数据恢复资料Word文档格式.docx

数据恢复资料Word文档格式.docx

《数据恢复资料Word文档格式.docx》由会员分享，可在线阅读，更多相关《数据恢复资料Word文档格式.docx（40页珍藏版）》请在冰豆网上搜索。

●热爱数据恢复行业，希望成全自己的同时也成全他人。

从道德层面讲，前三个理由都无可厚非。

对于从事电脑维修的朋友来说，经常会碰到因为硬盘故障、操作系统损坏、客户误操作导致的数据丢失情况。

“兵来将挡”，长时间的磨练使相当一部分维修技师已经可以熟练使用经典数据恢复工具，完成一些简单的数据恢复任务，对他们来说，数据恢复不仅是技术层次的提升，更意味着经济收入的提升，于是他们中的大多数都选择转行为数据恢复工程师，在公司中充当技术骨干角色。

对于一部分急于创业的朋友来说，快速培训、二手电脑、面积不大的写字间都是节约资金的理由，数据恢复正好可以满足低廉的创业计划，一个月多少总有几单业务可以帮助其运转维持。

对于刚毕业的学生来说，数据恢复可以作为职业生涯的起步，以便伺机跨入收入更高的行业中。

但是，这些理由听起来又有或多或少的问题，难道数据恢复仅仅是一个转行的跳板吗？

当然不是！

前三个理由，我们都可以归结为“职业价值观”问题。

也就是说，直到今天，很多数据恢复从业人员，既没有合理的职业规划，也不清楚自己手头工作的意义。

刚入这行的时候，我就听高宁老师对数据恢复下了和悬壶济世的医者一般的“救死扶伤”的工作定义。

数据恢复，作为一种灾难拯救手段，把无数客户从劫难中挽救回来，是一项受人尊敬的崇高使命。

你是否在感激的泪光中看到自己骄傲的身影？

你是否在千恩万谢中若有所思，体会智者仁心？

数据恢复不仅仅是一份工作，更应该让大家当成钟爱的事业来做。

正所谓“热爱是相互的”，你热爱数据恢复，它自然会加倍地给你回报。

数据恢复的原理决定它必须利用许多旁系学科作为基础，导致从业者不断学习，这难道不是一种动力？

作者身边的数据恢复高手，无一例外都跨入了软件高手的境界，就是因为在他们眼里，数据恢复是一种事业，围绕这个事业，他们愿意学习任何其他有助于数据恢复研究的知识。

最终，他们不仅获得了行业地位，也在其他领域建树颇丰，同时赢得了相应的经济条件。

当然还有很多原本资质不错的技术好手，唯利是图，最终碌碌无为，到最后他们才发现，即便是经济收入，自己仍远远不如他人。

很多人说，数据恢复技术过于简单，缺乏技术壁垒，最终会沦为垃圾产业。

我必须反驳：

那是他们还没有真正窥到“上乘武学之门”。

美亚柏科、效率源、ACE它们哪一个不是坐拥高端技术从而取得了巨大的成功？

对不思进取者而言任何产业都是垃圾产业，都是事业的坟墓。

说了这么多，我也没法归纳性地会答标题所提出的问题，只能说，既然选择了“她”，就好好爱“她”。

1.1.2学习数据恢复需要什么基础

我说不需要任何基础未免有些自欺欺人，可是要我详细地列出学习数据恢复所需要的知识，我只能说，一切跟计算机有关的基础知识都要重视，包括数学、英语、微机原理，他们都是不可或缺的。

举几个例子：

●我们经常需要了解国外的最新科研成果，如果没有基本的英语阅读能力，连搜索文献都成问题。

●Fisher线性判别已经被国外科研人员用于文件碎片分类。

如果我们没有概率统计学的基础，别说对其进行研究，恐怕是不知所云了。

●如果我们要了解PC3000的秘密，不懂微机原理，不懂ATA/SCSI协议，那无异于痴人说梦。

正所谓“霓裳虽美始于宫娥之糙手，灵药神奇源自贫医之素陶”。

知识也会从平庸基础累积为华美广厦。

所以，请大家重视基础，牢固基础。

现在为了给本小节凑点字数，作者也说句大道理：

成功=汗水+智慧+运气。

小时候听到这个等式总是不以为然，现在越来越体会到其中深意。

汗水就是努力，任何拥有的伟大成就的科学家，无一例外付出了99%的努力，尚未听说哪个神童轻轻松松就取得了惊人成就。

智慧也是必须的，但是智慧也是在努力中锻炼出来的。

有时候我们需要那么一点点运气。

拿金庸的武侠小说来说，虽然里面的主人公也都是勤奋好学，天赋异禀，却几乎都通过“奇缘”的方式完成了武学的升华，可见有时候运气还是能起主导作用。

汗水和智慧“事在人为”，但是运气呢？

没有运气，难道我们辛苦所学就都将化作梦幻？

虽然，我不敢说每个人一生都能碰到一次改变命运的“祥瑞”，但是，我相信“毅力”会增加碰到好运的几率。

居里夫人是偶然提炼出铀的吗？

正所谓“学海茫茫孤帆冷，日复一日摇橹人”，耐得住寂寞、学会坚持、学会等待，才能在广阔知识海洋中找到属于自己的栖身之岛。

1.1.3数据恢复行业现状

中国数据恢复产业可以用“良莠不齐”来形容。

一方面，大公司正在加紧领导制定行业规范，另一方面许多小公司也结成渠道联盟试图正规化。

当然，相当一部分小公司仅仅是拿数据恢复当做一种增值业务，没有认真对待。

未来是显而易见的，市场将掌握在大公司或技术联盟手中。

值得一提的是，民间数据恢复技术交流正如火如荼地进行，典型的技术社区如中华硬盘基地已经发展成拥有数十万会员的大型论坛，一批技术高手活跃在这座技术舞台上，“八喜”、“甜橙”、“雨荷”、“海云”、“WindowsHao”、“华山剑客”等都是技术研究的领军人物。

目前数据恢复的学术成果尚不多见，除了戴士剑老师的鸿篇大作《数据恢复技术》外，汪中夏老师、刘伟老师、马林大哥的专著也在国内外引起了很大反响。

1.2学习规划

任何学科都有其相应的学习规划。

在大学里，老师们按照教育专家们指定的学习规划制定专业的教学任务表，我们只需要跟着老师的引导去学习，就可以按部就班地完成学习任务。

但是本节不打算给大家列出一张严谨的课程表，我们仍然还是以轻松的语调，从勤奋、机遇、自爱三个角度谈谈数据恢复的学习方法。

1.2.1勤奋

从勤奋的角度，数据恢复倒是有很多的学习方法，也就是我们称之为“笨办法”的办法。

1.好问

多向高手请教是通往高手的捷径。

当然，请教也是在自己冥思苦想、头晕脑胀时不得已采取的学习手段，不能所有问题不予思索一概求人，养成懒惰的思考习惯，取得适得其反的学习效果。

2.多参与技术讨论

讨论是一种平等的学习交流方式。

数据恢复重在讨论。

一个疑难杂症的解决，往往是众多大脑一起给力的结果。

即便讨论没有得出正确结果，人们也会在讨论中学习到很多其他额外的知识。

3.总结经验

我们在FAT文件系统的第6个扇区发现了引导扇区备份，在NTFS分区的后面发现了引导扇区备份，于是我们认为Ext2的超级块也有备份……直到我们发现大部分文件系统都为“错误恢复”预留了后路。

于是在数据恢复工作中，我们的第一反应就是去寻找备份，这就是一种经验的总结。

拿Windows来说，临时文件几乎成为其安全漏洞。

对于可存档的文件，甚至加密后的NTFS，几乎总是可以从临时文件中找到突破口。

这也是经验。

对于硬盘被Ghost成一个大分区的案例，我们用类似“分区表医生”之类的软件即可快速解决。

这仍然是一种经验。

总之，善于总结的人总是能够高效高速地完成工作。

因为当技术成了一种直觉或习惯，就没什么可以阻挡了。

4.硬着头皮写技术文章

写技术文章可以帮助数据恢复从业人员牢固自身知识。

这跟人类固有的“虚荣心”有一定关系：

技术文章是给别人看的，为了不闹出笑话，必须严谨对待。

5.抄书

这是笨办法中的较高境界了。

古人云“眼过千遍不如手过一遍”还是有一定道理的。

数据恢复通常靠自学，书中晦涩难懂的知识点必须通过高度集中的注意力才能加以理解，所以抄书是集中注意力的一种方法，也是帮助大家迅速熟悉相关行业术语的方法。

当然，也有抄书走神的，但是总比瞪眼干看着强多了。

6.实验再实验

每当我们对前辈大师的研究成果叹为观止时，我们首先想到的往往是他们过人的智慧。

曾经有人认为数学家一晚上就可以推导出几个公式来，这纯粹是一种臆想。

很多时候，研究就是不断实验的过程，实验数据积累到一定程度，埋藏的珍宝就会显现出来。

当今数学界，很多问题只能依靠计算机来证明，无非是看重了计算机的实验能力，数据恢复何尝不是如此，只要我们不断实验，知识和技能自然与我们“亲近”。

7.多干活

多争取一些数据恢复业务增加自身的实战经验是上上策。

8.尝试编写一些简单的数据恢复实验代码

编写代码的过程就是一个严谨的学习过程，原因很简单：

如果有一个环节没搞懂，代码就编写不下去。

1.2.2机遇

1.去大公司

作者认为，有机会一定要去规模较大的公司呆上两年，感受企业文化氛围，学习规范化的工作流程。

对大家的职业生涯将产生不可估量的影响。

当然这需要机遇。

2.一鸣惊人

数据恢复行业中，一鸣惊人的案例也很多，重要客户的重要数据往往成为数据恢复工程师振翅高飞从而一发不可收拾的导火线，也大大增加其学习信心。

这也需要机遇。

3.名师

遇到一位愿意将生平所学倾囊相授的名师。

当然，名师不仅技术精湛，而且愿意循循善诱，让我们在不知不觉中发现学习的乐趣。

1.2.3自爱

《阿房宫赋》有云：

“灭六国者，六国也，非秦也；

族秦者，秦也，非天下也”。

一个朝代的灭亡，与其内部乌烟瘴气的政治管理方式密不可分。

相应的，个人又何尝不是如此？

1.不要泯灭良心

听说有的数据恢复公司会恶意破坏客户数据，迫使客户不得不选择他们。

相信天理昭彰报应不爽，这些行业耻辱，等待他们的将是冰冷的手铐和远播的恶名。

2.养成良好的健康习惯

身体是一切脑力活动的基础。

举个最简单的例子，乏力体制的人一般缺乏学习毅力，更何况年纪轻轻疾病就接踵而来，还谈什么职业生涯。

3.让大脑时刻维持在思考状态

大脑作为身体中唯一参与思考的器官，不用来思考难道用来打架？

我们经常看到程序高手落寞地坐在电脑屏幕前发呆，可以连续几个小时纹丝不动。

大家应当羡慕他们，有这样“上了轨道”的思维习惯，还有什么难题不能攻克？

当然，前提是不能为此影响健康。

4.关心你的家人

关心家人也是自爱的一种。

当你孤独地走在异乡凄冷的大街上时，当你满怀希望求职却被无情拒绝时，家人永远是你坚强的后盾。

1.3数据恢复技术未来发展方向

未雨绸缪，真英雄也。

只有牢牢把握住一门学科的发展方向，才能在技术大潮中游刃有余，应对自如。

1.3.1FLASH数据提取技术

目前，固态硬盘正在不断蚕食存储市场份额，嵌入式设备又大行其道，FLASH闪存使用量达到前所未有的高度，与之相关的FLASH芯片数据恢复业务也如影随形地跟了过来。

国内美亚柏科、效率源等公司都在积极研发此类技术。

1.3.2数据恢复与残余数据分析并存

数据恢复往往不能达到完美的效果，某些时候，只能得到一些残余信息或文件碎片而已。

这样就引申出一个关键问题：

对客户而言，这些数据是否还存在价值。

实际情况是，90%的客户在即便只有“数据肢体”的情况下，也要将其带回去。

就拿Word文档来说，很多情况下，我们可以得到里面的文字而无法保留其格式，客户会惊呼：

“天哪！

格式也是很重要的，排版花了我几个星期的时间”。

可难道因为格式丢失他们就心甘情愿放弃这些文字内容吗？

答案是否定的，他们无一例外会在这些文字的基础上重新排版，因为工作量尚不算太大。

但是假设损坏的是一张财务表格，相信大部分人都会抱头痛哭起来，因为丢失了格式的财务数据几乎没有意义，即便我们取出一堆数值，也无法和帐套信息精确对应起来。

可是某些客户还是会说：

“能否给我报表某列的合计结果，这是目前最重要的”。

于是，我们忧心忡忡地从一大堆数据里找出了最大的几个数值，或者我们编写程序对那些较小的数值进行尝试性求和，看看结果最近接哪个值，最终我们找到了最像合计结果的那个数值，客户也许会说：

“好像就是这个，这太幸运了”。

这单业务也就算起死回生了。

此时此刻，真正挽救数据的是残余数据分析技术而并非数据恢复技术。

帮助客户从残余数据中提取、总结有价值的信息，就是残余数据分析。

未来，残余数据分析有可能从目前的被动需求变为主动业务，分析范围也不再局限于丢失或残缺的数据。

分析方向会因为数据源的行业背景而各不相同，从而衍生出很多行业分支。

目前，某些“计算机取证工具”或“财务审查工具”已经开始朝“恢复+分析”这个趋势演变。

总之，既然数码世界无限广大，那么残余数据分析的用武之地也同样广大。

1.3.3数据恢复“云”

云概念突然被炒得火热，和大公司的业务竞争密切相关。

但是，“云是计算机技术发展的必然趋势”这个观点是不可动摇的。

“云”最大的优势并非来源于技术上的变革，而是它加快了“产品到服务”的转型速度。

数据恢复也可以“云”化，但主要是针对“数据恢复软件”而言，互联网上已经出现了“硬盘在线解密服务”的雏形，据说效果尚可。

专业数据恢复机构在很长时间内依然拥有存在的价值。

1.3.4数据恢复与人工智能

也许我们可以边干活边跟数据恢复软件讨论当天的NBA比赛，哈哈，这是远景，够梦幻也够无聊的。

不过这几年文件碎片重组技术得到了人工智能学科的大力支持，很多原本用于模式识别、模式分类领域的“分类器”、“自组织神经网络”、“熵”等概念被引入，大大增强了数据恢复的科技含量。

本书中我们也要予以适当关注。

1.4我们的闺蜜——数据恢复工具

虽然数据恢复工具并不是我们安身立命的根本，但是在很多情况下，它们能帮助我们更有效率地完成工作。

从计算机的角度，它们只是拥有特定功能的程序，所以它们只能按照预先设定好的流程来进行工作，一旦数据环境的复杂程度超出了它们所能掌控的范围，它们就会失去效力甚至给我们造成一定程度的误导。

有人说，两种数据恢复工具的恢复效果是有差别的，这是当然，因为它们分别代笔了不同开发人员的不同思路。

大家完全可以凭借自身经验为自己挑选适合的数据恢复工具，当然，做人不能太死板，对于“难啃的骨头”，我们可以多找工具使其各显神通。

1.4.1傻瓜都能使用的R-Studio

1.主界面

R-Studio具有相当人性化的界面设计（图1-1所示）。

其主界面大致分为操作区、属性区、和日志区三个部分。

操作区负责管理识别到的介质或镜像文件，通过菜单或工具栏向所选介质发送文件系统扫描、创建镜像文件、组织RAID结构等控制命令。

属性区负责展示介质或镜像文件的基本信息，如设备名称、设备GUID、设备容量、文件系统参数、IO方式等。

日志区负责展示工作中出现的异常现象并以文字的方式提供给用户。

图1-1R-Studio主界面

2.扫描

R-Studio具备强大的文件系统扫描功能（图1-2所示），可以支持FAT/ExFAT、NTFS、Ext2/3/4、UFS、HFS+等主流文件系统。

其扫描原理是逐单位（扇区或簇）搜索文件系统数据结构特征并予以保存，然后根据需要动态解析文件系统重要参数，以求尽可能平衡系统资源。

R-Studio还支持区段扫描，灵活度不言自明。

扫描文件系统的同时，R-Studio仍可以根据文件特征记录文件的存储范围，留作数据恢复终极解决方案。

图1-2R-Studio扫描过程

3.数据编辑器

R-Studio拥有和WinHex类似的数据编辑器（图1-3所示），但功能上不可相提并论。

R-Studio的数据编辑器可以实现字节和扇区一级的地址跳转，也拥有一部分模板功能和查找功能。

图1-3R-Studio数据编辑器

4.文件展示

扫描结束后，R-Studio会根据自己所记录的文件系统数据结构特征只能组织出可能的文件系统方案，一般排在第一位的，颜色为绿色（图1-4所示）的一项是最优方案。

图1-4扫描出的文件系统组织方案

文件以目录树的形式展示（图1-5），左边主要展示根目录下各父目录的名称，右边主要展示目录内部信息。

如果需要恢复文件，我们可以选择数据后点击右键菜单的“恢复”，我们一可以将需要的文件做好标记，然后统一恢复。

注意R-Studio具有极强的文件归类能力，可以按照类型、时间等进行精确分类。

R-Studio提供完整的数据预览功能，可以无需恢复直接预览文档、照片等主要数据。

此外，文件展示与数据编辑器模块紧密耦合，可以互相调用影响。

图1-5文件展示

5.高级数据恢复功能

主要指R_Studio的RAID重建功能（图1-6所示）。

不得不承认，R_Studio已经成为事实上的RAID数据恢复技术领跑者，最新版本的R-Studio不仅对标准化的RAID0、RAID5给予强大支持，甚至对非标准的各种RAID6也关注甚深。

图1-6R-StudioRAID重组功能

1.4.2闪电侠HandyRecovery

提到速度，就不得不忆起HandyRecovery（图1-7所示）风驰电掣的风采。

该软件操作简单，稍有计算机基础的人在一天内摸清其“脾气嗜好”也并非难事。

HandyRecovery擅长恢复误删除，误格式化的数据。

HandyRecovery支持的文件系统类型有FAT12/16/32，NTFS/NTFS5+EFS，HFS/HFS+，为Windows、苹果等操作系统提供了强大的反删除方案。

HandyRecovery以快速分区表搜索与虚拟重建功能为主线，使各个模块保持紧凑的状态，化繁为简，用户体验大方流畅。

图1-7HandyRecovery

1.选择磁盘分区

选择一个磁盘分区（图1-8所示），顾名思义，就是让你选择被恢复对象。

图1-8选择恢复对象

此时我们只需选择分区，然后单击“分析”，就可以进行数据恢复工作，完全是向导式操作。

从图1-9中可以看到部分丢失的子目录，只是目录名称无迹可寻，这里软件已经用它自己的方式命名了。

图1-9搜索目录和文件

2.分区搜索

“寻找丢失分区模块”（图1-10所示）不仅运行速度奇快，而且可以指定搜索起始位置和结束位置，找到的分区会自动显示在“磁盘选择列表”中。

图1-10搜索丢失分区图1-11分区查找结果

选择硬盘后，先填入扫描起始位置，再指定扫描区域（可以用滚动条来调节），确定文件系统类型后，点开始，就可以进行分区扫描（图1-11所示）。

3.文件预览

文件预览是非常实用的功能，可以提前知悉文件内容以判断其是否需要恢复。

该功能应用了COM组件技术，可以直接调动WORD浏览（图1-12所示）文档内容。

图1-12文件预览

1.5数据恢复研究过程

研究=研发素材+智慧。

任何时候都要牢记这个公式。

1.5.1七个问题

第一个问题，在没有数据编辑工具或数据恢复软件（要有白花花的银子）的环境中，我们怎样最大限度利用操作系统资源，收集研究素材？

答案当然是去Windows工具集中寻找，操作系统何其庞大，自带的应用程序五花八门，涵盖了系统管理的各个方面，此外微软的工程师出于加快开发效率的目的，经常会编写一些小工具，即小巧又实用，我们对此却知之甚浅，不过现在还不算晚。

我们至少发现这个叫fsutil（图1-13、图1-14、图1-15、图1-16所示）的程序可以帮助我们实现对文件系统的初步控制。

图1-13fsutil功能一览

图1-14查询卷使用状况

图1-15查询NTFS基本信息

图1-16查看文件系统统计信息

第二个问题，如果Windows中实在没有想要的素材，又该何去何从？

这是个好问题，我们的志向肯定不在一些基本的文件系统信息而已，有时候，我们希望访问一些“管理禁区”，比如文件系统元文件信息，或者是每个文件的存储范围。

只要会上网，就肯定能找到一个叫“WindowsOEM支持工具箱”的工具集，里面有一个nfi程序。

其使用方法如图1-17所示。

图1-17查看D盘$MFT文件的信息

我们看到，程序不仅列出了相关的驻留和非驻留属性名称，还以逻辑扇区为单位给出了文件在卷中的存储范围。

nfi可以按照扇区号来显示该扇区所在的文件的信息（图1-18所示），包括元文件。

图1-18根据扇区号显示文件信息

第三个问题，如果凭借一己之力，实在无法解决某些问题，是放弃还是前进？

微软成功的原因之一就在于他给予程序员巨大的技术支持，这些主要体现在MSDN（别笑，国内很多开发人员都没有上MSDN的习惯）上。

安装VS时往往会同时安装MSDN（图1-19）的一部分内容，包括详细的结构定义、API文档、例程等，已经可以满足我们正常的研究需要。

使用MSDN要注意三点：

●其信息量庞大，链接层次较深，有时候通过目录树很难发现自己想要的内容。

遇到这种情况，我们可以换种思路。

例如我们需要查找一个函数的使用文档，只要能想起函数的前几个符号，就可以通过“索引”使它“原形毕露”。

●尽量使用MSDN的英文版本。

原因很简单，它是美国人的孩子，待遇相差甚远。

●多多参与社区中的讨论，别怕丢人。

MVP也经常犯错，但大家都很尊敬他们。

图1-19VS自带MSDN

第四个问题，要是我们的问题过于生僻，整个MSDN中都没有它的踪迹，是否该求教他人。

呵呵，现在还不到求教的时候。

MSDN不给力（比较罕见），我们就去Windows代码中寻找。

当然，Windows是封闭型操作系统，想阅读源码谈何容易，但是WDK我们总能下载，里面包含了Windows开发所需要的所有“头文件”，这些头文件中不仅记录了大量的结构和函数原型，也提供了精彩的注释内容，这些注释往往比MSDN更直观，提供更丰富的信息量。

此外，ReactOS和WRK项目间接提供了部分Windows源代码，至少可以借鉴。

第五个问题，要是我们已经无法从Windows中挖出有用的信息，研究岂不停滞？

不会的，天无绝人之路。

这时候，“开源”该登场了。

说起开源，作者就有些脸红，因为国内很多程序员滥用开源代码，把开源的初衷变成商业开发的捷径，说白了就是抄袭。

眼看一种先进的思想理念变成肮脏的遮羞布，每一个有良知的技术人员都会感到深恶痛绝。

但是，从学习的角度，作者建议大家多多接触开源代码，比如Linux源码（图1-20所示）中包含了几十种文件系统的支持代码。

此外，TestDisk也是开源数据恢复工具的典范。

图1-20Linux源码

第六个问题，除了阅读开发文档和源代码，是否还有其他捷径？

搞研究永远没有捷径。

还有条更难走的路，那就是调试和反汇编。

WinDbg是个不错的调试工具，而IDA