硬件中的电子数据恢复

> 首要针对硬件问题而丢掉的数据

据称，占一切数据意外问题一半以上

要注意：不要尝试对硬盘反复加电，防止人为构成更大面积的划伤

> 问题构成

雷击、高压、高温等构成的电路问题，高温、振荡磕碰等构成的机械问题；恶意损毁，高温、振荡磕碰、存储介质老化构成的物理坏磁道扇区问题，意外丢掉损坏的固件BIOS信息。

> 性能需求

电路问题需求咱们有电路基础，需求更加深化了解硬盘详细作业原理、流程

机械磁头问题需求100级以上的作业台或作业间来进行确诊修复作业

软件的电子数据恢复

> 首要是恢复操作体系、文件体系层的数据

物理介质没有发生实质性的损坏

> 问题构成

软件逻辑问题、恶意程序、误操作等构成的数据丢掉

恶意删去：一般删去、软件清理式删去

> 性能需求

逻辑问题构成的数据丢掉，大部分情况可以经过电子数据恢复软件找回

从文件体系存储原理角度去提高性能，学习基础的数据剖析办法

特定类型文件恢复

> 针对数据库体系或特定类型文件（关闭体系）恢复

往往自身有自己的一套完好的保护措施，难度较大（加密等）

依据专有文件类型的电子数据恢复（Word、JPG、AVI等） 

> 问题构成

磁盘阵列（RAID）问题或数据删去

一键删去：失误或恶意删去

> 性能需求

数据库文件存储的根本办法，数据库记载增修改的根本原理

先打扫硬件及软问题，然后剖析阵列次第、块巨细等参数，重组

掩盖恢复

> 首要针对被掩盖或粉碎的数据

专有软件清0或填1

大文件的填充和掩盖

> 问题构成

恶意删去、恶意掩盖

> 性能需求

一般民用环境下因需求投入的资源太大，往往因小失大

尖端的国防军事等国家体系或单个把握尖端科技的硬盘厂商也许可以做到

FAT体系文件恢复

> 回收站（Recycled）中的文件恢复

在Win7 下，被删去的文件（目录）被改名为$R为开始的文件（目录）

一同生成一个以$I为前缀，且后续字符完全相同的文件

如果是删去的目录，进入$R目录下，可以看到被删去的文件原始文件名、扩展名不变

> 回收站文件的存储情况和恢复

回收站暂时存放被删去的文件，执行清空回收站，文件才会被完全清除（或运用Shift+Del组合键办法可完全删去）

文件或文件夹对应目录项的第一个字节被标记为“已删去方针”(E5)，该目录项将不再显现给用户

更新FAT，FAT表中所记载的分配给该文件或文件夹的一切簇的情况值悉数改动为“未分配簇”（Unallocated）

NTFS体系文件恢复

> 删去文件或文件夹时，主文件表MFT中会更新方针对应的记载

将其情况标记为可从头运用

然后在位图文件（$Bitmap）中将方针所占用的簇标记为未分配情况

> 关于偏移量（一个示例）

00H-37H为$MFT特允许，38H-4FH、98H-AFH、188H-19FH、1B0H-17CH 分别为MFT的10、30、40、80特允许

> 文件删去后，$MFT特允许四处数据发生了改动

08H-0FH处由6F 0D E0 00 00 00 00 00被修改为A8 08 00 01 00 00 00 00

10H-11H处由01 00被修改为02 00

16H-17H处由01 00被修改为00 00

30H-31H处由08 00被修改为09 00

电子数据恢复软件

> RStudio

> DiskGenius

> EasyRecovery（Windows / MAC）

> FinalData

> Undelete360

> Wise Data Recovery

> Recuva

> Prosoft Data Rescue（Windows / MAC）

> Stellar Data Recovery（Windows / MAC）

> EaseUS Data Recovery Wizard（Windows / MAC）

> ApowerRecover（Windows / MAC）

一点考虑

> 为什么会有这样一个观念

针对固态硬盘（SSD）中被删去文件进行电子数据恢复难度很大