数据恢复知识起步

• 文件名索引区和文件实际数据区
  
  Windows操作系统（文件系统）在存储数据的时候，分文件名索引区和文件实际数据区来存放，这2个区域是分开，隔了老远。当系统删除/格式化/重分区等操作后，文件名索引区就损坏，但一般不影响到文件实际数据区，所以文件数据还可以恢复。当文件名索引区损坏并不严重的时候，文件目录的恢复效果就很好，反之恢复后没有文件名，仅仅有按扩展名恢复的数据。
   
• 分区表/分区/盘符
  
  当新买一个硬盘等存贮介质，接入系统后，系统首先要对它进行分区和格式化，才能给它分配盘符来存文件。分区表就被创建出来记录这块硬盘有哪几个分区，相应的每个分区盘符占用硬盘的某一部分空间。
   
• 数据覆盖
  
  覆盖是指文件A丢失后，又新存了文件B进来，B文件正好存放在原本存储A文件的扇区上。这样原本存放老文件的扇区上的数据变成新文件的，那就无法恢复老文件了。 任何数据恢复的前提都是没有覆盖，所以文件丢失后，保存好现场非常重要，千万不要再往这个盘存新东西进去，不要格盘，不要重新分区，也不能把数据恢复到源盘。请不要往要恢复的盘里面存入新数据，不要下载文件到这个盘、不要格式化这个盘、不要把文件直接恢复到源盘、最好也不要打开这个盘浏览文件（浏览图片系统会自动形成缩略图写入数据），如果要恢复的文件在系统C盘上，建议关机摘盘挂掉别的电脑作为从盘来恢复。
   
• 文件碎片
  
  文件碎片是指一个文件的内容被分成多个部分存放在盘里面不同的区域，就形成了碎片链。我们这样来举个例子：当一个新格过的分区存放一个文件A后，这个文件内容往往都是连续的存放在同一地方，当系统又新存另外一个文件B进来，那B一般就紧挨着A存放，当我们对A文件进行修改后，A文件变大了，多于原先的那部分数据就放在B后面，这样A就形成了2碎片（它的内容被B文件隔开）。文件碎片是数据恢复的大敌，有时候文件能找到却打不开，就是它有文件碎片了。一般可以这样来大致判断文件碎片：文件复制进来后，不再编辑修改，那文件不容易形成碎片；经常编辑修改的文件，很容易有碎片；分区里面经常删除和存入新文件，也容易有碎片。
       

数据恢复中需要注意的问题

• 数据恢复过程中最怕被误操作而造成二次破坏，造成恢复难度陡增。数据恢复过程中，禁止往源盘里面写入新数据的。
   
• 不要做DskChk磁盘检查。一般文件系统出现错误后，系统开机进入启动画面时会自动提示是否需要做磁盘检查，默认10秒后开始进行DskChk磁盘检查操作，这个操作有时候可以修复一些小损坏的目录文件，但是很多时候会破坏了数据。因为复杂的目录结构它是无法修复的。修复失败后，在根目录下会形成FOUND.000这样的目录，里面有大量的以.CHK为扩展名的文件。有时候这些文件改个名字就可以恢复，有时候则完蛋了，特别是FAT32分区或者是NTFS比较大的数据库文件等。
   
• 不要再次格式化分区。用户第一次格式化分区后分区类型改变，造成数据丢失，比如原来是FAT32分区格成NTFS分区，或者原来是NTFS的分区格式化成FAT32分区。数据丢失后，用一般的软件不能扫描出原来的目录格式，就再次把分区格式化会原来的类型，再来扫描数据。我们指出的是，第2次格式化会原来的分区类型就是严重的错误操作，很可能把本来可以恢复的一些大的文件给破坏了，造成永久无法恢复。
   
• 不要把数据直接恢复到源盘上。很多普通客户删除文件后，用一般的软件恢复出来的文件直接还原到原来的目录下，这样破坏原来数据的可能性非常大，所以严格禁止直接还原到源盘。
   
• 不要进行重建分区操作。分区表破坏或者分区被删除后，若直接使用分区表重建工具直接建立或者格式化分区，很容易破坏掉原先分区的文件分配表(FAT)或者文件记录表(MFT)等重要区域，造成恢复难度大大增加。我们在恢复的实践过程中碰到过多次客户在分区表破坏后，先自行尝试过几种分区工具都无法恢复数据后才想到找专业人员帮忙，结果我们发现在多种分区工具作用后，破坏了一些重要的目录文件，造成文件目录恢复不完整，有些大的文件无法恢复。而按客户描述的最初分区丢失的情况，这些文件一般都可以完全恢复了，真是很可惜啊。专业的数据恢复人员在重建分区表之前都会先定位分区的具体位置(逻辑扇区号)，然后用扇区查看工具先检查分区的几个重要参数比如DBR/FAT/FDT/MFT等，确认后才修改分区表的，而且修改完分区表后在启动系统过程中会禁止系统做dskchk破坏分区目录，保证数据不会被破坏到。
   
• 阵列丢失后不要重做阵列。我们在挽救服务器阵列的实践中遇到过有些网管在服务器崩溃后强行让阵列上线，即使掉线了的硬盘也强制上线，或者直接做rebuilding。这些操作都是非常危险的，任何写入盘的操作都有可能破坏数据。
   
• 数据丢失后，要严禁往需要恢复的分区里面存新文件。最好是关闭下载工具，不要上网，不必要的应用程序也关掉，再来扫描恢复数据。若要恢复的分区是系统分区，当数据文件删除丢失后，若这个电脑里面没有数据库之类的重要数据，我们建议您直接把电脑断电，然后把硬盘挂到别的电脑来恢复，因为在关机或者开机状态下，操作系统会往系统盘里面写数据，可能会破坏数据。
     

关于恢复成功率的一些知识

• 数据丢失后的恢复率，不同情况下都不一样的。
   
• FAT或者FAT32分区，删除或者格式化后，比较大的文件或者经常编辑修改的文件，恢复成功率要低一些，比如经常编辑修改的XLS或者CDR文件就很难完整恢复。那些文件拷进去后就不动的文件，恢复成功率比较高，比如PDF或者JPG,MPG等不经常修改的文件，恢复率还是比较高的。这是因为FAT和FAT32分区使用文件分配表来记录每个文件的簇链碎片信息，删除或者格式化后簇链碎片信息就被清空了，那些经常编辑修改的文件由于它们的文件长度动态增长，在文件系统中一般都不会连续存放，所以文件碎片信息就无法恢复，文件恢复也就不完整了。
   
• NTFS分区的恢复概率比较高，一般删除或者格式化后绝大部分都可以完整恢复的。某些文件有时候无法恢复，例如文件长度非常大或者文件在编辑使用很长时间，这文件会形成很多的碎片信息，在删除文件后，这个文件就无法知道文件长度，很难恢复了，例如一些使用很多年的数据库文件，删除后用数据恢复软件扫描到的文件长度是0，无法恢复。定期做磁盘碎片整理可以减少这种情况的发生，但是直接做磁盘碎片整理也有风险，请参考上面需要注意的问题。
   
• 重新分区或者删除分区或者分区表破坏，一般后面的分区基本能完整恢复，越靠后的分区被破坏的可能性越低，所以重要数据最好放在比较靠后的分区里面，不要放在C，D盘里。
   
• 经过回收站删除的文件，有时候会无法找到文件。NTFS下，从回收站中删除的文件，文件名会被系统自动修改成De001.doc之类的名字，原来的文件名被破坏。当您的数据丢失后，不能直接找到文件名，记得别漏过这些被系统改名过的文件哦。直接Shift+Del删除的则不会破坏文件名。