也许是影视剧或许小说的巨大影响，在一般人眼中，电子数据恢复取证的关键便是“恢复数据”，而且技能十分高深莫测。然而在实在的电子数据恢复取证中，“数据恢复”却是相对比较客观单一的进程，恢复概率的巨细与介质自身密切相关，除了硬件缺点需求专业设备进行“开盘”等操作，一般的数据恢复都经过软件层面来处理。

本期关键选择了几个常被问及的“高频问题”，希望经过问答的方式，以一种通俗易懂的描绘，拨开电子数据恢复奥妙的面纱。

结合目前技能和工业展开的现状，最广泛运用的电子数据恢复存储介质主要是磁盘（如机械硬盘）和闪存（如固态硬盘、U盘等）这两种，本期以机械硬盘为例加以阐明，闪存的数据存储恢复机理在今后推送中另行介绍。

1什么是电子数据恢复？

电子数据恢复便是把遭受损坏导致丢掉的数据恢复成正常数据的进程。数据丢掉有许多原因，其间包含硬件缺点（如硬盘缺点无法读取）、软件问题（程序异常致数据丢掉）、黑客侵略、病毒损坏（如某种病毒会导致U盘文件异常丢掉）、异常断电（如处理到一半的文档遭受断电）、人为操作（包含误操作和故意损坏）等。

以上这些都或许需求数据恢复，乃至从某种程度讲，用户因为各种原因遗忘自己把文件保存在哪里了，由技能人员经过专业的检索办法帮用户找到方针文件，也算是一种数据恢复。

2我的数据被删去了还能恢复么？

这个目瞪口呆的问题有点难以答复，因为数据恢复不是一个正向进程，从恢复到无缺的原始状况，到仅仅仅仅恢复部分数据碎片乃至毫无所获，这两个极点效果之间的任何情况都有或许产生。

恢复的概率和介质的实际情况严密相关，以下罗列几个判别数据能否恢复的必要不充分条件：

1、原始数据存储在哪里？

2、数据是怎样删去的？

3、数据删去后存储介质是否仍在运用过？

4、数据删去后是否有新数据写入？

所以，要想搞清楚数据能否恢复，就要先了解一下数据是怎么存储的。

3数据在介质上是怎样存储的？

以机械硬盘为例，在硬盘的磁片上规整摆放着许多磁性单元，就像一个个永磁铁，这些磁性单元“S”极和“N”的朝向分别代表电子数据恢复最基本的单位“0”和“1”。

当硬盘写入数据时，盘片高速旋转，磁头准确定位在需求修改数据的一个个磁性单元上，经过施加电压，磁性单元的磁极被回转，实现从“0”到“1”的改动。

原理上便是这么简略！

但是这么多的0和1，操作体系是怎么知道详细是哪个数据存在硬盘的什么方位呢？这就引入了现代硬盘上一个重要的概念：分区表。下面打个比如解释一下：

把整个硬盘比作一个图书馆，不同的分区就像不同的图书室，文件夹就好像一个个书架，详细数据则是一本本书。分区表就像图书馆的检索卡片，它包含了悉数图书室（分区）、书架（文件夹目录）、书本（数据）的信息，操作体系经过读取分区表，就能够将文件地点的逻辑方位（某某分区某某文件夹）和硬盘上的物理方位对应起来。

想想以前去图书馆检索图书，就能了解体系是怎样找数据的了。

4数据在介质上是怎样删去的？

了解了数据的写入，咱们再来看一个风趣的现象，平常在运用电脑时，你一定会注意到：写入文件的时间和文件巨细成份额改动，大文件时间长，小文件时间短；但删去文件的时分，不论文件巨细，简直都是一瞬间就结束了，时间上没有明显的不同。

你有没有想过这是为什么？

这种现象是由体系删去文件的机理抉择的，写入进程与时间成份额是因为数据中的每个“0”和“1”都要在磁盘上进行校验，一起的就“放行”，相反的就“回转”，每个磁性单元都如此地遍历一次，其表象便是写入时间与文件巨细成份额。

而删去的进程，体系仅仅在分区表里将文件标示成了“不存在”，却底子没有铲除数据自身，也就比如在图书馆中把图书检索卡片拿走，却没有实在在对应书架上拿走那本书！这样做大大提高删去文件的速度，改进了用户体会，而且因为硬盘上的“磁极”只需SN之分，当下次有其他文件要写入的时分，实际上未必需求修改悉数的磁极指向——这也变相延长了硬盘的寿数。

5数据是怎样恢复的？

介绍到这儿，或许你现已能猜了，正因为机械硬盘特别的删去机制，才给数据恢复提供了时机。咱们经过专用软件将悉数没被新数据掩盖的部分进行扫描，对分区表进行重建，比如图书馆的索引卡片都丢掉了，只需从头清点一遍库存，就能找到尚存的悉数书本，而且建立起新的索引，数据便是这么简略就被恢复了。

绝大多数民用级其他数据恢复软件在恢复刚刚删去的文件时都能应对自如，便是根据这个原理。

6硬盘格局化了能够恢复数据么？

硬盘格局化与删去文件的机理是相同的，差异仅仅在于，删去文件时体系仅仅删去分区表中对应文件信息，而格局化则是把整个分区表重建成空白磁盘的状况，所以原始的数据没有受到影响，经过扫描磁盘，简直能够无缺重建原本的分区表，恢复悉数数据。

但假设格局化后许多写入新文件，或许长时间一再运用电脑，那就无法保证原始数据不被损坏，恢复相应文件的概率也就逐渐降低了。

看完这些，是不是觉得数据恢复一瞬间就不奥妙了呢？

7数据恢复真的这么简略而没技能含量么？

数据恢复根底原理的确很简略，但实际情况千差万别，要想尽或许的恢复方针数据，远远不止上述现象这么简略。

比如，原始文件被删去后，硬盘又从头写入许多新数据，假设新数据就写在原始数据存储的磁盘方位上，掩盖了原始数据，使原始数据自身遭到损坏，那就只能对文件未被掩盖的数据残留部分进行恢复恢复。

这样恢复后的文件一定是一种受损残损的状况，或许丢掉了文件头，也或许丢掉了内容数据，所以正常的“翻开”操作是无法结束的，要读取原始文件恢复出的部分数据，就必须凭仗其他东西进行数据读取、转换和拼接，这就需求技能人员具备较高的电子数据恢复知识水平，了解各类文件底层代码，假设是针对案子查询的电子数据恢复取证，乃至还需求查询人员有满意的案情敏感度和丰富的办案阅历才调结束。

能够说，数据恢复入门十分简略，而深化则具有适当难度。

8未雨绸缪仍是亡羊补牢？

简略介绍了一些数据恢复最根底的知识，在终究觉得仍是有必要做个提示：

有果必有因，数据不会自己消失，只需及时采用办法，亡羊补牢的举动仍能够最大极限的削减丢掉。

但，靠谱的办法仍是备份，硬盘有价数据无价，只需未雨绸缪，才调实在保证数据的满有把握。