【技術(shù)視界】第2期：精確讀取 提高缺陷硬盤(pán)數(shù)據(jù)恢復(fù)成功率

　　編者按

　　本期感謝數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室科研人員帶來(lái)關(guān)于“運(yùn)用精確讀取進(jìn)行硬盤(pán)數(shù)據(jù)恢復(fù)”的研究報(bào)告。功能簡(jiǎn)介：“精確讀取”強(qiáng)制恢復(fù)不完整數(shù)據(jù)

　　精確讀取（Intensive Read）又叫強(qiáng)制讀取，其目的是增強(qiáng)對(duì)故障硬盤(pán)有壞道的數(shù)據(jù)的讀取強(qiáng)度，通過(guò)特殊的指令使硬盤(pán)通過(guò)加大電流來(lái)增加磁頭工作強(qiáng)度，通常用于一些非常重要的數(shù)據(jù)不能正常訪問(wèn)時(shí)進(jìn)行的強(qiáng)制恢復(fù)。但該功能過(guò)度使用會(huì)加快源盤(pán)的老化，并不推薦大量使用。但是針對(duì)個(gè)別特別重要文件（如案件相關(guān)證據(jù)文件、數(shù)據(jù)庫(kù)文件等）的恢復(fù)時(shí)，往往能起到意想不到的效果。例如，在某案件中用普通方式恢復(fù)的重要文件（此處用其他非案件相關(guān)圖片替代）不能正常顯示，精確讀取功能就是一把解決問(wèn)題的利劍。見(jiàn)下圖1、圖2所示。

　　【圖1：某壞道盤(pán)利用普通恢復(fù)方法恢復(fù)】

　　【圖2：借助精確讀取功能恢復(fù)】

　　場(chǎng)景重現(xiàn)：手把手教你怎么用“精確讀取”

　　下面以對(duì)一塊希捷筆記本硬盤(pán)（型號(hào)為ST94011A，SN為3KW1AA08）的數(shù)據(jù)恢復(fù)為例進(jìn)行詳細(xì)講解。

　　01 目測(cè)硬盤(pán)外觀

　　首先對(duì)硬盤(pán)的外觀進(jìn)行檢測(cè)，檢測(cè)結(jié)果為該硬盤(pán)外觀完好，沒(méi)有開(kāi)過(guò)盤(pán)的跡象，PCB電路板也看不出看有明顯的燒毀痕跡。

　　02 硬盤(pán)連接電腦

　　將硬盤(pán)通過(guò)只讀設(shè)備連接到電腦，在COMS下邊可以正常識(shí)別到此硬盤(pán)的相關(guān)參數(shù)，但操作系統(tǒng)中鼠標(biāo)失去控制，所有程序失去響應(yīng)，并且表現(xiàn)出假死機(jī)的現(xiàn)象，主機(jī)的系統(tǒng)分區(qū)也看不到。見(jiàn)下圖3所示。

　　【圖3：操作系統(tǒng)假死，鼠標(biāo)失去響應(yīng)，分區(qū)也無(wú)法查看】

　　03 檢測(cè)掃描壞道

　　為了更直觀的查看硬盤(pán)的數(shù)據(jù)區(qū)損壞情況，利用壞道檢測(cè)工具進(jìn)行掃描，結(jié)果如下圖4所示。從掃描結(jié)果此盤(pán)的健康狀況不容樂(lè)觀。

　　【圖4：硬盤(pán)ST94011A通過(guò)預(yù)檢平臺(tái)中壞道檢測(cè)的結(jié)果】

　　從掃描的結(jié)果來(lái)看，本盤(pán)的壞道比較嚴(yán)重，有大量紅綠塊：綠塊代表存取速度較慢；紅塊代表此處讀取很困難；黑色方塊是代表有壞道或者有錯(cuò)誤的地方。從目前的情況分析來(lái)看，將此盤(pán)直接作為從盤(pán)恢復(fù)數(shù)據(jù)基本上是不可能的，因?yàn)椴僮飨到y(tǒng)在啟動(dòng)后，會(huì)檢查所有硬件設(shè)備，當(dāng)發(fā)現(xiàn)硬盤(pán)驅(qū)動(dòng)器的時(shí)候，會(huì)去讀取硬盤(pán)的所有分區(qū)信息。但是一遇到有壞扇區(qū)的時(shí)候，就會(huì)不斷循環(huán)讀取損壞的扇區(qū)，導(dǎo)致整個(gè)系統(tǒng)假死或直接卡死。

　　04 數(shù)據(jù)恢復(fù)

　　將該硬盤(pán)與專(zhuān)業(yè)數(shù)據(jù)恢復(fù)設(shè)備數(shù)據(jù)指南針（DataCompass，以下簡(jiǎn)稱DC）連接后，在上層數(shù)據(jù)恢復(fù)工作界面中能夠直接查看到分區(qū)和對(duì)應(yīng)分區(qū)下的文件，勾選所有文件直接進(jìn)行恢復(fù)操作。見(jiàn)下圖5、圖6所示。

　　【 圖5：與專(zhuān)業(yè)數(shù)據(jù)恢復(fù)設(shè)備DC連接 】

　　【圖6：在DC上層恢復(fù)軟件中直接查看到分區(qū)和文件】

　　05 恢復(fù)部分文件（圖片顯示不完整）

　　仔細(xì)查看恢復(fù)文件后，發(fā)現(xiàn)有部分文件存在損壞或圖片顯示不完整的情況。針對(duì)有問(wèn)題的這些文件進(jìn)行多次恢復(fù)后結(jié)果一樣，如下圖7所示；用winhex打開(kāi)該圖片文件查看，可以看到如圖8所示的信息。很明顯，有一部分顯示為“4040”的信息，“4040”代表沒(méi)有成功讀取到文件內(nèi)容，這可能是由于該部分?jǐn)?shù)據(jù)存儲(chǔ)位置的壞道較多所造成的。借助專(zhuān)業(yè)數(shù)據(jù)恢復(fù)設(shè)備使盤(pán)識(shí)別的前提條件下，嘗試?yán)闷渌謴?fù)軟件如EasyRecovery、R-Studio等恢復(fù)結(jié)果仍然一樣。

　　【圖7：恢復(fù)出的圖片顯示不完整】

　　【圖8：圖片文件在winhex中查看情況為部分?jǐn)?shù)據(jù)為“4040”】

　　06 勾選“精確讀取”

　　在DC中影子盤(pán)控制面板（Shadow Control）下初始化并打開(kāi)影子盤(pán)，設(shè)置影子盤(pán)的相應(yīng)參數(shù)，將精確讀取（Intensive Read）選項(xiàng)勾選上，如下圖9所示。

　　【圖9：勾選精確讀取功能】

　　07 成功恢復(fù)文件（圖片正常瀏覽）

　　進(jìn)入DC上層數(shù)據(jù)恢復(fù)工作界面，用前面的方法重新讀取“R0014628.jpg”文件。在文件恢復(fù)過(guò)程中，可以從聲音明顯感覺(jué)到與正常恢復(fù)時(shí)的不同。稍后，文件恢復(fù)完成，直接打開(kāi)該圖片，可以看到，該圖片已經(jīng)可以正常瀏覽了。見(jiàn)下圖10所示。

　　【圖10：利用精確讀取功能恢復(fù)的圖片】

　　案例總結(jié)：靈活運(yùn)用“精確讀取”效果更佳

　　針對(duì)其他沒(méi)有顯示完整的圖片、損壞文件或者硬盤(pán)原本磁頭有問(wèn)題，開(kāi)盤(pán)換磁頭后硬盤(pán)又可以被電腦識(shí)別的情況，若有需要的重要數(shù)據(jù)無(wú)法正常恢復(fù)，可以采用這種方法進(jìn)行二次讀取。由此可見(jiàn)，靈活運(yùn)用精確讀取功能，可以在數(shù)據(jù)恢復(fù)的過(guò)程中起到意想不到的作用。

　　溫馨提示

　　需要注意的是，若用戶有非常重要的數(shù)據(jù)無(wú)法正常恢復(fù)，先不要使用精確讀取功能。過(guò)度使用會(huì)加快源盤(pán)的老化，同時(shí)，缺陷盤(pán)很可能讀取完這一個(gè)文件后，整個(gè)盤(pán)都不識(shí)別了 。因此，正確的流程是先將其他數(shù)據(jù)都盡量恢復(fù)出來(lái)后，再對(duì)沒(méi)有正常恢復(fù)出來(lái)的重要數(shù)據(jù)進(jìn)行精確讀取。

　　編后語(yǔ)：文中涉及到的精確讀取技術(shù)除了已經(jīng)運(yùn)用到效率源數(shù)據(jù)指南針DC中外，還運(yùn)用在效率源第五代數(shù)據(jù)恢復(fù)系統(tǒng)DRS中，對(duì)該技術(shù)感興趣的讀者歡迎一同探討。

　　備注轉(zhuǎn)載文章請(qǐng)注明出處并保持原圖文不變！

　　【技術(shù)視界】系列推薦：

　　【技術(shù)視界】第1期：手機(jī)取證-手機(jī)音頻文件恢復(fù)提取技術(shù)研究