更新时间:2024-01-22 20:22
数据恢复软件包含逻辑层恢复和物理层恢复功能,逻辑层恢复通常是指误删除、误克隆、误格式化、分区丢失、病毒感染等情况,物理层恢复是指由于硬件物理损伤引起的丢失数据恢复,如:电机卡死、盘片物理坏道、硬盘电脑不识别、磁头移位等。
数据存储及恢复第一步--分区
硬盘存放数据的基本单位为扇区,我们可以理解为一本书的一页。当我们装机或买来一个移动硬盘,第一步便是为了方便管理--分区。无论用何种分区工具,都会在硬盘的第一个扇区标注上硬盘的分区数量、每个分区的大小,起始位置等信息,术语称为主引导记录(MBR),也有人称为分区信息表。当主引导记录因为各种原因(硬盘坏道、病毒、误操作等)被破坏后,一些或全部分区自然就会丢失不见了,根据数据信息特征,我们可以重新推算计算分区大小及位置,手工标注到分区信息表,“丢失”的分区回来了。
数据存储及恢复第二步--文件分配表
为了管理文件存储,硬盘分区完毕后,接下来的工作是格式化分区。格式化程序根据分区大小,合理的将分区划分为目录文件分配区和数据区,就像我们看得小说,前几页为章节目录,后面才是真正的内容。文件分配表内记录着每一个文件的属性、大小、在数据区的位置。我们对所有文件的操作,都是根据文件分配表来进行的。文件分配表遭到破坏以后,系统无法定位到文件,虽然每个文件的真实内容还存放在数据区,系统仍然会认为文件已经不存在。我们的数据丢失了,就像一本小说的目录被撕掉一样。要想直接去想要的章节,已经不可能了,要想得到想要的内容(恢复数据),只能凭记忆知道具体内容的大约页数,或每页(扇区)寻找你要的内容。我们的数据还可以恢复回来。
我们向硬盘里存放文件时,系统首先会在文件分配表内写上文件名称、大小,并根据数据区的空闲空间在文件分配表上继续写上文件内容在数据区的起始位置。然后开始向数据区写上文件的真实内容,一个文件存放操作才算完毕。
格式化操作和删除相似,都只操作文件分配表,不过格式化是将所有文件都加上删除标志,或干脆将文件分配表清空,系统将认为硬盘分区上不存在任何内容。格式化操作并没有对数据区做任何操作,目录空了,内容还在,借助数据恢复知识和相应工具,数据仍然能够被恢复回来。
数据存储及恢复第四步--理解覆盖
数据恢复工程师常说:“只要数据没有被覆盖,数据就有可能恢复回来”。
因为磁盘的存储特性,当我们不需要硬盘上的数据时,数据并没有被拿走。删除时系统只是在文件上写一个删除标志,格式化和低级格式化也是在磁盘上重新覆盖写一遍以数字0为内容的数据,这就是覆盖。
一个文件被标记上删除标志后,他所占用的空间在有新文件写入时,将有可能被新文件占用覆盖写上新内容。这时删除的文件名虽然还在,但他指向数据区的空间内容已经被覆盖改变,恢复出来的将是错误异常内容。同样文件分配表内有删除标记的文件信息所占用的空间也有可能被新文件名文件信息占用覆盖,文件名也将不存在了。
当将一个分区格式化后,有拷贝上新内容,新数据只是覆盖掉分区前部分空间,去掉新内容占用的空间,该分区剩余空间数据区上无序内容仍然有可能被重新组织,将数据恢复出来。
同理,克隆、一键恢复、系统还原等造成的数据丢失,只要新数据占用空间小于破坏前空间容量,数据恢复工程师就有可能恢复你要的分区和数据。
数据存储及恢复第五步--硬件故障数据恢复
硬件故障占所有数据意外故障一半以上,常有雷击、高压、高温等造成的电路故障,高温、振动碰撞等造成的机械故障,高温、振动碰撞、存储介质老化造成的物理坏磁道扇区故障,当然还有意外丢失损坏的固件BIOS信息等。
硬件故障的数据恢复当然是先诊断,对症下药,先修复相应的硬件故障,然后根据修复其他软故障,最终将数据成功恢复。
电路故障需要我们有电路基础,需要更加深入了解硬盘详细工作原理流程。机械磁头故障需要100级以上的工作台或工作间来进行诊断修复工作。另外还需要一些软硬件维修工具配合来修复固件区等故障类型。
数据存储及恢复第六步--磁盘阵列RAID数据恢复
磁盘阵列的存储原理这里不作讲解,可参看本站阵列知识文章,其恢复过程也是先排除硬件及软故障,然后分析阵列顺序、块大小等参数,用阵列卡或阵列软件重组,重组后便可按常规方法恢复数据。
数据恢复软件
数据恢复软件是一款文件恢复功能非常全面的软件,支持微软操作系统用到的NTFS分区、FAT和FAT32分区、exFAT分区的数据恢复,能够恢复经过回收站删除掉的文件、被Shift+Delete键直接删除的文件和目录、快速格式化过的分区、完全格式化的分区、分区表损坏和盘符无法正常打开的分区数据、在磁盘管理中删除的分区、被重新分区过的硬盘数据、被第三方软件做分区转换时丢失的文件等。本恢复软件用只读的模式来扫描数据,在内存中组建出原来的目录文件名结构,不会破坏源盘内容。
支持NTFS分区、FAT32分区、FAT分区、exFAT分区的文件恢复
具有反删除、反格式化、分区恢复、高级模式等扫描功能,可以恢复最常见的种种数据丢失的情况
内置按文件头来恢复的功能,可以扫描文件名记录损坏的文件,扫描后按文件类型分别归类并且自动命名,支持Word文档(DOC/ DOCX)、Excel表格(XLS/ XLSX)、PowerPoint演示文稿(PPT/ PPTX)、照片文件(JPG/ NEF/CR2 /X3F/ SR2/ PNG)、视频文件(3GP/ MP4/ RMVB/ MOV/ MPG/ MOD/ FLV)、压缩包文件(ZIP/ RAR)等多种文件格式。
一、常用的数据恢复功能
适用于数据恢复故障:误删除、误格式化、文件系统损坏、误装系统、Ghost分区对分区覆盖等数据丢失的问题。
全盘扫描:主要用于文件系统损坏、扫描丢失分区失败、以及其他数据恢复效果不好时,全盘扫描可以虚构出分区信息并提高数据恢复的成功率。
分区扫描:主要用于分区数据被删除、分区的文件系统无法打开,分区提示格式化、分区被格式化等问题,使用分区扫描即可恢复数据。
二、存储介质镜像
可以对存储介质进行全部或者局部镜像,可用于数据备份或者数据恢复前对原盘数据做备份使用。软件可以打开镜像文件,并解释成磁盘。
三、提取空闲空间
提取分区未使用部分的存储空间,供专业数据恢复工程师做进一步数据恢复操作使用。
数据恢复过程中最怕被误操作而造成二次破坏,造成恢复难度陡增。数据恢复过程中,禁止往源盘里面写入新数据的。
不要做DskChk磁盘检查。一般文件系统出现错误后,系统开机进入启动画面时会自动提示是否需要做磁盘检查,默认10秒后开始进行DskChk磁盘检查操作,这个操作有时候可以修复一些小损坏的目录文件,但是很多时候会破坏了数据。因为复杂的目录结构它是无法修复的。修复失败后,在根目录下会形成FOUND.000这样的目录,里面有大量的以.CHK为扩展名的文件。有时候这些文件改个名字就可以恢复,有时候则完蛋了,特别是FAT32分区或者是NTFS比较大的数据库文件等。
不要再次格式化分区。用户第一次格式化分区后分区类型改变,造成数据丢失,比如原来是FAT32分区格成NTFS分区,或者原来是NTFS的分区格式化成FAT32分区。数据丢失后,用一般的软件不能扫描出原来的目录格式,就再次把分区格式化会原来的类型,再来扫描数据。我们指出的是,第2次格式化会原来的分区类型就是严重的错误操作,很可能把本来可以恢复的一些大的文件给破坏了,造成永久无法恢复。
不要把数据直接恢复到源盘上。很多普通客户删除文件后,用一般的软件恢复出来的文件直接还原到原来的目录下,这样破坏原来数据的可能性非常大,所以严格禁止直接还原到源盘。
不要进行重建分区操作。分区表破坏或者分区被删除后,若直接使用分区表重建工具直接建立或者格式化分区,很容易破坏掉原先分区的文件分配表(FAT)或者文件记录表(MFT)等重要区域,造成恢复难度大大增加。我们在恢复的实践过程中碰到过多次客户在分区表破坏后,先自行尝试过几种分区工具都无法恢复数据后才想到找专业人员帮忙,结果我们发现在多种分区工具作用后,破坏了一些重要的目录文件,造成文件目录恢复不完整,有些大的文件无法恢复。而按客户描述的最初分区丢失的情况,这些文件一般都可以完全恢复了,真是很可惜啊。专业的数据恢复人员在重建分区表之前都会先定位分区的具体位置(逻辑扇区号),然后用扇区查看工具先检查分区的几个重要参数比如DBR/FAT/FDT/MFT等,确认后才修改分区表的,而且修改完分区表后在启动系统过程中会禁止系统做dskchk破坏分区目录,保证数据不会被破坏到。
阵列丢失后不要重做阵列。我们在挽救服务器阵列的实践中遇到过有些网管在服务器崩溃后强行让阵列上线,即使掉线了的硬盘也强制上线,或者直接做rebuilding。这些操作都是非常危险的,任何写入盘的操作都有可能破坏数据。
数据丢失后,要严禁往需要恢复的分区里面存新文件。最好是关闭下载工具,不要上网,不必要的应用程序也关掉,再来扫描恢复数据。若要恢复的分区是系统分区,当数据文件删除丢失后,若这个电脑里面没有数据库之类的重要数据,我们建议您直接把电脑断电,然后把硬盘挂到别的电脑来恢复,因为在关机或者开机状态下,操作系统会往系统盘里面写数据,可能会破坏数据。
不要剪切文件。我们经常碰到客户剪切一个目录到另外一个盘,中间出错,源盘目录没有,目标盘也没复制进数据。这看起来是一个系统的BUG,偶尔会出现的。所以我们建议如果数据重要,那么先复制数据到目标盘,没有问题后再删除源盘里面的目录文件,不要图省事造成数据丢失。
目录文件非常多的分区,不要直接做磁盘碎片整理。因为磁盘碎片整理过程中可能会出错,万一出错了数据就很难恢复。我们建议将数据复制到别的盘后,再格式化要做磁盘整理的盘,然后拷回数据。
不要用第三方工具调整分区大小。调整分区大小过程中也很容易出错(比如断电等),一出错也很难恢复,因为数据被挪来挪去覆盖破坏很严重的。建议在重新分区之前,备份好数据,再使用Windows自带的磁盘管理里面来分区,安全性高一些。
定期备份数据,确保数据安全,最好是刻盘备份,比存在硬盘里面更安全。
数据丢失后的恢复率,不同情况下都不一样的。
FAT或者FAT32分区,删除或者格式化后,比较大的文件或者经常编辑修改的文件,恢复成功率要低一些,比如经常编辑修改的XLS或者CDR文件就很难完整恢复。
那些文件拷进去后就不动的文件,恢复成功率比较高,比如PDF或者JPG,MPG等不经常修改的文件,恢复率还是比较高的。这是因为FAT和FAT32分区使用文件分配表来记录每个文件的簇链碎片信息,删除或者格式化后簇链碎片信息就被清空了,那些经常编辑修改的文件由于它们的文件长度动态增长,在文件系统中一般都不会连续存放,所以文件碎片信息就无法恢复,文件恢复也就不完整了。
NTFS分区的恢复概率比较高,一般删除或者格式化后绝大部分都可以完整恢复的。某些文件有时候无法恢复,例如文件长度非常大或者文件在编辑使用很长时间,这文件会形成很多的碎片信息,在删除文件后,这个文件就无法知道文件长度,很难恢复了,例如一些使用很多年的数据库文件,删除后用数据恢复软件扫描到的文件长度是0,无法恢复。定期做磁盘碎片整理可以减少这种情况的发生,但是直接做磁盘碎片整理也有风险,请参考上面需要注意的问题。
重新分区或者删除分区或者分区表破坏,一般后面的分区基本能完整恢复,越靠后的分区被破坏的可能性越低,所以重要数据最好放在比较靠后的分区里面,不要放在C,D盘里。
经过回收站删除的文件,有时候会无法找到文件。NTFS下,从回收站中删除的文件,文件名会被系统自动修改成De001.doc之类的名字,原来的文件名被破坏。当您的数据丢失后,不能直接找到文件名,记得别漏过这些被系统改名过的文件哦。直接Shift+Del删除的则不会破坏文件名。
数据丢失后,不要往待恢复的盘上存入新文件。
如果要恢复的数据是在C盘,而系统坏了,启动不了系统,那么不要尝试重装系统或者恢复系统,要把这块硬盘拆下来,挂到另外一个电脑作为从盘来恢复。
文件丢失后,不要再打开这个盘查看任何文件,因为浏览器在预览图片的时候会自动往这个盘存入数据造成破坏。
分区打开提示格式化的时候,不能格式化这个盘符,如果格式化肯定会破坏文件恢复的效果。
U盘变成RAW格式无法打开,不能格式化或者用量产工具初始化U盘,不然会破坏数据。
文件删除后,可以把扫描到的文件恢复到另外一个盘符里面。
只有一个盘格式化后,盘大小没有发生变化,数据可以恢复到另外一个盘里面;如果分区的大小发生改变,那么必须恢复到另外一个物理硬盘才安全。
重新分区或者同一个硬盘里面多个分区全部格式化后,必须恢复到另外一个物理硬盘里面,不能恢复到同一个硬盘里面别的分区。
要等数据全部恢复到另外一个盘或者硬盘后,要打开文件仔细检查,确定都恢复对了,才能往源盘里面拷回去的,不能恢复一部分就拷回一部分,往源盘拷数据会影响下一次的数据恢复。
如果没有另外一块足够大的盘来存数据,而且有局域网联网的条件,那么可以在别的电脑上开通具有可写权限的共享目录,恢复到网络邻居共享目录里面。
1.不必完全扫描
如果你仅想找到不小心误删除的文件,无论使用哪种数据恢复软件,也不管它是否具有类似EasyRecovery快速扫描的方式,其实都没必要对删除文件的硬盘分区进行完全的簇扫描。因为文件被删除时,操作系统仅在目录结构中给该文件标上删除标识,任何数据恢复软件都会在扫描前先读取目录结构信息,并根据其中的删除标志顺利找到刚被删除的文件。所以,你完全可在数据恢复软件读完分区的目录结构信息后就手动中断簇扫描的过程,软件一样会把被删除文件的信息正确列出,如此可节省大量的扫描时间,快速找到被误删除的文件数据。 2.尽可能采取NTFS格式分区
2.NTFS分区的MFT以文件形式存储在硬盘上,这也是EasyRecovery和Recover4all即使使用完全扫描方式对NTFS分区扫描也那么快速的原因——实际上它们在读取NTFS的MFT后并没有真正进行簇扫描,只是根据MFT信息列出了分区上的文件信息,非常取巧,从而在NTFS分区的扫描速度上压倒了老老实实逐个簇扫描的其他软件。不过对于NTFS分区的文件恢复成功率各款软件几乎是一样的,事实证明这种取巧的办法确实有效,也证明了NTFS分区系统的文件安全性确实比FAT分区要高得多,这也就是NTFS分区数据恢复在各项测试成绩中最好的原因,只要能读取到MFT信息,就几乎能100%恢复文件数据。
3.巧妙设置扫描的簇范围 设置扫描簇的范围是一个有效加快扫描速度的方法。像EasyRecovery的高级自定义扫描方式、FinalData和File Recovery的默认扫描方式都可以让你设置扫描的簇范围以缩短扫描时间。当然要判断目的文件在硬盘上的位置需要一些技巧,这里提供一个简单的方法,使用操作系统自带的硬盘碎片整理程序中的碎片分析程序(千万小心不要碎片整理啊,只是用它的碎片分析功能),在分区分析完后程序会将硬盘的未使用空间用图形方式清楚地表示出来,那么根据图形的比例估计这些未使用空间的大致簇范围,搜索时设置只搜索这些空白的簇范围就好了,对于大的分区,这确实能节省不少扫描时间。
4.使用文件格式过滤器 以前没用过数据恢复软件的朋友在第一次使用时可能会被软件的能力吓一跳,你的目的可能只是要找几个误删的文件,可软件却列出了成百上千个以前删除了的文件,要找到自己真正需要的文件确实十分麻烦。这里就要使用EasyRecovery独有的文件格式过滤器功能了,在扫描时在过滤器上填好要找文件的扩展名,如“*.doc”,那么软件就只会显示找到的DOC文件了;如果只是要找一个文件,你甚至只需要在过滤器上填好文件名和扩展名(如important.doc),软件自然会找到你需要的这个文件,很是快捷方便。