2005年12月10日

中文名称:硬盘数据恢复工具包 (
英文名称:Hard Desk Recover Tools l~T0F
版本:详情请看帖子 JPpD
发行时间:2005年 p
制作发行:Acronis等 g3;,
地区:美国 Q2
语言:普通话,英语 )>doF
简介: 9E
强大的硬盘数据修复工具包,包括分区修复,格式化修复,MBR损坏修复,文档误删修复等等.本人找了很久,哈哈由于先前硬盘差不多over掉才……… ^
Acronis Disk Director Suite v9.0 Build 524.Retail这是主要的工具,可以自动或手动的修复硬盘,查找分区.更可以编辑分区表,不过很复杂,而且是英文,看不懂!而且还具有PartitionMagic相似的功能,象转换分区,更改分区大小等等,由于PartitionMagic比较常见所以没有收进来.(这里是一个为主文件,一个为注册机,如果没有,请大家自行找找看) F^*m
EasyRecovery.Professional.v6.04.retail,这个相信很多人都知道,可以修复分区文件等等,上一个是整个分区的修复,那这个是一个一个文件的修复,当然也可以按整个分区的修复,但是还是得一个个找.余下几个都差不多,不再一一介绍. #pp
OSBRecoveryV1.2这个是恢复启动的工具,如果你安装的系统不能启动,可以试试这个 [
RecoverMyFiles另外一个文件修复工具,误删用. hgkL
FinalDataEnterprise20 `C,"
searchandrecover (这三个都是文件修复工具,可以在整个硬盘中查找误删的文件,或是格式化修复) OQV
finalRecovery(fr13.exe) $h.-*{
注意:在修复数据时最好在另外的机子上挂你的硬盘,而且一般来说只能修复快速格式化的硬盘,还有就是在用finaldataenterprise和searchandrecover时要注意,安装好后要求是否启动文件管理,如果你要恢复文件最好先不要用,因为它会扫描你的硬盘,然后写入一些东西做修复用的,有几百M多.还有就是要想修复数据,最好不要往要修复的盘里装东西. u<M
©雷傲极酷超级论坛 -- 雷傲极酷超级论坛,最新软件,BT 下载,游戏娱乐,交友聊天,您网上的自由天堂  h
该主题有一个 BitTorrent 格式的文件,按此可直接下载}zd(u@

    文件名 文件大小
    硬盘数据恢复工具包/Acronis.Disk.Director.Suite.v9.0.Build ... 39.79 KB
    硬盘数据恢复工具包/Acronis.Disk.Director.Suite.v9.0.Build ... 38.59 MB
    硬盘数据恢复工具包/EasyRecovery.Professional.v6.04.retail ... 27.18 MB
    硬盘数据恢复工具包/FinalDataEnterprise20.zip 15.12 MB
    硬盘数据恢复工具包/HB_EasyRecoveryPro604_OFA.rar 1.02 MB
    硬盘数据恢复工具包/OSBRecoveryV1.2sdfix.rar 1.75 MB
    硬盘数据恢复工具包/RecoverMyFiles.rar 2.47 MB
    更多... 
    种子数:未知 连接数:未知 完成数:未知 
    [本页面数据并非即时,如需要即时信息请按这里
    总共有 10 个文件,内容共有 90.17 MB 
    URL: http://bt.5qzone.net:8080/ 

http://www.yesky.com/DIY/360853119166316544/20040603/1804529.shtml

http://www.yzcc.com/yzcc/bbbbbbb/

● 前言  

这是作者致鸣写给我的一段话:“想写这篇文章很久了,之所以一直没有动笔,是因为碍于个人的责任感,担心自己所掌握的知识面不够,不能全面、客观地判断事实。现在,经过几个月的查找资料和反复测试,拆掉、弄坏了几十个硬盘,觉得自己有足够的事实根据去作出判断了,因此写出了这篇文章。由于这是一篇普及性质的文章,针对的是所有的用户和消费者,所以不打算谈论具体的技术和复杂的理论,只讲基本的原理和实际的效果。希望借着这篇文章,能帮助广大的DIYer认清一些事实,对于种种的广告和貌似专业的宣传能够独立作出清晰的判断。”
说实话,这段文字里面的“的”字实在太多了,如果被校对组的老师看到,又非痛骂我一顿不可。不过总觉得这些“的”字无不包含了作者的某些情绪在里面,所以毅然决然地保留了下来,这样你们才能被同样的情绪所感染,而不会担心被编辑笨拙的手笔改到面目全非,失去原有的味道。
话说回来,读者看我们杂志,首要还是了解知识,而非学习语法。正是基于此点,才在杂志制作的关键时期,把原本正在准备中的一个专题撤掉,临时改换此文——就是说,我们以为此文能给读者带来更多的收获和震撼。没错,震撼!本文不是一篇简单的普及知识性文章,而是对广大用户所普遍关心的硬盘问题进行了一些披露。硬盘为什么容易损坏?厂商对返修硬盘如何处理?硬盘维修公司如何修理坏硬盘?软件真的能修复坏硬盘吗?看下去,你会寻找到问题的实质。


● 纷争的起点  

一直以来,硬盘都是计算机系统中最主要的存储设备,同时也是计算机系统中最容易出故障的部件。十几年来,计算机CPU的运行速度已经翻了不知道多少番,从几十MHz提高到现在的3GHz以上,计算和处理功能已经过了几代飞跃。其他零部件,诸如显卡、声卡和光驱也已经换了很多代,只有硬盘这个最主要的存储设备,虽然容量和速度有了很大提高,但基本结构和工作原理仍然没有多大的变化,而且由于硬盘转速和磁盘密度的提高,硬盘比以前更加容易损坏。一般的用户在使用过程中,如果硬盘出现故障,还在质保期内的话当然是尽快找到销售商要求保修或者更换;但是现在绝大部分IDE硬盘的质保期只有一年,在这个时期过后硬盘出了故障,就只能考虑花钱修理或者购买新的硬盘了。


硬件的损坏不可避免!

刚用了一年多或者两年的硬盘就这样扔掉,当然非常可惜,大部分用户也都希望能花最少的钱使自己的计算机各零部件能够最大限度地发挥用途。出于对这种节省心理的迎合,这两年二手硬盘市场发展很快,也陆续出现了一些以维修硬盘作为卖点的硬盘维修公司,更出现了很多据说能修理硬盘坏道的硬盘维修软件,譬如HDD Regenerator、MHDD、PC-3000和效率源等等,其中有一些更是宣传自己是专业软件,可以修复硬盘的物理坏道而且不影响硬盘容量从而卖到了一万多元的天价。尤其是当俄罗斯的PC-3000进入中国后,这方面的信息就更加受到瞩目。
[编注:PC-3000是由俄罗斯著名硬盘实验室ACE Laboratory研究开发的商用专业修复硬盘综合工具,它能破解各种型号的硬盘专用CPU的指令集,解读各种硬盘的Firmware(固件),从而控制硬盘的内部工作,实现硬盘内部参数模块读写和硬盘程序模块的调用,最终达到以软件修复多种硬盘缺陷的目的。另外,它在数据恢复方面也有其特别的功效,大部分OEM硬盘厂商也很难全部掌握这些功能。ACE Laboratory经过十多年的不断研究,PC-3000 V12(最新版本)已能支持大部分新旧型号的IDE接口硬盘,容量从40MB至200GB。其强劲的修复硬盘功能已得到世界各国的专业硬盘维修公司所认可,目前在世界各地已有数千个专业级用户,据说每天用PC-3000修复好数千到上万个缺陷硬盘。]
对于普通用户来说,如果真的能把有物理坏道的硬盘修好,那么就可以省下买新硬盘的钱了;对于二手硬盘销售商来说,一个有坏道的硬盘和一个没有坏道的价格差很多,如果能把有坏道的摇身一变成为没有坏道的,可以多挣很多利润;对于专门修理硬盘人的来说,有了这些软件就可以用一台计算机一张桌子开店了,平均每修理好一个硬盘收40元那也是非常好的生意;而对于销售这些软件的代理来说,每销售一套就是7000~8000元人民币的利润,更加是肥得漏油的生意。因此,在种种力量的促使下,各种不同的群体怀着不同的目的开始了一系列的宣传,使这些软件变得更加瞩目。由此,在很多以硬盘维修、二手硬盘和硬盘技术为主题的论坛上引发了很大规模的讨论甚至骂战。有兴趣的读者可以到“存储在线”(http://www.stol.com.cn)的论坛转转。
那么,软件能够修复硬盘吗?要弄清楚这个问题,必须先从硬盘内部的结构谈起,先搞清楚硬盘损坏的原因和机理。


● 硬盘的结构  

硬盘内部结构

关于硬盘结构的文章已经非常多了,不过真正要说清楚的话,就算专门出一本书也说不完,因此这里就不再从头细细讲述了。只是要讲明白一点,到目前为止,在很多文章、技术资料甚至教科书里面讲述的硬盘结构模式,已经是非常老式的硬盘结构了。对于现在的新硬盘来说,都已经全部不采用这样的结构,而是采用了更为复杂、也更加科学的结构方式。
在老式硬盘中,采用的都是比较古老的CHS(Cylinder/Head/Sector)结构体系。因为很久以前,在硬盘的容量还非常小的时候,人们采用与软盘类似的结构生产硬盘。也就是硬盘盘片的每一条磁道都具有相同的扇区数,由此产生了所谓的3D参数(Disk Geometry),即是磁头数(Heads)、柱面数(Cylinders)、扇区数(Sectors)以及相应的3D寻址方式。


CHS结构体系

其中:磁头数表示硬盘总共有几个磁头,也就是有几面盘片,最大为255(用8个二进制位存储);柱面数表示硬盘每一面盘片上有几条磁道,最大为1023(用10个二进制位存储);扇区数表示每一条磁道上有几个扇区,最大为63(用6个二进制位存储);每个扇区一般是512个字节,理论上讲你可以取任何一个你喜欢的数值,但好像至今还没有发现取别的值的。
所以磁盘最大容量为:
255×1023×63×512/1048576=8024MB(1M=1048576Bytes)
或硬盘厂商常用的单位:
255×1023×63×512/1000000=8414MB(1M=1000000Bytes)
由于在老式硬盘的CHS结构体系中,每个磁道的扇区数相等,所以外道的记录密度要远低于内道,因此会浪费很多磁盘空间(软盘也是一样)。为了进一步提高硬盘容量,现在硬盘厂商都改用等密度结构生产硬盘。这也就是说,每个扇区的磁道长度相等,外圈磁道的扇区比内圈磁道多。采用这种结构后,硬盘不再具有实际的3D参数,寻址方式也改为线性寻址,即以扇区为单位进行寻址。而为了与使用3D寻址的老软件兼容(如使用BIOSInt13H接口的软件),厂商通常在硬盘控制器内部安装了一个地址翻译器,由它负责将老式3D参数翻译成新的线性参数。这也是为什么现在硬盘的3D参数可以有多种选择的原因(不同的工作模式可以对应不同的3D参数,如LBA、LARGE、NORMAL)。而随着磁盘密度的增加、机构的进一步复杂、功能和速度上的提高,如今的硬盘都会在磁盘里面划分出一个容量比较大的,称为“系统保留区”的区域,用于储存硬盘的各种信息、参数和控制程序,有的甚至把硬盘的Fireware也做到了系统保留区里面(原来这些信息都是储存在硬盘控制电路板的芯片上的)。这样虽然可以进一步简化生产的流程,加快生产速度和降低生产成本,但是从另一方面,却又大大增加了硬盘出现致命性损坏的几率和缩短了硬盘的使用寿命。我十几年前的200MB硬盘和8年前的1.2GB硬盘到现在还用得非常好,别说是坏道,连运行时的声音都是没有的,但是到后来的4.3GB、6.4GB、10GB、20GB硬盘,都没有能用超过4年的,全部坏掉了。


● 硬盘损坏的种类  

一般来说,硬盘的损坏按大类可以分为硬损坏和软损坏。

硬损坏包括磁头组件损坏、控制电路损坏、综合性损坏和扇区物理性损坏(一般人称之为物理坏道)四种。

※ 磁头组件损坏:主要指硬盘中磁头组件的某部分被损坏,造成部分或全部磁头无法正常读写的情况。磁头组件损坏的方式和可能性非常多,主要包括磁头脏、磁头磨损、磁头悬臂变形、磁线圈受损、移位等。

※控制电路损坏:是指硬盘的电子线路板中的某一部分线路断路或短路,或者某些电气元件或IC芯片损坏等等,导致硬盘在通电后盘片不能正常起转,或者起转后磁头不能正确寻道等。

※综合性损坏:主要是指因为一些微小的变化使硬盘产生的种种问题。有些是硬盘在使用过程中因为发热或者其他关系导致部分芯片老化;有些是硬盘在受到震动后,外壳或盘面或马达主轴产生了微小的变化或位移;有些是硬盘本身在设计方面就在散热、摩擦或结构上存在缺陷。种种的原因导致硬盘不稳定,经常丢数据或者出现逻辑错误,工作噪音大,读写速度慢,有时能正常工作但有时又不能正常工作等。

※扇区物理性损坏:是指因为碰撞、磁头摩擦或其他原因导致磁盘盘面出现的物理性损坏,譬如划伤、掉磁等。

软损坏包括磁道伺服信息出错、系统信息区出错和扇区逻辑错误(一般又被称为逻辑坏道)。

※磁道伺服信息出错:是指因为某个物理磁道的伺服信息受损或失效,导致了该物理磁道无法被访问。

※系统信息区出错:是指硬盘的系统信息区(硬盘内部的一个系统保留区,里面又分成若干模块,保存了许多硬盘出厂的参数、设置信息和内部控制程序)在通电自检时读不出某些模块的信息或者校验不正常,导致硬盘无法进入准备状态。

※扇区逻辑错误:是指因为校验错误(ECC错误和CRC错误)、扇区标志错误(IDNF错误)、地址信息错误(AMNF错误)、坏块标记错误(BBM)等原因导致该扇区失效。

一般来说,修复硬盘的软损坏是可能的,很多硬盘厂商发布的硬盘管理和维护软件(DM)都具备修复硬盘软损坏的能力。像扇区逻辑错误这样的问题,即使是一般的低级格式化软件,也是完全可以胜任的。不过在所有的软损坏当中,系统信息区出错属于比较难以修复的种类,因为即使是同一个厂商同一种型号的硬盘,系统信息区也不一定相同;而且硬盘厂商对于自己产品的系统信息区内容和读取的指令代码,一般是不公开的。但是对于IBM和日立的硬盘用户来说就比较幸运了,日立的DFT和IBM的DDD-SI软件对系统信息区出错还是有比较高的修复成功率的。这两个软件可是真真正正由硬盘的生产厂商发布的硬盘维修软件啊(DFT还是免费的),有非常强大的功能,效率和可靠性比起那些要价过万的第三方编写的软件都要高很多,可惜只对IBM和日立的产品有效。
当然,如果仅仅是为了修复软损坏,一个原厂的DM软件就可以完成90%以上的任务了,根本不需要购买上万元的所谓专业软件,而现在HDD Regenerator、MHDD、PC-3000和效率源等等这些软件,在宣传上就说明了他们所针对的不仅仅是软损坏,而且连硬损坏里面的物理坏道甚至是一些IC的损坏都可以修复!


PC-3000硬盘维修套装

不能说他们这样的宣传很夸张,因为理论上这确实是可能的。我们的硬盘如果在质保期内坏了,交给厂家的话,他们同样要对这个硬盘进行维修。那么,我们现在就很有必要了解一下厂家对硬盘的维修方法和过程,看看厂家是怎么样维修的,跟纯粹的软件维修有没有什么不同。


● 厂家维修硬盘的方法  

这里其实可以向大家先说明一点,即使是从厂家出来的全新硬盘,它们的盘片也不是一点瑕疵也没有的。由于磁盘的盘片比较精密,对于生产环境和移动都有非常高的要求,即使是一粒灰尘、一次很轻微的碰撞,都会产生从几个到数以百计的坏扇区。所以,一般地,按照现在硬盘120GB的容量,全新的盘片即使有几千个坏扇区也不是不可能的。只不过硬盘厂商会使用专门的设备去扫描盘片,把那些坏的扇区和磁介质不稳定的扇区都记录下来,做成一个硬盘缺陷列表,写进系统保留区,通过控制程序把这些扇区封闭起来,而硬盘的控制程序在读取硬盘的时候是不会读取这些区域的。现今的硬盘由于功能和参数复杂,写进系统保留区的信息非常多。这样,由于在底层控制的层面就已经把有问题的扇区封闭掉了,所以用户无论用什么格式化和分区软件都不会看到这部分的信息,看起来就像真的完全没有坏道一样。同时,硬盘里面还有另外一种封闭区域,又称为保留容量,它们其实是完全没有问题的好的盘面,但是因为某种原因被封闭起来了。譬如说一个硬盘是60GB,而磁碟的单碟容量为40GB,那么由两片磁碟构成的硬盘就必须封闭掉20GB的容量(磁碟的生产线都是一定的,厂商为了降低成本,都只会生产一种容量的磁碟,通过封闭不同容量的区域来获得不同的实际硬盘容量)。


硬盘厂商用于扫描和测试盘片的机器,每小时可以处理600个盘片


日立生产的用于重写伺服信息的小型伺服机,可以同时处理8个硬盘

弄清楚了硬盘的生产原理,那么厂商如何维修硬盘就很好理解了。对于控制电路、磁头等的损坏,就是应用最简单的替换法,换上新的零件就可以了。对于IC芯片的损坏,可以通过重写IC芯片的信息或者干脆替换IC芯片来修理。对于磁盘盘片的问题,情况就比较复杂。首先,厂商会用专门的仪器设备对硬盘的磁碟表面按照实际的物理地址重新进行全面的扫描,检查出所有坏的、不稳定的扇区,形成一个新的硬盘缺陷列表,然后把它写进硬盘的系统信息区,替换掉原来旧的硬盘缺陷列表。然后调用内部低级格式化程序,对硬盘进行内部格式化。程序会根据新的系统信息区信息,重新对所有的磁道和扇区进行编号、清零,重写磁道伺服信息和扇区信息。经过这样的处理,返修的硬盘就又可以像新的硬盘一样了。
有人可能会有疑问——既然有新的坏扇区加进系统保留区去了,

那么,是不是返修过的硬盘跟新的硬盘是完全没有差别的呢?这里牵涉到一个工艺学的问题——损伤的内敛性和发散性的区别,我打算留到后面说,这里先说说那些第三方软件修复硬盘的原理。


● 第三方软件的修复原理

我们这里说的第三方软件修复硬盘,主要讨论的都是修理硬盘扇区的物理性损坏——逻辑坏道没有什么好讨论的,修复并不难。目前,第三方软件修复硬盘扇区的物理性损坏一般有两个主要方式:反向磁化和修改硬盘缺陷列表。
反向磁化是最先被应用的一种修复硬盘扇区物理性损坏的方式。一般地,硬盘的磁头只能负责读取和写入信号,而读取、写入数据信号所需要的电平信号跟磁盘表面的磁介质本身是不一样的。而反向磁化就是通过用软件指令迫使磁头产生于磁介质本身相应的高低电平信号,通过多次的往复运动对损坏或者失去磁性的扇区进行反复加磁,使这些扇区的磁介质重新获得磁能力。HDD Regenerator就是最先采用这种方式的软件,后来有一些软件通过分析它的算法和指令,也掌握了反向磁化的信号,采用跟它相同或者相似的引擎进行反向磁化。要注意的是,现在市面上有不少所谓的专业硬盘维修公司发布了一些自称可以维修硬盘坏道的软件,一般也要300元左右,其实他们只是通过Ultra Edit、Pctools等二进制编辑工具对HDD Regenerator的界面信息进行改写;或者对HDD Regenerator进行脱壳,换上自己编写的外壳界面摇身一变而成的。说白了就是盗版的HDD Regenerator,这请大家务必区分清楚。进行反向磁化最大的缺点是速度慢,对一个磁介质不稳定或者失去磁能力的扇区进行磁化,磁头很可能要往复成百上千次,如果硬盘只有几十个或者几百个坏扇区的话,慢慢熬也是可以的。但是现今硬盘动辄上百GB的容量,有上万个坏扇区也是很平常的事情,这时候如果用这种方法去修,大概还没有修到10%,磁头就会因为疲劳过度变形了,本来通过隐藏分区后还可以用的硬盘就会彻底报废。而且这些扇区的磁介质本身就是不稳定的,即使磁化了,在一段时间内可以使用,但随时有重新失去磁能力的危险,硬盘其实并不稳定。同时,这种方法并不能修复物理划伤这种硬损坏。
修改硬盘缺陷列表的方式就是对反向磁化的改进,这种方法和上面说的硬盘厂商的维修方式非常相似。前面说过了,硬盘厂商对于自己硬盘产品的系统信息区的信息内容和读取的指令代码,一般是不公开的,但是一些技术人员通过分析和逆向工程,破解了厂商的指令代码甚至Fireware,使得他们可以编制出程序软件,自由地读取、修改和写入硬盘系统信息区的信息。这样,他们同样可以像硬盘厂商一样,编写程序对磁盘盘面按照物理地址进行扫描,重新构造出新的缺陷扇区列表写进系统保留区来替换原有的列表。经过这样的软件维修的硬盘,理论上说是跟硬盘厂商维修的硬盘是没有差别的。这种软件因为有了这个功能,所以价格非常昂贵,PC-3000要上万元,效率源专业版(零售版只能修复ECC错误和CRC错误,其实什么也干不了)也要六百多,而且他们是不包括以后的升级技术支持的,因为这些软件有着一个非常致命的弱点——毕竟他们是通过破解获得的数据,在一定程度上说是非法的。不同的硬盘厂商、甚至同一厂商不同型号的硬盘,对于系统保留区的控制代码都是不一样的,Fireware也不同,为了让软件有通用性,他们必须通过不断地破解新的硬盘型号才能使软件支持更多的硬盘。而如果因为你购买了一套软件他们就要不断给予升级支持的话他们是绝对不干的,为了要修更多的新的硬盘型号,你就必须不断地支付升级费用。在另一方面,对硬盘的系统信息区信息,如果破解得好还可以,如果破解得不好,把信息修改写进去以后,轻的会让硬盘在读写时频频出现错误,不稳定;重的就会报销掉这个硬盘了。


● 最后的分析

前面我已经提到过,其实返修盘和全新的硬盘还是有差别的,那么差别在哪里呢?很简单,在全新的硬盘中,扇区的物理损坏是在生产过程中产生的;而需要返修的硬盘,扇区物理损坏是在使用过程中产生的。而不同的物理损坏产生环境,直接影响到这个损坏的破坏力大小。
为了说明这个问题,我举一个电镀的过程做例子,虽然不一定完全是这样的,但这确实是材料学和工艺学的范畴,即使是磁盘盘面的加工也逃不出这个范围。如果电镀过程中因为某些原因,导致一些地方的镀层过薄或者根本没有镀上,那么这一部分就是缺陷部分,它会很容易氧化生锈。这部分的生锈会蔓延和扩展到原来镀得好、没有缺陷的部分,但是这个过程是非常慢的,因为这个缺陷是在生产过程中跟镀层一起同时形成的,镀层的边缘还封闭得非常好,所以这个缺陷是内敛性的,它的蔓延和扩展会比较慢。而如果原来的镀层是完好的,后来你用刀子刮去一部分镀层,那么就出现了一个发散性的缺陷。因为在这个缺陷中,你不但破坏了缺陷表面的镀层,而且连完好部分的镀层的边缘也被破坏掉。在这种缺陷中,氧化生锈的蔓延和扩展非常快,很快就可以在完好的部分中产生出一大片氧化生锈的区域。
硬盘盘片的生产原理也是一样的。大家都知道,坏的扇区是会蔓延的,即使封闭了这部分扇区不进行读写,它们同样会在盘面上蔓延。在生产过程中形成的坏扇区,周围的磁介质晶体仍然是均匀的和致密的,物理性质仍然相当稳定,在这样的环境中,坏扇区的蔓延是一个非常缓慢的过程,恐怕即使硬盘的使用寿命到了它还没有蔓延出多远。而在使用过程中因为碰撞、划伤而产生的坏扇区,周围的磁介质晶体是处于破碎和疏松的状态,这样,这个坏扇区的蔓延就会非常快,很可能你刚刚封闭了它不久,它就又蔓延到没有封闭的完好区域去了。由于有这样的潜在不稳定性,所以在北美,一般返修的硬盘都会打上返修标签,用非常便宜的价格出售(大概只有市价的1/2到1/3),甚至有一些公司就干脆把返修盘全部拿到亚洲或者一些第三世界国家的市场去卖了。
对于已经返修的硬盘,由硬盘厂商返修和给外面的维修人员通过软件修复,虽然在理论上是基于同样的原理,但是实际效果还是不一样的。用软件修复,需要硬盘的磁头不断读写每个扇区,以确定此扇区是否确实失去磁能力,这个读写过程可能要循环上百次甚至更多。这样一个个扇区不断地读写下去,花费的时间非常长,譬如MHDD,在默认参数下,随便对一个3.2GB的硬盘作扫描,很可能就需要48小时甚至5天的时间(根据坏盘情况的不同,时间有很大区别),而且必须连续工作不间断。这样对硬盘磁头和盘片本身的损害是非常大的,本来就已经不是好盘了,再经过这样的折腾,就算是修好了,你敢用来装一些有用的数据吗?
如果在硬盘厂商那里返修,他们会使用专门的机器,那些机器采用的是光学原理来对盘片表面查错(具体细节比较巧妙,就不说了,物理或者电子专业的朋友应该都知道),而不是用磁头真正地读写盘片的表面。在这种机器里面,当不同种类的扇区——完好的和有缺陷的:如盘面划伤、磁介质有杂质、磁介质疏松、磁性能不稳定等,通过检测点的时候,会产生不同的反馈光信号,机器会根据反馈的光信号记录下全部有缺陷的扇区记录和相应的扇区位置,编成硬盘缺陷列表。因为不是通过物理磁头读写,所以不但扫描检查的速度飞快,而且对硬盘的盘片伤害会小很多很多。




● 结论和一些多余的话  

到了这里,我们是不是已经可以得出一些结论了呢?结论我就不说了,各位读者应该可以自己作出判断。我丝毫不怀疑写出这些硬盘维修工具程序的人是天才,甚至破解别人程序引擎的人也是天才,但是一切事物都有自己的客观规律,不会以某些人过头的宣传和意志而转移。软件能实现很多功能,但是同样地,有一些功能是它们不能、也不可能实现的,这个世上本来就没有能治百病的仙丹,软件也一样。
现在硬盘的价格是越来越便宜了,80GB的硬盘只要600元,设计的使用寿命也就大概是3年左右。老实说,如果修理一个20GB的硬盘要100元或者买一个二手的20GB硬盘要150元以上,那我干脆就买一个新的算了——就算修好了硬盘或者买了一个二手硬盘,也是绝对不放心用这个盘去储存重要的数据的。
不过我也并不是完全排斥二手硬盘,毕竟它们比较便宜,对一些不需要很大容量,只需要基本功能和用途的用户来说也是一个不错的选择。目前国内二手市场最发达的莫过于广州(只限于讨论正常渠道,有一些地方的非正常渠道非常发达,不过不在此次讨论的范围),番禺是二手计算机零配件和外设的最大集散地,内地很多二手硬盘的销售商都是通过广州的渠道进货然后发往内地的。对于单独一个零售的商户来说,每天二手硬盘的交易量也就是几个、十几个。但是对于那些二手硬盘的批发商来说,每天的交易进出量和单位价格不是用个来算,而是用吨计算的。在番禺,一个普通的批发店,平均每天的交易额就可能有几百甚至上千个硬盘。按照这个交易量,他们应该是不大可能会有这个时间用软件去扫描和修复硬盘的。同时,大家也许不知道他们是怎样把国外的二手电脑零配件或者整机运过来的,我这里可以简单说一说。在发达国家,是不允许把淘汰的电脑随便扔到垃圾箱里的,让路人或者邻居看到了报警的话会被罚很多钱。因此,在国外收二手电脑或者零配件,收购的人并不需要付任何费用,相反,那些需要淘汰电脑的公司和个人必须支付相当一笔费用给收电脑的人,让他们把电脑拉走。正因为这样,在国外收旧电脑可以说是无本生意,加上每个集装箱的运费也就1000美元左右(现在国家不允许进口洋垃圾,但很多二手的电脑零配件还是可以进来的,加上商人们总有很多办法,而且可以通过各种填报海关单据的方式来把进口税也逃掉),所以国内的进货价格之低是你们绝对不可以想像的。国内的硬盘批发商都是用自卸车一车一车拉回来,哗啦哗啦一下整车倒在地上。因为他们的批发价格已经非常低,根本不在乎破损率,不需要理会硬盘会因此而产生坏道和盘体变形,只需要快点出货,然后又快点进货。因此,这里我可以很负责任地告诉大家,通过这种渠道进来的硬盘,几乎100%都是有这样或者那样的缺陷的,如果是从本地公司或个人淘汰机器里面收购来的另当别论。各地的中间商都会把批发过来的硬盘先简单修理一下才发给零售店,由此,我们可以知道,需要这种软件的多半是中间商和零售的商户,他们用比较低的价格进来了一批二手硬盘,但是每天出货的量不多,如果能够把硬盘的坏道全部屏蔽起来,恢复到好像没有坏道的样子,那么同样一个硬盘的零售价可以提高50到100元。这样的盘当然也是可以用的,但大家就需要根据自己的实际用途和数据的重要程度,来决定是否购买和使用这些硬盘了。不过,我相信大家应该可以从自己的实际需要出发,决定怎么花自己的钱。

顺便说几句多余的话,有人可能会因为自己现在使用的电脑型号比较老,不能辨认大硬盘而对购买新硬盘有所犹豫。那么我可以说请放心,连什么硬盘厂商的大硬盘支持程序都不需要的。如果你的主板BIOS是Award的,那么你只要下载一个叫BP的小程序(全称BIOS Patcher,可修改主板BIOS程序错误,打开被屏蔽的功能;目前只支持Award BIOS。下载地址:
http://www.rom.by/Award/patcher/bp-4rc_F.rarBIOS Patcher官方介绍(点击访问)),假设你的主板BIOS文件名是1.bin,那么你在纯DOS模式下输入命令:bp 1.bin,然后把这个文件刷回主板,一切就搞定了。现在,不管你的主板有多老(甚至是老奔、VX主板),它都可以支持到137GB的大硬盘啦。



===============================================================================
就怕硬盘伤—谈硬盘维修与数据恢复
===============================================================================
作者:加拿大·致鸣 日期:2003-12-08 09:18:38


内容导航
第1页:【前言】
第2页:【硬盘市场的现实】
第3页:【形形色色的硬盘维修】
第4页:【数据恢复简介】
第5页:【几种硬盘问题的菜鸟处理方法】
第6页:【后记】



第1页:【前言】

在10月号杂志(大众硬件)上发表了《软件能够修复硬盘吗?——硬盘损坏全分析》一文后,这篇专题也同时被各大网络传媒转载,产生了很大的反响。本人通过各种渠道收集汇总了一些反应和意见,很多消费者都是通过这篇文章才第一次听说过这样的事情和其中的内幕,非常支持这样的文章。当然,各种反应里面也少不了一些业内人士的责难,认为这样的文章对这个行业的发展不利。不过不管怎样,我认为敝帚自珍和信息封锁才是对硬盘和数据行业发展的最大不利因素;让大家多了解一些这方面的信息,从总体上提高大家对这个行业的认知水平,才真正有利于国内硬盘维修和数据恢复行业的水平提高。正是基于这样的想法,于是就有了这篇后续的文章。由于对象仍然是普通的DIYer和广大消费者,因此仍然采用比较通俗的叙述方式,尽量避免使用过于专业的词汇和高深的所谓“理论知识”。还要指出的一点就是,IDE硬盘和SCSI硬盘内部的具体结构和原理是不同的,SCSI硬盘比IDE硬盘要复杂得多。

基于本文只是出于普及的目的,为了叙述上的通俗简单,本文所说的硬盘都是指IDE硬盘。


第2页:【硬盘市场的现实】

有8~10年甚至更长时间的电脑使用经验的人会有很深刻的体会——现在硬盘的质量是越来越差了。回想起来,从前的600MB、1GB、1.2GB、2.1GB时代,很多硬盘跟现在的硬盘相比,唯一不足的地方就是容量没有那么大,速度没有那么快;但在实际使用中,其他很多方面那些硬盘都比现在的硬盘要优胜。譬如噪音很小,甚至几乎要把耳朵贴在盘体上才能听到硬盘转动的声音;使用寿命长,我一个朋友家里一台IBM原装的486DX33电脑,里面的200MB硬盘居然到现在还在正常使用,没有噪音,没有坏道,寻道时间仍然可以达到标称的数值,性能没有任何下降;盘体质量好,我把自己能够收集到的从200MB到2.1GB的硬盘放出来,发现那些硬盘绝大部分的盘体至今还是闪闪发光,坚固无比,没有任何氧化、锈蚀和痕迹,而从3.2GB开始,使用超过3年或更久的硬盘盘体就开始黯淡无光了,甚至可以轻轻摇出响声来;电路板用料十足,下面有两张图,希捷3.2GB硬盘电路板是大板,昆腾15GB硬盘的是曲尺电路板,比较一下板的做工和上面的电子元件就很能说明问题。为什么会发生这样的情况呢?



(3.2GB和15GB硬盘电路板的对比,明显发现3.2GB的质量好很多)


(希捷1.2GB、昆腾15GB和西数80GB对比)

发生这种情况的原因固然很多,也不可能在一篇文章里面细细说明。对于硬盘耐用性变差这一点,厂商的说法是硬盘转速加快、数据密度增加、耗电量增加、发热更多,所以寿命缩短了。媒体的说法是硬盘产业整体利润率下降,竞争日趋激烈,硬盘厂商为了加强竞争力,必须采取措施 有效降低产品成本。这些说法固然有他们的道理,不过我今天不想在这里讨论这些老生常谈的问题,我想说一个我亲身经历的事情作为例子——这只是硬盘厂商面对的众多问题中很小的一个,当然不足以构成厂商采取实质性行动的原因,但在多种问题的综合作用下,情况就不一样了。我有一个老美朋友,因为不方便说姓名,我暂且把他叫Dick,在某硬盘厂家做事。有一年他放年假时跑到加拿大,逼着我让他在我家里睡了两天沙发。有一天偶然聊起公司不顺心的事情,他马上大发牢骚,说:“Jack(暂时这样称呼自己),你们中国人很让我头痛呢。”我很奇怪,问他为什么这样说,他解释了半天,我明白了,原来他们公司的硬盘那段时间突然在中国市场的返修率直线上升,给公司的质保部门非常大的压力,也使公司的售后服务费用大大超出预算。公司马上派人去了解,得出的结论是虽然公司准备在海外设厂,在生产上有一定调整,导致某些型号的产品质量出现少许波动,但这并不构成中国市场返修率突然上升的主要原因。主要原因是因为他们提供3年的质保,很多用户在众多的宣传中知道这个牌子的某些型号有一些问题,就把目标扩大到全系列的产品,即使自己的硬盘用着一直没有事情,但还是在2年到2年半这段时间内跑到经销商那里去要求换盘。为了达到退换的目的,很多消费者使用了不良手段——用毛巾包裹硬盘,在加电开机后把硬盘往桌面上砸或者用锤子敲;或者使用一些自己编写或现成的小程序,发出一些指令,让硬盘磁头疯狂地来回摇动,在短时间内导致磁头悬臂变形和盘面产生物理划花。正是因为这样的原因,使公司的产品在中国市场的退换和返修率大大上升(要知道,一般地,当时他们公司的硬盘返修率是不到千分之一的,即使变成千分之二也已经超出好多倍了,更何况他们当时比这个更高)。公司让他研究解决这个事情,他经过了解和研究,知道其实其他公司也面临着同样的问题,只不过他们公司因为在中国市场占有率高,所以问题更严重而已。办法好想,他说可以更改一下硬盘的设计,这样硬盘退回时他们可以通过特别的手段查出硬盘是自然损坏还是非正常损坏的。不过公司对他这个方法却不屑一顾,因为这个设想虽然好,但是却没有任何实际的可行性——退换过程通常都是消费者和经销商之间的行为,而经销商没有这样的验证手段,等硬盘汇集到公司的时候已经太晚;同时,即使公司知道了硬盘损坏的原因,还是没有直接的证据来拒绝退换;更进一步,就算有证据,也还是不可能拒绝售后服务,以免被对手大肆宣传,得罪全体消费者。他正是为了这个原因而憋气呢!

当然,我们现在已经知道硬盘厂商如何解决这个问题了——虽然采取这样的措施同时也是基于一个全球的大环境。当时的竞争激烈,硬盘利润空间不断下降,厂商如果同时再要负担这样沉重的售后服务的话,就根本没有任何利润可言了。于是,他们解决的方法出奇地一致——降低产品成本,缩短保修期限,以便保持相当的利润。这里,我已经不知道说什么好了,少数消费者自私自利的不良行为,损害了全体消费者的利益,其他大部分遵纪守法的消费者要替他们陪葬。我这里绝对不是要鼓吹让大家都跑去退换,因为这样只会导致市场进入恶性循环,少数人会因退换好像会占了便宜而窃笑,但最终受到损害的还是他们自己,而且还赔上了其他没有这样做的人。[Pophard:希望大家能遵守这个行业的游戏规则,使市场呈良性循环发展,大家都能享受到良好的售后服务,也可以用上更优质的产品。]

当然,在一片降低成本的呼声中,也有部分厂商跑得太远,偏离了正常轨道。最明显的问题就是伺服口的处理问题。熟悉硬盘的朋友都知道,硬盘上面有一个孔,一般都是用铝质贴纸封住,有的甚至还用金属片包住封口的贴纸,防止它被破坏,这个就是伺服口(有一些销售人员叫这个是真空封口,其实是错误的,硬盘内部并不是真空,磁头要靠空气的气垫原理悬浮在盘片的上方来读取数据。这个封口的作用其实是防止灰尘进入硬盘内部,因此,正确的说法应该是——硬盘内部是无尘的)。一般而言,盘片的磁道构造都不是在装配之前进行的,想想都知道,3英寸的盘片上要储存几十GB数据,磁道一定是要非常细密的才可以做到。如果在装配之前构造磁道,那么只要装配中出现非常微小的误差,都可能使装配好的硬盘在工作中出现这样或那样的问题。同时,装配过程中还可能出现轻微的碰撞,产生坏扇区,如果在装配前构造磁道,就不可能找出这些坏扇区来加以屏蔽了(详情请参阅第10期《软件能修复硬盘吗?——硬盘损坏全分析》)。而伺服口的作用,就是在装配好硬盘以后,机械手能够从这个孔伸进去进行扫描和写入伺服信息,构造磁道,这样,只需要对硬盘进行一次扫描和写入过程就可以完成伺服信息的写入,而又能最大限度保证伺服信息的准确和硬盘成品的可靠性。伺服口的数量有可能是1个、2个、3个或者更多。单片单面的磁盘只需要1个伺服口,单片双面的需要2个,双片3面的也是2个,双片四面的是3个,如此类推。

伺服口是不可以破损的,一旦破损,空气中的灰尘就会进入硬盘内部。而对于磁盘的盘面来说,一粒灰尘就相当于一个炸弹。即使只有一粒灰尘进去,在高速旋转的盘片上,灰尘会像弹球一样跳来跳去,不断击中盘面,形成大大小小的坏扇区。因此,硬盘厂商对于这样的硬盘是不予维修的。大家可以看到,在伺服口的贴纸上,都会有这样的说明——Warranty Void If Remove(一旦破损,保修失效)。但正是在这个盘体最重要、也是最脆弱的地方,某个硬盘厂商有意无意地出现了比较严重的设计失误。如图,某些硬盘厂家用来保护伺服口的材料,除了没有足够的凹陷以外,保障硬盘内部绝对无尘工作环境的竟然是一张15mm×8mm、厚不到0.1mm的小纸片(真的是纸片)!只要一个不小心刮破这张薄纸,整个硬盘就全报废了。稍有DIY常识的人都应该知道硬盘安装的过程中,要把硬盘插到硬盘架上,其侧面和机架有点磨擦是很正常的事,而且这个地方也是拿硬盘时手指最容易戳到的地方,没有足够的凹陷而把纸片暴露在这个位置上那简直就是在玩火了。如果哪个硬盘厂商在不少顾客因为不小心刮破了这张纸导致硬盘报废后,拒绝为顾客提供三包服务,而要让顾客来为他们的设计失误买单,那样就确实有点过分了。


(某品牌硬盘缺乏足够保护的伺服口)

正是因为厂家对低成本的追求,使一个虽然已经存在很久,但是一直没有获得足够发展空间的行业得到了期待已久的发展时机,这就是硬盘维修行业。因为如果硬盘能够一直都非常稳定地使用比较长时间的话,那么对于用户来说,没坏的不用修,用个六七年的话即使坏了也没有维修的必要了。但现在情况有点不一样了,不少硬盘刚过了保修期不久就坏是很常见的事情,而花一千或几百元买来的硬盘用了两年就扔的话恐怕谁也不会心甘情愿吧,这就造成了对硬盘维修的市场需求。


第3页:【形形色色的硬盘维修】

在《硬盘损坏全分析》中已经分析过硬盘故障的种类,这里就专门针对日常使用中最常见的几种来逐一分析,概括地说明一下专业硬盘维修的一些具体方法。

1.逻辑坏道

这是日常使用中最常见的硬盘故障,实际上是磁盘磁道上面的校验信息(ECC)跟磁道的数据和伺服信息对不上号。出现这一故障的原因,通常都是因为一些程序的错误操作或是该处扇区的磁介质开始出现不稳定的先兆。一般在操作中的表现就是文件存取时出错,或者硬盘克隆的时候到了出错的地方就弹出出错信息,不能再继续下去。消除这些逻辑坏道的方法其实比较简单,最常用的方法就是用系统的磁盘扫描功能。在DOS下面用Scandisk扫描,系统可以把逻辑出错的扇区标出来,以后在进行存取操作时就会避免操作这些扇区。当然,如果单单是软件的错误操作造成的,也可以用原厂的工具进行全盘低格来重新恢复所有有逻辑错误的地方。也有的人利用HDD Regenerator、效率源之类的软件消除扇区错误,重新激活这个扇区。不过对于那些因为是该扇区的磁介质不稳定造成的错误,这里还是不推荐使用重新激活的方式,以免在储存了重要信息后再次出错。


(MS的Scandisk,非常经典的画面)

2.物理坏道

这个也是比较常见的硬盘故障,实际上是因为震荡、划伤等原因导致一些扇区的磁介质失去磁记忆能力而造成的。通常这样的损坏修复都比较麻烦,因为在硬盘内部的磁道列表中,这个扇区是被标记为正常的,是真实的物理存在,所以它不能通过扫描、格式化、低级格式化或者激活扇区的方法消除,而必须把这个扇区加入到设置在硬盘内部的系统保留区内,由工厂设置的缺陷列表(G列表和P列表)中去,才能在硬盘控制系统的可见范围内消除这个坏道。当然,这样做需要专门的软件(目前能够比较容易找到,而且已经经过长时间市场实践检验的就是PC-3000),价格也非常高,如果大家想要这样做,只能找具有这样设备的专门维修商来修理了。对普通用户的价格大概是每个硬盘100~150元,是否值得就让大家自己考虑了。

不过,这里有必要提醒大家一下,请多多关注各大硬盘厂商的网站,有些厂商提供的原厂工具也可以对少量物理坏道进行处理,把它们加入G列表甚至P列表。譬如IBM/日立的DFT和西部数据的Data LifeGuard Diagnostics。这些原厂的工具软件都是作为向购买该厂硬盘的消费者提供的售后服务而免费提供的,不但扫描速度快,而且辨别准确率高,能够对比较普遍出现的硬盘问题作出相应的处理。对硬盘内部进行操作毕竟是比较危险的,还是原厂的东西比较可靠。除非碰上原厂工具不能解决的问题,否则不推荐大家使用第三方工具软件。

相对于上面那种比较高级的隐藏方式,也有一些要求不高的用户,不需要这样高级的隐藏方式,那么他们可以通过FBDisk和Disk Genius这一对软件的组合来把坏道所在的位置做成隐藏分区隐藏起来。具体的操作并不复杂,即使是稍有计算机经验的“中鸟”也应该可以很容易掌握,这里就不再细说了。


(Disk Genius)


(FBDisk)

(小技巧:加入坏道列表和隐藏分区这两种方法在效果上的区别有两点,第一是隐藏分区方式会减少硬盘的可使用容量,而加入坏道列表则不会;第二,在坏道比较分散的情况下,需要使用多个隐藏分区才能全部屏蔽坏道,造成分区过多,影响硬盘使用效果;第三,坏道列表的数量是有限制的,坏道数量不能超过一定的值,如果坏道数量大而相对集中,隐藏分区不失为一种好办法。这里介绍另外一种折中的方式,类似于隐藏分区,但又不会因为分区过多而影响使用。不管三七二十一,先按照你自己的需要对有坏道的硬盘分好区,然后准备一个500KB左右大小的文件——我觉得一张JPG图片就不错,不断复制,生成许多同样的副本,用编号来为这些文件命名,从1开始一直下去——用ACDSee的批量编号命名功能就很好。然后,开始一个一个复制到有坏道的硬盘里面去,碰到有咔咔声响、或者复制速度突然变得很慢的地方,就是坏道了,记下当时这个文件的编号,如此不断继续,一个分区完了就进行另一个分区。把整个硬盘都填满以后,所有被记下编号的文件就是硬盘坏道的地方了,把这些文件设置成“只读”、“隐藏”,其他全部删除。这样,只要你不去动这些剩下的文件,磁头就不会去动那些个坏道了,非常方便,比隐藏分区要好。如果你的系统设置是可以看到隐藏文件的,而你又恰恰是一鐾昝乐饕逭撸醯谜庑┪募拇嬖诨故翘拢敲葱陆ㄒ桓鑫募校盐募纪系嚼锩嫒ィ贸锻米又嗟墓ぞ咭氐粽飧鑫募校蔷汀罢鍪澜缍记寰涣恕薄#?

3.大面积物理坏道

这样的硬盘就算是重病缠身,能继续用多久就要看天意了。如果有几块不同的大面积物理坏道,而且分布在不同的盘面上,那么我劝大家别花这个力气了。如果是虽然有大面积坏道,但全部都聚集在一个盘面上,那么你的运气比较好,真要修的话还是可以的,但是要损失硬盘容量。方法就是通过专门的软件,把有坏道的盘面整个屏蔽掉(其实就是把负责读取这个盘面的磁头停掉,并且在硬盘保留区的控制信息中抹去这个磁头的信息,当作没有这个磁头存在),这样就等于像做肿瘤切除手术一样,把这个有大面积坏道的盘面整个切除。如果是单片双面的硬盘,这样要损失一半的容量,双面三片损失1/3,双面四片损失1/4。给硬盘做这样的“手术”同样需要找具有这种设备的专门维修商,至于值不值得这样做就不是我能决定的了。


(只有一面有大面积坏道)


(多个面有大面积坏道)

4.磁头定位不准

这个问题也经常可以碰到,其实就是磁头因为装配上的轻微误差,导致在硬盘长时间使用后问题恶化;又或者是硬盘的磁头长期工作后出现疲劳现象导致这种情况的发生。有时候一些硬盘读写特别慢,拷贝一个文件老半天没有反应,或者有时候会听到轻微的咔咔声,也许就是磁头定位不准而产生的问题。对于这样的问题,还是需要找专门的专业软件或者找有这些专业软件的维修人员,通过软件对磁头的控制程序做出轻微的调整,一般就可以恢复正常使用。不过如果硬盘已经有一定的“年纪”了,或者平时就是不间断、大负荷使用的话,磁头就确实已经疲劳或者老化了,即使经过调整暂时把问题掩盖起来,还是会在不长的时间内再次出现的。

5.磁头变形

这个跟磁头定位不准是不一样的,即使是微小的变形,对于读取数据所需要的精度来说也已经是太多了,用软件调整的方法不一定可行。处理这样的问题,最简单直接的方法就是像处理大面积坏道一样,把这个磁头停掉。这同样会损失这个磁头所负责读取的盘面的那一部分容量。

6.控制芯片或者电路板烧坏

这样的问题没说的,一般最直接的方法都是找另一块同样型号的硬盘的电路板,把坏的电路板换下来(维修的人管这个叫“换板”)。或者找一块相同型号的芯片,写进同型号硬盘的芯片信息,然后换到电路板上去。

说句实在话,其实硬盘保留区的信息和内部指令,是由硬盘厂商开发出来的,也受到知识产权和专利的保护,那些专业软件通过破解内部信息和指令的方法来维修,从严格的法律意义上来说,并不是一种正确的途径。而且,对于硬盘维修这个行业,硬盘厂商心里面肯定是蛮不舒服的——要是所有人在硬盘坏了的时候第一时间都是考虑先试着修一下,将就着用,那么谁还会去买新硬盘呢?在这个微利时代,厂商的盈利要建立在大量出货的基础上,如果销售量上不去,那么对硬盘厂商的打击是相当大的。尽管如此,但是他们嘴上却不能有任何表示——不让消费者维修,逼着他们买新的,这个罪名可没人担当得起。于是,硬盘厂商只能在暗中采取一系列措施来防止硬盘保留区的信息和指令被破解。

首先是不断开发新的信息格式和新的指令集。不同厂商的硬盘内部的信息格式和指令固然不同,就算是同一个厂商的不同型号硬盘,内部的信息和指令也有可能是不同的,这样就无形中增加了破解的难度——为了能维修不断增加的新的硬盘型号,开发这些专业软件的公司就必须不断研究新的硬盘。

其次是采用芯片和硬盘内部信息结合的方式来杜绝换板。现在的硬盘,在控制芯片内部和硬盘保留区内都有一个唯一的串号,每一个硬盘的串号都是不一样的。在硬盘启动时,硬盘内部控制程序会先把在芯片中的串号和保存在磁盘上面的串号作对比,两者一致才继续初始化;如果两者不一致,就挂起。这样,即使更换了同样型号的硬盘电路板和芯片,也会因为内部串号校验的时候不能通过而无法启动硬盘。

最后一个方法是“釜底抽薪”,从根本上扼杀这些靠破解指令生存的公司的空间。其实,以前很多硬盘厂商提供的工具里面是有盘片扫描、加入坏道列表等功能的,像希捷的Disk Technician Factory Test。只是后来因为厂商希望加快硬盘的生命循环周期,才把这些功能去掉了。但是现在,一些厂商又开始在最新版的原厂工具里面重新加入这些功能(像IBM/日立和西部数据),有的甚至还加入了对硬盘固件(BIOS或Firmware)进行简单修复的功能。当然,为了避免这些工具真的会有“起死回生”的能力,厂商们在功能上都作了一定的限制,避免功能太强,但即便是这样,也足够应付日常产生的绝大部分问题。原厂的工具绝大多数是免费的,而其他公司的工具价格都是上万元,用户们用脚趾头都可以作出选择,这就从根本上扼杀了这些第三方公司的软件的生存空间。

不过对于硬盘维修,最近国内业界发生了一些事,使我觉得有不吐不快的感觉。目前能称为专业级的软件,一般都是来自俄罗斯和乌克兰,如PC-3000、MHDD、HDD、HRT等等,国内目前能放上桌面的大概就是效率源了。根据效率源的宣传资料,他们说是可以“修好”物理坏道,让硬盘“完全跟新的一样”,这样的话就比较值得认真探讨一下了。真的是可以“完全跟新的一样”吗?其实磁盘表面的物理损坏,无非来自两种原因——磁介质不稳定和表面破损。一个扇区的磁介质不稳定,对相邻的其他扇区的磁介质影响非常非常微小,因此屏蔽掉后确实不会影响使用;而且只要其他的扇区磁介质仍然有足够的稳定性,这个硬盘还可以继续稳定使用一段较长的时间。但是构成物理坏道的原因,差不多90%来自因为碰撞、磁头划伤而导致的盘片表面破损。这种破损对周边扇区的影响是非常大的,破损处表面的磁介质晶体处于碎裂和疏松状态,在硬盘盘片以5400转/分或者7200转/分的转速高速旋转时,该处的破损晶体要承受多大的内应力、多大的离心力、多大的空气摩擦力、多大的热张力,都是有定律可遵循、有公式可计算的。在多种力的作用下,这个伤痕就会慢慢向四周蔓延,导致周围的扇区也出现坏道,并且越来越多。因此,类似效率源这样的宣传其实是不科学,也不负责任的,硬盘虽说是高科技产品,但总还是地球人造出来的,还是要遵守地球上的物理定律的吧?还有,最近效率源推出了全新的版本,据说是全面改进了维修方式,比外国产品还要先进。通过一些朋友的帮助和其他渠道,我找到了他们的试用版,在试用以后,发现这个软件在设计上存在非常大的问题,一是对芯片组的兼容性有很大漏洞,在我的MVP3机器上运行昆腾模块就出现挂起不能启动的错误;第二是出现漏查和把好盘修坏的错误,在一块被效率源迈拓模块修好了的迈拓盘上,用MHDD扫描仍然发现有错误,而在经PC-3000扫描过的迈拓硬盘上,效率源却说有坏道并且大肆修复一番,把缺陷列表改得不成人形了。看来,这个版本的推出实在是过于匆忙了,连作为软件产品的基本稳定性都还没有具备。另一方面,应该是效率源为了缩短扫描时间(如果按照MHDD的默认扫描方式,一块有5000个坏道的40GB硬盘扫描1个星期大概还不能完成),采用了简化算法来扫描,结果快是快了,但也出现了很多漏查和错误判断。这个问题也凸现出在程序设计的基础理念、总体控制、查错算法和对硬盘内部信息的理解上,国内的技术员跟国外相比还是有很大的差距啊。

其实,从总体上说,用软件来维修硬盘,本身就是层次比较低、成本也比较低的维修方法。因为用软件修,毕竟还是需要硬盘可以转动、机器可以认出硬盘型号和参数、磁头仍然可以运动并读写等等先决条件,一旦碰到一些死得特别彻底的(如硬盘哐哐响,盘体明显变形等),软件也就根本没有办法了,所以财大气粗的老美就对软件维修硬盘这个玩意儿不大感冒(这也是一众硬盘厂商没有对破解硬盘信息的公司采取决定性法律措施的原因之一),但是老美却具备世界上最尖端、也是最高成本的维修技术。至于他们拿这些技术干什么用的,下面很快就会提到。下面先讲一下成本比较高,可以修一些已经本身不能动、机器认不出、可以说已经判了“死刑”的硬盘的方法——开盘维修。

通常,普通的老美用户都不修东西,硬盘坏了就扔掉换一个。类似象上面那些层次的损坏,除了逻辑错误,他们都是不去修的。但是,也确实有一些非要维修不可的时候,对于一些有盘体变形、磁头松脱、盘片偏心、马达损坏等问题的硬盘,却非要修的时候,他们通常会采取开盘维修法,拆开硬盘,矫正或者更换盘体、磁头,矫正盘片转轴、更换马达等等。不要以为这样很简单,因为开盘维修需要无尘程度非常高的无尘工作台甚至无尘工作间,光是配置一个这样的工作环境就不是普通公司可以承受的。目前国内能达到100级的无尘工作台或者超净工作室已经不多了,而对于维修这些损坏种类的硬盘来说,需要更高级别的无尘工作空间。单单是维持这样一个工作环境就已经所费不菲,难道老美们都疯了,要把钱往海里扔?当然不是,因为不单单在美国,在俄罗斯或者其他国家,同样有具备这样先进的技术和设备的维修公司,来对那些非修不可的硬盘进行维修。

说句实在话,一个硬盘才多少钱?值得那样大动干戈?确实,单单是维修硬盘本身的话就实在是太不符合成本效益原则了,但这些公司的目标明确得很,只有一个字——利!所谓“利之所在,趋之若慕”,他们之所以舍得下这样的本钱,当然是背后存在着比这个本钱更大的利益,而这个利益就是——数据恢复!


第4页:【数据恢复简介】


本人一向认为单纯为了维修而维修的硬盘维修实在没有太大意义,除非是那些一门心思要当二手商人的批发和零售商(不过请不要受到我主观观念的影响,大家可以根据自己硬盘的用途,对是否值得维修独立作出判断)。毕竟,硬盘维修的“维修”跟普通意义上的维修是有很大区别的。如果我们坏了一块主板,经检查发现是一个三极管烧了,我们可以更换一个新的三极管,这样,这个三极管仍然可以实现原来三极管的功能,主板没有受任何影响,坏的地方也就不存在了,我们可以说——这块主板修好了。但是硬盘不一样,所谓的“维修”,只是把盘片上的坏道、硬盘内部的缺陷等等问题掩盖起来,不让硬盘的控制系统和计算机操作系统发觉而已,那些缺陷仍然实实在在地躺在硬盘里面,成为随时可以再爆发的定时炸弹。因此,单纯的维修,只能使硬盘暂时恢复可用性,我认为意义不大。而如果维修是为了让硬盘可以暂时使用,使用户可以重新读取盘里面的数据并备份到其他地方,那么这应该是值得的,毕竟用户的数据在一定程度上是无价的。(PS:比较讽刺的是,当一些二手商通过简单地隐藏分区来隐藏坏道的时候,不少硬盘维修商还振振有词地说那些人是利用了部分消费者的无知来坑人,是*商;而他们才是真正的维修,所以他们的工作是如何复杂、技术要求如何高,他们人是如何正直等等。现在,我们发现原来他们也只不过是把缺陷藏起来而已,只不过藏得非常隐蔽,让人无从发现,不知道他们现在应该如何自处?还是说*商如果能不让人发现,就可以摇身一变变得不*了?我觉得至少那些隐藏分区的人还算比较正直,因为他们毕竟还为消费者保留了发现作假的权利^_^。

在这方面,我接触过一个硬盘维修商,他是PC-3000在南方新增加的一个国内代理,这人算是比较坦白的,能够明确告诉客户硬盘修复后和原盘的差别,让客户自己决定是否维修。这在硬盘维修界中算是另类了。)数据恢复是一个比较敏感的话题,对于一些具体的理论、还原算法、涉及的仪器和具体操作的细节,都有各种各样的限制,不能详细作出描述。这里只能根据需要,尽量完整地让大家对数据恢复有一个大概的整体印象就已经足够了。数据恢复可以分为纯软件的恢复和软硬件结合的恢复。

硬盘内部是有一定的校验公式来保障数据的完整性的,根据每一个扇区内数据的内容、扇区的伺服信息,再根据一定的校验公式经过运算,会产生一个唯一的校验和,这个值每一个扇区都是不一样的。同一个扇区储存不同数据的时候校验和固然不一样,不同的扇区储存相同的数据也会产生不一样的校验和(SCSI硬盘在这方面的机制会更加完善)。数据恢复正是利用了这样的原理,通过逆向运算,在某一方面的信息因为错误操作而丢失或者被改变的情况下,仍然可以根据其余的原始信息,把数据尽可能完整地还原出来。

其实在实际操作中,删除文件、重新分区并快速格式化(format不要加U参数)、快速低格、重整硬盘缺陷列表等等,都不会把数据从物理扇区中实际抹去。删除文件只是把文件的地址信息在列表中抹去,而文件的数据本身还是在原来的地方静静躺着,除非拷贝新的数据进去那些扇区,才会把原来的数据真正抹去。重新分区和快速格式化只不过是重新构造新的分区表和扇区信息,同样不会影响原来的数据在扇区中的物理存在,直到有新的数据去覆盖他们为止。快速低格一般只有原厂的DM才可以实现,是用DM软件快速重写盘面、磁头、柱面、扇区等等初始化信息,仍然不会把数据从原来的扇区中抹去。重整硬盘缺陷列表也只不过是把新的缺陷扇区加入到G列表或者P列表中去,对于那些本来储存在缺陷扇区中的数据那是没有办法了,因为扇区已经出现物理损坏,即使不加入缺陷列表,也很难恢复;但对于其他数据,其实还是没有实质性影响的。对这样的硬盘进行数据恢复,算是数据恢复里面比较简单的,最关键的一点是在错误操作出现后,不要再对硬盘作任何自己都不知道目的的无意义操作和不要再往硬盘里面写入任何东西。

恢复这种硬盘的数据,可以通过纯粹的软件操作来完成。目前大家能够找到的数据恢复软件还是非常多的,大致有EasyRecovery、Recover、Lost&Found、FinalData、Disk Recover等等,还有其他很多,就不逐一列举了。这些软件有的在DOS模式下面运行,有的可以在Windows模式下面运行,甚至可以在NT/2000下面运行,处理NTFS格式分区里面丢失的数据。对于误删除、错误格式化,但又没有用其他数据覆盖这些形式的数据恢复,上面说的这些软件还是有相当好的效果的。当然,如果让一个菜鸟和一个老鸟来运用这些软件的话,恢复效果会有很大的差别。要提高数据恢复的成功率,关键是要掌握每一个软件的特性和每一个操作的参数和特点,有针对性地合理选择,配合使用,这是需要一定的经验积累才可以做到的。目前国内的数据恢复公司对这种级数的数据恢复报价是每个硬盘350~1000元人民币。



(被认为是数据恢复至尊的FinalData)


(EasyRecovery操作界面)

纯粹软件的恢复当然有着极大的局限性,前提条件是必须要硬盘还能够正常使用才行。因此,对于一些有轻微缺陷的硬盘,稍微修理一下,让硬盘可以正常使用后,再进行软件的数据恢复是明智的,因为这样可以节省大量的数据恢复成本。毕竟,对于那些无论如何不能动的硬盘,软件是无能为力的,这时候就需要使用成本比较高的软硬件结合的恢复方式。

采用软硬件结合的数据恢复方式,关键在于恢复用的仪器设备。这些设备都需要放置在超净无尘工作间里面,而且这些设备内部的工作台也是级别非常高的超净空间。这些设备的恢复原理也是大同小异,都是把硬盘拆开,把磁碟放进机器的超净工作台上,然后用激光束对盘片表面进行扫描,因为盘面上的磁信号其实是数字信号(0和1),所以相应地,反映到激光束发射的信号上也是不同的。这些仪器就是通过这样的扫描,一丝不漏地把整个硬盘的原始信号记录在仪器附带的电脑里面,然后再通过专门的软件分析来进行数据恢复。可以说,这种设备的数据恢复率是相当惊人的,即使是位于物理坏道上面的数据,由于多种信息的缺失而无法找出准确的数据值,也可以通过大量的运算,在多种可能的数据值之间进行逐一代入,结合其他相关扇区的数据信息,进行逻辑合理性校验,从而找出逻辑上最符合的真值。

对于上面说到的设备和方式,目前国内拥有数据恢复设备,能够做到软硬结合的恢复方式的公司,根据资料显示目前暂时只有两家,分别位于北京和广东(资料有效期是今年4月,或许还有别的公司说自己有这样的设备,不过我觉得炒作的可能性比我漏查的可能性要大)。现在很多数据恢复公司都吹嘘说他们有多先进的设备,多高超的技术,但其实多半都是停留在纯软件级别的恢复而已。真的碰到难缠的盘,他们会快递到这两地的公司,让他们去用机器恢复,而这两家公司也认可这样的操作方式,因为这样他们就不需要花费打广告的钱,也保证了机器能够有足够的工作负荷,缩短投资回收期。这样级别的数据恢复,目前国内市场价格大约是每个硬盘3000~5000人民币甚至更多。当然,那两家公司接收从其他数据恢复公司转手过来的硬盘的时候,收的是行内批发价,这中间大概有数百到一千元左右的差价,当然是让那些数据恢复公司当仁不让当作中介费吃掉了。

不过这仍旧不是数据恢复的终极方式。因为他们都有一个前提,就是数据没有被覆盖。对于已经被覆盖的数据、完全低格、全盘清零、强磁场破坏的硬盘,仍然有最终极的数据恢复方式,老美管这个叫“深层信号还原”。具体的原理比较复杂,但是可以通过一个相关的例子来说明。譬如一个人开车撞了人,跑掉了,为了逃避公安的侦查,他把汽车撞过凹陷的地方重新鼓起拉直,并喷上了新的油漆。那么,这样处理过的车子,在肉眼的观察下是看不出碰撞过的痕迹的。但是鉴证科的人只需要用弧光灯照射汽车,戴上专门的偏光镜去看,碰撞过的痕迹就马上一目了然。“深层信号还原”应用了与此类似的原理。从硬盘磁头的角度来看,同样的数据,拷贝进原来没有数据的新盘和拷贝进旧盘去覆盖掉原有数据,是没有分别的,因为这时候磁头所读取到的数字信号都是一样的。但是对于磁介质晶体来说,情况就有点不一样了,以前的数据虽然被覆盖了,但在介质的深层,仍然会留存着原有数据的“残影”,通过使用不同波长、不同强度的射线对这个晶体进行照射,可以产生不同的反射、折射和衍射信号,这就是说,用这些设备发出不同的射线去照射磁盘盘面,然后通过分析各种反射、折射和衍射信号,就可以帮助我们“看到”在不同深度下这个磁介质晶体的残影。根据目前的资料,大概可以观察到4~5层,也就是说,即使一个数据被不同的其他数据重复覆盖4次,仍然有被“深层信号还原”设备读出来的可能性。当然,这样的操作成本无疑是非常高的,也只能用在国家安全级别的用途上,目前世界范围内也没有几个国家可以拥有这样的技术,只有极少数规模庞大的计算机公司和不计成本的政府机关能拥有这样级别的数据恢复设备,而且主要都是由美国人掌握。

看到这里,不知道我们的读者会有什么感想。在数据恢复领域,别人很早就已经能达到这样的技术高度了,而且现在,所有实质意义上的硬盘公司也全部都是别人的,但他们并没有大大咧咧到处炫耀。相反,我们国内的一些技术人员,数据恢复软件水平离日本还有十万八千里(被认为是“数据恢复软件之王”的FinalData是日本的产品),更不要说美国了;连属于自己的真正意义上的硬盘厂家都没有,算是小半桶水都不到了,但是摇晃起来倒是咣咣咣咣震天响。譬如某个南方的数据恢复公司设计了一个数据恢复软件(他们保密得很,我只看到了界面,没有真正看过工作方式和源码,不知道是不是“Banana软件”【注】,暂且算是他们设计的吧),10月23号的时候做了一次演示,把一个被PC-3000清空了缺陷列表的硬盘数据恢复出来,就认为效果很好了。可是,这本来就只是一个数据恢复软件应该做到的事情,国外的产品可以做到比这个更多,实在没有什么好炒作的。还有国内一个硬盘维修企业出了一个称为“国防版”的硬盘数据操作软件,但通过一些朋友在内部渠道了解过以后,不禁觉得有点失望——如果中国现在的国防级别软件也只能达到这个水平的话,未免太让人心灰意冷了吧。衷心希望这个“国防版”只是一句广告词而已。

【注】:Banana——香蕉。老美专指那些在美国出生的华裔,他们有中国人的黄皮肤,但是骨子里接受的却是美国白人的文化背景、生活方式和价值观念,因此用香蕉来比喻,取其“黄皮白心”之义。

现在,有一些中国的软件公司,他们好一点的,购买外国软件的核心算法和引擎自己重新开发,但是付了2年的使用许可费,第3、4年照样使用;差一点的,反汇编出外国软件的算法、流程和指令,自己编写一个同类软件;或者再恶劣一点,只是对外国的软件进行脱壳,只是换上自己写的一个中文界面,就堂而皇之地拿出来卖,美其名曰“民族软件”。对于这些软件,国外程序员比较无奈地,其中比较有幽默感的人就把这些软件统称“Banana软件”。这类软件在国内是令人难以置信地超大量存在,无论出品自大公司小公司,你叫得出名字叫不出名字,几乎毫无例外地有着“香蕉”的影子。


第5页:【几种硬盘问题的菜鸟处理方法】


相信很多读者都会对这个比较感兴趣,但是对于我来说却是非常不好写。毕竟,绝大部分读者都不是专家,一些在操作中被我们认为很理所当然的事情别人却未必能很好理解和掌握。另一方面,对于这样的问题,确实也不方便说得太多太详细,于是,就写成了下面这部分不伦不类的文字。尽管如此,我还是希望通过在这里的一些描述,让绝大部分使用者都可以自如地解决一些比较常见、而且大家也比较关心的硬盘问题。这样,大家在碰到一些常见问题的时候就不需要出去找那些搞硬盘维修的,让人狠宰了。其实,很多常见硬盘问题的处理方法在网上都登得滥了,非常容易找到一大堆解决的方法,因此这里不打算对一些网上有详细说明,而且可操作性很高的硬盘问题处理方法作描述。我这里想要说的,是一些也比较容易碰到,但是网上的说明却都是那些枪手们你抄我抄大家抄,毫无可操作性甚至根本不符合逻辑的那些问题的处理方法。不过我必须提醒大家,既然我说的这些都是比较棘手的问题,那你也别指望有太高的成功率,现代硬盘的结构和运行机理已经远比从前复杂很多很多了,我不可能每一个牌子每一个型号的硬盘都那样去试,这些方法的原理都是符合现代硬盘的结构和控制、运行机制的,但是能不能真正解决问题,还是要看操作者是否能够对硬盘故障的原因作出正确把握并能否灵活和综合运用各种工具软件。

1.硬盘分区表损毁

造成这个问题的最通常原因,是在电脑使用过程中突然停电。如果电脑在进行磁盘整理或者其他需要大量磁盘读写过程的操作的时候,突如其来的停电有很大可能会产生这种错误。大家不要认为这是很初级的硬盘问题,设身处地想一下,要是一些老鸟自己碰到这个问题,也会彷徨一下子的。问题主要是如果不需要数据的话,那么这个根本就不算是一个硬盘问题,只要重新分区格式化就搞定了;但是,如果里面有比较重要的数据的话怎么办?或者你比较懒,不想重装系统,能不能在保存系统和数据的情况下解决这个问题呢?对于这个要求,网上很多文章的介绍是用DiskMan这个软件去自动修复分区表。不过,在实际操作中,这样的方法倒是有点过于傻瓜化了,想靠软件去自动修复分区表,靠的其实是软件的算法,但是算法是死的,人却是活的,每个人自己硬盘的分区都不可能一样。跟据实际的操作证实,这样的恢复方法大概只有90%的修复率,就是说,能100%完全修复分区表的机会并不是很高。不过用DiskMan这个软件,主分区的恢复倒是一般不成问题,只要你的主分区恢复了,系统可以启动了,剩下的不能恢复的分区里面的数据可以试着用FinalData来恢复,在正常情况下,应该可以完全恢复过来。这个方法最大的优势是DiskMan支持的文件格式非常多,所以即使在NTFS、EXT等等其他格式的分区里,也能比较有效地恢复分区表。



(DiskMan界面)

不过,如果你的硬盘是FAT或者FAT32的话,我觉得上面的方法还是太复杂了,而且把希望全部寄托在两个软件的算法上面,没有调动人的主观能动性,太浪费人力资源了^_^。估计绝大部分人对自己用的计算机里面的硬盘分区大小还是心中有数的吧,如果能记得每一个分区的大小,这样就可以了。你原来用什么软件分区的,现在还是用它,一摸一样按照原来每个分区的大小重新分区,不过记住不要格式化。不要格式化这个非常关键,有一些分区软件如Partition Magic等等,通常在默认情况下都是分区连格式化的,在设置里面取消分区连格式化的选项。重新分区之后,用软盘、光盘启动或者把这块硬盘接到另外一台计算机上面,运行NDD(Norton Disk Doctor,不要告诉我你不知道这个是什么),执行扫描,很快,它就会发现硬盘分区错误和一些很专业的“莫名其妙”看不懂的错误,不知道说什么也没关系,接下来当然是修复这些问题啦。全部修复完以后,重新启动,你会惊奇地发现整个硬盘又已经可读了,所有分区跟原来都一模一样,所有原来的文件也完好无损,一个字节也没有少。这种方法的恢复成功率非常高,过程非常傻瓜但是又可以调动大家主观能动性。不需要运行专门的数据恢复软件,又能让大家真正去动手,使菜鸟也能拥有妙手回春的满足感,特能满足人们的虚荣心,哈哈。当然,最保险的办法还是在软盘或其他存储介质上备份一个分区表,这样可以令硬盘的安全系数得到大大提高。


(Norton Disk Doctor的DOS版界面)

2.硬盘逻辑锁

网上对于解除硬盘逻辑锁方法的文章可以说是汗牛充栋,但仔细看了,都是天下文章一大抄,每一篇都大同小异。其实,硬盘逻辑锁大体上可以分成逻辑死循环和增量偏移两种方式。再复杂的方式如全盘算法加密等等就不是普通的用户可以解决的了,因此这里也就不提也罢。

逻辑死循环也有很多种,从比较简单的0-1扇区死循环到比较烦人的C-D分区死循环,无非都是在分区表上作文章,人为地造成分区表的逻辑错误,使硬盘在启动的时候陷入死循环而不能启动,必须经过一些验证手段才能重新得到正确的分区表信息。网上很多文章都长篇大论,介绍了通过PCTools、DE(Disk Editor)甚至Debug命令来恢复的方法,这些恢复方法在理论上是正确的,不过都没有太大的现实意义。因为他们都忽略了,在他们长篇大论的时候,用户硬盘里面的磁头还在0-1扇区或者C-D分区之间不断地作往复运动。硬盘都启动不起来,还怎么去读取分区表信息?怎么把正确的信息写进去?磁头是没空做这个事情了,不知道他们是打算用铅笔写还是用圆珠笔写?

0-1扇区死循环还比较简单,软盘启动、光驱启动或者把硬盘挂在别的机器上还是可以动起来的,而如果是恼人的C-D分区死循环,则不论是软盘启动、光驱启动还是把硬盘挂在别的机器上,都不能启动机器。可笑的是,破除这个死循环的方法也是无比地简单,因为这种方式的逻辑锁其实是利用了MS-DOS里面IO.SYS的漏洞。IO.SYS文件是输入输出管理文件(Input and Output),它包含LOADER、IO1、IO2、IO3四个模块,其中IO1中包含有一个很关键的程序SysInt_I,它在启动中很固执,非要去读分区表,而且不把分区表读完誓不罢休。如果碰上分区表是循环的,它就只有死机了。同时, DOS为了获得硬盘使用权必须读分区表参数,而且DOS还约定驱动器号不能超过26,这是系统的设计者没有考虑到此等循环分区表的严重后果,这就是MS-DOS的脆弱性和不完备性。回过头来,如果不想陷入这样的逻辑死循环,只要不使用微软基于DOS(从DOS3.0到Windows Me)的操作系统就可以了。有很多系统可供选择:如PC-DOS 、DR-DOS、ROM-DOS等(建议大家去看看新DOS时代,里面有很多很有用的DOS方面的信息:
http://newdos.yginfo.net/dosmain.htm),另外,微软的NT/2000/XP系列也是可以的。硬盘动起来后,大家想怎么样就怎么样吧。不过我始终还是推荐大家用原厂的DM,毕竟是原厂的东西,对自己牌子的硬盘操作总是比较有把握的,而且,那些PCTools之类因为比较老,对FAT32、NTFS以及大硬盘等等的操作总有一些问题。也有热心的人把恢复正常分区表的指令编写成一个小程序,叫Unlock.com(有很多不同的人编写的不同版本,大家可以挑一些日期比较近的,太古老十八代的东西就不要用了),大家可以试用一下,效果还是有的。现在,一家叫Acronis的公司也来凑热闹,发布了一个叫AcronisUnlock的小程序,运行它可以创建一张软盘,用来为硬盘解锁。毕竟是一个商业产品,如果没有一定的作用谁敢拿出来?试了一下,虽然不是能治百病,但对一般的硬盘锁还是很有效的。


(Seagate的原厂DM)

增量偏移法当初其实不是用来制造逻辑锁,而是用来制作硬盘保护卡的,联想的“宙斯盾”和捷波的“恢复精灵”等硬盘保护软件也是采用了相似的技术。这种方法的原理就是在硬盘里面划出一个特别的区域,把整个硬盘的所有写入全部操作映射到这个区域中,这样,原来设置了受保护的系统和数据区域就不会受到新增加的写入信息的影响,甚至是文件的修改,其实也是映射到特定区域的操作。因此无论出现什么样的崩溃,只要一个按钮,就可以把原来受到保护的系统和数据恢复过来。不过对硬盘的保护好是好了,但如果换了一块主板,或者主板、保护卡坏了,要处理这个硬盘也真的十分头痛。因为上面说的方法对这个硬盘已经没有用了,你通过软件从硬盘里面读出硬盘分区表的数据,然后修改、写进去,可惜,这些正确的信息并没有真正写入分区表,而是都映射到那个特殊的区域去了,硬盘仍然不行。这样的硬盘,无论做重新分区、格式化甚至低格,完了你还是发现里面的数据纹丝不动。如果你运气好,知道硬盘是被“宙斯盾”或“恢复精灵”,又或者是什么其他硬盘保护卡保护过的,那么你只要找到相应的主板或硬盘卡,执行一次卸载过程就可以了;如果运气不好,不知道,那么试试下面的方法吧。

经过一些实践,可以用这样的方法来解除。找一块没有“宙斯盾”或者“恢复精灵”主板的机器,把这个硬盘作为从盘挂上,COMS设置里面把这个硬盘设成None(在大多数情况下,这样就已经能够解除映射信息对BIOS的欺骗,恢复软件对硬盘的实模式操作),然后运行fdisk /mbr,应该就可以恢复这个硬盘了。如果还是不行,那就干脆不要用微软的系统。在PC-DOS或者ROM-DOS下面运行原厂DM,把硬盘内部现有的分区表信息不管对错,全部推倒,重新使用该硬盘的默认盘面、磁头、柱面、扇区信息进行快速初始化并按照原来的分区大小和方式重新分区。如果阁下对数据的完整性十分在意,不想丢掉数据,那么完了以后试着用FinalData、EasyRecovery之类的软件吧,只能祝你好运(对这些数据恢复软件运用越纯熟,了解越多,数据恢复的成功率越高,建议大家平时有事没事多试试,所谓“平时多流汗,战时少流血”嘛)。要解决被增量偏移这种方法锁了的硬盘真的比较麻烦,就算非常有经验的人,恢复的成功率也是不高的。现在,我对“宙斯盾”和“恢复精灵”开始有点莫名地憎恨了,不知道大家是否有同样的感想,呵呵。

3.零磁道损坏

这样的文章网上太多太多了,遗憾的是很多都是几百年前的资料,都是在网上你抄我我抄你的。要命的是根据他们所说的用DE或者PCTools将硬盘的起始扇区从0面0柱1扇区改为0面1柱1扇区的方法,却根本没有一个人真正修好过零磁道。想来,大概是写这些文章的人自己也没有零磁道损坏的硬盘,没有真正看到过这样的硬盘是不是真的像他们想象的那样还可以动起来;或者,就是把修复软盘零磁道损坏的方法照样套在硬盘上去了。硬盘和软盘的结构和机制区别非常大,特别是现代硬盘,已经完全没有软盘原理的影子了。

零磁道损坏分为物理零磁道损坏和逻辑零磁道损坏。逻辑零磁道其实就是引导扇区(请注意,不是网上众多文章所说的主引导扇区,主引导扇区坏了的话是神仙也难救的),物理零磁道是主引导扇区。在老式的老爷硬盘里面,主引导扇区的信息通常是做在硬盘的Firmware上面的,所以硬盘没有物理零和逻辑零的区别,主引导扇区和引导扇区的称呼没有任何区别,其实都是指逻辑零。而现代硬盘,初始化信息的起点就是硬盘的物理零,如果物理零损坏了的话,硬盘根本无法完成初始化过程,通过软件方法根本没有成功恢复的可能性。通常,现代的硬盘启动的过程是这样的,通电后,磁头接收到从硬盘控制芯片上传来的第一个启动指令,然后开始读主引导扇区(物理零)的初始信息,确定硬盘保留区的位置,然后读硬盘保留区,确定缺陷列表、调入校验算法公式、读入内部操作指令等等。所有这些完成了,硬盘才算完成了初始化,正式进入工作状态。然后,硬盘开始读取引导扇区(逻辑零),确定硬盘的起点和分区表位置,读入分区表等等。从这个过程的分析中,我们可以看出,逻辑零磁道损坏的硬盘还是可以完成整个初始化过程,被系统认出来的,因此,也就存在着被软件修复的可能性。就不要用什么DE和PCTools了,庑┒际呛芾系娜砑诶鲜接才痰腃HS结构体系以及相应的3D寻址方式,跟现代硬盘的模块化结构和线性寻址方式是有很大差距的。按照网上文章的说明修改以后,对现代硬盘根本不会起作用,不信的话大家可以自己试一下(也会有起作用的时候,但那必须是你的主板BIOS里面有3D寻址-线性寻址翻译模块,并且恰好能够支持你想要修的那个硬盘,不过你要是觉得可以碰上这样的可能性的话,我劝你不如去买彩票算了)。用一个原厂的DM吧,DM用的人多了,但是我可以说估计没有几个人会有这个好奇心把里面所有的选项和功能都试一遍的。某些厂商的DM里面有一个项目,叫“高级选项”,进入后,选“自定义”选项,有一个项目的选项中,它会首先问你是否愿意按照硬盘参数默认的磁头、柱面和扇区参数来对硬盘分区和格式化,既然你的硬盘逻辑零磁道坏了,当然是选择“否”,然后DM会让你自己输入相应的磁头、柱面和扇区信息,这时候你应该知道如何做了吧?如果不幸你的硬盘品牌的相应DM没有这样的选项和功能,那么就试试用Acronis DiskEditor吧(要在Windows 2000/XP下面运行),试着用这个最新最强的扇区编辑软件封闭硬盘的逻辑零磁道,也可以达到相似的效果。不过无论是DM还是Acronis DiskEditor,这样的操作因为受到很多其他条件的约束,先决条件是必须能把硬盘认出来并且能够进行实模式操作,否则成功率不会高。而且对普通用户来说这些操作还是比较复杂,要多试几遍,多研究几次才可以提高成功率。


(Acronis DiskEditor)

对于物理零损坏,根据上面的硬盘初始化过程,我们可以知道,这样的硬盘根本连初始化都不能开始进行,无论什么系统什么软件都不可能对它进行操作,真正的软硬不吃。不过,这么久以来,我还没有真正碰到过物理零损坏的硬盘,所以也不知道像PC-3000这样的软件有没有这个能力修复。比较能确定的方法只能是回原厂用机器设备重新扫描定位,重写伺服信息,然后进行内部格式化来修复;或者,你可以找一家比较有实力,拥有硬盘伺服机的修复公司帮你修,不过成本方面就……嘿嘿。

总的来说,现在有很多公司根据现代硬盘的结构和原理,配合现在比较通用的Windows操作系统平台,设计了很多非常新的、功能很强大的软件,譬如Acronis,这家公司的全套系统工具包括DiskEditor、Drive image、OS Selector、Unlock(解除硬盘逻辑锁)等等十多个,都应用了现在硬盘的基本原理,功能也非常全面。在进行各种硬盘操作的时候,适当进行各种软件的新旧搭配,互相配合使用,经常会发现有意想不到的效果。这些就需要大家在实际操作中摸索并熟练使用才可以达到的了。


第6页:【后记】


每次想到硬盘、数据,就不由得想到了国内的进口二手垃圾。说句实在话,别人敢于向国内出口硬盘垃圾,其实就是想着我们也只能把这些硬盘修修当二手的用而已。如果国内的数据恢复水平能够普遍提高,我相信外国往国内输出二手计算机零配件的时候会三思而后行的——保不准里面还有IBM、Microsoft的哪一个高级工程师用的硬盘呢;说不定还有政府部门甚至国防部的机器用过的硬盘呢。嘿嘿,说说笑话而已,他们公司和政府的关键部门所使用的硬盘都要通过Disk Eraser这类硬盘数据销毁设备处理过后才会扔的啦。



(日立出品的Disk Eraser)

在这里,如果大家对自己动手解决一些硬盘问题比较感兴趣,我衷心提议大家先不要忙着满互联网地找一些你我都不知道是谁写、做什么用的第三方工具,多留意一下原厂家的网站,用用他们原厂的工具软件。虽然厂家为了尽量避免让大家修硬盘修得很爽,并没有在原厂DM和其他原厂工具上面提供太丰富的功能,但基本的功能还是会提供给大家的,而且性能非常可靠,功能也很实用。而且有时候原厂工具的较低版本里面维修功能可能比新版本多,譬如西部数据的原厂低格程序WDClear,它是比较旧了,最高版本也就是1.3,而且只支持最大8.4GB的小硬盘。但是它的功能却非常强大,比现在西部数据的DM(当然,厂商不一定把这个程序叫DM,反正不管叫什么名字,我们知道它其实就是DM就行了)要强很多。不少硬盘维修商就非常清楚它的作用,它体积小,功能大,具备非常快速而准确的盘面检测能力,能够快速进行坏道修复,可以智能跳过顽固物理坏道,正是因为这些优点,它成为了不少维修商的修盘利器!

把这个程序放在一个完好的主硬盘里,把待修的硬盘(要西部数据的盘,不然我不保证会发生什么后果)放在其他IDE接口上。运行WDClear,会出现一个蓝色的窗口和几行简单的英文,右面还有一个红色的小窗口,显示硬盘的型号、串号、固件版本信息等,如果还想看更详细的参数,就选择“查看检测结果”。这里面的参数更详细一些。现在,里面显示了两个硬盘参数,选择你要维修的硬盘的参数,回车。选“读取并检测磁盘”,回车,确定,于是软件就对硬盘的表面开始检测了。在扫描过程中检测到的坏道,只是显示坏道的类型和位置,软件不会对它们做任何的修复和写入处理。扫描完以后,确定了坏道的位置,就可以使用“清零驱动器”来把坏道清除或者写入G列表。所以有时候原厂的东西,版本老一点的还是很有作用的,反正你要修的也是旧盘嘛,新的硬盘只要好好用,哪里会这么快就坏了呢?


(WDClear主界面)

一口气写了这么多,主要还是因为觉得目前国内有一种很不好的风气“浮夸”,大家都在互相抄袭,急功近利,你说你的路由设备有3000条规则,我就会说我的有5000条,纯粹的基于利益的炒作,丝毫没有科学的精神在里面(路由规则越多,说明路由效率越低下,通常2500~3000是一个比较合理的数字,既可以保证足够的安全和路由效果,又可以维持比较高的路由效率。记住了,购买时看到在路由规则上攀比的厂商就要留意了)。又譬如,出品PC-3000的俄国ACE Laboratory在国内原来只有一家代理商,PC-3000的首年升级、技术支持和培训都是免费的,但是因为国内是独家代理,导致代理商扣起客户的升级和支持帐号与密码,每次升级收费几百到一千不等的升级费,技术支持收几百元的咨询费,培训收培训费等等。很多客户不满,纷纷越过代理,通过香港和美国直接向ACE Laboratory购买,严重影响了ACE Laboratory的声誉。焦头烂额的ACE Laboratory只好又在国内增加了一个代理,希望通过竞争,杜绝这种现象。还有,就是现在网络上、报纸杂志上不少所谓技术性比较强的专业文章其实都只是故作高深,似是而非的东西,没有误导已经很不错了,对读者并没有任何帮助。

也有的人,在网上发布信息,售卖硬盘、主板维修或者其他各种的资料,每份要价一千到数千元不等。其实里面只有十多页纸,都是网上找来的大路货,没有任何实质性的内容,而且售卖的人其实连这些资料是对是错都分不清。实际上,现在是一个资讯时代,很多资料和信息都已经相当公开了。如果大家还想着因为自己掌握了那么一点点东西,就拼命保守这些所谓的秘密,希望利用对信息的封锁、利用用户的无知来达成一定的经济效益的话,那就错了。现在,只有本着公平、公开的原则来经营,凭着坚持不懈的意志去做研究,才能从根本上提高自己公司的技术水平,获得真正的经济利益。

作为一个在海外的中国人,当然希望自己的祖国可以早日强大,但所有的事情都是有自己的客观发展规律的,并不能一步登天。北京某名牌大学说要把自己办成世界级的一流大学,向哈佛看齐什么的,我不知道他们凭什么这样说。先不要说哈佛物理系的大功率粒子加速器和粒子对撞设备,光是校园里面的Internet 2的超高速校园网、能模拟流体力学实况的巨型计算机,国内就没有什么大学能够做到。落后并不可耻,只要我们敢于正视,我们的技术人员能够多动脑去搞研究,多动手去做实验,少动嘴去吹牛皮,相信很快我们就可以拥有与国外相同层次和水平的技术与设备。

关于硬盘的文章现在是告一段落了,为了保证所有本文所作的说明和描述的正确性,作者已经尽量找到相关的官方和权威资料,并且对一些可以实际操作的案例作了实际操作。本文所提到的软件和公司都经过再三查实,提到的软件也真正经过实际试用,可以说已经尽可能地说出了事实。但为了防止一些意外的原因导致的失误,如果有人对上面文章里的叙述有任何疑问,可以电邮给我,我们可以在电邮里面作进一步的沟通和交流(作者的电邮地址:
zhiming_huo@tom.com,有兴趣的读者可以跟作者做一下交流)。以后有机会的话我还会逐步介绍一些目前国外先进的IT产品和技术,希望能够帮助大家更多地了解IT这个领域,更多地了解国外的先进技术和思想,也能更客观地评价目前国内IT业的地位和水平。

在Windows2000中,备份与恢复Active Directory是一项非常重要的工作。在NT中,所有有关用户和企业配置方面的信息都存储在注册表中,因此我们只需要备份注册表即可。但是在Windows2000中,所有的安全信息都存储在Active Directory中,它的备份方法与在NT中是完全不同。 

  你不能单独备份Active Directory,Windows2000将Active Directory做为系统状态数据的一部分进行备份。系统状态数据包括注册表,系统启动文件,类注册数据库,证书服务数据,文件复制服务,集群服务,域名服务和活动目录8部分,通常情况下只前3部分。这8部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份。 


一.备份Active Directory数据 

  如果一个域内存在不止一台DC,当重新安装其中的一台DC时备份Active Directory并不是必需的,你只需要将其中的一台DC从域中删除,重新安装,并使之回到域中,那么另外的DC自然会将数据复制到这台DC上。 

  如果一个域内剩下最后一台DC,那就非常有必要对Active Directory进行备份。详细过程如下: 

  1."开始"菜单->"运行",输入"ntbackup",启动win2000备份工具。 
  2.在"欢迎"标签中使用"备份向导",在备份向导对话框选择备份的内容页面中选择"只备份系统状态数据",下一步。 
  3.在"备份保存的位置"页面中输入存放备份数据的文件名,如"d:akAD0322。bkf",下一步,完成备份向导。如果要进行一些设置,如备份完成后验证数据,请使用"高级"选项进行配置。 
  4.选择"完成"开始备份,根据数据的多少,可能需要几分钟到十几分钟甚至更长一段时间。备份完毕系统会生成备份报表。 
  5.建议:通常备份的文件比较大,我备份了几次都在250-300M之间,因此需要找一个大容量的空间存放。因为备份中包含非常敏感的账号等方面的信息,因此备份的数据要妥善保存。 

二.Active Directory的恢复 

  有两种办法可以恢复Active Directory。 

  第一种是从域的其它DC上恢复数据,前提是域内必须还有一台DC是可用的,这时当损坏的DC重新安装并加入到它原来的域时,DC之间会自动进行数据复制,Active Directory随之会恢复。 

  另一种方法就是从备份介质进行恢复。通常情况下,对于大多数小型公司来说,整个公司只有一个域,由于资金等诸方面的限制也只有一台DC,因此从介质恢复Active Directory是经常遇到的事情。 

1.验证方式和非验证方式 

  从备份介质进行Active Directory恢复有两种方式可以选择:验证方式(authoritative restore)和非验证方式(nonauthoritative restore)。 

  通常情况下,Windows2000使用非验证方式恢复:Active Directory从备份介质中恢复以后,域内其它的DC会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据。举个例子,假设今天是星期五,你使用了星期三的备份对Active Directory进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复Active Directory的DC上,也就是新数据会覆盖你使用备份恢复的数据。 

  验证模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的DC上,无论从备份以后数据是否发生了变化。还拿上面的例子来说,当你在星期五使用星期三的备份恢复了Active Directory后,这些恢复过来的数据会复制到域内所有的DC上,强行将备份后发生改变的所有数据覆盖掉,域内数据就恢复到了备份时的状态。验证模式恢复Active Directory通常用于这种情况:Active Directory在域内某台DC上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它DC上,这时就需要在某台DC上使用验证方式恢复Active Directory,强制使域恢复到原来的好的状态。应该说这种方式是用的比较多的一种恢复Active Directory的方式。 
2.非验证恢复Active Directory 

  要实现非验证恢复,目录服务必须处于离线状态(备份Active Directory时目录服务不必处于离线状态)。为恢复Active Directory,你必须使用server处于"目录服务恢复模式"。要做到这一点,需要重新启动server,当屏幕提示你选择操作系统时,按F8,启动系统启动高级菜单,选择"目录服务恢复模式"。 

  当Windows2000出现用户登录窗口时,输入本地管理员账户和密码(注意,不是在Active Directory中的管理员的账号和密码,因为这时Active Directory处于离线状态,不可用。你只有使用存储在安全账户管理器,有时称之为SAM中的管理员账号和密码进行登录)。登录成功后,你就可以进行恢复Active Directory的操作。 

  (1)启动Windows2000自带的备份程序:"开始"->"运行",输入"ntbackup"; 
  (2)在欢迎标签中选择"恢复向导",跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集。 
  (3)选择合适的备份文件,完成数据恢复。重新启动机器即可。 
  (4)注意:通常情况下,你不能恢复60天以前备份的Active Directory数据,这是因为受Windows2000 tombstone lifetime(可以理解为生存时间吧,因为不能准确的翻译出其含义,只好照搬上了。—-沧海),除非你进行了设置。 

3.验证方式恢复Active Directory 

  为实现验证方式恢复,你必须首先实现非验证方式恢复,然后你可以使用NTDSUTIL命令行工具实现验证式Active Directory恢复。验证式恢复可以实现全部或部分Active Directory数据的恢复。 

  (1)使用非验证方式恢复Active Directory,重新启动机器。 
  (2)再次使用"目录服务恢复模式"启动Windows2000,以管理员身份登录。 
  (3)"开始"->"运行",输入"ntdsutil",启动命令行工具。 
  (4)恢复整个Active Directory数据库,使用下列命令: 

  authoritative restore 
  restore database 

  恢复部分Active Directory数据,使用下列命令: 

  authoritative restore 
  restore subtree ou=Brien,dc=files,dc=COM 

  红色部分要根据实际情况确定,比如你的域名字是mydom。net,要恢复的OU是myou则第二行命令应该是:restore subtree ou=myou,dc=mydom,dc=net,依此类推。恢复部分数据的方式有时用来恢复被删除的OU,如某域内有两个管理员,你和A,A有点菜:),昨天晚上不小心把一个重要的OU给删除了,今天你就可以使用验证式恢复将这个OU给恢复过来,前提自然是你有这个OU被删除之前的备份。 

本文对加密文件系统 (EFS) 及技术进行了概述。该系统包含在 Microsoft&reg; Windows&reg; 2000 操作系统中。

 

EFS 提供的核心文件加密技术可将加密的 NTFS 文件存储到磁盘上。EFS 特别考虑了其他操作系统上的现有工具引起的安全性问题,这些工具允许用户不经过访问检查就可以从 NTFS 卷访问文件。使用 EFS,NTFS 文件中的数据在磁盘上进行了加密。所用的加密技术是基于公钥的,并作为一个集成系统服务运行;它易于管理,不易受到攻击,并且对用户是透明的。如果用户要访问一个加密的 NTFS 文件,并且有这个文件的私钥,那么用户能够打开这个文件,并透明地将该文件作为普通文档使用。没有该文件私钥的用户被拒绝对文件的访问。
概述
个人计算机系统采取的一个标准安全措施就是,在试图从硬盘引导前,尝试从软盘引导。这可以保护用户避开硬盘驱动器故障以及被破坏的引导分区。不幸的是,它方便了启动不同的操作系统。这意味着可以物理访问系统的人可以使用可读取 Windows NTFS 盘上结构的工具,绕过 Microsoft&reg; Windows&reg; NT 文件系统访问控制的内置安全功能。很多硬件配置提供了类似引导口令的功能来限制此类访问。但此类功能并没有得到广泛使用。在典型环境中,多用户共享一个工作站,这些功能没有很好地发挥作用。即使这些功能获得了普遍使用,口令提供的保护也不是很强大。
未经授权的数据访问已成为一个严重问题,比较典型的有:
· 失窃的膝上型计算机–要拿走无人看管的膝上型计算机只需一会儿的功夫。如果窃贼偷计算机并不是为了卖掉它来获利,而是对存储在硬盘上的敏感信息感兴趣,那么会产生什么样的后果?
· 不受限制的访问–办公室桌面系统无人看管时,任何人都可进来从无人看管的计算机中很快地将信息窃走。
这种安全性问题的根源就是敏感信息,通常这些信息以未加保护的文件形式存储在磁盘上。如果 Windows NT 是唯一可运行的操作系统,并且不能物理地卸下硬盘驱动器,就可以限制对存储在 NTFS 分区上敏感信息的访问。如果有人真想获得信息,他们如能物理访问计算机或硬盘驱动器,就不难获得这些信息。使用允许从 MS-DOS&reg; 和 UNIX 操作系统访问 NTFS 文件的工具,就会很容易地绕过 NTFS 安全机制。
数据加密是解决这一问题的唯一方案。市场上有很多产品使用由口令演变而来的密钥技术,提供应用程序级的文件加密。但这些加密方法大多具有一些局限:
· 每次使用时手动加密和解密。对大多数产品而言,加密服务对用户不透明。每次使用前,用户须先将文件解密,文件完成后再重新加密。如果用户忘记了加密文件,那么该文件不受保护。因为每次使用必须指定要加密(和解密)的文件,所以它可能会被忽略。
· 临时文件和分页文件的泄密。很多应用程序在用户编辑文档时创建临时文件(例如,Microsoft Word)。这些临时文件存放在磁盘上未经加密,即使原始文档加过密也是如此,这样数据很容易被窃取。应用程序级加密运行在 Windows 用户模式下。这意味着,用户的密钥可能存储在分页文件中。仅仅通过挖掘一个内存分页文件,就可以轻而易举地使用一个密钥访问所有文档。
· 安全性差。密钥来自口令。如果使用很容易记的口令,字典攻击可以轻易破坏这种安全性。
· 没有数据恢复。很多产品不提供数据恢复服务。对用户来说,这又是一件令人沮丧的事情。对不想再记一个口令的用户,更是如此。而提供基于口令的数据恢复时,又产生了另一个访问的漏洞。要窃取数据的窃贼只需获得此恢复机制的口令,就可以获得对加密文件的访问。
加密文件系统 (EFS) 定位到所有这些问题,甚至更多。下面四节详细讨论了加密技术,以及加密在系统、用户界面和数据恢复的何处进行?
EFS 是基于公钥的加密技术,它使用了 Windows 的 CryptoAPI 结构。每个文件都是使用随机产生的密钥加密的,这种密钥独立于用户的公钥/私钥对,从而扼制了多种基于密码分析的攻击。
文件加密可以使用任何对称加密算法。第一版的 EFS 将 DES 作为加密算法。将来的发行版本将允许其它的加密方案。
EFS 也支持对存储在远程文件服务器上的文件加密和解密。备注 在这种情况下,EFS 只对磁盘上的数据加密。EFS 不加密在网络上传输的数据。Windows 提供了诸如 SSL/PCT 的网络协议,对网络上的数据访问进行加密。
EFS 与 NTFS 紧密地集成在一起。当创建临时文件时,只要所有文件在 NTFS 卷上,原始文件的属性就会被复制到临时文件中。如果加密了一个文件,EFS 也会将其临时文件进行加密。EFS 驻留在操作系统内核中,并且使用不分页的池存储文件加密密钥,保证了密钥不会出现在分页文件中。
EFS 的默认配置允许用户不需任何管理努力,即可开始对文件进行加密。EFS 自动为用户文件加密生成一个公钥对(如果没有)。
单个文件或完整目录均支持文件加密和解密。目录加密是强制为透明的。在标为加密的目录中创建的所有文件(和子目录)自动被加密。每个文件具有唯一的加密密钥,这样文件重命名很安全。如果将加密目录中的一个文件重命名到同一卷上的未加密目录上,该文件仍是加密的。加密和解密服务可从 Windows Explorer 获得。对高级用户和恢复代理还提供了命令行工具和管理界面,他们可以充分利用此功能。
文件使用前不需要解密。当向磁盘存储和从磁盘读取字节时,加密和解密透明地完成。EFS 自动检测加密文件,并从系统密钥存储区定位用户密钥。因为密钥存储机制是基于 CryptoAPI 的,用户在将密钥存储在诸如智能卡的安全设备上方面具有很大的灵活性。


EFS 的早期版本不支持文件共享。但是,EFS 结构是为任意数量的用户使用其公钥、实现文件共享而设计的。然后,用户可以使用他们的个人私钥,独立地解密文件。可以方便地从一组许可共享加入用户(如果他们有配置的公钥对)或删除用户。
EFS 提供内置的数据恢复支持。Windows 2000 安全基础结构强制对数据恢复密钥的配置。只有当系统配置了一个或多个恢复密钥时,才可以使用文件加密。EFS 允许恢复代理配置用于启用文件恢复的公钥。使用恢复密钥时,仅仅文件随机产生的密钥可用,用户的私钥不可用。这保证了其它私人信息不会无意中泄露给恢复代理。
数据恢复是出于对大多数业务环境的考虑,例如员工离开公司后或加密密钥丢失时公司要恢复员工加密过的文件。恢复策略可以在 Windows 域的域控制器中定义。此域中的所有计算机都被强制执行此策略。恢复策略处在域管理员控制之下,域管理员使用 Windows 目录服务委派功能,可以将此策略委派给受托的数据安全管理员帐户。这提供了更好、更灵活的方法控制被授权恢复加密数据者。通过允许多恢复密钥配置,EFS还支持多恢复代理,为单位实现恢复过程提供冗余和灵活性。
EFS 也可用于家庭环境。在没有 Windows 域的情况下,EFS 自动生成恢复密钥,并将它存为机器密钥。通过使用管理员帐户,家庭用户也可以使用命令行工具恢复数据。这减少了家庭用户的管理开销。
使用加密文件系统
下面几节提供用户一些案例用以说明 EFS 是如何工作的。
下图给出了 Windows Explorer 用于文件加密服务的上下文菜单。
上下文菜单提供用户以下 EFS 功能:
· 加密–此选项允许用户加密当前选定文件。如果当前选定的是一个目录,此选项让用户加密目录中的所有文件(和子目录),并标记目录为已加密。
· 解密–此选项与加密选项正好相反。此选项使用户能够将当前选定的文件进行解密。如果当前选定的是一个目录,此选项使用户能够将目录中的所有文件进行解密,并将目录重设为未加密目录。
· 配置-用户可以生成、导出、导入和管理用于基于 EFS 的文件加密的公钥。配置与用户安全设置的其它部分集成在一起。此功能是为要管理自己密钥的高级用户开发的。通常,用户并不需要进行任何配置。如果用户没有用于文件加密的配置的密钥,EFS 自动为他生成密钥。
除了图形界面,Windows 2000 还提供命令行工具以丰富管理操作的功能。命令行工具有:
· 密码命令行工具–可以在命令提示符下加密和解密文件。
例如:
o 要加密"C:\My Documents"目录,用户键入:
C:\>cipher /e "My Documents"
o 要加密所有带有"cnfdl"的文件时,用户键入:
C:\ >cipher /e /s *cnfdl*
完整的 cipher 命令支持以下选项:
CIPHER [/E | /D] [/S[:dir]] [/A] [/I] [/F] [/Q] [filename [...]]
/E 加密指定文件。目录会被标记,这样以后添加的文件就会被加密。
/D 解密指定文件。目录会被标记,这样以后添加的文件就不会被加密。
/S 对给定目录及所有子目录中的文件进行指定操作。默认"dir"指的是当前目录。
/I 即使发生了错误,也要继续执行恢复操作。默认情况下,当出现错误时,CIPHER 命令停止执行。
/F 对所有指定文件强制执行加密操作,即使是对已加密的文件。默认情况下,会跳过已加密的文件。
/Q 仅报告最基本的信息。
filename 指定一个模式、文件或目录。
如果没有参数,CIPHER 命令显示当前目录及目录下文件的加密情况。可以使用多文件名和通配符。多个参数之间必须加空格。
· Copy 命令–此命令将用新的选项加以扩展,以可移植的格式导出和导入加密文件。
例如:
o 要将加密文件导出到软盘上,用户键入:
C:\>copy /e EncResume.doc a:
copy命令支持的新选项是:
copy [/E |/I] sourcefile destinationfile
/E 将加密文件 (sourcefile) 作为一个不透明的加密位流导出到目标文件 (destinationfile)。目标文件 (destinationfile) 不必在 NTFS 卷上,它可以是软盘上的 FAT 文件。
/I 将来自源文件 (sourcefile) 的不透明位流作为 NTFS 卷上的 EFS 加密文件导入。源文件 (sourcefile) 不要求是 NTFS 文件。但目标文件 (destinationfile) 则必须是 NTFS 文件。


文件加密
用户只需选择一个或多个文件,然后从"文件加密"上下文菜单中选择"加密"。EFS 对选定文件进行加密。
文件一旦加密,就以加密形式存储到磁盘上。对文件的所有读写均透明地解密和加密。要查看文件是否已加密,用户可以检查文件的属性,看加密属性位是否打开。因为加密是透明的,用户可以像以前一样使用文件。例如,用户仍可以像以前一样打开 Word 文档进行编辑,或者使用 Notepad 打开和编辑文本文件。任何其他用户要打开此加密文件,就会出现访问被拒绝的错误,这是因为此用户没有解密文件的密钥。
用户(此处指管理员)不应加密系统目录中的文件,因为系统引导时需要这些文件。在引导过程中,用户的密钥不能解密这些文件。这一操作会使系统失去作用。Windows Explorer 使用户无法加密带有系统属性的文件,来防范此类操作。Windows 将来的发行版本会提供支持系统文件加密的安全引导功能。
EFS 也给用户提供了在不同系统之间传送加密文件的功能。"导出加密文件"和"导入加密文件"功能是 Windows 命令提示符下 Copy 命令的扩展。用户要做的只是使用导出选项,指定一个已加密文件作为源,并指定另一个在未加密目录中的文件作为目标。导出文件仍是加密的。然后,用户可以将此导出文件复制到别的文件系统,包括 FAT、备份磁带,或者像普通文件一样,将它作为电子邮件附件发出。要在复制的目标系统上使用这个文件,用户须将导出的文件指定为源文件,在 NTFS 卷上的新文件名作为目标文件进行导入,这样系统会创建一个新的加密文件。备注:简单地复制文件会得到一个明文副本,除非复制文件的目录已标为加密,则副本会被再次加密。这是因为普通复制命令使用由 EFS 透明解密的文件读取。这可用来创建用于分发的加密文件的明文副本。
目录加密
用户也可以使用 Windows Explorer 上下文菜单,将目录标为加密目录。将一个目录标记为加密目录可确保以后此目录中的所有文件默认为加密且所有子目录均标为加密。文件的目录列表不加密,只要对该目录有足够的访问权限,就可以和平时一样列举文件。
将目录标记为加密与文件加密类似。用户选定文件,然后在 Windows Explorer 中选择加密选项。在这种情况下,用户可以选择仅将目录标记为加密,或者将目录下所有文件及子目录标为加密。使用目录加密,用户只需将敏感文件复制到加密目录中就可对其进行管理。
文件或目录解密
普通操作时用户并不需要将文件或目录解密,因为在数据读写过程中 EFS 提供透明的加密和解密。然而在特定场合下,例如用户需要与其他用户共享一个加密文件时,可能需要这样的操作。
用户可以使用 Windows Explorer 上下文菜单,对文件进行解密和标记目录为未加密。此操作与加密类似。在一个或多个文件上执行此操作,EFS 对整个文件进行解密,并将其标为未加密文件。对一个目录进行解密时,上下文菜单也提供选项,递归地对目录中的所有加密文件及子目录进行解密。
EFS 恢复策略作为系统整个安全策略的一部分来实现。它或者是作为 Windows 域域安全策略的一部分,或者是作为独立工作站和服务器的本地安全策略的一部分。作为域安全策略的一部分,它适用于域中所有基于 Windows 2000 或 Windows NT 的计算机。"EFS 策略"用户接口已被集成为"域策略"和"本地策略"接口的一部分。此接口允许恢复代理通过公用密钥管理控制生成、导出、导入和备份恢复密钥。恢复策略与系统安全策略的集成提供了一致的安全强制模型。Windows 安全子系统负责强制、复制和缓存 EFS 策略。因此,用户能够在暂时脱机的系统(如膝上型计算机)上使用文件加密,这与用户可以使用缓存凭据够登录到他们的域帐户非常相似。
· EfsRecvr 命令行工具–使恢复代理使用任一恢复密钥,就可以查询恢复密钥和恢复一个加密文件。
例如:
o 要恢复 My Documents 目录中的所有文件,恢复代理可以键入:
C:\>efsrecvr /s:"My Documents" *.*
cipher 命令支持以下选项:
EFSRECVR [/S[:dir]] [/I] [/Q] [filename [...]]
/S 对给定目录中及所有子目录中的文件进行恢复。默认"dir"指的是当前目录。
/I 即使发生了错误,也要继续执行恢复。默认情况下,当出现错误时,CIPHER 命令停止执行。
/Q 只报告最基本的信息,包括恢复密钥标识列表以帮助恢复代理加载适当的密钥。
filename 指定了一个模式、文件或目录。
加密恢复
在 EFS 可以使用之前,EFS 要求在"域"的层次(或在本地,如果计算机不是一个域的成员)设置数据恢复。恢复策略由域管理员设置(或由称为恢复代理的受托人设置),系统管理员控制域中的所有计算机的恢复密钥。
如果一个用户丢失了私钥,被该密钥保护的文件可通过以下方式进行恢复:导出该文件,并以电子邮件的方式发送到一个恢复代理。恢复代理使用恢复私钥将文件导入到安全的计算机上,并使用恢复命令行工具解密该文件。然后,恢复代理将明文文件返回给用户。在没有域的小型业务环境或家庭环境中,恢复可以自己在独立的计算机上完成。


EFS 结构
本节提供对 EFS 的一个简要的技术和结构概述。
EFS 采用基于公钥的方案实现数据加密和解密。文件数据加密使用带有一个文件加密的 (FEK) 的快速对称算法完成的。FEK 是随机产生的一定长度的密钥,其长度是由算法决定的,或是由法则决定(如果算法支持可变长度的密钥)。与 EFS 有关的导出问题将在一个单独的文档中进行讨论。
FEK加密使用一个或多个密钥加密公钥,生成一个加密的 FEK 列表。用户密钥对的公共部分用来加密 FEK。加密的 FEK 列表与加密文件一起存储在一个特殊的 EFS 属性中,该属性称为数据加密字段 (DDF)。文件加密信息与文件紧密地捆绑在一起。用户密钥对的私有部分在解密过程中使用。FEK 是通过使用密钥对的私有部分进行解密的。用户密钥对的私有部分安全地存放在别的地方,如智能卡或其它安全存储设备上。
备注 用户密钥也可以使用对称算法加密,如由口令演变而来的密钥。EFS 并不支持这种密钥,因为基于口令的方案自身安全性较弱,易受到字典攻击。
FEK 也使用一个或多个恢复密钥加密公钥进行加密。再者,每个密钥对的公共部分用来加密 FEK。此加密的 FEK 列表与文件一起存储在一个特殊的 EFS 属性中,该属性称为数据恢复字段 (DRF)。加密 DRF 中的 FEK,只需要恢复密钥对的公共部分。在正常文件系统操作中,要求这些公共恢复密钥始终在 EFS 系统上。恢复本身一般很少用到,只是当用户离开公司或者丢失密钥时才使用。正因为如此,恢复代理可以将密钥的私有部分安全地存放到别的地方(智能卡或其它安全的存储设备上)。
下图给出了加密、解密和恢复过程的示意图。
图1 文件加密过程
图1 表示加密过程。用户的明文文件使用随机产生的 FEK 加密。文件加密密钥与文件存储在一起,文件是使用 DDF 中的用户公钥和 DRF 中的恢复代理公钥进行加密的。备注:此图表示仅一个用户和一个恢复代理–实际上可以是使用独立密钥的一组用户和一组恢复代理列表。EFS 的第一版支持单用户和多恢复代理。
图2 文件解密过程
图2 表示解密过程。用户的私钥用来对 FEK 进行解密,它使用 DDF 中相应的加密 FEK 项。FEK 以块为单位对文件数据读取进行解密。当对大文件进行随机访问时,只对从磁盘中读取该文件的特定块进行解密。不需要对整个文件进行解密。
图3 文件恢复过程
图3 表示恢复过程。恢复过程与解密类似,只是它使用恢复代理的私钥来解密 DRF 中的 FEK。
此简单方案提供了强大的加密技术,使多用户能够共享一个加密文件,也允许多恢复代理恢复此文件(如果需要)。此方案中算法使用十分灵活,在各个加密阶段,可使用任意的加密算法。这是至关重要的,因为产生了新的和更好的加密算法。
EFS 结构如图 4 所示。
 
图 4 EFS 结构
在 Windows 2000 操作系统中,EFS 由以下组件组成:
· EFS 驱动程序。 EFS 驱动程序在 NTFS 上面一层。它与 EFS 服务通信,请求文件加密密钥、DDF、DRF 和其它密钥管理服务。它将信息送到 EFS 文件系统运行时库 (FSRTL),以透明地执行各种文件系统操作(打开、读取、写入和附加)。
· EFS FSRTL。FSRTL 是 EFS 驱动程序中的一个模块,用于实现 NTFS 标注以处理各种文件系统操作,如对加密文件和目录的读取、写入和打开操作,以及文件数据写入磁盘或从磁盘中读取时对文件数据的加密、解密和恢复。即使 EFS 驱动程序和 FSRTL 都是以单个组件实现的,它们之间从不直接通信。它们使用 NTFS 文件控制标注机制相互传递消息。这保证了 NTFS 参与所有的文件操作。使用文件控制机制完成的操作包括,将 EFS 属性数据(DDF 和 DRF)作为文件属性写入,以及将 EFS 服务中计算的 FEK 传送到 FSRTL,使之可以在开放文件上下文中建立起来。此文件上下文又可用于磁盘文件读写操作的透明加密和解密。
· EFS 服务。EFS 服务是安全子系统的一部分。它使用本地安全授权 (LSA) 和内核模式安全参考监视器之间的现有 LPC 通信端口与 EFS 驱动程序进行通信。在用户模式下,它面对 CryptoAPI,提供文件加密密钥并生成 DDF 和 DRF。EFS 服务也支持 Win32&reg; API 的加密、解密、恢复、导入和导出。!
· Win32 API。它为加密明文文件、解密和恢复密文文件、导入和导出加密文件(没有先解密)提供了编程接口。Advapi32.dll(一个标准的系统 DLL)支持这些 API。
  EFS 的导出问题
EFS 对授权的恢复代理提供数据恢复。Microsoft 致力于满足当前加密导出策略规章以及为国际用户提供多于 40 位的加密技术,数据恢复结构就是其中的一部分。朝着这个努力方向,EFS 使用了标准 DES 加密算法,此算法是基于 56 位加密密钥。EFS 设计支持不同密钥强度的不同加密算法,以便将来的改进。
现在,Microsoft 正与美国政府一起,寻求获得使用 56 位 DES 的 EFS 文件加密算法的导出批准。由于检查还在进行当中,Microsoft 给国际用户提供 40 位 DES 实现的 EFS,作为文件加密算法。在北美市场,Windows 产品则使用标准的 56 位 DES 加密算法。用 40 位 EFS 版本加密的文件可以导入到支持 56 位 DES 的 EFS 版本。然而,使用 56 位 EFS 版本加密的文件不能导入到 40 位 DES 的 EFS 版本中,以符合美国导出规章的要求。将来,如果规章允许导出功能更强的加密技术,世界各地的用户可以透明地迁移和使用 EFS 新的、更强的加密算法。
结论
有了 Windows 2000 的 EFS,用户可以使用强大的基于公钥的加密方案,对单个 NTFS 文件以及整个目录进行加密。
· EFS 通过文件共享,支持远程文件的加密。
· 使用 EFS,企业可以建立数据恢复策略,如需要,可以恢复用 EFS 加密的数据。
· 恢复策略与整个 Windows 安全策略集成在一起。对此策略的控制权可以委派给有恢复权限的个人。
· EFS 中的数据恢复是内含的操作。它仅显示恢复的数据,而不是用于加密文件的用户个人密钥。
· 使用 EFS 的文件加密不要求用户每次使用都对文件加密和解密。对磁盘文件进行读写操作时,解密和加密透明地进行。
· EFS 支持导出和导入功能,允许不经解密就可以对加密文件进行备份、还原和文件传输。
· EFS 与操作系统集成到一起,这样就不会将密钥信息泄露到分页文件中,保证了加密文件的所有临时副本都得到了加密。
· 北美版本的 EFS 将 DES 作为文件加密算法,具有完全的 56 位密钥熵。国际版本的 EFS 也将 DES 作为加密算法,但文件加密密钥只有 40 位密钥熵。

作为系统的整个安全策略的一部分,’加密文件系统’(EFS) 的数据故障恢复是可用的。例如,如果你丢失了文件加密证书和相关的私钥(由于磁盘错误或是其他原因),还是可以通过指定的故障恢复代理来恢复数据。或者,在商业环境中,单位能够在雇员离开后恢复雇员加密的数据。

 


恢复策略

  EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供人员,作为被指派的故障恢复代理。当管理员第一次登录到系统上时,默认的故障恢复策略将会自动地添加进去,以便为管理员提供故障恢复代理。

  故障恢复代理拥有特殊证书和相关私钥,该私钥允许在故障恢复策略的影响范围内恢复数据。如果是故障恢复代理,请务必在 Microsoft 管理控制台 (MMC) 的证书中使用"导出"命令,将故障恢复证书和相关私钥备份到安全位置。在备份之后,应使用 MMC 中的"证书"管理单元从恢复代理的个人存储区(而不是从恢复策略)删除恢复证书。然后,当需要为用户执行故障恢复操作时,应该首先从 MMC 的"证书"管理单元中使用"导入"命令将故障恢复证书和相关的私钥还原到故障恢复代理的个人存储区。在数据恢复之后,应从恢复代理的个人存储区中再次删除恢复证书。不必重复导出过程。从计算机中删除故障恢复证书并将其保存在安全位置是用于保护敏感数据的附加安全措施。
  默认故障恢复策略在本地配置为用于单机。对于网络中的计算机,可以在域、部门或单个计算机一级配置故障恢复策略,并在所定义的影响范围内,将其应用于所有基于 Windows 2000 的计算机。恢复证书由证书颁发机构 (CA) 发布,并使用 MMC 中的证书来管理。

  在网络环境中,对于故障恢复策略影响范围中的所有计算机用户,域管理员控制如何执行 EFS。在默认的 Windows 2000 安装中,当安装第一个域控制器时,域管理员是指定的域故障恢复代理。域管理员配置故障恢复策略的方法将决定如何为本地机器上的用户执行 EFS。域管理员登录到第一域控制器以更改域的故障恢复策略。下表解释几种故障恢复策略配置对用户的影响。

空的故障恢复策略 无法使用 EFS 没有故障恢复代理 删除每个故障恢复代理
域等级中没有故障恢复策略 可以在本地使用 EFS 默认的故障恢复代理是本地计算机的管理员 在第一个域控制器上删除故障恢复策略
故障恢复策略以指定的故障恢复代理来配置。 可以在本地使用 EFS 默认的故障恢复代理是域管理员 网络环境的默认配置

  因为 Windows 2000 安全子系统处理故障恢复策略的实施、复制和缓冲,用户能够在暂时脱机的系统上执行文件加密,如便携式计算机(此过程类似于使用缓冲的凭据登录到域帐户)。

  故障恢复策略

  "故障恢复策略"指计算机环境中的用户在恢复加密的数据时所遵从的策略。故障恢复策略是一种公钥策略类型。

  安装 Windows 2000 Server 时,如果已设置第一个域控制器时,将自动对域执行故障恢复策略。域管理员被颁发自签名的证书,该证书将域管理员指派为故障恢复代理。

  EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供指派为故障恢复代理的人员。当管理员第一次登录到系统时,故障恢复策略将自动就位,让管理员成为故障恢复代理。

  配置恢复策略

  默认故障恢复策略是为单独的计算机在本地配置的。对于网络中的计算机,可以在域、组织单元或单独计算机级别上配置故障恢复策略,并在所定义的影响范围内将其应用到所有基于 Windows 2000 的计算机。故障恢复证书由证书颁发机构 (CA) 颁发,并用 Microsoft 管理控制台 (MMC) 中的证书来管理。

  在网络上,故障恢复策略由域管理员或故障恢复代理设置,它控制策略影响范围内所有计算机的控制恢复项。

  由于安全子系统处理故障恢复策略的实施、复制和缓存,因此用户可以在暂时脱机的系统上(如便携机)执行文件加密。(此进程类似于使用缓存的凭据登录到域帐户)。

 

  故障恢复策略的类型

  管理员可以定义三种策略中的一种:非故障恢复策略、空故障恢复策略,或者带一个或多个故障恢复代理的故障恢复策略。

  故障恢复代理策略。当管理员添加一个或多个故障恢复代理时,故障恢复代理策略生效。这些代理负责在其管理范围内恢复任何加密的数据。这是最常用的故障恢复策略类型。

  空故障恢复策略。当管理员删除所有的故障恢复代理及其公钥证书时,空故障恢复策略生效。空故障恢复策略意味着没有故障恢复代理,而且用户无法在故障恢复策略影响范围内的计算机上加密数据。空故障恢复策略的结果是完全关闭 EFS。

  非故障恢复策略。当管理员删除组故障恢复策略时,非故障恢复策略生效。由于没有组故障恢复策略,因此单个计算机上的默认本地策略被用于恢复数据。这意味着本地管理员控制其计算机上的数据恢复。

  更改故障恢复策略

  要更改域的默认故障恢复策略,请以管理员身份登录第一个域控制器。然后,必须通过’Active Directory 用户和计算机’管理单元激活’组策略’,并选择’安全设置’、’公钥策略’和’加密数据的故障恢复代理’。

  故障恢复代理

  故障恢复代理就是获得授权解密由其他用户加密的数据的管理员。例如,当雇员离开公司而其剩余数据需要解密时故障恢复代理非常有用。在添加域的故障恢复代理之前,必须确保每个故障恢复代理都已经颁发 X509 第三版的证书。

  故障恢复代理拥有特殊证书和相关私钥,允许在故障恢复策略的影响范围内恢复数据。如果你是故障恢复代理,请务必在 Microsoft 管理控制台 (MMC) 的证书中使用"导出"命令,将故障恢复证书和相关私钥备份到安全位置。备份完成后,应该使用 MMC 中的证书删除故障恢复证书。然后,在需要为用户执行故障恢复操作时,应该首先从 MMC 的证书中使用"导入"命令还原故障恢复证书和相关私钥。恢复数据之后,应该再次删除故障恢复证书。不必重复导出过程。
  要对域添加故障恢复代理,请将它们的证书添加到现有的故障恢复策略中。可以通过"Active Directory 用户和计算机"管理单元激活"添加故障恢复代理"向导来完成。

  使用证书

  证书是一种帮你申请新的公钥证书并管理现有证书的管理单元。证书由提供身份验证、数据完整性以及在不安全的网络(如 Internet)间进行安全通讯的许多公钥安全服务和应用程序所使用。管理员可以为自己或其他用户、计算机或服务管理证书。用户只管理自己的证书。 有关打开管理单元或使用 Microsoft 管理控制台 (MMC) 的信息,请参阅相关信息。

附:Cipher 命令详解

  在 NTFS 卷上显示或改变文件的加密。

cipher [/e| /d] [/s:dir] [/a][/i] [/f] [/q] [/h] [pathname [...]]

  1. 参数

  无
  不带参数使用,将显示当前文件夹和其包含文件的加密状态。

  /e
  加密指定的文件夹。文件夹将被标记,以后添加到此文件夹中的文件将被加密。

  /d
  将指定的文件夹解密。文件夹将被标记,以后将会不加密添加到此文件夹的文件。

  /s: dir
  对在给定目录及全部子目录中的文件执行指定操作。

  /a
  对带指定名称的文件执行所选操作。如果没有匹配的文件,该参数将被忽略。

  /i
  即使发生错误,系统仍然继续执行指定的操作。默认情况下,遇到错误时 cipher 会停止。

  /f
  对所有指定的对象进行加密或解密。默认情况下,已加密或解密的文件被跳过。

  /q
  只报告最基本的信息。

  /h
  显示带隐藏或系统属性的文件。默认情况下,这些文件是不加密或解密的。

  pathname
  指定样式、文件或文件夹。

  2.范例

  要使用 cipher 命令加密文件夹 MonthlyReports 中的子文件夹 May,请键入下列命令:

cipher /e monthlyreports\may

  要加密 MonthlyReports 文件夹中的 January 到 December 子文件夹以及 month 子文件夹中的 Manufacturing 子文件夹,请键入:

cipher /e /s:monthlyreports

  如果只想加 May 子文件夹中的 Marketing.xls 文件,请键入:

cipher /e /a monthlyreports\may\marketing.xls

  要加密 May 文件夹中的 Marketing.xls 文件、Maintenance.doc 文件以及 Manufacturing 子文件夹,请键入:

cipher /e /a monthlyreports\may\ma*

  要确定 May 是否已加密,请键入:

cipher monthlyreports\may

  要确定 May 文件夹中哪些文件已加密,请键入:

cipher monthlyreports\may\*

  3.注意

  加密或解密文件

  要防止加密文件在修改时变为解密,建议你将文件和其存放的文件夹两者一同加密。

  多个文件夹名称

  可以使用多个文件夹名称和通配符。

  多个参数

  每个参数之间至少有一个空格分隔。

 

说到数据恢复(Data Recovery),我们就不能不提到硬盘的数据结构、文件的存储原理,甚至操作系统的启动流程,这些是你在恢复硬盘数据时不得不利用的基本知识。即使你不需要恢复数据,理解了这些知识(即使只是稍微多知道一些),对于你平时的电脑操作和应用也是很有帮助的。
我们就从硬盘的数据结构谈起吧……


硬盘数据结构
    初买来一块硬盘,我们是没有办法使用的,你需要将它分区、格式化,然后再安装上操作系统才可以使用。就拿我们一直沿用到现在的Win9x/Me系列来说,我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT、DIR和Data等五部分(其中只有主引导扇区是唯一的,其它的随你的分区数的增加而增加)。

主引导扇区
    主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。至于分区表,很多人都知道,以80H或00H为开始标志,以55AAH为结束标志,共64字节,位于本扇区的最末端。值得一提的是,MBR是由分区程序(例如DOS 的Fdisk.exe)产生的,不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一个,只要它能完成前述的任务即可,这也是为什么能实现多系统启动的原因(说句题外话:正因为这个主引导记录容易编写,所以才出现了很多的引导区病毒)。

操作系统引导扇区
    OBR(OS Boot Record)即操作系统引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件(例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把第一个文件读入内存,并把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(Allocation Unit,以前也称之为簇)的大小等重要参数。OBR由高级格式化程序产生(例如DOS 的Format.com)。

文件分配表
    FAT(File Allocation Table)即文件分配表,是DOS/Win9x系统的文件寻址系统,为了数据安全起见,FAT一般做两个,第二FAT为第一FAT的备份, FAT区紧接在OBR之后,其大小由本分区的大小及文件分配单元的大小决定。关于FAT的格式历来有很多选择,Microsoft 的DOS及Windows采用我们所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非没有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。

目录区
    DIR是Directory即根目录区的简写,DIR紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置,FAT还必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件(目录)的起始单元(这是最重要的)、文件的属性等。定位文件位置时,操作系统根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置及大小了。在DIR区之后,才是真正意义上的数据存储区,即DATA区。

数据区
    DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。在这里有一点要说明的是,我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,至于分区硬盘,也只是修改了MBR和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破坏的话,也足够咱们那些所谓的DIY老鸟们忙乎半天了……需要提醒大家的是,如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏了,我们也可以使用磁盘编辑软件(比如DOS下的DiskEdit),只要找到一个文件的起始保存位置,那么这个文件就有可能被恢复(当然了,这需要一个前提,那就是你没有覆盖这个文件……)。

硬盘分区方式
    我们平时说到的分区概念,不外乎三种:主分区、扩展分区和逻辑分区。
    主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。在主分区中,不允许再建立其它逻辑磁盘。
    扩展分区的概念则比较复杂,也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间,而每个分区的参数占据16个字节,故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据,如果说逻辑磁盘就是分区,则系统最多只允许4个逻辑磁盘。对于具体的应用,4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用,系统引入了扩展分区的概念。
    所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区(实际上也就是下一个逻辑磁盘)的起始位置,以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。
    需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢失。

数据存储原理
    既然要进行数据的恢复,当然数据的存储原理我们不能不提,在这之中,我们还要介绍一下数据的删除和硬盘的格式化相关问题……

文件的读取
    操作系统从目录区中读取文件信息(包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号),我们这里假设第一个簇号是0023。
    操作系统从0023簇读取相应的数据,然后再找到FAT的0023单元,如果内容是文件结束标志(FF),则表示文件结束,否则内容保存数据的下一个簇的簇号,这样重复下去直到遇到文件结束标志。

文件的写入
    当我们要保存文件时,操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信息,然后在Data区找到闲置空间将文件保存,并将Data区的第一个簇写入DIR区,其余的动作和上边的读取动作差不多。

文件的删除
    看了前面的文件的读取和写入,你可能没有往下边继续看的信心了,不过放心,Win9x的文件删除工作却是很简单的,简单到只在目录区做了一点小改动――将目录区的文件的第一个字符改成了E5就表示将改文件删除了。

Fdisk和Format的一点小说明
和文件的删除类似,利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘(假设你格式化的时候并没有使用/U这个无条件格式化参数)都没有将数据从DATA区直接删除,前者只是改变了分区表,后者只是修改了FAT表,因此被误删除的分区和误格式化的硬盘完全有可能恢复……

系统启动流程
    各种不同的操作系统启动流程不尽相同,我们这里以Win9x/DOS的启动流程为例。
    第一阶段:系统加电自检POST过程。POST是Power On SelfTest的缩写,也就是加电自检的意思,计算机执行内存FFFF0H处的程序(这里是一段固化的ROM程序),对系统的硬件(包括内存)进行检查。
    第二阶段:读取分区记录和引导记录。当微机检查到硬件正常并与CMOS设置相符后,按照CMOS设置从相应设备启动(我们这里假设从硬盘启动),读取硬盘的分区记录(DPT)和主引导记录(MBR)。
    第三阶段:读取DOS引导记录。微机正确读取分区记录和主引导记录后,如果主引导记录和分区表校验正确,则执行主引导记录并进一步读取DOS引导记录(位于每一个主分区的第一个扇区),然后执行该DOS引导记录。
    第四阶段:装载系统隐含文件。将DOS系统的隐含文件IO.SYS入内存,加载基本的文件系统FAT,这时候一般会出现Starting Windows 9x…的标志,IO.SYS将MS.SYS读入内存,并处理System.dat和User.dat文件,加载磁盘压缩程序。
    第五阶段:实DOS模式配置。系统隐含文件装载完成,微机将执行系统隐含文件,并执行系统配置文件(Config.sys),加载Config.sys中定义的各种驱动程序。
    第六阶段:调入命令解释程序(Command.com)。系统装载命令管理程序,以便对系统的各种操作命令进行协调管理(我们所使用的Dir、Copy等内部命令就是由Command.com提供的)。
    第七阶段:执行批处理文件(Autoexec.bat)。微机将一步一步地执行批处理文件中的各条命令。
    第八阶段:加载Win.com。Win.com负责将Windows下的各种驱动程序和启动执行文件加以执行,至此启动完毕。

    数据恢复(Data Recovery)的基础知识到此就给你介绍得差不多了。如果你领会了以上的这些知识,相信加上工具软件的辅助,恢复你丢失的数据简直是轻而易举,这里就不再多说。

下一次介绍常用的数据恢复(Data Recovery)软件:PCtools(DOS)、Easyrecovery、Finaldata

常用的硬盘数据恢复软件简介:Easyrecovery、Finaldata,R-Studio,Drive Rescue ,Recover4all,File Scavenger ,getdataback,RecoverNT,Search and Recover,DataExplore,Lost&Found、PCtools(DOS)、。。。

 

    Easyrecovery

  Easyrecovery是一个非常著名的老牌数据恢复软件。该软件功能可以说是非常强大。无论是误删除/格式化还是重新分区后的数据丢失,其都可以轻松解决,其甚至可以不依靠分区表来按照簇来进行硬盘扫描。但要注意不通过分区表来进行数据扫描,很可能不能完全恢复数据,原因是通常一个大文件被存储在很多不同的区域的簇内,即使我们找到了这个文件的一些簇上的数据,很可能恢复之后的文件是损坏的。所以这种方法并不是万能的,但其提供给我们一个新的数据恢复方法,适合分区表严重损坏使用其他恢复软件不能恢复的情况下使用。Easyrecovery最新版本加入了一整套检测功能,包括驱动器测试、分区测试、磁盘空间管理以及制作安全启动盘等。这些功能对于日常维护硬盘数据来说,非常实用,我们可以通过驱动器和分区检测来发现文件关联错误以及硬盘上的坏道。
开发商说明:
EasyRecovery Professional contains advanced data recovery capabilities that allow you to search file types including MIDI music files, voice files, digital media files, and more! Plus, you can utilize the Emergency Boot Diskette to recover data from systems that cannot boot to Windows.

Finaldata

    Finaldata2.0是目前Finaldata的最新版本。Finaldata是一个日本人开发的数据恢复软件,Finaldata自身的优势就是恢复速度快,可以免去搜索丢失数据漫长的时间等待。不仅恢复速度快,而且其在数据恢复方面功能也十分强大,不仅可以按照物理硬盘或者逻辑分区来进行扫描,还可以通过对硬盘的绝对扇区来扫描分区表,找到丢失的分区。Finaldata在对硬盘扫描之后会在其浏览器的左侧显示出文件的各种信息,并且把找到的文件状态进行归类,如果状态是已经被破坏,那么也就是说如果对数据进行恢复也不能完全找回数据。这样方便我们了解恢复数据的可能性。同时此款软件还可以通过扩展名来进行同类文件的搜索,这样就方便我们对同一类型文件进行数据恢复。
    Finaldata的速度之快不仅表现在对硬盘扫描时迅速,把已经找到要恢复的文件进行保存的速度也非常迅速,Finaldata能充分利用IDE硬盘的ATA133、ATA100等最大接口速度,对数据进行快速保存,在保存数据时间方面,Finaldata比其他同类型软件要快一倍以上。
开发商说明:
1. Improve Data Protection and Integrity by Pre-Installing FINALDATA
- Delete Protection : Protects against the deletion of important files and directories
- File Delete Manager : Automatic Backup of files being deleted
2. Easy and Useful Recovery Tools
- File Preview : Check the contents of Images files, MS Office documents, or HTML files before recovering
- File Viewer : Extract the text contained in a damaged file
3. Damaged CD-ROM Recovery
- Recover data from damaged sectors of CD-RW and CD-R media
- Support CDFS, UDF
4. Fully Compatible with Microsoft Windows OS
- Fully compatible with Windows 9x/ME/NT4.0/2000/XP
- Support for FAT 12/16/32 and NTFS

R-Studio

R-Studio是损坏硬盘上资料的救星。它能针对各种不同版本的Windows操作系统之文件系统都能应付自如。甚至连非Windows系列的Linux操作系统,R-Studio软件也照样能够应付。而在Windows NT,Windows2000等操作系统上所使用的NTFS文件系统,R-Stduio亦具有处理的能力,而且R-Studio甚至也能处理NTFS文件系统的加密与压缩状态,并将发生问题的文件复原。除了本地磁盘以外,R-Studio甚至能透过网络去检测其他电脑上硬盘的状况。且在挽救资料损毁的文件以外,R-Studio也包括了误删文件的复原能力,让未使用回收站或是已清空回收站的文件,都照样能够找回来。最特别的一点是在标准的磁盘安装方式以外,R-Studio也能支持RAID磁盘阵列系统。
开发商说明:
R-studio is a family of data recovery and undelete utilities. Empowered by new unique data recovery technologies, it is the most comprehensive data recovery solution for FAT12/16/32, NTFS, NTFS5, and Ext2FS. It recovers data both on local logical and physical disks, as well as disks on remote computers over networks, even if their partition structures are damaged or deleted. RAID reconstruction and Dynamic disk support are included, as well as support for recovering encrypted files, compressed files, and alternative data streams. File/disk content can be viewed and edited in the hexadecimal editor. Flexible parameter settings give you absolute control over data recovering.

Drive Rescue

Drive Rescue是一款优秀而且免费的磁盘数据拯救程序,它能恢复驱动器(例如硬盘)上误删或遗失的数据,即使已经失去分区表或硬盘已被快速格式化或者遭遇系统崩溃等情况,找回驱动器重要文件系统信息如分区表、引导记录、FAT、文件/目录记录等。当然对于物理损坏的硬盘它也无能为力。Drive Rescue支持FAT 12/16/32分区和Windows全系列操作系统以及双硬盘。 
开发商说明:
Standard version:
Recovery of deleted files (plus full NTFS recovery support including encrypted and compressed files! Competition products cannot recover encrypted files.)
Recovers files with the original time and date stamp
Supports the saving of recovered files on network drives
Professional version:
Recovery of formatted and lost drives
Recovery even if the partition table is damaged
Finds partitions automatically, even if the boot sector, FAT or system files of the MFT have been erased or damaged
Recovers files, even when a directory entry is no longer available. Competition products cannot recover such files. The "Special Recovery Function" supports the following file formats: 123, ARJ, AVI, AU, BMP, CDR, CGM, CHM, CLA, class, CPT, CRW, DOC, DRW, DWG, DXF, EPS, EXE, GIF, HLP, HTML, JPG, LZH, MID, MBX, MDB, MOV, MP3, NSF, PAB, PCX, PDF, PLT, PNG, PP4, PP5, PPT, PSD, PST, RTF, SAM, TAR, TIF, TTF, WAV, WMF, WPC, WPD, WPG, WRI, XLS, ZIP and much more!
These features are all supported for both FAT AND NTFS!


Recover4all

Recover4all是一款非常优秀的文件恢复软件。可以恢复任何由于冒失而删除的文件,只需轻轻点击鼠标,删除的文件便可失而付返。不管你丢失的文件是故意的还是直接的删除,也不管删除了多久,次数有多少,对Recover4all来说,一切都不是问题。本软件无需安装,可在软盘上直接运行
   

File Scavenger

File Scavenger 能够恢复在NTFS格式下意外删除的文件工具,提供了找寻文件类型功能,如*.doc及*.txt,能够救回的文件不只单一文件,还包括整个目录及压缩文件,也支持救回来的文件选择在原来所在位置恢复或储存到其它的硬盘

getdataback

GetDataBack能帮我们在5个步骤之内轻轻松松的还原数据,不管您的硬盘是否还能被操作系统所辨认,也不管您的根目录或者是所有的目录都已经丢失了。

RecoverNT

RecoverNT是一套功能强大的硬盘资料恢复软件,可以在Windows9x下将你不小心格式化 ;硬盘资料给起死回生,适用于FAT、FAT32、NTFS系统下,可以挽救单独的文件或是整个目录的文件。

Search and Recover

Search and Recover 是出品 System Mechanic 的 iolo 公司发布的一款硬盘数据恢复工具。可以使用向导方式快速恢复已删除数据,也可以通过高级数据恢复工具最大限度的挽救数据。它的另一大特色是可以恢复 Outlook、Outlook Express、Netscape 等邮件程序中删除的邮件信息,现在即使误删除的邮件也可以恢复了。同时 Search and Recover 还附带一个安全删除工具,可以通过多次(最多100次)覆盖的方法以达到安全删除数据的目的。在 Win2000/XP 下,Search and Recover 还提供了一个驱动器映像工具,可以对某一驱动器进行 100% 的完全克隆,避免已删除数据由于磁盘操作被覆盖,提供最高的数据恢复可能性。
开发商说明:
NEW Version 2 Features!
 New Media Recovery Wizard instantly recovers deleted music, photos, and movies on MP3 players, digital cameras, and other portable media.
 Enhanced Data Preview allows you to view and manipulate deleted items in their native formats – before recovery!
 New step-by-step Recovery Wizards make data recovery fast and easy.
 Emergency disk images now support compression to save space.

DataExplore(数据恢复大师

   DataExplore是一款功能强大,提供了较低层次恢复功能的数据恢复软件,只要数据没有被覆盖掉,文件就能找得到,本软件无须安装,解压后可以直接运行,请不要在待恢复的分区上运行本软件.
    本软件支持FAT12,FAT16,FAT32,NTFS,EXT2文件系统,能找出被删除/被格式化/完全格式化/删除分区/分区表被破坏后磁盘里文件,分区被删除或分区表被破坏的情况下可以以虚拟卷方式加载,并以资源浏览器的方式进行管理,文件/文件夹可以拖放,被删除的文件以打红X的方式加以标志,能组织磁盘扇区成文件.能显示文件信息和文件在磁盘中的位置,方便的磁盘扇区浏览功能,内置有文本,十六进制,图片和网页等多种视图(可打印),可以在在未恢复出文件的情况下预览文件.可浏览网络硬盘.提供JScript脚本编辑和解析,相应的有API供脚本调用,并将脚本执行结果列表显示,通过脚本可以查找特殊的磁盘信息并存成文件,也可以用来搜索复杂的数据.所有操作均在内存中完成,不破坏源数据,加载分析的结果可以保存成文件.界面友好.有远程恢复功能,只要在用户远程运行服务器,专业人员就可以远程恢复导出客户的数据文件,很有实用价值的一款功能,是做数据恢复业务的好帮手.
    最新功能:支持无分区的恢复,以物理方式加载整个硬盘,做卷分析,本程序根据硬盘上残留文件信息自动在内存中建立出FAT32,NTFS分区,按原目录结构分类文件。


Lost&Found

Lost&Found由出品Partition Magic的PowerQuest公司所出的产品, 是一套恢复硬盘因病毒感染,意外格式化等因素所导至损失的资料工具软件, 能将已删除的文件资料找出并救回, 也能找出已重新格式化的硬盘, 被破坏的FAT分配表, 启动扇区等等, 几乎能找出及发现任何在硬盘上的资料(支持FAT16 和FAT32及长文件名), 并尽可能的救回, 并提供了分析和提示恢复的可能性功能,救回来的资料能选择在原来所在位置恢复或储存到其它可写入资料的的硬盘, ZIP, MO支持所有IDE, EIDE及SCSI 设备, 亦提供了自动备份目录, 文件和系统配置文件, 能在任何时间恢复

PCtools(DOS)

    该软件具有初级的数据恢复功能,使用计算机时间较长时间的用户对此软件较为熟悉。由于只在DOS下使用改工具,目前此款软件的应用范围已经大大缩小,取代它的则是在windows操作系统下使用的数据恢复软件。

本来想自己写一篇介绍使用FinalData的文章,结果在网上发现了此文,比我要写的还好,干脆就拿过来了。
和同类的软件(比如Easyrecovery)相比。FinalData更加容易使用。。。

  电脑现在在我们的日常生活当中已经扮演着越来越重要的脚色了!我们也把越来越多的事情交给了电脑处理了。重要的资料、照片、音乐、程序等等塞满了我们的硬盘,但是电脑用久了难免会出现误删重要文件的事情。有时候windows的回收站会成为我们的后悔药,但是如果连回收站都清空或者禁用了呢?当然市场上有许多专业的数据恢复公司,不过其数据恢复(Data Recovery)的价格可不是一般用户可以承受的。许多资料也没重要到需要我们付出如此多金钱到专业公司去恢复的地步。这时候我们就需要自己动手恢复了,这样也符合了DIY的精神!这里我像大家介绍一款比较简单且功能强大的数据恢复软件FinalData,首先我们打开FinalData的主程序可以见到如下窗口(图1)。程序的组成非常简洁,由菜单栏、工具栏、目录示图和目录内容示图组成。
(图1)
一、打开丢失数据的盘符选择界面左上角的"文件"、"打开",从"选择驱动器对话框"(图2)中选择想要恢复的文件所在的驱动器。这里我们选择"驱动器G"然后单击"确定"。
(图2)
二、扫描驱动器在选择好驱动器以后FinalData会马上开始扫描驱动器上已经存在的文件与目录(图3)。扫描完毕以后出现一个"选择查找的扇区范围"对话框,由于我们并不知道被删除的文件所在的扇区具体位置所以我们不做修改。这里有"完整扫描"与"快速扫描"两种方式让我们选择,这里我们选择"快速扫描"(图4)。如果选择"完整扫描"FinalData将会扫描硬盘分区的每一个簇,所以速度也会慢很多(图5)。两者产生效果的具体区别本文后面会指出。
(图3)
(图4)(图5)
其实当文件被删除时,实际上只有文件或者目录名称的第一个字符会被删掉。FinalData通过扫描子目录入口或者数据区来查找被删除的文件。扫描完成后将生成删除的文件和目录的列表在目录示图和目录内容示图。 当目录扫描完成后,在窗口的左边区域将会出现七个项目,而目录和文件信息将会显示在右边窗口(图6)。这七个项目的含义如下:(图6)
1、"根目录":正常根目录 2、"删除的目录":从根目录删除的目录集合(只在"快速扫描"后可用) 3、"删除的文件":从根目录删除的文件集合(只在"快速扫描"后可用) 4、"丢失的目录":只有在"完整扫描"后找到的目录将会被显示在这里。由于已经被部分覆盖或者破坏,所以"快速扫描"不能发现这些目录。如果根目录由于格式化或者病毒等引起破坏,FinalData就会把发现和恢复的信息放到"丢失的目录"中。(只在"完整扫描"后可用) 5、"丢失的文件":被严重破坏的文件,如果数据部分依然完好,可以从"丢失的文件"中恢复。在"快速扫描"过后,FinalData将执行"完整扫描"以查找被破坏的文件并将列表显示在"丢失的文件"中。(只在"完整扫描"后可用) 6、"最近删除的文件":当FinalData安装后,"文件删除管理器"功能自动将被删除文件的信息加入到"最近删除的文件"中。因为FinalData将这些文件信息保存在一个特殊的硬盘位置,大多数情况下可以完整地恢复出现(安装程序时会指定一定的硬盘空间用来存放这些信息)。 7、"找到的文件":这些就是所有硬盘上面被删除的文件,以后可以按照文件名、簇号和日期对扫描到的文件进行查找。 三、查找要恢复的文件如果找不到要恢复的文件的位置或者在"删除的文件"中有太多文件以至于很难找到需要恢复的文件,就可以使用"查找"功能。从菜单中选择"文件"、"查找"。FinalData提供的查找方式有三种(图7),有按文件名查找、按簇查找、按日期查找。这里我们介绍最常用的按文件名查找,在提示框中输入我们所找的文件的关键字或者通配符(Dos时代常用的?号、*号)。单击右面的"查找"以后FinalData将在当前分区查找存在的或者已删除的目标文件。找到的文件将会出现在左窗口区域的"找到的文件"项目中(图8)。
(图7)(图8)
四、恢复在右面的目录内容示窗找到我们需要恢复的文件以后,单击右键选择"恢复"出现"选择目录保存"对话框。对话框上面的"FAT"设置和文件系统有关。如果使用的是FAT16/32文件系统,这个选项可以使用。如果使用的是NTFS4.0/5.0文件系统,该项就不可选。但是该项的具体作用笔者不是很清楚。当保存文件时,最好不要把数据保存到根目录。因为当重要数据从根目录被意外删除后,其他数据的访问将大大减少这些重要数据被恢复的可能性。在"目录"里面指定我们希望恢复文件的保存路径,最后单击"保存"按钮(图9),大功告成!这时候我们就可以打开"我的电脑"来确认数据是否恢复成功了!
(图9)

EasyRecovery是Ontrack公司开发的数据恢复软件,它即便不是最著名的数据恢复软件,也肯定是最著名的数据恢复软件之一。Easyrecovery的功能非常强大,除了数据恢复外,还可以检测硬盘故障,修复office文档文件和ZIP文件,以及outlook邮件修复功能。以前我曾在《软件报》上写过一篇短文《硬盘中锁后的数据恢复》,就是介绍用Easyrecovery拯救中锁硬盘数据的。EasyRecovery可从其开发公司Ontrack的主页http://www.ontrack.com下载最新的版本。

 

EasyRecovery不同版本的操作界面可能略有不同,本文我用的是从天空软件站下载的EasyRecovery Pro V6.04.08做的示例。
下载下来后安装很简单,双击安装文件后一路"next"即可,中间有一步让"Register"(注册),记得要选择"Skip"(跳过)。安装完成后桌面会出现两个图标:"EasyRecovery Professional"和"Ontrack Crisis Center",其中"Ontrack Crisis Center"是广告,不用理会。
双击"EasyRecovery Professional"后在打开的软件界面左面选择"Data Recovery"按钮(见图1),在软件界面右边有6个选项,作为普通用户来将最常用到的是"DeletedRecovery"(恢复被删除的文件)、"FormatRecovery"(从一个被格式化的分区中恢复数据)这两个选项。

1:先介绍如何恢复被删除的文件。
选中左侧选项中的第二项"Data Recovery"后,选择右侧的"DeletedRecovery",软件会自动扫描一下系统,稍等一会。然后会出来下一个界面(图2)。

左面是选择分区,被删除的文件本来是在哪个分区的,那么就选择这个分区。例如我想恢复C盘下被删除的文件夹"Tencent"就选择C盘。
右边的"Complete Scan"项如果选择的话,则进行全面的扫描,不过用的时间较长,一般情况下可不选。直接点击"next"进行下一步。

经过一段时间的扫描,程序会找到已被删除的数据。在新出现的界面中,左边窗口中是找到的文件夹。因为我想恢复的是已被删除了的文件夹"Tencent",于是在"Tencent"前打了勾(图3),如果只想恢复某个文件而不是文件夹,就需要点击文件夹前的加号展开这个文件夹(就像用windows的资源管理器一样),然后在窗口右边选择要恢复的具体文件。选中要恢复的目标后单击"next"。

接下来的就是让你选择备份盘的窗口了。你可以将想要恢复的数据备份到你的硬盘里面,也可以选择放置在文件夹里面,或者备份到一个FTP服务器上面,还可以将数据统统备份到一个ZIP压缩包内。左下方的"恢复文件信息"会提示你恢复文件的数量和大小。不要将这些要恢复的数据放在你的被删除文件的盘内,比如,你要恢复c盘的数据,那么恢复出来的数据就不要放在c盘,否则很可能发生错误,导致恢复失败,或者数据不能完全被恢复。做好选择后,单击"next"。
接下来程序就会恢复你的数据了,耐心的等待一下。恢复完毕后,就可以到相应的盘内找到你的数据了。


2.找回被格式化盘中的数据

运行软件,选择左边的"Data Recovery"后选中后边的"FormatRecovery"。软件会先扫描一下硬盘,稍等片刻。

扫描完成后选择被格式化的分区,按"next"。
程序会判断硬盘区块的大小,
然后就会扫描要恢复的文件,时间比较长,是根据要恢复数据的分区大小来决定的。
扫描结束后,列出丢失文件的列表,并且都放 在LOSTFILE目录下,在前面的小方框内打上勾,恢复所有找到的文件。也可以用鼠标左键按一下LOSTFILE前面的+号,显示列表,然后从中选取你要恢复的文件。选择完成后,单击"next"。
接下来的就是让你选择备份盘的窗口了。和恢复误删除数据一下,备份盘不要选择我们要恢复数据的盘。
选择完毕后,单击"next"。
恢复完毕后,在相应盘内就可以看到恢复出来的数据了。

 

由于EasyRecovery功能众多,这里只是介绍了最初级的用法,等以后有时间再整理一些相关文章。