中文
ENGLISH
15271930998

当前位置:首页 >  新闻资讯 > 技术分享 > 你以为“恢复”就是把扔掉的东西再捡回来吗? | 数据恢复专题(一)

NEWS

新闻资讯

你以为“恢复”就是把扔掉的东西再捡回来吗? | 数据恢复专题(一)

发布时间:2017年8月31 17:26

  相信大家对『数据恢复』并不陌生,可一提到数据恢复究竟是怎么实现的,这个念叨了那么多遍且熟悉的概念突然变得抽象起来,说不上来是怎么回事,但自己又好像懂一些,却依旧不知道这个概念怎么说好,对吗?

  你是否也是这样?其实,即便是会用软件恢复出数据的专家也不免遭遇上述情况,我们在掌握一门知识和技术的时候,总会忽略最底层的知识,以为只要会用就好了,却在实际操练中遇到难题不知从何下手。

15016733986867095

  本文的目的,不在于教授高精尖的恢复技术,而在于扫除大家一直忽略的底层知识盲点:搞懂数据恢复究竟是怎么回事!

  数据恢复,是电子取证不可或缺的一部分,却比电子取证的需求更甚,因为我们都有“手残”和“手贱”的时候——不是误删了,就是格式化了,然后哭天抢地求恢复那些花了十几个小时拍的自拍、与女神的聊天记录或因人而异的“机密资料”。

  什么是数据恢复?

  为了避免把大家搞得更晕,这里任性甩开数据恢复的官方定义,你只要跟着Wendy这样记就好了:

  把曾经存在过的但现在不可见的数据给恢复出来。

  这里要注意我强调的两个地方:

  1. 曾经存在过的:就是你曾经建立的、能亲眼看到的各种文件;(不曾存在过谈什么恢复?)

  2. 现在不可见:即通常我们以为的“不存在了”,如删除掉了等。(后面的学习会告诉你为什么我用“不可见”三个字)

  Wendy自我感觉这个定义很赞很严谨,你有更好的版本吗?

  ▍恢复对象

  不讲对象的恢复就是耍流氓!客观全面地看,我们所说的恢复对象应该有两种:不可见的数据、可见的数据载体。

  不可见的数据

  数据本就是模拟数据,我们见不到数据本身,看到的都是数据所记录和反映的结果,如图片、文字等。我们常说的数据恢复大多指的都是这种对象的恢复,如:将图片、视频等数据从某设备中恢复出来。

15016733992884577

  可见的数据载体

  承载数据的载体,即存储介质,如硬盘、光盘、USB等。有时候,这些存储介质会有物理损伤,如脱落、摔打、弯折、高温等等,这时候需要物理修复好存储介质,然后再查看其存储的数据情况。

15016734001341617

  Wendy不禁想到,某些嫌疑人在现场拼死把硬盘扔向煤气灶的行为原来是白费力气……

  ▍恢复分类

  根据恢复对象的不同,自然就能把恢复技术分为以下两大类。

15016734007187410

  逻辑恢复是我们很多人可以通过软件等工具实现的;而物理修复则是一项需要长期经验积累的精细活,需要尤其专业的人来进行,可能还得有「无尘间」等高要求的环境。

  也就是说,我们目前主要学的,就是如何进行逻辑数据恢复。这是绕了一圈又绕回来了?可千万不能这么想,物理修复和逻辑修复两项技术同样重要,更有共通之处,能两项兼修的人就一定能将数据恢复做到最好,八爷就是最好的例子。

  当然,我们的数据专题系列针对的还是逻辑数据恢复。(小编,说好的一碗水端平呢?)

  铺垫了这么多基础知识,总算迎来了今天的重点:

  ▍被“扔掉”的数据去哪儿了?

  还在它原来的地方!

  不仅如此,平日里我们把某文件从这个文件夹移到另一个文件夹甚至是另一个盘的时候,文件真正的位置其实都是没有动过的!(我似乎看到了你的惊讶脸)嘿嘿,继续往底层探究原理就不足为奇了~

  ▍数据写入和存储的底层原理

  你有没有想过,为什么存储介质中的一堆零件能形成数据这么个虚拟的东西?这个问题倒是困扰了Wendy很久!

15016734015436804

  以硬盘为例,深入到内部结构以后你会发现,我们的数据其实保存在有存储介质的盘片上,当我们在电脑上写入数据时,你以为电脑在做什么?它在指挥硬盘里面的「磁头」在盘片上“画画”!嗯,没错,就是在盘片上画出正负极磁性不同的点点,那就是你写入的数据。

1501673402664880

  因此不难理解,保存的数据,其实就是盘片上正负极磁性不同的点点。要是你每次移动文件都得重新找个地方画,太不经济了好么!因此你的移动都是操作系统给你的表象,其实它还在一开始里的坑蹲着呢。

  形象来说,操作系统好比给你创建了一个虚拟的目录,你每次移动的都是目录的位置,而不是文件本身,况且那些物理的“点点”也不是你能移动的啊。

  当我们删除文件时,我们并没有把所有的凸凹不平的介质抹掉,而是把它的「地址」给抹去(好比去掉文件的目录),让操作系统找不到这个文件,认为它已经消失,这样你也就找不到了。而实际情况是,它还在那,只是你没有了找到它的途径。

  你肯定懂了,原来数据恢复就是通过一定的方法找到真正文件所在的原始位置啊!它就在那里,不离不弃。

  ▍总结

  A. 逻辑恢复的实质是找到真正文件“隐形”后的存储位置,然后让一直默默存在的数据“再次现世”。

  B. 物理恢复的实质是把存储介质修好,使之能正常使用,从而正常读取找回数据。

  (注:本文为帮助理解所做的比喻“目录”是统称,后期会进一步探究「签名」的知识)

  所以数据恢复究竟是不是把扔掉的东西捡回来?

  还敢问!你说呢?你可想清楚了,你真的“扔”了吗?

  版权说明:如非注明,本站文章均为天宇宁达原创,转载请注明出处和附带本文链接。也可以在我们的公众号查看最新文章(扫一扫二维码关注我们订阅号):

数据安全与取证公众号

数据安全与取证(ID:Cflab_net)


公司地址

武汉东湖高新区武大科技园慧业楼406

关于我们

联系我们

Tel:15271930998