数据恢复常识

数据恢复常识

磁盘在正常情况下，数据的保存往往是不受重视的。但是，一旦磁盘的软件或硬件部分受到损害，我们的一些重要的数据可能就会永远无法恢复，所以懂一点数据存储和恢复的常识是非常重要的。

数据恢复诚然需要大量的专业知识，但简单的数据恢复却是我们每一个人都能完成的。另外，根据数据的存储原理和存储介质的特性，丢失的数据可以通过专业人员和专业设备得到相当程度的恢复。只是单纯的对存储介质进行覆写，乃至从物理上破坏存储设备，都不能保证数据不会被恢复出来。在一些拥有尖端设备的实验室中，既使被覆盖多次的磁盘，也可能被还原出最早存储在上面的磁性信号。这种情况对那些需要恢复他们宝贵数据的用户来说可能是个令人激动的消息。

本文仅就数据恢复的最基本原理和方法作一些介绍，帮助大家了解磁盘使用的一些好习惯，能进行一点最基本的数据恢复。

●数据的格式化：

硬盘在存储数据之前，一般需经过低级格式化、分区、高级格式化这三个步骤之后才能使用。其作用是在物理硬盘上建立一定的数据逻辑结构。

◇低级格式化的主要功能：

低格一般在出厂前就完成了。它的作用是检测硬盘磁介质，划分磁道，为每个磁道划分扇区，并根据用户选定的交叉因子安排扇区在磁道中的排列顺序等。当硬盘出现了很严重的错误，用分区、高级格式化等方法都无法解决（如病毒等），以及硬盘出现坏道时，可以用低格来清零和屏蔽相关扇区。低格会全部删除数据，较早的低格软件也容易损害硬盘。

◇分区和格式化概念：

新买来的硬盘，就像一张面积相当大的白纸，我们必须把它分成几个区域，这就是分区(DOS下分区命令为Fdisk)。格式化就相当于我们在白纸上打格，这样我们才能整齐、有序的在纸上写字。高级格式化是在分区建立系统启动引导区，建立如FAT32、NTFS的文件系统，以及确定文件簇大小等（DOS下高级格式化命令为Foramt）。

◇RAW：

RAW指未格式化的磁盘（即原始的，未经加工的。RAW也是Windows默认的一种光盘文件系统），一些U盘中毒之后或一些误操作，也可能是系统出些故障，都会使其文件系统变为RAW，硬盘有时由于系统的原因也可能变成这种情况。

●数据恢复的基本前提和原则：

数据恢复通常只能在数据文件删除之后相应存储位置没有写入新数据的情况下进行。所以在数据丢失后，一般不能再对磁盘进行读写操作。因为一旦新的数据写入，

磁粒子极性将无可挽回的被改变从而使得旧有的数据真正意义上被清除。

文件被覆写后，有时虽然能找到文件的文件名及部分真实的数据内容，但文件往往是不能使用的。

首先，数据恢复时应启动其它磁盘上的操作系统来操作，而把数据盘作为从盘来使用。

因为在系统启动后，系统盘及虚拟内存等系统文件所在的磁盘上的被删除数据，有可能会被系统文件所覆盖。另外，同一磁盘的各种其它文件操作也会使丢失的数据容易被覆写。

因此，数据恢复时，可以从另一块硬盘或从U盘、光盘启动系统，在PE或DOS下操作要恢复数据的硬盘。也可以在硬盘启动菜单中选择启动DOS系统来操作，如maxdos 等。

其次，在使用第三方软件进行数据扫描、恢复的时候，不能把恢复出来的数据，直接放置到数据原位置，这样会造成上述的数据覆盖。另外，还要确保保存的位置有足够的容量。

最后，数据恢复时，可以只针对一类或少数几类文件进行恢复，以加快恢复的速度。应着重恢复用户的文档、图片等内容，尽量不对系统文件进行恢复。

●数据恢复的简单原理和方法：

◇删除恢复：

FAT分区中，文件删除无非是在FDT中将第1字符改成“E5”，DATA区将首字节改为“0E”，格式化也不能根本删去。这种数据只要没有经过覆盖，大部分都能正常恢复。

文件恢复软件就是查找并分析磁盘上的文件头，找出其中做过删除标记的文件并尝试重写其被改写的两个代码，以进行数据恢复。文件恢复软件的原理都是大同小异，不同的只是它们对文件头的扫描以及恢复分散存放的文件数据的能力。

系统的分页文件（虚拟内存）通常都会存放在系统分区，而操作系统会随时对其进行读取，也就是说不管我们是否写入新文件，被删除的文件随时都可能被系统写入的数据所覆盖。

完整恢复被新数据覆盖了的文件的可能性是非常渺茫的，所以尽量不要将重要文件存放在系统所在分区。

发现文件被误删后不要再进行保存文件、拷贝文件、下载或者安装等任何可能导致数据被覆盖的操作。尽快使用文件恢复软件进行扫描并尝试进行恢复。

刚删除的文件在FAT表中处于较靠前的位置，如果自己误删了文件又被马上发现，那么在用软件恢复时，可以在扫描了百分几的进度后，就终止扫描，一般都能找到。如果没找到您的目标，可以按此进度（需先“保存进度”）继续扫描，不必从头开始一次。如果您要扫描所有的文件，那么可能会有数万个甚至10多万个已经删除文件的列表。因为不同时期可能产生过使用同一个文件名的几个文件，此时您要找自己想恢复的目标就比较困难了。

NTFS分区中，删除一个文件时，系统至少在三个地方做了改变：

(1)该文件MFT头偏移16H处的字节置0，表示文件被删除。

(2)其父文件夹的INDEX_ROOT属性（90H属性）或者INDEX_ALLOCATION（A0H属性）；

(3)在位图（$Bitmap）元数据文件中把该文件所占用的簇对应的位置置0，表示腾空。

我们要手工恢复数据的话，按照上面原理，可分为下面几步进行：

第一步：首先要找到MFT。

第二步：MFT的第一个文件记录称为基本文件记录（大文件还可能有多个记录），当中存储有其他扩展文件记录的一些信息。

第三步：通过文件记录的INDEX_ROOT索引根、INDEX_ALLOCATION索引分配以及位图Bitmap对被删文件加以确认和定位。找到该文件在数据区中的存储位置。

第四步：恢复该文件。进行数据恢复时，所做的修改，其实并没有写回到原文件属性上。

这就有效的避免了被访文件的再次破坏。

◇格式化恢复：

Format命令也只是重写FAT和DBR，因此分区被误格式化而导致的数据丢失，并没有把DATA区的数据清除（除非你使用了“Format X: /U”全面格式化命令，强制对每一扇区写“F6”）。

硬盘分区虽然也是一种格式化的删除操作，但它也只是建立或修改了MBR和DBR，绝大部分的DATA区的数据并没有被改变，这也是许多硬盘数据能够得以修复的原因。

如果分区改变后要恢复原来的数据，应该先恢复原来的分区表，才进行下一步操作。可用DISKGEN或PTDD等重建分区表，搜出来的分区需要检查大小和位置是否正确。找到了正确的分区后，就可以直接修复了。

但即便如此，MBR，DBR，FAT，DIR之一被破坏的话，我们的数据也无法正常读取。

如果是MBR部分出了问题,即使只是“55AA”标志字丢失或被改为其他值，通常都会出现“无效分区表”、逻辑盘丢失、启动死机等现象。

如果是DBR部分出了问题，通常会出现“未格式化的分区”的错误提示。

当分区出现“未被格式化，是否要将其格式化”提示时，分区若有重要数据则一定不要将其进行格式化，因为格式化后，格式化程序从新建立新的文件系统。此时，可直接用恢复软件进行恢复，也可以用WinHex等工具恢复系统备份的DBR。

DBR备份位置：FAT32分区为DOS逻辑扇区第6扇，NTFS在其分区最后的1扇区。

如果你经常整理磁盘，那么你的数据区的数据可能是连续的，这样即使MBR/FAT/ DIR全部坏了，我们也可以使用磁盘编辑软件只要找到一个文件的起始保存位置，那么这个文件就有可能被恢复。

◇磁盘损坏的恢复：

由于硬盘损坏（缓存写入失败，硬盘文件无法正常读取、删除等）而导致的数据丢失，现阶段无法处理。即便用软件扫描恢复，恢复出来的数据也无法再使用，如：