数据恢复知多少:写在数据恢复之前的话

随着数据恢复被越来越多的人所认知,数据恢复技术已经逐渐揭去了神秘的面纱。但是伴随着神秘面纱的揭开,却使很多人走入了另一个认识的误区:数据恢复,会用电脑就会做。现在依然有很多人对数据恢复所需要的专业性持怀疑态度,觉得数据恢复只不过就是用现成的软件进行简单的扫描,根本不存在什么技术含量。诚然,数据恢复大多时候是要借助软件的,因为软件是人类智慧的结晶。但软件毕竟只是软件,它没有思维和分析能力,软件所能做的只是根据编程人员事先给定的条件进行判断和恢复。数据所有者对数据存放的方式是不同的,而数据丢失的原因又是多种多样的,数据恢复软件并不能胜任所有的数据丢失情况。很多情况下需要数据恢复人员手工分析数据丢失的原因及破坏的结果,根据不同的情况灵活地制订恢复方案。利用软件只能是利用计算机强大的运算能力和速度,而最主要的还是依靠人类的智能。尤其对于磁盘阵列的恢复,没有扎实的理论基础将会使某些阵列类型的分析和恢复变得异常困难。何况即便是软件的使用也会存在很多的技巧,使用方法不当也会造成不可估量的损失,下面这个真实的案例就充分说明了这一点。
某女士家中的联想电脑,硬盘容量20GB,只分为一个分区,操作系统为WIN98。一日,儿子的同学来家中写作业,想使用电脑时发现为古老的WIN98,于是对电脑进行了“升级”,操作者后来以书面形式提交给我们他的详细操作过程如下:  
  1、使用XP安装盘先对原无分区(指只有一个分区)的20GB硬盘分区为C5GB D4.6GB E10GB
  2、用NTFS格式化C分区并安装XP
  3(意识到数据丢失后)XP下通过网络下载了数据恢复软件;
  4、将C分区下扫描出的已删除、格式化文件大约132MB还原于某U盘,然后再返保存至C分区;
  5、试图对D盘进行扫描时发现无法识别硬盘格式而扫描不出已删除文件,用默认参数对D分区进行了NTFS格式化;
  6、扫描D分区文件并将还原后的非视频文件还原于C分区,还原了部分视频文件(ASFWMARM格式),保存至C分区;
  7、对E分区格式化为NTFS,并扫描已删除文件,约还原1.4GB,还原于D分区;
  8、下载安装Office2003Photoshop,安装后对部分数据进行修复。
在这个案例中,虽然后来恢复了部分数据,但毕竟还是有很多数据再也无法找回了,这种损失是无法弥补的。现在让我们来看看他在这次事件中都做了哪些错误操作:
在发觉自己的操作造成数据丢失之前,我们不称其为错误,包括用WINXP安装盘对硬盘进行分区、格式化C盘并装入系统。
从第3步开始的操作应该是他已经知道自己前面的操作对数据造成的损害,开始试图挽救数据。
  对于数据恢复而言,最基本的常识是尽可能阻止对灾难盘的任何写操作,这样才能最大限度地挽救数据。但在这种情况下,操作者继续使用灾难盘中的系统并上网下载数据恢复软件。在这个过程中,每个操作都会对磁盘产生写入,这是破坏一;将下载的软件保存在本地磁盘上,这是破坏二;还要再安装软件于磁盘,这是破坏三。第三步简单的一句“在XP下通过网络下载了数据恢复软件”一句话就已隐含了这么多的破坏性。
  看第四条“将C下扫描出的已删除、格式化文件还原于某U盘,并返保存至C分区”。
显然,之所以他没有直接保存至C盘,是因为恢复软件不允许他把数据再回写至原扫描磁盘。但软件作者的周全考虑却无法阻止他把U盘中的数据再保存回C盘。这样,对C盘又进行了一次破坏操作。
  第五步“由于无法识别硬盘格式而扫描不出已删除文件,于是对D分区进行了NTFS格式化”。
看得出来,在装系统时,他只是对系统盘C进行了格式化操作并装入了系统,这时只是覆盖了磁盘较前部的空间,如果这时停止操作,还是有可能恢复出大多数数据的,遗憾的是操作者选择了几乎是毁灭性的操作。
他在这步操作中有几个误区:
首先,对操作系统管理文件的方式一无所知。恢复数据时要根据最初磁盘的分区情况来进行恢复操作,而不是进行分区操作后的各个逻辑盘,否则与刻舟求剑无异;
第二,对恢复软件的原理和操作以及数据存储缺乏最基本的知识。一定是没有找到RAW恢复方式而无法进行恢复操作,所以就进行了格式化操作,只是为了让“恢复软件可以识别分区”,却不知格式化操作本身就是对数据丢失现场的一种破坏。就象是因为无法开车进入田地里寻找丢失的戒指,就在田地里修了一条宽阔的马路,却不知道也许丢失的戒指已经被压在了马路下面。
  第六步,将从D盘扫描出的数据恢复至C盘,对C盘再一次进行了破坏。
  第七步重复第五步的错误,对E盘进行格式化操作。
  第八步又下载并安装软件,而且是两个个头都不小的软件。文件的修复并不是容易做的,何况恢复时的操作就是错误的,找到的内容并不是原来的正确内容,想把恢复出来的“牛”修复成“马”,又怎么可能呢?
数据发生丢失后,首先要知道保护现场。保护好现场就为后期的数据恢复打下了一个良好的基础。
提示:着手进行恢复操作时,应该知道自己的每步操作是否会对磁盘产生写入操作,会有什么样的写入操作。这种写入是否存在危险,是否是可逆操作。



















本文转自老骥伏枥51CTO博客,原文链接:http://blog.51cto.com/sjhfml/129468 ,如需转载请自行联系原作者
上一篇:kafka集群维护


下一篇:LINUX恢复误删除文件的两种方法(部分成功)