馬玉磊

摘 要：隨著人們對計算機使用的熟練操作程度的增加，越來越多的計算機用戶已經(jīng)開始學(xué)會了對計算機數(shù)據(jù)的安全使用及保護(hù)。

關(guān)鍵詞：硬盤；數(shù)據(jù)恢復(fù)；數(shù)據(jù)安全

硬盤數(shù)據(jù)恢復(fù)是在硬盤發(fā)生故障而不能讀取數(shù)據(jù)，或是人為操作失誤及病毒侵襲造成硬盤分區(qū)或是數(shù)據(jù)丟失，使用專門的設(shè)備或是硬盤數(shù)據(jù)恢復(fù)軟件和技術(shù)手段將數(shù)據(jù)從硬盤上恢復(fù)出來的服務(wù)。

首先，我們來了解一下相關(guān)的概念。硬盤數(shù)據(jù)恢復(fù)是指通過技術(shù)手段，將保存在臺式機硬盤、筆記本硬盤、服務(wù)器硬盤移動硬盤等設(shè)備上丟失的電子數(shù)據(jù)進(jìn)行搶救和恢復(fù)的技術(shù)。硬盤維修只是將故障硬盤恢復(fù)到正常運轉(zhuǎn)狀態(tài)，在維修過程中不會考慮數(shù)據(jù)是否可以保全，在維修完成之后也不會保證數(shù)據(jù)是否完整，并且通常硬盤維修要對硬盤進(jìn)行完全的初始化。而硬盤數(shù)據(jù)恢復(fù)是為了將數(shù)據(jù)完整的讀取出來，即使硬盤完全報廢不可修復(fù)也可將數(shù)據(jù)恢復(fù)出來。

其次，我們再來了解一下硬盤的故障問題。常見故障編輯與數(shù)據(jù)恢復(fù)有關(guān)的硬盤故障一般分為邏輯故障和物理故障及人為破壞和病毒破壞。

1、邏輯故障：邏輯故障是指與文件系統(tǒng)有關(guān)的故障。硬盤數(shù)據(jù)的寫入和讀取，都是通過文件系統(tǒng)來實現(xiàn)的。如果磁盤文件系統(tǒng)損壞，那么計算機就無法找到硬盤上的文件和數(shù)據(jù)。文件系統(tǒng)的組成部分有：分區(qū)表（Partition Table）：如果分區(qū)表損壞，那么就無法識別磁盤分區(qū)或卷；引導(dǎo)扇區(qū)或超級塊（Boot Sector/Super Block）：引導(dǎo)扇區(qū)和超級塊定義了磁盤分區(qū)/卷的最重要的參數(shù)；文件索引和其它元數(shù)據(jù)（Index and Meta data）：硬盤上的數(shù)據(jù)和文件按照一定的結(jié)構(gòu)分布在磁盤上，如果這種結(jié)構(gòu)遭到破壞，那么完整的文件或數(shù)據(jù)也就不存在了。

2、物理故障：物理故障是指硬盤自身發(fā)生硬件損壞，導(dǎo)致硬盤無法正常運轉(zhuǎn)、識別或存取數(shù)據(jù)。硬盤一般有電路板、固件、磁頭、盤片、電機等電子/軟件/機械三部分組成，而任一組件都可能發(fā)生故障。電路故障（PCB burned）：硬盤的電路板燒毀，或硬盤電路板上的控制芯片損壞。由于硬盤電路板使用的都是可編程芯片，所以硬盤電路板的修復(fù)不僅僅是“電烙鐵”和“焊錫”的工作。還需要使用專門的編程設(shè)備；固件損壞（Firm corrupt）：固件是控制硬盤正常運轉(zhuǎn)的硬件程序，是硬盤的“大腦”；磁頭和電機故障（Head & motor failed）：磁頭和電機是硬盤的機械組件，位于密閉的、無塵的盤體內(nèi)部。磁頭會老化、變形；電機會燒毀、卡住，這兩個組件損壞會使得硬盤徹底報廢無法修復(fù)，只有使用專門的設(shè)備才可恢復(fù)數(shù)據(jù)；盤片損傷（Platter scratch）：盤片是保存數(shù)據(jù)的載體。硬盤在使用過程中，會由于老化或劃傷產(chǎn)生壞扇區(qū)。

3、人為破壞：有時候我們會不小心刪除文件和破壞分區(qū)表，這都會造成有效數(shù)據(jù)的丟失，這種數(shù)據(jù)丟失需要借助數(shù)據(jù)恢復(fù)軟件或是手工修復(fù)來達(dá)到數(shù)據(jù)的恢復(fù)。

4、病毒破壞：大多病毒是不會造成數(shù)據(jù)丟失的，但是少數(shù)病毒卻會造成硬盤鎖死，分區(qū)丟失或是數(shù)據(jù)丟失，這時候不能單純的使用殺毒軟件來清理病毒，否則就會造成數(shù)據(jù)嚴(yán)重破壞，一般都是通過專門的軟件來提起數(shù)據(jù)之后，才做殺毒處理。

接下來，我們再來看一下如何進(jìn)行硬盤故障后的數(shù)據(jù)恢復(fù)。

1、邏輯故障數(shù)據(jù)恢復(fù)：邏輯故障是指與文件系統(tǒng)有關(guān)的故障。硬盤數(shù)據(jù)的寫入和讀取，都是通過文件系統(tǒng)來實現(xiàn)的。如果磁盤文件系統(tǒng)損壞，那么計算機就無法找到硬盤上的文件和數(shù)據(jù)。邏輯故障造成的數(shù)據(jù)丟失，大部分情況是可以通過數(shù)據(jù)恢復(fù)軟件找回的。

2、硬件故障數(shù)據(jù)恢復(fù)：硬件故障占所有數(shù)據(jù)意外故障一半以上，常有雷擊、高壓、高溫等造成的電路故障，高溫、振動碰撞等造成的機械故障，高溫、振動碰撞、存儲介質(zhì)老化造成的物理壞磁道扇區(qū)故障，當(dāng)然還有意外丟失損壞的固件BIOS信息等。硬件故障的數(shù)據(jù)恢復(fù)當(dāng)然是先診斷，對癥下藥，先修復(fù)相應(yīng)的硬件故障，然后根據(jù)修復(fù)其他軟故障，最終將數(shù)據(jù)成功恢復(fù)。

3、電路故障需要我們有電路基礎(chǔ)，需要更加深入了解硬盤詳細(xì)工作原理流程。機械磁頭故障需要100級以上的工作臺或工作間來進(jìn)行診斷修復(fù)工作。另外還需要一些軟硬件維修工具配合來修復(fù)固件區(qū)等故障類型。

4、磁盤陣列RAID數(shù)據(jù)恢復(fù)：磁盤陣列的存儲原理這里不作講解，可參看本站陣列知識文章，其恢復(fù)過程也是先排除硬件及軟故障，然后分析陣列順序、塊大小等參數(shù)，用陣列卡或陣列軟件重組或者是使用DiskGenius虛擬重組RAID，重組后便可按常規(guī)方法恢復(fù)數(shù)據(jù)。

最后，我們再來看一下數(shù)據(jù)恢復(fù)時的一些技巧。

1、不必完全掃描：如果你僅想找到不小心誤刪除的文件，無論使用哪種數(shù)據(jù)恢復(fù)軟件，也不管它是否具有類似EasyRecovery快速掃描的方式，其實都沒必要對刪除文件的硬盤分區(qū)進(jìn)行完全的簇掃描。因為文件被刪除時，操作系統(tǒng)僅在目錄結(jié)構(gòu)中給該文件標(biāo)上刪除標(biāo)識，任何數(shù)據(jù)恢復(fù)軟件都會在掃描前先讀取目錄結(jié)構(gòu)信息，并根據(jù)其中的刪除標(biāo)志順利找到剛被刪除的文件。所以，你完全可在數(shù)據(jù)恢復(fù)軟件讀完分區(qū)的目錄結(jié)構(gòu)信息后就手動中斷簇掃描的過程，軟件一樣會把被刪除文件的信息正確列出，如此可節(jié)省大量的掃描時間，快速找到被誤刪除的文件數(shù)據(jù)。

2、盡可能采取NTFS格式分區(qū)：NTFS分區(qū)的MFT以文件形式存儲在硬盤上，這也是EasyRecovery和Recover4all即使使用完全掃描方式對NTFS分區(qū)掃描也那么快速的原因——實際上它們在讀取NTFS的MFT后并沒有真正進(jìn)行簇掃描，只是根據(jù)MFT信息列出了分區(qū)上的文件信息，非常取巧，從而在NTFS分區(qū)的掃描速度上壓倒了老老實實逐個簇掃描的其他軟件。不過對于NTFS分區(qū)的文件恢復(fù)成功率各款軟件幾乎是一樣的，事實證明這種取巧的辦法確實有效，也證明了NTFS分區(qū)系統(tǒng)的文件安全性確實比FAT分區(qū)要高得多，這也就是NTFS分區(qū)數(shù)據(jù)恢復(fù)在各項測試成績中最好的原因，只要能讀取到MFT信息，就幾乎能100%恢復(fù)文件數(shù)據(jù)。

3、巧妙設(shè)置掃描的簇范圍：設(shè)置掃描簇的范圍是一個有效加快掃描速度的方法。像EasyRecovery的高級自定義掃描方式、FinalData和File Recovery的默認(rèn)掃描方式都可以讓你設(shè)置掃描的簇范圍以縮短掃描時間。當(dāng)然要判斷目的文件在硬盤上的位置需要一些技巧，這里提供一個簡單的方法，使用操作系統(tǒng)自帶的硬盤碎片整理程序中的碎片分析程序（千萬小心不要碎片整理啊，只是用它的碎片分析功能），在分區(qū)分析完后程序會將硬盤的未使用空間用圖形方式清楚地表示出來，那么根據(jù)圖形的比例估計這些未使用空間的大致簇范圍，搜索時設(shè)置只搜索這些空白的簇范圍就好了，對于大的分區(qū)，這確實能節(jié)省不少掃描時間。

4、使用文件格式過濾器：以前沒用過數(shù)據(jù)恢復(fù)軟件的朋友在第一次使用時可能會被軟件的能力嚇一跳，你的目的可能只是要找?guī)讉€誤刪的文件，可軟件卻列出了成百上千個以前刪除了的文件，要找到自己真正需要的文件確實十分麻煩。這里就要使用EasyRecovery獨有的文件格式過濾器功能了，在掃描時在過濾器上填好要找文件的擴展名，如“*.doc”，那么軟件就只會顯示找到的DOC文件了；如果只是要找一個文件，你甚至只需要在過濾器上填好文件名和擴展名（如important.doc），軟件自然會找到你需要的這個文件，很是快捷方便。

參考文獻(xiàn)

[1] 鮑通. 基于Web的數(shù)據(jù)備份與恢復(fù)[J]. 硅谷. 2009（08）

[2] 周荃，趙鳳英，王崇駿，陳世福. 數(shù)據(jù)挖掘方法在入侵檢測中的應(yīng)用研究[J]. 模式識別與人工智能. 2008（04）

[3] 孫建華. 硬盤數(shù)據(jù)恢復(fù)技術(shù)解析[J]. 電腦知識與技術(shù). 2008（11）

[4] 付合軍. 數(shù)據(jù)恢復(fù)技術(shù)與信息安全[J]. 光盤技術(shù). 2006（03）

[5] 張曉娟，楊世松. 硬盤數(shù)據(jù)恢復(fù)在信息安全應(yīng)急響應(yīng)中的應(yīng)用[J]. 微計算機信息. 2006（12）

[6] 翁永平. 文件刪除終極大法[J]. 網(wǎng)絡(luò)與信息. 2006（02）