硬件中的电子数据恢复
> 主要针对硬件故障而丢失的数据
-- 据称,占所有数据意外故障一半以上
-- 要注意:不要尝试对硬盘反复加电,防止人为造成更大面积的划伤
> 故障形成
-- 雷击、高压、高温等造成的电路故障
-- 高温、振动碰撞等造成的机械故障;恶意损毁
-- 高温、振动碰撞、存储介质老化造成的物理坏磁道扇区故障
-- 意外丢失损坏的固件BIOS信息
> 能力需求
-- 电路故障需要我们有电路基础,需要更加深入了解硬盘详细工作原理、流程
-- 机械磁头故障需要100级以上的工作台或工作间来进行诊断修复工作
软件的电子数据恢复
> 主要是恢复操作系统、文件系统层的数据
-- 物理介质没有发生实质性的损坏
> 故障形成
-- 软件逻辑故障、恶意程序、误操作等造成的数据丢失
-- 恶意删除:普通删除、软件清理式删除
> 能力需求
-- 逻辑故障造成的数据丢失,大部分情况可以通过电子数据恢复软件找回
-- 从文件系统存储原理角度去提升能力,学习基础的数据分析方法
特定类型文件恢复
> 针对数据库系统或特定类型文件(封闭系统)恢复
-- 往往自身有自己的一套完整的保护措施,难度较大(加密等)
-- 基于专有文件类型的电子数据恢复(Word、JPG、AVI等)
> 故障形成
-- 磁盘阵列(RAID)故障或数据删除
-- 一键删除:失误或恶意删除
> 能力需求
-- 数据库文件存储的基本方法,数据库记录增删改的基本原理
-- 先排除硬件及软故障,然后分析阵列顺序、块大小等参数,重组
覆盖恢复
> 主要针对被覆盖或粉碎的数据
-- 专有软件清0或填1
-- 大文件的填充和覆盖
> 故障形成
-- 恶意删除、恶意覆盖
> 能力需求
-- 一般民用环境下因需要投入的资源太大,往往得不偿失
-- 尖端的国防军事等国家系统或个别掌握尖端科技的硬盘厂商也许可以做到
FAT系统文件恢复
> 回收站(Recycled)中的文件恢复
-- 在Win7 下,被删除的文件(目录)被改名为$R为起始的文件(目录)
-- 同时生成一个以$I为前缀,且后续字符完全一样的文件
-- 如果是删除的目录,进入$R目录下,可以看到被删除的文件原始文件名、扩展名不变
> 回收站文件的存储状态和恢复
-- 回收站临时存放被删除的文件,执行清空回收站,文件才会被彻底清除(或使用Shift+Del组合键方式可彻底删除)
-- 文件或文件夹对应目录项的第一个字节被标记为“已删除对象”(E5),该目录项将不再显示给用户
-- 更新FAT,FAT表中所记录的分配给该文件或文件夹的所有簇的状态值全部改变为“未分配簇”(Unallocated)
NTFS系统文件恢复
> 删除文件或文件夹时,主文件表MFT中会更新对象对应的记录
-- 将其状态标记为可重新使用
-- 然后在位图文件($Bitmap)中将对象所占用的簇标记为未分配状态
> 关于偏移量(一个示例)
-- 00H-37H为$MFT属性头,38H-4FH、98H-AFH、188H-19FH、1B0H-17CH 分别为MFT的10、30、40、80属性头
> 文件删除后,$MFT属性头四处数据发生了变化
-- 08H-0FH处由6F 0D E0 00 00 00 00 00被修改为A8 08 00 01 00 00 00 00
-- 10H-11H处由01 00被修改为02 00
-- 16H-17H处由01 00被修改为00 00
-- 30H-31H处由08 00被修改为09 00