硬件中的电子数据恢复
> 首要针对硬件问题而丢掉的数据
据称,占全部数据意外问题一半以上
要注意:不要测验对硬盘重复加电,避免人为构成更大面积的划伤
> 问题构成
雷击、高压、高温等构成的电路问题
高温、振动磕碰等构成的机械问题;歹意损毁
高温、振动磕碰、存储介质老化构成的物理坏磁道扇区问题
意外丢掉损坏的固件BIOS信息
> 功能需求
电路问题需求我们有电路根底,需求更加深化了解硬盘具体作业原理、流程
机械磁头问题需求100级以上的作业台或作业间来进行确诊修正作业
软件的电子数据恢复
> 首要是恢复操作系统、文件系统层的数据
物理介质没有发生实质性的损坏
> 问题构成
软件逻辑问题、歹意程序、误操作等构成的数据丢掉
歹意删去:一般删去、软件清理式删去
> 功能需求
逻辑问题构成的数据丢掉,大部分状况可以经过电子数据恢复软件找回
从文件系统存储原理视点去提高功能,学习根底的数据剖析办法
特定类型文件恢复
> 针对数据库系统或特定类型文件(封闭系统)恢复
往往自身有自己的一套无缺的保护措施,难度较大(加密等)
依据专有文件类型的电子数据恢复(Word、JPG、AVI等)
> 问题构成
磁盘阵列(RAID)问题或数据删去
一键删去:失误或歹意删去
> 功能需求
数据库文件存储的底子办法,数据库记载增修正的底子原理
先打扫硬件及软问题,然后剖析阵列次序、块大小等参数,重组
掩盖恢复
> 首要针对被掩盖或破坏的数据
专有软件清0或填1
大文件的填充和掩盖
> 问题构成
歹意删去、歹意掩盖
> 功能需求
一般民用环境下因需求投入的资源太大,往往因小失大
尖端的国防军事等国家系统或单个把握尖端科技的硬盘厂商或许可以做到
FAT系统文件恢复
> 回收站(Recycled)中的文件恢复
在Win7 下,被删去的文件(目录)被改名为$R为开端的文件(目录)
一起生成一个以$I为前缀,且后续字符彻底相同的文件
如果是删去的目录,进入$R目录下,可以看到被删去的文件原始文件名、扩展名不变
> 回收站文件的存储状况和恢复
回收站暂时寄存被删去的文件,执行清空回收站,文件才会被彻底清除(或运用Shift+Del组合键办法可彻底删去)
文件或文件夹对应目录项的第一个字节被标记为“已删去政策”(E5),该目录项将不再闪现给用户
更新FAT,FAT表中所记载的分配给该文件或文件夹的全部簇的状况值全部改动为“未分配簇”(Unallocated)
NTFS系统文件恢复
> 删去文件或文件夹时,主文件表MFT中会更新政策对应的记载
将其状况标记为可从头运用
然后在位图文件($Bitmap)中将政策所占用的簇标记为未分配状况
> 关于偏移量(一个示例)
00H-37H为$MFT特允许,38H-4FH、98H-AFH、188H-19FH、1B0H-17CH 分别为MFT的10、30、40、80特允许
> 文件删去后,$MFT特允许四处数据发生了改动
08H-0FH处由6F 0D E0 00 00 00 00 00被修正为A8 08 00 01 00 00 00 00
10H-11H处由01 00被修正为02 00
16H-17H处由01 00被修正为00 00
30H-31H处由08 00被修正为09 00
电子数据恢复软件
> RStudio
> DiskGenius
> EasyRecovery(Windows / MAC)
> FinalData
> Undelete360
> Wise Data Recovery
> Recuva
> Prosoft Data Rescue(Windows / MAC)
> Stellar Data Recovery(Windows / MAC)
> EaseUS Data Recovery Wizard(Windows / MAC)
> ApowerRecover(Windows / MAC)
一点考虑
> 为什么会有这样一个观念
针对固态硬盘(SSD)中被删去文件进行电子数据恢复难度很大