【專家簡介】戴士劍,湖北南漳人,高級工程師,我國數據恢復技術學科創始人,中國人民解放軍某部隊數據安全實驗研究中心技術總負責人,信息產業部數據恢復職業資格認證專家顧問,法源司法科學證據簽定中心特聘專家。
《數據恢復技術》出版至今,僅簡體版就已銷售3萬多冊,再加上各個地方、各個系統以各種名義舉辦的各種數據恢復技術培訓班,愛好或關注數據恢復技術的何止千萬?用BAIDU搜索了一下“數據恢復”,竟然返回200多萬個相關網頁。
由此可以看出,目前數據恢復市場的熱度。對此,筆者感觸頗多。
數據恢復不可輕視
第一,現在的年輕人真的是很幸福,上網一搜就可以找到這么多的技術資源共享。想當初,為了搞清楚分區表幾個字節的含義,我可是找到僅有的三臺計算機,自己閉門對比分析了一個多星期才搞出來的。
第二,這么多人關注數據恢復技術,說明大家已經認識到了保護數據的重要性;尤其是“9.11”之后,國外對數據的重要性的認識更廣更深,國內也建立起了很多的災備中心,而存儲資金的投入也首次超過了其他硬件,有些系統存儲設備的投資更是占到整個投資的85%。
第三,對于數據恢復技術在整個信息安全體系中的地位和作用,也逐步開始得到認識,尤其是存儲安全的基礎性地位,逐漸得到國內學術界的重視和認可。國外在這方面的起步要早得多,如美國早在1991年就發布了DoD 5220.22-M標準,北約也發布了自己的NATO標準,美國更是在去年開發了具有自毀功能的硬盤,韓國及日本等國家都大力支持發展存儲產品,這里面除了經濟因素,更深層次的卻是政治因素。
第四,國內的數據恢復市場仍然停留在比較粗淺的層面上,良莠并存。這么說,可能會有很多人跳出來反對。確實,從2003年開始,數據恢復被炒得很熱,在Google里隨便一搜,就可以返回幾十上百萬個有關數據恢復的頁面。但是,除了少數幾家正規的公司外,很多小公司根本連概念都不清楚,只是使用幾個網上找來的解密的數據恢復軟件,就聲稱能恢復用戶數據。一個簡單的事件就足以說明這一問題。2005年,有人說手頭有一個從俄羅斯弄來的數據恢復軟件,安裝以后就可以恢復被覆蓋的數據,就是這樣一個簡單可笑的謠言,卻吸引了圈內大量的從業人員的追捧。由此可以看出,雖然現在數據恢復行業看起來很美,但其技術實力卻又是多么薄弱。和國外正規數據恢復公司相比,國內目前從業者的技術水平只能說是處于起步階段。
盡管如此,筆者還是很欣慰已經有這么多的人來關注這個行業。但目前關注和投入該技術研究領域的人力物力還是太少了!我們都知道,任何數據在寫入到實際的存儲介質前,都必須經過一系列的編碼處理,讀出時再進行相反的處理過程。確切地說,需要五次之多的變換。
除了這里介紹的存儲層,結合我們在前面介紹數據恢復技術體系的文章中已經介紹過的存儲體系可以知道,數據恢復技術既不像一些人傳言的那么神奇,也不像一些人想像的那么簡單,它是一門實實在在的、有著自己特殊規律和理論支撐的技術學科。
第五,目前的數據恢復市場尚處于發展初期,還極不規范和成熟,所以,國家還沒有對數據恢復市場進行管理和規范,這就使該市場更是良莠不齊。
數據恢復本身就是一個實實在在的技術問題。一般說來,目前出現的數據丟失問題幾乎都是可以恢復的,但也確實還有不少情況,在目前的技術條件下是不可能恢復的,或者換句話說,是不值得恢復的。如果一家公司上來就說,放心,沒有問題,我們的技術是一流的,肯定能把你的數據找回來。那么請注意,你要小心了!從目前轉手到我這里的“疑難雜癥”的實際情況來看,本來可以恢復,卻被“二把刀”從業者毀壞造成不可恢復,或者恢復難度急劇增加的案例占了最大的比例。
我自己對此深有感觸。有些朋友打電話給我時說得很簡單,就做了什么什么操作,拿過來一看,根本就不是那回事,里面被弄得一塌糊涂,本來3分鐘就能搞定的事,3天都不能達到最好的效果。另一方面,有些朋友說得很嚴重,硬盤都找不到了,結果拿過來一看,3分鐘就把問題解決了。所以現在朋友拿過來的盤,我從不問什么情況,進行了什么操作,連需要恢復什么數據都不想問,自己直接看看硬盤底層原始信息,就一目了然了。
關于數據恢復的建議
在這里再給大家介紹一些基本情況,以供出現問題時參考。
任何時候出現問題,都不用慌張,也不用著急,在動手做任何嘗試之前,都要想一想,現在所做的每一步操作都是在冒險,都可能導致數據遭到進一步破壞,因此,必須考慮好了,這些數據到底重要不重要,值不值得冒風險,或許找專業的數據恢復公司,恢復的成本并不高。尤其是自己動手做得越少,越早找專業的數據恢復公司,價格就會越低。當然,如果數據并不是重要到超過數據恢復的成本,那么,就盡情地自己動手吧,不用猶豫了。
但是,在動手之前,仍然要注意,在可能情況下,盡量給全盤做一完整的備份,可以使用WINHEX、GETDATABACK等工具完成這一工作。如果不需要全盤備份,也要先把能正常拷貝的數據,轉移或拷貝到安全的地方。這些工作可以自己做,也可以請朋友幫忙做,但一定要注意,系統盤下的一些重要數據一定要拷貝,如“我的文檔”、“桌面”等,尤其是不要相信一些所謂的電腦高手的話。電腦高手只能是某些方面的,我就親自經歷過,一位電腦高手把一位香港作家存放在系統盤里的手稿活生生覆蓋了。
還有,對于這些受損的文件系統,任何一次重啟,都可能產生新的破壞,知道Windows系統每次重啟,都會在后臺做些什么工作嗎?不知道?知道的不全?對,這就是一般的技術人員與專家的差別。數據恢復技術不是一個固定了操作步驟的生產流水線。任何計算機相關知識,以及所要恢復的各行業的相關知識都是基礎。
知道了這些,那么在數據恢復時應該如何做?
第一,如果是誤刪除或誤格式化,或者是系統死機、移動存儲設備意外等各種邏輯問題,重啟都可能會造成一些不必要的破壞。但顯然必須重啟,不重啟怎么檢查數據狀態呢?其實,重啟最大的破壞可能只是來自系統的CHKDSK,只要在出現CHKDSK提示時,按任意鍵取消CHKDSK就OK了,即使CHKDSK了,也一樣可以恢復。因此,放心吧,只要找到可靠的技術人員,并且不要再往里寫入數據,一般都是沒有問題的。如果不放心,那么就一定要要求操作人員給原始數據做鏡像備份。但對于FAT的文件碎片,目前的重組算法還不是很理想,從理論上說,恢復的難度相當大,只能通過專家手工重組。問題是你的數據真的那么重要嗎?那么,請提前做好備份吧,一塊硬盤的價格相對于數據價值來說,實在是九牛一毛。
第二,如果是硬件問題,建議直接找專業公司,尤其是加電后出現各種異響的盤,少一次盲目的嘗試,就多一份恢復的機會。
第三,如果是企業或數據中心大型的磁盤陣列或存儲系統,更需要找大一點兒的數據恢復公司,小公司可能連這么大的臨時存儲空間都沒有。
第四,其他任何情況,請相信我,如果不能自己處理,那么越早得到專業數據恢復公司的幫助,你的付出和損失就越小。
其實,目前還有一個最大的誤區就是數據恢復是用來恢復數據的。這是我一直反對的觀點。確切地說,數據恢復的目標不是用來在數據出現問題后,再來找回數據,而是知道了數據如何存儲,用來保護數據不再出現丟失,這才是數據恢復的真正用意,同時也是我公開出版《數據恢復技術》一書的本義。