如何检索意外删除的数据以及如何完全删除硬盘上的数据. 原理

本文将介绍如何检索意外删除的数据以及如何完全删除硬盘驱动器上的数据

如果仅依靠Windows附带的工具，将无法恢复从回收站中清空的已删除文件. 但是实际上还有其他方法. 即使数据已被覆盖，硬盘已重新格式化，引导扇区已损坏或磁盘控制器发生故障，只要您拥有专用的硬件和软件，就可以恢复任何文件.

这是一把双刃剑. 如果要还原重要文件，这无疑是个好消息，但是如果要防止其他人窃取您的私人数据，这将是个坏消息. 但是我们刚才讨论的是理论上的可能性，而实际的解决方案将取决于您愿意花费多少时间和金钱.

为了了解如何还原已删除的数据，必须首先了解它们的存储方式. 硬盘由一组磁盘组成. 数据存储在光盘的同心圆上. 这些同心圆称为“轨迹”. 硬盘的读写头在磁盘表面上移动以访问硬盘的不同部分. 由于可以直接访问硬盘上任何地方的数据，因此不必按顺序存储文件中的每个数据，因此可以将它们存储在任何地方.

通常来说，数据存储在硬盘上的群集中. 群集的大小与操作系统和逻辑分区的大小有关. 如果硬盘的群集大小为4K，则即使1K文件也将占用4K的空间. 这些大文件将存储在硬盘上成百上千个群集中. 操作系统中的文件系统组件将管理和跟踪这些分离的群集，以确保对文件的正确访问.

Microsoft Windows使用三个文件系统. 第一个是FAT（文件分配表），早在DOS时代就已被广泛使用. 从Windows 95时始就采用FAT32，而Windows NT 4.0引入了NTFS. 这三个文件系统的基本组织策略是一致的. 每个文件夹中存储几个文件，每个文件都包含一个指向文件起始群集的指针. 起始群集的FAT字段包含一个指向下一个群集的指针，依此类推，直到最后一个带有文件结束标记的群集.

数据还没有消失

如果使用常规Windows操作删除文件，则实际上不会删除该信息. 首先，如果通过Windows资源管理器删除文件（未释放硬盘空间），则文件将被传输到“回收站”. 即使清空“回收站”（可用硬盘空间），该文件也只会被忽略. 文件名的第一个字母将被更改为特殊字符，并且该文件最初占用的群集将被标记为可用群集，但是原始数据不会立即被删除. 在下一次保存文件之前，如果使用了这些群集，则旧数据将被新数据覆盖. 在此之前，数据将保持不变. 如果使用工具绕过操作系统并直接读取硬盘，则可以检索数据. 在对数据恢复工具的最新评估中，我们检查了四个这样的软件（）. 我们将Kroll Ontrack（）的EasyRecovery Lite 6.0授予了编辑选择奖.

如果要恢复意外删除的重要文件，则必须注意不要覆盖它. 您应该立即停止使用计算机，并且不要在硬盘上保存任何数据，也不要尝试安装恢复工具，因为任何写入硬盘的操作都可能会覆盖您要恢复的文件所在的群集. 如果以前尚未安装恢复程序，请从软盘或CD运行它.

如果数据被覆盖

如果原始文件的数据被覆盖，您将无法通过软件访问它. 但这并不意味着完全不能恢复文件数据. 有两种方法可以读取硬盘上的覆盖数据.

当硬盘读写头在硬盘上写入一点数据时，它使用的信号强度仅用于写入一位数据，而不会影响相邻数据位. 由于写入信号不是很强，因此可以根据写入的数据位的绝对信号强度来判断该数据位先前保存的数据类型. 换句话说，如果二进制数据1被二进制数据1覆盖，则其信号强度将比二进制数据1弱. 使用专用硬件可以检测到准确的信号强度. 通过从覆盖区域读取的信号中减去覆盖数据的标准信号强度，可以获得原始数据的副本. 更令人惊讶的是，此恢复过程可以重复7次！因此，如果要防止其他人使用此方法窃取数据，则必须覆盖该区域至少7次，并且每次都应使用不同的随机数据.

第二种数据恢复技术利用了硬盘读/写头的另一功能: 每次执行写操作时，读/写头的位置不一定非常精确. 这使专家可以检测轨道边缘的原始数据（也称为阴影数据）. 只有重复覆盖数据，才能消除这些磁道边缘的阴影数据.

数据擦除

很高兴知道您可以还原重要数据. 但是，如果您希望这些数据永远消失，恐怕情况会有所不同. 美国国防部在“国家工业安全计划操作手册”中对硬盘数据的删除进行了特殊说明. 此安全标准称为DOD 5220.22-M（）. 手册建议覆盖要清除的数据区域三次，第一次使用8位字符，第二次使用字符的互补字符（即交换二进制位0和1），最后使用随机字符封面.

此方法可以实现一定程度的安全性，但是对于极其重要的数据，其安全性仍然不足. 存储极其重要数据的硬盘驱动器应永久消磁或完全销毁. 对于大多数人而言，多重覆盖方法足够安全，许多工具都对此方法提供了支持.

隐藏数据

删除和覆盖文件并不能完全擦除硬盘驱动器上的所有敏感数据. 您必须清除每个扇区（用于形成群集的512字节单元），因为数据可能隐藏在您未曾想到的地方. 随机数据通常存储在大文件的最后一个群集中. 由于文件的最后部分在写入硬盘时并不一定会填满整个扇区，因此系统会从内存中随机查找一些数据来填充它. 这些数据称为RAM片段.

很难预测这些RAM片段中的数据类型. 它可能是自上次启动计算机以来查看，创建或修改的任何信息. 许多安全删除软件无法正确删除这些RAM片段，并且这些片段可能包含您的私人信息.

在NTFS系统（Windows NT 4.0、2000和XP使用的文件系统）中，一个文件包含多个数据流. 数据流之一包含文件访问许可信息，另一个包含实际文件数据. 此外，NTFS系统还支持可以存储任何信息的其他数据流（备用数据流，ADS）.

ADS最常见的用途是保存图像文件的快照. 由于许多安全的删除程序无法删除ADS，因此在删除包含图像文件的数据流后，仍可以访问这些图片快照. 如果您想知道如何避免保存图像快照，可以参考Microsoft知识库（）中的文章319300.

潜在危险

一些罪犯已经开始使用ADS隐藏硬盘上的某些数据或病毒. 此外，某些数据可能隐藏在硬盘的其他区域中. 通常，在工厂进行低级格式化时，硬盘的扇区已被分割. 如果一个扇区被标记为坏扇区，则硬盘控制器将不会写入这些区域. 由扇区组成的群集是在高级格式化期间定义的. 如果在高级格式化期间发现坏扇区，则整个群集将被标记为坏扇区. 由于不是这个不良集群中的所有部门都可读可写，因此为罪犯提供了机会.

在较旧的硬盘驱动器中，数据也可能隐藏在扇区间隙中. 旧硬盘的每个磁道包含相同数量的扇区，因此外磁道的扇区明显大于内磁道的扇区. 因此，外轨道的扇区之间的较大间隙可用于存储隐藏数据. 但是，现代硬盘使用区域访问技术，每个磁道中的扇区数不相等，从而消除了这部分浪费的硬盘空间.

如果要访问硬盘驱动器的这些隐藏区域，则需要使用可以绕过操作系统并直接访问硬盘驱动器的工具. 软件可能非常昂贵. Guidance Software的EnCase Forensic Edition（）售价最高为$ 2,495. Briggs Softworks的Directory Snoop（）相当便宜，仅29美元，它可以提供低级磁盘访问功能，但不支持NTFS文件系统.

如何确保安全

您需要记住的关键是，恢复数据要比完全删除数据容易得多. 如果您只是不小心删除了一个重要文件，则不必担心太多，可以通过多种方法来还原它. 但是，如果您要转移使用过的计算机或硬盘驱动器，则最好使用安全的删除工具来覆盖硬盘驱动器的每个扇区. 重新格式化硬盘并不能保证每个扇区都被覆盖，并且仍然可以访问私人信息.

附加一些其他方法:

1. 对于单个小文件，您可以使用小工具，例如文件粉碎机

2. 我建议使用一种可以完全删除硬盘数据的软件: Darik's Boot和Nuke 1.0.7. 该软件有两个版本. 一种是在软盘或USB磁盘下使用. 下载并运行该软件，单击“安装”，将程序自动安装到软盘或USB闪存驱动器中（注意: 如果软盘或USB闪存驱动器中有数据，请备份该数据. 在安装程序后删除. 安装后，可以将数据复制到软盘或U盘），使用时，将BIOS中的首次启动设置为软盘或U盘，可以进入完全删除硬盘数据的界面第二种是在CD或DVD盘下使用，该软件是iso映像文件，下载后，需要刻录该盘. 使用它时，将第一个引导设置为bios下的CD-ROM驱动器. 用软盘，USB磁盘或CD引导后，在“ boot: ”后输入“ autonuke”，然后按Enter键开始删除整个数据. 当您看到“ DBAN成功”时，数据删除已完成. 通常，一个40G，7200 rpm的台式机硬盘需要1小时50分钟，而一个60G笔记本电脑的硬盘则需要2小时45分钟. 操作完成后，整个硬盘就像新购买的硬盘一样，没有分区，需要重新分区，并且当然必须安装操作系统. （警告: 请备份硬盘中所需的数据，否则执行自动核对后，硬盘中的所有数据将无法恢复）

DBAN软盘或U盘版本的官方下载地址文件大小: 1.64M

DBAN CD-ROM版本的官方下载地址文件大小: 2.05M

3. 诺顿的擦拭信息

4. Disk Redactor V1.7可以清除所选硬盘驱动器上的可用空间. 该软件的中文版免费版引入了Disk Redactor，它使您可以清除所选硬盘驱动器上的可用空间，因此可以覆盖以前删除的任何文件，从而使恢复变得困难或不可能. 该软件不会删除任何现有文件，只会删除已删除的文件（但可以由数据恢复程序恢复）. Disk Redactor将保留驱动器的最后16K. 如果要清理系统驱动器（通常是C驱动器），则应选择此选项. 该软件支持单覆盖或双覆盖功能以增强安全性

5. 完全擦除数据的另一种不可逆的方法是低级格式化. 但是，低格式将影响硬盘的寿命. 除非有坏扇区，否则您将在绝望时尝试使用低格式. 但是，有人说有时可以稍后再恢复低格式.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/dianqi/article-302825-1.html