效率源DATACOMPASS、salvtiondata、PC-3000、Final Data、 Easy Recovery、easy undelete、PTDD、WinHex、R-STUDIO、DiskGenius、RAID Reconstructor、AneData安易硬盘数据恢复软件、D-Recovery达思数据恢复软件、易我数据恢复向导等。
Easyrecovery是一个非常著名的老牌数据恢复软件。硬盘修复 该软件功能可以说是非常强大。无论是误删除/格式化还是重新分区后的数据丢失,其都可以轻松解决,其甚至可以不依靠分区表来按照簇来进行硬盘扫描。但要注意不通过分区表来进行数据扫描,很可能不能完全恢复数据,原因是通常一个大文件被存储在很多不同的区域的簇内,即使我们找到了这个文件的一些簇上的数据,很可能恢复之后的文件是损坏的。所以这种方法并不是万能的,但其提供给我们一个新的数据恢复方法,适合分区表严重损坏使用其他恢复软件不能恢复的情况下使用。Easyrecovery最新版本加入了一整套检测功能,包括驱动器测试、分区测试、磁盘空间管理以及制作安全启动盘等。这些功能对于日常维护硬盘数据来说,非常实用,我们可以通过驱动器和分区检测来发现文件关联错误以及硬盘上的坏道。
R-Studio是功能超强的数据恢复、反删除工具,采用全新恢复技术,为使用 FAT12/16/32、NTFS、NTFS5(Windows 2000系统)和 Ext2FS(Linux系统)分区的磁盘提供完整数据维护解决方案!同时提供对本地和网络磁盘的支持,此外大量参数设置让高级用户获得最佳恢复效果。具体功能有:服务器数据恢复 采用 Windows资源管理器操作界面;通过网络恢复远程数据(远程计算机可运行Win95/98/ME/NT/2000/XP、Linux、UNIX 系统);支持 FAT12/16/32、NTFS、NTFS5 和 Ext2FS文件系统;能够重建损毁的RAID阵列;为磁盘、分区、目录生成镜像文件;恢复删除分区上的文件、加密文件(NTFS 5)、数据流(NTFS、NTFS 5);恢复FDISK或其它磁盘工具删除过得数据、病毒破坏的数据、MBR 破坏后的数据;识别特定文件名;把数据保存到任何磁盘;浏览、编辑文件或磁盘内容等等。
顶尖数据恢复软件能够有效地恢复硬盘、移动硬盘、U盘、TF卡、数码相机上的数据,软件采用最新的多线程引擎,扫描速度极快,能扫描出磁盘底层的数据,经过高级的分析算法,能把丢失的目录和文件在内存中重建出来,数据恢复效果极好。同时,本软件不会向硬盘内写入数据,所有操作均在内存中完成,能有效地避免对数据的二次破坏。与国外的软件相比,这款软件完美支持中文目录、文件恢复。这款软件的界面是向导式的,十分友好,适合电脑初学者使用。
安易硬盘数据恢复软件是一款文件恢复功能非常全面的软件,能够恢复经过回收站删除掉的文件、被Shift+Delete键直接删除的文件和目录、快速格式化/完全格式化的分区、分区表损坏、盘符无法正常打开的RAW分区数据、在磁盘管理中删除掉的分区、北京数据恢复 被重新分区过的硬盘数据、一键Ghost对硬盘进行分区、被第三方软件做分区转换时丢失的文件、把整个硬盘误Ghost成一个盘等。本恢复软件用只读的模式来扫描文件数据信息,在内存中组建出原来的目录文件名结构,不会破坏源盘内容。支持常见的NTFS分区、FAT/FAT32分区、exFAT分区的文件恢复,支持普通本地硬盘、USB移动硬盘恢复、SD卡恢复、U盘恢复、数码相机和手机内存卡恢复等。采用向导式的操作界面,很容易就上手,普通用户也能做到专业级的数据恢复效果。http://www.iqwork.com/
2012年10月29日星期一
服务器数据恢复技巧--补天数据恢复中心
1.不必完全扫描
如果你仅想找到不小心误删除的文件,无论使用哪种北京数据恢复软件,也不管它是否具有类似EasyRecovery快速扫描的方式,其实都没必要对删除文件的硬盘分区进行完全的簇扫描。因为文件被删除时,操作系统仅在目录结构中给该文件标上删除标识,任何数据恢复软件都会在扫描前先读取目录结构信息,并根据其中的删除标志顺利找到刚被删除的文件。所以,你完全可在数据恢复软件读完分区的目录结构信息后就手动中断簇扫描的过程,软件一样会把被删除文件的信息正确列出,如此可节省大量的扫描时间,快速找到被误删除的文件数据。
2.尽可能采取NTFS格式分区
NTFS分区的MFT以文件形式存储在硬盘上,这也是EasyRecovery和Recover4all即使使用完全扫描方式对NTFS分区扫描也那么快速的原因——实际上它们在读取NTFS的MFT后并没有真正进行簇扫描,只是根据MFT信息列出了分区上的文件信息, 硬盘恢复非常取巧,从而在NTFS分区的扫描速度上压倒了老老实实逐个簇扫描的其他软件。不过对于NTFS分区的文件恢复成功率各款软件几乎是一样的,事实证明这种取巧的办法确实有效,也证明了NTFS分区系统的文件安全性确实比FAT分区要高得多,这也就是NTFS分区数据恢复在各项测试成绩中最好的原因,只要能读取到MFT信息,就几乎能100%恢复文件数据。
3.巧妙设置扫描的簇范围
设置扫描簇的范围是一个有效加快扫描速度的方法。像EasyRecovery的高级自定义扫描方式、FinalData和File Recovery的默认扫描方式都可以让你设置扫描的簇范围以缩短扫描时间。当然要判断目的文件在硬盘上的位置需要一些技巧,这里提供一个简单的方法,使用操作系统自带的硬盘碎片整理程序中的碎片分析程序(千万小心不要碎片整理啊,只是用它的碎片分析功能),在分区分析完后程序会将硬盘的未使用空间用图形方式清楚地表示出来,那么根据图形的比例估计这些未使用空间的大致簇范围, 服务器数据恢复搜索时设置只搜索这些空白的簇范围就好了,对于大的分区,这确实能节省不少扫描时间。
4.使用文件格式过滤器
以前没用过数据恢复软件的朋友在第一次使用时可能会被软件的能力吓一跳,你的目的可能只是要找几个误删的文件,可软件却列出了成百上千个以前删除了的文件,要找到自己真正需要的文件确实十分麻烦。这里就要使用EasyRecovery独有的文件格式过滤器功能了,在扫描时在过滤器上填好要找文件的扩展名,如“*.doc”,那么软件就只会显示找到的DOC文件了;如果只是要找一个文件,你甚至只需要在过滤器上填好文件名和扩展名,软件自然会找到你需要的这个文件,很是快捷方便http://www.iqwork.com/
如果你仅想找到不小心误删除的文件,无论使用哪种北京数据恢复软件,也不管它是否具有类似EasyRecovery快速扫描的方式,其实都没必要对删除文件的硬盘分区进行完全的簇扫描。因为文件被删除时,操作系统仅在目录结构中给该文件标上删除标识,任何数据恢复软件都会在扫描前先读取目录结构信息,并根据其中的删除标志顺利找到刚被删除的文件。所以,你完全可在数据恢复软件读完分区的目录结构信息后就手动中断簇扫描的过程,软件一样会把被删除文件的信息正确列出,如此可节省大量的扫描时间,快速找到被误删除的文件数据。
2.尽可能采取NTFS格式分区
NTFS分区的MFT以文件形式存储在硬盘上,这也是EasyRecovery和Recover4all即使使用完全扫描方式对NTFS分区扫描也那么快速的原因——实际上它们在读取NTFS的MFT后并没有真正进行簇扫描,只是根据MFT信息列出了分区上的文件信息, 硬盘恢复非常取巧,从而在NTFS分区的扫描速度上压倒了老老实实逐个簇扫描的其他软件。不过对于NTFS分区的文件恢复成功率各款软件几乎是一样的,事实证明这种取巧的办法确实有效,也证明了NTFS分区系统的文件安全性确实比FAT分区要高得多,这也就是NTFS分区数据恢复在各项测试成绩中最好的原因,只要能读取到MFT信息,就几乎能100%恢复文件数据。
3.巧妙设置扫描的簇范围
设置扫描簇的范围是一个有效加快扫描速度的方法。像EasyRecovery的高级自定义扫描方式、FinalData和File Recovery的默认扫描方式都可以让你设置扫描的簇范围以缩短扫描时间。当然要判断目的文件在硬盘上的位置需要一些技巧,这里提供一个简单的方法,使用操作系统自带的硬盘碎片整理程序中的碎片分析程序(千万小心不要碎片整理啊,只是用它的碎片分析功能),在分区分析完后程序会将硬盘的未使用空间用图形方式清楚地表示出来,那么根据图形的比例估计这些未使用空间的大致簇范围, 服务器数据恢复搜索时设置只搜索这些空白的簇范围就好了,对于大的分区,这确实能节省不少扫描时间。
4.使用文件格式过滤器
以前没用过数据恢复软件的朋友在第一次使用时可能会被软件的能力吓一跳,你的目的可能只是要找几个误删的文件,可软件却列出了成百上千个以前删除了的文件,要找到自己真正需要的文件确实十分麻烦。这里就要使用EasyRecovery独有的文件格式过滤器功能了,在扫描时在过滤器上填好要找文件的扩展名,如“*.doc”,那么软件就只会显示找到的DOC文件了;如果只是要找一个文件,你甚至只需要在过滤器上填好文件名和扩展名,软件自然会找到你需要的这个文件,很是快捷方便http://www.iqwork.com/
2012年10月25日星期四
数据恢复技巧--iqwork.com/
1.不必完全扫描
如果你仅想找到不小心误删除的文件,无论使用哪种北京数据恢复软件,也不管它是否具有类似EasyRecovery快速扫描的方式,其实都没必要对删除文件的硬盘分区进行完全的簇扫描。因为文件被删除时,操作系统仅在目录结构中给该文件标上删除标识,任何数据恢复软件都会在扫描前先读取目录结构信息,并根据其中的删除标志顺利找到刚被删除的文件。所以,你完全可在数据恢复软件读完分区的目录结构信息后就手动中断簇扫描的过程,软件一样会把被删除文件的信息正确列出,如此可节省大量的扫描时间,快速找到被误删除的文件数据。
2.尽可能采取NTFS格式分区
NTFS分区的MFT以文件形式存储在硬盘上,这也是EasyRecovery和Recover4all即使使用完全扫描方式对NTFS分区扫描也那么快速的原因——实际上它们在读取NTFS的MFT后并没有真正进行簇扫描,只是根据MFT信息列出了分区上的文件信息,非常取巧,从而在NTFS分区的扫描速度上压倒了老老实实逐个簇扫描的其他软件。不过对于NTFS分区的文件恢复成功率各款软件几乎是一样的,事实证明这种取巧的办法确实有效,也证明了NTFS分区系统的文件安全性确实比FAT分区要高得多,这也就是NTFS分区数据恢复在各项测试成绩中最好的原因,只要能读取到MFT信息,就几乎能100%恢复文件数据。 硬盘恢复
3.巧妙设置扫描的簇范围
设置扫描簇的范围是一个有效加快扫描速度的方法。像EasyRecovery的高级自定义扫描方式、FinalData和File Recovery的默认扫描方式都可以让你设置扫描的簇范围以缩短扫描时间。当然要判断目的文件在硬盘上的位置需要一些技巧,这里提供一个简单的方法,使用操作系统自带的硬盘碎片整理程序中的碎片分析程序(千万小心不要碎片整理啊,只是用它的碎片分析功能),在分区分析完后程序会将硬盘的未使用空间用图形方式清楚地表示出来,那么根据图形的比例估计这些未使用空间的大致簇范围, 服务器数据恢复搜索时设置只搜索这些空白的簇范围就好了,对于大的分区,这确实能节省不少扫描时间。
4.使用文件格式过滤器
以前没用过数据恢复软件的朋友在第一次使用时可能会被软件的能力吓一跳,你的目的可能只是要找几个误删的文件,可软件却列出了成百上千个以前删除了的文件,要找到自己真正需要的文件确实十分麻烦。这里就要使用EasyRecovery独有的文件格式过滤器功能了,在扫描时在过滤器上填好要找文件的扩展名,如“*.doc”,那么软件就只会显示找到的DOC文件了;如果只是要找一个文件,你甚至只需要在过滤器上填好文件名和扩展名(如important.doc),软件自然会找到你需要的这个文件,很是快捷方便 http://www.iqwork.com/
如果你仅想找到不小心误删除的文件,无论使用哪种北京数据恢复软件,也不管它是否具有类似EasyRecovery快速扫描的方式,其实都没必要对删除文件的硬盘分区进行完全的簇扫描。因为文件被删除时,操作系统仅在目录结构中给该文件标上删除标识,任何数据恢复软件都会在扫描前先读取目录结构信息,并根据其中的删除标志顺利找到刚被删除的文件。所以,你完全可在数据恢复软件读完分区的目录结构信息后就手动中断簇扫描的过程,软件一样会把被删除文件的信息正确列出,如此可节省大量的扫描时间,快速找到被误删除的文件数据。
2.尽可能采取NTFS格式分区
NTFS分区的MFT以文件形式存储在硬盘上,这也是EasyRecovery和Recover4all即使使用完全扫描方式对NTFS分区扫描也那么快速的原因——实际上它们在读取NTFS的MFT后并没有真正进行簇扫描,只是根据MFT信息列出了分区上的文件信息,非常取巧,从而在NTFS分区的扫描速度上压倒了老老实实逐个簇扫描的其他软件。不过对于NTFS分区的文件恢复成功率各款软件几乎是一样的,事实证明这种取巧的办法确实有效,也证明了NTFS分区系统的文件安全性确实比FAT分区要高得多,这也就是NTFS分区数据恢复在各项测试成绩中最好的原因,只要能读取到MFT信息,就几乎能100%恢复文件数据。 硬盘恢复
3.巧妙设置扫描的簇范围
设置扫描簇的范围是一个有效加快扫描速度的方法。像EasyRecovery的高级自定义扫描方式、FinalData和File Recovery的默认扫描方式都可以让你设置扫描的簇范围以缩短扫描时间。当然要判断目的文件在硬盘上的位置需要一些技巧,这里提供一个简单的方法,使用操作系统自带的硬盘碎片整理程序中的碎片分析程序(千万小心不要碎片整理啊,只是用它的碎片分析功能),在分区分析完后程序会将硬盘的未使用空间用图形方式清楚地表示出来,那么根据图形的比例估计这些未使用空间的大致簇范围, 服务器数据恢复搜索时设置只搜索这些空白的簇范围就好了,对于大的分区,这确实能节省不少扫描时间。
4.使用文件格式过滤器
以前没用过数据恢复软件的朋友在第一次使用时可能会被软件的能力吓一跳,你的目的可能只是要找几个误删的文件,可软件却列出了成百上千个以前删除了的文件,要找到自己真正需要的文件确实十分麻烦。这里就要使用EasyRecovery独有的文件格式过滤器功能了,在扫描时在过滤器上填好要找文件的扩展名,如“*.doc”,那么软件就只会显示找到的DOC文件了;如果只是要找一个文件,你甚至只需要在过滤器上填好文件名和扩展名(如important.doc),软件自然会找到你需要的这个文件,很是快捷方便 http://www.iqwork.com/
2012年10月24日星期三
探访专业数据恢复公司 收费不低还签保密协议
当今,“数据”一词正无时无刻不围绕着大家的生活,从普通的电脑硬盘,到手机中存着的图片……而数据一旦损失,则不仅仅是硬件的损坏,有可能会给你带来终身遗憾。因此 ,数据恢复公司也应时而生。北京数据恢复但数据恢复真的有用吗?他们又是怎么收费的?带着许多疑问,日前记者走进了岛城一家专业的数据恢复公司,探访背后的故事。
现状 半数私人客户想寻回照片
“胸闷呀!跟了我四年的U 盘今早出现了状况!!!花钱买了数据恢复软件不管用!”、“该死的iphone,该死的itunes!连上电脑本想传些数据,可该死的itunes竟然自动覆盖了数据,把所有数据都恢复成8月的了,直接导致很多重要电话和重要短信都没了。怎么能找回来?”
上述内容是记者22日通过新浪微博搜索“数据恢复”得到的结果。记者发现,问题有的是因为手机照片被删,有的是因为移动硬盘“ 暴毙”所致,有的甚至因为游戏玩到高兴处踢了主机一脚……“我们见到的,真的,可以说是太多了。”柳东升是科技街飞客(青岛)数据恢复中心的负责人兼技术总工,当记者上门采访时,从业7年的他还在忙着跟客户解释对方数码相机里数据“挽救”的可能性。他告诉记者说, 硬盘恢复上去10年前,他们这个行业面向的消费者主要是各种网站和企业用户,可随着U盘越来越便宜、数码相机,智能手机甚至平板电脑用户越来越多,私人客户也越来越多。“现在这个市场里私人客户基本上能占到4成,其中私人客户中差不多一半是照片丢失。”
故事 孩子7年的成长记录没了
“我们这个行业,应该叫做数据拯救更为贴切,但就跟医院一样,有时你花再多的钱也无法起死回生。”柳东升这样描述一件发生在不久前的事情——就在今年上半年,一位来自烟台的父亲张先生(化名)来到他们公司。他送来“急救”的是一块普通的台式电脑的硬盘。但张先生说,这里面的内容对他来说意义重大,因为这里面存着女儿从出生,到现在连续7年不间断的成长记录,足足有几十个G的照片。
“其实,张先生自己也做过预防措施,他说自己最多的时候用其他硬盘做过3个备份 。”柳东升告诉记者 ,但因为近两年数据量越来越多,侥幸心理下,原本用来备份孩子成长日记照片的空间被一次又一次“挪作别用”。
据介绍,实际上无论是硬盘也好,各种U盘、SD 、 服务器数据恢复CF卡也罢 ,出现故障后都可以大体分为软件问题和硬件问题两种。软件问题被“治愈”的可能性较高也相对容易 ,而硬件一旦损坏,除去基础电路部分外 ,特别是储存数据的区域、芯片有了问题,基本上就是“绝症”了。“当时的情况可以说是真的无能为力。”张先生送来的硬盘坏得很突然,是在外接使用过程中从桌面被误碰下来的,尽管当事人根本没敢再次使用过它,可柳东升一检测就发现硬盘内部的盘片已经完全跌成碎片了 。“ 就好比一个正常的大脑被搅成了一团浆糊”,柳东升遗憾地说,“ 我们也无法起死回生了 。”柳东升说,还有一种情况也很让人着急,就是许多婚纱影楼来找回顾客的照片存档,婚礼现场的跟拍等。“ 一旦找不回来,这遗憾也是终生的,毕竟婚礼一生可能只有一次。”http://www.iqwork.com/
现状 半数私人客户想寻回照片
“胸闷呀!跟了我四年的U 盘今早出现了状况!!!花钱买了数据恢复软件不管用!”、“该死的iphone,该死的itunes!连上电脑本想传些数据,可该死的itunes竟然自动覆盖了数据,把所有数据都恢复成8月的了,直接导致很多重要电话和重要短信都没了。怎么能找回来?”
上述内容是记者22日通过新浪微博搜索“数据恢复”得到的结果。记者发现,问题有的是因为手机照片被删,有的是因为移动硬盘“ 暴毙”所致,有的甚至因为游戏玩到高兴处踢了主机一脚……“我们见到的,真的,可以说是太多了。”柳东升是科技街飞客(青岛)数据恢复中心的负责人兼技术总工,当记者上门采访时,从业7年的他还在忙着跟客户解释对方数码相机里数据“挽救”的可能性。他告诉记者说, 硬盘恢复上去10年前,他们这个行业面向的消费者主要是各种网站和企业用户,可随着U盘越来越便宜、数码相机,智能手机甚至平板电脑用户越来越多,私人客户也越来越多。“现在这个市场里私人客户基本上能占到4成,其中私人客户中差不多一半是照片丢失。”
故事 孩子7年的成长记录没了
“我们这个行业,应该叫做数据拯救更为贴切,但就跟医院一样,有时你花再多的钱也无法起死回生。”柳东升这样描述一件发生在不久前的事情——就在今年上半年,一位来自烟台的父亲张先生(化名)来到他们公司。他送来“急救”的是一块普通的台式电脑的硬盘。但张先生说,这里面的内容对他来说意义重大,因为这里面存着女儿从出生,到现在连续7年不间断的成长记录,足足有几十个G的照片。
“其实,张先生自己也做过预防措施,他说自己最多的时候用其他硬盘做过3个备份 。”柳东升告诉记者 ,但因为近两年数据量越来越多,侥幸心理下,原本用来备份孩子成长日记照片的空间被一次又一次“挪作别用”。
据介绍,实际上无论是硬盘也好,各种U盘、SD 、 服务器数据恢复CF卡也罢 ,出现故障后都可以大体分为软件问题和硬件问题两种。软件问题被“治愈”的可能性较高也相对容易 ,而硬件一旦损坏,除去基础电路部分外 ,特别是储存数据的区域、芯片有了问题,基本上就是“绝症”了。“当时的情况可以说是真的无能为力。”张先生送来的硬盘坏得很突然,是在外接使用过程中从桌面被误碰下来的,尽管当事人根本没敢再次使用过它,可柳东升一检测就发现硬盘内部的盘片已经完全跌成碎片了 。“ 就好比一个正常的大脑被搅成了一团浆糊”,柳东升遗憾地说,“ 我们也无法起死回生了 。”柳东升说,还有一种情况也很让人着急,就是许多婚纱影楼来找回顾客的照片存档,婚礼现场的跟拍等。“ 一旦找不回来,这遗憾也是终生的,毕竟婚礼一生可能只有一次。”http://www.iqwork.com/
2012年10月23日星期二
电子证据采集 数据恢复取证技术是关键
9月19日消息,2012年3月14日,北京数据恢复第十一届全国人民代表大会第五次会议通过对《中华人民共和国刑事诉讼法》的修改决定,电子数据被正式认定为八大证据之一,在刑事诉讼中,经相关部门查证属实,电子数据就可以作为定案的根据,这意味着,作为电子证据重要采集手段的数据恢复取证技术,也将随着新刑诉法的正式实施(2013年1月1日),成为检察机关最重要的一种电子取证手段。
所谓数据恢复取证,就是办案人员通过特殊的数据获取手段,将犯罪嫌疑人故意隐藏或损坏的案件相关电子资料进行技术复原,并将这些电子数据进行依法查证的调查过程,电子证据彻底杜绝作案人员对其犯罪行为避重就轻的现象发生,让犯罪行为无处遁形。
2010年,上海某检察院就通过数据恢复取证技术,成功破获了一起“傀儡机”案件。据介绍,当时, 硬盘恢复由于犯罪嫌疑人向某将与其罪行相关的硬盘数据进行恶意删改,致使取证遭遇技术难题,办案检察官几次提审,却始终由于涉案硬盘中的数据难以读取,案件迟迟达不到提起公诉的证据标准。
最终,该院技术科主动请缨,通过数据恢复取证和数据分析,将关键电子数据全部恢复,包括犯罪嫌疑人通过非法控制55台计算机向目标发动攻击的相关数据(见上图),如被木马程序控制的“傀儡机”IP地址名单、相关“DDOS攻击”程序以及犯罪嫌疑人建立黑客网站、黑客培训教程等内容。在确凿的电子证据面前,向某对罪行供认不讳,最终受到了法律的制裁。
事实上,类似案件还有很多,尤其是在最近的十年,电子证据重要性更是越来越凸显,正如该检察院技术科干警陆渊所分析:“随着信息时代的到来,各类电子产品越来越多地应用到人们的工作、生活中。 服务器数据恢复这些电子产品所存的大量数据信息很少受客观因素影响,不易损毁,有着极强的证明力,是‘不会说谎的证据’。”
也正是基于这样的社会形势,检察机关越来越重视电子证据,大力推广“数据恢复取证”这一新型检察技术,不仅全面引入HD Doctor、Data Compass、Data Copy King、SDII-9000等数据恢复取证专业设备,还积极参加“效率源”等数据恢复设备研发企业组织的各种规范、系统的专业培训,以期打造出一支又一支技术过硬的数据恢复取证队伍,为新形势下的社会稳定和国家安定团结整装待发。 http://www.iqwork.com/
所谓数据恢复取证,就是办案人员通过特殊的数据获取手段,将犯罪嫌疑人故意隐藏或损坏的案件相关电子资料进行技术复原,并将这些电子数据进行依法查证的调查过程,电子证据彻底杜绝作案人员对其犯罪行为避重就轻的现象发生,让犯罪行为无处遁形。
2010年,上海某检察院就通过数据恢复取证技术,成功破获了一起“傀儡机”案件。据介绍,当时, 硬盘恢复由于犯罪嫌疑人向某将与其罪行相关的硬盘数据进行恶意删改,致使取证遭遇技术难题,办案检察官几次提审,却始终由于涉案硬盘中的数据难以读取,案件迟迟达不到提起公诉的证据标准。
最终,该院技术科主动请缨,通过数据恢复取证和数据分析,将关键电子数据全部恢复,包括犯罪嫌疑人通过非法控制55台计算机向目标发动攻击的相关数据(见上图),如被木马程序控制的“傀儡机”IP地址名单、相关“DDOS攻击”程序以及犯罪嫌疑人建立黑客网站、黑客培训教程等内容。在确凿的电子证据面前,向某对罪行供认不讳,最终受到了法律的制裁。
事实上,类似案件还有很多,尤其是在最近的十年,电子证据重要性更是越来越凸显,正如该检察院技术科干警陆渊所分析:“随着信息时代的到来,各类电子产品越来越多地应用到人们的工作、生活中。 服务器数据恢复这些电子产品所存的大量数据信息很少受客观因素影响,不易损毁,有着极强的证明力,是‘不会说谎的证据’。”
也正是基于这样的社会形势,检察机关越来越重视电子证据,大力推广“数据恢复取证”这一新型检察技术,不仅全面引入HD Doctor、Data Compass、Data Copy King、SDII-9000等数据恢复取证专业设备,还积极参加“效率源”等数据恢复设备研发企业组织的各种规范、系统的专业培训,以期打造出一支又一支技术过硬的数据恢复取证队伍,为新形势下的社会稳定和国家安定团结整装待发。 http://www.iqwork.com/
2012年10月22日星期一
根据硬盘参数来判别毛病,硬盘修复之低级格式化
根据硬盘参数来判别毛病,硬盘修复之低级格式化正常情况下,硬盘在接通电源之后,都要进行“初始化”过程(也可以称为“自检”)。这时,会发出一阵子自检声音,这些声音长短和规律视不同牌子硬盘而各不 一样,但同型号的正常硬盘的自检声音是一样的。
有经验的人都知道,这些自检声音是由于硬盘内部的磁头寻道及归位动作而发出的。数据恢复为什么硬盘刚通电就需要执行这么多动作呢?简单地说,是硬盘在读取的记录在 盘片中的初始化参数。
通常了解硬盘的人都晓得,硬盘有一系列基本参数,包括:牌子、类型、容量、柱面数、磁头数、每磁道扇区数、系列号、缓存巨细、转速、 S.M.A.R.T值等。其间一部分参数就写在硬盘的标签上,有些则要经过软件才干测出来。可是,高朋通知你,这些参数仅仅是初始化参数的一小部分,盘片 中记载的初始化参数有数十乃至数百个!硬盘的CPU在通电后主动寻觅BIOS中的发动顺序,然后依据发动顺序的需求,顺次在盘片中指定的方位读取相应的参 数。若是某一项重要参数找不到或犯错,发动顺序无法完结发动进程,硬盘就进入保护模式。在保护模式下,用户能够看不到硬盘的类型与容量等参数,或许无法进 入任何读写操作。迩来有些系列的硬盘就是这个缘由而呈现类似的通病,如:FUJITSU MPG系列自检声正常却不认盘,MAXTOR美钻系列认不出正确类型及自检后停转,WD BB EB系列能正常认盘却回绝读写操作等。
不一样牌子不一样类型的硬盘有不一样的初始化参数集,以较了解的Fujitsu硬盘为例,高朋简要地解说其间一部分参数,以便读者了解内部初始化参数的原理通过专用的程序控制硬盘的CPU,根据BIOS程序的需要,依次读出初始化参数集,按模块分别存放为69个不同的文件,文件名也与BIOS程序中调用到的参数名称一致。其中部分参数模块的简要说明如下:
DM硬盘内部的基本管理程序
- PL永久缺陷表
- TS缺陷磁道表
- HS实际物理磁头数及排列顺序
- SM最高级加密状态及密码
- SU用户级加密状态及密码
- CI 硬件信息,包括所用的CPU型号,BIOS版本,磁头种类,磁盘碟片种类等
- FI生产厂家信息
- WE写错误记录表
- RE读错误记录表
- SI容量设定,指定允许用户使用的最大容量(MAX LBA),转换为外部逻辑磁头数(一般为16)和逻辑每磁道扇区数(一般为63) - ZP区域分配信息,将每面盘片划分为十五个区域,各个区域上分配的不同的扇区数量,从而计算出最大的物理容量。
这些参数一般存放在普通用户访问不到的位置, 硬盘恢复有些是在物理零磁道以前,可以认为是在负磁道的位置。可能每个参数占用一个模块,也可能几个参数占用同一 模块。模块大小不一样,有些模块才一个字节,有些则达到64K字节。这些参数并不是连续存放的,而是各有各的固定位置。
读出内部初始化参数表后,就可以分析出每个模块是否处于正常状态。当然,也可以修正这些参数,重新写回盘片中指定的位置。这样,就可以把一些因为参数错乱而无法正常使用的硬盘“修复”回正常状态。
如果读者有兴趣进一步研究,不妨将硬盘电路板上的ROM芯片取下,用写码机读出其中的BIOS程序,可以在程序段中找到以上所列出的参数名称。
硬盘修复之低级格式化
熟悉硬盘的人都知道,在必要的时候需要对硬盘做“低级格式化”(下面简称“低格”)。进行低格所使用的工具也有多种:有用厂家专用设备做的低格,有用 厂家提供的软件工具做的低格,有用DM工具做的低格,有用主板BIOS中的工具做的低格,有用Debug工具做的低格,还有用专业软件做低格……
不同的工具所做的低格对硬盘的作用各不一样。有些人觉得低格可以修复一部分硬盘,有些人则觉得低格十分危险,会严重损害硬盘。高朋用过多种低格工具,认为低格是修复硬盘的一个有效手段。下面总结一些关于低格的看法,与广大网友交流。
大家关心的一个问题:“低格过程到底对硬盘进行了什么操作?”实践表明低格过程有可能进行下列几项工作,不同的硬盘的低格过程相差很大,不同的软件的低格过程也相差很大
A. 对扇区清零和重写校验值
低格过程中将每个扇区的所有字节全部置零,并将每个扇区的校验值也写回初始值,这样可以将部分缺陷纠正过来。譬如,由于扇区数据与该扇区的校验值不对 应,通常就被报告为校验错误(ECC
Error)。如果并非由于磁介质损伤,清零后就很有可能将扇区数据与该扇区的校验值重新对应起来,而达到“修复”该扇区的功效。这是每种低格工具和每种 硬盘的低格过程最基本的操作内容,同时这也是为什么通过低格能“修复大量坏道”的基本原因。另外,DM中的Zero Fill(清零)操作与IBM DFT工具中的Erase操作,也有同样的功效。
B. 对扇区的标识信息重写
在多年以前使用的老式硬盘(如采用ST506接口的硬盘),需要在低格过程中重写每个扇区的标识 硬盘修复(ID)信息和某些保留磁道的其他一些信息,当时低格 工具都必须有这样的功能。但现在的硬盘结构已经大不一样,如果再使用多年前的工具来做低格会导致许多令人痛苦的意外。难怪经常有人在痛苦地高呼:“危险! 切勿低格硬盘!我的硬盘已经毁于低格!”
C. 对扇区进行读写检查,并尝试替换缺陷扇区
有些低格工具会对每个扇区进行读写检查,如果发现在读过程或写过程出错,就认为该扇区为缺陷扇区。然后,调用通用的自动替换扇区(Automatic reallocation sector)指令,尝试对该扇区进行替换,也可以达到“修复”的功效。
D. 对所有物理扇区进行重新编号 编号的依据是P-list中的记录及区段分配参数(该参数决定各个磁道划分的扇区数),经过编号后,每个扇区都分配到一个特定的标识信息(ID)。编 号时,会自动跳过P-list中所记录的缺陷扇区,出自洛阳seo使用户无法访问到那些缺陷扇区(用户不必在乎永远用不到的地方的好坏)。如果这个过程半途而废,有可能 导致部分甚至所有扇区被报告为标识不对(Sector ID not found, IDNF)。要特别注意的是,这个编号过程是根据真正的物理参数来进行的,如果某些低格工具按逻辑参数(以 16heads 63sector为最典型)来进行低格,是不可能进行这样的操作。 E. 写磁道伺服信息,对所有磁道进行重新编号http://www.iqwork.com/
有经验的人都知道,这些自检声音是由于硬盘内部的磁头寻道及归位动作而发出的。数据恢复为什么硬盘刚通电就需要执行这么多动作呢?简单地说,是硬盘在读取的记录在 盘片中的初始化参数。
通常了解硬盘的人都晓得,硬盘有一系列基本参数,包括:牌子、类型、容量、柱面数、磁头数、每磁道扇区数、系列号、缓存巨细、转速、 S.M.A.R.T值等。其间一部分参数就写在硬盘的标签上,有些则要经过软件才干测出来。可是,高朋通知你,这些参数仅仅是初始化参数的一小部分,盘片 中记载的初始化参数有数十乃至数百个!硬盘的CPU在通电后主动寻觅BIOS中的发动顺序,然后依据发动顺序的需求,顺次在盘片中指定的方位读取相应的参 数。若是某一项重要参数找不到或犯错,发动顺序无法完结发动进程,硬盘就进入保护模式。在保护模式下,用户能够看不到硬盘的类型与容量等参数,或许无法进 入任何读写操作。迩来有些系列的硬盘就是这个缘由而呈现类似的通病,如:FUJITSU MPG系列自检声正常却不认盘,MAXTOR美钻系列认不出正确类型及自检后停转,WD BB EB系列能正常认盘却回绝读写操作等。
不一样牌子不一样类型的硬盘有不一样的初始化参数集,以较了解的Fujitsu硬盘为例,高朋简要地解说其间一部分参数,以便读者了解内部初始化参数的原理通过专用的程序控制硬盘的CPU,根据BIOS程序的需要,依次读出初始化参数集,按模块分别存放为69个不同的文件,文件名也与BIOS程序中调用到的参数名称一致。其中部分参数模块的简要说明如下:
DM硬盘内部的基本管理程序
- PL永久缺陷表
- TS缺陷磁道表
- HS实际物理磁头数及排列顺序
- SM最高级加密状态及密码
- SU用户级加密状态及密码
- CI 硬件信息,包括所用的CPU型号,BIOS版本,磁头种类,磁盘碟片种类等
- FI生产厂家信息
- WE写错误记录表
- RE读错误记录表
- SI容量设定,指定允许用户使用的最大容量(MAX LBA),转换为外部逻辑磁头数(一般为16)和逻辑每磁道扇区数(一般为63) - ZP区域分配信息,将每面盘片划分为十五个区域,各个区域上分配的不同的扇区数量,从而计算出最大的物理容量。
这些参数一般存放在普通用户访问不到的位置, 硬盘恢复有些是在物理零磁道以前,可以认为是在负磁道的位置。可能每个参数占用一个模块,也可能几个参数占用同一 模块。模块大小不一样,有些模块才一个字节,有些则达到64K字节。这些参数并不是连续存放的,而是各有各的固定位置。
读出内部初始化参数表后,就可以分析出每个模块是否处于正常状态。当然,也可以修正这些参数,重新写回盘片中指定的位置。这样,就可以把一些因为参数错乱而无法正常使用的硬盘“修复”回正常状态。
如果读者有兴趣进一步研究,不妨将硬盘电路板上的ROM芯片取下,用写码机读出其中的BIOS程序,可以在程序段中找到以上所列出的参数名称。
硬盘修复之低级格式化
熟悉硬盘的人都知道,在必要的时候需要对硬盘做“低级格式化”(下面简称“低格”)。进行低格所使用的工具也有多种:有用厂家专用设备做的低格,有用 厂家提供的软件工具做的低格,有用DM工具做的低格,有用主板BIOS中的工具做的低格,有用Debug工具做的低格,还有用专业软件做低格……
不同的工具所做的低格对硬盘的作用各不一样。有些人觉得低格可以修复一部分硬盘,有些人则觉得低格十分危险,会严重损害硬盘。高朋用过多种低格工具,认为低格是修复硬盘的一个有效手段。下面总结一些关于低格的看法,与广大网友交流。
大家关心的一个问题:“低格过程到底对硬盘进行了什么操作?”实践表明低格过程有可能进行下列几项工作,不同的硬盘的低格过程相差很大,不同的软件的低格过程也相差很大
A. 对扇区清零和重写校验值
低格过程中将每个扇区的所有字节全部置零,并将每个扇区的校验值也写回初始值,这样可以将部分缺陷纠正过来。譬如,由于扇区数据与该扇区的校验值不对 应,通常就被报告为校验错误(ECC
Error)。如果并非由于磁介质损伤,清零后就很有可能将扇区数据与该扇区的校验值重新对应起来,而达到“修复”该扇区的功效。这是每种低格工具和每种 硬盘的低格过程最基本的操作内容,同时这也是为什么通过低格能“修复大量坏道”的基本原因。另外,DM中的Zero Fill(清零)操作与IBM DFT工具中的Erase操作,也有同样的功效。
B. 对扇区的标识信息重写
在多年以前使用的老式硬盘(如采用ST506接口的硬盘),需要在低格过程中重写每个扇区的标识 硬盘修复(ID)信息和某些保留磁道的其他一些信息,当时低格 工具都必须有这样的功能。但现在的硬盘结构已经大不一样,如果再使用多年前的工具来做低格会导致许多令人痛苦的意外。难怪经常有人在痛苦地高呼:“危险! 切勿低格硬盘!我的硬盘已经毁于低格!”
C. 对扇区进行读写检查,并尝试替换缺陷扇区
有些低格工具会对每个扇区进行读写检查,如果发现在读过程或写过程出错,就认为该扇区为缺陷扇区。然后,调用通用的自动替换扇区(Automatic reallocation sector)指令,尝试对该扇区进行替换,也可以达到“修复”的功效。
D. 对所有物理扇区进行重新编号 编号的依据是P-list中的记录及区段分配参数(该参数决定各个磁道划分的扇区数),经过编号后,每个扇区都分配到一个特定的标识信息(ID)。编 号时,会自动跳过P-list中所记录的缺陷扇区,出自洛阳seo使用户无法访问到那些缺陷扇区(用户不必在乎永远用不到的地方的好坏)。如果这个过程半途而废,有可能 导致部分甚至所有扇区被报告为标识不对(Sector ID not found, IDNF)。要特别注意的是,这个编号过程是根据真正的物理参数来进行的,如果某些低格工具按逻辑参数(以 16heads 63sector为最典型)来进行低格,是不可能进行这样的操作。 E. 写磁道伺服信息,对所有磁道进行重新编号http://www.iqwork.com/
2012年10月19日星期五
硬件故障数据恢复--www.iqwork.com
硬件故障占所有数据意外故障一半以上,常有雷击、高压、高温等造成的电路故障,高温、振动碰撞等造成的机械故障,高温、振动碰撞、存储介质老化造成的物理坏磁道扇区故障,当然还有意外丢失损坏的固件BIOS信息等。
硬件故障的数据恢复当然是先诊断,对症下药,先修复相应的硬件故障,然后根据修复其他软故障,最终将数据成功恢复。
电路故障需要我们有电路基础,需要更加深入了解硬盘详细工作原理流程。机械磁头故障需要100级以上的工作台或工作间来进行诊断修复工作。另外还需要一些软硬件维修工具配合来修复固件区等故障类型。
磁盘阵列RAID数据恢复
磁盘阵列的存储原理这里不作讲解,可参看本站阵列知识文章,其恢复过程也是先排除硬件及软故障,然后分析阵列顺序、块大小等参数,用阵列卡或阵列软件重组,重组后便可按常规方法恢复数据。编辑本段数据恢复方法硬盘数据恢复
硬盘软故障:系统故障:系统不能正常启动、密码或权限丢失、分区表丢失、BOOT区丢失、MBR丢失;
文件丢失:误操作、误格式化、误克隆、误删除、误分区、病毒破坏、黑客攻击、PQ操作失败、RAID磁盘阵列失效等;
文件损坏:损坏的Office系列Word、Excel、Access、PowerPoint文件Microsoft
SQL数据库复、Oracle数据库文件修复、Foxbase/foxpro的dbf数据库文件修复;损坏的邮件Outlook Express dbx文件,Outlook
pst文件的修复;损坏的MPEG、asf、RM等媒体文件的修复。
硬盘物理故障
CMOS不认盘; 常有一种“咔嚓咔嚓”的磁头撞击声; 电机不转,通电后无任何声音; 硬盘恢复磁头错位造成读写数据错误; 启动困难、经常死机、格式化失败、读写困难; 自检正常,但“磁盘管理”中无法找到该硬盘; 电路板有明显的烧痕等。 磁盘物理故障分类:
盘体故障:磁头烧坏、磁头老化、磁头芯片损坏、电机损坏、磁头偏移、零磁道坏、大量坏扇、盘片划伤、磁组变形; 电路板故障:电路板损坏、芯片烧坏、断针断线。 固件信息丢失、固件损坏等。
U盘数据恢复
U盘,优盘,XD卡,SD卡,CF卡,MEMORY
STICK,,SM卡,MMC卡,MP3,MP4,记忆棒,数码相机,DV,微硬盘,光盘,软盘等各类存储设备。硬盘,移动盘,闪盘,SD卡、CF卡等数据介质损坏或出现电路板故障、磁头偏移、盘片划伤等情况 下,采用开体更换,加载,定位等方法进行数据修复。
数码相机内存卡,如,SD卡,CF卡,记忆棒等,U盘,甚至最新的SSD固态硬盘。由于没有盘体,没有盘片,存储的数据是FLASH芯片。如果出现硬件故障,目前只有极少数数据恢复公司可以恢复此类介质, 硬盘修复这是由于一般的数据恢复公司做此类介质时,需要匹配对应的主控芯片,而主控芯片在买来备件后需要拆开后才能知道,备件一拆,立马毁了,如果主控芯片不能配对,数据仍然无法恢复。即使碰巧配上主控型号,也不代表一定可以读出数据,因此恢复的成本和代价非常之高。一般的数据恢复公司碰上此类介质,成功率非常低,基本上放弃,这种恢复技术和原理是目前大多数数据恢复的做法。但是,对于恢复FLASH类的介质,已经新出一种数据恢复技术,可以不需要配对主控芯片,通过一种特殊的硬件设备,直接读取FLASH芯片里的代码,然后配上特殊的算法和软件,通过人工组合,直接重组出FLASH数据。这种恢复方法和原理,成功率几乎接近100%。但是受制于此类设备的昂贵,同时对数据恢复技术要求很高,工程师不但要精通硬件,还需要软件,更要精通文件系统,因此目前全国只有极个别的数据恢复公司可以做到成功率接近100%,有些公司花了很高代价采购此设备后,由于工程师技术所限,不会使用,同样无法恢复。虽然从技术上解决了FLASH恢复的难题,但是对客户而言,此类恢复的成本非常之高,比硬盘的硬件故障恢复价格要高。2G左右的恢复费接近千元,32G,64G容量的恢复费用基本上在3000-5000。http://www.iqwork.com/
硬件故障的数据恢复当然是先诊断,对症下药,先修复相应的硬件故障,然后根据修复其他软故障,最终将数据成功恢复。
电路故障需要我们有电路基础,需要更加深入了解硬盘详细工作原理流程。机械磁头故障需要100级以上的工作台或工作间来进行诊断修复工作。另外还需要一些软硬件维修工具配合来修复固件区等故障类型。
磁盘阵列RAID数据恢复
磁盘阵列的存储原理这里不作讲解,可参看本站阵列知识文章,其恢复过程也是先排除硬件及软故障,然后分析阵列顺序、块大小等参数,用阵列卡或阵列软件重组,重组后便可按常规方法恢复数据。编辑本段数据恢复方法硬盘数据恢复
硬盘软故障:系统故障:系统不能正常启动、密码或权限丢失、分区表丢失、BOOT区丢失、MBR丢失;
文件丢失:误操作、误格式化、误克隆、误删除、误分区、病毒破坏、黑客攻击、PQ操作失败、RAID磁盘阵列失效等;
文件损坏:损坏的Office系列Word、Excel、Access、PowerPoint文件Microsoft
SQL数据库复、Oracle数据库文件修复、Foxbase/foxpro的dbf数据库文件修复;损坏的邮件Outlook Express dbx文件,Outlook
pst文件的修复;损坏的MPEG、asf、RM等媒体文件的修复。
硬盘物理故障
CMOS不认盘; 常有一种“咔嚓咔嚓”的磁头撞击声; 电机不转,通电后无任何声音; 硬盘恢复磁头错位造成读写数据错误; 启动困难、经常死机、格式化失败、读写困难; 自检正常,但“磁盘管理”中无法找到该硬盘; 电路板有明显的烧痕等。 磁盘物理故障分类:
盘体故障:磁头烧坏、磁头老化、磁头芯片损坏、电机损坏、磁头偏移、零磁道坏、大量坏扇、盘片划伤、磁组变形; 电路板故障:电路板损坏、芯片烧坏、断针断线。 固件信息丢失、固件损坏等。
U盘数据恢复
U盘,优盘,XD卡,SD卡,CF卡,MEMORY
STICK,,SM卡,MMC卡,MP3,MP4,记忆棒,数码相机,DV,微硬盘,光盘,软盘等各类存储设备。硬盘,移动盘,闪盘,SD卡、CF卡等数据介质损坏或出现电路板故障、磁头偏移、盘片划伤等情况 下,采用开体更换,加载,定位等方法进行数据修复。
数码相机内存卡,如,SD卡,CF卡,记忆棒等,U盘,甚至最新的SSD固态硬盘。由于没有盘体,没有盘片,存储的数据是FLASH芯片。如果出现硬件故障,目前只有极少数数据恢复公司可以恢复此类介质, 硬盘修复这是由于一般的数据恢复公司做此类介质时,需要匹配对应的主控芯片,而主控芯片在买来备件后需要拆开后才能知道,备件一拆,立马毁了,如果主控芯片不能配对,数据仍然无法恢复。即使碰巧配上主控型号,也不代表一定可以读出数据,因此恢复的成本和代价非常之高。一般的数据恢复公司碰上此类介质,成功率非常低,基本上放弃,这种恢复技术和原理是目前大多数数据恢复的做法。但是,对于恢复FLASH类的介质,已经新出一种数据恢复技术,可以不需要配对主控芯片,通过一种特殊的硬件设备,直接读取FLASH芯片里的代码,然后配上特殊的算法和软件,通过人工组合,直接重组出FLASH数据。这种恢复方法和原理,成功率几乎接近100%。但是受制于此类设备的昂贵,同时对数据恢复技术要求很高,工程师不但要精通硬件,还需要软件,更要精通文件系统,因此目前全国只有极个别的数据恢复公司可以做到成功率接近100%,有些公司花了很高代价采购此设备后,由于工程师技术所限,不会使用,同样无法恢复。虽然从技术上解决了FLASH恢复的难题,但是对客户而言,此类恢复的成本非常之高,比硬盘的硬件故障恢复价格要高。2G左右的恢复费接近千元,32G,64G容量的恢复费用基本上在3000-5000。http://www.iqwork.com/
订阅:
评论 (Atom)