Data Doctor
iconCONTACT US
Home » Other Languages » 中文 » 软件知识库 » FAT 数据恢复软件案例研究

FAT 数据恢复软件案例研究

(a)已删除的文件/文件夹

FAT 数据恢复软件可从 PC(个人计算机)恢复已删除的文件(Word、Excel、Access、PowerPoint、照片、电子邮件、数据库和所有办公文件)和目录。

从计算机系统中删除任何文件后,文件内容不会立即被删除。文件链接从文件记录信息(存储文件信息的位置)断开,但文件仍然存在于计算机的硬盘驱动器中,因此可以有效地利用数据恢复软件来恢复丢失的数据文件和文件夹。

(b)清空回收站

回收站包含所有已删除的文件,无论文件和文件夹的删除是有意还是无意的。

任何类型的文件都可以通过多种方式移动到回收站:

  • 右键单击文件并从菜单中选择删除
  • 选择文件并按删除键
  • 在 Windows 操作系统的文件菜单中选择文件并选择删除
  • 通过将文件拖放到回收站图标

回收站列出了所有已删除的文件、文件夹和其他数据,并附有日期、时间和路径。回收站允许用户以 Windows 资源管理器形式查看文件、文件夹、exe 和快捷方式。

一旦回收站被清空,用户就无法恢复数据。但 FAT 数据恢复软件可让用户轻松恢复回收站中已删除或使用 SHIFT+DELETE 键删除的所有文件。

(c)恶意格式

格式化准备硬盘驱动器存储介质以供读写。格式化硬盘驱动器时,操作系统会从磁盘驱动器中删除所有存储的信息。格式化还会检测所有扇区是否未标记为坏扇区,并创建内部地址表以便在后期定位信息。

磁盘驱动器需要格式化有几个原因,其中包括:

  • 消除操作系统损坏
  • 恢复病毒/蠕虫感染的数据
  • 系统性能下降

格式化有两种不同的方式,即高级格式化和低级格式化。高级格式化在磁盘上设置一个空文件系统并安装引导扇区,可以使用“快速格式化”选项执行。低级格式化通常由硬盘驱动器使用,它设置磁盘的某些属性,还确定哪种类型的磁盘控制器可以访问磁盘(RLL 或 MFM)。

您购买的几乎所有硬盘都已进行过低级格式化。执行低级格式化会删除磁盘上的所有数据。格式化是 MS DOS 命令,可用于从计算机磁盘、硬盘等中删除信息。格式化是许多 Windows 操作系统中都有的外部命令。

FAT 数据恢复软件可以有效地恢复格式化后被删除的文件。

(d)电源故障

几乎所有使用计算机系统的用户都会遇到由于断电或电源故障而丢失工作文件和数据的问题。如果工作文件没有保存到计算机硬盘驱动器中的指定位置,则用户可能会丢失完整的工作文件,无论工作文件对用户是否非常重要。用户将无法取回数据,因为当文件处于工作阶段时,文件内容会存储在主存储器中,一旦断电或系统关闭,其内容就会丢失。

停电的原因可能是发电站故障、电力线路或配电系统其他部分损坏、电源短路或超载。

FAT 数据恢复软件可以轻松恢复所有丢失的数据文件,以保存宝贵的数据文件。

(e)从常见错误消息中恢复数据

i)如果已经运行了 FDISK 或其他磁盘实用程序

Fdisk 命令用于将逻辑硬盘划分为一个或多个分区,以供 PC(个人计算机)上的操作系统使用。分区划分在硬盘 0 扇区中的主引导记录 (MBR) 中的分区表中描述。

FDISK 会从当前活动分区中销毁包含系统文件和操作系统的分区。如果计算机系统正在使用中,则用户退出 FDISK 后系统将立即停止运行。

创建分区后重新启动计算机系统,用户会发现系统已为新分区分配了一个驱动器号。用户可以在 DOS 提示符下轻松切换到该驱动器号,但无法读取或写入,因为驱动器尚未格式化。

用户必须使用命令行、Windows 资源管理器或“我的电脑”窗口中的 FORMAT 命令来格式化驱动器,然后才能使用驱动器存储数据。FAT 数据恢复软件可恢复所有丢失和删除的文件、目录和其他数据。

ii)如果病毒已经入侵/感染

病毒是一种通过附加到其他可执行文件(COM、EXE)上来复制自身代码的程序,当被感染的可执行文件执行时,病毒代码就会被执行。

硬盘驱动器或软盘系统扇区包含可感染的可执行代码。最近,为互联网网站编写的脚本和/或包含在电子邮件中的脚本也可以被执行和感染。病毒可以通过添加到文件末尾、插入文件中间或将指针指向磁盘上发现病毒的不同位置来附加文件。

所有病毒的工作行为都比较类似,都是先感染文件,然后攻击数据。有些病毒会使用各种技术来隐藏自己,然后感染系统文件并进行破坏。

一些恶意代码还以木马、蠕虫和逻辑炸弹的形式存在,破坏数据。

可以感染计算机操作系统和文件系统的多个不同部分的病毒包括:

  • Visual Basic 蠕虫使用 Visual Basic 语言来控制计算机并执行任务。
  • 系统扇区病毒会感染并控制磁盘本身的信息。
  • 宏病毒包含用于感染数据文件的宏程序。
  • 集群病毒通过磁盘目录进行感染。

病毒根据其感染方式进行分类。病毒类别包括:

  • 空间填充病毒(空腔)在感染时会尝试维持恒定的文件大小。
  • 隧道病毒在感染时会尝试在防病毒软件下“挖掘隧道”。
  • 伪装病毒试图在扫描仪面前伪装成一种友好程序。
  • NTFS ADS 病毒依赖于 NT 文件系统中的备用数据流。

FAT 数据恢复软件支持恢复由于病毒感染而被删除和擦除的所有文件。

iii)如果 FAT 文件系统损坏

用于记录磁盘上文件所有部分位置的系统。文件很少存储在磁盘上的连续位置,因此 FAT 会跟踪各个段。每个磁盘分区都有簇,每个簇是磁盘上的一个或多个扇区。FAT 会跟踪哪些簇分配给了文件。目录会跟踪文件的起始簇,簇可以自由使用或由文件使用。会保留并比较 FAT 的两个副本以检测磁盘错误。

FAT 文件系统可能因病毒感染、擦除、删除、丢失和格式化而损坏。FAT 数据恢复软件可有效挽救和恢复所有损坏的 FAT 文件。

iv)如果 MBR(主引导记录)/分区表或 DBR(DOS 引导记录)/引导扇区被破坏

MBR 感染者用自己的副本替换 MBR 前面的引导代码,并且不更改分区表。只有在分区表就位的情况下,从软盘启动时才可以访问硬盘,否则 DOS 无法找到驱动器上的数据。

Stoned 病毒就是这种技术的典型例子,它将原始 MBR 存储在第 7 扇区,病毒通过替换的 MBR 取得控制权后,会读取位于内存第 7 扇区中存储的 MBR,并让其控制。MBR 之后有一些空扇区可用,Stoned 病毒利用了这一点。

某些病毒会格式化额外的磁盘扇区,使防病毒程序在修复过程中更难访问原始副本。Indonesian 和 Denzuko 病毒就使用了这种技术。

引导病毒通过覆盖并将引导扇区保存在硬盘末尾来替换原始引导扇区,就像 MBR 病毒一样。

臭名昭著的 Form 病毒就采用了这种方法,将原始引导扇区保存在磁盘的最末端。Form 希望这个扇区很少被使用,这样存储的引导扇区就可以留在磁盘上,而不会有太大的被修改的风险。

引导病毒还会将引导扇区保存在活动分区的末尾,并使分区表中的分区变得更短,以确保该扇区不会“空闲”供其他程序使用。

介绍
数据恢复的常见功能

您可能还喜欢其他软件