对于数据恢复,很多人会由于不了解数据存储的底层原理,往往容易产生两个认知上的极端:一种是遇到类似情况即认为数据已经彻底丢失,从未听说或考虑是否还有可能进行恢复;另一种情况是把数据恢复当做万能的技术,认为不管什么情况,数据恢复工程师都可以把数据“完整无缺”地恢复到原来的程度。这两种认识都是不完全的。对于逻辑问题而言:
操作系统在对文件进行删除操作时,根据使用的文件系统的不同会进行不同的删除操作,一般是对该文件的元数据做了相应的改动----做删除标记,清空文件链表等,而文件真正占用的空间在被新的数据覆盖前是不会发生变化的。所以说,仍然有被恢复的可能。
误分区数据恢复。所谓的误分区是指删除原来的分区并重新建立了新的分区。根据不同的操作系统和平台,分区操作一般只对主引导扇区、引导扇区或磁盘标签等位置做相应的操作,不会对数据区产生破坏。因此,如果只是做了分区操作而并没有进行格式化操作,基本上数据可以完整的恢复。
误格式化数据恢复。误格式化的破坏性则因格式化前所使用的文件系统的不同而不同,也与使用哪种文件系统进行了格式化有关系,情况比较复杂。但总体来讲,恢复的可能性仍然是存在的。
误克隆数据恢复。误克隆,一般指的是使用ghost软件对它所支持的文件系统分区或磁盘进行恢复操作时因操作不当而造成的分区错误(较典型的是硬盘上原来有多个分区误操作后整个磁盘变成一个分区),或进行克隆操作时目标位置选择错误造成目标位置的数据丢失等。误克隆后的数据恢复成功率也受各种因素的制约,情况比较好时有可能100%恢复,但也不排除有彻底无法恢复的情况。
病毒破坏数据恢复。病毒破坏的情况更为复杂,有的病毒只是恶作剧地对数据的元数据做小小的改动,对操作系统进行欺骗以使操作系统认为该数据已被删除而不对其进行显示,但该数据的存储链表、数据内容则不会有任何的变化,数据可以完好无损地被恢复;也有的病毒会对数据进行类似于操作系统的删除操作;甚至有的病毒会对数据的存储管理方式进行加密操作,一旦有杀毒软件介入进行杀毒操作后,原有的被加密的数据将无法被正确地读取。
数据在介质内的存储方式非常复杂,数据存储的方式、丢失的原因,数据丢失后是否被及时发现以及进行了哪些后续操作,都直接或间接地对数据是否能够挽回、能够挽回多少产生着重大的影响。
误删除、误分区、误格式化、误克隆、病毒破坏后的数据恢复的结果一般为有以下几情况:
1、 数据100%被恢复
在某些情况下,如只是分区表或分区引导记录或磁盘标签(根据平台以及操作系统和文件系统的不同而异)出现错误,进行数据管理的元数据以及数据内容部分没有被破坏的情况下,很大程度上可以100%恢复数据;
2、 数据被部分恢复
因为各种文件系统对数据的存储方式不同,所以当发生数据被删除、分区被格式化等情况时,数据恢复的成功率存在着很大的差异。例如FAT32文件系统,在目录项中使用高位与低位两部分记录一个文件或目录的起始簇号位置,当文件或目录被删除时,记录起始簇号的高位会被清零,只剩余低位的数字表示的数据起始位置当然与数据实际所在的位置不同了,这就加大的恢复数据时的难度,有时甚至是致命的。而且FAT32使用FAT表链记录文件所占用的数据块间的关系,删除操作会清空被删除文件的FAT表链,而格式化操作则会对整个FAT表进行清空,失去FAT表的数据就象是一盘散沙一样,如果一个文件存在碎片(即被分为几个部分存储在几个不连续的位置),则很难再重新组织到一起。
5、 数据彻底丢失,无法恢复
这种情况通常出现在数据丢失后,进行了不正确的处理方式,如继续向丢失数据的存储介质中写入数据、非专业数据恢复人士的错误恢复处理等,一旦因错误操作而导致数据被覆盖,则很难再得到恢复。即使有恢复的可能,费用也不是一般的民用级别所能够承受的。
一、 误删除、误分区、误格式化、误克隆、病毒破坏后的数据是有可能被恢复的。
操作系统在对文件进行删除操作时,根据使用的文件系统的不同会进行不同的删除操作,一般是对该文件的元数据做了相应的改动----做删除标记,清空文件链表等,而文件真正占用的空间在被新的数据覆盖前是不会发生变化的。所以说,仍然有被恢复的可能。
误分区数据恢复。所谓的误分区是指删除原来的分区并重新建立了新的分区。根据不同的操作系统和平台,分区操作一般只对主引导扇区、引导扇区或磁盘标签等位置做相应的操作,不会对数据区产生破坏。因此,如果只是做了分区操作而并没有进行格式化操作,基本上数据可以完整的恢复。
误格式化数据恢复。误格式化的破坏性则因格式化前所使用的文件系统的不同而不同,也与使用哪种文件系统进行了格式化有关系,情况比较复杂。但总体来讲,恢复的可能性仍然是存在的。
误克隆数据恢复。误克隆,一般指的是使用ghost软件对它所支持的文件系统分区或磁盘进行恢复操作时因操作不当而造成的分区错误(较典型的是硬盘上原来有多个分区误操作后整个磁盘变成一个分区),或进行克隆操作时目标位置选择错误造成目标位置的数据丢失等。误克隆后的数据恢复成功率也受各种因素的制约,情况比较好时有可能100%恢复,但也不排除有彻底无法恢复的情况。
病毒破坏数据恢复。病毒破坏的情况更为复杂,有的病毒只是恶作剧地对数据的元数据做小小的改动,对操作系统进行欺骗以使操作系统认为该数据已被删除而不对其进行显示,但该数据的存储链表、数据内容则不会有任何的变化,数据可以完好无损地被恢复;也有的病毒会对数据进行类似于操作系统的删除操作;甚至有的病毒会对数据的存储管理方式进行加密操作,一旦有杀毒软件介入进行杀毒操作后,原有的被加密的数据将无法被正确地读取。
二、 数据丢失后,并不是所有的情况下都可以100%地被恢复。
数据在介质内的存储方式非常复杂,数据存储的方式、丢失的原因,数据丢失后是否被及时发现以及进行了哪些后续操作,都直接或间接地对数据是否能够挽回、能够挽回多少产生着重大的影响。
误删除、误分区、误格式化、误克隆、病毒破坏后的数据恢复的结果一般为有以下几情况:
1、 数据100%被恢复
在某些情况下,如只是分区表或分区引导记录或磁盘标签(根据平台以及操作系统和文件系统的不同而异)出现错误,进行数据管理的元数据以及数据内容部分没有被破坏的情况下,很大程度上可以100%恢复数据;
2、 数据被部分恢复
因为各种文件系统对数据的存储方式不同,所以当发生数据被删除、分区被格式化等情况时,数据恢复的成功率存在着很大的差异。例如FAT32文件系统,在目录项中使用高位与低位两部分记录一个文件或目录的起始簇号位置,当文件或目录被删除时,记录起始簇号的高位会被清零,只剩余低位的数字表示的数据起始位置当然与数据实际所在的位置不同了,这就加大的恢复数据时的难度,有时甚至是致命的。而且FAT32使用FAT表链记录文件所占用的数据块间的关系,删除操作会清空被删除文件的FAT表链,而格式化操作则会对整个FAT表进行清空,失去FAT表的数据就象是一盘散沙一样,如果一个文件存在碎片(即被分为几个部分存储在几个不连续的位置),则很难再重新组织到一起。
3、 数据恢复后目录结构混乱或丢失
很多时候,数据丢失后没有被及时发现、发现后仍然向存储介质中写入数据以及克隆等直接覆盖式的写入造成的数据丢失,或者存储结构的链接关系被破坏等都会导致某些目录结构丢失。而目录结构丢失的情况下也有可能会致使存储于其中的文件丢失。
4、 所有目录结构全部丢失,只能根据所需要的文件类型的特征进行恢复,恢复出的文件无文件名
这是最糟糕的情况(当然比完全无法恢复要好些),如果在存放数据时没有很好地为数据建立适当的文件夹,或者目录结构、元数据遭受到非常严重的破坏,则只能根据需要的文件类型(如word文档、电子表格等)进行恢复。从理论意义上讲,这种恢复是可行的,因为数据内容部分很有可能是完好的,但因为存储其文件名的上级目录结构或元数据遭到破坏,所以是没有文件名的。而从实际使用意义上讲,如果数据量非常大且比较繁杂的情况下,因恢复出来的数据没有文件名而难以在短时间内整理归类,对于急用的数据而言可能会意义不大,但对于绝对不可丢失或长期保存的资料性、纪念性数据还是非常有意义的。
很多时候,数据丢失后没有被及时发现、发现后仍然向存储介质中写入数据以及克隆等直接覆盖式的写入造成的数据丢失,或者存储结构的链接关系被破坏等都会导致某些目录结构丢失。而目录结构丢失的情况下也有可能会致使存储于其中的文件丢失。
4、 所有目录结构全部丢失,只能根据所需要的文件类型的特征进行恢复,恢复出的文件无文件名
这是最糟糕的情况(当然比完全无法恢复要好些),如果在存放数据时没有很好地为数据建立适当的文件夹,或者目录结构、元数据遭受到非常严重的破坏,则只能根据需要的文件类型(如word文档、电子表格等)进行恢复。从理论意义上讲,这种恢复是可行的,因为数据内容部分很有可能是完好的,但因为存储其文件名的上级目录结构或元数据遭到破坏,所以是没有文件名的。而从实际使用意义上讲,如果数据量非常大且比较繁杂的情况下,因恢复出来的数据没有文件名而难以在短时间内整理归类,对于急用的数据而言可能会意义不大,但对于绝对不可丢失或长期保存的资料性、纪念性数据还是非常有意义的。
5、 数据彻底丢失,无法恢复
这种情况通常出现在数据丢失后,进行了不正确的处理方式,如继续向丢失数据的存储介质中写入数据、非专业数据恢复人士的错误恢复处理等,一旦因错误操作而导致数据被覆盖,则很难再得到恢复。即使有恢复的可能,费用也不是一般的民用级别所能够承受的。
本文转自老骥伏枥51CTO博客,原文链接:
http://blog.51cto.com/sjhfml/130665
,如需转载请自行联系原作者