数据恢复的灾难处理-软件篇-第3课

维修\赵

软件篇：(第3课：GHOST和分区转换)

现在很多电脑公司和个人都使用塞门铁克的GHOST产品，GHOST主要的原理是：按存储位置克隆分区文件目录表后，克隆文件目录表中所指向数据的数据区。此软件提供硬盘对硬盘的克隆，硬盘对文件（镜像）双向克隆。主要用于系统备份，还原（安装）。由于速度快，使用方便，很多的电脑公司和计算机爱好者都使用这个软件。但任何东西都是把双刃剑，GHOST在使用的同时也很容易因误操作破坏数据。经常有客户用GHOST镜像恢复到了别的分区和磁盘里破坏了自己宝贵的数据。单说用GHOST覆盖了单个的分区，那就是很大的灾难。但数据还是有可能恢复的，在这种问题上，数据恢复一般是不能达到100%，举个例子：一个硬盘的C盘分区大小10G，原来的占用（使用）容量是6G，由于误操作GHOST的镜像文件，覆盖了原来的系统和文件，此时的C盘的分区容量没有变化，但新的文件系统占用2G，从直观上看可恢复的文件容量就是4G的数据。但恢复的绝对不是用什么软件去扫描，一是文件系统已经换成新的文件系统，和您原有的文件系统存储格式，位置，目录标记位置，分区标记位置，数据实际存放位置都发生了改变，用专业点的术语叫数据偏移。所以不能用那种自动化的傻瓜软件恢复。傻瓜软件都是按您新的分区确定您原来的数据的位置，您扫描的结果一般有两种：1什么也没有找到。2找到的文件全部或大部分损坏。而傻瓜软件产生的缓冲又再次破坏了您的数据。现在很多人所的得到的数据恢复软件都是从网上下载的免费软件，有好多只是软件厂商提供的展示版本，这些版本都是以展示为目的，没有实际拷虑到磁盘缓冲的后果。本人也不是不赞成您用这些下载软件，但如果扫描也不要全扫，您只扫描5%左右就可以，如果出来的文件是很多坏的那就要小心了，就要停下来找专业的公司去解决。值得提醒的您的数据本来花钱便可解决的，别因为自己的盲目操作后悔不及。

再提恢复软件，正版的恢复软件多是提供完善的算法，手工分析，硬件写操作阻断卡才推出的，多是国外的一些大公司和数据实验室推出的。价格一般在人民币5000-6万元之间，有的随产品配硬件写操作阻断卡，有的使用ACE的阻断技术使用。 很多数据公司也在用些网上下载的低端展示产品，实为不耻。在恢复软件方面，本人不能多说，只提一个极为专业的数据恢复分析软件：winhex 它基本算个手工化极高恢复率很好的软件。以这个软件来将下GHOST的恢复，拿到被客户用GHOST覆盖的硬盘，首先用工具里的磁盘编辑，打开被GHOST覆盖的分区，您不必在新建的目录花很多时间，因为新的目录是没用的，您可参考新的系统的起始位置多是（C盘多在63）和结束位置，新的文件系统存放的结束位置之后，可以确定就是您原来数据了。您可使用两种方法：1是用新文件系统起和始的否定来确认原来的文件系统，如修改，添零等。2，也可用WINHEX的查找功能，但只限于单个的文件查找，如有个WORD叫工资，可以用的名称，文件头，文件偏移来查找。

由于篇幅问题最后说下分区转换，分区转换在某种程度上类似GHOST的破坏，难度也相当，恢复的方法也大同小异。今天就讲到这里。

下节讲是软件的最后一课：文件自身的覆盖和保存，和一些软件问题的补充。

大家可提些问题看法，但请数据恢复同行不要提过于敏感的技术问题

维修\赵

软件篇：

软件数据灾难指的是存储产品（如硬盘）没有故障，由于人为的误操作，病毒等原因造成的数据丢失。当您遇到了这样的灾难问题，请您不用着急，也不要急于操作。下面由青岛数据恢复之王，于斌老师给您讲一下处理的方式和注意的问题：

1.删除：当您刚刚错误的删除了文件或目录，这时应快速关闭计算机。为什么哪，下面于斌老师讲以下，先从删除的的文件说起，如果您删的是一种不连续存放的文件（如WORD.EXCEL.CDR.MDF.LDF）这些文件的结构和编制都是不连续存放，原因就是：如WORD文件，一般不是一次形成的，当您录入时一般是当日多次，多日多次存盘。所以小小的一个文件有时是存放的硬盘的上的不同扇区和不同位置。再说说删除的原理，在微软的操作系统里，删除操作，只是在文件系统的目录里删掉了文件名称部分，实际数据存放位置并没有改变。这样，大家都会说：恢复数据那不很简单了吗。错了。如一个EXCEL文件被删，而这个文件经过个几十次的修改，添加。在硬盘的存放是最少是存放了十几个位置。文件的头部尾部代码是可找到的，但其他的片段信息全部丢失，导致文件无法打开。简单说有数据恢复公司，用从网上下载的数据软件。所给客户恢复出的EXCEL，有名字，但打不开的原因就是，他们所恢复的只是文件的头部部分，而数据片段存放的位置却没有处理好，或造到了破坏。再就是说说为什么要关机和不要做任何操作。因为WINDOWS操作具有很强的管理性和控制权。在很多情况下，不使用物理内存（内存条）的空间，而是使用硬盘的空白空间（也包括您刚删除的哪个空间，而且是优先使用）优先使用的原理和原因是提高WINDOWS的存储，查找的时间和效率。这在软件编制方面有点象算法，或叫优化。举个例子说：您的硬盘没空间了，您删掉少量文件，而WINDOWS一但需要空间来做虚拟的内存或缓存，马上使用您刚删除的位置进行临时存放动作。而您想的数据，却早已破坏。

哪什么软件可以产生缓冲那？如：看电影，PHOTOSHOP，WINDOWS屏保和一些等等等占用资源较大的软件。什么叫缓冲：简单说，在宽带上网看电影，网上的电影数据在您观看的时候是被临时下载到您的硬盘上的一般几十兆到上百兆之多。当您关掉播放器时，这些临时存放的缓冲，随即被播放器删掉。有人问，我用C盘启动，我的数据是在D盘删的，那样可以放心用吗，回答是不行，WINDOWS是自动分配的缓冲的，从WINDOWS代码研究发现，即使关掉自动分配也是不行的。所以建议您，如果刚刚删除了数据，而且数据重要，最好的办法就是先关机。管于恢复的办法：如果您的数据不允许丢失

yzw998

[s:191] [s:191]