什么情況下硬盤(pán)數據可以恢復

　　什么情況下硬盤(pán)數據可以恢復

　　有人覺(jué)得這個(gè)題目說(shuō)法比較奇特，但數據恢復，作為一個(gè)數據再現的過(guò)程，一定要解決兩個(gè)問(wèn)題，第一是從哪里恢復的問(wèn)題，第二是怎么恢復的問(wèn)題。解決了這兩個(gè)問(wèn)題，我們事實(shí)上就把握了數據恢復的全部思想脈絡(luò )。而這一部分就是從哪里恢復的問(wèn)題。

　�、�、 有效而及時(shí)的備份中是數據恢復最可靠的來(lái)源，在許多人倡導備份到秒的今天，恐怕不會(huì )有人懷疑這點(diǎn)。而有些備份機制則是系統內建的，比如兩份FAT表。

　�、�、 數據的實(shí)際有效性的判定是關(guān)鍵，對我們來(lái)說(shuō)，硬盤(pán)無(wú)法自舉、文件找不到、文件打不開(kāi)等現象，其實(shí)并不與數據丟失畫(huà)等號。因為此時(shí)往往數據只是從操作系統的角度是一種邏輯丟失，而從物理扇區意義上，它仍然存在或部分存在。最明顯的就是文件刪除的例子，事實(shí)上，這只是把文件首字節，改為0E而已。而此時(shí)文件體依然存在。

　�、�、 數據損壞過(guò)程的可逆性分析：對數據的改變無(wú)非兩種，取代和變換，前者是不可逆的，而后者則是可逆的。我們以殺毒為例，對于大多文件性病毒來(lái)說(shuō)，那些以附加而非代換方式感染的文件型病毒，理想的殺毒過(guò)程就是感染的逆過(guò)程。這種分析也常見(jiàn)與重要信息被隱藏搬移或者被加密的情況，但分析將比較復雜。

　�、�、 數據本身是否是標準信息：有些信息實(shí)際是通用或局部通用的，你無(wú)須考慮如何從本機搶救。只要相同或相近的系統版本就可以了，比如BOOT區、隱含扇區、WINDOWS的DLL文件等等。典型的例子如分區表的代碼區，這是一段標準代碼，事實(shí)上，它就放在你的FDISK程序里面，你可以用DEBUG把他提取出來(lái)。

　�、�、 數據本身是否可以由其他信息統計再生：有些信息盡管丟失了，也沒(méi)有備份。但它實(shí)際可以從其他數據中間接求得。最典型的就是主分區表中的分區信息，即使你把他清零也不必害怕，因為你可以從你幾個(gè)分區中計算再生。

　�、�、 破壞的完成程度：事實(shí)上，FDISK、FORMAT都不會(huì )徹底破壞數據，一般只有低格和扇區覆蓋操作才會(huì )徹底破壞數據。但有時(shí)，破壞過(guò)程或者誤操作過(guò)程會(huì )因人工終止、死機等原因不能完成。最明顯的就是CIH病毒的例子，由于CIH是以1024字節為單位覆蓋扇區，這當然是不可逆過(guò)程，于是我們最初都認為，破壞是很難恢復的，除非人工終止。事實(shí)上，當病毒覆蓋某些扇區時(shí)會(huì )與9X系統發(fā)生沖突，從而造成死機，使數據得到了保護。