資料恢復原理資料恢復是怎麼回事呀？

電子取證知識點

——到底什麼是資料恢復？

所謂資料恢復，它是屬於電子取證中不可或缺的一部分，但卻又比對電子取證的要求更高，因為日常生活中我們都有「手殘」的時候…不是誤刪了檔案，就是格式化了硬碟，然後就會萬念俱灰的再想要去恢復那些花了十幾個小時拍的**、或者一些機密資料。

什麼是資料恢復？

下面我們來將繁瑣不易懂的資料恢復概念簡化說明一下。

答：所謂的資料恢復其實就是把曾經存在過的但現在不可見的資料通過某種技術給恢復出來。

①這裡的「曾經存在過的」，是指你曾經建立過的、可以清楚看到的各種型別的檔案

②這裡的「現在不可見的」，是指我們以為的「不存在了」，如刪掉了、格式化了的等。

什麼是恢復物件？

答：恢復物件大概可以分為兩種：

①不可見的資料②可見的資料載體。

①不可見的資料

②可見的資料載體

即指承載資料的載體，也就是各種儲存介質，如硬碟、光碟、usb等。

恢復分類有哪些呢？

答：根據恢復物件的不同，自然就能把恢復技術分為兩大類：①邏輯恢復 ②物理恢復

①邏輯恢復

是指通過軟體的方式進行恢復。即是在儲存介質完好、儲存的資料因人為操作或系統故障丟失的情況下，使用一定的工具根據儲存原理將「不可見"、「不可讀」的資料恢復出來的活動。

②物理修復

物理修復則涉及了硬體上的維修，要想物理修復存諸介質就要知道這些小零件是如何能通過其特殊構造實現電磁與資料之間的轉換的;受損的儲存介質種類繁多，有韌體、晶元、磁針等。

並且物理修復是一項需要長期經驗積累的精細活，需要專業的技術人員來進行，可能還會有「無塵間」等更高要求的操作環境。

不過我們本次資料恢復的主題針對的還是邏輯資料恢復。

知識點小結

① 邏輯恢復的實質是找到真正檔案「隱身」後的儲存位置，然後讓其實一直存在的資料再次現身。

② 物理恢復的實質是把儲存介質修好，使之能正常使用，從而正常讀取找回資料。

被刪掉的資料去哪兒了？

答：被刪掉的資料其實還在它原來的地方。不僅如此，平日裡我們把某檔案從這個資料夾移到另乙個資料夾甚至是另乙個盤的時候，檔案真正的位置其實都是沒有動過的。為了解釋這一結論，我們繼續來了解一下關於資料寫入和儲存的底層原理。

進一步解釋來看，其實就是作業系統給你建立了乙個虛擬的目錄，你每次移動的都是目錄的位置，而不是檔案本身，況且那些真實存在的物理「點點」也不是我們說移動就能夠移動的。

當我們刪除檔案時，我們並沒有把所有的凸凹不平的介質抹掉，而是把它所謂的「位址」給抹去(就好比去掉檔案的目錄)，讓作業系統找不到這個檔案，認為它已經消失，這樣你也就找不到了。而實際情況是，它還在那，只是你沒有了找到它的途徑。

綜上所述，原來我們所說的資料恢復其實就是通過一定的方法找到丟失檔案原本真正所在的位置。

1、立即停止使用你的手機

資料丟失後，你要避免繼續操作手機，最好是關閉wifi / cellular資料連線，並且不要執行任何應用程式。因為當應用程式執行時，它會在手機記憶體中生成資料，這就可能會將你丟失的資料給覆蓋了。

2、不要再把新資料寫入手機中

當檔案被刪除時，手機不會將這些檔案完全擦除，而是仍將其保留在手機的儲存空間中，直到新的資料產生並覆蓋掉已刪除的檔案。一旦刪除的檔案被覆蓋，那麼你就不可能再有機會恢復它們。

3、及時恢復丟失的檔案

**：甘政法公技院

資料恢復原理 資料恢復 是怎麼回事呀？