| 离子翼信息安全实验室
http://www.ionwing.com 当今的世界已经完全步入了信息时代,在我们每天的生活当中,越来越多的事物正被以0和1的形式表示。数字技术与我们的联系越紧密,我们在其失效时就会承担越大的风险。
重要数据一旦破坏,我们讲承受巨大的损失,所以数据恢复产业应运而生。数据恢复在数据丢失和损坏时挽救这些数据,可以针对各种软硬件平台开展,从文件的误删除,存储设备受到严重破坏,专业的数据恢复工作都可能将数据恢复。在这篇文章里,我们会向大家介绍数据恢复的方方面面,并根据我们的经验给出一些建议,希望能够使大家更少受到数据损失的困扰。 数据恢复技术原理 数据恢复这项工作涵盖的范围很广,各种不同的存储介质在执行数据恢复的时候都会有一些区别,另外数据丢失或损坏的原因也不尽相同。我们讲解面向的对象主要是磁存储介质,如硬盘、软盘以及数据磁带等等。 首先我们需要讲解一下磁存储技术的原理,这有助于我们更深刻的了解数据恢复工作。磁存储技术的工作原理是通过改变磁粒子的极性来在磁性介质上记录数据。在读取数据时,磁头将存储介质上的磁粒子极性转换成相应的电脉冲信号,并转换成计算机可以识别的数据形式。进行写操作的原理也是如此。要使用硬盘等介质上的数据文件,通常需要依靠操作系统所提供的文件系统功能,文件系统维护着存储介质上所有文件的索引。因为效率等诸多方面的考虑,在我们利用操作系统提供的指令删除数据文件的时候,磁介质上的磁粒子极性并不会被清除。操作系统只是对文件系统的索引部分进行了修改,将删除文件的相应段落标识进行了删除标记。同样的,目前主流操作系统对存储介质进行格式化操作时,也不会抹除介质上的实际数据信号。正是操作系统在处理存储时的这种设定,为我们进行数据恢复提供了可能。值得注意的是,这种恢复通常只能在数据文件删除之后相应存储位置没有写入新数据的情况下进行。因为一旦新的数据写入,磁粒子极性将无可挽回的被改变从而使得旧有的数据真正意义上被清除。另外,除了磁存储介质之外,其它一些类型存储介质的数据恢复也遵循同样的原理,例如U盘、CF卡、SD卡等等。因为这些存储设备也和磁盘一样使用类似扇区、簇这样的方式来对数据进行管理。举个例子来说,目前几乎所有的数码相机都遵循DCIM标准,该标准规定了设备以FAT形式来对存储器上的相片文件进行处理。 相信大家了解了数据恢复的原理之后,就可以很容易的理解为什么使用普通的删除方法,无法彻底和安全的清除数据了。这也是为什么很多企业求助于专业的数据擦除服务公司,请他们使用专业的设备和软件彻底的对企业的敏感数据进行销毁。越来越多的情况证明,只是单纯的对存储介质进行覆写,乃至从物理上破坏存储设备,都不能保证数据不会被恢复出来。在一些拥有尖端设备的实验室中,既使被覆盖多次的磁盘,也可能被还原出最早存储在上面的磁性信号。这种情况对那些需要恢复他们宝贵数据的用户来说可能是个另人激动的消息,但对于希望保护自己数据的人们来说则恰恰相反。我们希望用户在了解了更多有关数据恢复技术的细节信息之后,能够选择恰当的方式来照管他们的数据。 数据问题分析 有很多种原因可能造成数据问题。最常见的原因当数人为的误操作,比如错误的删除文件、用错误的文件覆盖了有用数据等等。而存储器本身的损坏也占据了相当大的比重,高温、震动、电流波动、静电甚至灰尘,都是存储设备的潜在杀手。另外,很多应用程序特别是备份程序的异常中止,也可能造成数据损坏。在所有的原因当中,由于删除和格式化等原因造成的数据丢失是比较容易处理的,因为在这些情况下数据并没有从存储设备上真正擦除,利用数据恢复软件通常能够较好的将数据恢复出来。如果存储设备本身受到了破坏(例如硬盘盘片坏道、设备芯片烧毁等),会在很大程度上增加恢复工作的难度,并需要一些必备的硬件设施才能执行恢复,如果存储数据的介质本身(例如硬盘盘片、Flash Memeory)没有损坏的话,数据恢复的可能性仍然很大。我们通常称存储设备本身的损坏为物理性损坏,而对于非存储设备问题称之为逻辑性损坏。我们讨论的问题或者说在现实情况下遇到的大多数问题都属于逻辑性损坏之列。 对问题的情况和起因了解的越清楚,就越有可能完好的恢复出数据。因为不同的数据恢复手段会对存储设备造成不同的影响,采用错误方法带来的后果不仅仅是无法成功恢复,还有可能对数据造成进一步的破坏。工作人员应在已有信息的基础上进行进一步的检查工作,并根据检查的结果最终判断问题原因,拟定出处理方法。 我们以对硬盘进行数据恢复为例,介绍在进行专业性的数据恢复工作时所执行的基本步骤。所有恢复工作都是在具备国际百级要求的无尘净室(Clean Room)中进行的,并且所有的操作设备都会置于非写入状态,以防对数据产生破坏。待处理的硬盘会先连入经过特殊改装的控制板,在禁止硬盘主轴电机启动的状态下拆开外壳。硬盘的磁头会被固定以使其无法接触磁碟表面,之后再利用高频示波器、信号分析仪等专业设备全面检查硬盘受损情况。如果对当前情况有足够的把握进行处理,再使用专用的读盘机进行介质读取工作。所有读出的原始信号会由专业工作人员根据原有操作系统情况还原成可用的数据文件,至此完成所有数据恢复工作。 专业级的数据恢复成本较为高昂,通常起价就需要几百元人民币,而根据恢复的数据量大小,价格很可能还要高得多。很多情况下数据的重要性和价值并非都值得使用该种方式进行恢复,那么我们是否能够自己处理一些平常的问题呢。上面我们曾经提到过,我们遇到的绝大多数数据问题都是逻辑性损坏,所以我们也可以根据情况,对相对要求较低的数据恢复任务,使用数据恢复软件进行低成本的数据恢复工作。 目前流行的数据恢复软件包括EasyRecovery、FinalData、Acronis Disk Director、PC Inspector File Recovery、RecoverNT、Recover4all等等。其中EasyRecovery提供了相当多的恢复方式,兼具功能性和易用性,恢复能力也比较令人满意,是我们最常使用的一种数据恢复软件。需要注意的是,每种恢复软件都有其独到之处,并且在处理恢复工作时方式也不尽相同。如果一种软件无法正确的恢复数据,不妨试试其它的,大家不必追求一个在任何情况下都能产生完美结果的产品。 下面我们结合一款免费的数据恢复工具PC Inspector File Recovery 4.0讲解一个针对误删除文件的数据恢复工作实例,该软件可以在如下地址下载:
http://www.pcinspector.de/file_recovery/cn/download.htm 。启动软件之后,我们首先需要选择要进行的工作,这里我们应该选择第一个大选项,即Recover deleted files。这个选项的下面还标注了该工作的一些基本步骤,Select logical drive是选择要恢复的分区,Select your files in folder ‘Deleted’意即在检查结果的“删除”分类中选择哪些文件是我们要恢复出来的,最后使用Save your files保存恢复出的数据文件即可。在我们使用PC Inspector File Recovery的过程中,觉得这款数据恢复软件的扫描速度非常快速,但是恢复能力仅在尚可以接受的程度,并且在运行的过程中不是非常稳定,偶尔会出现程序死锁等异常现象。如果这款软件能继续对这些问题加以改进,无疑是完成一般用户的一大福音。 建议 对于遇到数据损坏等问题的读者,我们提供一些建议和注意事项,以帮助您更好的找回自己的数据:
1. 保护很重要:数据恢复毕竟不能保证100%的成功,所以大家首先应该在数据没有出现问题的时候就有意识的对数据进行保护。例如不要在存储设备运行的时候突然断电,注意保持存储设备周围环境的温度、湿度和洁净程度,对重要的数据定期执行备份,在可能的情况下尽量由专业的计算机人员进行设备维护等等。当然,我们还应该注意防范电脑病毒等问题对数据的破坏。
2. 发现问题尽快处理:我们知道数据的丢失和损坏通常是可以找回的,只要这些数据的存储位置没有被其它数据覆写。所以在发现数据丢失时,应该立即停止在存储设备上进行任何操作,如果可以正常关闭电源的话应尽快关闭,这样有助于最大限度的将数据恢复。在存储设备本身出现故障的情况下这一点尤其重要,因为电路原件的损坏在某些极端情况下可能会造成存储介质的擦除操作。
3. 自己恢复要慎重:如果数据损坏问题的情况不是非常严重,大家可能希望自己进行数据恢复,例如只是不小心将文档删除掉。如果情况比较复杂,或者无法判定问题的起因及严重程度,请尽量不要自己执行恢复。特别是存储设备可能存在硬性损坏的时候,贸然操作很可能造成不可挽回的结果。例如一块硬盘如果存在坏道,用户自己使用恢复软件进行恢复的话很可能会对硬盘表面造成更大的伤害。国内现在有很多专业的数据恢复服务提供商,例如飞客数据恢复中心(http://www.fix.com.cn)。在自己没有绝对把握的情况下,请尽量求助专业的数据恢复厂商。
4. 一些好习惯:定期对磁盘等存储设备进行碎片整理是一个很好的操作习惯。在恢复误删除文件的时候,如果这个文件的存储位置非常分散,任何一个部分的损坏都可能造成整个文件无法还原。而进行数据整理可以使文件的存储位置尽量连续,这样可以在很大程度上增加恢复的成功率,既使必须利用一些16进制工具手动恢复数据,也可以大大降低工作难度和强度。另外我们建议使用尽量强壮的文件系统,比如在允许应用NTFS的时候就不要选择FAT文件系统。因为NTFS的文件索引是保存在硬盘上的,使用该索引进行数据恢复可以提高处理速度和成功率,并且较之FAT分区,NTFS的文件索引安全性更高。 篇尾寄语 目前国内的数据修复中心承担的大部分业务集中于个人电脑领域,虽然也提供高端的服务项目,但是处理经验与国外一些已经运营了十几个年头的处理中心还有不小的差距。当然,这种情况也和国内信息设备的应用水平有关。希望相关行业人员继续加强高端数据恢复的研究和积累,真正承担起为中国信息化保驾护航的责任。而所有的计算机用户,也应该更多的了解数据安全方面的知识,因为存储器中保存着我们的“所有资产”。 | 