数据恢复不可轻视
>第一,现在的年轻人真的是很幸福,上网一搜就可以找到这么多的技术资源共享。想当初,为了搞清楚分区表几个字节的含义,我可是找到仅有的三台计算机,自己闭门对比分析了一个多星期才搞出来的。
>第二,这么多人关注数据恢复技术,说明大家已经认识到了保护数据的重要性;尤其是“9.11”之后,国外对数据的重要性的认识更广更深,国内也建立起了很多的灾备中心,而存储资金的投入也首次超过了其他硬件,有些系统存储设备的投资更是占到整个投资的85%。
>第三,对于数据恢复技术在整个信息安全体系中的地位和作用,也逐步开始得到认识,尤其是存储安全的基础性地位,逐渐得到国内学术界的重视和认可。国外在这方面的起步要早得多,如美国早在1991年就发布了DoD 5220.22-M标准,北约也发布了自己的NATO标准,美国更是在去年开发了具有自毁功能的硬盘,韩国及日本等国家都大力支持发展存储产品,这里面除了经济因素,更深层次的却是政治因素。
>第四,国内的数据恢复市场仍然停留在比较粗浅的层面上,良莠并存。这么说,可能会有很多人跳出来反对。确实,从2003年开始,数据恢复被炒得很热,在Google里随便一搜,就可以返回几十上百万个有关数据恢复的页面。但是,除了少数几家正规的公司外,很多小公司根本连概念都不清楚,只是使用几个网上找来的解密的数据恢复软件,就声称能恢复用户数据。一个简单的事件就足以说明这一问题。2005年,有人说手头有一个从俄罗斯弄来的数据恢复软件,安装以后就可以恢复被覆盖的数据,就是这样一个简单可笑的谣言,却吸引了圈内大量的从业人员的追捧。由此可以看出,虽然现在数据恢复行业看起来很美,但其技术实力却又是多么薄弱。和国外正规数据恢复公司相比,国内目前从业者的技术水平只能说是处于起步阶段。
>尽管如此,笔者还是很欣慰已经有这么多的人来关注这个行业。但目前关注和投入该技术研究领域的人力物力还是太少了!我们都知道,任何数据在写入到实际的存储介质前,都必须经过一系列的编码处理,读出时再进行相反的处理过程。确切地说,需要五次之多的变换。
>除了这里介绍的存储层,结合我们在前面介绍数据恢复技术体系的文章中已经介绍过的存储体系可以知道,数据恢复技术既不像一些人传言的那么神奇,也不像一些人想像的那么简单,它是一门实实在在的、有着自己特殊规律和理论支撑的技术学科。
>第五,目前的数据恢复市场尚处于发展初期,还极不规范和成熟,所以,国家还没有对数据恢复市场进行管理和规范,这就使该市场更是良莠不齐。
>数据恢复本身就是一个实实在在的技术问题。一般说来,目前出现的数据丢失问题几乎都是可以恢复的,但也确实还有不少情况,在目前的技术条件下是不可能恢复的,或者换句话说,是不值得恢复的。如果一家公司上来就说,放心,没有问题,我们的技术是一流的,肯定能把你的数据找回来。那么请注意,你要小心了!从目前转手到我这里的“疑难杂症”的实际情况来看,本来可以恢复,却被“二把刀”从业者毁坏造成不可恢复,或者恢复难度急剧增加的案例占了最大的比例。
>我自己对此深有感触。有些朋友打电话给我时说得很简单,就做了什么什么操作,拿过来一看,根本就不是那回事,里面被弄得一塌糊涂,本来3分钟就能搞定的事,3天都不能达到最好的效果。另一方面,有些朋友说得很严重,硬盘都找不到了,结果拿过来一看,3分钟就把问题解决了。所以现在朋友拿过来的盘,我从不问什么情况,进行了什么操作,连需要恢复什么数据都不想问,自己直接看看硬盘底层原始信息,就一目了然了。
>关于数据恢复的建议
>在这里再给大家介绍一些基本情况,以供出现问题时参考。
>任何时候出现问题,都不用慌张,也不用着急,在动手做任何尝试之前,都要想一想,现在所做的每一步操作都是在冒险,都可能导致数据遭到进一步破坏,因此,必须考虑好了,这些数据到底重要不重要,值不值得冒风险,或许找专业的数据恢复公司,恢复的成本并不高。尤其是自己动手做得越少,越早找专业的数据恢复公司,价格就会越低。当然,如果数据并不是重要到超过数据恢复的成本,那么,就尽情地自己动手吧,不用犹豫了。
>但是,在动手之前,仍然要注意,在可能情况下,尽量给全盘做一完整的备份,可以使用WINHEX、GETDATABACK等工具完成这一工作。如果不需要全盘备份,也要先把能正常拷贝的数据,转移或拷贝到安全的地方。这些工作可以自己做,也可以请朋友帮忙做,但一定要注意,系统盘下的一些重要数据一定要拷贝,如“我的文档”、“桌面”等,尤其是不要相信一些所谓的电脑高手的话。电脑高手只能是某些方面的,我就亲自经历过,一位电脑高手把一位香港作家存放在系统盘里的手稿活生生覆盖了。
>还有,对于这些受损的文件系统,任何一次重启,都可能产生新的破坏,知道Windows系统每次重启,都会在后台做些什么工作吗?不知道?知道的不全?对,这就是一般的技术人员与专家的差别。数据恢复技术不是一个固定了操作步骤的生产流水线。任何计算机相关知识,以及所要恢复的各行业的相关知识都是基础。
>知道了这些,那么在数据恢复时应该如何做?
>第一,如果是误删除或误格式化,或者是系统死机、移动存储设备意外等各种逻辑问题,重启都可能会造成一些不必要的破坏。但显然必须重启,不重启怎么检查数据状态呢?其实,重启最大的破坏可能只是来自系统的CHKDSK,只要在出现CHKDSK提示时,按任意键取消CHKDSK就OK了,即使CHKDSK了,也一样可以恢复。因此,放心吧,只要找到可靠的技术人员,并且不要再往里写入数据,一般都是没有问题的。如果不放心,那么就一定要要求操作人员给原始数据做镜像备份。但对于FAT的文件碎片,目前的重组算法还不是很理想,从理论上说,恢复的难度相当大,只能通过专家手工重组。问题是你的数据真的那么重要吗?那么,请提前做好备份吧,一块硬盘的价格相对于数据价值