數(shù)據(jù)恢復,FAT和NTFS區(qū)別有哪些?

???? 在這個步步高教程之前的文章內，我們幾乎討論的都是關于存儲在FAT或者FAT32文件系統(tǒng)上的數(shù)據(jù)恢復?，F(xiàn)在我們把注意力放在存放在NTFS卷上的數(shù)據(jù)。

　　因為NTFS文件系統(tǒng)與FAT和FAT32文件系統(tǒng)完全不同，數(shù)據(jù)恢復必須采用不同的方法。然而，也有例外，這篇教程的最后一部分將討論無論任何系統(tǒng)格式下都能運行的最終(last ditch)恢復技術，但是現(xiàn)在我們要討論的是NTFS文件系統(tǒng)從一個數(shù)據(jù)恢復點是如何工作的。

　　如果你用Google搜索一下NTFS數(shù)據(jù)恢復技術，你可能得到最多的鏈接是關于賣數(shù)據(jù)恢復產品的網站。這是因為NTFS被設計可以自己執(zhí)行恢復數(shù)據(jù)，而不需要使用第三方數(shù)據(jù)恢復軟件或者操作。在這個工作中有兩個主要技術來實現(xiàn)這個功能:簇重映射(cluster remapping)和事務日志(transaction logging)。

簇重映射

　　簇重映射是通過自動方式把數(shù)據(jù)從硬盤包含壞的分區(qū)的簇上自動移動到良好的簇的技術。簇重映射的結構不用，取決于包含這個壞的扇區(qū)的卷是否是容錯的，而且壞的扇區(qū)在讀寫過程中是否被發(fā)現(xiàn)。

　　讓我們討論一下在沒有容錯的卷上寫入的操作，當數(shù)據(jù)被寫入NTFS卷，操作系統(tǒng)在寫的操作時把檢查扇區(qū)做為確認進程的一部分，如果操作系統(tǒng)檢測到一個扇區(qū)是損壞的。Windows標記整個簇都是損壞的，這樣它在將來就不往這個簇上存儲數(shù)據(jù)。(這是因為簇不能被再細分)數(shù)據(jù)將被存儲到良好的簇內，這樣不會有數(shù)據(jù)損失。

　　但是如果這個壞的扇區(qū)在讀取時候被檢測到，情況就不一樣了。操作系統(tǒng)將返回一個讀取錯誤的消息來響應被數(shù)據(jù)請求。這里有幾種不同的理論關于接下來如何解決這個問題。一些資料表示，一旦這個讀取錯誤發(fā)生，Windows把這鏨惹?推渲械拇乇曇俏?鴰擔??源仄渲械氖?萁?耆??АＡ磽庖恍┳柿纖擔?綣?飧鍪?蕕囊徊糠幟芏臉隼矗?SPAN lang=EN-US>Windows在標記這個扇區(qū)為損壞之前，把這些數(shù)據(jù)移到另一個簇。

?

本人一向認為單純?yōu)榱?a target="_blank">維修而維修的硬盤維修實在沒有太大意義，除非是那些一門心思要當二手商人的批發(fā)和零售商（不過請不要受到我主觀觀念的影響，大家可以根據(jù)自己硬盤的用途，對是否值得維修獨立作出判斷）。畢竟，硬盤維修的“維修”跟普通意義上的維修是有很大區(qū)別的。如果我們壞了一塊主板，經檢查發(fā)現(xiàn)是一個三極管燒了，我們可以更換一個新的三極管，這樣，這個三極管仍然可以實現(xiàn)原來三極管的功能，主板沒有受任何影響，壞的地方也就不存在了，我們可以說——這塊主板修好了。但是硬盤不一樣，所謂的“維修”，只是把盤片上的壞道、硬盤內部的缺陷等等問題掩蓋起來，不讓硬盤的控制系統(tǒng)和計算機操作系統(tǒng)發(fā)覺而已，那些缺陷仍然實實在在地躺在硬盤里面，成為隨時可以再爆發(fā)的定時炸彈。因此，單純的維修，只能使硬盤暫時恢復可用性，我認為意義不大。而如果維修是為了讓硬盤可以暫時使用，使用戶可以重新讀取盤里面的數(shù)據(jù)并備份到其他地方，那么這應該是值得的，畢竟用戶的數(shù)據(jù)在一定程度上是無價的。（PS：比較諷刺的是，當一些二手商通過簡單地隱藏分區(qū)來隱藏壞道的時候，不少硬盤維修商還振振有詞地說那些人是利用了部分消費者的無知來坑人，是奸商；而他們才是真正的維修，所以他們的工作是如何復雜、技術要求如何高，他們人是如何正直等等?，F(xiàn)在，我們發(fā)現(xiàn)原來他們也只不過是把缺陷藏起來而已，只不過藏得非常隱蔽，讓人無從發(fā)現(xiàn)，不知道他們現(xiàn)在應該如何自處？還是說奸商如果能不讓人發(fā)現(xiàn)，就可以搖身一變變得不奸了？我覺得至少那些隱藏分區(qū)的人還算比較正直，因為他們畢竟為消費者保留了發(fā)現(xiàn)作假的權利。 在這方面，我接觸過一個硬盤維修商，他是PC-3000在南方新增加的一個國內代理，這人算是比較坦白的，能夠明確告訴客戶硬盤修復后和原盤的差別，讓客戶自己決定是否維修。這在硬盤維修界中算是另類了。）數(shù)據(jù)恢復是一個比較敏感的話題，對于一些具體的理論、還原算法、涉及的儀器和具體操作的細節(jié)，都有各種各樣的限制，不能詳細作出描述。這里只能根據(jù)需要，盡量完整地讓大家對數(shù)據(jù)恢復有一個大概的整體印象就已經足夠了。數(shù)據(jù)恢復可以分為純軟件的恢復和軟硬件結合的恢復。 硬盤內部是有一定的校驗公式來保障數(shù)據(jù)的完整性的，根據(jù)每一個扇區(qū)內數(shù)據(jù)的內容、扇區(qū)的伺服信息，再根據(jù)一定的校驗公式經過運算，會產生一個唯一的校驗和，這個值每一個扇區(qū)都是不一樣的。同一個扇區(qū)儲存不同數(shù)據(jù)的時候校驗和固然不一樣，不同的扇區(qū)儲存相同的數(shù)據(jù)也會產生不一樣的校驗和（SCSI硬盤在這方面的機制會更加完善）。數(shù)據(jù)恢復正是利用了這樣的原理，通過逆向運算，在某一方面的信息因為錯誤操作而丟失或者被改變的情況下，仍然可以根據(jù)其余的原始信息，把數(shù)據(jù)盡可能完整地還原出來?！　?其實在實際操作中，刪除文件、重新分區(qū)并快速格式化（Format不要加U參數(shù)）、快速低格、重整硬盤缺陷列表等等，都不會把數(shù)據(jù)從物理扇區(qū)中實際抹去。刪除文件只是把文件的地址信息在列表中抹去，而文件的數(shù)據(jù)本身還是在原來的地方靜靜躺著，除非拷貝新的數(shù)據(jù)進去那些扇區(qū)，才會把原來的數(shù)據(jù)真正抹去。重新分區(qū)和快速格式化只不過是重新構造新的分區(qū)表和扇區(qū)信息，同樣不會影響原來的數(shù)據(jù)在扇區(qū)中的物理存在，直到有新的數(shù)據(jù)去覆蓋他們?yōu)橹??？焖俚透褚话阒挥性瓘S的DM才可以實現(xiàn)，是用DM軟件快速重寫盤面、磁頭、柱面、扇區(qū)等等初始化信息，仍然不會把數(shù)據(jù)從原來的扇區(qū)中抹去。重整硬盤缺陷列表也只不過是把新的缺陷扇區(qū)加入到G列表或者P列表中去，對于那些本來儲存在缺陷扇區(qū)中的數(shù)據(jù)那是沒有辦法了，因為扇區(qū)已經出現(xiàn)物理損壞，即使不加入缺陷列表，也很難恢復；但對于其他數(shù)據(jù)，其實還是沒有實質性影響的。對這樣的硬盤進行數(shù)據(jù)恢復，算是數(shù)據(jù)恢復里面比較簡單的，最關鍵的一點是在錯誤操作出現(xiàn)后，不要再對硬盤作任何自己都不知道目的的無意義操作和不要再往硬盤里面寫入任何東西?！　?恢復這種硬盤的數(shù)據(jù)，可以通過純粹的軟件操作來完成。目前大家能夠找到的數(shù)據(jù)恢復軟件還是非常多的，大致有EasyRecovery、Recover、Lost&Found、FinalData、Disk Recover等等，還有其他很多，就不逐一列舉了。這些軟件有的在DOS模式下面運行，有的可以在Windows模式下面運行，甚至可以在NT/2000下面運行，處理NTFS格式分區(qū)里面丟失的數(shù)據(jù)。對于誤刪除、錯誤格式化，但又沒有用其他數(shù)據(jù)覆蓋這些形式的數(shù)據(jù)恢復，上面說的這些軟件還是有相當好的效果的。當然，如果讓一個菜鳥和一個老鳥來運用這些軟件的話，恢復效果會有很大的差別。要提高數(shù)據(jù)恢復的成功率，關鍵是要掌握每一個軟件的特性和每一個操作的參數(shù)和特點，有針對性地合理選擇，配合使用，這是需要一定的經驗積累才可以做到的。目前國內的數(shù)據(jù)恢復公司對這種級數(shù)的數(shù)據(jù)恢復報價是每個硬盤350～1000元人民幣?！　?純粹軟件的恢復當然有著極大的局限性，前提條件是必須要硬盤還能夠正常使用才行。因此，對于一些有輕微缺陷的硬盤，稍微修理一下，讓硬盤可以正常使用后，再進行軟件的數(shù)據(jù)恢復是明智的，因為這樣可以節(jié)省大量的數(shù)據(jù)恢復成本。畢竟，對于那些無論如何不能動的硬盤，軟件是無能為力的，這時候就需要使用成本比較高的軟硬件結合的恢復方式。　　 采用軟硬件結合的數(shù)據(jù)恢復方式，關鍵在于恢復用的儀器設備。這些設備都需要放置在超凈無塵工作間里面，而且這些設備內部的工作臺也是級別非常高的超凈空間。這些設備的恢復原理也是大同小異，都是把硬盤拆開，把磁碟放進機器的超凈工作臺上，然后用激光束對盤片表面進行掃描，因為盤面上的磁信號其實是數(shù)字信號（0和1），所以相應地，反映到激光束發(fā)射的信號上也是不同的。這些儀器就是通過這樣的掃描，一絲不漏地把整個硬盤的原始信號記錄在儀器附帶的電腦里面，然后再通過專門的軟件分析來進行數(shù)據(jù)恢復?？梢哉f，這種設備的數(shù)據(jù)恢復率是相當驚人的，即使是位于物理壞道上面的數(shù)據(jù)，由于多種信息的缺失而無法找出準確的數(shù)據(jù)值，也可以通過大量的運算，在多種可能的數(shù)據(jù)值之間進行逐一代入，結合其他相關扇區(qū)的數(shù)據(jù)信息，進行邏輯合理性校驗，從而找出邏輯上最符合的真值。　　 對于上面說到的設備和方式，目前國內擁有數(shù)據(jù)恢復設備，能夠做到軟硬結合的恢復方式的公司，根據(jù)資料顯示目前暫時只有兩家，分別位于北京和廣東（資料有效期是今年4月，或許還有別的公司說自己有這樣的設備，不過我覺得炒作的可能性比我漏查的可能性要大）?，F(xiàn)在很多數(shù)據(jù)恢復公司都吹噓說他們有多先進的設備，多高超的技術，但其實多半都是停留在純軟件級別的恢復而已。真的碰到難纏的盤，他們會快遞到這兩地的公司，讓他們去用機器恢復，而這兩家公司也認可這樣的操作方式，因為這樣他們就不需要花費打廣告的錢，也保證了機器能夠有足夠的工作負荷，縮短投資回收期。這樣級別的數(shù)據(jù)恢復，目前國內市場價格大約是每個硬盤3000～5000人民幣甚至更多。當然，那兩家公司接收從其他數(shù)據(jù)恢復公司轉手過來的硬盤的時候，收的是行內批發(fā)價，這中間大概有數(shù)百到一千元左右的差價，當然是讓那些數(shù)據(jù)恢復公司當仁不讓當作中介費吃掉了?！　?不過這仍舊不是數(shù)據(jù)恢復的終極方式。因為他們都有一個前提，就是數(shù)據(jù)沒有被覆蓋。對于已經被覆蓋的數(shù)據(jù)、完全低格、全盤清零、強磁場破壞的硬盤，仍然有最終極的數(shù)據(jù)恢復方式，老美管這個叫“深層信號還原”。具體的原理比較復雜，但是可以通過一個相關的例子來說明。譬如一個人開車撞了人，跑掉了，為了逃避公安的偵查，他把汽車撞過凹陷的地方重新鼓起拉直，并噴上了新的油漆。那么，這樣處理過的車子，在肉眼的觀察下是看不出碰撞過的痕跡的。但是鑒證科的人只需要用弧光燈照射汽車，戴上專門的偏光鏡去看，碰撞過的痕跡就馬上一目了然。“深層信號還原”應用了與此類似的原理。從硬盤磁頭的角度來看，同樣的數(shù)據(jù)，拷貝進原來沒有數(shù)據(jù)的新盤和拷貝進舊盤去覆蓋掉原有數(shù)據(jù)，是沒有分別的，因為這時候磁頭所讀取到的數(shù)字信號都是一樣的。但是對于磁介質晶體來說，情況就有點不一樣了，以前的數(shù)據(jù)雖然被覆蓋了，但在介質的深層，仍然會留存著原有數(shù)據(jù)的“殘影”，通過使用不同波長、不同強度的射線對這個晶體進行照射，可以產生不同的反射、折射和衍射信號，這就是說，用這些設備發(fā)出不同的射線去照射磁盤盤面，然后通過分析各種反射、折射和衍射信號，就可以幫助我們“看到”在不同深度下這個磁介質晶體的殘影。根據(jù)目前的資料，大概可以觀察到4～5層，也就是說，即使一個數(shù)據(jù)被不同的其他數(shù)據(jù)重復覆蓋4次，仍然有被“深層信號還原”設備讀出來的可能性。當然，這樣的操作成本無疑是非常高的，也只能用在國家安全級別的用途上，目前世界范圍內也沒有幾個國家可以擁有這樣的技術，只有極少數(shù)規(guī)模龐大的計算機公司和不計成本的政府機關能擁有這樣級別的數(shù)據(jù)恢復設備，而且主要都是由美國人掌握。
　　 看到這里，不知道我們的讀者會有什么感想。在數(shù)據(jù)恢復領域，別人很早就已經能達到這樣的技術高度了，而且現(xiàn)在，所有實質意義上的硬盤公司也全部都是別人的，但他們并沒有大大咧咧到處炫耀。相反，我們國內的一些技術人員，數(shù)據(jù)恢復軟件水平離日本還有十萬八千里（被認為是“數(shù)據(jù)恢復軟件之王”的FinalData是日本的產品），更不要說美國了；連屬于自己的真正意義上的硬盤廠家都沒有，算是小半桶水都不到了，但是搖晃起來倒是咣咣咣咣震天響。譬如某個南方的數(shù)據(jù)恢復公司設計了一個數(shù)據(jù)恢復軟件（他們保密得很，我只看到了界面，沒有真正看過工作方式和源碼，不知道是不是“Banana軟件”【注】，暫且算是他們設計的吧），10月23號的時候做了一次演示，把一個被PC-3000清空了缺陷列表的硬盤數(shù)據(jù)恢復出來，就認為效果很好了。可是，這本來就只是一個數(shù)據(jù)恢復軟件應該做到的事情，國外的產品可以做到比這個更多，實在沒有什么好炒作的。還有國內一個硬盤維修企業(yè)出了一個稱為“國防版”的硬盤數(shù)據(jù)操作軟件，但通過一些朋友在內部渠道了解過以后，不禁覺得有點失望——如果中國現(xiàn)在的國防級別軟件也只能達到這個水平的話，未免太讓人心灰意冷了吧。衷心希望這個“國防版”只是一句廣告詞而已。
【注】：Banana——香蕉。老美專指那些在美國出生的華裔，他們有中國人的黃皮膚，但是骨子里接受的卻是美國白人的文化背景、生活方式和價值觀念，因此用香蕉來比喻，取其“黃皮白心”之義。
　　 現(xiàn)在，有一些中國的軟件公司，他們好一點的，購買外國軟件的核心算法和引擎自己重新開發(fā)，但是付了2年的使用許可費，第3、4年照樣使用；差一點的，反匯編出外國軟件的算法、流程和指令，自己編寫一個同類軟件；或者再惡劣一點，只是對外國的軟件進行脫殼，只是換上自己寫的一個中文界面，就堂而皇之地拿出來賣，美其名曰“民族軟件”。對于這些軟件，國外程序員比較無奈地，其中比較有幽默感的人就把這些軟件統(tǒng)稱“Banana軟件”。這類軟件在國內是令人難以置信地超大量存在，無論出品自大司小公司，你叫得出名字叫不出名字，幾乎毫無例外地有著“香蕉”的影子

-FAMILY: 宋體; mso-bidi-font-size: 12.0pt; mso-ascii-font-family: 'Times New Roman'; mso-hansi-font-family: 'Times New Roman'; mso-bidi-font-family: 'Times New Roman'; mso-font-kerning: 1.0pt; mso-ansi-language: EN-US; mso-fareast-language: ZH-CN; mso-bidi-language: AR-SA">國防版”只是一句廣告詞而已。
【注】：Banana——香蕉。老美專指那些在美國出生的華裔，他們有中國人的黃皮膚，但是骨子里接受的卻是美國白人的文化背景、生活方式和價值觀念，因此用香蕉來比喻，取其“黃皮白心”之義。
　　 現(xiàn)在，有一些中國的軟件公司，他們好一點的，購買外國軟件的核心算法和引擎自己重新開發(fā)，但是付了2年的使用許可費，第3、4年照樣使用；差一點的，反匯編出外國軟件的算法、流程和指令，自己編寫一個同類軟件；或者再惡劣一點，只是對外國的軟件進行脫殼，只是換上自己寫的一個中文界面，就堂而皇之地拿出來賣，美其名曰“民族軟件”。對于這些軟件，國外程序員比較無奈地，其中比較有幽默感的人就把這些軟件統(tǒng)稱“Banana軟件”。這類軟件在國內是令人難以置信地超大量存在，無論出品自大司小公司，你叫得出名字叫不出名字，幾乎毫無例外地有著“香蕉”的影子

FAMILY: 宋體; mso-bidi-font-size: 12.0pt; mso-ascii-font-family: 'Times New Roman'; mso-hansi-font-family: 'Times New Roman'; mso-bidi-font-family: 'Times New Roman'; mso-font-kerning: 1.0pt; mso-ansi-language: EN-US; mso-fareast-language: ZH-CN; mso-bidi-language: AR-SA">國防版”只是一句廣告詞而已。
【注】：Banana——香蕉。老美專指那些在美國出生的華裔，他們有中國人的黃皮膚，但是骨子里接受的卻是美國白人的文化背景、生活方式和價值觀念，因此用香蕉來比喻，取其“黃皮白心”之義。
　　 現(xiàn)在，有一些中國的軟件公司，他們好一點的，購買外國軟件的核心算法和引擎自己重新開發(fā)，但是付了2年的使用許可費，第3、4年照樣使用；差一點的，反匯編出外國軟件的算法、流程和指令，自己編寫一個同類軟件；或者再惡劣一點，只是對外國的軟件進行脫殼，只是換上自己寫的一個中文界面，就堂而皇之地拿出來賣，美其名曰“民族軟件”。對于這些軟件，國外程序員比較無奈地，其中比較有幽默感的人就把這些軟件統(tǒng)稱“Banana軟件”。這類軟件在國內是令人難以置信地超大量存在，無論出品自大司小公司，你叫得出名字叫不出名字，幾乎毫無例外地有著“香蕉”的影子

-FAMILY: 宋體; mso-bidi-font-size: 12.0pt; mso-ascii-font-family: 'Times New Roman'; mso-hansi-font-family: 'Times New Roman'; mso-bidi-font-family: 'Times New Roman'; mso-font-kerning: 1.0pt; mso-ansi-language: EN-US; mso-fareast-language: ZH-CN; mso-bidi-language: AR-SA">國防版”只是一句廣告詞而已。
【注】：Banana——香蕉。老美專指那些在美國出生的華裔，他們有中國人的黃皮膚，但是骨子里接受的卻是美國白人的文化背景、生活方式和價值觀念，因此用香蕉來比喻，取其“黃皮白心”之義。
　　 現(xiàn)在，有一些中國的軟件公司，他們好一點的，購買外國軟件的核心算法和引擎自己重新開發(fā)，但是付了2年的使用許可費，第3、4年照樣使用；差一點的，反匯編出外國軟件的算法、流程和指令，自己編寫一個同類軟件；或者再惡劣一點，只是對外國的軟件進行脫殼，只是換上自己寫的一個中文界面，就堂而皇之地拿出來賣，美其名曰“民族軟件”。對于這些軟件，國外程序員比較無奈地，其中比較有幽默感的人就把這些軟件統(tǒng)稱“Banana軟件”。這類軟件在國內是令人難以置信地超大量存在，無論出品自大司小公司，你叫得出名字叫不出名字，幾乎毫無例外地有著“香蕉”的影子