大数据技术及安全研究
                     Big Data Technology and Security Research


                 （二）计算机数据恢复技术
                 计算机数据恢复简单来说即是将丢失、残缺的数据恢复成正常完整的数据，
             从而有效帮助用户找回关键数据信息，保护用户利益不遭受损害。计算机数据恢
             复技术一般可包括三个层次：

                 ①简单的层次是基于文件系统的数据恢复，这也是我们日常生活中最为常见
             的数据恢复方式，一般是直接使用数据恢复软件即可直接完成数据恢复，比如可
             采用“Easy Recover”“R-Studio”等数据恢复软件，通过对文件系统进行解析，
             读取系统分区，然后再读取丢失数据目录，根据目录完成丢失数据提取恢复。

                 ②基于文件数据特征的数据恢复，通常而言，当文件系统遭受破坏，无法直
             接通过文件系统进行数据恢复时，就需要采用根据不同文件数据特征的数据恢复
             技术。即使是不同类型的文件的数据，也有着相似的数据特征，比如每个数据文
             件都有一个文件头，而同一类型的文件头则是一样的，可以以不同文件类型的文

             件特征为依据，从数据云中直接扫描进行数据恢复。
                 ③残缺数据恢复，第二种数据恢复方法只适合文件内存较小，且丢失的数据
             恰好在文件系统分配的同一个簇里，若文件大小超过了一个簇，并且文件头、尾
             不完整，均遭受了破坏，这就需要采用残缺数据恢复技术，这种技术在国外被称

             之为“数据雕刻恢复技术”。此外，在硬盘之中存在一些特殊区域，比如没有被
             分配出去的空间，这些空间虽尚未分配，但也有可能存在一些先前的数据残留，
             针对这些特殊空间的残留数据恢复，同样需要数据雕刻恢复技术，在实际应用该
             技术时，同样需要一些专业的软件，比如“D-Recovery”企业版软件（达思公司

             研发），能够有效解决上述高难度数据恢复问题。

                 四、数据恢复技术在计算机取证系统中的应用

                 （一）数据恢复原理

                 计算机当中的存储部件将各种数据以电磁信号的形式进行储存。磁盘当中的
             磁粒子变动可以促成数据的保存。需要对其进行读取的时候，计算机就会将转换
             机制作用在信号上，进而转换为通常可以操作的数据。如果数据遭到删除，计算
             机当中的存储部分并未将数据完全处理，仅是对其中的部分进行变动，然后作上

             相应的标示，数据被删除的部分便可以继续存储文件。比如在 FAT 系统当中，
             当实施删除之后，系统仅是将文件目录中的说明进行修改，添加固定的标志之后


             ·186·