淺析硬盤的數據恢復問題

馬玉磊

摘 要：隨著人們對計算機使用的熟練操作程度的增加，越來越多的計算機用戶已經開始學會了對計算機數據的安全使用及保護。

關鍵詞：硬盤；數據恢復；數據安全

硬盤數據恢復是在硬盤發生故障而不能讀取數據，或是人為操作失誤及病毒侵襲造成硬盤分區或是數據丟失，使用專門的設備或是硬盤數據恢復軟件和技術手段將數據從硬盤上恢復出來的服務。

首先，我們來了解一下相關的概念。硬盤數據恢復是指通過技術手段，將保存在臺式機硬盤、筆記本硬盤、服務器硬盤移動硬盤等設備上丟失的電子數據進行搶救和恢復的技術。硬盤維修只是將故障硬盤恢復到正常運轉狀態，在維修過程中不會考慮數據是否可以保全，在維修完成之后也不會保證數據是否完整，并且通常硬盤維修要對硬盤進行完全的初始化。而硬盤數據恢復是為了將數據完整的讀取出來，即使硬盤完全報廢不可修復也可將數據恢復出來。

其次，我們再來了解一下硬盤的故障問題。常見故障編輯與數據恢復有關的硬盤故障一般分為邏輯故障和物理故障及人為破壞和病毒破壞。

1、邏輯故障：邏輯故障是指與文件系統有關的故障。硬盤數據的寫入和讀取，都是通過文件系統來實現的。如果磁盤文件系統損壞，那么計算機就無法找到硬盤上的文件和數據。文件系統的組成部分有：分區表（Partition Table）：如果分區表損壞，那么就無法識別磁盤分區或卷；引導扇區或超級塊（Boot Sector/Super Block）：引導扇區和超級塊定義了磁盤分區/卷的最重要的參數；文件索引和其它元數據（Index and Meta data）：硬盤上的數據和文件按照一定的結構分布在磁盤上，如果這種結構遭到破壞，那么完整的文件或數據也就不存在了。

2、物理故障：物理故障是指硬盤自身發生硬件損壞，導致硬盤無法正常運轉、識別或存取數據。硬盤一般有電路板、固件、磁頭、盤片、電機等電子/軟件/機械三部分組成，而任一組件都可能發生故障。電路故障（PCB burned）：硬盤的電路板燒毀，或硬盤電路板上的控制芯片損壞。由于硬盤電路板使用的都是可編程芯片，所以硬盤電路板的修復不僅僅是“電烙鐵”和“焊錫”的工作。還需要使用專門的編程設備；固件損壞（Firm corrupt）：固件是控制硬盤正常運轉的硬件程序，是硬盤的“大腦”；磁頭和電機故障（Head & motor failed）：磁頭和電機是硬盤的機械組件，位于密閉的、無塵的盤體內部。磁頭會老化、變形；電機會燒毀、卡住，這兩個組件損壞會使得硬盤徹底報廢無法修復，只有使用專門的設備才可恢復數據；盤片損傷（Platter scratch）：盤片是保存數據的載體。硬盤在使用過程中，會由于老化或劃傷產生壞扇區。

3、人為破壞：有時候我們會不小心刪除文件和破壞分區表，這都會造成有效數據的丟失，這種數據丟失需要借助數據恢復軟件或是手工修復來達到數據的恢復。

4、病毒破壞：大多病毒是不會造成數據丟失的，但是少數病毒卻會造成硬盤鎖死，分區丟失或是數據丟失，這時候不能單純的使用殺毒軟件來清理病毒，否則就會造成數據嚴重破壞，一般都是通過專門的軟件來提起數據之后，才做殺毒處理。

接下來，我們再來看一下如何進行硬盤故障后的數據恢復。

1、邏輯故障數據恢復：邏輯故障是指與文件系統有關的故障。硬盤數據的寫入和讀取，都是通過文件系統來實現的。如果磁盤文件系統損壞，那么計算機就無法找到硬盤上的文件和數據。邏輯故障造成的數據丟失，大部分情況是可以通過數據恢復軟件找回的。

2、硬件故障數據恢復：硬件故障占所有數據意外故障一半以上，常有雷擊、高壓、高溫等造成的電路故障，高溫、振動碰撞等造成的機械故障，高溫、振動碰撞、存儲介質老化造成的物理壞磁道扇區故障，當然還有意外丟失損壞的固件BIOS信息等。硬件故障的數據恢復當然是先診斷，對癥下藥，先修復相應的硬件故障，然后根據修復其他軟故障，最終將數據成功恢復。

3、電路故障需要我們有電路基礎，需要更加深入了解硬盤詳細工作原理流程。機械磁頭故障需要100級以上的工作臺或工作間來進行診斷修復工作。另外還需要一些軟硬件維修工具配合來修復固件區等故障類型。

4、磁盤陣列RAID數據恢復：磁盤陣列的存儲原理這里不作講解，可參看本站陣列知識文章，其恢復過程也是先排除硬件及軟故障，然后分析陣列順序、塊大小等參數，用陣列卡或陣列軟件重組或者是使用DiskGenius虛擬重組RAID，重組后便可按常規方法恢復數據。

最后，我們再來看一下數據恢復時的一些技巧。

1、不必完全掃描：如果你僅想找到不小心誤刪除的文件，無論使用哪種數據恢復軟件，也不管它是否具有類似EasyRecovery快速掃描的方式，其實都沒必要對刪除文件的硬盤分區進行完全的簇掃描。因為文件被刪除時，操作系統僅在目錄結構中給該文件標上刪除標識，任何數據恢復軟件都會在掃描前先讀取目錄結構信息，并根據其中的刪除標志順利找到剛被刪除的文件。所以，你完全可在數據恢復軟件讀完分區的目錄結構信息后就手動中斷簇掃描的過程，軟件一樣會把被刪除文件的信息正確列出，如此可節省大量的掃描時間，快速找到被誤刪除的文件數據。

2、盡可能采取NTFS格式分區：NTFS分區的MFT以文件形式存儲在硬盤上，這也是EasyRecovery和Recover4all即使使用完全掃描方式對NTFS分區掃描也那么快速的原因——實際上它們在讀取NTFS的MFT后并沒有真正進行簇掃描，只是根據MFT信息列出了分區上的文件信息，非常取巧，從而在NTFS分區的掃描速度上壓倒了老老實實逐個簇掃描的其他軟件。不過對于NTFS分區的文件恢復成功率各款軟件幾乎是一樣的，事實證明這種取巧的辦法確實有效，也證明了NTFS分區系統的文件安全性確實比FAT分區要高得多，這也就是NTFS分區數據恢復在各項測試成績中最好的原因，只要能讀取到MFT信息，就幾乎能100%恢復文件數據。

3、巧妙設置掃描的簇范圍：設置掃描簇的范圍是一個有效加快掃描速度的方法。像EasyRecovery的高級自定義掃描方式、FinalData和File Recovery的默認掃描方式都可以讓你設置掃描的簇范圍以縮短掃描時間。當然要判斷目的文件在硬盤上的位置需要一些技巧，這里提供一個簡單的方法，使用操作系統自帶的硬盤碎片整理程序中的碎片分析程序（千萬小心不要碎片整理啊，只是用它的碎片分析功能），在分區分析完后程序會將硬盤的未使用空間用圖形方式清楚地表示出來，那么根據圖形的比例估計這些未使用空間的大致簇范圍，搜索時設置只搜索這些空白的簇范圍就好了，對于大的分區，這確實能節省不少掃描時間。

4、使用文件格式過濾器：以前沒用過數據恢復軟件的朋友在第一次使用時可能會被軟件的能力嚇一跳，你的目的可能只是要找幾個誤刪的文件，可軟件卻列出了成百上千個以前刪除了的文件，要找到自己真正需要的文件確實十分麻煩。這里就要使用EasyRecovery獨有的文件格式過濾器功能了，在掃描時在過濾器上填好要找文件的擴展名，如“*.doc”，那么軟件就只會顯示找到的DOC文件了；如果只是要找一個文件，你甚至只需要在過濾器上填好文件名和擴展名（如important.doc），軟件自然會找到你需要的這個文件，很是快捷方便。

參考文獻

[1] 鮑通. 基于Web的數據備份與恢復[J]. 硅谷. 2009（08）

[2] 周荃，趙鳳英，王崇駿，陳世福. 數據挖掘方法在入侵檢測中的應用研究[J]. 模式識別與人工智能. 2008（04）

[3] 孫建華. 硬盤數據恢復技術解析[J]. 電腦知識與技術. 2008（11）

[4] 付合軍. 數據恢復技術與信息安全[J]. 光盤技術. 2006（03）

[5] 張曉娟，楊世松. 硬盤數據恢復在信息安全應急響應中的應用[J]. 微計算機信息. 2006（12）

[6] 翁永平. 文件刪除終極大法[J]. 網絡與信息. 2006（02）