【專家簡介】戴士劍,湖北南漳人,高級(jí)工程師,我國數(shù)據(jù)恢復(fù)技術(shù)學(xué)科創(chuàng)始人,中國人民解放軍某部隊(duì)數(shù)據(jù)安全實(shí)驗(yàn)研究中心技術(shù)總負(fù)責(zé)人,信息產(chǎn)業(yè)部數(shù)據(jù)恢復(fù)職業(yè)資格認(rèn)證專家顧問,法源司法科學(xué)證據(jù)簽定中心特聘專家。
《數(shù)據(jù)恢復(fù)技術(shù)》出版至今,僅簡體版就已銷售3萬多冊(cè),再加上各個(gè)地方、各個(gè)系統(tǒng)以各種名義舉辦的各種數(shù)據(jù)恢復(fù)技術(shù)培訓(xùn)班,愛好或關(guān)注數(shù)據(jù)恢復(fù)技術(shù)的何止千萬?用BAIDU搜索了一下“數(shù)據(jù)恢復(fù)”,竟然返回200多萬個(gè)相關(guān)網(wǎng)頁。
由此可以看出,目前數(shù)據(jù)恢復(fù)市場的熱度。對(duì)此,筆者感觸頗多。
數(shù)據(jù)恢復(fù)不可輕視
第一,現(xiàn)在的年輕人真的是很幸福,上網(wǎng)一搜就可以找到這么多的技術(shù)資源共享。想當(dāng)初,為了搞清楚分區(qū)表幾個(gè)字節(jié)的含義,我可是找到僅有的三臺(tái)計(jì)算機(jī),自己閉門對(duì)比分析了一個(gè)多星期才搞出來的。
第二,這么多人關(guān)注數(shù)據(jù)恢復(fù)技術(shù),說明大家已經(jīng)認(rèn)識(shí)到了保護(hù)數(shù)據(jù)的重要性;尤其是“9.11”之后,國外對(duì)數(shù)據(jù)的重要性的認(rèn)識(shí)更廣更深,國內(nèi)也建立起了很多的災(zāi)備中心,而存儲(chǔ)資金的投入也首次超過了其他硬件,有些系統(tǒng)存儲(chǔ)設(shè)備的投資更是占到整個(gè)投資的85%。
第三,對(duì)于數(shù)據(jù)恢復(fù)技術(shù)在整個(gè)信息安全體系中的地位和作用,也逐步開始得到認(rèn)識(shí),尤其是存儲(chǔ)安全的基礎(chǔ)性地位,逐漸得到國內(nèi)學(xué)術(shù)界的重視和認(rèn)可。國外在這方面的起步要早得多,如美國早在1991年就發(fā)布了DoD 5220.22-M標(biāo)準(zhǔn),北約也發(fā)布了自己的NATO標(biāo)準(zhǔn),美國更是在去年開發(fā)了具有自毀功能的硬盤,韓國及日本等國家都大力支持發(fā)展存儲(chǔ)產(chǎn)品,這里面除了經(jīng)濟(jì)因素,更深層次的卻是政治因素。
第四,國內(nèi)的數(shù)據(jù)恢復(fù)市場仍然停留在比較粗淺的層面上,良莠并存。這么說,可能會(huì)有很多人跳出來反對(duì)。確實(shí),從2003年開始,數(shù)據(jù)恢復(fù)被炒得很熱,在Google里隨便一搜,就可以返回幾十上百萬個(gè)有關(guān)數(shù)據(jù)恢復(fù)的頁面。但是,除了少數(shù)幾家正規(guī)的公司外,很多小公司根本連概念都不清楚,只是使用幾個(gè)網(wǎng)上找來的解密的數(shù)據(jù)恢復(fù)軟件,就聲稱能恢復(fù)用戶數(shù)據(jù)。一個(gè)簡單的事件就足以說明這一問題。2005年,有人說手頭有一個(gè)從俄羅斯弄來的數(shù)據(jù)恢復(fù)軟件,安裝以后就可以恢復(fù)被覆蓋的數(shù)據(jù),就是這樣一個(gè)簡單可笑的謠言,卻吸引了圈內(nèi)大量的從業(yè)人員的追捧。由此可以看出,雖然現(xiàn)在數(shù)據(jù)恢復(fù)行業(yè)看起來很美,但其技術(shù)實(shí)力卻又是多么薄弱。和國外正規(guī)數(shù)據(jù)恢復(fù)公司相比,國內(nèi)目前從業(yè)者的技術(shù)水平只能說是處于起步階段。
盡管如此,筆者還是很欣慰已經(jīng)有這么多的人來關(guān)注這個(gè)行業(yè)。但目前關(guān)注和投入該技術(shù)研究領(lǐng)域的人力物力還是太少了!我們都知道,任何數(shù)據(jù)在寫入到實(shí)際的存儲(chǔ)介質(zhì)前,都必須經(jīng)過一系列的編碼處理,讀出時(shí)再進(jìn)行相反的處理過程。確切地說,需要五次之多的變換。
除了這里介紹的存儲(chǔ)層,結(jié)合我們?cè)谇懊娼榻B數(shù)據(jù)恢復(fù)技術(shù)體系的文章中已經(jīng)介紹過的存儲(chǔ)體系可以知道,數(shù)據(jù)恢復(fù)技術(shù)既不像一些人傳言的那么神奇,也不像一些人想像的那么簡單,它是一門實(shí)實(shí)在在的、有著自己特殊規(guī)律和理論支撐的技術(shù)學(xué)科。
第五,目前的數(shù)據(jù)恢復(fù)市場尚處于發(fā)展初期,還極不規(guī)范和成熟,所以,國家還沒有對(duì)數(shù)據(jù)恢復(fù)市場進(jìn)行管理和規(guī)范,這就使該市場更是良莠不齊。
數(shù)據(jù)恢復(fù)本身就是一個(gè)實(shí)實(shí)在在的技術(shù)問題。一般說來,目前出現(xiàn)的數(shù)據(jù)丟失問題幾乎都是可以恢復(fù)的,但也確實(shí)還有不少情況,在目前的技術(shù)條件下是不可能恢復(fù)的,或者換句話說,是不值得恢復(fù)的。如果一家公司上來就說,放心,沒有問題,我們的技術(shù)是一流的,肯定能把你的數(shù)據(jù)找回來。那么請(qǐng)注意,你要小心了!從目前轉(zhuǎn)手到我這里的“疑難雜癥”的實(shí)際情況來看,本來可以恢復(fù),卻被“二把刀”從業(yè)者毀壞造成不可恢復(fù),或者恢復(fù)難度急劇增加的案例占了最大的比例。
我自己對(duì)此深有感觸。有些朋友打電話給我時(shí)說得很簡單,就做了什么什么操作,拿過來一看,根本就不是那回事,里面被弄得一塌糊涂,本來3分鐘就能搞定的事,3天都不能達(dá)到最好的效果。另一方面,有些朋友說得很嚴(yán)重,硬盤都找不到了,結(jié)果拿過來一看,3分鐘就把問題解決了。所以現(xiàn)在朋友拿過來的盤,我從不問什么情況,進(jìn)行了什么操作,連需要恢復(fù)什么數(shù)據(jù)都不想問,自己直接看看硬盤底層原始信息,就一目了然了。
關(guān)于數(shù)據(jù)恢復(fù)的建議
在這里再給大家介紹一些基本情況,以供出現(xiàn)問題時(shí)參考。
任何時(shí)候出現(xiàn)問題,都不用慌張,也不用著急,在動(dòng)手做任何嘗試之前,都要想一想,現(xiàn)在所做的每一步操作都是在冒險(xiǎn),都可能導(dǎo)致數(shù)據(jù)遭到進(jìn)一步破壞,因此,必須考慮好了,這些數(shù)據(jù)到底重要不重要,值不值得冒風(fēng)險(xiǎn),或許找專業(yè)的數(shù)據(jù)恢復(fù)公司,恢復(fù)的成本并不高。尤其是自己動(dòng)手做得越少,越早找專業(yè)的數(shù)據(jù)恢復(fù)公司,價(jià)格就會(huì)越低。當(dāng)然,如果數(shù)據(jù)并不是重要到超過數(shù)據(jù)恢復(fù)的成本,那么,就盡情地自己動(dòng)手吧,不用猶豫了。
但是,在動(dòng)手之前,仍然要注意,在可能情況下,盡量給全盤做一完整的備份,可以使用WINHEX、GETDATABACK等工具完成這一工作。如果不需要全盤備份,也要先把能正常拷貝的數(shù)據(jù),轉(zhuǎn)移或拷貝到安全的地方。這些工作可以自己做,也可以請(qǐng)朋友幫忙做,但一定要注意,系統(tǒng)盤下的一些重要數(shù)據(jù)一定要拷貝,如“我的文檔”、“桌面”等,尤其是不要相信一些所謂的電腦高手的話。電腦高手只能是某些方面的,我就親自經(jīng)歷過,一位電腦高手把一位香港作家存放在系統(tǒng)盤里的手稿活生生覆蓋了。
還有,對(duì)于這些受損的文件系統(tǒng),任何一次重啟,都可能產(chǎn)生新的破壞,知道Windows系統(tǒng)每次重啟,都會(huì)在后臺(tái)做些什么工作嗎?不知道?知道的不全?對(duì),這就是一般的技術(shù)人員與專家的差別。數(shù)據(jù)恢復(fù)技術(shù)不是一個(gè)固定了操作步驟的生產(chǎn)流水線。任何計(jì)算機(jī)相關(guān)知識(shí),以及所要恢復(fù)的各行業(yè)的相關(guān)知識(shí)都是基礎(chǔ)。
知道了這些,那么在數(shù)據(jù)恢復(fù)時(shí)應(yīng)該如何做?
第一,如果是誤刪除或誤格式化,或者是系統(tǒng)死機(jī)、移動(dòng)存儲(chǔ)設(shè)備意外等各種邏輯問題,重啟都可能會(huì)造成一些不必要的破壞。但顯然必須重啟,不重啟怎么檢查數(shù)據(jù)狀態(tài)呢?其實(shí),重啟最大的破壞可能只是來自系統(tǒng)的CHKDSK,只要在出現(xiàn)CHKDSK提示時(shí),按任意鍵取消CHKDSK就OK了,即使CHKDSK了,也一樣可以恢復(fù)。因此,放心吧,只要找到可靠的技術(shù)人員,并且不要再往里寫入數(shù)據(jù),一般都是沒有問題的。如果不放心,那么就一定要要求操作人員給原始數(shù)據(jù)做鏡像備份。但對(duì)于FAT的文件碎片,目前的重組算法還不是很理想,從理論上說,恢復(fù)的難度相當(dāng)大,只能通過專家手工重組。問題是你的數(shù)據(jù)真的那么重要嗎?那么,請(qǐng)?zhí)崆白龊脗浞莅桑粔K硬盤的價(jià)格相對(duì)于數(shù)據(jù)價(jià)值來說,實(shí)在是九牛一毛。
第二,如果是硬件問題,建議直接找專業(yè)公司,尤其是加電后出現(xiàn)各種異響的盤,少一次盲目的嘗試,就多一份恢復(fù)的機(jī)會(huì)。
第三,如果是企業(yè)或數(shù)據(jù)中心大型的磁盤陣列或存儲(chǔ)系統(tǒng),更需要找大一點(diǎn)兒的數(shù)據(jù)恢復(fù)公司,小公司可能連這么大的臨時(shí)存儲(chǔ)空間都沒有。
第四,其他任何情況,請(qǐng)相信我,如果不能自己處理,那么越早得到專業(yè)數(shù)據(jù)恢復(fù)公司的幫助,你的付出和損失就越小。
其實(shí),目前還有一個(gè)最大的誤區(qū)就是數(shù)據(jù)恢復(fù)是用來恢復(fù)數(shù)據(jù)的。這是我一直反對(duì)的觀點(diǎn)。確切地說,數(shù)據(jù)恢復(fù)的目標(biāo)不是用來在數(shù)據(jù)出現(xiàn)問題后,再來找回?cái)?shù)據(jù),而是知道了數(shù)據(jù)如何存儲(chǔ),用來保護(hù)數(shù)據(jù)不再出現(xiàn)丟失,這才是數(shù)據(jù)恢復(fù)的真正用意,同時(shí)也是我公開出版《數(shù)據(jù)恢復(fù)技術(shù)》一書的本義。