第 1 章
数据恢复概述
数据恢复简介
组织 IT 部门的主要职责是保护其数据。大多数 IT 部门都会投入大量资源来开发、实施和维护其机器上重要数据的备份流程。
在计算机世界中,数据恢复是指由于任何可能的原因导致数据丢失,从而从计算机存储设备中检索丢失的数据。顾名思义,数据恢复涉及恢复由于存储设备处理不当、硬件故障、用户疏忽、病毒攻击或任何其他原因而丢失的数据。
在当今的计算机世界中,任何组织的数据在大多数情况下都是最重要的部分,任何数据事故都可能导致巨大的财务和商业损失,并且组织也会损害其声誉。
在计算机或 IT 领域中,经常会听到这样的问题:任何公司的员工或普通计算机用户将非常有价值的数据存储在其计算机的硬盘、软盘或任何其他存储设备上,并且由于事故、病毒攻击、存储设备操作不当或处理数据时出现任何其他错误而无法访问这些信息或丢失这些信息。这可能是由于缺乏有关数据存储或保护的知识。
不仅在组织中,家庭用户也会面临同样的问题。因此,我们可以想象许多可能导致数据丢失的情况和原因。所以,“哪里有数据丢失,哪里就需要数据恢复”。
了解数据丢失
大多数组织的 IT 部门都会投入大量资源来开发、实施和维护在其机器上备份重要数据的流程。管理良好的环境还会定期测试备份,以确保能够快速准确地执行恢复操作。
对于计算机而言,数据丢失很难进行分类。造成数据丢失的原因有很多。计算机数据丢失可以理解为:“上次数据丢失很严重,但最糟糕的还没有到来。”
上述消息表明磁盘存在严重问题。导致这些错误消息的原因可能是逻辑问题或物理问题。逻辑问题可能是由引导扇区/分区表、FAT 区域或目录区域损坏引起的。本书的后续章节对引导扇区、FAT 分区表区域、根目录和数据区进行了详细介绍。
当硬盘的读/写磁头与存储信息的磁盘表面发生物理接触时,就会发生磁头故障。磁头故障的严重程度各不相同,但在最坏的情况下,硬盘上的数据可能无法恢复。
数据丢失可能由多种原因造成,以下是其中一些最重要的原因:
系统故障
如果计算机由于某些软件或硬件问题而无法启动引导过程并且操作系统无法从磁盘读取存储的数据和指令,则表示磁盘出现故障。由于硬件问题而损坏的磁盘很难完全恢复数据,但只有通过编程才有可能。如果磁盘发生故障,则会显示以下消息:
- “找到 0 个硬盘”
- “驱动器故障”
- “硬盘故障”
- “未找到扇区...”
- “读取磁盘 X: 数据错误”
- “没有可用的启动设备”
- “加载操作系统时出错”
- “缺少操作系统或没有操作系统”
- “发生了非系统或磁盘错误,
- 插入光盘并在准备好后按任意键。
- “无效的分区表”
- “坏道 0……”
每次计算机发生数据丢失,都是有原因的,导致计算机崩溃甚至造成轻微损失。可能有几种可能性,但其中一些最重要的因素是:
人为错误
人为错误是造成数据丢失事件的最大原因。一般来说,大多数数据丢失案例都是由于用户或组织的员工在数据保护或数据处理过程中犯的错误而引起的。这包括意外删除文件,误用,或者有时像格式化硬盘这样严重的情况。
例如:如果员工不具备处理敏感数据的适当知识,或者使用知识不足的软件,则可能会损坏数据并导致数据丢失。
磁盘故障的原因
磁盘故障的原因
此外,一些个人计算机用户倾向于运行任何未知的软件来了解它的作用,而不研究或了解其应用程序的信息以及该软件是否设计用于任何任务,如果非法使用,可能会部分或全部破坏数据。对于病毒程序的可执行文件来说也是如此。
典型的人为错误包括:
- 意外磁盘格式化
- 错误删除文件或文件夹
- 管理员错误
- 存储设备处理不当
- 跌倒或打击造成的创伤
- 缺乏如何使用磁盘分区软件或故障排除等知识。
- 操作系统安装/更新不合理
- 计算机的系统设置中的电源管理或热管理设置无效。
软件损坏
软件损坏也是造成数据灾难的一大原因,导致数据丢失。当今大多数软件开发公司将其大部分总体软件开发时间花在在软件编程中添加调试代码并尝试使其程序无错误。通过这样做,该软件可以证明与大多数硬件配置的兼容性,并且可能不会受到任何其他软件应用程序甚至其自己的应用程序的损害。
尽管软件的开发非常谨慎,但在当今的信息技术世界中,软件损坏是继人为错误之后导致数据丢失的第二大原因。
例如:让我们看一个软件损坏的例子。假设您的系统中有一个软件“A”,它在安装过程中在计算机的系统文件文件夹中创建了一个名为“yyyyyy.xxx”的系统文件。一段时间后,您安装了任何其他软件“B”,它也在同一目录中创建一个同名的文件。但新创建的文件的用途可能与前一个文件完全不同。
在这种情况下,如果我们运行软件“A”,它可能会调用文件“yyyyyy.xxx”的应用程序,但是这个文件现在已经被替换,将无法按照软件“A”中描述的那样工作,因此可能会损坏软件,并且根据软件中发生的损坏导致数据损坏。
在卸载使用某些公用文件的软件的过程中也可能发生这种情况,并且在卸载过程中公用系统文件被删除。
软件故障
尽管前几年由于软件故障导致的数据丢失率有所下降,但即便如此,也还不是完全安全的。据报道,流行的桌面操作系统也会出现冻结并严重损坏系统磁盘空间的情况,从而导致数据丢失。
在最新操作系统以及其他软件的开发中,我们充分注意列出大多数可能的情况,以找出由于软件故障而导致数据突然或缓慢丢失的原因。该软件现在包含一个即使在突然断电后也能恢复数据的程序。
硬件错误
硬件故障涉及由于任何原因导致计算机存储设备发生的物理故障。在这种情况下,数据丢失可能是由于读/写头未对准、盘片或磁盘介质表面的任何可能问题或磁盘烧坏造成的。
在某些情况下,仅通过编程很难完全或部分恢复由于硬件问题而丢失的数据。在这种情况下,数据恢复需要额外的精力和资源。
病毒漏洞
即使在今天,当任何计算机系统发生数据丢失时,人们首先想到的也是最大的恐惧就是病毒。虽然当今软件行业的防病毒技术已经取得了明显的成效,但是由于防病毒软件无法阻止病毒造成的严重破坏或者防病毒软件未及时更新而导致的严重数据丢失的案例仍然普遍存在。
Win-CIH(切尔诺贝利)、Marijuana(3月6日)、Monkey、One-Half、Frodo、Spirit、Wyx、Nimda、Sircam、Klez是造成严重破坏且损失巨大的一些病毒。病毒威胁持续不减,并不断导致数据丢失。
破坏
破坏事件时有发生,而且其数量正以惊人的速度增加。大多数组织仍然没有安全政策。心怀不满的员工和商业竞争对手造成的未经授权的入侵和破坏导致了大量数据丢失。心怀不满的员工认为磁盘故障是公司报复员工的一种手段。
不仅如此,在这种情况下,一名员工对另一名员工的嫉妒也是造成数据丢失的原因。对其他员工的工作方式或政策不满意的员工可能会试图破坏该员工负责保护的组织的重要数据。
自然灾害
这种类型的数据丢失很少见,并且报告的数据丢失率很低。洪水、火灾、雷击和地震是导致数据丢失的一些不可避免的原因。这些原因无法由人类来预防,但是,制造商在设计存储设备时可能有一个计划来保护在这种情况下的数据。
其他类型的数据丢失
数据恢复和磁盘故障排除软件不会只是等待组织或用户的系统出现故障。还有许多情况会导致用户或组织感觉他们处于任何类型的数据丢失的情况,并且并不一定需要系统故障才能导致此类数据丢失。
当系统遭受部分操作系统崩溃时,甚至在操作系统完全无问题且运行正常而数据由于其他原因丢失的情况下,也会发生这种类型的数据丢失。让我们尝试找出其他一些可能导致数据丢失的主要情况:
丢失一个或多个分区
当我们发现我们的操作系统正常运行时,就会出现“部分操作系统故障”这一术语。在这种情况下,我们在启动过程和操作系统的其他操作中不会感觉到任何问题。
唯一令用户苦恼的谜团是,他无法访问磁盘上先前拥有的所有逻辑分区。
在这种情况下,用户可能会感觉到他的磁盘的一个或多个分区被隐藏了,并且操作系统没有提供有关这些分区的任何信息。您还经常会丢失安装操作系统的磁盘的启动分区以外的所有逻辑分区。
当主引导扇区中的分区信息部分丢失时,就会发生这种类型的丢失。这可能是由于缺乏知识而不正确使用 FDISK 分区程序或分区表条目受到任何病毒攻击造成的。
读取软盘错误
我认为这也是任何组织或个人计算机用户数据丢失的主要原因之一,这通常会导致数据丢失。
软盘是最不可靠的存储源之一。一个非常常见的问题是,当用户将重要数据存储在软盘上时,计算机却出现有关读取软盘的错误消息。
尽管这种情况下数据丢失较小,且大多数情况下有数据的另一个备份副本可用,但在没有保存备份副本或备份副本不可用的情况下,就会发生数据丢失。软盘的一个严重问题是它频繁显示读取错误。
在某些情况下,软盘读取错误也可能非常严重。例如,当您在计算机上安装防病毒软件或任何其他软件时,这些软件可以为您提供制作备份或恢复磁盘的功能,以便在发生严重病毒攻击或由于软件损坏时帮助您恢复系统,通常备份是在软盘上进行的。
在这种情况下,软盘在用于恢复系统时不返回任何错误变得非常重要。在这种情况下,软盘读取错误可能会导致严重的数据问题。
删除重要数据
任何用户都可能因为混淆或误解而错误地删除任何重要文件。这种类型的数据丢失可能是单个文件丢失,也可能是多个文件丢失。
忘记密码
密码丢失也应包括在数据丢失中,因为它具有数据丢失的所有特征。当用户忘记密码时就会发生数据丢失,就像任何其他类型的数据丢失一样,如果密码丢失也需要恢复。但是,在本书中我们不会讨论任何类型的密码恢复。
数据恢复的类型和领域
几乎每个与软件相关的问题,数据都可以全部或部分恢复,但是数据准确度可能在 100% 到 1% 之间。
这取决于数据丢失的原因和需要采取的程序。下表列出了因软件相关问题导致的数据丢失的不同类型和情况下的数据恢复区域:
| 数据丢失的类型或原因 | 关于使用软件和编程进行数据恢复的评论 |
| 恢复已删除的文件 | 如果您在删除后立即尝试恢复数据,则恢复的机会是 100%。如果磁盘上还写入了其他信息,新的数据可能会覆盖已删除文件的信息。在这种情况下,恢复已删除文件的准确率会降低,当然,根据文件的覆盖区域和已删除文件的类型,准确率可能会低至 0%。 |
| 恢复磁盘格式 | 通过特别的努力,数据可以恢复到 100%,但您将遭受原始文件和文件夹名称的丢失,尤其是根目录中的文件和文件夹名称。我仍然没有找到任何程序或程序员能够在以原始名称格式化磁盘后恢复所有数据。前提是磁盘没有被新数据覆盖。 |
| 恢复失败的操作系统 | 如果问题与软件有关并且由 MBR 损坏引起,则大多数情况下可以恢复 100% 的数据。然而,随着 DBR、FAT 和根目录因素的出现,复杂性不断增加。当这开始影响数据域时,复杂性会继续迅速增加。 |
| 恢复丢失的分区 | 如果损坏仅由分区表引起,则可以恢复高达 100%。 |
| 从无法读取的软盘中恢复 | 数据恢复准确度范围从 100% 到 1 或 0%,具体取决于软盘介质的表面。 |
| 在磁盘中填满零或使用数据擦除器后 | 软件恢复 0%。在这种情况下,仅使用恢复软件是不可能实现哪怕是部分恢复的。然而,如今已经有先进的磁性技术可以执行恢复,即使在驱动器上运行了零填充程序(甚至六次)的情况下也是如此。 |
这并不意味着如果问题与硬件有关,您将无法恢复数据。但在这种情况下,仅通过编程是不可能恢复数据的。在这种情况下,建议联系数据恢复实验室/中心。
数据恢复前分析你的计算机
当您计划大规模地或从复杂的灾难中恢复数据时,您需要分析问题并完成许多重要的任务,以提高恢复的准确性并获得任务的轻松度。这从许多重要角度引起了您对该问题的关注。
如果发生复杂的磁盘故障,则无法恢复所有文件(包括系统文件和操作系统),如果您询问丢失数据的用户他想要恢复磁盘上的哪个文件,您只会得到“全部”的答案。这样做固然理想,但您不能在这些系统文件和其他属于操作系统的文件或任何其他可能稍后再次安装且对用户没有价值的软件上浪费时间和精力。
因此,您需要考虑以下步骤来准备数据恢复:
- 可接受的恢复期
- 了解不同的成本
- 用户描述
- 定义需求
- 设定目标
- 可接受的恢复期
对于不同类型的系统和用户来说,可接受的恢复期可能有所不同。例如,当我们需要从一个工程工作站恢复数据时,其磁盘上有许多软件开发工具和一些源代码。
在这种情况下,我们不能花费超过 4 个工作小时来恢复这些数据,因为恢复工具和源代码的延迟可能会导致项目工作的延迟,而源代码的丢失可能会导致大量返工和项目延迟。
对于存储营销工具和相关数据的营销部门工作站,我们不能花费超过一个工作日的时间来恢复数据。然而,对于个人计算机用户来说,我们可能会花费更多时间执行数据恢复操作。
了解不同的成本
在恢复数据时,了解与这些关键操作相关的真实成本非常重要。让我们快速看一下这些成本:
停机费用
您可以使用停机成本估算来做出更明智的决策,确定不同类型的数据丢失需要什么级别的数据恢复。例如,任何会计服务器的数据都至关重要,必须以其原始形式恢复。
即使延迟一天也可能造成大量损失。需要考虑的其他重要成本是设备成本、规划成本和其他额外费用。
数据恢复费用
数据恢复成本是指针对不同类型的数据丢失进行数据恢复过程所需的金额。这非常重要,因为当用户将恢复成本与数据的重要性进行比较时,这是任何数据恢复中心的客户所观察到的常见行为。
只有当恢复成本不如用户宝贵数据的重要性高时,用户才会对数据恢复感兴趣。
用户描述
用户描述是制定数据恢复过程路线图的一个非常重要的因素。通过它,您可以轻松找到在复杂的数据恢复过程中应为不同数据提供偏好的方式。
这样做是为了在这种情况下您不必浪费时间和精力去恢复所有文件,包括不必要的文件、系统文件等,这些文件可以轻松地重新创建。
定义需求
在开始数据恢复之前,有必要评估要求。这些要求的定义始于问题的一些一般表述。此步骤的主要目标是充分了解问题。在需求规范期间,重点是明确说明整个过程发生时系统必须提供的功能和便利设施。
设定目标
完成前面描述的所有步骤后,您必须根据用户描述中的偏好制定您的目标,您必须完成您的目标,为此您必须努力恢复数据。这些目标提供了恢复丢失数据或针对特定类型的问题创建程序的逐步方法。通过遵循所有这些步骤,您可以避免程序中的复杂性,并且能够在更短的时间内更准确地工作。
开始磁盘故障排除或数据恢复之前的一些提示
积极思考并充满信心:然而,当您的重要数据无法访问时,保持冷静有点困难,但您必须以积极的心态开始任何恢复过程。你必须对自己已经做过的事和应该做的事充满信心并绝对确定。
写下您执行的每个步骤:最好写下您执行的每个步骤和程序,以恢复数据或排除驱动器故障。通过这样做,您将能够获得帮助,以查明您是否错过了任何步骤,或者您使用的程序中是否存在任何错误。
不仅如此,如果不幸您无法恢复数据,有关恢复数据所采取的步骤的信息可以为数据恢复中心的人员提供很大的帮助。有了这些信息,他们可以轻松了解数据丢失的类型以及修复数据丢失的程序。
在重新启动系统之前请确保:许多计算机和操作系统问题都可以通过简单的重新启动来解决。然而,重新启动虽然可以解决磁盘问题,但也可能使情况变得更糟。因此,在不知道系统状态和磁盘上的数据的情况下,请勿轻易重新启动系统。
如果任何 TSR 程序导致系统锁定,一个简单的解决方法就是重新启动。即使在其他情况下,如果您需要重新启动系统来修复某些错误,那么请选择安全模式进行重新启动。
制定最合适的计划并坚持执行:针对不同的问题可能有许多不同的恢复和故障排除程序。但是您需要选择最简单、最适合您的系统配置、执行最稳定、最合适的恢复并且耗时最少的程序。
以下是一些可以成为您康复计划的重要组成部分的重要步骤:
- 再检查一遍以确保你没有做错任何事。
- 检查设备连接。
- 检查你的软件。
- 在继续之前,请备份所有可能的数据。
- 在运行任何诊断程序之前,您必须确保它是一个非破坏性的诊断程序。
- 移除驱动器和控制器,清洁所有连接器,将所有安装的芯片重新插入其插槽并重新组装系统。
保护数据的一些技巧
“预防总是比治疗更好。”以下是一些帮助保护您的数据的重要提示。通过遵循这些提示,我们可以避免数据丢失和复杂的数据恢复过程。
制作备份
备份引导扇区和其他目录信息始终是保护数据的明智之举。应以不同的时间间隔备份磁盘的不同区域。一个完整的备份程序由以下步骤组成:
- 为每个系统创建一个紧急启动盘。
- 在 FDISK DOS 命令之后创建一次 MBR 的备份副本。
- 在 DOS 中执行 FORMAT 命令后,为每个逻辑磁盘创建一次 DBR 备份。
- 定期创建FAT 和根目录的备份。
- 定期创建重要用户数据的备份。
每月进行表面扫描。
每月进行一次表面扫描来检查设备的介质。通过这样做,您可以尽早纠正错误。即使扫描程序无法修复驱动器,它至少可以提供有关存储设备的物理和逻辑状况的信息。有了这些信息,您可以获得帮助来备份数据并找到问题的解决方案。
每周对数据进行碎片整理
随着新文件的创建和旧文件的删除,磁盘上的数据变得越来越碎片化。碎片化使得数据访问变得缓慢且困难。我们将在本书的后面章节详细讨论磁盘碎片和碎片整理。
操作系统中提供了数据碎片整理实用程序。通过保留碎片整理后的数据,您可以提高系统性能,并且在发生磁盘故障时也可以相对容易地恢复碎片整理后的数据。
使用良好的防病毒程序
病毒是当今数据丢失的最大原因。为了避免您的数据被病毒感染并保护它,您应该使用好的防病毒程序。
如果您在计算机上使用软盘和 CD,请在计算机上打开磁盘或从中复制任何内容之前运行防病毒扫描。如果您使用互联网,请始终在防病毒设置中启用电子邮件保护和互联网安全。
养成对软盘进行写保护的习惯。
许多病毒往往通过软盘传播到其他计算机,它们只需以隐身模式将其可执行程序复制到软盘即可。
大多数病毒都是引导记录病毒,除非您从受感染的软盘启动系统,否则它们无法进入您的硬盘。您可以连续多年读取和写入带有受感染引导记录的软盘数据,并且永远不会受到感染。但从这样的软盘启动,即使它不是启动盘,也会使您的系统感染引导扇区病毒。
不要使用盗版游戏和软件
盗版游戏和软件通常是通过黑客攻击或其他非法程序编写的,即使在盗版之后仍可运行。这些程序可能与每台计算机的软件和硬件配置不兼容或不适当,并且可能会破坏您的数据。
此外,有相当一部分此类软件,尤其是游戏,被用作传播病毒的手段。因此,使用盗版软件可能会使您的系统感染严重的系统病毒并造成重大数据丢失。
