硬件中的电子数据恢复

> 首要针对硬件问题而丢掉的数据

据称，占全部数据不测问题一半以上

要留意：不要检验对硬盘反复加电，防止人为构成更大面积的划伤

> 问题构成

雷击、高压、高温等构成的电路问题

高温、振动磕碰等构成的机械问题；恶意损毁

高温、振动磕碰、存储介质老化构成的物理坏磁道扇区问题

不测丢掉损坏的固件BIOS信息

> 功用需求

电路问题需求我们有电路基础，需求愈加深化理解硬盘详细作业原理、流程

机械磁头问题需求100级以上的作业台或作业间来停止确诊修正作业

软件的电子数据恢复

> 首要是恢复操作系统、文件系统层的数据

物理介质没有发作本质性的损坏

> 问题构成

软件逻辑问题、恶意程序、误操作等构成的数据丢掉

恶意删去：普通删去、软件清算式删去

> 功用需求

逻辑问题构成的数据丢掉，大局部情况能够经过电子数据恢复软件找回

从文件系统存储原理视点去进步功用，学习基础的数据分析方法

特定类型文件恢复

> 针对数据库系统或特定类型文件（封锁系统）恢复

常常本身有本人的一套无缺的维护措施，难度较大（加密等）

根据专有文件类型的电子数据恢复（Word、JPG、AVI等） 

> 问题构成

磁盘阵列（RAID）问题或数据删去

一键删去：失误或恶意删去

> 功用需求

数据库文件存储的底子方法，数据库记载增修正的底子原理

先清扫硬件及软问题，然后分析阵列次序、块大小等参数，重组

掩盖恢复

> 首要针对被掩盖或毁坏的数据

专有软件清0或填1

大文件的填充和掩盖

> 问题构成

恶意删去、恶意掩盖

> 功用需求

普通民用环境下因需求投入的资源太大，常常因小失大

尖端的国防军事等国度系统或单个把握尖端科技的硬盘厂商或答应以做到

FAT系统文件恢复

> 回收站（Recycled）中的文件恢复

在Win7 下，被删去的文件（目录）被改名为$R为开端的文件（目录）

一同生成一个以$I为前缀，且后续字符彻底相同的文件

假如是删去的目录，进入$R目录下，能够看到被删去的文件原始文件名、扩展名不变

> 回收站文件的存储情况和恢复

回收站暂时存放被删去的文件，执行清空回收站，文件才会被彻底肃清（或运用Shift+Del组合键方法可彻底删去）

文件或文件夹对应目录项的第一个字节被标志为“已删去政策”(E5)，该目录项将不再闪现给用户

更新FAT，FAT表中所记载的分配给该文件或文件夹的全部簇的情况值全部改动为“未分配簇”（Unallocated）

NTFS系统文件恢复

> 删去文件或文件夹时，主文件表MFT中会更新政策对应的记载

将其情况标志为可从头运用

然后在位图文件（$Bitmap）中将政策所占用的簇标志为未分配情况

> 关于偏移量（一个示例）

00H-37H为$MFT特允许，38H-4FH、98H-AFH、188H-19FH、1B0H-17CH 分别为MFT的10、30、40、80特允许

> 文件删去后，$MFT特允许四处数据发作了改动

08H-0FH处由6F 0D E0 00 00 00 00 00被修正为A8 08 00 01 00 00 00 00

10H-11H处由01 00被修正为02 00

16H-17H处由01 00被修正为00 00

30H-31H处由08 00被修正为09 00

电子数据恢复软件

> RStudio

> DiskGenius

> EasyRecovery（Windows / MAC）

> FinalData

> Undelete360

> Wise Data Recovery

> Recuva

> Prosoft Data Rescue（Windows / MAC）

> Stellar Data Recovery（Windows / MAC）

> EaseUS Data Recovery Wizard（Windows / MAC）

> ApowerRecover（Windows / MAC）

一点思索

> 为什么会有这样一个观念

针对固态硬盘（SSD）中被删去文件停止电子数据恢复难度很大