标签归档:数据恢复

安卓手机内置存储卡数据恢复 | 手机数据恢复

        安卓手机内置一个Flash芯片,在上面划分了一些分区(boot system chche等),但有一个分区用户可以在这里存放自己的数据,例如个人照片、视频、录音、文件等,如果遭遇了数据丢失,可以把手机与电脑连接,如果可以识别出可移动设备随便找一个数据恢复软件就可以恢复,例如(DiskGenius、数据恢复精灵),但是如果检测到的不是可移动设备,或者在数据恢复软件中检测不到手机的内置存储卡怎么办呢?这个时候也就是恢复的难点了,经过几天的研究,此类的数据恢复已经成功。

识数寻踪:WinHex应用与数据恢复开发秘籍

本站讯 由著名数据恢复技术专家“困惑的浪漫”花费数年时间原创,国内唯一完整的WinHex使用教程——《识数寻踪:WinHex应用与数据恢复开发秘籍》上市了!

该书在国内首次披露了行业内只有高手才掌握的秘密——WinHex脚本编程和API开发,得到了中国硬盘基地网站创始人八喜、SQLSave系列数据库恢复软件作者江传力的联袂推荐。

本书第一作者高志鹏,网名“困惑的浪漫”,著名数据恢复教程业余写手,数据恢复技术专家。好文史,学计算机乃半路出家。做过售后服务,也当过高校老师,现 任高级研发工程师,从事信息安全相关领域的技术研发工作。

全书根据WinHex菜单来划分章节,详细描述了WinHex的全部功能和使用方法,对于那些晦涩难懂的知识点,利用编写实验代码的方式直观地展示其原理。最后,本书还以SQL Server数据库页组合技术为案例回顾了部分所学内容。

本书以WinHex的功能模块为线索,看似讲述操作技法,实则探讨数据恢复技术的研究思路,旨在拓宽读者视野,引发读者的兴趣,适合数据恢复工程师、数据恢复程序员、数据恢复研究人员、高校教师、电子取证工程师、技术支持工程师等读者阅读。

图书基本信息如下:

书名:识数寻踪:WinHex应用与数据恢复开发秘籍 作者:高志鹏 张志伟 孙云峰 出版社:人民邮电出版社 出版时间:2013-1-1 页数:314 定价:49

友情推荐

你想在企业服务器数据丢失的关键时刻亮剑吗?你想让监控录像重现天日还人间一份正义吗?你想闪电重组数据库碎片让时光倒流吗?《识数寻踪:WinHex应用与数据恢复开发秘籍》一书为你保驾护航,让你如虎添翼。 ——哈尔滨海云数据恢复中心创始人、SQLSave系列数据库恢复软件作者 江传力

本书对WinHex工具讲解得非常透彻,涉及的知识非常全面,对WinHex工具的使用者来说是个福音,它可以让读者全面掌握WinHex脚本编程及WinHex API编程技术,是提升自我技术不可不读的一本好书。 ——数据恢复业内高手郝槟楠(网名“windows hao”)

志鹏被广大数据恢复从业者称为国内WinHex第一人,曾撰写WinHex网上教程十余篇,包括我在内的很多从业者、爱好者、网友都获益匪浅。本书是志鹏的呕心沥血之作,相信这本书能为读者打开WinHex的神秘之门,让读者真正掌握WinHex这一神功利器。 ——擅长碎片重组的数据恢复业内高手陈剑嵩(网名“12:00:00”)

上架建议:信息安全/存储/数据恢复

远程数据恢复

  远程数据恢复

  在网络日益普及的今天,网络已波及到人们的生活、工作、学习及消费等广泛领域,其服务和管理也涉及政府、工商、金融及用户等诸多方面。网络逐渐渗透到每个人的生活中,而各种业务在网络上的相继展开也在不断推动电子商务这一新兴领域的昌盛和繁荣。电子商务可应用于小到家庭理财、个人购物,大至企业经营、国际贸易等方面,网络让人类的生活更便捷和丰富,从而促进全球人类社会的进步。并且丰富人类的精神世界和物质世界,让人类最便捷地获取信息,找到所求,让人类的生活更快乐。

  为了满足远程客户的需求,提高数据恢复效率,节省客户宝贵时间,通过远程数据恢复服务,即使你在遥远的海外只要网络通畅,都是可以让您足不出户将您丢失的宝贵数据高效复原。

  远程数据恢复指:数据恢复工程师通过网络,远程协助客户将丢失的数据恢复的过程。

  远程数据恢复的局限性。

  能够远程数据恢复均为逻辑故障数据恢复 如:误格式化、误Ghost、误删除、误分区、病毒破坏、目录损坏、RAW格式、0字节、分区丢失、OFFICE文件修复、数据库文件修复、邮件修复等;也就是说存储介质本身没有问题,只不过是出现一些逻辑性的错误。

  对于存储介质,存在不能正确识别,摔伤,等等物理故障就无能为力了。 网络不顺畅,电信 联通之间的互联限制对远程恢复数据也有局限。

  远程数据恢复的必要前提条件。

  出现数据丢失的存储介质(硬盘,移动硬盘,U盘,存储卡,数码设备等)能够挂接到正常的电脑上。电脑系统能够正常启动,并且链接到互联网络上。能够正常上网,使用一些远程协助,即时通讯交流软件工具。例如:百度HI、腾讯QQ、MSN、TeamViewer等。网络连接要求顺畅。恢复操作电脑无毒,无木马程序。有足够的存储空间用于保存恢复出的数据文件。一些必要的数据恢复检测软件(应该由数据恢复者提供)。

  远程数据恢复的安全性。

  远程数据恢复的安全性要高于传统意义上的数据恢复。远程数据恢复操作,是由专业的人员。通过远程辅助软件程序,远程操控需要恢复数据的人员的电脑,对出现问题的存储介质进行检测恢复。这个过程是在对方的监视下进行。所有操作均是在对方的电脑上进行操作。不存在数据外泄的可能。这也要求数据恢复操作者对于数据丢失的故障的认知判断。对数据恢复者有很高的专业知识的要求。一定要慎重选择,操作。出现数据丢失后。对于远程数据恢复的选择,一定要慎重。因为很多时候数据恢复错误的操作是致命的。不可逆的。

数据恢复常识

一·注意事项:
      1.数据恢复过程中最怕被误操作而造成二次破坏,造成恢复难度陡增。数据恢复过程中,禁止往源盘里面写入新数据的。
 
    2.不要做DskChk磁盘检查。一般文件系统出现错误后,系统开机进入启动画面时会自动提示是否需要做磁盘检查,默认10秒后开始进行DskChk磁盘检查操作,这个操作有时候可以修复一些小损坏的目录文件,但是很多时候会破坏了数据。因为复杂的目录结构它是无法修复的。修复失败后,在根目录下会形成FOUND.000这样的目录,里面有大量的以.CHK为扩展名的文件。有时候这些文件改个名字就可以恢复,有时候则完蛋了,特别是FAT32分区或者是NTFS比较大的数据库文件等。  

   3.不要再次格式化分区。用户第一次格式化分区后分区类型改变,造成数据丢失,比如原来是FAT32分区格成NTFS分区,或者原来是NTFS的分区格式化成FAT32分区。数据丢失后,用一般的软件不能扫描出原来的目录格式,就再次把分区格式化会原来的类型,再来扫描数据。我们指出的是,第2次格式化会原来的分区类型就是严重的错误操作,很可能把本来可以恢复的一些大的文件给破坏了,造成永久无法恢复。 

   4.不要把数据直接恢复到源盘上。很多普通客户删除文件后,用一般的软件恢复出来的文件直接还原到原来的目录下,这样破坏原来数据的可能性非常大,所以严格禁止直接还原到源盘。
 
   5.不要进行重建分区操作。分区表破坏或者分区被删除后,若直接使用分区表重建工具直接建立或者格式化分区,很容易破坏掉原先分区的文件分配表(FAT)或者文件记录表(MFT)等重要区域,造成恢复难度大大增加。我们在恢复的实践过程中碰到过多次客户在分区表破坏后,先自行尝试过几种分区工具都无法恢复数据后才想到找专业人员帮忙,结果我们发现在多种分区工具作用后,破坏了一些重要的目录文件,造成文件目录恢复不完整,有些大的文件无法恢复。而按客户描述的最初分区丢失的情况,这些文件一般都可以完全恢复了,真是很可惜啊。专业的数据恢复人员在重建分区表之前都会先定位分区的具体位置(逻辑扇区号),然后用扇区查看工具先检查分区的几个重要参数比如DBR/FAT/FDT/MFT等,确认后才修改分区表的,而且修改完分区表后在启动系统过程中会禁止系统做dskchk破坏分区目录,保证数据不会被破坏到。
 
    6.阵列丢失后不要重做阵列。我们在挽救服务器阵列的实践中遇到过有些网管在服务器崩溃后强行让阵列上线,即使掉线了的硬盘也强制上线,或者直接做rebuilding。这些操作都是非常危险的,任何写入盘的操作都有可能破坏数据。
 
    7.数据丢失后,要严禁往需要恢复的分区里面存新文件。最好是关闭下载工具,不要上网,不必要的应用程序也关掉,再来扫描恢复数据。若要恢复的分区是系统分区,当数据文件删除丢失后,若这个电脑里面没有数据库之类的重要数据,我们建议您直接把电脑断电,然后把硬盘挂到别的电脑来恢复,因为在关机或者开机状态下,操作系统会往系统盘里面写数据,可能会破坏数据。

二·日常处理数据时需要注意以下问题:

    1.不要剪切文件。我们经常碰到客户剪切一个目录到另外一个盘,中间出错,源盘目录没有,目标盘也没复制进数据。这看起来是一个系统的BUG,偶尔会出现的。所以我们建议如果数据重要,那么先复制数据到目标盘,没有问题后再删除源盘里面的目录文件,不要图省事造成数据丢失。
 
    2.目录文件非常多的分区,不要直接做磁盘碎片整理。因为磁盘碎片整理过程中可能会出错,万一出错了数据就很难恢复。我们建议将数据复制到别的盘后,再格式化要做磁盘整理的盘,然后拷回数据。 

    3.不要用第三方工具调整分区大小。调整分区大小过程中也很容易出错(比如断电等),一出错也很难恢复,因为数据被挪来挪去覆盖破坏很严重的。建议在重新分区之前,备份好数据,再使用Windows自带的磁盘管理里面来分区,安全性高一些。 
定期备份数据,确保数据安全,最好是刻盘备份,比存在硬盘里面更安全。

三·影响数据恢复成功率的相关因素

    1.FAT或者FAT32分区,删除或者格式化后,比较大的文件或者经常编辑修改的文件,恢复成功率要低一些,比如经常编辑修改的XLS或者CDR文件就很难完整恢复。那些文件拷进去后就不动的文件,恢复成功率比较高,比如PDF或者JPG,MPG等不经常修改的文件,恢复率还是比较高的。这是因为FAT和FAT32分区使用文件分配表来记录每个文件的簇链碎片信息,删除或者格式化后簇链碎片信息就被清空了,那些经常编辑修改的文件由于它们的文件长度动态增长,在文件系统中一般都不会连续存放,所以文件碎片信息就无法恢复,文件恢复也就不完整了。
 
    2.NTFS分区的恢复概率比较高,一般删除或者格式化后绝大部分都可以完整恢复的。某些文件有时候无法恢复,例如文件长度非常大或者文件在编辑使用很长时间,这文件会形成很多的碎片信息,在删除文件后,这个文件就无法知道文件长度,很难恢复了,例如一些使用很多年的数据库文件,删除后用数据恢复软件扫描到的文件长度是0,无法恢复。定期做磁盘碎片整理可以减少这种情况的发生,但是直接做磁盘碎片整理也有风险,请参考上面需要注意的问题。
 
   3.重新分区或者删除分区或者分区表破坏,一般后面的分区基本能完整恢复,越靠后的分区被破坏的可能性越低,所以重要数据最好放在比较靠后的分区里面,不要放在C,D盘里。
 
   4.经过回收站删除的文件,有时候会无法找到文件。NTFS下,从回收站中删除的文件,文件名会被系统自动修改成De001.doc之类的名字,原来的文件名被破坏。当您的数据丢失后,不能直接找到文件名,记得别漏过这些被系统改名过的文件哦。直接Shift+Del删除的则不会破坏文件名。

Windows 7的BitLocker为数据保驾护航

    操作系统的安全泛泛而谈其实包括两个方面的内容,分别为操作系统本身的安全与操作系统上数据的安全。在Windows 7种,通过UAC控制机制、系统备份与还原等措施在很大程度上提高了操作系统的安全性与稳定性。那么我们不仅问,Windows 7 在数据安全的保护是是否也有新举措呢?这个答案是让人兴奋的。在Windows 7 中,其提出了一种新的数据保护机制,即BitLocker。这个工具可以为企业信息文件的安全保驾护航。

    默认情况下,Window操作系统是不启动这个BitLocker功能的。如果企业对于数据文件的安全性要求比较高,则可以视情况来启动这个功能。那么这个功能到底有什么特色呢?其使用起来又有什么限制呢?笔者今天就为大家来解开这个谜题。

一、BitLockerEFS加密机制的不同。

     以前用过Windows操作系统的人一定了解,从2000操作系统开始,微软就在操作系统上实现了一种叫做NTFS的文件格式。这个文件格式根FAT32文件格式相比,相对来说比较安全与稳定一点。而且在这个分区格式上,微软还实现了很多让人欣喜的功能。其中EFS文件加密机制就是其中的一种。那么这个EFS文件加密机制与这个BitLocker有什么联系呢?又会有什么不同?

    首先值得肯定的是,这两种技术都是很好的文件保护机制,能够在很大程度上保障数据文件的安全。不过他们有一个很大的差异,即EFS是针对特定的文件或者文件夹来进行加密的。而BitLocker则是针对整个驱动器来进行加密。也就是说,采用EFS技术的话,用户可以有选择的对一些重要的文件或者文件夹进行加密。而如果采用BitLocker的话,用户没有这个选择权。其要么对某个驱动器的所有文件夹进行加密,要么就全部不加密。这是这两种文件加密机制的主要差异。

    不过他们也有很大的共同点。如无论是EFS加密系统,还是BitLocker保护机制,对于终端用户来说都是透明的。这个主要体现在如下几个方面。首先只要是合法的用户,其在访问数据的时候,是感受不到这种保护措施存在的,无论是对数据进行加密或者解密的过程,都是在后台完成,不需要用户干预。如只要在驱动器上实现了BitLocker技术,则当用户往这个驱动器中保存文件时,操作系统会自动对其加密。当下次访问时,操作系统也会自动对其进行解密。其次,如果其他非首选用户试图访问加密过的数据时,则其就会受到“访问拒绝”的错误提示。无论是EFS加密系统,还是BitLocker保护机制,其能够很好的保护用户的非授权访问。第三,他们的用户验证过程都是在登陆Windows操作系统是完成的。也就是说,他们的密钥是直接跟操作系统的帐户挂钩的。为此如果用户非法的将文件复制到其他主机上,如果没有主人用户的授权(证书),那么其他非法用户即使有了这些文件,那么他们也是无法打开的。

    可见EFS与这个BitLocker保护机制具有很多的相同地方。那么为什么微软还要费力气开发这个BitLocker文件加密保护机制呢?这主要是因为这个保护机制还是有其自身很多特点的。而这些特点在某些程度上又弥补了EFS文件加密系统的不足。

二、BitLocker更方便共享。

    如果某个文件夹中的文件采用了EFS加密系统加密,那么这个文件要在网络上共享是比较麻烦的。如系统管理员往往要将某个用户的证书导入到另外一个用户的操作系统,或者其他类似的手段才可以实现这文件的共享。不过如果采用BitLocker保护机制的话,则在这个文件共享上面会更加的方便。

    当用户将文件保存到采用BitLocker机制的驱动器之后,系统会自动对其进行加密。但是如果用户将这个加密后的文件复制到其他没有采用BitLocker技术的驱动器中,会出现什么情况呢?此时文件会被自动解密。此时其他用户只要具有相关的权限,就可以随意的阅读。不过前提是这个复制文件的用户其具有解密的权限。到这里为止跟EFS的文件加密系统处理方法还是类似的。不过在这文件共享上双方还是有很大的不同。假设现在用户要将某个采用BitLocker加密机制加密过的文件,通过网络共享给其他的用户。此时操作系统会如何处理呢?首先需要明确的是,只要这个共享的文件仍然在这个受保护的驱动器上,那么这个文件仍然是以加密的形态保存的,操作系统不会对其解密。其次只要这个用户允许其他用户访问这个共享文件(通过授权认证来实现),那么其他用户就可以访问这个文件。而不需要像EFS加密文件系统那样,手工给其他用户导入证书等等。也就是说,在BitLocker保护机制下,这个认证授权过程对用户来说是透明的。这是BitLockerEFS文件加密系统相比,最大的改善之一。

三、对操作系统分区的特殊保护。

    EFS加密文件系统将系统文件与普通的用户文件是同等对待的。但是,BitLocker保护机制中,则对其采用了专门的保护措施,可以在最大程度上保护系统文件的安全。只要系统管理员利用BitLocker技术对系统分区进行了加密,则在操作系统启动后系统就会一直监视计算机,如会监视磁盘错误、Bios的更改、启动配置文件的更改等等,并可以防止由此带来的安全风险。如果操作系统检测到以上的这些错误,则BitLocker会自动的将这个磁盘驱动器锁住。此时系统管理员需要利用预先设置的一个密钥来解锁这个驱动器。通过这种措施可以防止操作系统的文件以及配置文件在系统管理员不知觉的情况下被修改。这对于防止木马、病毒、恶意程序等等对操作系统的破坏很有作用。

    不过在对操作系统采用这个保护机制的时候,需要注意两点。首先在首次对系统分区采用加密保护机制时,需要创建一个解锁密码。否则的话,当操作系统因为遭受可疑的工具而被锁住驱动器时,系统管理员就无法对其进行解锁。而这驱动器中的文件也将无法访问。所以说,在各驱动器启用这个保护机制时,别忘了设置一个解锁的密码。其次,如果用户的电脑中安装了TPM芯片时,则可以将这个密码存储在这个芯片上。当遇到系统分区被锁住时,BitLocker就会像这块芯片所要密码进行解锁。如果将Windows 7操作系统作为服务器来使用,则为这个服务器配置一块TPM芯片并在系统分区上启用BitLocker保护机制,能够在很大程度上保障服务器系统的安全与稳定型。从这也可以看出,微软在服务器的安全与稳定性方面,一直在不断的改进。

    另外如果采用EFS加密文件系统的话,只要攻击者知道了帐户与密码,则其可以登陆到操作系统。此时EFS加密文件的保护机制就失去了作用。不过BitLocker在这方面也有所改善。即使攻击者知道了用户的帐户与密码,其仍然可以采取措施来保护系统文件,即BitLocker会监测系统文件的更改。如果其发现这个更改会给操作系统带来安全上的风险时,就会采取措施拒绝其更改。到目前为止,这是EFS文件加密系统所不能够实现的功能。

    可见EFS加密系统与BitLocker加密机制在实现细节上还有很大的不同。BitLocker主要在对系统分区的保护上有比较独特的表现。而且其在共享文件的管理上也更加的方便。

 

点击查看原图

 

BitLocker数据恢复服务:http://www.datarelab.com/blog/DataRecoveryServer.html