第1篇 数据恢复与硬盘修理基础

第1章 基础知识

1.1 数据恢复技术的发展和研究现状

在《数据恢复技术》和《数据恢复技术（第2版）》中，我们以Windows操作系统的文件恢复为主，介绍了硬盘逻辑恢复的知识体系和一般操作技巧，而本书，则是一本全面、深入介绍硬盘物理故障现象的判定与维修，硬盘内部固件系统结构及故障现象的判定与维修，以及PC3000、MHDD等硬盘专用维修工具的详细使用方法的高级教程，也是一本专门用于解决硬盘硬件及固件损坏等问题的专业级技术书籍。

目前国内的数据恢复服务市场处于一个极不规范的状态。虽然大部分数据恢复服务提供商是有职业道德的，能够为客户提供相对可靠的服务，但也有个别商家的行为极为恶劣——尤其是那些吹嘘自己是“行业领导者”的商家，除了炮制一系列所谓的“成功案例”外，拿不出任何真正的技术，甚至连操作过程都不敢让客户看到。他们不仅对用户数据极不负责任，拿着用户重要的血汗数据去“练手”，而且更为恶劣的是，对那些无法只靠运气来恢复的数据，他们竟采用异常无耻的手段进行破坏，造成用户数据彻底丢失，甚至厚颜无耻地说：“我们恢复不出来，谁也恢复不了！”而用户往往都是第一次接触数据恢复行业，哪里有选择的余地？只能听其摆布。所以笔者曾经说：“现在用户寻找恢复数据服务提供商，就像是一场赌博。”

当前国际上对数据恢复技术的基本分类如图1-1所示。

图1-1 数据恢复技术的基本分类

· 软恢复

软恢复指的是恢复存储系统，或操作系统，或文件系统层的数据。这种丢失是多方面的，如系统软/硬件故障、死机等原因造成的数据丢失，以及病毒破坏、黑客攻击、木马破坏、误操作、阵列数据丢失等造成的数据丢失。对于一般的文件系统来说，这方面的研究工作起步较早，国内外研究得都比较深。软恢复的主要难点是文件碎片的恢复处理、文档修复和复杂密码的恢复。关于Windows环境下的软恢复，读者参考《数据恢复技术（第2版）》就足够了。

· 硬恢复

硬恢复指的是恢复由于硬件故障而丢失的数据，如硬盘电路板损坏、盘体损坏、磁道损坏、磁盘片损坏、硬盘内部系统区严重损坏等。这些情况几乎都会导致系统不认盘或认盘困难，恢复起来难度较大。如果内部盘片数据区严重划伤，会造成数据彻底丢失。另外，如果硬盘内部系统（即人们常说的“固件系统”）出现问题，也会导致类似不认盘或不能正常读取的现象，而且由于恢复硬盘固件数据通常需要使用专用工具，因此也常常把它归入硬恢复领域。稍有常识的用户，在出现这种情况（如移动硬盘跌落）后，不会尝试对硬盘反复加电，也就不会人为地造成更大面积的划伤，因此，这种情况下一般还是能够恢复大部分数据的。

从目前的实践来看，对这类问题有两种处理方法：一种方法是直接找专业的数据恢复服务提供商，这时的故障硬盘称为“一手盘”，其中的数据几乎都能恢复；另一种方法是抱着侥幸心理，自己找熟人尝试修复，或者找所谓的“计算机专家”来处理，甚至去找“牛皮公司”（那种上来就说“没问题，我们什么都可以做”的数据恢复公司——天底下哪有100%的事情？更何况数据恢复本身只是一种补救措施）。这种最终才转到专业数据恢复公司的盘，我们称之为“二手盘”。对二手盘，之前不恰当的操作会对数据造成严重的二次破坏，因此恢复难度与成本会急剧上升。解决硬件与固件的问题，正是本书之要旨。

· 大型数据库系统恢复

大型数据库系统中往往存储着一些非常重要的数据，其组成复杂，一般都有较完善的保护措施，所以通常不会出现小问题，但只要出现问题，基本上都是较难处理的问题，恢复的难度较大。典型的大型数据库系统主要有SQL Server、Informix、Sybase、Oracle和IBM UDB/DB2等。

· 异型系统恢复

异型系统的数据恢复指的是不常用的、比较少见的操作系统下的数据恢复，如MAC、OS2、嵌入式系统、手持系统、实时系统、智能仪器仪表使用的系统等。它们与数据库系统的恢复和文档碎片的修复，是作者所在团队目前致力解决的问题，研究成熟时将尽快公开结果。

· 覆盖恢复

数据被覆盖后，再要恢复的话，难度非常大，与其他4类数据恢复有着质的区别，目前可能只有硬盘厂商及少数国家的特殊部门才能做到。覆盖恢复的应用一般都与国家安全有关。在各种恢复手段中，水平相差最大的就是覆盖恢复。据说，美国军方可以成功恢复被覆盖了6～9次的数据，俄罗斯可以成功恢复被覆盖了3～4次的数据，IBM耗资6亿美元的研究成果是可以成功恢复被覆盖了1～2次的数据。由于这些都涉及国家核心机密，具体的细节和可靠性都尚不可知。目前市场上所说的恢复被GHOST覆盖的数据，也只是恢复硬盘中没有写入新数据的地方，并不是恢复已经写入新数据的地方，是一种非常简单的逻辑恢复。我国也正在进行覆盖恢复的深层技术研究。