日韩激情亚洲国产欧美另类激情,日韩激情亚洲国产欧美另类激情,日本一二三区中文字幕,福利一区免费观看视频,日本久久久久精品免费网站播放,日韩精品av中文字幕在线,中文字幕精品久久久久人妻红,国产午夜亚洲精品不卡在线观看,午夜一级精品久久久久蜜桃

最近幾次面向企業(yè)法務、監(jiān)察人員的電子數(shù)據(jù)取證分享培訓，分享內(nèi)容從電子數(shù)據(jù)基礎概念、取證方法到綜合的案例分析都有涉及，而往往幾個小時講下來，最后交流互動環(huán)節(jié)提問最多的卻是——“如果數(shù)據(jù)被刪了，還有沒有可能恢復?”、“員工歸還電腦時把硬盤格式化了怎么辦?”

也許是影視劇或者小說的巨大影響，在一般人眼中，電子數(shù)據(jù)取證的重點就是“恢復數(shù)據(jù)”，而且技術非常高深莫測。然而在真實的電子數(shù)據(jù)取證中，“電子數(shù)據(jù)恢復”卻是相對比較客觀單一的步驟，恢復概率的大小與介質(zhì)本身密切相關，除了硬件故障需要專業(yè)設備進行“開盤”等操作，一般的電子數(shù)據(jù)恢復都通過軟件層面來解決。

本文筆者重點挑選了幾個常被問及的“高頻問題”，希望通過問答的形式，以一種通俗易懂的描述，撥開電子數(shù)據(jù)恢復神秘的面紗。

結(jié)合目前技術和產(chǎn)業(yè)發(fā)展的現(xiàn)狀，最廣泛使用的電子數(shù)據(jù)存儲介質(zhì)主要是磁盤(如機械硬盤）和閃存(如固態(tài)硬盤、U盤等）這兩種，本文以機械硬盤為例加以說明，閃存的數(shù)據(jù)存儲恢復機理在以后推送中另行介紹。

1什么是電子數(shù)據(jù)恢復?

電子數(shù)據(jù)恢復就是把遭受破壞導致丟失的數(shù)據(jù)還原成正常數(shù)據(jù)的過程。

數(shù)據(jù)丟失有很多原因，其中包括硬件故障(如硬盤故障無法讀取)、軟件問題（程序異常致數(shù)據(jù)丟失)、黑客入侵、病毒破壞(如某種病毒會導致U盤文件異常丟失)、異常斷電(如處理到—半的文檔遭遇斷電)、人為操作(包括誤操作和故意破壞)等。

以上這些都可能需要電子數(shù)據(jù)恢復，甚至從某種程度講，用戶由于各種原因忘記自己把文件保存在哪里了，由技術人員通過專業(yè)的檢索方法幫用戶找到目標文件，也算是一種電子數(shù)據(jù)恢復。

2我的數(shù)據(jù)被刪除了還能恢復么?

這個沒頭沒腦的問題有點難以回答，因為電子數(shù)據(jù)恢復不是一個正向過程，從恢復到完整的原始狀態(tài)，到僅僅只是恢復部分數(shù)據(jù)碎片甚至毫無所獲，這兩個極端結(jié)果之間的任何情況都有可能發(fā)生。

恢復的概率和介質(zhì)的實際情況緊密相關，以下列舉幾個判斷數(shù)據(jù)能否恢復的必要不充分條件:

1、原始數(shù)據(jù)存儲在哪里?

2、數(shù)據(jù)是怎么刪除的?

3、數(shù)據(jù)刪除后存儲介質(zhì)是否仍在使用過?

4、數(shù)據(jù)刪除后是否有新數(shù)據(jù)寫入?

所以，要想搞清楚數(shù)據(jù)能否恢復，就要先了解一下數(shù)據(jù)是如何存儲的。

3數(shù)據(jù)在介質(zhì)上是怎么存儲的?

以機械硬盤為例，在硬盤的磁片上整齊排列著大量磁性單元，就像一個個永磁鐵，這些磁性單元“S”極和“N”的朝向分別代表電子數(shù)據(jù)最基本的單位“O”和“1”。

當硬盤寫入數(shù)據(jù)時，盤片高速旋轉(zhuǎn)，磁頭準確定位在需要修改數(shù)據(jù)的一個個磁性單元上，通過施加電壓，磁性單元的磁極被逆轉(zhuǎn)，實現(xiàn)從“O”到“1”的改變。

原理上就是這么簡單!

可是這么多的O和1，操作系統(tǒng)是如何知道具體是哪個數(shù)據(jù)存在硬盤的什么位置呢?這就引入了現(xiàn)代硬盤上—個重要的概念:分區(qū)表。下面打個比方解釋一下:

把整個硬盤比作一個圖書館，不同的分區(qū)就像不同的圖書室，文件夾就好像一個個書架，具體數(shù)據(jù)則是一本本書。分區(qū)表就像圖書館的檢索卡片，它包含了所有圖書室(分區(qū))、書架(文件夾目錄)、書籍（數(shù)據(jù))的信息，操作系統(tǒng)通過讀取分區(qū)表，就可以將文件所處的邏輯位置(某某分區(qū)某某文件夾)和硬盤上的物理位置對應起來。

想想以前去圖書館檢索圖書，就能明白系統(tǒng)是怎么找數(shù)據(jù)的了。

4數(shù)據(jù)在介質(zhì)上是怎么刪除的?

了解了數(shù)據(jù)的寫入，我們再來看一個有趣的現(xiàn)象，平時在使用電腦時，你一定會注意到:寫入文件的時間和文件大小成比例變化，大文件時間長，小文件時間短;但刪除文件的時候，無論文件大小，幾乎都是—瞬間就完成了，時間上沒有明顯的差別。

你有沒有想過這是為什么?

這種現(xiàn)象是由系統(tǒng)刪除文件的機理決定的，寫入過程與時間成比例是因為數(shù)據(jù)中的每個“O”和“1”都要在磁盤上進行校驗，一致的就“放行”，相反的就“逆轉(zhuǎn)”，每個磁性單元都如此地遍歷—次，其表象就是寫入時間與文件大小成比例。

而刪除的過程，系統(tǒng)只是在分區(qū)表里將文件標注成了“不存在”，卻根本沒有清除數(shù)據(jù)本身，也就好比在圖書館中把圖書檢索卡片拿走，卻沒有真正在對應書架上拿走那本書!這樣做大大提高刪除文件的速度，改善了用戶體驗，而且由于硬盤上的“磁極”只有SN之分，當下次有別的文件要寫入的時候，實際上未必需要修改所有的磁極指向——這也變相延長了硬盤的壽命。

5數(shù)據(jù)是怎么恢復的?

介紹到這里，可能你已經(jīng)能猜了，正因為機械硬盤特殊的刪除機制，才給電子數(shù)據(jù)恢復提供了機會。我們通過專用軟件將所有沒被新數(shù)據(jù)覆蓋的部分進行掃描，對分區(qū)表進行重建，好比圖書館的索引卡片都遺失了，只要重新清點一遍庫存，就能找到尚存的所有書籍，并且建立起新的索引，數(shù)據(jù)就是這么簡單就被恢復了。

絕大多數(shù)民用級別的電子數(shù)據(jù)恢復軟件在恢復剛剛刪除的文件時都能應對自如，就是基于這個原理。

6硬盤格式化了可以恢復數(shù)據(jù)么?

硬盤格式化與刪除文件的機理是相同的，區(qū)別僅僅在于，刪除文件時系統(tǒng)只是刪除分區(qū)表中對應文件信息，而格式化則是把整個分區(qū)表重建成空白磁盤的狀態(tài)，所以原始的數(shù)據(jù)沒有受到影響，通過掃描磁盤，幾乎可以完整重建原來的分區(qū)表，恢復所有數(shù)據(jù)。

但如果格式化后大量寫入新文件，或者長期頻繁使用電腦，那就無法保證原始數(shù)據(jù)不被破壞，恢復相應文件的概率也就逐步降低了。

看完這些，是不是覺得電子數(shù)據(jù)恢復—下子就不神秘了呢?

7電子數(shù)據(jù)恢復真的這么簡單而沒技術含量么?

電子數(shù)據(jù)恢復基礎原理的確很簡單，但實際情況千差萬別，要想盡可能的恢復目標數(shù)據(jù)，遠遠不止上述情形這么容易。

比如，原始文件被刪除后，硬盤又重新寫入大量新數(shù)據(jù)，如果新數(shù)據(jù)就寫在原始數(shù)據(jù)存儲的磁盤位置上，覆蓋了原始數(shù)據(jù)，使原始數(shù)據(jù)本身遭到破壞，那就只能對文件未被覆蓋的數(shù)據(jù)殘留部分進行還原恢復。

這樣恢復后的文件一定是一種受損殘缺的狀態(tài)，可能丟失了文件頭，也可能丟失了內(nèi)容數(shù)據(jù)，所以正常的“打開”操作是無法完成的，要讀取原始文件恢復出的部分數(shù)據(jù)，就必須借助其他工具進行數(shù)據(jù)讀取、轉(zhuǎn)換和拼接，這就需要技術人員具備較高的電子數(shù)據(jù)恢復知識水平，熟悉各類文件底層代碼，如果是針對案件調(diào)查的電子數(shù)據(jù)恢復取證，甚至還需要調(diào)查人員有足夠的案情敏感度和豐富的辦案經(jīng)驗才能完成。

可以說，電子數(shù)據(jù)恢復入門非常簡單，而深入則具有相當難度。

簡單介紹了一些電子數(shù)據(jù)恢復最基礎的知識，在最后覺得還是有必要做個提醒:

有果必有因，數(shù)據(jù)不會自己消失，只要及時采取措施，亡羊補牢的行動仍可以最大限度的減少損失。但，靠譜的方法還是備份，硬盤有價數(shù)據(jù)無價，只有未雨綢繆，才能真正確保數(shù)據(jù)的萬無一失。