数据恢复实战技术总结
1、格式化后数据受影响程度
如果格式化前后参数一样(指的是分区表不变、簇大小不变),FAT32文件系统根目录第一个簇的内容被清空,FAT表被清空,如果原先文件内容不连续,恢复出来数据出现打不来的现象。
NTFS文件系统格式化以后,原先数据受影响程度不是很大,$Logfile元数据文件在格式化的时候生成,可能会影响一些数据,视情况而定;另外,需要注意的是windows 7系统下格式化NTFS文件系统,MFT表部分或者全部有清零的可能,原先数据受影响较大。
2、删除文件后数据受影响程度
FAT文件系统删除文件以后,文件所在FAT表项被清空,文件开始簇号(00 00 00 00)高位两个字节会清零,对于开始簇号原先高两位是零的文件,起始簇号值不受影响,对于高位原先不是零的文件,起始簇号发生改变,文件定位错误。D-Recovery标准版和企业版对高位清零的情况处理比同类软件效果好很多,但是数据恢复的正确率还是依赖与文件存储在磁盘上是连续的,不连续的文件恢复效果不理想。
NTFS文件系统删除文件后,MFT表项没变化的情况下,文件打都能恢复。
3、出现数据覆盖现象
再格式化或删除文件以后,再往格式化或删除过的分区中写入新的数据,原先的文件目录项或MFT表项有可能被新的文件占用并覆盖,通过软件扫描就不一定找到原先文件名及目录信息,如果原先文件数据区被新的数据覆盖,那么数据恢复就会失败。
覆盖,是当前数据恢复领域的难题,目前全世界从事数据恢复的公司,还没有哪一家宣布能恢复被覆盖过的文件。
4、数据丢失逻辑问题归结如下:
分区表类问题:误删除分区、一键恢复、误GHOST(选择整个磁盘而不是磁盘分区)、病毒破坏分区表、误分区等
其它问题:误格式化、误删除、文件内部逻辑错误(包含文档类、数据库类、邮件类等)、加密类、PQ Magic转换出错等
磁盘阵列问题:Raid信息损坏、Raid卡损坏、磁盘稳定性、人为误操作等
5、数据丢失硬件类问题:电路故障、固件问题、磁头问题、电机问题、加密问题等
6、数据丢失以后的正确处理方法:
保留数据丢失后的当前状态,记住一点,不要对原始出现问题的存储进行有害于原始数据的操作,在有条件的情况下,对有问题的存储做一个镜像或者文件拷贝,用镜像或者拷贝出来的文件进行恢复处理。
切记:
明知道格式化或者删除文件以后要进行数据恢复,还继续往该分区中拷贝数据,学习过数据恢复技术以后,尽量避免此类事情在自己的手中发生悲剧;
在做数据恢复的过程中要特别注意,把恢复出来的文件不要存放到要恢复数据的分区中;
在磁盘镜像过程中,千万要确认好源盘和目标盘,不要把次序颠倒。
在修复损坏文件或者数据库时,一定要记住要保留原始文件的备份,防止在没有备份的情况下,对原始文件操作时造成二次破坏。
对于磁盘阵列,Rebuild、初始化、重配、磁盘Online、更换磁盘等操作时要注意,如果不了解当前硬件环境,特别是硬件Raid卡相关信息,不要贸然操作。
否则会造成不可挽回的失误。对于NTFS文件系统的阵列,chkdsk命令慎用,如果系统提示对文件系统进行chkdsk操作,在了解相应故障后确认可以操作才能运行。
chkdsk命令在linux/Unix系统下相对应的命令是fsck。这些命令如果错误操作,会造成文件及目录的丢失或者数据打不开的后果。
7、数据恢复软件
按照软件名称分:R-Studio、Winhex、Runtime、D-Recovery系列、Finaldata、EasyRecovery、数据恢复大师等等
按照文件系统类型分:FAT/exFAT/NTFS、EXT2/EXT3/EXT4、Reiserfs、HFS/HFS+、UFS、XFS、JFS/JFS2等
其它非文件系统类:文档修复类(Advanced Office Repair)、密码恢复类、邮件修复类、数据库修复类
作者:覃廷良,达思数据恢复技术专家,转载请保留版权(出自http://www.dstfix.cn 和 http://www.bnuol.com ),谢谢。
最新评论