logo
首页
科元简介
服务项目
客户案例
故障类型
数据恢复
收费标准
联系我们
数据恢复
 

数据恢复

    当存储介质出现损伤或由于人员误操作、操作系统本身故障所造成的数据看不见、无法读取、丢失。工程师通过特殊的手段读取却在正常状态下不可见、不可读、无法读的数据。
数据恢复简介
  电子数据恢复是指通过技术手段,将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、Mp3等等设备上丢失的电子数据进行抢救和恢复的技术。

数据恢复原理
  数据存储及恢复的基本原理:现实中很多人不知道删除、格式化等硬盘操作丢失的数据可以恢复,以为删除、格式化以后数据就不存在了。事实上,上述简单操作后数据仍然存在于硬盘中,懂得数据恢复原理知识的人只需几下便可将消失的数据找回来,不要觉得不可思议,在了解数据在硬盘、优盘、软盘等介质上的存储原理后,你也可以亲自做一回魔术师。
分区
  硬盘存放数据的基本单位为扇区,我们可以理解为一本书的一页。当我们装机或买来一个移动硬盘,第一步便是为了方便管理--分区。无论用何种分区工具,都会在硬盘的第一个扇区标注上硬盘的分区数量、每个分区的大小,起始位置等信息,术语称为主引导记录(MBR),也有人称为分区信息表。当主引导记录因为各种原因(硬盘坏道、病毒、误操作等)被破坏后,一些或全部分区自然就会丢失不见了,根据数据信息特征,我们可以重新推算计算分区大小及位置,手工标注到分区信息表,“丢失”的分区回来了。
文件分配表
  为了管理文件存储,硬盘分区完毕后,接下来的工作是格式化分区。格式化程序根据分区大小,合理的将分区划分为目录文件分配区和数据区,就像我们看得小说,前几页为章节目录,后面才是真正的内容。文件分配表内记录着每一个文件的属性、大小、在数据区的位置。我们对所有文件的操作,都是根据文件分配表来进行的。文件分配表遭到破坏以后,系统无法定位到文件,虽然每个文件的真实内容还存放在数据区,系统仍然会认为文件已经不存在。我们的数据丢失了,就像一本小说的目录被撕掉一样。要想直接去想要的章节,已经不可能了,要想得到想要的内容(恢复数据),只能凭记忆知道具体内容的大约页数,或每页(扇区)寻找你要的内容。我们的数据还可以恢复回来。
格式化与删除
  我们向硬盘里存放文件时,系统首先会在文件分配表内写上文件名称、大小,并根据数据区的空闲空间在文件分配表上继续写上文件内容在数据区的起始位置。然后开始向数据区写上文件的真实内容,一个文件存放操作才算完毕。   删除操作却简单的很,当我们需要删除一个文件时,系统只是在文件分配表内在该文件前面写一个删除标志,表示该文件已被删除,他所占用的空间已被"释放", 其他文件可以使用他占用的空间。所以,当我们删除文件又想找回他(数据恢复)时,只需用工具将删除标志去掉,数据被恢复回来了。当然,前提是没有新的文件写入,该文件所占用的空间没有被新内容覆盖。  

    格式化操作和删除相似,都只操作文件分配表,不过格式化是将所有文件都加上删除标志,或干脆将文件分配表清空,系统将认为硬盘分区上不存在任何内容。格式化操作并没有对数据区做任何操作,目录空了,内容还在,借助数据恢复知识和相应工具,数据仍然能够被恢复回来。

   注意:格式化并不是100%能恢复,有的情况磁盘打不开,需要格式化才能打开。如果数据重要,千万别尝试格式化后再恢复,因为格式化本身就是对磁盘写入的过程,只会破坏残留的信息。
理解覆盖
  数据恢复工程师常说:“只要数据没有被覆盖,数据就有可能恢复回来”。因为磁盘的存储特性,当我们不需要硬盘上的数据时,数据并没有被拿走。删除时系统只是在文件上写一个删除标志,格式化和低级格式化也是在磁盘上重新覆盖写一遍以数字0为内容的数据,这就是覆盖。一个文件被标记上删除标志后,他所占用的空间在有新文件写入时,将有可能被新文件占用覆盖写上新内容。这时删除的文件名虽然还在,但他指向数据区的空间内容已经被覆盖改变,恢复出来的将是错误异常内容。同样文件分配表内有删除标记的文件信息所占用的空间也有可能被新文件名文件信息占用覆盖,文件名也将不存在了。

   当将一个分区格式化后,有拷贝上新内容,新数据只是覆盖掉分区前部分空间,去掉新内容占用的空间,该分区剩余空间数据区上无序内容仍然有可能被重新组织,将数据恢复出来。

   同理,克隆、一键恢复、系统还原等造成的数据丢失,只要新数据占用空间小于破坏前空间容量,数据恢复工程师就有可能恢复你要的分区和数据。
硬件故障数据恢复
  硬件故障占所有数据意外故障一半以上,常有雷击、高压、高温等造成的电路故障,高温、振动碰撞等造成的机械故障,高温、振动碰撞、存储介质老化造成的物理坏磁道扇区故障,当然还有意外丢失损坏的固件BIOS信息等。   硬件故障的数据恢复当然是先诊断,对症下药,先修复相应的硬件故障,然后根据修复其他软故障,最终将数据成功恢复。

   电路故障需要我们有电路基础,需要更加深入了解硬盘详细工作原理流程。机械磁头故障需要100级以上的工作台或工作间来进行诊断修复工作。另外还需要一些软硬件维修工具配合来修复固件区等故障类型。
磁盘阵列RAID数据恢复
  磁盘阵列的存储原理这里不作讲解,可参看本站阵列知识文章,其恢复过程也是先排除硬件及软故障,然后分析阵列顺序、块大小等参数,用阵列卡或阵列软件重组,重组后便可按常规方法恢复数据。
常见数据恢复种类
硬盘数据恢复
  硬盘软故障:系统故障:系统不能正常启动、密码或权限丢失、分区表丢失、BOOT区丢失、MBR丢失; 文件丢失:误操作、误格式化、误克隆、误删除、误分区、病毒破坏、黑客攻击、PQ操作失败、RAID磁盘阵列失效等; 文件损坏:损坏的Office系列Word、Excel、Access、PowerPoint文件Microsoft SQL数据库复、Oracle数据库文件修复、Foxbase/foxpro的dbf数据库文件修复;损坏的邮件Outlook Express dbx文件,Outlook pst文件的修复;损坏的MPEG、asf、RM等媒体文件的修复。
硬盘物理故障
  CMOS不认盘; 常有一种“咔嚓咔嚓”的磁头撞击声; 电机不转,通电后无任何声音; 磁头错位造成读写数据错误; 启动困难、经常死机、格式化失败、读写困难; 自检正常,但“磁盘管理”中无法找到该硬盘; 电路板有明显的烧痕等。 磁盘物理故障分类: 盘体故障:磁头烧坏、磁头老化、磁头芯片损坏、电机损坏、磁头偏移、零磁道坏、大量坏扇、盘片划伤、磁组变形; 电路板故障:电路板损坏、芯片烧坏、断针断线。 固件信息丢失、固件损坏等。
U盘数据恢复
  U盘,优盘,XD卡,SD卡,CF卡,MEMORY STICK,,SM卡,MMC卡,MP3,MP4,记忆棒,数码相机,DV,微硬盘,光盘,软盘等各类存储设备。硬盘,移动盘,闪盘,SD卡、CF卡等数据介质损坏或出现电路板故障、磁头偏移、盘片划伤等情况 下,采用开体更换,加载,定位等方法进行数据修复。
Unix数据恢复
  基于Solaris SPARC 平台的数据恢复,基于INTEL 平台的Solaris 数据恢复,可恢复SCO OPERNSERVER数据,HP-UNIX的数据恢复,IBM-AIX的数据恢复

Linux数据恢复

    Linux操作系统中的数据备份工作是Linux系统管理员的重要工作和职责。传统的Linux服务器数据备份的方法很多,备份的手段也多种多样。常见的Linux数据恢复备份方式仅仅是把数据通过TAR命令压缩拷贝到磁盘的其它区域中去。还有比较保险的做法是双机自动备份,不把所有数据存放在一台计算机上,否则一旦这台计算机的硬盘物理性损坏,那么一切数据将不复存在了。所以双机备份是商业服务器数据安全的基本要求。

   RAID恢复 SCSI开盘恢复 服务器数据恢复 数据库数据恢复  

    如何增加磁盘的存取速度,如何防止数据因磁盘的故障而丢失及如何有效的利用磁盘空间,一直是电脑专业人员和用户的困扰,而大容量磁盘的价格非常昂贵,对用户形成很大的负担。磁盘阵列技术的产生一举解决了这些问题。   过去十几年来,CPU的处理速度增加了五十多倍,内存的存取速度也大幅增加,而数据储存装置--主要是磁盘--的存取速度只增加了三、四倍,形成电脑系统的瓶颈,拉低了电脑系统的整体性能,若不能有效的提升磁盘的存取速度,CPU、内存及磁盘间的不平衡将使CPU及内存的改进形成浪费。

   磁盘阵列中针对不同的应用使用的不同技术,称为RAID 等级。

    RAID是Redundant Array of Inexpensive Disks的缩写,而每一等级代表一种技术。目前业界最经常应用的RAID等级是RAID 0~RAID 5。这个等级并不代表技术的高低,RAID 5并不高于RAID 3。至于要选择那一种RAID 等级的产品,纯视用户的操作环境及应用而定,与等级的高低没有必然的关系。

   RAID级别的划分

   目前业界最经常应用的RAID等级是RAID 0----RAID 5。下面将简单描述一些常用的RAID等级,澄清一些应用的问题:

   RAID 0(Striped Disk Array without Fault Tolerance)   RAID 0是把所有的硬盘并联起来成为一个大的硬盘组。其容量为所有属于这个组的硬盘的总和。所有数据的存取均以并行分割方式进行。由于所有存取的数据均以平衡方式存取到整组硬盘里,存取的速度非常快。越是多硬盘数量的RAID 0阵列其存取的速度就越快。容量效率方面也是所有RAID格式中最高的,达到100%。但RAID 0有一个致命的缺点–就是它跟普通硬盘一样没有一点的冗余能力。一旦有一个硬盘失效时,所有的数据将尽失。没法重组回来!一般来讲,RAID 0只用于一些已有原数据载体的多媒体文件的高速读取环境。如视频点播系统的数据共享部分等。RAID 0只需要两个或以上的硬盘便能组成。

   RAID 1(Mirroring)   RAID 1是硬盘镜像备份操作。由两个硬盘所组成。其中一个是主硬盘而另外一个是镜像硬盘。主硬盘的 数据会不停的被镜像到另外一个镜像硬盘上。由于所有主硬盘的数据会不停地镜像到另外一个硬盘上, 故RAID 1具有很高的冗余能力。达到最高的100%。可是正由于这个镜像做法不是以算法操作,故它的容量效率非常的低,只有50%。RAID 1只支持两个硬盘操作。容量非常有限,故一般只用于操作系统中。

   RAID 0+1(Mirroring and Striping)   RAID 0+1即由两组RAID 0的硬盘作RAID 1的镜像容错。虽然RAID 0+1具备有RAID 1的容错能力和RAID 0的容量性能。但RAID 0+1的容量效率还是与RAID 1一样只有50%,故同样地没有被普及使用。

   RAID 3(Striping with dedicated parity)   RAID 3在安全方面以奇偶校验(parity check)做错误校正及检测,只需要一个额外的校检磁盘(parity disk)。奇偶校验值的计算是以各个磁盘的相对应位作XOR的逻辑运算,然后将结果写入奇偶校验磁盘, 任何数据的修改都要做奇偶校验计算。如某一磁盘故障,换上新的磁盘后,整个磁盘阵列(包括奇偶校验 磁盘)需重新计算一次,将故障磁盘的数据恢复并写入新磁盘中,如奇偶校验磁盘故障,则重新计算奇偶 校验值,以达容错的要求。

   RAID 5(Striping with distributed parity)   RAID 5也是一种具容错能力的RAID 操作方式,但与RAID 3不一样的是RAID 5的容错方式不应用专用容错硬盘,容错信息是平均的分布到所有硬盘上。当阵列中有一个硬盘失效,磁盘阵列可以从其他的几个硬盘的对应数据中算出已掉失的数据。由于我们需要保证失去的信息可以从另外的几个硬盘中算出来,我们就需要在一定容量的基础上多用一个硬盘以保证其他的成员硬盘可以无误地重组失去的数据。其总容量为(N-1)x最低容量硬盘的容量。从容量效率来讲,RAID 5同样地消耗了一个硬盘的容量,当有一个硬盘失效时,失效硬盘的数据可以从其他硬盘的容错信息中重建出来,但如果有两个硬盘同时失效的话,所有数据将尽失。   

    RAID 6   与RAID 5相比,RAID 6增加了第二个独立的奇偶校验信息块。两个独立的奇偶系统使用不同的算法,数据的可靠性非常高,即使两块磁盘同时失效也不会影响数据的使用。但RAID 6需要分配给奇偶校验信息更大的磁盘空间,相对于RAID 5有更大的“写损失”,因此“写性能”非常差。较差的性能和复杂的实施方式使得RAID 6很少得到实际应用。   常见的RAID6组建类型 RAID 6(6D + 2P)   1 RAID 6(6D + 2P)原理   和RAID 5相似,RAID 6(6D + 2P)根据条带化的数据生成校验信息,条带化数据和校验数据一起分散存储到RAID组的各个磁盘上。在图1中,D0,D1,D2,D3,D4和D5是条带化的数据,P代表校验数据,Q是第二份校验数据。RAID 6(6D + 2P)根据条带化的数据生成校验信息,条带化数据和校验数据一起分散存储到RAID组的各个磁盘上   RAID 6校验数据生成公式(P和Q):   P的生成用了异或   P = D0 XOR D1 XOR D2 XOR D3 XOR D4 XOR D5   Q的生成用了系数和异或   Q = A0*D0 XOR A1*D1 XOR A2*D2 XOR A3*D3 XOR A4*D4 XOR A5*D5   D0~D5:条带化数据   A0~A5:系数   XOR:异或   *:乘   在RAID 6中,当有1块磁盘出故障的时候,利用公式1恢复数据,这个过程是和RAID 5一样的。而当有2块磁盘同时出故障的时候,就需要同时用公式1和公式2来恢复数据了。   各系数A0~A5是线性无关的系数,在D0,D1,D2,D3,D4,D5,P,Q中有两个未知数的情况下,也可以联列求解两个方程得出两个未知数的值。这样在一个RAID组中有两块磁盘同时坏的情况下,也可以恢复数据。   上面描述的是校验数据生成的算法。其实RAID 6的核心就是有两份检验数据,以保证两块磁盘同时出故障的时候,也能保障数据的安全。

   RAID 7   这是一种新的RAID标准,其自身带有智能化实时操作系统和用于存储管理的软件工具,可完全独立于主机运行,不占用主机CPU资源。RAID 7可以看作是一种存储计算机(Storage Computer),它与其他RAID标准有明显区别。除了以上的各种标准,我们可以如RAID 0+1那样结合多种RAID规范来构筑所需的RAID阵列,例如RAID 5+3(RAID 53)就是一种应用较为广泛的阵列形式。用户一般可以通过灵活配置磁盘阵列来获得更加符合其要求的磁盘存储系统。

   NAS的概念   

    网络存储服务器NAS(Network Attached Storage),是一个专用为提供高性能、低拥有成本和高可靠性的数据保存和传送产品。NAS设备是为提供一套安全,稳固的文件和数据保存,容易使用和管理而设计,其定义为特殊的独立的专用数据存储服务器,内嵌系统软件,可以提供 NFS、SMB/CIFS 文件共享。NAS是基于IP协议的文件级数据存储,支持现有的网络技术,比如以太网、FDDI等。NAS设备完全以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而有效释放带宽,大大提高了网络整体性 能,也可有效降低总拥有成本,保护用户投资。把文件存放在同一个服务器里让不同的电脑用户共享和集合网络里不同种类的电脑正是NAS网络存储的主要功能。正因为NAS网络存储系统应用开放的,工业标准的协议,不同类型的电脑用户运行不同的操作系统可以实现对同一个文件的访问。所以已经不再在意到底是Windows 用户或UNIX用户。他们同样可以安全地和可靠地使用NAS网络存储系统中的数据。

   NAS的特点

  NAS以其流畅的机构设计,具有突出的性能:

   ·移除服务器 I/O 瓶颈:   NAS是专门针对文件级数据存储应用而设计的,将存储设备与服务器完全分离,从而将服务器端数据 I/O瓶颈彻底消除。服务器不用再承担向用户传送数据的任务,更专注于网络中的其它应用,也提高了 网络的整体性能。

   ·简便实现 NT与UNIX下的文件共享:   NAS支持标准的网络文件协议,可以提供完全跨平台文件混合存储功能。不同操作系统下的用户均可将数据存储一台NAS设备中,从而大大节省存储空间,减少资源浪费。

   ·简便的设备安装、管理与维护:   NAS设备提供了最简便快捷的安装过程,经过简单的调试就可以流畅应用。一般基于图形界面的管理系 统可方便进行设备的掌控。同样,网络管理员不用分别对设备进行管理,集中化的数据存储与管理, 节省了大量的人力物力。

   ·按需增容,方便容量规划:   NAS设备可以提供在线扩容能力,大大方便了网络管理员的容量设计。即使应付无法预见的未来存储容 量增长,也显得异常轻松自如。而且,这种数据容量扩充的时候,不用停顿整个网络的服务,这将极大的减少因为停机造成的成本浪费。

   ·高可靠性:   除了刚才我们提到的因为移除服务器端I/O瓶颈而大大提高数据可用性外,NAS设备还采用多种方式提高数据的可用性、可靠性,比如RAID技术的采用、冗余部件(电源、风扇等)的采用以及容错系统的设计等,当然对于不同的设备,可能也会采用其他更高性能的方式或解决方案。

   ·降低总拥有成本:   NAS有一个最吸引用户的地方,就是具有极低的总拥有成本.

   NAS的主要长处

   · 第一,NAS适用于那些需要通过网络将文件数据传送到多台客户机上的用户。NAS设备在数据必须长距离传送的环境中可以很好地发挥作用。

   · 第二,NAS设备非常易于部署。可以使NAS主机、客户机和其他设备广泛分布在整个企业的网络环境中。NAS可以提供可靠的文件级数据整合,因为文件锁定是由设备自身来处理的。

   · 第三,NAS应用于高效的文件共享任务中,例如UNIX中的NFS和Windows NT中的CIFS,其中基于网络的文件级锁定提供了高级并发访问保护的功能。

   SAN的概念   SAN(Storage Area Network,存储区域网),被定义为一个共用的高速专用存储网络,存储设备集中在服务器的后端,因此SAN是专用的高速光纤网络。架构一个真正的SAN,需要接专用的光纤交换机和集线器。存储区域网络是网络体系结构中一种相对新的概念,也是链接服务器和独立于工作网络的在线存储设备的网络。虽然,网络依然在发展过程中,但最重要的 SAN 技术似乎是用于 SCSI 总线连接的光纤通道改进功能。

   SAN的优势

   SAN的优势可以表现在一下几个方面:

   ·高数据传输速度:   以光纤为接口的存储网络SAN提供了一个高扩展性、高性能的网络存储机构。光纤交换机、光纤存储阵列 同时提供高性能和更大的服务器扩展空间,这是以SCSI为基础的系统所缺乏的。同样,为企业今后的应用提供了一个超强的可扩展性。

   ·加强存储管理:   SAN 存储网络各组成部分的数据不再在以太网络上流通从而大大提高以太网络的性能。正由于存储设备与 服务器完全分离,用户获得一个与服务器分开的存储管理理念。复制、备份、恢复数据趋向和安全的管理 可以中央的控制和管理手段进行。加上把不同的存储池 (Storage Pools)以网络方式连接,企业可以以任 何他们需要的方式访问他们的数据,并获得更高的数据完整性。

   ·加强备份/还原能力的可用性:   SAN的高可用性是基于它对灾难恢复,在线备份能力和对冗余存储系统和数据的时效切换能力而来。

   ·同种服务器的整合:   在一个SAN系统中,服务器全连接到一个数据网络。全面增加对一个企业共有存储阵列的连接,高效率和经济的存储分配可以通过聚合的和高磁盘使用率中获得。

   综合SAN的优势,它在高性能数据备份/恢复、集中化管理数据及远程数据保护领域得到广泛的应用。

   SAN与NAS的比较

   SAN和NAS是目前最受人瞩目的两种数据存储方式,对两种数据方式的争论也在一直进行着,即使继续发展其他的数据存储方式,也或多或少的和这两种方式存在联系。NAS和SAN有一个共同的特点,就是实现了数据的集中存储与集中管理,但相对于一个存储池来讲,SAN和NAS还是有很大差别的。NAS是独立的文件服务器,存储操作系统不停留在通用服务器端,因此可以实现同一存储池中数据的独享与共享,而SAN中的数据是基于块级的传输,文件系统仍在相应的服务器上,因此对于一个混合的存储池来讲,数据仍是独立存在的,或者说是服务器在独享存储池中的一部分空间。这两个存储方案的最大分别是在于他们的访问方法。SAN存储网络系统是以块(Block)级的方式操作而NAS网络存储系统是以文件(File)级的方式表达。这意味着NAS系统对于文件级的服务有着更高效和快速的性能,而应用数据块(Block)的数据库应用和大数据块(Block)的I/O操作则以SAN为优先。基于SAN和NAS的很大不同,很多人将NAS和SAN绝对的对立起来,就目前的发展观点来看,这一绝对的对立是不能被市场接受的,相反更多的数据存储解决方案趋向于将NAS和SAN进行融合,这是因为:

   ·一些分散式的应用和用户要求访问相同的数据

   ·对提供更高的性能,高可靠性和更低的拥有成本的专有功能系统的高增长要求

   ·以成熟和习惯的网络标准包括TCP/IP, NFS和CIFS为基础的操作

   ·一个获得以应用为基础而更具商业竞争力的解决方案欲望

   ·一个全面降低管理成本和复杂性的需求

   ·一个不需要增加任何人员的高扩展存储系统

   ·一套可以通过重构划的系统以维持目前拥有的硬件和管理人员的价值

   由于在一个位置融合了所有存储系统,用户可以从管理效率、使用率和可靠性的全面提高中获得更大的好处。SAN已经成为一个非常流行的存储集中方案,因为光纤通道能提供非常庞大的设备连接数量,连接容易和存储设备与服务器之间的长距离连接能力。同样地,这些优点在NAS系统中也能体验出来。一套会聚SAN和NAS的解决方案全面获得应用光纤通道的能力,从而让用户获得更大的扩展性,远程存储和高性能等优点。同样这种存储解决方案全面提供一套在以块(Block)和文件(File)I/O为基础的高效率平衡功能从而全面增强数据的可用性。应用光纤通道的SAN和NAS,整个存储方案提供对主机的多层面的存储连接、高性能、高价值、高可用和容易维护等优点,全由一个网络结构提供。  

  RAID是英文Redundant Array of Inexpensive Disks的缩写,中文简称为廉价磁盘冗余阵列。RAID就是一种由多块硬盘构成的冗余阵列。   虽然RAID包含多块硬盘,但是在操作系统下是作为一个独立的大型存储设备出现。利用RAID技术于存储系统的好处主要有以下三种:

   1. 通过把多个磁盘组织在一起作为一个逻辑卷提供磁盘跨越功能

   2. 通过把数据分成多个数据块(block)并行写入/读出多个磁盘以提高访问磁盘的速度

   3. 通过镜像或校验操作提供容错能力

   最初开发RAID的主要目的是节省成本,当时几块小容量硬盘的价格总和要低于大容量的硬盘。目前来看RAID在节省成本方面的作用并不明显,但是RAID可以充分发挥出多块硬盘的优势,实现远远超出任何一块单独硬盘的速度和吞吐量。除了性能上的提高之外,RAID还可以提供良好的容错能力,在任何一块硬盘出现问题的情况下都可以继续工作,不会受到损坏硬盘的影响。

   RAID技术分为几种不同的等级,分别可以提供不同的速度,安全性和性价比。根据实际情况选择适当的RAID级别可以满足用户对存储系统可用性、性能和容量的要求。常用的RAID级别有以下几种:NRAID,JbOD,RAID0,RAID1,RAID0+1,RAID3,RAID5等。目前经常使用的是RAID5和RAID(0+1)。

   总结

   这只是让大家基本了解数据存储和数据恢复的基本原理,不是给那些数据恢复高手看的。目的是让大家不再感觉到数据恢复的神秘,懂得一点数据恢复的知识和数据恢复原理,可以最大限度的拯救遭遇意外的数据,避免更大的损失。真正的原理和数据恢复工作要稍微复杂一些。

   注意:当数据出现问题时请勿自行操作以免造成数据覆盖无法恢复,切记!!!

    常用数据恢复软件:

   效率源DATACOMPASS、salvtiondata、PC-3000、Final Data、 Easy Recovery、easy undelete、PTDD、WinHex、R-STUDIO、DiskGenius、RAID Reconstructor、易我数据恢复向导等。

   Easyrecovery是一个非常著名的老牌数据恢复软件。该软件功能可以说是非常强大。无论是误删除/格式化还是重新分区后的数据丢失,其都可以轻松解决,其甚至可以不依靠分区表来按照簇来进行硬盘扫描。但要注意不通过分区表来进行数据扫描,很可能不能完全恢复数据,原因是通常一个大文件被存储在很多不同的区域的簇内,即使我们找到了这个文件的一些簇上的数据,很可能恢复之后的文件是损坏的。所以这种方法并不是万能的,但其提供给我们一个新的数据恢复方法,适合分区表严重损坏使用其他恢复软件不能恢复的情况下使用。Easyrecovery最新版本加入了一整套检测功能,包括驱动器测试、分区测试、磁盘空间管理以及制作安全启动盘等。这些功能对于日常维护硬盘数据来说,非常实用,我们可以通过驱动器和分区检测来发现文件关联错误以及硬盘上的坏道。

   R-Studio 是功能超强的数据恢复、反删除工具,采用全新恢复技术,为使用 FAT12/16/32、NTFS、NTFS5(Windows 2000系统)和 Ext2FS(Linux系统)分区的磁盘提供完整数据维护解决方案!同时提供对本地和网络磁盘的支持,此外大量参数设置让高级用户获得最佳恢复效果。具体功能有:采用 Windows资源管理器操作界面;通过网络恢复远程数据(远程计算机可运行Win95/98/ME/NT/2000/XP、Linux、UNIX 系统);支持 FAT12/16/32、NTFS、NTFS5 和 Ext2FS文件系统;能够重建损毁的RAID阵列;为磁盘、分区、目录生成镜像文件;恢复删除分区上的文件、加密文件(NTFS 5)、数据流(NTFS、NTFS 5);恢复FDISK或其它磁盘工具删除过得数据、病毒破坏的数据、MBR 破坏后的数据;识别特定文件名;把数据保存到任何磁盘;浏览、编辑文件或磁盘内容等等。
    数据恢复的技巧
  1.不必完全扫描   如果你仅想找到不小心误删除的文件,无论使用哪种数据恢复软件,也不管它是否具有类似EasyRecovery快速扫描的方式,其实都没必要对删除文件的硬盘分区进行完全的簇扫描。因为文件被删除时,操作系统仅在目录结构中给该文件标上删除标识,任何数据恢复软件都会在扫描前先读取目录结构信息,并根据其中的删除标志顺利找到刚被删除的文件。所以,你完全可在数据恢复软件读完分区的目录结构信息后就手动中断簇扫描的过程,软件一样会把被删除文件的信息正确列出,如此可节省大量的扫描时间,快速找到被误删除的文件数据。

   2.尽可能采取NTFS格式分区   NTFS分区的MFT以文件形式存储在硬盘上,这也是EasyRecovery和Recover4all即使使用完全扫描方式对NTFS分区扫描也那么快速的原因——实际上它们在读取NTFS的MFT后并没有真正进行簇扫描,只是根据MFT信息列出了分区上的文件信息,非常取巧,从而在NTFS分区的扫描速度上压倒了老老实实逐个簇扫描的其他软件。不过对于NTFS分区的文件恢复成功率各款软件几乎是一样的,事实证明这种取巧的办法确实有效,也证明了NTFS分区系统的文件安全性确实比FAT分区要高得多,这也就是NTFS分区数据恢复在各项测试成绩中最好的原因,只要能读取到MFT信息,就几乎能100%恢复文件数据。

   3.巧妙设置扫描的簇范围   设置扫描簇的范围是一个有效加快扫描速度的方法。像EasyRecovery的高级自定义扫描方式、FinalData和File Recovery的默认扫描方式都可以让你设置扫描的簇范围以缩短扫描时间。当然要判断目的文件在硬盘上的位置需要一些技巧,这里提供一个简单的方法,使用操作系统自带的硬盘碎片整理程序中的碎片分析程序(千万小心不要碎片整理啊,只是用它的碎片分析功能),在分区分析完后程序会将硬盘的未使用空间用图形方式清楚地表示出来,那么根据图形的比例估计这些未使用空间的大致簇范围,搜索时设置只搜索这些空白的簇范围就好了,对于大的分区,这确实能节省不少扫描时间。

   4.使用文件格式过滤器   以前没用过数据恢复软件的朋友在第一次使用时可能会被软件的能力吓一跳,你的目的可能只是要找几个误删的文件,可软件却列出了成百上千个以前删除了的文件,要找到自己真正需要的文件确实十分麻烦。这里就要使用EasyRecovery独有的文件格式过滤器功能了,在扫描时在过滤器上填好要找文件的扩展名,如“*.doc”,那么软件就只会显示找到的DOC文件了;如果只是要找一个文件,你甚至只需要在过滤器上填好文件名和扩展名(如important.doc),软件自然会找到你需要的这个文件,很是快捷方便。
    数据恢复需要的技能
  数据恢复是一个技术含量比较高的行业,数据恢复技术人员需要具备汇编语言和软件应用的技能,还需要电子维修和机械维修以及硬盘技术。

   第一:软件应用和汇编语言基础

   在数据恢复的案例中,软件级的问题占了三分之二以上的比例,比如文件丢失、分区表丢失或破坏、数据库破坏等,这些就需要具备对DOS、Windows、Linux以及Mac的操作系统以及数据结构的熟练掌握,需要对一些数据恢复工具和反汇编工具的熟练应用。

   第二:电子电路维修技能   在硬盘的故障中,电路的故障占据了大约一成的比例,最多的就是电阻烧毁和芯片烧毁,作为一个技术人员,必须具备电子电路知识已经熟练的焊接技术。

   第三:机械维修技能   随着硬盘容量的增加,硬盘的结构也越来越复杂,磁头故障和电机故障也变的比较常见,开盘技术已经成为一个数据恢复工程师必须具备的技能。

   第四:硬盘固件级维修技术   硬盘固件损坏也是造成数据丢失的一个重要原因,固件维修不当造成数据破坏的风险相对比较高,而固件级维修则需要比较专业的技能和丰富的经验。
    数据恢复案例分析
  一、修复重装XP后的Ubuntu引导分区

  前天,我的windows xp崩溃了,于是重装xp,把原来的Ubuntu引导分区表mbr给冲掉了,不过没关系,修复一下mbr就可以了。 首先说一下mbr的作用:当我们启动计算机时。计算机首先运行Power On Self Test(POST),即加电自检。POST检测系统的总内存以及其他硬件设备的现状。如果计算机系统的BIOS(基础输入/输出系统)是即插即用的,那么计算机硬件设备将经过检验以及完成配置。计算机的基础输入/输出系统(BIOS)定位计算机的引导设备,然后MBR(Master Boot Record-硬盘主导记录)被加载并运行。如果用户仅安装Windows98,则被自动引导到桌面。如果是WindowsXP/2000/2003,那么则会将控制权交给NTLDR-系统加载器,调用Boot.ini,显示多重选单文件。抹MBR就是抹硬盘引导记录。

   当我们重装了windows以后,由于硬盘mbr被重写,即把原来mbr中grub的信息清除了,那么grub自然就不能启动了,也就不能引导linux了,此时很多人可能就只能重装linux了,但其实只需简单的对mbr修复一下就可以了。   下面就说一下修复mbr的方法:

   首先,把Ubuntu的安装光盘放进去,然后启动.正常进入安装界面,打开终端:

   1、输入:sudo grub,于是变成   grub>

   2、先找到你的ubuntu的启动分区在哪(就是你的/boot目录所在的分区)   输入:find /boot/grub/stage1   我机器上回车之后显示:(hd0,2) 这里hd0是指第一个硬盘,2代表第3个分区,即Ubuntu根目录所在分区(0代表第一个分区)。

   3、输入:grub>root (hd0,2)

   4、输入:grub>setup (hd0)   如果出现successed,就表示成功了。   

     5、输入:grub>quit,然后重启。

   对于有多个硬盘的朋友,请但是注意一点,如果你的windows装在第一块磁盘,而linux装在第二块磁盘,而你的bios设置为从第一块磁盘启动,那么在进行以上第3步的时候,一定要把参数设为你的第一块磁盘。即要把grub装入引导硬盘的mbr里,当然,比较傻瓜的,你可以将grub装入每块硬盘的mbr,不信你试试看,肯定可以启动,这只是一个先后次序问题。

  二、NTFS格式大硬盘数据恢复

特殊案例

   公司一块80G 迈拓金九硬盘,某天突然进不了分区,提示为“无法访问X: 参数错误”。硬盘上为该公司为本市摄制和编辑的运动会视频和音频文件,摄录磁带中已清除,运动会也不可能再开一次。先前到某电脑公司去试过,结果没能解决问题。广告公司经理和我的一个朋友是朋友,知道此事后就转来我处。

   修复过程:该硬盘为只有一个NTFS分区的数据盘,先在DOS下用扇区编辑软件查看LBA0--63扇区,结果发现分区表和63扇区都有错误,1—62扇区间有大量扇区被写上不明代码,87-102扇区不正常,先手工修复分区表,恢复63引导扇区,删除1—62扇区间的代码。87-102扇区之间暂不处理,到WINDOWS下检查,结果还是出现同样的提示,试用恢复软件1,可以看到目录结构,再试FINALDATE,这个软件此时太不尽人意;用恢复软件1选择某目录进行试恢复,结果28个试恢复文件只恢复2个,其余的全部为0字节,恢复工作陷入困境。再次对79-102扇区进行分析,79扇区面目全非,被严重篡改破坏,80-86扇区被清空,87-102扇区的内容也不正常。经过一番苦思冥想,对某些扇区进行备份后做清除,备份被放到1-62扇区之间,以备不测时改回原样。   

    再次在WINDOWS下用恢复软件1进行恢复,让其读该盘约10秒钟,停止扫描,看到的内容和前面提到的相同,试恢复一个文件夹,从恢复过程能看到这时恢复动作正常了,随后对其余的文件和文件夹进行恢复,近3个多小时后,63.9G资料全部恢复,文件中几乎就AVI、WAV、PSD和其它格式的图形文件,逐个打开完全正常。恢复工作顺利结束,大功告成。

   后来一个朋友说这个分区应该是2000格式化出来的,mft在分区的前面,很容易被破坏,象此案里里面87-102扇区里大约有6个左右的用户文件/文件夹是恢复不出来的,但102~~以后的文件应该能完全恢复的。在ntfs里面,一般90扇区以后的mft才是用户的文件信息,前面的是系统的一些元文件,对数据恢复影响不大的。

   个人觉得ntfs还是比较先进的,文件碎片都放在一个mft里面,只要这个扇区没有被破坏,就可以恢复。 NTFS的结构确实比较复杂,正常情况下所有的操作MFT中有记录。但是,那些扇区被使用,那些没被使用,这些概念还是很有用的。

   实验盘被删除79-102扇区内容后,开机后不需要第三方软件,文件和目录直接可以读出拷贝到其它地方。查看被删除扇区内容,95扇区后的内容都自动修复了,80-94嘛。。。。看来MFT中应该还有一个备份,或是具有自动修复功能。

   故障盘为何就不能自动修复?且不让访问。故障盘中某些扇区看来是被利用了。它的数据恢复是通过第三方软件得到的,对第三方软件来讲,就算格式化了,绝大部分数据还是能找回来的。

 

8888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888

一、数据恢复服务项目
1、服务器数据恢复、磁盘阵列数据恢复(RAID0、RAID1、RAID10、RAID1E、RAID5、RAID50、RAID5E、RAID5EE、惠普双循坏、RAID6、JBOD);
2、数据库数据恢复(SQL SERVER、ORACLE、MYSQL、SYBASE、DB2);
3、服务器硬盘检测不到数据恢复、开盘数据恢复、硬盘坏道数据恢复;
4、服务器磁盘阵列误分区、误格式化、误GHOST、重装系统、一键还原、误删除、病毒破坏后的数据恢复;
5、监控录像数据恢复、DV数据恢复、摄像机数据恢复;
6、录音笔数据恢复、U盘数据恢复、相机卡数据恢复。

二、数据恢复恢复效果:

RAID5损坏两块盘可以完全恢复RAID数据
可以恢复出被认为无法恢复的目录和文件;对于删除的文件进行独特的算法进行恢复;
即使分区类型改变了也能恢复出原分区的目录和文件;
对于Ghost破坏的桌面文件和C盘数据,没有覆盖到的数据还可以恢复回来;
对于分区打不开或者提示格式化的情况能快速恢复。
对于Ghost成一个C盘的情况,原DEF盘可以100%完全恢复。
三、数据恢复服务承诺:
免费检测:免费检测您的数据损坏程度,不收取任何费用。
免费上门: 北京地区免费上门,现场进行数据恢复,恢复不了数据不收费用,节假日不休息。
免费咨询:我们的工程师会分析您的数据损坏原因,给您合理的建议。
安全恢复:只读不写,在备份的镜像盘上操作,保护原盘数据不受破坏。
固定报价:进行恢复之前确定好服务价格,不收取任何附加费用;数据恢复成功后收费。
保密承若:客户数据严格保密,可签订保密协议。
四、数据丢失处理方法:
    1、数据恢复的成功与否,在很大程度上决定于数据出现灾难后的操作是否正确。
    2、如果是由病毒感染、误分区、误格式化等原因造成的数据丢失,千万不要再用该硬盘进行任何操作,更不能继续往上面写任何数据;
    3、如果是由硬件原因造成的数据丢失(如硬盘受到激烈振动而损坏),则要注意事故发生后的保护工作,不应继续对该存储器反复进行测试。
    4、当发现介质读写速度很慢或出现异响,请马上断电,并且任何时候都不要尝试低级格式化操作。
    5、服务器RAID损坏,不要进行强制上线及重建初始化等操作。 
五、数据恢复之疑问——数据丢失后都能恢复吗?
   对于数据恢复,很多人会由于不了解数据存储的底层原理,往往容易产生两个认知上的极端:一种是遇到类似情况即认为数据已经彻底丢失,从未听说或考虑是否还有可能进行恢复;另一种情况是把数据恢复当做万能的技术,认为不管什么情况,数据恢复工程师都可以把数据“完整无缺”地恢复到原来的程度。这两种认识都是不完全的。

(一)、 误删除、误分区、误格式化、误克隆、病毒破坏后的数据是可以恢复的

    1、误删除数据恢复
    操作系统在对文件进行删除操作时,根据使用的文件系统的不同,会进行不同的删除操作,一般是对该文件的元数据做了相应的改动----做删除标记,清空文件链表等,而文件真正占用的空间在被新的数据覆盖前是不会发生变化的。所以说,仍然有被恢复的可能。
    2、 误分区数据恢复
    所谓的误分区是指删除原来的分区并重新建立了新的分区。根据不同的操作系统和平台,分区操作一般只对主引导扇区、引导扇区或磁盘标签等位置做相应的操作,不会对数据区产生破坏。因此,如果只是做了分区操作而并没有进行格式化操作,基本上数据可以完整的恢复。
    3、误格式化数据恢复
    格式化的破坏性则因格式化前所使用的文件系统的不同而不同,也与使用哪种文件系统进行了格式化有关系,情况比较复杂。但总体来讲,恢复的可能性仍然是存在的。
    4、误克隆数据恢复
    误克隆,一般指的是使用ghost软件对它所支持的文件系统分区或磁盘进行恢复操作时因操作不当而造成的分区错误(较典型的是硬盘上原来有多个分区误操作后整个磁盘变成一个分区),或进行克隆操作时目标位置选择错误造成目标位置的数据丢失等。误克隆后的数据恢复成功率也受各种因素的制约,情况比较好时有可能100%恢复,但也不排除有彻底无法恢复的情况。
    5、病毒破坏数据恢复
    病毒破坏的情况更为复杂,有的病毒只是恶作剧地对数据的元数据做小小的改动,对操作系统进行欺骗以使操作系统认为该数据已被删除而不对其进行显示,但该数据的存储链表、数据内容则不会有任何的变化,数据可以完好无损地被恢复;也有的病毒会对数据进行类似于操作系统的删除操作;甚至有的病毒会对数据的存储管理方式进行加密操作,一旦有杀毒软件介入进行杀毒操作后,原有的被加密的数据将无法被正确地读取。
(二)、 数据丢失后,并不是所有情况下都可以100%地被恢复

    数据在介质内的存储方式非常复杂,数据存储的方式、丢失的原因,数据丢失后是否被及时发现以及进行了哪些后续操作,都直接或间接地对数据是否能够挽回、能够挽回多少产生着重大的影响。
    误删除、误分区、误格式化、误克隆、病毒破坏后的数据恢复的结果一般为有以下几情况:
1、 数据100%被恢复
    在某些情况下,如只是分区表或分区引导记录或磁盘标签(根据平台以及操作系统和文件系统的不同而异)出现错误,进行数据管理的元数据以及数据内容部分没有被破坏的情况下,很大程度上可以100%恢复数据。
2、 数据部分恢复
    因为各种文件系统对数据的存储方式不同,所以当发生数据被删除、分区被格式化等情况时,数据恢复的成功率存在着很大的差异。例如FAT32文件系统,在目录项中使用高位与低位两部分记录一个文件或目录的起始簇号位置,当文件或目录被删除时,记录起始簇号的高位会被清零,只剩余低位的数字表示的数据起始位置当然与数据实际所在的位置不同了,这就加大的恢复数据时的难度,有时甚至是致命的。而且FAT32使用FAT表链记录文件所占用的数据块间的关系,删除操作会清空被删除文件的FAT表链,而格式化操作则会对整个FAT表进行清空,失去FAT表的数据就象是一盘散沙一样,如果一个文件存在碎片(即被分为几个部分存储在几个不连续的位置),则很难再重新组织到一起。
3、 数据恢复后目录结构混乱或丢失
    很多时候,数据丢失后没有被及时发现、发现后仍然向存储介质中写入数据以及克隆等直接覆盖式的写入造成的数据丢失,或者存储结构的链接关系被破坏等都会导致某些目录结构丢失。而目录结构丢失的情况下也有可能会致使存储于其中的文件丢失。
4、 所有目录结构全部丢失,只能根据所需要的文件类型的特征进行恢复,恢复出的文件无文件名
    这是最糟糕的情况(当然比完全无法恢复要好些),如果在存放数据时没有很好地为数据建立适当的文件夹,或者目录结构、元数据遭受到非常严重的破坏,则只能根据需要的文件类型(如word文档、电子表格等)进行恢复。从理论意义上讲,这种恢复是可行的,因为数据内容部分很有可能是完好的,但因为存储其文件名的上级目录结构或元数据遭到破坏,所以是没有文件名的。而从实际使用意义上讲,如果数据量非常大且比较繁杂的情况下,因恢复出来的数据没有文件名而难以在短时间内整理归类,对于急用的数据而言可能会意义不大,但对于绝对不可丢失或长期保存的资料性、纪念性数据还是非常有意义的。

5、 数据彻底丢失,无法恢复
    这种情况通常出现在数据丢失后,进行了不正确的处理方式,如继续向丢失数据的存储介质中写入数据等,一旦因错误操作而导致数据被覆盖,则很难再恢复。

    我们提供底层数据恢复技术,只要数据没有被覆盖,文件就能找得到。

 

 

 

 
京ICP备17011772号 | 京ICP备17011772号 | 京ICP备17011772号 | 硬盘数据恢复 | Linux服务器数据恢复 | RAID5数据恢复 | 数据库修复 | 北京服务器数据恢复 | RAID数据恢复 |
首页
科元简介
服务项目
客户案例
故障类型
数据恢复
收费标准
网站地图
CopyRight © 2006-2021 All Rights Reserved.版权所有:科元复得数据恢复 京ICP备17011772号https://beian.miit.gov.cn