计算机数据恢复原理及常规应用探讨

摘　要：随着电子信息时代的到来，数码产品充斥着人们生活的任何角落。然而硬盘有价，数据无价。现在一块新的大容量硬盘也就几百块钱，假如保存在硬盘上的重要客户资料、业务通讯簿、海量股票数据，写作多日的书稿文件等丢失了，就可能给企业或个人造成无法弥补的损失。可见数据恢复在实践中已经日益受到重视。本文首先阐述了数据恢复技术的必要性、进而分析存储数据的原理、如何判断丢失数据的原因；在此基础上对如何运用数据恢复工具恢复数据进行了探讨。

关键词：计算机；数据恢复；恢复技术
1.问题的提出
　　数据恢复是指由于各种原因导致数据损失时把保留在介质上的数据重新恢复的过程。从数据恢复的目的来看，它属于计算机安全，而恢复的手段又与计算机维护有着紧密的联系，因此可以说数据恢复是从计算机安全与计算机维护发展起来的新领域。近年来信息化建设高歌猛进，办公电子化已经是大势所趋、潮流所向，不仅仅是IT企业，传统企业以及政府机关也开始全方位启用信息化存储技术，随之而来的是数据恢复市场迅速发展、空前繁荣。受市场鼓舞，数据恢复技术研究也不断深入，各种恢复方法层出不穷。因此有必要对数据恢复的原理和方法进行分析和讨论。
2.存放数据的原理
2.1数据存放在数据区
　　本文以“硬盘”为例来阐述，硬盘的数据结构有固件区、主引导记录MBR、各分区系统引导系统记录DBR、文件分配表FAT、文件目录FDT、数据区DATA几个区域组成，此外扩展分区的第一扇区为扩展引导记录EBR区，我们常说的数据就是存放在数据区DATA。
2.2数据存放是随机存放
　　硬盘驱动器里面有一组盘片，数据就保存在盘片的磁道（Track）上，磁道在盘片上呈同心圆分布，读/写磁头在盘片的表面移动访问硬盘的各个区域，因此文件可以随机地分布到磁盘的各个位置上，同一文件的各个部分不一定要顺序存放。存放在磁盘上的数据以簇为分配单位，簇的大小因操作系统和逻辑卷的大小不同而不同。如果一个硬盘的簇在大小是4K，那么保存1K的文件也要占用4K的磁盘空间。大的文件可能占用多达数千、数万的簇，分散到整个磁盘上，操作系统的文件子系统负责各个部分的组织和管理。
当前，Windows支持的硬盘文件系统常见的共有3种。第一种是FAT，即所谓的文件分配表FAT；第二种文件系统是FAT32；第三种是NTFS。这3种文件系统的基本原理都一样，都用一个类似首簇的FAT入口又包含一个指向一个簇地址的指针，依此类推，直到出现文件的结束标志为止。
3.数据恢复应用实践
3.1主引导区的恢复
　　对于开机自检后提示""Miss operation system""而且DOS下查看C盘内容完整，这是属于主引导区故障。另外在电脑启动中，系统能够通过自检并检测到硬盘，但在即将进入操作系统之前提示""DISK BOOT SYSTEM DISK AND PRESS ENER""，这也是主引导区错误。对于这一类故障，可以用软盘或是光盘来启动，进行DOS系统，然后键入""C：""，看能否读取C盘上的内容。如果C盘上的内容可以读取的话，大家只要使用Fdisk/mbr命令就可以进行无条件重写主引导区，这个方法一般都能成功，而且可以保留原有的数据。当然即便是不能读取C盘，我们也可以使用Fdisk/mbr命令。事实上Fdisk/mbr的作用十分明显，也能对付一些主引导区病毒，大家一家要好好利用，这堪称是对付硬盘在BIOS下可以识别而DOS下无法操作的第一工具。
3.2分区表破坏
　　如用PQ Magic时操作失误所导致的无法进入系统或者是进入系统后文件打不开等情况，即是典型的分区表故障。自动修复分区表的操作一般就是通过查找备份分区表并复制相应扇区，这里使用Disk Genius软件。此软件可以在纯DOS系统下运行。操作方法：首先将此软件拷入启动盘，之后可以直接运行，进入此软件的主界面后，按下F10就能够轻松地自动恢复硬盘分区表。
3.3修复DBR
　　对于一台电脑，在Windows系统下打开一个分区时提示未被格式化，在DOS下进入此分区时提示""General Fail Reading Drive""。这种情况下，如果使用格式化工具对所要访问的分区进行格式化，当然就很轻松地进入此分区，但代价就是此分区下所有的数据都将不复存在，此做法也与挽救数据的最终目的相违背。这时可以用Win Hex软件来修复DBR模板。在使用时可以把出问题的硬盘当作从盘进行挂接，随后从打开的Win Hex中选择此硬盘，而后此软件就可以使用硬盘中的分区表信息来处理分区，以达到修复的目的。
3.4文件误删除的拯救
　　一般我们在删除文件的时候，先是把文件进行逻辑删除，文件会被逻辑地转移到回收站。如果再想把删除的数据找回来，就到回收站搜索就行了。但如果在删除的时候按住了SHIFT键，那么就相当于把数据进行了物理删除，而没有通过回收站，这时候就无法通过一般的方法来找回删除的数据了。这里可以用Easy Recovery或Final Data这两个小软件来进行恢复。比如Easy Recovery使用On track公司复杂的模式识别技术找回分布在硬盘上不同文件的碎块，并根据统计信息对这些文件碎块进行重整。接着Easy Recovery在硬盘中建立一个虚拟的文件系统并列出所有的文件和目录。哪怕整个分区都不可见或者硬盘上只有非常少的分区维护信息，Easy Recovery仍然可以高质量地找回文件。
3.5因病毒侵害而导致的文件假丢失
　　有这么一类病毒，感染后会在根目录下创建一个与原文件夹同名且可以运行的程序，使用杀毒软件把病毒查杀后，原来的文件夹都变成隐藏的了，并且通过查看文件夹的属性不能进行修改。虽然使用专业的修改软件可以进行修改，但使用较为麻烦。这里可以使用Attrib命令。在Windows运行的过程中，打开MS-DOS，无论是Windows98,还是Window7.0,都可以通过运行CMD命令打开DOS，而后找到相应的盘符，输入attrib/d/s–h–s,这样就可以把隐藏的文件恢复到正常的状态了。Attrib[4]是修改文件夹属性的一个DOS命令，/d与/s是两个开关，-h就是消除隐藏属性。
4．建 议
　　硬盘是我们日常工作中最常用到的存储设备，一旦损坏会造成很多最要信息的丢失。我们可以通过数据恢复的方法来找回丢失的数据，但是并不是所有的丢失文档都能找回，即使能够找回也需要浪费大量的时间。为了保护我们重要的数据，我们就要养成良好的使用硬盘的习惯。其一我们应该及时备份重要的数据，而且要备份在不同的磁盘中防止丢失；其二我们要经常整理硬盘，让硬盘始终处在良好的工作状态；其三我们一定不要把重要的数据放在C盘或桌面等容易出故障的地方；其四硬盘是机电一体化的高度精密设备，为了安全和保险必须轻拿轻放，在主机内安装时硬盘的四个固定位都应该使用螺丝固定牢靠；其五开机后绝对不能移动主机，关机1分钟硬盘马达停转后，方可进行搬动，硬盘指示灯正在闪亮时不可断电关机。
参考文献：
[1]刘三满.计算机数据恢复技术分析[J].山西电子技术.2007.1
[2]马林.数据重现—文件系统原理精解与数据恢复最佳实践[M].北京:清华大学出版社,2009.