文章关键词:电子数据取证、数据恢复、手机取证
前言
尽管存储设备的可靠性不断提高,但数字信息的丢失仍然相当普遍,文件丢失的常见原因包括人为错误、软件故障(如计算机病毒)、停电以及硬件故障。幸运的是,存储在数字媒体上的信息几乎总是可以恢复的,下面的文章解释了什么是数据恢复,描述了最常见的数据丢失问题以及解决这些问题的方法。
什么是数据恢复
数据恢复可以定义为获取位于存储设备上的信息的过程,这些信息由于先前的删除或对数字媒体的某些损坏而无法通过标准方式访问。使用不同的方法来恢复丢失的文件的前提是它们的内容存在于存储中的某处。数据恢复不包括文件从未写入持久存储的情况,例如创建的文档但由于电源故障最终无法保存到硬盘驱动器。此外,现有的恢复方法都无法应对某些其他信息占用存储空间时发生的永久擦除的情况——在这种情况下,丢失的文件只能从外部备份中恢复。
通常,数据恢复技术分为两种类型:基于软件的技术和实验室环境中修复或更换损坏的硬件组件技术。
大多数情况下都采用基于软件的方法,并涉及使用能够解释问题存储的逻辑结构、读取所需数据并以可用形式将其交付给用户以供进一步复制的专用实用程序。在最严重的情况下,需要进行物理维修,例如,当驱动器的某些机械或电气部件不再正常工作。
最典型的数据丢失案例
总的来说,数据救援过程的整体成功很大程度上取决于选择正确的方法并及时应用,错误的行为可能导致信息被不可逆转的破坏。
数据丢失的常见原因包括:
意外删除文件或文件夹
删除文件时,每个文件系统的行为都不同。例如,在Windows中,FAT文件系统将文件目录条目标记为“未使用”并破坏有关文件分配的信息(文件开头除外),在NTFS中,只有文件条目被标记为“未使用”,记录从目录中删除,磁盘空间也标记为“未使用”;大多数Linux/Unix文件系统会破坏文件描述符(有关文件位置、文件类型、文件大小等的信息)并将磁盘空间标记为“空闲”。
文件删除的主要目的是释放文件使用的存储空间,用于存储新文件。出于性能原因,存储空间不会立即擦除,这使得实际文件内容保留在磁盘上,直到该存储空间被重新用于保存新文件。
文件系统格式化
文件系统格式化可能会被错误地启动,例如,由于指定了错误的磁盘分区或由于对存储的错误处理(例如,NAS设备通常在尝试重新配置RAID后格式化内部存储)。
格式化过程会在存储上创建空文件系统结构,然后覆盖任何信息。如果新的和以前的文件系统的类型一致,它会破坏现有的文件系统结构,用新的文件系统结构覆盖它们;如果文件系统的类型不同,则结构会被写入不同的位置,并且可能会擦除用户的内容。
文件系统的逻辑损坏
现代文件系统对内部错误具有高水平的保护,但它们通常对硬件或软件故障无能为力。即使将一小块错误内容写入存储上的错误位置,也可能导致文件系统结构的破坏,破坏文件系统对象链接并使文件系统不可读。有时,由于停电或硬件故障,可能会出现此问题。
存储故障
如果怀疑存储存在任何物理问题(例如设备无法启动、发出异常噪音、过热、面临读取问题等),不建议自行执行任何数据恢复尝试。应当交由专业的数据恢复公司来尝试恢复。
如果RAID系统发生故障(RAID1或RAID5中的一个驱动器出现故障,RAID6中最多两个驱动器出现故障等),则可以在不丢失驱动器的情况下进行恢复,因为RAID的冗余允许重新创建失败组件的内容。
数据恢复软件是如何工作的?
保留在完整存储上的信息通常可以通过数据专用软件在恢复。但是,任何信息在被覆盖后都无法恢复。出于这个原因,在最后一个文件被救出之前,不应将任何内容写入存储。
大多数数据恢复程序使用元数据分析算法、基于已知文件内容的原始恢复方法或两种方法的组合进行操作。
任何文件系统中的数据分为数据和元数据。数据是指普通文件中的实际数据,而元数据指用来描述一个文件的特征的系统数据,诸如访问权限、文件拥有者以及文件数据块的分布信息等等。在集群文件系统中,分布信息包括文件在磁盘上的位置以及磁盘在集群中的位置。用户需要操作一个文件必须首先得到它的元数据,才能定位到文件的位置并且得到文件的内容或相关属性。元数据是文件系统中的隐藏服务,元数据分析会去定位存储上的主要结构,主要包括文件的属性以及目录层次,然后这些分析数据被用于修复损坏的文件系统。此方法优于原始恢复,因为它允许获取具有原始名称、文件夹、日期和时间戳的文件。如果元数据没有严重损坏,则可以重建整个文件夹结构,具体取决于文件系统采用的机制的具体情况,以消除“不必要的”项目。然而,当元数据的关键部分缺失时,这种分析就无法成功执行。
通常,当在元数据分析的帮助下没有达到预期的结果时,它会根据文件的已知内容搜索文件。在数据连续存储的磁盘区域内,遍历所有扇区位置后,通过文件签名就能判断出被删除的文件,也就找到文件的开头和结尾,分析出文件类型,从而能够恢复出一个完整的文件。
1623
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
