摘 要:随着人们对计算机使用的熟练操作程度的增加,越来越多的计算机用户已经开始学会了对计算机数据的安全使用及保护。
关键词:硬盘;数据恢复;数据安全
硬盘数据恢复是在硬盘发生故障而不能读取数据,或是人为操作失误及病毒侵袭造成硬盘分区或是数据丢失,使用专门的设备或是硬盘数据恢复软件和技术手段将数据从硬盘上恢复出来的服务。
首先,我们来了解一下相关的概念。硬盘数据恢复是指通过技术手段,将保存在台式机硬盘、笔记本硬盘、服务器硬盘移动硬盘等设备上丢失的电子数据进行抢救和恢复的技术。硬盘维修只是将故障硬盘恢复到正常运转状态,在维修过程中不会考虑数据是否可以保全,在维修完成之后也不会保证数据是否完整,并且通常硬盘维修要对硬盘进行完全的初始化。而硬盘数据恢复是为了将数据完整的读取出来,即使硬盘完全报废不可修复也可将数据恢复出来。
其次,我们再来了解一下硬盘的故障问题。常见故障编辑与数据恢复有关的硬盘故障一般分为逻辑故障和物理故障及人为破坏和病毒破坏。
1、逻辑故障:逻辑故障是指与文件系统有关的故障。硬盘数据的写入和读取,都是通过文件系统来实现的。如果磁盘文件系统损坏,那么计算机就无法找到硬盘上的文件和数据。文件系统的组成部分有:分区表(Partition Table):如果分区表损坏,那么就无法识别磁盘分区或卷;引导扇区或超级块(Boot Sector/Super Block):引导扇区和超级块定义了磁盘分区/卷的最重要的参数;文件索引和其它元数据(Index and Meta data):硬盘上的数据和文件按照一定的结构分布在磁盘上,如果这种结构遭到破坏,那么完整的文件或数据也就不存在了。
2、物理故障:物理故障是指硬盘自身发生硬件损坏,导致硬盘无法正常运转、识别或存取数据。硬盘一般有电路板、固件、磁头、盘片、电机等电子/软件/机械三部分组成,而任一组件都可能发生故障。电路故障(PCB burned):硬盘的电路板烧毁,或硬盘电路板上的控制芯片损坏。由于硬盘电路板使用的都是可编程芯片,所以硬盘电路板的修复不仅仅是“电烙铁”和“焊锡”的工作。还需要使用专门的编程设备;固件损坏(Firm corrupt):固件是控制硬盘正常运转的硬件程序,是硬盘的“大脑”;磁头和电机故障(Head & motor failed):磁头和电机是硬盘的机械组件,位于密闭的、无尘的盘体内部。磁头会老化、变形;电机会烧毁、卡住,这两个组件损坏会使得硬盘彻底报废无法修复,只有使用专门的设备才可恢复数据;盘片损伤(Platter scratch):盘片是保存数据的载体。硬盘在使用过程中,会由于老化或划伤产生坏扇区。
3、人为破坏:有时候我们会不小心删除文件和破坏分区表,这都会造成有效数据的丢失,,这种数据丢失需要借助数据恢复软件或是手工修复来达到数据的恢复。
4、病毒破坏:大多病毒是不会造成数据丢失的,但是少数病毒却会造成硬盘锁死,分区丢失或是数据丢失,这时候不能单纯的使用杀毒软件来清理病毒,否则就会造成数据严重破坏,一般都是通过专门的软件来提起数据之后,才做杀毒处理。
接下来,我们再来看一下如何进行硬盘故障后的数据恢复。
1、逻辑故障数据恢复:逻辑故障是指与文件系统有关的故障。硬盘数据的写入和读取,都是通过文件系统来实现的。如果磁盘文件系统损坏,那么计算机就无法找到硬盘上的文件和数据。逻辑故障造成的数据丢失,大部分情况是可以通过数据恢复软件找回的。
2、硬件故障数据恢复:硬件故障占所有数据意外故障一半以上,常有雷击、高压、高温等造成的电路故障,高温、振动碰撞等造成的机械故障,高温、振动碰撞、存储介质老化造成的物理坏磁道扇区故障,当然还有意外丢失损坏的固件BIOS信息等。硬件故障的数据恢复当然是先诊断,对症下药,先修复相应的硬件故障,然后根据修复其他软故障,最终将数据成功恢复。
3、电路故障需要我们有电路基础,需要更加深入了解硬盘详细工作原理流程。机械磁头故障需要100级以上的工作台或工作间来进行诊断修复工作。另外还需要一些软硬件维修工具配合来修复固件区等故障类型。
4、磁盘阵列RAID数据恢复:磁盘阵列的存储原理这里不作讲解,可参看本站阵列知识文章,其恢复过程也是先排除硬件及软故障,然后分析阵列顺序、块大小等参数,用阵列卡或阵列软件重组或者是使用DiskGenius虚拟重组RAID,重组后便可按常规方法恢复数据。
最后,我们再来看一下数据恢复时的一些技巧。
1、不必完全扫描:如果你仅想找到不小心误删除的文件,无论使用哪种数据恢复软件,也不管它是否具有类似EasyRecovery快速扫描的方式,其实都没必要对删除文件的硬盘分区进行完全的簇扫描。因为文件被删除时,操作系统仅在目录结构中给该文件标上删除标识,任何数据恢复软件都会在扫描前先读取目录结构信息,并根据其中的删除标志顺利找到刚被删除的文件。所以,你完全可在数据恢复软件读完分区的目录结构信息后就手动中断簇扫描的过程,软件一样会把被删除文件的信息正确列出,如此可节省大量的扫描时间,快速找到被误删除的文件数据。
2、尽可能采取NTFS格式分区:NTFS分区的MFT以文件形式存储在硬盘上,这也是EasyRecovery和Recover4all即使使用完全扫描方式对NTFS分区扫描也那么快速的原因——实际上它们在读取NTFS的MFT后并没有真正进行簇扫描,只是根据MFT信息列出了分区上的文件信息,非常取巧,从而在NTFS分区的扫描速度上压倒了老老实实逐个簇扫描的其他软件。不过对于NTFS分区的文件恢复成功率各款软件几乎是一样的,事实证明这种取巧的办法确实有效,也证明了NTFS分区系统的文件安全性确实比FAT分区要高得多,这也就是NTFS分区数据恢复在各项测试成绩中最好的原因,只要能读取到MFT信息,就几乎能100%恢复文件数据。
3、巧妙设置扫描的簇范围:设置扫描簇的范围是一个有效加快扫描速度的方法。像EasyRecovery的高级自定义扫描方式、FinalData和File Recovery的默认扫描方式都可以让你设置扫描的簇范围以缩短扫描时间。当然要判断目的文件在硬盘上的位置需要一些技巧,这里提供一个简单的方法,使用操作系统自带的硬盘碎片整理程序中的碎片分析程序(千万小心不要碎片整理啊,只是用它的碎片分析功能),在分区分析完后程序会将硬盘的未使用空间用图形方式清楚地表示出来,那么根据图形的比例估计这些未使用空间的大致簇范围,搜索时设置只搜索这些空白的簇范围就好了,对于大的分区,这确实能节省不少扫描时间。
4、使用文件格式过滤器:以前没用过数据恢复软件的朋友在第一次使用时可能会被软件的能力吓一跳,你的目的可能只是要找几个误删的文件,可软件却列出了成百上千个以前删除了的文件,要找到自己真正需要的文件确实十分麻烦。这里就要使用EasyRecovery独有的文件格式过滤器功能了,在扫描时在过滤器上填好要找文件的扩展名,如“*.doc”,那么软件就只会显示找到的DOC文件了;如果只是要找一个文件,你甚至只需要在过滤器上填好文件名和扩展名(如important.doc),软件自然会找到你需要的这个文件,很是快捷方便。
参考文献
[1] 鲍通. 基于Web的数据备份与恢复[J]. 硅谷. 2009(08)
[2] 周荃,赵凤英,王崇骏,陈世福. 数据挖掘方法在入侵检测中的应用研究[J]. 模式识别与人工智能. 2008(04)
[3] 孙建华. 硬盘数据恢复技术解析[J]. 电脑知识与技术. 2008(11)
[4] 付合军. 数据恢复技术与信息安全[J]. 光盘技术. 2006(03)
[5] 张晓娟,杨世松. 硬盘数据恢复在信息安全应急响应中的应用[J]. 微计算机信息. 2006(12)
[6] 翁永平. 文件删除终极大法[J]. 网络与信息. 2006(02)