【專家簡介】戴士劍,湖北南漳人,高級工程師,我國數(shù)據(jù)恢復(fù)技術(shù)學(xué)科創(chuàng)始人,中國人民解放軍某部隊數(shù)據(jù)安全實驗研究中心技術(shù)總負責人,信息產(chǎn)業(yè)部數(shù)據(jù)恢復(fù)職業(yè)資格認證專家顧問,法源司法科學(xué)證據(jù)簽定中心特聘專家。
《數(shù)據(jù)恢復(fù)技術(shù)》出版至今,僅簡體版就已銷售3萬多冊,再加上各個地方、各個系統(tǒng)以各種名義舉辦的各種數(shù)據(jù)恢復(fù)技術(shù)培訓(xùn)班,愛好或關(guān)注數(shù)據(jù)恢復(fù)技術(shù)的何止千萬?用BAIDU搜索了一下“數(shù)據(jù)恢復(fù)”,竟然返回200多萬個相關(guān)網(wǎng)頁。
由此可以看出,目前數(shù)據(jù)恢復(fù)市場的熱度。對此,筆者感觸頗多。
數(shù)據(jù)恢復(fù)不可輕視
第一,現(xiàn)在的年輕人真的是很幸福,上網(wǎng)一搜就可以找到這么多的技術(shù)資源共享。想當初,為了搞清楚分區(qū)表幾個字節(jié)的含義,我可是找到僅有的三臺計算機,自己閉門對比分析了一個多星期才搞出來的。
第二,這么多人關(guān)注數(shù)據(jù)恢復(fù)技術(shù),說明大家已經(jīng)認識到了保護數(shù)據(jù)的重要性;尤其是“9.11”之后,國外對數(shù)據(jù)的重要性的認識更廣更深,國內(nèi)也建立起了很多的災(zāi)備中心,而存儲資金的投入也首次超過了其他硬件,有些系統(tǒng)存儲設(shè)備的投資更是占到整個投資的85%。
第三,對于數(shù)據(jù)恢復(fù)技術(shù)在整個信息安全體系中的地位和作用,也逐步開始得到認識,尤其是存儲安全的基礎(chǔ)性地位,逐漸得到國內(nèi)學(xué)術(shù)界的重視和認可。國外在這方面的起步要早得多,如美國早在1991年就發(fā)布了DoD 5220.22-M標準,北約也發(fā)布了自己的NATO標準,美國更是在去年開發(fā)了具有自毀功能的硬盤,韓國及日本等國家都大力支持發(fā)展存儲產(chǎn)品,這里面除了經(jīng)濟因素,更深層次的卻是政治因素。
第四,國內(nèi)的數(shù)據(jù)恢復(fù)市場仍然停留在比較粗淺的層面上,良莠并存。這么說,可能會有很多人跳出來反對。確實,從2003年開始,數(shù)據(jù)恢復(fù)被炒得很熱,在Google里隨便一搜,就可以返回幾十上百萬個有關(guān)數(shù)據(jù)恢復(fù)的頁面。但是,除了少數(shù)幾家正規(guī)的公司外,很多小公司根本連概念都不清楚,只是使用幾個網(wǎng)上找來的解密的數(shù)據(jù)恢復(fù)軟件,就聲稱能恢復(fù)用戶數(shù)據(jù)。一個簡單的事件就足以說明這一問題。2005年,有人說手頭有一個從俄羅斯弄來的數(shù)據(jù)恢復(fù)軟件,安裝以后就可以恢復(fù)被覆蓋的數(shù)據(jù),就是這樣一個簡單可笑的謠言,卻吸引了圈內(nèi)大量的從業(yè)人員的追捧。由此可以看出,雖然現(xiàn)在數(shù)據(jù)恢復(fù)行業(yè)看起來很美,但其技術(shù)實力卻又是多么薄弱。和國外正規(guī)數(shù)據(jù)恢復(fù)公司相比,國內(nèi)目前從業(yè)者的技術(shù)水平只能說是處于起步階段。
盡管如此,筆者還是很欣慰已經(jīng)有這么多的人來關(guān)注這個行業(yè)。但目前關(guān)注和投入該技術(shù)研究領(lǐng)域的人力物力還是太少了!我們都知道,任何數(shù)據(jù)在寫入到實際的存儲介質(zhì)前,都必須經(jīng)過一系列的編碼處理,讀出時再進行相反的處理過程。確切地說,需要五次之多的變換。
除了這里介紹的存儲層,結(jié)合我們在前面介紹數(shù)據(jù)恢復(fù)技術(shù)體系的文章中已經(jīng)介紹過的存儲體系可以知道,數(shù)據(jù)恢復(fù)技術(shù)既不像一些人傳言的那么神奇,也不像一些人想像的那么簡單,它是一門實實在在的、有著自己特殊規(guī)律和理論支撐的技術(shù)學(xué)科。
第五,目前的數(shù)據(jù)恢復(fù)市場尚處于發(fā)展初期,還極不規(guī)范和成熟,所以,國家還沒有對數(shù)據(jù)恢復(fù)市場進行管理和規(guī)范,這就使該市場更是良莠不齊。
數(shù)據(jù)恢復(fù)本身就是一個實實在在的技術(shù)問題。一般說來,目前出現(xiàn)的數(shù)據(jù)丟失問題幾乎都是可以恢復(fù)的,但也確實還有不少情況,在目前的技術(shù)條件下是不可能恢復(fù)的,或者換句話說,是不值得恢復(fù)的。如果一家公司上來就說,放心,沒有問題,我們的技術(shù)是一流的,肯定能把你的數(shù)據(jù)找回來。那么請注意,你要小心了!從目前轉(zhuǎn)手到我這里的“疑難雜癥”的實際情況來看,本來可以恢復(fù),卻被“二把刀”從業(yè)者毀壞造成不可恢復(fù),或者恢復(fù)難度急劇增加的案例占了最大的比例。
我自己對此深有感觸。有些朋友打電話給我時說得很簡單,就做了什么什么操作,拿過來一看,根本就不是那回事,里面被弄得一塌糊涂,本來3分鐘就能搞定的事,3天都不能達到最好的效果。另一方面,有些朋友說得很嚴重,硬盤都找不到了,結(jié)果拿過來一看,3分鐘就把問題解決了。所以現(xiàn)在朋友拿過來的盤,我從不問什么情況,進行了什么操作,連需要恢復(fù)什么數(shù)據(jù)都不想問,自己直接看看硬盤底層原始信息,就一目了然了。
關(guān)于數(shù)據(jù)恢復(fù)的建議
在這里再給大家介紹一些基本情況,以供出現(xiàn)問題時參考。
任何時候出現(xiàn)問題,都不用慌張,也不用著急,在動手做任何嘗試之前,都要想一想,現(xiàn)在所做的每一步操作都是在冒險,都可能導(dǎo)致數(shù)據(jù)遭到進一步破壞,因此,必須考慮好了,這些數(shù)據(jù)到底重要不重要,值不值得冒風險,或許找專業(yè)的數(shù)據(jù)恢復(fù)公司,恢復(fù)的成本并不高。尤其是自己動手做得越少,越早找專業(yè)的數(shù)據(jù)恢復(fù)公司,價格就會越低。當然,如果數(shù)據(jù)并不是重要到超過數(shù)據(jù)恢復(fù)的成本,那么,就盡情地自己動手吧,不用猶豫了。
但是,在動手之前,仍然要注意,在可能情況下,盡量給全盤做一完整的備份,可以使用WINHEX、GETDATABACK等工具完成這一工作。如果不需要全盤備份,也要先把能正常拷貝的數(shù)據(jù),轉(zhuǎn)移或拷貝到安全的地方。這些工作可以自己做,也可以請朋友幫忙做,但一定要注意,系統(tǒng)盤下的一些重要數(shù)據(jù)一定要拷貝,如“我的文檔”、“桌面”等,尤其是不要相信一些所謂的電腦高手的話。電腦高手只能是某些方面的,我就親自經(jīng)歷過,一位電腦高手把一位香港作家存放在系統(tǒng)盤里的手稿活生生覆蓋了。
還有,對于這些受損的文件系統(tǒng),任何一次重啟,都可能產(chǎn)生新的破壞,知道Windows系統(tǒng)每次重啟,都會在后臺做些什么工作嗎?不知道?知道的不全?對,這就是一般的技術(shù)人員與專家的差別。數(shù)據(jù)恢復(fù)技術(shù)不是一個固定了操作步驟的生產(chǎn)流水線。任何計算機相關(guān)知識,以及所要恢復(fù)的各行業(yè)的相關(guān)知識都是基礎(chǔ)。
知道了這些,那么在數(shù)據(jù)恢復(fù)時應(yīng)該如何做?
第一,如果是誤刪除或誤格式化,或者是系統(tǒng)死機、移動存儲設(shè)備意外等各種邏輯問題,重啟都可能會造成一些不必要的破壞。但顯然必須重啟,不重啟怎么檢查數(shù)據(jù)狀態(tài)呢?其實,重啟最大的破壞可能只是來自系統(tǒng)的CHKDSK,只要在出現(xiàn)CHKDSK提示時,按任意鍵取消CHKDSK就OK了,即使CHKDSK了,也一樣可以恢復(fù)。因此,放心吧,只要找到可靠的技術(shù)人員,并且不要再往里寫入數(shù)據(jù),一般都是沒有問題的。如果不放心,那么就一定要要求操作人員給原始數(shù)據(jù)做鏡像備份。但對于FAT的文件碎片,目前的重組算法還不是很理想,從理論上說,恢復(fù)的難度相當大,只能通過專家手工重組。問題是你的數(shù)據(jù)真的那么重要嗎?那么,請?zhí)崆白龊脗浞莅桑粔K硬盤的價格相對于數(shù)據(jù)價值來說,實在是九牛一毛。
第二,如果是硬件問題,建議直接找專業(yè)公司,尤其是加電后出現(xiàn)各種異響的盤,少一次盲目的嘗試,就多一份恢復(fù)的機會。
第三,如果是企業(yè)或數(shù)據(jù)中心大型的磁盤陣列或存儲系統(tǒng),更需要找大一點兒的數(shù)據(jù)恢復(fù)公司,小公司可能連這么大的臨時存儲空間都沒有。
第四,其他任何情況,請相信我,如果不能自己處理,那么越早得到專業(yè)數(shù)據(jù)恢復(fù)公司的幫助,你的付出和損失就越小。
其實,目前還有一個最大的誤區(qū)就是數(shù)據(jù)恢復(fù)是用來恢復(fù)數(shù)據(jù)的。這是我一直反對的觀點。確切地說,數(shù)據(jù)恢復(fù)的目標不是用來在數(shù)據(jù)出現(xiàn)問題后,再來找回數(shù)據(jù),而是知道了數(shù)據(jù)如何存儲,用來保護數(shù)據(jù)不再出現(xiàn)丟失,這才是數(shù)據(jù)恢復(fù)的真正用意,同時也是我公開出版《數(shù)據(jù)恢復(fù)技術(shù)》一書的本義。
