苏鹏冲

中国人民公安大学 北京 100038

0 引言

当前政府部门办公、事业单位运转、企业公司经营等等，都离不了计算机数据的支持，而计算机数据本身是易丢失或易破坏的，一方面是人为有意的操作，即不法人员为了隐瞒一些真相，特意对数据进行删除或格式化操作；另一方面是非有意的删除，比如电脑突然死机或者断电后的硬盘数据丢失、系统崩盘、误操作导致U盘等介质重要文件删除等。因此探究数据丢失的原因，按原因不同而按不同方法恢复数据尤为必要。

1 数据恢复定义

数据恢复简单说来就是找回丢失的数据，具体说来是把遭受破坏、误操作、或由硬件缺陷导致的丢失数据还原成正常数据。

造成数据丢失的原因多种多样，比如硬件问题中的磁头损坏、电路故障、固件损坏，再比如软件问题中的操作系统或应用软件错误、人为误删除以及恶意程序导致的文件损坏或丢失等等。

数据抢救的对象一般是硬盘、U盘等数据载体，一切涉及硬件修理、由硬件损坏或失效造成的数据恢复均归入硬恢复，如磁道损坏、磁盘划伤、磁组损坏、主电机损坏、电路板芯片及其他原器件烧坏等，这就涉及到存储介质本身需要进行修理或更换部件，才可以正常地进行访问；而如病毒感染、误格式化、误分区、误克隆、误操作、网络删除、操作时断电等，其现象一般表现为无操作系统，读盘错误，文件找不到、打不开，报告无分区、未格式化、密码丢失、乱码等，这些问题的解决归于软恢复，可以尝试用恢复软件等措施来进行恢复。

2 数据恢复作用及意义

数据恢复是从计算机安全与计算机维护发展起来的新领域。随着计算机在各个行业和各个领域大量广泛的应用，保护数据安全日益为人们所重视。在对计算机应用的过程中，病毒的破坏、黑客的入侵、人为误操作、人为恶意破坏、系统的不稳定、存储介质的损坏等等原因，都有可能造成重要数据的丢失。一旦数据出现丢失或者损坏，都将给企业和个人带来巨大的损失。对于企业，客户资料、技术文件、财务帐务等数据的损毁，将会导致企业陷人困境甚至有倒闭的危险；对于个人，数据已经成为我们工作、生活中不可缺少的因素，数据的丢失会严重影响我们的工作、生活质量。

网络的普及带动了信息化的大发展，共享的信息化程度越高，数据备份和恢复措施就越重要。当无法预计的各种事故或灾难导致数据丢失时，如果能够及时采取数据恢复措施，保护业务系统数据的完整性与安全性，保证业务系统的连续可用，就可以将企业或组织的损失降低到最低，维护好自身利益。

3 数据恢复技术的分类

数据恢复技术可以归纳为四种主要的分类方法，按恢复对象类别来分，按数据的存储介质来分，按数据的文件的格式来分和按数据恢复的方法来分。

3.1 按恢复对象类别分类

硬恢复，指的是由于硬件故障所造成的数据丢失，如磁盘电路板损坏、盘体坏、磁道坏、磁盘片损坏、硬盘内部系统区严重损坏等，这种情况几乎都会出现系统不认盘或认盘困难等症状，恢复起来难度较大，必须更换或修复硬件才能达到恢复数据的方法，如果是内部盘片数据区严重划伤，会造成数据彻底丢失，而无法恢复数据。

软恢复，指的是存储系统，或操作系统，或文件系统层次上的数据丢失，这种丢失是多方面的，如系统软硬件故障、死机、病毒破坏、黑客攻击、木马破坏、误操作、阵列数据丢失等等。这方面的主要难点是：文件碎片的恢复处理、文档修复和密码恢复。

3.2 按数据的存储介质分类

数据恢复技术按数据的存储介质来分类，可以分为硬盘数据恢复技术、软盘数据恢复技术、光盘数据恢复技术、U盘(闪存盘)数据恢复技术、数码卡(如：SD、CF卡等)数据恢复技术、RAID(磁盘阵列)数据恢复技术和网络存储设备(DAS直接附加存储、NAS网络附加存储、SAN存储区域网络)数据恢复技术。

3.3 按数据的文件的格式分类

鉴于各种操作系统的文件格式不同，如Window的FTA与NTFS 两种文件格式，Linux下的ext2等，数据恢复技术又可分为Windows下的数据恢复技术、UNIX/Linux系统的数据恢复技术、苹果MAC OS系统的数据恢复技术及数据库修复技术。

3.4 按数据恢复的方法分类

数据恢复技术按数据恢复的方法来分类, 可分为软恢复法和物理恢复法。软恢复法就是用数据恢复软件或手工编写恢复程序和更改某些设置达到恢复数据的方法。物理恢复法是数据的存储介质硬件发生了物理损坏，必须更换或修复硬件才能达到恢复数据的方法。

4 数据恢复的实施

分析数据丢失的众多原因，我们遇到的最多的情况一是硬件方面的原因，二就是软件方面的原因。因此在这里我们重点关注硬盘物理上的数据恢复和软恢复。值得注意的是在真实恢复案例中，通常情况下不能直接进行更改和恢复硬盘上的数据，需要通过硬盘复制机拷贝到副本硬盘，然后对副本硬盘进行数据恢复。

4.1 硬盘物理上的数据恢复

(1) 硬盘坏扇区的数据恢复

硬盘被分割为以扇区为单位的存储单元用于存储数据。每个硬盘都有成千上万的扇区。坏扇区是计算机硬盘中无法写入数据的地方，几乎所有的硬盘都有一些坏扇区。硬盘在存储数据前，其中的坏扇区被标记出来以使计算机不在这些扇区中写入数据。可通过运行scandisk来达到这一目的。

通常坏扇区有两种类型：一种为硬盘格式化时由于磨损而产生的软损坏扇区。可将它们标记出来或通过再次格式化来修复；另一种是无法修复的物理损坏，数据将永远无法写入到这种扇区中。如果硬盘中有这种坏扇区，这块硬盘就快寿终正寝了。

为避免由于坏扇区而造成损失，应该每隔6个月进行一次检测，同时，应避免硬盘受到撞击或颠簸。如果有一些连续的坏扇区，则表示硬盘磨损得已经很厉害了。如果坏扇区的数量增长很快，最好将全部数据备份并严密地监视其工作情况，这也许是更换硬盘的时候了。

(2) 硬盘固件

所谓固件(Firmware)就是写入EROM或EPROM(可编程只读存储器)中的程序，通俗的理解就是“固化的软件”。更简单的说，Firmware就是BIOS的软件，但又与普通软件完全不同，它是固化在集成电路内部的程序代码，负责控制和协调集成电路的功能。

硬盘的固件出现问题后，通常情况下会有在计算机的BOIS里无法识别硬盘、无法识别硬盘的容量、型号出现乱码等异常现象，而造成这些现象的原因是由于突然断电及坏扇区等，造成固件信息的丢失或损坏，从而导致硬盘无法识别或误认，致使数据无法正常读取。

固件本身主要是由相应的模块构成的，这些模块就是硬盘自身运行的指令集，而模块其实也是文件，并且有自身的结构。固件如果出现故障，究其原因也就是某些模块损坏了，硬盘的模块有些是可以用相同型号硬盘中的同类模块替换的，而有些则不能随便替换。对于能够替换的模块，可以找到一块跟故障盘同型号的好盘，将其相应的模块备份出来，然后写入故障盘覆盖掉损坏的模块就可以了。对于不能替换的模块，可以采用修复的方法将其修好。当损坏的模块被替换或修复后，故障盘的固件也就修好了。

在日常分析硬盘时，经常会遇到经过全盘加密的硬盘，或者由于固件损坏导致无法正常读取的硬盘，这些都需要我们通过专业的设备进行改写固件。当前中比较流行的设备有PC-3000、效率源、HRT等。

4.2 软恢复

(1) 主引导记录(MBR)的恢复

计算机在运行中突然断电、非法关机、非法重启或者计算机病毒的破坏都会导致硬盘MBR扇区损坏。MBR扇区不随操作系统的不同而改变，即不同的操作系统可能会存在相同的MBR，即使不同，MBR也不会夹带操作系统的性质，具有公共引导的特性。所以要恢复MBR扇区就变得很简单。

MBR扇区的结构由引导代码、分区表、结束标志三部分组成，所以恢复MBR也就需要分别恢复这三个结构。MBR的引导代码具有公共引导特性，那么就可以到另一块硬盘的MBR扇区中复制这段代码，粘贴到该硬盘即可。

(2) 删除文件的恢复

文件被删除后，如果目录项或$MFT记录、文件数据区域都没有被覆盖的，可以通过恢复软件在列表里直接恢复，在实际的应用中一般结合文件过滤功能，快速定位出所有被删除的文件。

文件被删除后，目录项或$MFT记录已经被覆盖，但文件数据区域还完整存在介质中的，也就是无法在数据恢复软件的列表里直接查看到被删除的文件名称，这种情况下就需要熟悉特定类型文件的签名特征，再根据文件的签名特征进行数据恢复，这个恢复过程可以通过很多方式进行实现，包括第三方数据恢复软件和专业的取证分析软件，当然也可以通过新建关键词的方式进行定位相关文件签名特征的存储位置，再进行手工恢复文件。

另外，在某些情况下，有些数据是经过特殊处理的，即经过了特殊处理，变成了文件里内嵌另外一种类型的文件。如一张jpg图片嵌套在一个Word文件里，这就需要通过jpg的头部签名特征进行搜索，找到该图片文件。

(3) 分区格式化和分区丢失的恢复

在人们使用计算机的过程中，经常会发生对分区进行了误格式化，或者由于人为恶意的破坏、意外断电导致分区表无法读取、指向错误，主引导记录的结束标识符丢失等。无论是分区格式化或者分区丢失，我们通常都可以利用各种恢复工具进行恢复数据，包括有FinalData、EasyRecovery等。

(4) 残缺文件的修复

在数据恢复过程中，通过前面的恢复操作会得到大量被删除的数据。一般情况下大部分可以正常访问，但也经常遇到一些被恢复的文件是不能直接打开的，即文件有些残缺。另外，在计算机的使用过程中，由于病毒、误操作、突然断电、或各种用户不知道的原因，导致文件或资料不能打开是经常遇到的情况。前面提到的各种残缺数据，都需要用到文件的修复技术。文件的修复可以通过很多工具来完成，如前面提到的FinalData、EasyRecovery、Adroit图片修复工具等等。

5 结束语

数据恢复可以说是一个工程，对于复杂的数据损坏情况，要恢复不是靠一两种软件就可以完成，往往需要数个工程师依靠经验，辅以各种硬件恢复工具、恢复软件才能恢复好数据。数据恢复是出现问题之后的一种补救措施，既不是预防措施，也不是备份，在一些特殊情况下数据将很难被恢复，如数据被覆盖、低级格式化清零、磁盘盘片严重损伤等，所以最好的防治数据丢失、恢复数据的手段是对重要的数据养成备份的好习惯。

[1] 鲍丽春.计算机数据恢复技术探讨[J].报理论与实践.2012.

[2] 李晓中,乔晗,马鑫.数据恢复原理与实践[M].北京：国防工业出版社.2011.

[3] 马丁.数据恢复与取证[M].内部资料.2011.

[4] 鲁恩铭.硬盘格式化数据恢复技术研究与实现[D].四川师范大学.2008.