作系统本身故障所造成的数据看不见、无法读取、丢失。工程师通过特殊的手段读取却在正常状态下不可见、不可读、无法读的数据。数据恢复是指通过技术手段,将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、Mp3等等设备上丢失的数据进行抢救和恢复的技术。

一、数据存储及恢复的基本原理
现实中很多人不知道删除、格式化等硬盘操作丢失的数据可以恢复,以为删除、格式化以后数据就不存在了。事实上,上述简单操作后数据仍然存在于硬盘中,懂得数据恢复原理知识的人只需几下便可将消失的数据找回来,不要觉得不可思议,在了解数据在硬盘、优盘、软盘等介质上的存储原理后,你也可以亲自做一回魔术师。
硬盘存放数据的基本单位为扇区,我们可以理解为一本书的一页。当我们装机或买来一个移动硬盘,第一步便是为了方便管理--分区。无论用何种分区工具,都会在硬盘的第一个扇区标注上硬盘的分区数量、每个分区的大小,起始位置等信息,术语称为主引导记录(MBR),也有人称为分区信息表。当主引导记录因为各种原因(硬盘坏道、病毒、误操作等)被破坏后,一些或全部分区自然就会丢失不见了,根据数据信息特征,我们可以重新推算计算分区大小及位置,手工标注到分区信息表,“丢失”的分区回来了。
为了管理文件存储,硬盘分区完毕后,接下来的工作是格式化分区。格式化程序根据分区大小,合理的将分区划分为目录文件分配区和数据区,就像我们看得小说,前几页为章节目录,后面才是真正的内容。文件分配表内记录着每一个文件的属性、大小、在数据区的位置。我们对所有文件的操作,都是根据文件分配表来进行的。文件分配表遭到破坏以后,系统无法定位到文件,虽然每个文件的真实内容还存放在数据区,系统仍然会认为文件已经不存在。我们的数据丢失了,就像一本小说的目录被撕掉一样。要想直接去想要的章节,已经不可能了,要想得到想要的内容(恢复数据),只能凭记忆知道具体内容的大约页数,或每页(扇区)寻找你要的内容。我们的数据还可以恢复回来。
我们向硬盘里存放文件时,系统首先会在文件分配表内写上文件名称、大小,并根据数据区的空闲空间在文件分配表上继续写上文件内容在数据区的起始位置。然后开始向数据区写上文件的真实内容,一个文件存放操作才算完毕。
删除操作却简单的很,当我们需要删除一个文件时,系统只是在文件分配表内在该文件前面写一个删除标志,表示该文件已被删除,他所占用的空间已被“释放”, 其他文件可以使用他占用的空间。所以,当我们删除文件又想找回他(数据恢复)时,只需用工具将删除标志去掉,数据被恢复回来了。当然,前提是没有新的文件写入,该文件所占用的空间没有被新内容覆盖。
格式化操作和删除相似,都只操作文件分配表,不过格式化是将所有文件都加上删除标志,或干脆将文件分配表清空,系统将认为硬盘分区上不存在任何内容。格式化操作并没有对数据区做任何操作,目录空了,内容还在,借助数据恢复知识和相应工具,数据仍然能够被恢复回来。
注意:格式化并不是100%能恢复,有的情况磁盘打不开,需要格式化才能打开。如果数据重要,千万别尝试格式化后再恢复,因为格式化本身就是对磁盘写入的过程,只会破坏残留的信息。
数据恢复工程师常说:“只要数据没有被覆盖,数据就有可能恢复回来”。因为磁盘的存储特性,当我们不需要硬盘上的数据时,数据并没有被拿走。删除时系统只是在文件上写一个删除标志,格式化和低级格式化也是在磁盘上重新覆盖写一遍以数字0为内容的数据,这就是覆盖。
一个文件被标记上删除标志后,他所占用的空间在有新文件写入时,将有可能被新文件占用覆盖写上新内容。这时删除的文件名虽然还在,但他指向数据区的空间内容已经被覆盖改变,恢复出来的将是错误异常内容。同样文件分配表内有删除标记的文件信息所占用的空间也有可能被新文件名文件信息占用覆盖,文件名也将不存在了。
当将一个分区格式化后,有拷贝上新内容,新数据只是覆盖掉分区前部分空间,去掉新内容占用的空间,该分区剩余空间数据区上无序内容仍然有可能被重新组织,将数据恢复出来。
同理,克隆、一键恢复、系统还原等造成的数据丢失,只要新数据占用空间小于破坏前空间容量,数据恢复工程师就有可能恢复你要的分区和数据。
二、数据恢复种类:
1、硬件故障数据恢复
硬件故障占所有数据意外故障一半以上,常有雷击、高压、高温等造成的电路故障,高温、振动碰撞等造成的机械故障,高温、振动碰撞、存储介质老化造成的物理坏磁道扇区故障,当然还有意外丢失损坏的固件BIOS信息等。
硬件故障的数据恢复当然是先诊断,对症下药,先修复相应的硬件故障,然后根据修复其他软故障,最终将数据成功恢复。
电路故障需要我们有电路基础,需要更加深入了解硬盘详细工作原理流程。机械磁头故障需要100级以上的工作台或工作间来进行诊断修复工作。另外还需要一些软硬件维修工具配合来修复固件区等故障类型。
2、磁盘阵列RAID数据恢复
磁盘阵列的存储原理这里不作讲解,可参看本站阵列知识文章,其恢复过程也是先排除硬件及软故障,然后分析阵列顺序、块大小等参数,用阵列卡或阵列软件重组,重组后便可按常规方法恢复数据。
编辑本段数据恢复方法硬盘数据恢复
硬盘软故障:系统故障:系统不能正常启动、密码或权限丢失、分区表丢失、BOOT区丢失、MBR丢失; 文件丢失:误操作、误格式化、误克隆、误删除、误分区、病毒破坏、黑客攻击、PQ操作失败、RAID磁盘阵列失效等; 文件损坏:损坏的Office系列Word、Excel、Access、PowerPoint文件Microsoft SQL数据库复、Oracle数据库文件修复、Foxbase/foxpro的dbf数据库文件修复;损坏的邮件Outlook Express dbx文件,Outlook pst文件的修复;损坏的MPEG、asf、RM等媒体文件的修复。
3、硬盘物理故障
CMOS不认盘; 常有一种“咔嚓咔嚓”的磁头撞击声; 电机不转,通电后无任何声音; 磁头错位造成读写数据错误; 启动困难、经常死机、格式化失败、读写困难; 自检正常,但“磁盘管理”中无法找到该硬盘; 电路板有明显的烧痕等。 磁盘物理故障分类: 盘体故障:磁头烧坏、磁头老化、磁头芯片损坏、电机损坏、磁头偏移、零磁道坏、大量坏扇、盘片划伤、磁组变形; 电路板故障:电路板损坏、芯片烧坏、断针断线。 固件信息丢失、固件损坏等。
4、U盘数据恢复
U盘,优盘,XD卡,SD卡,CF卡,MEMORY STICK,,SM卡,MMC卡,MP3,MP4,记忆棒,数码相机,DV,微硬盘,光盘,软盘等各类存储设备。硬盘,移动盘,闪盘,SD卡、CF卡等数据介质损坏或出现电路板故障、磁头偏移、盘片划伤等情况 下,采用开体更换,加载,定位等方法进行数据修复。
数码相机内存卡,如,SD卡,CF卡,记忆棒等,U盘,甚至最新的SSD固态硬盘。由于没有盘体,没有盘片,存储的数据是FLASH芯片。如果出现硬件故障,目前只有极少数数据恢复公司可以恢复此类介质,这是由于一般的数据恢复公司做此类介质时,需要匹配对应的主控芯片,而主控芯片在买来备件后需要拆开后才能知道,备件一拆,立马毁了,如果主控芯片不能配对,数据仍然无法恢复。即使碰巧配上主控型号,也不代表一定可以读出数据,因此恢复的成本和代价非常之高。一般的数据恢复公司碰上此类介质,成功率非常低,基本上放弃,这种恢复技术和原理是目前大多数数据恢复的做法。但是,对于恢复FLASH类的介质,已经新出一种数据恢复技术,可以不需要配对主控芯片,通过一种特殊的硬件设备,直接读取FLASH芯片里的代码,然后配上特殊的算法和软件,通过人工组合,直接重组出FLASH数据。这种恢复方法和原理,成功率几乎接近100%。但是受制于此类设备的昂贵,同时对数据恢复技术要求很高,工程师不但要精通硬件,还需要软件,更要精通文件系统,因此目前全国只有极个别的数据恢复公司可以做到成功率接近100%,有些公司花了很高代价采购此设备后,由于工程师技术所限,不会使用,同样无法恢复。虽然从技术上解决了FLASH恢复的难题,但是对客户而言,此类恢复的成本非常之高,比硬盘的硬件故障恢复价格要高。2G左右的恢复费接近千元,32G,64G容量的恢复费用基本上在3000-5000。
5、Unix数据恢复
基于Solaris SPARC 平台的数据恢复,基于INTEL 平台的Solaris 数据恢复,可恢复SCO OPERNSERVER数据,HP-UNIX的数据恢复,IBM-AIX的数据恢复
Linux数据恢复Linux操作系统中的数据备份工作是Linux系统管理员的重要工作和职责。传统的Linux服务器数据备份的方法很多,备份的手段也多种多样。常见的Linux数据恢复备份方式仅仅是把数据通过TAR命令压缩拷贝到磁盘的其它区域中去。还有比较保险的做法是双机自动备份,不把所有数据存放在一台计算机上,否则一旦这台计算机的硬盘物理性损坏,那么一切数据将不复存在了。所以双机备份是商业服务器数据安全的基本要求。RAID恢复、SCSI开盘恢复、服务器数据恢复、数据库数据恢复。
Back To Top
Search