数据恢复过程中应注意的问题
数据恢复过程中最怕被误操作而造成二次破坏,造成恢复难度陡增。下面我们列出普通用户的错误操作,以下这些操作在恢复过程中都是禁止做的。数据恢复过程中,禁止往源盘里面写入新数据的。
1. 做Chkdsk磁盘检查。一般文件系统出现错误后,系统开机进入启动画面时会自动提示是否需要做磁盘检查,默认10秒后开始进行Chkdsk磁盘检查操作,这个操作有时候可以修复一些小损坏的目录文件,但是很多时候会破坏了数据。因为复杂的目录结构它是无法修复的。修复失败后,在根目录下会形成FOUND.000这样的目录,里面有大量的以.CHK为扩展名的文件。有时候这些文件改个名字就可以恢复,有时候则完蛋了,特别是FAT32分区或者是NTFS比较大的数据库文件等。
2.再次格式化分区。用户第一次格式化分区后分区类型改变,造成数据丢失,比如原来是FAT32分区格成NTFS分区,或者原来是NTFS的分区格式化成FAT32分区。数据丢失后,用一般的软件不能扫描出原来的目录格式,就再次把分区格式化会原来的类型,再来扫描数据。我们指出的是,第2次格式化会原来的分区类型就是严重的错误操作,很可能把本来可以恢复的一些大的文件给破坏了,造成永久无法恢复。
3.数据恢复到源盘上。很多普通客户删除文件后,用一般的软件恢复出来的文件直接还原到原来的目录下,这样破坏原来数据的可能性非常大,所以严格禁止直接还原到源盘。
4.格式化分区。很多时候分区的目录损坏,系统无法直接打开分区,提示是否格式化,这时候一般的软件都不能直接读取这个分区,用户就先把分区给格式化,然后再用软件来扫描。我们指出的是,格式化这个分区就会破坏文件的存储簇链信息,造成大的文件无法恢复。无论FAT32或者NTFS分区,大一些的文件都会形成很多的簇链信息的,格式化分区的时候,这些簇链信息就永久丢失了,文件再也无法恢复。
5.重建分区操作。分区表破坏或者分区被删除后,若直接使用分区表重建工具直接建立或者格式化分区 ,很容易破坏掉原先分区的文件分配表(FAT)或者文件记录表(MFT)等重要区域,造成恢复难度大大增加。我们在恢复的实践过程中碰到过多次客户在分区表破坏后,先自行尝试过几种分区工具都无法恢复数据后才想到找专业人员帮忙,结果我们发现在多种分区工具作用后,破坏了一些重要的目录文件,造成文件目录恢复不完整,有些大的文件无法恢复。而按客户描述的最初分区丢失的情况,这些文件一般都可以完全恢复了,真是很可惜啊。专业的数据恢复人员在重建分区表之前都会先定位分区的具体位置(逻辑扇区号),然后用扇区查看工具先检查分区的几个重要参数比如DBR/FAT/FDT/MFT等,确认后才修改分区表的,而 且修改完分区表后在启动系统过程中会禁止系统做Chkdsk破坏分区目录,保证数据不会被破坏到。
6.阵列丢失后重做阵列。我们在挽救服务器阵列的实践中遇到过有些网管在服务器崩溃后强行让阵列上线,即使掉线了的硬盘也强制上线,或者直接做rebuilding。这些操作都是非常危险的,任何写入盘的操作都有可能破坏数据。
|