最近笔者做了几回面向企业法务、监察人员的电子数据取证同享锻炼，同享内容从电子数据根本概念、取证办法到概括的案例分析都有触及，而常常几个小时讲下来，究竟沟通互动环节发问最多的却是——“假设数据被删了，还有没有或许恢复?”、“职工出借电脑时把硬盘格式化了怎样办?

或许是影视剧或许小说的宏大影响，在普通人眼中，电子数据取证的要点就是“恢复数据”，而且技艺非常不可捉摸。但是在真实的电子数据取证中，“电子数据恢复”却是相比照较客观单一的进程，恢复概率的大小与介质自身亲密相关，除了硬件缺陷需求专业设备停止“开盘”等操作，普通的电子数据恢复都经过软件层面来处置。

本文笔者要点选择了几个常被问及的“高频问题”，希冀经过问答的方式，以一种浅显易懂的描画，拨开电子数据恢复奥妙的面纱。

分离如今技艺和产业展开的现状，最普遍运用的电子数据存储介质主要是磁盘(如机械硬盘）和闪存(如固态硬盘、U盘等）这两种，本文以机械硬盘为例加以说明，闪存的数据存储恢复机理在今后推送中另行引见。

1什么是电子数据恢复?

电子数据恢复就是把遭受损坏招致丢掉的数据恢复成正常数据的进程。

数据丢掉有许多缘由，其中包含硬件缺陷(如硬盘缺陷无法读取)、软件问题（程序失常致数据丢掉)、黑客侵略、病毒损坏(如某种病毒会招致U盘文件失常丢掉)、失常断电(如处置到—半的文档遭受断电)、人为操作(包含误操作和成心损坏)等。

以上这些都或许需求电子数据恢复，以至从某种水平讲，用户由于各种缘由忘掉本人把文件保管在哪里了，由技艺人员经过专业的检索办法帮用户找到方针文件，也算是一种电子数据恢复。

2我的数据被删去了还能恢复么?

这个呆若木鸡的问题有点难以回答，由于电子数据恢复不是一个正向进程，从恢复到无缺的原始状况，到仅仅仅仅恢复局部数据碎片以至毫无所获，这两个极点成果之间的任何状况都有或许产生。

恢复的概率和介质的实践状况严密相关，以下罗列几个判别数据能否恢复的必要不充沛条件:

1、原始数据存储在哪里?

2、数据是怎样删去的?

3、数据删去后存储介质能否仍在运用过?

4、数据删去后能否有新数据写入?

所以，要想搞分明数据能否恢复，就要先理解一下数据是怎样存储的。

3数据在介质上是怎样存储的?

以机械硬盘为例，在硬盘的磁片上划一摆放着许多磁性单元，就像一个个永磁铁，这些磁性单元“S”极和“N”的朝向分别代表电子数据最根本的单位“O”和“1”。

当硬盘写入数据时，盘片高速旋转，磁头精确定位在需求修正数据的一个个磁性单元上，经过施加电压，磁性单元的磁极被回转，完成从“O”到“1”的改动。

原理上就是这么简单!

但是这么多的O和1，操作系统是怎样晓得细致是哪个数据存在硬盘的什么方位呢?这就引入了现代硬盘上—个重要的概念:分区表。下面打个比如解释一下:

把整个硬盘比作一个图书馆，不同的分区就像不同的图书室，文件夹就仿佛一个个书架，细致数据则是一本本书。分区表就像图书馆的检索卡片，它包含了全部图书室(分区)、书架(文件夹目录)、书本（数据)的信息，操作系统经过读取分区表，就能够将文件所在的逻辑方位(某某分区某某文件夹)和硬盘上的物理方位对应起来。

想想以前去图书馆检索图书，就能理解系统是怎样找数据的了。

4数据在介质上是怎样删去的?

理解了数据的写入，我们再来看一个幽默的现象，平常在运用电脑时，你一定会留意到:写入文件的时辰和文件大小成比例改动，大文件时辰长，小文件时辰短;但删去文件的时分，不论文件大小，简直都是—霎时就完毕了，时辰上没有明显的不同。

你有没有想过这是为什么?

这种现象是由系统删去文件的机理决议的，写入进程与时辰成比例是由于数据中的每个“O”和“1”都要在磁盘上停止校验，分歧的就“放行”，相反的就“回转”，每个磁性单元都如此地遍历—次，其表象就是写入时辰与文件大小成比例。

而删去的进程，系统仅仅在分区表里将文件标明成了“不存在”，却基本没有肃清数据自身，也就比如在图书馆中把图书检索卡片拿走，却没有真实在对应书架上拿走那本书!这样做大大进步删去文件的速度，改良了用户领会，而且由于硬盘上的“磁极”只需SN之分，当下次有别的文件要写入的时分，实践上一定需求修正全部的磁极指向——这也变相延长了硬盘的寿数。

5数据是怎样恢复的?

引见到这儿，或许你曾经能猜了，正由于机械硬盘特别的删去机制，才给电子数据恢复供应了机遇。我们经过专用软件将全部没被新数据掩盖的局部停止扫描，对分区表停止重建，比如图书馆的索引卡片都丢失了，只需重新清点一遍库存，就能找到尚存的全部书本，而且树立起新的索引，数据就是这么简单就被恢复了。

绝大多数民用等级的电子数据恢复软件在恢复刚刚删去的文件时都能应对自若，就是根据这个原理。

6硬盘格式化了能够恢复数据么?

硬盘格式化与删去文件的机理是相同的，差别仅仅在于，删去文件时系统仅仅删去分区表中对应文件信息，而格式化则是把整个分区表重建成空白磁盘的状况，所以原始的数据没有遭到影响，经过扫描磁盘，简直能够无缺重建原本的分区表，恢复全部数据。

但假设格式化后许多写入新文件，或许长期一再运用电脑，那就无法保证原始数据不被损坏，恢复相应文件的概率也就逐步降低了。

看完这些，是不是觉得电子数据恢复—下子就不奥妙了呢?

7电子数据恢复真的这么简单而没技艺含量么?

电子数据恢复根本原理的确很简单，但实践状况千差万别，要想尽或许的恢复方针数据，远远不止上述现象这么简单。

比如，原始文件被删去后，硬盘又重新写入许多新数据，假设新数据就写在原始数据存储的磁盘方位上，掩盖了原始数据，使原始数据自身遭到损坏，那就只能对文件未被掩盖的数据残留局部停止恢复恢复。

这样恢复后的文件一定是一种受损残损的状况，或许丢掉了文件头，也或许丢掉了内容数据，所以正常的“翻开”操作是无法完毕的，要读取原始文件恢复出的局部数据，就必需凭仗其他东西停止数据读取、转化和拼接，这就需求技艺人员具备较高的电子数据恢复常识程度，理解各类文件底层代码，假设是针对案子查询的电子数据恢复取证，以至还需求查询人员有满足的案情敏感度和丰厚的办案阅历才气完毕。

能够说，电子数据恢复入门非常简单，而深化则具有恰当难度。

简单引见了一些电子数据恢复最根本的常识，在究竟觉得仍是有必要做个提示:

有果必有因，数据不会本人消逝，只需及时采用办法，亡羊补牢的行动仍能够最大极限的削减损失。但，靠谱的办法仍是备份，硬盘有价数据无价，只需未雨绸缪，才气真实保证数据的万无一失。