電子數(shù)據(jù)恢復(fù)是指通過(guò)技術(shù)手段，將保存在臺(tái)式機(jī)硬盤、筆記本硬盤、服務(wù)器硬盤、存儲(chǔ)磁帶庫(kù)、移動(dòng)硬盤、U盤、數(shù)碼存儲(chǔ)卡、Mp3等等設(shè)備上丟失的電子數(shù)據(jù)進(jìn)行搶救和恢復(fù)的技術(shù)。

數(shù)據(jù)存儲(chǔ)及恢復(fù)的基本原理

現(xiàn)實(shí)中很多人不知道刪除、格式化等硬盤操作丟失的數(shù)據(jù)可以恢復(fù)，以為刪除、格式化以后數(shù)據(jù)就不存在了。事實(shí)上，上述簡(jiǎn)單操作后數(shù)據(jù)仍然存在于硬盤中，懂得數(shù)據(jù)恢復(fù)原理知識(shí)的人只需幾下便可將消失的數(shù)據(jù)找回來(lái)，不要覺(jué)得不可思議，在了解數(shù)據(jù)在硬盤、優(yōu)盤、軟盤等介質(zhì)上的存儲(chǔ)原理后，你也可以親自做一回魔術(shù)師。

方法

分區(qū)

硬盤存放數(shù)據(jù)的基本單位為扇區(qū)，我們可以理解為一本書(shū)的一頁(yè)。當(dāng)我們裝機(jī)或買來(lái)一個(gè)移動(dòng)硬盤，第一步便是為了方便管理--分區(qū)。無(wú)論用何種分區(qū)工具，都會(huì)在硬盤的第一個(gè)扇區(qū)標(biāo)注上硬盤的分區(qū)數(shù)量、每個(gè)分區(qū)的大小，起始位置等信息，術(shù)語(yǔ)稱為主引導(dǎo)記錄（MBR），也有人稱為分區(qū)信息表。當(dāng)主引導(dǎo)記錄因?yàn)楦鞣N原因（硬盤壞道、病毒、誤操作等）被破壞后，一些或全部分區(qū)自然就會(huì)丟失不見(jiàn)了，根據(jù)數(shù)據(jù)信息特征，我們可以重新推算計(jì)算分區(qū)大小及位置，手工標(biāo)注到分區(qū)信息表，“丟失”的分區(qū)回來(lái)了。

文件分配表

為了管理文件存儲(chǔ)，硬盤分區(qū)完畢后，接下來(lái)的工作是格式化分區(qū)。格式化程序根據(jù)分區(qū)大小，合理的將分區(qū)劃分為目錄文件分配區(qū)和數(shù)據(jù)區(qū)，就像我們看得小說(shuō)，前幾頁(yè)為章節(jié)目錄，后面才是真正的內(nèi)容。文件分配表內(nèi)記錄著每一個(gè)文件的屬性、大小、在數(shù)據(jù)區(qū)的位置。我們對(duì)所有文件的操作，都是根據(jù)文件分配表來(lái)進(jìn)行的。文件分配表遭到破壞以后，系統(tǒng)無(wú)法定位到文件，雖然每個(gè)文件的真實(shí)內(nèi)容還存放在數(shù)據(jù)區(qū)，系統(tǒng)仍然會(huì)認(rèn)為文件已經(jīng)不存在。我們的數(shù)據(jù)丟失了，就像一本小說(shuō)的目錄被撕掉一樣。要想直接去想要的章節(jié)，已經(jīng)不可能了，要想得到想要的內(nèi)容（恢復(fù)數(shù)據(jù)），只能憑記憶知道具體內(nèi)容的大約頁(yè)數(shù)，或每頁(yè)（扇區(qū)）尋找你要的內(nèi)容。我們的數(shù)據(jù)還可以恢復(fù)回來(lái)。

格式化與刪除

我們向硬盤里存放文件時(shí),系統(tǒng)首先會(huì)在文件分配表內(nèi)寫上文件名稱、大小，并根據(jù)數(shù)據(jù)區(qū)的空閑空間在文件分配表上繼續(xù)寫上文件內(nèi)容在數(shù)據(jù)區(qū)的起始位置。然后開(kāi)始向數(shù)據(jù)區(qū)寫上文件的真實(shí)內(nèi)容，一個(gè)文件存放操作才算完畢。

刪除操作卻簡(jiǎn)單的很,當(dāng)我們需要?jiǎng)h除一個(gè)文件時(shí),系統(tǒng)只是在文件分配表內(nèi)在該文件前面寫一個(gè)刪除標(biāo)志,表示該文件已被刪除,他所占用的空間已被"釋放", 其他文件可以使用他占用的空間。所以，當(dāng)我們刪除文件又想找回他（數(shù)據(jù)恢復(fù)）時(shí)，只需用工具將刪除標(biāo)志去掉，數(shù)據(jù)被恢復(fù)回來(lái)了。當(dāng)然，前提是沒(méi)有新的文件寫入，該文件所占用的空間沒(méi)有被新內(nèi)容覆蓋。

格式化操作和刪除相似，都只操作文件分配表，不過(guò)格式化是將所有文件都加上刪除標(biāo)志，或干脆將文件分配表清空，系統(tǒng)將認(rèn)為硬盤分區(qū)上不存在任何內(nèi)容。格式化操作并沒(méi)有對(duì)數(shù)據(jù)區(qū)做任何操作，目錄空了，內(nèi)容還在，借助數(shù)據(jù)恢復(fù)知識(shí)和相應(yīng)工具，數(shù)據(jù)仍然能夠被恢復(fù)回來(lái)。

注意：格式化并不是100%能恢復(fù)，有的情況磁盤打不開(kāi)，需要格式化才能打開(kāi)。如果數(shù)據(jù)重要，千萬(wàn)別嘗試格式化后再恢復(fù)，因?yàn)楦袷交�本身就是�?duì)磁盤寫入的過(guò)程，只會(huì)破壞殘留的信息。

理解覆蓋

數(shù)據(jù)恢復(fù)工程師常說(shuō)：“只要數(shù)據(jù)沒(méi)有被覆蓋，數(shù)據(jù)就有可能恢復(fù)回來(lái)”。

因?yàn)榇疟P的存儲(chǔ)特性，當(dāng)我們不需要硬盤上的數(shù)據(jù)時(shí)，數(shù)據(jù)并沒(méi)有被拿走。刪除時(shí)系統(tǒng)只是在文件上寫一個(gè)刪除標(biāo)志，格式化和低級(jí)格式化也是在磁盤上重新覆蓋寫一遍以數(shù)字0為內(nèi)容的數(shù)據(jù)，這就是覆蓋。

一個(gè)文件被標(biāo)記上刪除標(biāo)志后，他所占用的空間在有新文件寫入時(shí)，將有可能被新文件占用覆蓋寫上新內(nèi)容。這時(shí)刪除的文件名雖然還在，但他指向數(shù)據(jù)區(qū)的空間內(nèi)容已經(jīng)被覆蓋改變，恢復(fù)出來(lái)的將是錯(cuò)誤異常內(nèi)容。同樣文件分配表內(nèi)有刪除標(biāo)記的文件信息所占用的空間也有可能被新文件名文件信息占用覆蓋，文件名也將不存在了。

當(dāng)將一個(gè)分區(qū)格式化后,有拷貝上新內(nèi)容,新數(shù)據(jù)只是覆蓋掉分區(qū)前部分空間,去掉新內(nèi)容占用的空間,該分區(qū)剩余空間數(shù)據(jù)區(qū)上無(wú)序內(nèi)容仍然有可能被重新組織,將數(shù)據(jù)恢復(fù)出來(lái)。

同理，克隆、一鍵恢復(fù)、系統(tǒng)還原等造成的數(shù)據(jù)丟失，只要新數(shù)據(jù)占用空間小于破壞前空間容量，數(shù)據(jù)恢復(fù)工程師就有可能恢復(fù)你要的分區(qū)和數(shù)據(jù)。

硬件故障數(shù)據(jù)恢復(fù)

硬件故障占所有數(shù)據(jù)意外故障一半以上，常有雷擊、高壓、高溫等造成的電路故障，高溫、振動(dòng)碰撞等造成的機(jī)械故障，高溫、振動(dòng)碰撞、存儲(chǔ)介質(zhì)老化造成的物理壞磁道扇區(qū)故障，當(dāng)然還有意外丟失損壞的固件BIOS信息等。

硬件故障的數(shù)據(jù)恢復(fù)當(dāng)然是先診斷，對(duì)癥下藥，先修復(fù)相應(yīng)的硬件故障，然后根據(jù)修復(fù)其他軟故障，最終將數(shù)據(jù)成功恢復(fù)。

電路故障需要我們有電路基礎(chǔ),需要更加深入了解硬盤詳細(xì)工作原理流程。機(jī)械磁頭故障需要100級(jí)以上的工作臺(tái)或工作間來(lái)進(jìn)行診斷修復(fù)工作。另外還需要一些軟硬件維修工具配合來(lái)修復(fù)固件區(qū)等故障類型。

磁盤陣列RAID數(shù)據(jù)恢復(fù)

磁盤陣列的存儲(chǔ)原理這里不作講解，可參看本站陣列知識(shí)文章，其恢復(fù)過(guò)程也是先排除硬件及軟故障，然后分析陣列順序、塊大小等參數(shù)，用陣列卡或陣列軟件重組，重組后便可按常規(guī)方法恢復(fù)數(shù)據(jù)。

常見(jiàn)數(shù)據(jù)恢復(fù)種類

硬盤數(shù)據(jù)恢復(fù)

硬盤軟故障：系統(tǒng)故障：系統(tǒng)不能正常啟動(dòng)、密碼或權(quán)限丟失、分區(qū)表丟失、BOOT區(qū)丟失、MBR丟失； 文件丟失：誤操作、誤格式化、誤克隆、誤刪除、誤分區(qū)、病毒破壞、黑客攻擊、PQ操作失敗、RAID磁盤陣列失效等； 文件損壞：損壞的Office系列Word、Excel、Access、PowerPoint文件Microsoft SQL數(shù)據(jù)庫(kù)復(fù)、Oracle數(shù)據(jù)庫(kù)文件修復(fù)、Foxbase/foxpro的dbf數(shù)據(jù)庫(kù)文件修復(fù)；損壞的郵件Outlook Express dbx文件，Outlook pst文件的修復(fù)；損壞的MPEG、asf、RM等媒體文件的修復(fù)。

硬盤物理故障

CMOS不認(rèn)盤； 常有一種“咔嚓咔嚓”的磁頭撞擊聲； 電機(jī)不轉(zhuǎn)，通電后無(wú)任何聲音； 磁頭錯(cuò)位造成讀寫數(shù)據(jù)錯(cuò)誤；啟動(dòng)困難、經(jīng)常死機(jī)、格式化失敗、讀寫困難； 自檢正常，但“磁盤管理”中無(wú)法找到該硬盤；電路板有明顯的燒痕等。 磁盤物理故障分類： 盤體故障：磁頭燒壞、磁頭老化、磁頭芯片損壞、電機(jī)損壞、磁頭偏移、零磁道壞、大量壞扇、盤片劃傷、磁組變形； 電路板故障：電路板損壞、芯片燒壞、斷針斷線。固件信息丟失、固件損壞等。

U盤數(shù)據(jù)恢復(fù)

U盤,優(yōu)盤,XD卡,SD卡,CF卡,MEMORY STICK,,SM卡,MMC卡,MP3,MP4,記憶棒，數(shù)碼相機(jī)，DV，微硬盤，光盤,軟盤等各類存儲(chǔ)設(shè)備。硬盤，移動(dòng)盤，閃盤，SD卡、CF卡等數(shù)據(jù)介質(zhì)損壞或出現(xiàn)電路板故障、磁頭偏移、盤片劃傷等情況 下，采用開(kāi)體更換，加載，定位等方法進(jìn)行數(shù)據(jù)修復(fù)。

常用數(shù)據(jù)恢復(fù)軟件：

效率源DATACOMPASS、salvtiondata、PC-3000、Final Data、 Easy Recovery、easy undelete、PTDD、WinHex、R-STUDIO、DiskGenius、RAID Reconstructor、易我數(shù)據(jù)恢復(fù)向?qū)У取?SPAN lang=EN-US>

Easyrecovery是一個(gè)非常著名的老牌數(shù)據(jù)恢復(fù)軟件。該軟件功能可以說(shuō)是非常強(qiáng)大。無(wú)論是誤刪除/格式化還是重新分區(qū)后的數(shù)據(jù)丟失，其都可以輕松解決，其甚至可以不依靠分區(qū)表來(lái)按照簇來(lái)進(jìn)行硬盤掃描。但要注意不通過(guò)分區(qū)表來(lái)進(jìn)行數(shù)據(jù)掃描，很可能不能完全恢復(fù)數(shù)據(jù)，原因是通常一個(gè)大文件被存儲(chǔ)在很多不同的區(qū)域的簇內(nèi)，即使我們找到了這個(gè)文件的一些簇上的數(shù)據(jù)，很可能恢復(fù)之后的文件是損壞的。所以這種方法并不是萬(wàn)能的，但其提供給我們一個(gè)新的數(shù)據(jù)恢復(fù)方法，適合分區(qū)表嚴(yán)重?fù)p壞使用其他恢復(fù)軟件不能恢復(fù)的情況下使用。Easyrecovery最新版本加入了一整套檢測(cè)功能，包括驅(qū)動(dòng)器測(cè)試、分區(qū)測(cè)試、磁盤空間管理以及制作安全啟動(dòng)盤等。這些功能對(duì)于日常維護(hù)硬盤數(shù)據(jù)來(lái)說(shuō)，非常實(shí)用，我們可以通過(guò)驅(qū)動(dòng)器和分區(qū)檢測(cè)來(lái)發(fā)現(xiàn)文件關(guān)聯(lián)錯(cuò)誤以及硬盤上的壞道。

R-Studio 是功能超強(qiáng)的數(shù)據(jù)恢復(fù)、反刪除工具，采用全新恢復(fù)技術(shù)，為使用 FAT12/16/32、NTFS、NTFS5(Windows 2000系統(tǒng))和 Ext2FS(Linux系統(tǒng))分區(qū)的磁盤提供完整數(shù)據(jù)維護(hù)解決方案！同時(shí)提供對(duì)本地和網(wǎng)絡(luò)磁盤的支持，此外大量參數(shù)設(shè)置讓高級(jí)用戶獲得最佳恢復(fù)效果。具體功能有：采用 Windows資源管理器操作界面；通過(guò)網(wǎng)絡(luò)恢復(fù)遠(yuǎn)程數(shù)據(jù)(遠(yuǎn)程計(jì)算機(jī)可運(yùn)行Win95/98/ME/NT/2000/XP、Linux、UNIX 系統(tǒng))；支持 FAT12/16/32、NTFS、NTFS5 和 Ext2FS文件系統(tǒng)；能夠重建損毀的RAID陣列；為磁盤、分區(qū)、目錄生成鏡像文件；恢復(fù)刪除分區(qū)上的文件、加密文件(NTFS 5)、數(shù)據(jù)流(NTFS、NTFS 5)；恢復(fù)FDISK或其它磁盤工具刪除過(guò)得數(shù)據(jù)、病毒破壞的數(shù)據(jù)、MBR 破壞后的數(shù)據(jù)；識(shí)別特定文件名；把數(shù)據(jù)保存到任何磁盤;瀏覽、編輯文件或磁盤內(nèi)容等等。

數(shù)據(jù)恢復(fù)的技巧

1.不必完全掃描

如果你僅想找到不小心誤刪除的文件，無(wú)論使用哪種數(shù)據(jù)恢復(fù)軟件，也不管它是否具有類似EasyRecovery快速掃描的方式，其實(shí)都沒(méi)必要對(duì)刪除文件的硬盤分區(qū)進(jìn)行完全的簇掃描。因?yàn)槲募�被刪除時(shí)，操作系統(tǒng)僅在目錄結(jié)構(gòu)中給該文件標(biāo)上刪除標(biāo)識(shí)，任何數(shù)據(jù)恢復(fù)軟件都會(huì)在掃描前先讀取目錄結(jié)構(gòu)信息，并根據(jù)其中的刪除標(biāo)志順利找到剛被刪除的文件。所以，你完全可在數(shù)據(jù)恢復(fù)軟件讀完分區(qū)的目錄結(jié)構(gòu)信息后就手動(dòng)中斷簇掃描的過(guò)程，軟件一樣會(huì)把被刪除文件的信息正確列出，如此可節(jié)省大量的掃描時(shí)間，快速找到被誤刪除的文件數(shù)據(jù)。

2.盡可能采取NTFS格式分區(qū)

NTFS分區(qū)的MFT以文件形式存儲(chǔ)在硬盤上，這也是EasyRecovery和Recover4all即使使用完全掃描方式對(duì)NTFS分區(qū)掃描也那么快速的原因——實(shí)際上它們?cè)谧x取NTFS的MFT后并沒(méi)有真正進(jìn)行簇掃描，只是根據(jù)MFT信息列出了分區(qū)上的文件信息，非常取巧，從而在NTFS分區(qū)的掃描速度上壓倒了老老實(shí)實(shí)逐個(gè)簇掃描的其他軟件。不過(guò)對(duì)于NTFS分區(qū)的文件恢復(fù)成功率各款軟件幾乎是一樣的，事實(shí)證明這種取巧的辦法確實(shí)有效，也證明了NTFS分區(qū)系統(tǒng)的文件安全性確實(shí)比FAT分區(qū)要高得多，這也就是NTFS分區(qū)數(shù)據(jù)恢復(fù)在各項(xiàng)測(cè)試成績(jī)中最好的原因，只要能讀取到MFT信息，就幾乎能100%恢復(fù)文件數(shù)據(jù)。

3.巧妙設(shè)置掃描的簇范圍

設(shè)置掃描簇的范圍是一個(gè)有效加快掃描速度的方法。像EasyRecovery的高級(jí)自定義掃描方式、FinalData和File Recovery的默認(rèn)掃描方式都可以讓你設(shè)置掃描的簇范圍以縮短掃描時(shí)間。當(dāng)然要判斷目的文件在硬盤上的位置需要一些技巧，這里提供一個(gè)簡(jiǎn)單的方法，使用操作系統(tǒng)自帶的硬盤碎片整理程序中的碎片分析程序（千萬(wàn)小心不要碎片整理啊，只是用它的碎片分析功能），在分區(qū)分析完后程序會(huì)將硬盤的未使用空間用圖形方式清楚地表示出來(lái)，那么根據(jù)圖形的比例估計(jì)這些未使用空間的大致簇范圍，搜索時(shí)設(shè)置只搜索這些空白的簇范圍就好了，對(duì)于大的分區(qū)，這確實(shí)能節(jié)省不少掃描時(shí)間。

4.使用文件格式過(guò)濾器

以前沒(méi)用過(guò)數(shù)據(jù)恢復(fù)軟件的朋友在第一次使用時(shí)可能會(huì)被軟件的能力嚇一跳，你的目的可能只是要找?guī)讉�(gè)誤刪的文件，可軟件卻列出了成百上千個(gè)以前刪除了的文件，要找到自己真正需要的文件確實(shí)十分麻煩。這里就要使用EasyRecovery獨(dú)有的文件格式過(guò)濾器功能了，在掃描時(shí)在過(guò)濾器上填好要找文件的擴(kuò)展名，如“*.doc”，那么軟件就只會(huì)顯示找到的DOC文件了；如果只是要找一個(gè)文件，你甚至只需要在過(guò)濾器上填好文件名和擴(kuò)展名（如important.doc），軟件自然會(huì)找到你需要的這個(gè)文件，很是快捷方便。