第1章 概述

1.1 数据恢复

随着信息技术的飞速发展和无纸化办公时代的到来，计算机在人们的工作和生活中扮演着越来越重要的角色。企业、商家、银行、政府机关、事业单位等通过计算机来获取和处理信息，同时也将重要信息以数据的形式保存在计算机的外存储器上。这些数据一旦丢失，将给企业、商家、银行、政府机关、事业单位等造成无法挽回的损失。因此，数据丢失后，能否很好地保护现场并找回丢失的数据就显得十分重要。于是，数据恢复，这个在国外已经使用了二十多年，而在国内却鲜为人知的技术也逐渐被国内人所接触和使用。

1.1.1 数据恢复定义

什么是数据恢复呢？到目前为止，数据恢复还没有一个统一的定义，但有一个大家公认的提法。数据恢复是指外存储器硬件损坏或者用户误操作、误分区、误格式化、误删除文件、计算机病毒破坏等导致存储在外存储器中的数据无法通过正常方式进行存取，只有通过特殊的方式将所需要的数据恢复到正常状态，以便进行正常的存取或将其存储到其他外存储器的过程。

数据恢复一般分为“硬恢复”和“软恢复”两种。所谓“硬恢复”是指外存储器在物理上出现问题而导致数据无法正常读取的恢复；也就是说，由于外存储器出现物理问题所引起的故障，对此类故障进行的数据恢复，一般称为“硬恢复”。而“软恢复”则是指逻辑故障（如：用户误操作、误分区、误格式化、误删除文件、误Ghost、硬件逻辑锁、操作过程中突然掉电、病毒破坏等原因）导致数据无法通过正常的方式进行存取，使得数据发生丢失，而存储介质不存在任何物理故障，对此类故障进行的数据恢复，一般称为“软恢复”。

“硬恢复”需要对存储介质的结构及工作原理相当了解；而“软恢复”则需要对硬盘分区和文件系统等有足够的认知。

1.1.2 常用数据恢复硬件和软件

随着数据恢复行业的逐渐兴起，一些数据恢复公司先后研发了一些数据恢复硬件产品，常用的数据恢复硬件产品如下。

（1）DC一体机计算机取证恢复专业设备：该设备是目前最先进的全球第四代专业数据恢复工具，也是全球首款全功能性数据恢复一体式设备，是一款高智能化专业数据恢复设备；该设备配备了USB接口，在移动性、便携性、功能性等方面表现强悍，其数据恢复以及计算机取证成功率较高。

（2）SDⅡ9000服务器取证专业设备：该设备支持所有品牌的SAS/SCSI接口硬盘，支持所有的文件系统格式、各种服务器磁盘阵列类型、数据库类型等。

（3）SAS/SCSI数据擦除一体机：该设备是SAS/SCSI存储介质数据擦除销毁设备巅峰之作，冠绝全球，兼容所有品牌SAS/SCSI接口硬盘，全面支持IBM、HP、DELL、SUN、联想、浪潮、华硕、曙光、长城、清华同方、方正、天翱、Acer、AblestNet NE等市面上所有品牌服务器，其特点是Windows界面、一体工控键盘设计、操作简单。

（4）FLASH闪存数据恢复大师设备：该设备是一台专门针对U盘、CF卡、记忆棒、录音笔等FLASH存储介质进行数据提取的专业FLASH数据恢复设备。

（5）智能数据指南针（Data Compass）专业设备：该设备是一款专门针对硬盘逻辑层、固件层、物理层故障数据恢复和数据提取的高智能、高效率的专业设备。

（6）硬盘复制机——DATA COPY KING：该设备是目前全球最先进的全领域硬盘复制产品，融合了硬盘高速复制、数据高速复制、安全擦除和故障自动检测的高性价比一体设备，硬盘复制机采用了效率源科技2010年最新技术，专为TB级大容量硬盘而设计，最大支持131072TB。硬盘复制速度、擦除速度、对缺陷扇区的数据获取能力均超过市场同类硬盘复制产品。

与此同时，一些数据恢复公司也先后开发了一些数据恢复软件，如：EasyRecovery、Anedata、安易数据恢复软件、Get Data For FAT32/NTFS、WinHex、FinalData、R-studio、Recover my file、易我数据恢复向导、易我分区表医生、DiskGenius、顶尖数据恢复软件、效率源数据恢复软件，等等。

1.1.3 数据恢复需要注意的事项

在数据恢复过程中，应注意以下6点。

（1）在数据恢复过程中最怕被误操作而造成二次破坏，导致数据恢复的难度陡增。因此，在数据恢复过程中，严禁再向要恢复数据的外存储器中写入新的数据。

（2）严禁做磁盘检查：一般文件系统出现错误后，系统开机进入启动界面时，会自动提示——是否需要做磁盘检查？大约10秒后，开始进行磁盘检查；这种操作有时候可以修复一些比较小的损坏目录或文件，但是很多时候则会破坏数据链表。因为复杂的目录结构是无法修复的。当修复结束后，会在根目录下产生以“FOUND.XXX”（其中：XXX为000至999之间的数字）命名的文件夹，文件夹里有大量的以“.CHK”为扩展名的文件。有时候这些文件重命名后就可以直接恢复，而有时候则不能，特别是比较大且不连续存储的文件。

（3）严禁再次格式化逻辑盘或卷：如果再次对逻辑盘或卷进行格式化，将会给数据恢复带来更大的困难，数据可能无法恢复。

（4）不要把数据直接恢复到源盘上：很多普通客户删除文件后，使用数据恢复软件将恢复出来的文件直接存储到原来的外存储器中，这样破坏原来数据的可能性非常大。因此，严禁直接将数据恢复到源盘上。

（5）最好不要使用分区工具重建分区：对分区原理不熟悉的数据恢复人员而言，如果分区被破坏后，最好不要使用分区工具重建分区，这样很容易破坏分区内的原来文件系统中的重要参数，从而导致数据恢复的难度大大增加。

（6）服务器磁盘阵列丢失后不要重做磁盘阵列重组：在挽救服务器阵列的实践中遇到过有些网管员，在服务器崩溃后强行让阵列上线，即使掉线了的硬盘也强制上线，或者直接做Rebuilding命令。这些操作都是非常危险的，任何写入盘的操作都有可能破坏原来的数据。

总之，当数据丢失后，严禁向盘里存入任何新数据。建议关闭计算机，然后把硬盘卸下，连接到别的计算机上作为辅盘，先将该硬盘上的数据通过克隆的方式备份到新的硬盘上，再进行数据恢复操作。

1.1.4 数据恢复应用领域

电子证据第一次出现是在1998年，当时某公安机关网安部门在侦办某网络案件时对有关证据进行了提取，并被法院采纳。在具体法律规定方面，我国较发达国家而言相对晚一些。一方面在于可以用于证明案件事实的材料都是证据，与案件相关的电子证据自然属于证据范畴；另一方面在于刑事诉讼法中将证据种类限定为7种，并没有设定电子证据。2012年3月14日，第十一届全国人民代表大会第五次会议通过了《关于修改〈中华人民共和国刑事诉讼法〉的决定》。根据该决定，电子证据成为法定证据类型，这适应了现代化技术的发展需要，同时也丰富了证据范围。

随着计算机犯罪数量的不断上升和犯罪手段的数字化，搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据并提供相关的电子资料证据就是电子取证。具体来说，电子取证就是利用计算机硬件和软件技术，以符合国家的法律、法规等方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看，电子取证就是对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。

因此，数据恢复不仅能为个人恢复已丢失的数据，同时也应用于公安、检察院、法院、司法等领域。

1.1.5 数据恢复从业人员

曾经有业内人士对从事数据恢复的人员按其所掌握的理论知识进行过分类，认为数据恢复从业人员可以分为3类，即数据恢复软件使用人员、理论知识与数据恢复软件使用相结合人员和数据恢复的“自由王国”人员。

1．数据恢复软件使用人员

这类人员基本没有存储方面的理论基础，只会操作现有的数据恢复软件进行数据恢复，数据恢复的效果只能由所操作的数据恢复软件的功能来决定。

2．理论知识与数据恢复软件使用相结合人员

这类人员具有深厚的存储知识理论功底，对文件系统环境及文件结构有相当的了解，熟悉各种数据恢复软件参数设置的理论含义，可以针对不同的数据丢失情况，进行详细分析，并制定切实有效的数据恢复方案。在常用的数据恢复软件无法很好地完成恢复工作时，能够手工修改部分参数，为数据恢复软件创造一个良好的环境，从而最大限度地挽救丢失的数据。

3．数据恢复的“自由王国”人员

具备第2类人员的基础，同时具有良好编程能力，在现有的数据恢复软件无法胜任恢复要求的情况下，随时可以自行编写实用的程序，以弥补现有数据恢复软件的不足，最大程度、最快速地恢复数据。

成为数据恢复软件使用人员是很容易的，只要有一定的计算机操作经验即可，但这也是最危险的，因为数据恢复的成功率不仅取决于数据丢失后的情况，同时也取决于用户对数据丢失现场的保护程度，见参考文献[3，前言]。