转自: http://www.99d.com/jc/yy/sjhf/2011/0531/2590_3.html
数据恢复过程中最怕被误操作而造成二次破坏
造成恢复难度陡增。数据恢复过程中,禁止往源盘里面写入新数据的。
不要做DskChk磁盘检查 。
一般文件系统出现错误后,系统开机进入启动画面时会自动提示是否需要做磁盘检查,
默认10秒后开始进行DskChk磁盘检查操作,这个操作有时候可以修复一些小损坏的目录文件,
但是很多时候会破坏了数据。因为复杂的目录结构它是无法修复的。
修复失败后,在根目录下会形成FOUND.000这样的目录,里面有大量的以.CHK为扩展名的文件。
有时候这些文件改个名字就可以恢复,有时候则完蛋了,特别是FAT32分区或者是NTFS比较大的数据库文件等。
不要再次格式化分区 。
用户第一次格式化分区后分区类型改变,造成数据丢失,比如原来是FAT32分区格成NTFS分区,或者原来是NTFS的分区格式化成FAT32分区。数据丢失后,用一般的软件不能扫描出原来的目录格式,就再次把分区格式化会原来的类型,再来扫描数据。我们指出的是,第2次格式化会原来的分区类型就是严重的错误操作,很可能把本来可以恢复的一些大的文件给破坏了,造成永久无法恢复。
不要把数据直接恢复到源盘上
很多普通客户删除文件后,用一般的软件恢复出来的文件直接还原到原来的目录下,这样破坏原来数据的可能性非常大,所以严格禁止直接还原到源盘。
不要进行重建分区操作 。
分区表破坏或者分区被删除后,若直接使用分区表重建工具直接建立或者格式化分区,
很容易破坏掉原先分区的文件分配表(FAT)或者文件记录表(MFT)等重要区域,
造成恢复难度大大增加。我们在恢复的实践过程中碰到过多次客户在分区表破坏后,
先自行尝试过几种分区工具都无法恢复数据后才想到找专业人员帮忙,结果我们发现在多种分区工具作用后,
破坏了一些重要的目录文件,造成文件目录恢复不完整,有些大的文件无法恢复。而按客户描述的最初分区丢失的情况,
这些文件一般都可以完全恢复了,真是很可惜啊。专业的数据恢复人员在重建分区表之前都会先定位分区的具体位置(逻辑扇区号),
然后用扇区查看工具先检查分区的几个重要参数比如DBR/FAT/FDT/MFT等,确认后才修改分区表的,
而且修改完分区表后在启动系统过程中会禁止系统做dskchk破坏分区目录,保证数据不会被破坏到。
阵列丢失后不要重做阵列 。
我们在挽救服务器阵列的实践中遇到过有些网管在服务器崩溃后强行让阵列上线,
即使掉线了的硬盘也强制上线,或者直接做rebuilding。这些操作都是非常危险的,任何写入盘的操作都有可能破坏数据。
数据丢失后,要严禁往需要恢复的分区里面存新文件 。
最好是关闭下载工具,不要上网,不必要的应用程序也关掉,再来扫描恢复数据。若要恢复的分区是系统分区,
当数据文件删除丢失后,若这个电脑里面没有数据库之类的重要数据,我们建议您直接把电脑断电,
然后把硬盘挂到别的电脑来恢复,因为在关机或者开机状态下,操作系统会往系统盘里面写数据,可能会破坏数据。
平时在正常使用数据时候也需要注意的问题
不要剪切文件
我们经常碰到客户剪切一个目录到另外一个盘,中间出错,源盘目录没有,目标盘也没复制进数据。
这看起来是一个系统的BUG,偶尔会出现的。所以我们建议如果数据重要,那么先复制数据到目标盘,
没有问题后再删除源盘里面的目录文件,不要图省事造成数据丢失。
目录文件非常多的分区, 不要直接做磁盘碎片整理 。因为磁盘碎片整理过程中可能会出错,万一出错了数据就很难恢复。
我们建议将数据复制到别的盘后,再格式化要做磁盘整理的盘,然后拷回数据。
不要用第三方工具调整分区大小 。调整分区大小过程中也很容易出错(比如断电等),
一出错也很难恢复,因为数据被挪来挪去覆盖破坏很严重的。建议在重新分区之前,
备份好数据,再使用Windows自带的磁盘管理里面来分区,安全性高一些。
定期备份数据
,确保数据安全,最好是刻盘备份,比存在硬盘里面更安全。
关于恢复成功率的一些知识
数据丢失后的恢复率,不同情况下都不一样的。
FAT或者FAT32分区,删除或者格式化后,比较大的文件或者经常编辑修改的文件,恢复成功率要低一些,比如经常编辑修改的XLS或者CDR文件就很难完整恢复。那些文件拷进去后就不动的文件,恢复成功率比较高,比如PDF或者JPG,MPG等不经常修改的文件,恢复率还是比较高的。这是因为FAT和FAT32分区使用文件分配表来记录每个文件的簇链碎片信息,删除或者格式化后簇链碎片信息就被清空了,那些经常编辑修改的文件由于它们的文件长度动态增长,在文件系统中一般都不会连续存放,所以文件碎片信息就无法恢复,文件恢复也就不完整了。
NTFS分区的恢复概率比较高,一般删除或者格式化后绝大部分都可以完整恢复的。某些文件有时候无法恢复,例如文件长度非常大或者文件在编辑使用很长时间,这文件会形成很多的碎片信息,在删除文件后,这个文件就无法知道文件长度,很难恢复了,例如一些使用很多年的数据库文件,删除后用数据恢复软件扫描到的文件长度是0,无法恢复。定期做磁盘碎片整理可以减少这种情况的发生,但是直接做磁盘碎片整理也有风险,请参考上面需要注意的问题。
重新分区或者删除分区或者分区表破坏,一般后面的分区基本能完整恢复,越靠后的分区被破坏的可能性越低,所以重要数据最好放在比较靠后的分区里面,不要放在C,D盘里。
经过回收站删除的文件,有时候会无法找到文件。NTFS下,从回收站中删除的文件,文件名会被系统自动修改成De001.doc之类的名字,原来的文件名被破坏。当您的数据丢失后,不能直接找到文件名,记得别漏过这些被系统改名过的文件哦。直接Shift+Del删除的则不会破坏文件名。
关于Windows分区的一些知识
什么是FAT分区?
什么是FAT32分区?
随着大容量硬盘的出现,从Windows 98开始,FAT32开始流行。它是FAT16的增强版本,可以支持大到2TB(2048GB)的分区。
FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。
什么是NTFS分区?
微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。
随着以NT为内核的Windows 2000/XP的普及,很多个人用户开始用NTFS分区。NTFS也是以簇为单位来存储数据文件,
但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。
NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。
什么系统可以支持NTFS文件系统?
只有Windows NT/2000/XP/VISTA/7才能识别NTFS系统,Windows 9X/ME以及DOS等操作系统都不能支持、识别NTFS格式的磁盘。
由于DOS系统不支持NTFS系统,所以最好不要将C:盘制作为NTFS系统,这样在系统崩溃后便于在DOS系统下修复。
在NTFS系统下,如何保护自己的文件、文件夹?
由于NTFS文件分区格式具有良好的安全性,如果你不希望自己在硬盘中的文件被其他人调用或查看,
使用权限控制方式加密是非常有效的方法。设置方法非常简单:以系统管理员身份登录,
使用鼠标右键单击需要加密的文件夹,选择“Properties”,切换到“Security”选项卡。
在“Group of user names”项中设置允许访问的用户只有Administrator和自己。删除其他的所有用户。
保存设置退出即可。此后,其他用户将不能访问该文件夹。
使用这项功能需要注意的是:一定要保证只有你一个人知道Administrator密码,并且设置其他用户不能属于Administrator。
此外,你还可以详细的给每个用户设置权限,包括设置读取权限、写入权限、删除权限等,这样使用起来就更加灵活。
你还可以设置权限,控制一个磁盘,或者磁盘分区只为自己使用,这样其他人就不能看到你的任何东西了。
为什么FAT的效率不如NTFS高?
FAT文件系统的文件分配表只能列出了每个文件的名称及起始簇,并没有说明这个文件是否存在,
而需要通过其所在文件夹的记录来判断,而文件夹入口又包含在文件分配表的索引中。
因此在访问文件时,首先要读取文件分配表来确定文件已经存在,然后再次读取文件分配表找到文件的首簇,
接着通过链式的检索找到文件所有的存放簇,最终确定后才可以访问。
FAT32和NTFS那种更好?
FAT32和NTFS是硬盘的两种分区格式,据权威机构测试的数据表明,
FAT32会比NTFS快出5%,
但是NTFS具有如下优点:
1).能存取大于4GB的文件。2).能更好地诊断并修改硬盘错误。3).能管理大于40GB的单分区硬盘,
另外,NTFS使用更小的簇大小,因此在一定程度上能节省硬盘空间。对于数据恢复来说,
FAT32里面经常编辑修改的文件比如DOC、XLS、AI、CDR、PSD文件或者比较大的文件比如数据库等就很难恢复,
而这些在NTFS分区里面恢复的效果很好。注:Windows98/ME默认情况下,不能存取NTFS分区格式,Linux可以读NTFS分区,但无法进行写操作。