執筆関連

我珍藏的数据恢复软件都在这儿了,有了它再也不怕文件丢失!丨反舞弊中的电子数据取证(九)

2018-11-14
分享到

对于每天电脑不离身,键盘不离手的法律人来说,最惨痛的事故莫过于“没保存”了,意外断电、系统崩溃、介质故障、计算机病毒、文件误删除、系统升级、文件同步更新、程序运行意外中止、人为故意删改等各种原因都可能导致我们的文件数据损坏和丢失。怎么办?傻傻重新码字? 

为了高效找回重要数据,就要学会利用各种软硬件工具进行数据恢复。 

关注本专栏的朋友知道,在上两期推送中,我们对电子数据恢复这门技术进行了简单介绍,分别对传统的机械硬盘和现下更流行的固态硬盘在数据存储、删除原理上的不同做了一些对比。数据恢复从原理上来讲并不是很难,本期我们仍将围绕这个主题,结合日常工作实际,聊一聊常见常用的数据恢复软件和使用注意事项。

对于专业的电子数据恢复人员来说,只要数据没有被覆盖,数据就有可能恢复,因为实际情况千差万别,整个恢复过程会用到多种专业的设备和软件,并使用特殊和方法,才能尽可能的恢复目标数据。 

但在一般的办公日常中,绝大多数情况可以通过使用一些简易的数据恢复软件进行有效的恢复,而不必动用例如Winhex这样需要专业技术的软件,下面简要做些介绍。 

一、常见简易数据恢复软件 

01 Easyrecovery 

EasyRecovery由世界著名数据恢复公司Ontrack公司出品的数据恢复软件,它威力非常强大,能够恢复丢失的数据,重建文件系统。它支持恢复不同存储介质数据,包括:硬盘、光盘、U盘/移动硬盘、数码相机、手机、Raid文件恢复等,能恢复的文件类型包括:文档、表格、图片、音视频等。无论文件是被命令行方式删除,还是被应用程序或者文件系统删除,都能实现恢复,甚至能重建丢失的RAID。 

此外,EasyRecovery操作简便易学,一般的数据恢复只需要按提示一步一步操作,就能完成整个恢复过程,即使电脑小白也能很快地上手。同时,它价格便宜,操作安全,用户自主操作时不会在源驱动器上写入任何东西,也不会对源驱做任何改变。 

02 Finaldata 

Finaldata作为数据恢复软件的最大特点就是——恢复速度快,大大缩短了搜索丢失数据的等待时间,速度快不仅表现在硬盘扫描上,也表现在已找到文件的恢复保存上,基本比其他同类型软件快一倍以上。

在数据恢复功能上,Finaldata也很强大,不仅可以按照物理硬盘或者逻辑分区来进行扫描,还可以通过对硬盘的绝对扇区来扫描分区表,找到丢失的分区。 

Finaldata同样以其简单易用而受到喜爱,从安装到使用,只要按照软件提示一步一步进行即可,一般的数据恢复,只要选定逻辑驱动器或整个物理磁盘,FinalData就会自动的搜索和分析哪些是正常的目录和文件,哪些是已被删除的文件,在完成所有检查后,目标任务驱动器所有文件会自动分类,以表格形式罗列出来,包括正常的目录、已删除的目录和删除的文件等大类,以及文件名、大小、状态(是否破损)和创建时间等具体信息,连文件所在的物理簇位置也会显示,大大方便了数据的恢复。 

03 Recuva File Recovery 

Recuva File Recovery由Piriform公司开发,是一款免费 的Windows 平台文件恢复工具,它可以用来恢复硬盘、闪盘、存储卡中被误删除的文件,只要没有新数据覆盖写入,无论格式化还是删除均可直接恢复。 

软件的操作也非常简单,只要选择要扫描的驱动器后点击扫描按钮即可,搜索被删除文件的速度极快。新版本在向导中还添加了对 iPod 的支持,优化了深度扫描和对可移动存储驱动器的支持。 

除此之外,Recuva File Recovery 的“预览已删除文件”功能,可以在恢复文件前预览文件内容,以确认要还原的数据就是目标数据,从而节省了时间。 

04 TestDisk 

TestDisk是一款命令形式的磁盘修复工具,可以修复由于软件缺陷或某些病毒导致的分区丢失或分区表丢失导致磁盘无法启动的问题。它通过 BIOS或操作系统查询硬盘特性( LBA大小和CHS参数),快速检查磁盘数据结构并恢复、重建分区表,从而恢复相关数据。

虽然该软件也属于简易型数据恢复软件,但由于是命令行界面,对于普通电脑用户来说,就显得不如图形界面软件那么友好了。 

05 Restoration 

Restoration是一款免安装且大小仅为229 Kb的免费软件,它支持被删除文件的找回,还能支持输入关键字或扩展名对特定文件的恢复。 

此外,该软件还有一个“Delete Completely”功能,可以让用户对被删除文件进行扫描检索,对检索出的可恢复文件进行彻底的删除。 

小巧、绿色、非常易用是该软件最大的特色。 

上述这些软件都是笔者日常使用的,除了这些以外,在互联网上还可以找到很多优秀的数据恢复软件,免费和收费软件都有,即使是收费软件,价格也非常平易近人,可以下载一些试用版本,根据自己的使用习惯来进行挑选。 

二、数据恢复软件使用原则和注意事项 

为了避免数据的“二次破坏”,在数据恢复过程中,必须要相应地遵循一些规则,操作上也尽量按照规定的流程来进行。 

1、在发现数据丢失(比如误删除)后,必须马上停止一切操作,最好是直接强制关机(长按电源按钮或直接断电),因为哪怕是保存一个正在修改的WORD文件,都有可能导致目标数据无法恢复。 

2、禁止对需要作数据恢复的源盘做数据写入操作,包括在源盘上安装数据恢复软件,把需要恢复的文件直接写回到源盘上等等,而应采取只读方式制作全盘镜像,在镜像文件中进行恢复操作,以防恢复过程中的意外情况而导致更大的数据损失。 

3、不要做DskChk磁盘检查。文件系统出现错误后,系统开机进入启动画面时会自动提示是否需要做磁盘检查,默认10秒后开始进行DskChk磁盘检查操作,这个操作有时候可以修复一些小损坏的目录文件,但很多时候会破坏数据。因为复杂的目录结构它是无法修复的,所以修复失败后,会在根目录下形成FOUND.000这样的目录,里面有大量的以.CHK为扩展名的文件,从而影响正常的数据恢复。 

4、硬盘在出现故障异常而无法读取时,不要尝试没有把握的方法(比如重新格式化、重建分区表等等)。这样的操作,只会让让原本可能很简单的恢复工作变得异常复杂,同时,错误的操作也会大大降低数据成功恢复的可能性。 

5、建议在日常使用的计算机中安装一到两款数据恢复软件作为常备,以便应对一些简单的数据丢失,也可以避免在遇到问题后临时安装数据恢复软件对源盘的数据写入和原始数据破坏。 

最后老生常谈一句 ——“硬盘有价,数据无价!” 

强烈建议,一定要养成备份数据的习惯,通过本地磁盘、刻盘、移动存储、网络硬盘等多重备份的方式,以确保重要数据的绝对安全。

作者:星瀚内控与反舞弊法律中心 周晓鸣