數據恢復,作為一個數據再現的過程,一定要解決兩個問題,第一是從哪里恢復的問題,第二是怎么恢復的問題。解決了這兩個問題,我們事實上就把握了數據恢復的全部思想脈絡。而這一部分就是從哪里恢復的問題。

①、 有效而及時的備份中是數據恢復最可靠的來源,在許多人倡導備份到秒的今天,恐怕不會有人懷疑這點。而有些備份機制則是系統內建的,比如兩份FAT表。

②、數據的實際有效性的判定是關鍵,對我們來說,硬盤無法自舉、文件找不到、文件打不開等現象,其實并不與數據丟失畫等號。因為此時往往數據只是從操作系統的角度是一種邏輯丟失,而從物理扇區意義上,它仍然存在或部分存在。最明顯的就是文件刪除的例子,事實上,這只是把文件首字節,改為0E而已。而此時文件體依然存在。

③、數據損壞過程的可逆性分析:對數據的改變無非兩種,取代和變換,前者是不可逆的,而后者則是可逆的。我們以殺毒為例,對于大多文件性病毒來說,那些以附加而非代換方式感染的文件型病毒,理想的殺毒過程就是感染的逆過程。這種分析也常見與重要信息被隱藏搬移或者被加密的情況,但分析將比較復雜。

④、數據本身是否是標準信息:有些信息實際是通用或局部通用的,你無須考慮如何從本機搶救。只要相同或相近的系統版本就可以了,比如BOOT區、隱含扇區、WINDOWS的DLL文件等等。典型的例子如分區表的代碼區,這是一段標準代碼,事實上,它就放在你的FDISK程序里面,你可以用DEBUG把他提取出來。

⑤、數據本身是否可以由其他信息統計再生:有些信息盡管丟失了,也沒有備份。但它實際可以從其他數據中間接求得。最典型的就是主分區表中的分區信息,即使你把他清零也不必害怕,因為你可以從你幾個分區中計算再生。

⑥、破壞的完成程度:事實上,FDISK、FORMAT都不會徹底破壞數據,一般只有低格和扇區覆蓋操作才會徹底破壞數據。但有時,破壞過程或者誤操作過程會因人工終止、死機等原因不能完成。最明顯的就是CIH病毒的例子,由于CIH是以1024字節為單位覆蓋扇區,這當然是不可逆過程,于是我們最初都認為,破壞是很難恢復的,除非人工終止。事實上,當病毒覆蓋某些扇區時會與9X系統發生沖突,從而造成死機,使數據得到了保護