真的有读盘机能够恢复硬盘的数据吗

hetaofen

问题1：真的有读盘机能够恢复硬盘的数据吗？

    最近几年，国内的数据恢复行业有了较大的发展，人们对这个行业也逐渐有了一定的认识，但出于商业利益的考虑，从事这个行业的商家在技术上遮遮掩掩，甚至故弄玄虚，让消费者不辩真假，自从国内某网站发了几个号称是国外的读盘机的照片后，被人炒的沸沸扬扬，有人还写文章说国内哪儿有这个设备在对外服务，更有无良商家号称自己开发出了这种设备，现对外服务云云，坑骗消费者；真的有这种设备吗？我们下面就有关的技术问题做一个探讨。
    要不依靠磁头，采用所谓的激光直接读取硬盘的数据，目前从原理上来说无非有两种方法：一种是利用磁光的克尔效应，一种是利用已在磁性材料研究方面广泛应用的磁力显微镜，下面我们详细分析一下它们各自的原理和局限性。

一、磁光克尔效应
  克尔效应是1876年由物理学家克尔发现的，当偏振光照射到磁性物质上发生反射时，反[fly]射光的偏振角在磁场的作用下会发生改变；那么如果我们将一束偏振光照到硬盘的盘片上，再检测它的反射光的偏振角的变化不就能读出硬盘上的数据吗？理论上是这样，甚至我们都能买到这样的产品，那就是MO，可惜到现在3.5吋的MO最大容量也不过1个多G，算上硬盘的两个面也就3G左右，谁还会有单碟容量3G的盘要用这种方法恢复数据呢？那为什么不能生产容量大一些的呢？如果要生产大容量的产品,就要减小偏振光的波长，必然需要短波长的偏振光发生器，而现在最大容量的蓝光光盘的容量才多大呢？那还是5.25吋的，要3.25吋容量还更小；同时因为克尔效应所产生的偏振角的改变是非常小的，只有零点几度，而且还要受到磁场强度和偏振光波长的影响，即便有了满足容量要求的偏振光发生器，这么高精度的检偏器也生产不出来，更何况它们还必须做成一体的，而且这种方法的读取速度也是很慢的，大家看看MO的速度就知道，所以使用这个原理的读盘机是不存在的，那网站的图片是什么呢？由于图片不够清晰，不能准确分辩其生产厂和型号，就只能让人去猜测了。

二、磁力显微镜
    磁力显微镜是上世纪80年代末发明的一种显微镜，它是将一个以很小的探针悬在磁性物质的上面，在磁场的作用下，探针会发生偏转进而带动上面的一个小镜面，利用一束激光照射镜面，然后探测激光的反射角的变化来检测磁场的大小，再将激光的偏转角经过光电转换形成磁场的伪图像的装置（有兴趣深入研究的话，可以下载附件看看）；如果是硬盘盘片的话，用磁力显微镜可以得到盘片上的磁力图，按理说是可以得到硬盘的数据的，但请注意，我发现在磁力图上不能分辩磁化的方向，要知道硬盘上可是用磁化方向的改变来判定0和1的，但这个似乎还不是大问题，问题是，磁力显微镜一次能观测的范围很小，约10×10平方微米，耗时约5分钟，大家可以算算，要用它完整扫描3.5吋盘的一个面需要多长时间，更不要说多盘面的硬盘了，而且，在转换扫描点的过程中的准确定位问题如何解决？还有，它得到的是图像文件，大家可以想象一下一个完整盘面的数据量会有多大？要将这些图片拼接识别成数据需要什么样的电脑来处理呢？所以这个方法也不太现实。

    除了上面分析的原因外，还有其它的方面，一是硬盘存储数据的时候并不是我们往数据接口上输入个1它就写个1，它是经过RLL编码才写入的，不同型号的硬盘编码的方式不一定相同，再加上不同的硬盘的0磁道的起点不同，坏道的数量、位置不同（P-List、G-List不同）需要识别的工作量就更大。只有所有的这些技术问题都得到了完满的解决才能生产出所谓的读盘机，这样的可能性在现有的技术条件下有多大呢？

    既然采用所谓激光直接读取盘片数据的读盘机不可能生产出来，那么有没有其它办法生产出能直接读取盘片上的数据的设备呢？理论上是可能的，不过依然只能使用磁头来读取数据，在盘片生产过程中有一种盘片动态测试仪就是这么工作的，它能测出盘片的信噪比和误码率，不过它测试的盘片连伺服信息都没有，如果是读取一个写了数据的盘片，那么它的定位、中心调整、动平衡等机械问题和数据预放、ECC、CRC、RLL解码、P-List、G-List的处理等工作，特别是机械方面的难度是非常大的，更何况要适应所有厂家、所有型号的硬盘就更困难，反正到现在也没见到过类似的数据恢复设备，但有数据恢复研究机构早就在做一些研究性的工作，感兴趣的网友可以下载附件研究研究，希望有一天能见到这种设备在数据恢复工作中使用，毕竟市场的需求是很大的，如果真的像大家希望的连盘片物理损坏都能读到数据那何乐而不为呢。

问题2：数据恢复机构能恢复覆盖了的数据吗？
    我们有时会看到数据恢复机构的广告中说他们能恢复覆盖了的数据，在网上也能查到有关的说法；这可能有两种情况，第一种是他们能恢复被部分覆盖的介质的没有覆盖的部分的数据，第二种情况是他们的确有能力恢复被覆盖的扇区覆盖前的数据。
     如果只是第一种情况，那么显然这些广告或文章中偷换了概念，对数据恢复方面稍有了解的人都知道，没有覆盖的部分的数据依然是存在的，要恢复它并不是一件困难的事；而第二种情况显然要复杂得多，通过查阅相关的资料发现有很多说法认为覆盖前的数据是有可能恢复的，主要有以下几种理由：第一种理由是，由于纵向磁记录的硬盘的磁介质由多层的小磁柱组成，在磁头对介质磁化的过程中，下层的小磁柱没有被充分磁化而保留了原来的数据信息，只要用适当的设备读取深层磁柱的信号，就能分析出覆盖前的数据；第二种理由是由于硬盘主要是由机械部件构成的数据记录媒体，那么在记录过程中因为机械的重复性误差的存在，使得后写入的数据不能准确覆盖前面的数据，在磁力显微镜下是能看到在现有数据记录的边缘还有前面的记录的残存，这样通过分析边缘的残存的信息就能恢复覆盖前的数据；第三种理由是由于磁性材料在外磁场撤销后（就是磁头移位后）的磁场强度会发生微小的变化，那么如果是在原来为0的数据位写上了个1，那么它的磁场强度就只有0.95个标准1的强度，如果是在原来为1的数据位上写上了个1，那么它的磁场强度就有1.05个标准1的强度，这样，只要在硬盘的预放电路部分接上一个足够灵敏的放大器，将磁头读取的信号放大后与标准的1的电平进行比较就能得到覆盖前的数据。

    经过查阅相关的资料，我们发现关于深层数据恢复的说法似乎并无根据，由于硬盘的数据是用RLL编码的形式编码后存入硬盘的，而RLL编码有一个很重要的特性就是只有有翻转才有数值的变化，然后再根据编码规律进行译码；既然磁头在写入数据时需要让小磁柱翻转，那么它写入时的磁场强度必须足够大，至少要大于磁性材料的矫顽力，实际上还要大才行，这样就不存在深层的粒子无法翻转的情况，至于测量其磁场强度，目前并没有发现相关的实验方法，而且就算能测量，由于已经发生了翻转，还有什么意义呢？

    关于后两种说法，查阅资料发现都来源于Peter Gutmann的《Secure Deletion of Data from Magnetic and Solid-State Memory》，在IEEE上有很多相关的文章，其中关于边缘残留问题，我没有找到原文中提到的磁力显微镜的磁力图，但从本站的附件的Data-Independent Data Recovery Ver14Alrs.pdf中看到确实存在，这也是我查阅了大量资料后唯一发现的一张图片，但请大家注意，这篇Gutmann的文章第一次发表于1996年，那时的硬盘容量很小，磁道宽度和间距都很大、盘片转速低，对机械的精度要求低，所以有这种情况，而Data-Independent Data Recovery Ver14Alrs.pdf中的图片也无法确认是用什么盘做的实验；在很多的争论文章中，这位Daniel FeenBerg的《Can Intelligence Agencies Read Overwritten Data？》中描述了Gutmann的图片情况，也并不是每一张图的每一位都能看到边缘的残留，那么这少量分散的残留对恢复数据有什么意义呢？同时，由于磁力显微镜的分辨率最高就只有30nm，而现在的硬盘的磁道宽度已经接近甚至小于这个数，那还怎么分辨边缘的那一点点残留呢？

    关于0上写1和1上写1的问题，由于有翻转才有数值的改变，那么如果是往IDE口写个1或0，经过编码已经不是原来的1和0了，如果是编码后的情况，那么还有1上写0和0上写0的情况，0和1并不是用磁场强度的大小来衡量的，而是根据翻转来衡量的，这样一来，这种说法就没有什么意义了。

    在《Can Intelligence Agencies Read Overwritten Data？》中作者还调查了几个国家的相关机构，并没有发现哪里能恢复已被覆盖了的数据，而且这篇文章的发表日期还晚几年，所以从目前的情况来看，已经被覆盖的数据还是没有被恢复的直接证据的。
当然，由于条件所限，我没查到更多的IEEE中的相关研究文献，如果哪位网友有有关的资料，我很有兴趣研究一下。

问题3：国内数据恢复市场初步印象！
    因为工作的原因，去年有机会对国内的数据恢复市场做了个初步的了解，这两年国内的数据恢复市场的发展的确很快，用户对数据恢复的需求也有较大增长，同时对数据恢复行业也逐渐有了了解。

    我通过网上搜索的方式找寻有实力的数据恢复机构，同时也走访了国内的一些电脑市场，尽可能的找机会到可能有实力的数据恢复机构考察，发现现在国内的数据恢复机构差不多遍地开花，很多电脑市场都能看到数据恢复广告，数据恢复培训机构也很容易找到。

    数据恢复是一个比较特殊的行业，可以说是在用最原始的工具解决一些非常棘手的技术问题，是对客户出现意外情况的一种补救措施，它对机构的设备、管理、人员技术素质和职业道德水准有很高的要求，忽视任何一个问题都有可能给客户带来进一步的损失，从我的了解来看目前国内的数据恢复行业的状况是令人担忧的。

    首先，我们说说设备，从各种数据恢复机构的网站上看，国内似乎拥有国际最先进的设备，几乎个个机构都有100级的无尘设备，拥有全套的开盘设备，甚至电脑市场的一个摊档就声称有读盘机，能处理任何的硬件故障，因为只要拆出盘片就能将数据读出来；但仔细看看网页就会发现，大多数声称拥有无尘设备的机构都是盗用国内外相关机构的网页图片，或者是利用客户不了解无尘设备知识的情况，将一个根本就没有空气过滤系统的房间或玻璃箱样的东西声称为无尘设备，更有甚者，用绘图软件画个模糊的图像也说是无尘工作间，这些机构要么是在普通的工作环境下开盘，要么又将客户的介质交给另一家声称拥有无尘设备的机构去处理，由于部分硬盘故障的确在普通环境下打开盘体处理能够成功，所以这些机构就这样不负责任地处理，实际上由此给更多的客户带来了不可估量的损失；从我的调查来看，国内真正拥有1000级无尘室又对外开展数据恢复服务的机构寥寥无几，即使是拥有能满足开盘要求的无尘工作台的机构也没几家 (就不要提100级的无尘室了，数据恢复没必要，它的建设和运营成本也受不了)，还有机构声称可以借用硬盘生产厂的无尘厂房开盘，这更是不可能，那么大一个厂房，要满足生产硬盘的技术要求，需要连续24小时开机，头一天还不能工作，它的电费就不是数据恢复的利润能负担得起的。
      
    人员的情况也不容乐观，看看网上售卖的那些中文的资料价格和需求量以及汉化软件的下载量就知道，如果算上电脑市场那些摊档的话，国内数据恢复从业人员能看懂英文设备说明书的比例都不容乐观，更不要说阅读相关的英文技术资料了，大多数的机构就是从网上下载几个数据恢复的软件（有的还一定得汉化的）就开业了，只要电脑能认盘，就用软件搜，也不认真分析数据丢失的原因，殊不知，有些数据丢失的情况是很复杂的，这样盲目地用软件让硬盘长期工作，不但不能让客户得到满意的结果还会带来进一步的损坏；至于有些机构声称的研究能力，当然，的确有极少数的机构拥有进行深层技术研究所必须的专业人员和设备，但大多数是靠道听途说的所谓经验和秘籍在工作的，这特别表现在需要开盘的数据恢复方面，连最起码的符合要求的无尘设备都没有，研究从何而来；另外，有的机构声称的研究方向可能令全球的磁力学家汗颜，实际上，只要认真查查国内外的有关的技术文章就知道，他们声称的研究课题根本就不可能在研究，因为那样的研究就连国外的磁力学专家也未必有条件去做，之所以这样写，不过是想扩大影响而已，对机构技术的提高是不会有任何帮助的。

     再来说说数据恢复的成功率的问题，国内的数据恢复机构的广告能力的确让人佩服，我看到的最高的数据恢复成功率居然高达99.9%，开盘的数据恢复成功率也高达90%，这可能是世界上成功率最高的了，如果真有这样的机构，不要说在国内，国外的情报机构恐怕要千方百计地网罗这样的人才，实际的情况呢，真正能做到总体的成功率80%已经不容易了，估计很多的机构连50%也达不到，剩下本应该能恢复的30%完全因为他们的二次损坏导致客户要付出更大的代价甚至完全无法恢复；至于开盘成功率，由于硬盘设计、生产和客观条件的原因，针对不同型号的硬盘约在30%到80%之间，有些型号的硬盘由于其固有的特点，出现故障后，盘片严重划伤的比例很高，我不知道他们怎么能读出数据，据我查阅的资料，就是国外的专业数据恢复机构对这类问题也没有很好的解决方法。
另外，数据恢复还涉及到为客户保密的问题，这需要从业机构从设备和管理上入手，同时从业人员也要有严格的道德约束，在这里就不作过多叙述了，希望出现意外的用户能找到真正对自己负责的数据恢复机构来完成自己所希望的工作。

问题4：数据恢复机构如何“销毁”您的数据？

    看到这个标题，很多网友可能觉得不可思议，数据恢复机构不是帮客户恢复数据的吗？怎么“销毁”数据呢？请注意，我并不是说的正常的销毁数据，而是说的在我们求助数据恢复机构的过程中，数据恢复机构出于种种原因，他们所采取的措施并不会导致恢复您的重要数据的结果，恰恰相反，可能导致您的重要数据不可能再被恢复或者恢复的难度被人为加大的情况。

    我们在搜索引擎中搜索一下数据恢复网页，您会看到，到处都是数据恢复权威、数据恢复专家等称号，您打一个数据恢复机构的电话，很多时候，人家还没听完您的故障描述，就可能很肯定地告诉您，您的数据恢复的可能性在他们那里是99%，等您真正送到那里，您却变成了那剩下的1% ，等您把存储媒体送到下一家数据恢复机构的时候，被告知已经不可能恢复了，这是为什么呢？当然有时是您的存储媒体或数据的确由于损坏的情况很严重，在现有的技术条件下确实不能恢复，但另一个跟让人遗憾的事实可能是第一个数据恢复机构由于技术、设备、职业道德或纯粹出于商业竞争的目的等原因，有意或无意的行为导致您的存储媒体或数据被进一步破坏了，由于目前数据恢复行业并没有说由于数据恢复机构本身的原因导致的进一步损坏需要赔偿（当然这个从技术上说没有可操作性），所以种种手段被不断上演，客户的数据彻底丢失，欲哭无泪。我们下面谈谈可能给您的数据带来“破坏”的种种情况。
    一、不仔细了解客户关于故障发生的过程和现象的描述就动手。由于某些设备的故障情况可以从客户描述的故障发生过程和现象中推断，如果可能是磁头物理损坏等特别情况的话，盲目地通电检查有可能带来更严重的损坏（如磁头进一步划伤盘片等），甚至导致完全无法恢复。
    二、没彻底搞清楚设备的工作原理，拿客户的设备做实验品。有关国内数据恢复的实际情况，我们在国内数据恢复市场初步印象中已经做过介绍，但出于商业利益的目的，不少数据恢复机构往往过分夸大其能力和经验，明知自己没有完成这个工作的条件，还是接下客户的设备拿来做实验，这样一来自己多了一个不花钱的实验机会，让竞争对手少了一个机会，同时万一成功了，自己还能有一笔收入；这主要表现在RAID的数据恢复方面，由于大多数的机构不可能投资这么大一笔钱去进行有关的试验、研究，如是客户的设备就成了最好的试验品，拿到手以后最常见的操作是重建RAID，客户的数据被恢复回来的可能性是可想而知的。
    三、只要认盘就用软件来恢复，不仔细分析导致数据丢失或设备故障的原因。有很多时候，一个能被正确识别的盘的数据丢失可能是由于该盘长期处于硬件不稳定工作状态导致的，这时再用软件强行让它工作进行数据恢复，能得到满意结果的可能性很小，大多数情况下会导致硬件的进一步损坏甚至不能被正确识别，数据恢复的难度必然增大。
    四、盘不转就换板，不能解决的时候，有意或无意换掉客户的电路板。由于有相当多型号的硬盘的电路板上有记忆该硬盘的专有参数的芯片，丢失了这个芯片而该型号的盘又没有合适的设备重写这部分信息的话，这个盘的数据恢复的可能性就没有了。
    五、动手能力太差，焊接的水平不过关。这同样发生在第四条所说的硬盘上，由于焊接时的温度、时间等的控制不好导致关键芯片损坏，结果是一样的。可能大多数人认为焊接可能是维修中最简单的活，实际上现在需要焊接的大多是SMT芯片，要用手工焊到厂家用专用设备才能做到的水平并不是一件很容易的事，而且在关键器件的焊接上必须保证做到100%成功，对于一个负责任的技术人员来说，在心理上本身就有压力。
    六、乱写固件。由于固件中记忆了硬盘的坏道表，而现在的大容量硬盘的坏道表有多达数千甚至上万的坏道数据记录，如果该数据及可能能恢复坏道表的相关数据被破坏，那么这个硬盘的数据被正确恢复的可能性微乎其微；同时象写错了不同磁头数的硬盘固件等情况有可能导致数据彻底不能恢复。
    七、在没有无尘设备的情况下开盘。当然有一些的确成功了，但如果统计一下的话，绝对是没有成功的要占大多数；由于在没有无尘设备的情况下开盘，不可避免地会有大量不同大小的灰尘进入盘体，即使盘能正常工作，也有可能由于这些灰尘引起的坏道导致重要数据恢复不正确，如果失败的话就更惨，由于清洗硬盘盘片需要用到特殊的清洗剂，这种清洗剂是限制进口的，国家有严格的规定，数据恢复机构是不可能有这种清洗剂的，更何况还涉及到其它的技术问题；同时，更换盘体内的零件并不像人们想象的那样拧上就好的，由于硬盘各个零件之间的配合机械精度要求很高，除了选择合适的备件外，还需要进行调节，这对操作的技术人员本身就是一个挑战，在普通的环境下进行这项工作，对数据可能带来灾难性的影响；而且像磁头损坏等情况往往伴随着固件的损坏，一个内部有灰尘而各零件之间的配合又没有调节好的盘体，成功修复固件的概率是很低的。
    八、恢复不成功，给硬盘设置密码。当然这是针对盘能正确识别的情况，有些数据恢复机构为了不让竞争对手恢复他们恢复不了的数据，给硬盘设置密码；目前虽然有技术能解开部分型号的硬盘的密码，但不能做到解开所有型号硬盘的密码，这招的结果可想而之。
    九、恢复不成功，将硬盘填0或低格。这同样是针对上述的情况，目的也一样，结果就要严重得多，因为已经不可能恢复了。
    十、恢复不成功，将硬盘进一步破坏或调换。基于第八条的原因，同时可能发现您的盘体有利用价值，就拿一个没什么利用价值的同型盘交换，换盘的标签早就不是什么高技术活了.