硬件中的电子数据恢复

> 首要针对硬件问题而丢掉的数据

-- 据称，占所有数据意外问题一半以上

-- 要注意：不要尝试对硬盘反复加电，避免人为构成更大面积的划伤

> 问题构成

-- 雷击、高压、高温等构成的电路问题

-- 高温、振动磕碰等构成的机械问题；歹意损毁

-- 高温、振动磕碰、存储介质老化构成的物理坏磁道扇区问题

-- 意外丢掉损坏的固件BIOS信息

> 才能需求

-- 电路问题需求我们有电路根底，需求愈加深入了解硬盘具体作业原理、流程

-- 机械磁头问题需求100级以上的作业台或作业间来进行确诊修复作业

软件的电子数据恢复

> 首要是恢复操作系统、文件系统层的数据

-- 物理介质没有发生实质性的损坏

> 问题构成

-- 软件逻辑问题、歹意程序、误操作等构成的数据丢掉

-- 歹意删去：一般删去、软件清理式删去

> 才能需求

-- 逻辑问题构成的数据丢掉，大部分情况能够经过电子数据恢复软件找回

-- 从文件系统存储原理视点去提高才能，学习根底的数据剖析方法

特定类型文件恢复

> 针对数据库系统或特定类型文件（封闭系统）恢复

-- 往往自身有自己的一套完好的保护措施，难度较大（加密等）

-- 根据专有文件类型的电子数据恢复（Word、JPG、AVI等） 

> 问题构成

-- 磁盘阵列（RAID）问题或数据删去

-- 一键删去：失误或歹意删去

> 才能需求

-- 数据库文件存储的基本方法，数据库记载增删改的基本原理

-- 先扫除硬件及软问题，然后剖析阵列次序、块大小等参数，重组

掩盖恢复

> 首要针对被掩盖或粉碎的数据

-- 专有软件清0或填1

-- 大文件的填充和掩盖

> 问题构成

-- 歹意删去、歹意掩盖

> 才能需求

-- 一般民用环境下因需求投入的资源太大，往往得不偿失

-- 尖端的国防军事等国家系统或个别把握尖端科技的硬盘厂商也许能够做到

FAT系统文件恢复

> 回收站（Recycled）中的文件恢复

-- 在Win7 下，被删去的文件（目录）被改名为$R为开始的文件（目录）

-- 一起生成一个以$I为前缀，且后续字符彻底相同的文件

-- 如果是删去的目录，进入$R目录下，能够看到被删去的文件原始文件名、扩展名不变

> 回收站文件的存储状况和恢复

-- 回收站暂时存放被删去的文件，执行清空回收站，文件才会被彻底清除（或运用Shift+Del组合键方法可彻底删去）

-- 文件或文件夹对应目录项的第一个字节被标记为“已删去目标”(E5)，该目录项将不再显示给用户

-- 更新FAT，FAT表中所记载的分配给该文件或文件夹的所有簇的状况值全部改变为“未分配簇”（Unallocated）

NTFS系统文件恢复

> 删去文件或文件夹时，主文件表MFT中会更新目标对应的记载

-- 将其状况标记为可从头运用

-- 然后在位图文件（$Bitmap）中将目标所占用的簇标记为未分配状况

> 关于偏移量（一个示例）

-- 00H-37H为$MFT特点头，38H-4FH、98H-AFH、188H-19FH、1B0H-17CH 分别为MFT的10、30、40、80特点头

> 文件删去后，$MFT特点头四处数据发生了改变

-- 08H-0FH处由6F 0D E0 00 00 00 00 00被修改为A8 08 00 01 00 00 00 00

-- 10H-11H处由01 00被修改为02 00

-- 16H-17H处由01 00被修改为00 00

-- 30H-31H处由08 00被修改为09 00

电子数据恢复软件

> RStudio

> DiskGenius

> EasyRecovery（Windows / MAC）

> FinalData

> Undelete360

> Wise Data Recovery

> Recuva

> Prosoft Data Rescue（Windows / MAC）

> Stellar Data Recovery（Windows / MAC）

> EaseUS Data Recovery Wizard（Windows / MAC）

> ApowerRecover（Windows / MAC）

一点考虑

> 为什么会有这样一个观念

针对固态硬盘（SSD）中被删去文件进行电子数据恢复难度很大