磁盘数据恢复

2024年6月5日发(作者：)

数据恢复经验谈

杭州正隆数码科技有限公司 数据恢复服务部 戴坚锋

daijf@

随着信息技术的发展，计算机已经应用到了越来越多的行业，大量重要的数据在硬盘、

光盘、U盘、磁带等存储介质中保存，假如有一天，保存数据的硬盘突然损坏，或者突然读

不出任何有用的信息，造成的损失就大了。数据恢复这个行业就是对这些信息进行有效的恢

复的行业。自从笔者所在的公司开展数据恢复服务以来，已经恢复了大量客户重要的数据，

笔者也意识到很多读者并不认识数据恢复这项工作，从而错过了数据恢复的重要的时机，下

面笔者介绍一下数据恢复的一些基本知识和适用的场合。

首先来谈谈数据为什么会丢失的。

数据存放在不同的介质中，数据在介质中的存放是以比特信息存放的。但是不能让所有

的用户去读比特信息吧（上个世纪40年代最早的计算机可就是这样的哦）？那可是枯燥又

难理解的干馒头！因此人们就想了很多方法来让用户读取数据尽可能方便，目前的方法是：

“将对物理访问介质转换成容易理解的对盘符如C盘的访问，将对数据的访问变成对容易

理解的文件的访问”。因此，现在存取一个文件我们只要知道文件的名字就可以了。这本来

是方便的好事情，但也带来了麻烦。正因为为了方便对数据的访问，计算机在存取数据的时

候，首先是对数据的目录的存取，假如存放数据的目录出了问题的话？不用我多说了―数据

是存在的，但是一般的人是没法读取数据的了。

以上的分析仅仅是其中一种数据丢失的情况，数据丢失的情况还有很多，以下逐一进行

分析并给出解决的基本方法。由于数据恢复涉及的介质很多，但是最典型的就是硬盘，以下

的分析以主要以硬盘为例。

1） BIOS能够识别，操作系统中看不到分区的情况

这种情况的表现为在CMOS设置模块中能够识别正确的硬盘的参数,但是无法看到任何

分区,又分为以下各种情况：

1． 硬盘硬件本身有问题

当硬盘的电路正常,但是硬盘的中保存操作系统重要数据区的扇区出现问题的

时候(如0磁道),虽然可以正常识别硬盘的参数,但是从操作系统的角度来说,这个硬

盘已经不存在了。这种情况的数据是可以恢复的，如果坏道仅仅出现在0磁道，那

么数据区的数据应当存在的，可以通过专业的恢复软件进行恢复。

2． 分区被删除或者覆盖

由于误操作删除分区，会出现分区丢失的情况，如果单单在Fdisk中删除分区，

则数据恢复的成功率为100%。

还有一种情况是Ghost覆盖了数据分区，如果Ghost已经进行了一部分，则要

看这个进度有没有危及数据区，如果没有危及，则恢复的可能性很大。

某些病毒会在它认为合适的时候破坏分区，病毒破坏分区的方式有两种，一种

是直接将分区覆盖，不做任何的备份，这种病毒属于恶意破坏的病毒，如果覆盖并

没有危及数据区，则数据可以通过恢复软件进行恢复，但是一般是不能通过恢复软

件直接恢复的，需要进行手工计算并借助恢复软件进行恢复，这种情况下恢复的成

功率比较高。如果是恶作剧的病毒，一般会将主引导扇区或者重要的数据区隐藏在

硬盘的某个地方，只要使用磁盘分析工具（如diskedit）将这个备份找到，恢复回

去就可以了。这种情况数据恢复的可能性也很大，只要处理得当，数据恢复的成功

率为100％。

还有一种情况是某些病毒会将硬盘存在的标志55 AA删除，这个标志被删除以

后，即使在Fdisk中也无法确认硬盘的存在，这种情况需要使用Debug或者Diskedit

等专业软件将分区标志重新写入以后再进行进一步操作。

3． 分区格式不识别。

如果将NTFS格式的硬盘拿到98操作系统上，或者将Linux文件系统的硬盘拿

到98/2000/Xp操作系统上，都会出现分区和文件系统不识别的情况。同样，如果分

区的格式被变更（可能由于病毒覆盖引起或者人为引起），则会造成分区不能识别。

只要不进行操作，这种情况数据能恢复的成功率为100％。

4． 特殊的情况

还有一些特殊的情况，会造成启动的时候分区不能识别，其中最特殊的情况要

数硬盘的逻辑锁了，有一种逻辑锁病毒，中了这个病毒以后，不论这块硬盘是拿到

那个计算机上，只要启动的时候一读到这块硬盘，就会死机，根本进入不料操作系

统。硬盘的指示灯会不停的闪，其实这种情况下，计算机被逻辑锁欺骗了，进入了

一个死循环，在不停的读硬盘的分区表。这种情况下，硬盘的数据是正常的，硬盘

的逻辑锁无法通过某一个特定的软件去除，需要专业的人员用特殊的方法处理，逻

辑锁被去掉以后，可以通过数据恢复软件进行数据恢复，恢复的成功率为100％。

2） BIOS能够识别，分区也存在，但是无法读取文件的情况

有些情况下，分区是存在的，但是无法从操作系统中看到文件。这种情况往往由与

保存文件的重要数据结构如boot Record，FAT，文件目录损坏造成的，这种情况下如果

数据没有被覆盖，则恢复的成功率相当高，但是相对而言，NTFS更加容易恢复，因为

NTFS为了提高文件系统的可恢复性，在硬盘分区的中间保存了一个重要数据结构的备

份，不过这个备份只有专业的恢复软件才可能看到。

3） BIOS能够识别，分区也存在，文件误删除

有时不小心删除了重要的数据，在回收站里又找不到，这个时候其实没有必要慌张。

因为这种情况下的数据恢复是最简单的，要知道，操作系统在删除文件的时候并没有将

内容去掉，而仅仅是将文件目录删除了，所以数据恢复的可能性几乎是100％，但是有

些用户非常紧张，在寻找没有结果以后，还进行了拷贝等操作，，但是如果在删除以后

进行了拷贝工作，那就有可能将原来储存数据的地方覆盖了，这样数据进行恢复的可能

性就大大降低了。我们还多次碰到用户自行操作的情况，将恢复以后的数据存放在要恢

复的硬盘上，造成恢复的失败，因为本身要恢复的硬盘如果存放了恢复的目标文件，前

期恢复出来的数据会覆盖本来还可以恢复的删除数据，形成“自相残杀”的局面，造成

后部分数据恢复的彻底失败。

4） BIOS不能识别硬盘的情况

某些硬盘在CMOS设置中已经无法识别参数了。这种情况一般是硬件问题造成的。主

要有以下各种可能：

1．电路板损坏

电路板的电路损毁会造成参数无法识别，硬盘的马达可能根本不转，这种情况首先

要解决硬盘电路板的问题，最简单的办法是更换电路板，但是电路板一般不是很容易找，如

果找到合适的电路，则数据恢复的成功率为100％。

2．盘腔损坏

盘腔中有几个薄弱的部件，分别是盘片本身、磁头和磁头信号处理芯片。磁头和磁

头信号处理芯片的损坏都可能造成硬盘参数无法识别。并且由于硬盘在启动的初期，需要从

硬盘盘面中读取一些参数信息的，如果这些重要参数区盘片损坏，也会造成CMOS设置中

的参数无法识别。上述这些问题是数据恢复最大的问题，因为上述问题需要打开盘腔进行维

修和数据恢复，而硬盘这种精密仪器需要在100级的洁净空间开盘，必须拥有净室才能打开