也许是影视剧或许小说的巨大影响，在一般人眼中，电子数据取证的要点就是“电子数据恢复”，而且技术十分不可捉摸。然而在实在的电子数据取证中，“电子数据恢复”却是相对比较客观单一的进程，恢复概率的大小与介质本身密切相关，除了硬件缺点需求专业设备进行“开盘”等操作，一般的电子数据恢复都通过软件层面来处理。

本文笔者要点选择了几个常被问及的“高频问题”，期望通过问答的形式，以一种通俗易懂的描绘，拨开电子数据恢复奥秘的面纱。

结合现在技能和产业展开的现状，最广泛运用的电子数据存储介质主要是磁盘(如机械硬盘）和闪存(如固态硬盘、U盘等）这两种，本文以机械硬盘为例加以阐明，闪存的数据存储恢复机理在今后推送中另行介绍。

1什么是电子数据恢复?

电子数据恢复就是把遭受损坏导致丢掉的数据复原成正常数据的进程。

数据丢掉有许多原因，其中包含硬件缺点(如硬盘缺点无法读取)、软件问题（程序失常致数据丢掉)、黑客侵略、病毒损坏(如某种病毒会导致U盘文件失常丢掉)、失常断电(如处理到—半的文档遭受断电)、人为操作(包含误操作和故意损坏)等。

以上这些都或许需求电子数据恢复，甚至从某种程度讲，用户由于各种原因忘掉自己把文件保存在哪里了，由技能人员通过专业的检索方法帮用户找到方针文件，也算是一种电子数据恢复。

2我的数据被删去了还能恢复么?

这个目瞪口呆的问题有点难以答复，由于电子数据恢复不是一个正向进程，从恢复到无缺的原始情况，到仅仅仅仅恢复部分数据碎片甚至毫无所获，这两个极点成果之间的任何情况都有或许产生。

恢复的概率和介质的实际情况紧密相关，以下罗列几个判别数据能否恢复的必要不充分条件:

1、原始数据存储在哪里?

2、数据是怎样删去的?

3、数据删去后存储介质是否仍在运用过?

4、数据删去后是否有新数据写入?

所以，要想搞清楚数据能否恢复，就要先了解一下数据是怎样存储的。

3数据在介质上是怎样存储的?

以机械硬盘为例，在硬盘的磁片上整齐摆放着许多磁性单元，就像一个个永磁铁，这些磁性单元“S”极和“N”的朝向分别代表电子数据最基本的单位“O”和“1”。

当硬盘写入数据时，盘片高速旋转，磁头准确定位在需求修正数据的一个个磁性单元上，通过施加电压，磁性单元的磁极被回转，实现从“O”到“1”的改动。

原理上就是这么简略!

但是这么多的O和1，操作系统是怎样知道详细是哪个数据存在硬盘的什么方位呢?这就引入了现代硬盘上—个重要的概念:分区表。下面打个比方解释一下:

把整个硬盘比作一个图书馆，不同的分区就像不同的图书室，文件夹就好像一个个书架，详细数据则是一本本书。分区表就像图书馆的检索卡片，它包含了全部图书室(分区)、书架(文件夹目录)、书本（数据)的信息，操作系统通过读取分区表，就可以将文件所在的逻辑方位(某某分区某某文件夹)和硬盘上的物理方位对应起来。

想想以前去图书馆检索图书，就能了解系统是怎样找数据的了。

4数据在介质上是怎样删去的?

了解了数据的写入，我们再来看一个风趣的现象，平常在运用电脑时，你一定会注意到:写入文件的时刻和文件大小成比例改变，大文件时刻长，小文件时刻短;但删去文件的时分，不管文件大小，几乎都是—瞬间就结束了，时刻上没有明显的不同。

你有没有想过这是为什么?

这种现象是由系统删去文件的机理决议的，写入进程与时刻成比例是由于数据中的每个“O”和“1”都要在磁盘上进行校验，一致的就“放行”，相反的就“回转”，每个磁性单元都如此地遍历—次，其表象就是写入时刻与文件大小成比例。

而删去的进程，系统仅仅在分区表里将文件标明成了“不存在”，却根本没有清除数据本身，也就比方在图书馆中把图书检索卡片拿走，却没有实在在对应书架上拿走那本书!这样做大大提高删去文件的速度，改进了用户体会，而且由于硬盘上的“磁极”只需SN之分，当下次有别的文件要写入的时分，实际上未必需求修正全部的磁极指向——这也变相延长了硬盘的寿数。

5数据是怎样恢复的?

介绍到这儿，或许你已经能猜了，正由于机械硬盘特别的删去机制，才给电子数据恢复供给了时机。我们通过专用软件将全部没被新数据掩盖的部分进行扫描，对分区表进行重建，比方图书馆的索引卡片都遗失了，只需重新清点一遍库存，就能找到尚存的全部书本，而且建立起新的索引，数据就是这么简略就被恢复了。

绝大多数民用等级的电子数据恢复软件在恢复刚刚删去的文件时都能应对自如，就是依据这个原理。

6硬盘格式化了可以恢复数据么?

硬盘格式化与删去文件的机理是相同的，差异仅仅在于，删去文件时系统仅仅删去分区表中对应文件信息，而格式化则是把整个分区表重建成空白磁盘的情况，所以原始的数据没有受到影响，通过扫描磁盘，几乎可以无缺重建本来的分区表，恢复全部数据。

但假如格式化后许多写入新文件，或许长期一再运用电脑，那就无法保证原始数据不被损坏，恢复相应文件的概率也就逐渐降低了。

看完这些，是不是觉得电子数据恢复—下子就不奥秘了呢?

7电子数据恢复真的这么简略而没技能含量么?

电子数据恢复基本原理确实很简略，但实际情况千差万别，要想尽或许的恢复方针数据，远远不止上述现象这么简单。

比方，原始文件被删去后，硬盘又重新写入许多新数据，假如新数据就写在原始数据存储的磁盘方位上，掩盖了原始数据，使原始数据本身遭到损坏，那就只能对文件未被掩盖的数据残留部分进行复原恢复。

这样恢复后的文件一定是一种受损残损的情况，或许丢掉了文件头，也或许丢掉了内容数据，所以正常的“翻开”操作是无法结束的，要读取原始文件恢复出的部分数据，就必须凭借其他东西进行数据读取、转化和拼接，这就需求技能人员具备较高的电子数据恢复常识水平，了解各类文件底层代码，假如是针对案子查询的电子数据恢复取证，甚至还需求查询人员有满足的案情敏感度和丰富的办案经历才华结束。

可以说，电子数据恢复入门十分简略，而深化则具有适当难度。

简略介绍了一些电子数据恢复最基本的常识，在终究觉得仍是有必要做个提示:

有果必有因，数据不会自己消失，只需及时采纳方法，亡羊补牢的行动仍可以最大极限的削减损失。但，靠谱的方法仍是备份，硬盘有价数据无价，只需未雨绸缪，才华实在保证数据的万无一失。