也许是影视剧或许小说的巨大影响，在一般人眼中，电子数据恢复取证的关键就是“恢复数据”，并且技术非常高深莫测。然而在真实的电子数据恢复取证中，“数据恢复”却是相对比较客观单一的进程，恢复概率的大小与介质本身密切相关，除了硬件缺点需求专业设备进行“开盘”等操作，一般的数据恢复都通过软件层面来处理。

本期关键选择了几个常被问及的“高频问题”，期望通过问答的方法，以一种通俗易懂的描绘，拨开电子数据恢复微妙的面纱。

结合目前技术和工业打开的现状，最广泛运用的电子数据恢复存储介质主要是磁盘（如机械硬盘）和闪存（如固态硬盘、U盘等）这两种，本期以机械硬盘为例加以阐明，闪存的数据存储恢复机理在往后推送中另行介绍。

1什么是电子数据恢复？

电子数据恢复就是把遭受损坏导致丢掉的数据恢复成正常数据的进程。数据丢掉有许多原因，其间包括硬件缺点（如硬盘缺点无法读取）、软件问题（程序反常致数据丢掉）、黑客侵略、病毒损坏（如某种病毒会导致U盘文件反常丢掉）、反常断电（如处理到一半的文档遭受断电）、人为操作（包括误操作和故意损坏）等。

以上这些都或许需求数据恢复，甚至从某种程度讲，用户由于各种原因忘记自己把文件保存在哪里了，由技术人员通过专业的检索方法帮用户找到方针文件，也算是一种数据恢复。

2我的数据被删去了还能恢复么？

这个目瞪口呆的问题有点难以答复，由于数据恢复不是一个正向进程，从恢复到无缺的原始情况，到只是只是恢复部分数据碎片甚至毫无所获，这两个极点效果之间的任何情况都有或许发生。

恢复的概率和介质的实际情况严密相关，以下罗列几个判别数据能否恢复的必要不充分条件：

1、原始数据存储在哪里？

2、数据是怎样删去的？

3、数据删去后存储介质是否仍在运用过？

4、数据删去后是否有新数据写入？

所以，要想搞清楚数据能否恢复，就要先了解一下数据是怎样存储的。

3数据在介质上是怎样存储的？

以机械硬盘为例，在硬盘的磁片上规整摆放着许多磁性单元，就像一个个永磁铁，这些磁性单元“S”极和“N”的朝向分别代表电子数据恢复最基本的单位“0”和“1”。

当硬盘写入数据时，盘片高速旋转，磁头准确定位在需求修改数据的一个个磁性单元上，通过施加电压，磁性单元的磁极被反转，实现从“0”到“1”的改动。

原理上就是这么简略！

但是这么多的0和1，操作系统是怎样知道具体是哪个数据存在硬盘的什么方位呢？这就引入了现代硬盘上一个重要的概念：分区表。下面打个比方解释一下：

把整个硬盘比作一个图书馆，不同的分区就像不同的图书室，文件夹就好像一个个书架，具体数据则是一本本书。分区表就像图书馆的检索卡片，它包括了全部图书室（分区）、书架（文件夹目录）、书本（数据）的信息，操作系统通过读取分区表，就可以将文件地点的逻辑方位（某某分区某某文件夹）和硬盘上的物理方位对应起来。

想想以前去图书馆检索图书，就能了解系统是怎样找数据的了。

4数据在介质上是怎样删去的？

了解了数据的写入，我们再来看一个风趣的现象，往常在运用电脑时，你一定会注意到：写入文件的时刻和文件大小成份额改动，大文件时刻长，小文件时刻短；但删去文件的时分，不管文件大小，几乎都是一会儿就完毕了，时刻上没有明显的不同。

你有没有想过这是为什么？

这种现象是由系统删去文件的机理抉择的，写入进程与时刻成份额是由于数据中的每个“0”和“1”都要在磁盘上进行校验，一同的就“放行”，相反的就“反转”，每个磁性单元都如此地遍历一次，其表象就是写入时刻与文件大小成份额。

而删去的进程，系统只是在分区表里将文件标示成了“不存在”，却底子没有铲除数据本身，也就比方在图书馆中把图书检索卡片拿走，却没有真实在对应书架上拿走那本书！这样做大大提高删去文件的速度，改进了用户领会，并且由于硬盘上的“磁极”只需SN之分，当下次有其他文件要写入的时分，实际上未必需求修改全部的磁极指向——这也变相延长了硬盘的寿数。

5数据是怎样恢复的？

介绍到这儿，或许你现已能猜了，正由于机械硬盘特别的删去机制，才给数据恢复供给了机遇。我们通过专用软件将全部没被新数据掩盖的部分进行扫描，对分区表进行重建，比方图书馆的索引卡片都丢掉了，只需从头清点一遍库存，就能找到尚存的全部书本，并且建立起新的索引，数据就是这么简略就被恢复了。

绝大多数民用级其他数据恢复软件在恢复刚刚删去的文件时都能应对自若，就是根据这个原理。

6硬盘格式化了可以恢复数据么？

硬盘格式化与删去文件的机理是相同的，差异只是在于，删去文件时系统只是删去分区表中对应文件信息，而格式化则是把整个分区表重建成空白磁盘的情况，所以原始的数据没有受到影响，通过扫描磁盘，几乎可以无缺重建本来的分区表，恢复全部数据。

但假设格式化后许多写入新文件，或许长时刻一再运用电脑，那就无法确保原始数据不被损坏，恢复相应文件的概率也就逐步降低了。

看完这些，是不是觉得数据恢复一会儿就不微妙了呢？

7数据恢复真的这么简略而没技术含量么？

数据恢复根底原理确实很简略，但实际情况千差万别，要想尽或许的恢复方针数据，远远不止上述现象这么简略。

比方，原始文件被删去后，硬盘又从头写入许多新数据，假设新数据就写在原始数据存储的磁盘方位上，掩盖了原始数据，使原始数据本身遭到损坏，那就只能对文件未被掩盖的数据残留部分进行恢复恢复。

这样恢复后的文件一定是一种受损残损的情况，或许丢掉了文件头，也或许丢掉了内容数据，所以正常的“翻开”操作是无法完毕的，要读取原始文件恢复出的部分数据，就必须仰仗其他东西进行数据读取、转换和拼接，这就需求技术人员具有较高的电子数据恢复知识水平，了解各类文件底层代码，假设是针对案件查询的电子数据恢复取证，甚至还需求查询人员有满足的案情敏感度和丰富的办案阅历才调完毕。

可以说，数据恢复入门非常简略，而深化则具有适当难度。

8有备无患仍是亡羊补牢？

简略介绍了一些数据恢复最根底的知识，在毕竟觉得仍是有必要做个提示：

有果必有因，数据不会自己消失，只需及时选用方法，亡羊补牢的行为仍可以最大极限的减少丢掉。

但，靠谱的方法仍是备份，硬盘有价数据无价，只需有备无患，才调真实确保数据的满有把握。