第1章 概述

1.1 數據恢復

隨著信息技術的飛速發展和無紙化辦公時代的到來，計算機在人們的工作和生活中扮演著越來越重要的角色。企業、商家、銀行、政府機關、事業單位等通過計算機來獲取和處理信息，同時也將重要信息以數據的形式保存在計算機的外存儲器上。這些數據一旦丟失，將給企業、商家、銀行、政府機關、事業單位等造成無法挽回的損失。因此，數據丟失后，能否很好地保護現場并找回丟失的數據就顯得十分重要。于是，數據恢復，這個在國外已經使用了二十多年，而在國內卻鮮為人知的技術也逐漸被國內人所接觸和使用。

1.1.1 數據恢復定義

什么是數據恢復呢？到目前為止，數據恢復還沒有一個統一的定義，但有一個大家公認的提法。數據恢復是指外存儲器硬件損壞或者用戶誤操作、誤分區、誤格式化、誤刪除文件、計算機病毒破壞等導致存儲在外存儲器中的數據無法通過正常方式進行存取，只有通過特殊的方式將所需要的數據恢復到正常狀態，以便進行正常的存取或將其存儲到其他外存儲器的過程。

數據恢復一般分為“硬恢復”和“軟恢復”兩種。所謂“硬恢復”是指外存儲器在物理上出現問題而導致數據無法正常讀取的恢復；也就是說，由于外存儲器出現物理問題所引起的故障，對此類故障進行的數據恢復，一般稱為“硬恢復”。而“軟恢復”則是指邏輯故障（如：用戶誤操作、誤分區、誤格式化、誤刪除文件、誤Ghost、硬件邏輯鎖、操作過程中突然掉電、病毒破壞等原因）導致數據無法通過正常的方式進行存取，使得數據發生丟失，而存儲介質不存在任何物理故障，對此類故障進行的數據恢復，一般稱為“軟恢復”。

“硬恢復”需要對存儲介質的結構及工作原理相當了解；而“軟恢復”則需要對硬盤分區和文件系統等有足夠的認知。

1.1.2 常用數據恢復硬件和軟件

隨著數據恢復行業的逐漸興起，一些數據恢復公司先后研發了一些數據恢復硬件產品，常用的數據恢復硬件產品如下。

（1）DC一體機計算機取證恢復專業設備：該設備是目前最先進的全球第四代專業數據恢復工具，也是全球首款全功能性數據恢復一體式設備，是一款高智能化專業數據恢復設備；該設備配備了USB接口，在移動性、便攜性、功能性等方面表現強悍，其數據恢復以及計算機取證成功率較高。

（2）SDⅡ9000服務器取證專業設備：該設備支持所有品牌的SAS/SCSI接口硬盤，支持所有的文件系統格式、各種服務器磁盤陣列類型、數據庫類型等。

（3）SAS/SCSI數據擦除一體機：該設備是SAS/SCSI存儲介質數據擦除銷毀設備巔峰之作，冠絕全球，兼容所有品牌SAS/SCSI接口硬盤，全面支持IBM、HP、DELL、SUN、聯想、浪潮、華碩、曙光、長城、清華同方、方正、天翱、Acer、AblestNet NE等市面上所有品牌服務器，其特點是Windows界面、一體工控鍵盤設計、操作簡單。

（4）FLASH閃存數據恢復大師設備：該設備是一臺專門針對U盤、CF卡、記憶棒、錄音筆等FLASH存儲介質進行數據提取的專業FLASH數據恢復設備。

（5）智能數據指南針（Data Compass）專業設備：該設備是一款專門針對硬盤邏輯層、固件層、物理層故障數據恢復和數據提取的高智能、高效率的專業設備。

（6）硬盤復制機——DATA COPY KING：該設備是目前全球最先進的全領域硬盤復制產品，融合了硬盤高速復制、數據高速復制、安全擦除和故障自動檢測的高性價比一體設備，硬盤復制機采用了效率源科技2010年最新技術，專為TB級大容量硬盤而設計，最大支持131072TB。硬盤復制速度、擦除速度、對缺陷扇區的數據獲取能力均超過市場同類硬盤復制產品。

與此同時，一些數據恢復公司也先后開發了一些數據恢復軟件，如：EasyRecovery、Anedata、安易數據恢復軟件、Get Data For FAT32/NTFS、WinHex、FinalData、R-studio、Recover my file、易我數據恢復向導、易我分區表醫生、DiskGenius、頂尖數據恢復軟件、效率源數據恢復軟件，等等。

1.1.3 數據恢復需要注意的事項

在數據恢復過程中，應注意以下6點。

（1）在數據恢復過程中最怕被誤操作而造成二次破壞，導致數據恢復的難度陡增。因此，在數據恢復過程中，嚴禁再向要恢復數據的外存儲器中寫入新的數據。

（2）嚴禁做磁盤檢查：一般文件系統出現錯誤后，系統開機進入啟動界面時，會自動提示——是否需要做磁盤檢查？大約10秒后，開始進行磁盤檢查；這種操作有時候可以修復一些比較小的損壞目錄或文件，但是很多時候則會破壞數據鏈表。因為復雜的目錄結構是無法修復的。當修復結束后，會在根目錄下產生以“FOUND.XXX”（其中：XXX為000至999之間的數字）命名的文件夾，文件夾里有大量的以“.CHK”為擴展名的文件。有時候這些文件重命名后就可以直接恢復，而有時候則不能，特別是比較大且不連續存儲的文件。

（3）嚴禁再次格式化邏輯盤或卷：如果再次對邏輯盤或卷進行格式化，將會給數據恢復帶來更大的困難，數據可能無法恢復。

（4）不要把數據直接恢復到源盤上：很多普通客戶刪除文件后，使用數據恢復軟件將恢復出來的文件直接存儲到原來的外存儲器中，這樣破壞原來數據的可能性非常大。因此，嚴禁直接將數據恢復到源盤上。

（5）最好不要使用分區工具重建分區：對分區原理不熟悉的數據恢復人員而言，如果分區被破壞后，最好不要使用分區工具重建分區，這樣很容易破壞分區內的原來文件系統中的重要參數，從而導致數據恢復的難度大大增加。

（6）服務器磁盤陣列丟失后不要重做磁盤陣列重組：在挽救服務器陣列的實踐中遇到過有些網管員，在服務器崩潰后強行讓陣列上線，即使掉線了的硬盤也強制上線，或者直接做Rebuilding命令。這些操作都是非常危險的，任何寫入盤的操作都有可能破壞原來的數據。

總之，當數據丟失后，嚴禁向盤里存入任何新數據。建議關閉計算機，然后把硬盤卸下，連接到別的計算機上作為輔盤，先將該硬盤上的數據通過克隆的方式備份到新的硬盤上，再進行數據恢復操作。

1.1.4 數據恢復應用領域

電子證據第一次出現是在1998年，當時某公安機關網安部門在偵辦某網絡案件時對有關證據進行了提取，并被法院采納。在具體法律規定方面，我國較發達國家而言相對晚一些。一方面在于可以用于證明案件事實的材料都是證據，與案件相關的電子證據自然屬于證據范疇；另一方面在于刑事訴訟法中將證據種類限定為7種，并沒有設定電子證據。2012年3月14日，第十一屆全國人民代表大會第五次會議通過了《關于修改〈中華人民共和國刑事訴訟法〉的決定》。根據該決定，電子證據成為法定證據類型，這適應了現代化技術的發展需要，同時也豐富了證據范圍。

隨著計算機犯罪數量的不斷上升和犯罪手段的數字化，搜集電子證據的工作成為提供重要線索及破案的關鍵。恢復已被破壞的計算機數據并提供相關的電子資料證據就是電子取證。具體來說，電子取證就是利用計算機硬件和軟件技術，以符合國家的法律、法規等方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、保存、分析和出示的過程。從技術方面看，電子取證就是對受侵計算機系統進行掃描和破解，對入侵事件進行重建的過程。

因此，數據恢復不僅能為個人恢復已丟失的數據，同時也應用于公安、檢察院、法院、司法等領域。

1.1.5 數據恢復從業人員

曾經有業內人士對從事數據恢復的人員按其所掌握的理論知識進行過分類，認為數據恢復從業人員可以分為3類，即數據恢復軟件使用人員、理論知識與數據恢復軟件使用相結合人員和數據恢復的“自由王國”人員。

1．數據恢復軟件使用人員

這類人員基本沒有存儲方面的理論基礎，只會操作現有的數據恢復軟件進行數據恢復，數據恢復的效果只能由所操作的數據恢復軟件的功能來決定。

2．理論知識與數據恢復軟件使用相結合人員

這類人員具有深厚的存儲知識理論功底，對文件系統環境及文件結構有相當的了解，熟悉各種數據恢復軟件參數設置的理論含義，可以針對不同的數據丟失情況，進行詳細分析，并制定切實有效的數據恢復方案。在常用的數據恢復軟件無法很好地完成恢復工作時，能夠手工修改部分參數，為數據恢復軟件創造一個良好的環境，從而最大限度地挽救丟失的數據。

3．數據恢復的“自由王國”人員

具備第2類人員的基礎，同時具有良好編程能力，在現有的數據恢復軟件無法勝任恢復要求的情況下，隨時可以自行編寫實用的程序，以彌補現有數據恢復軟件的不足，最大程度、最快速地恢復數據。

成為數據恢復軟件使用人員是很容易的，只要有一定的計算機操作經驗即可，但這也是最危險的，因為數據恢復的成功率不僅取決于數據丟失后的情況，同時也取決于用戶對數據丟失現場的保護程度，見參考文獻[3，前言]。