博客

” l+ f8 q% N8 `& j6 l

) y’ Q5 C! Z9 v  A



你说的完全正确！！开始的DOS版本在格式化时DATA区清空了，所以不能恢复，后来的DOS版本在格式化时DATA区没有清空，所以能恢复。　低格后通常情况下是不能恢复的，因为数据都清空了，变为0。　但这里说不能恢复也是相对的，因为传说中老外能恢复覆盖几次的数据，有兴趣可以看看下面的文章：




)

如果数据已经覆盖，用通常的恢复工具就无能为力了，但这并不意味着我们绝对不能挽救丢失的数据。读取硬盘上被覆盖的数据通常有两种办法。



.


读




/




写磁头向磁盘写入数据时，它会将磁化数据位的信号调整到某个适当的强度，但信号不是越强越好，不应超出一定的界限，以免影响相邻的数据位。由于信号强度不足以使存储媒介达到饱和的磁化状态，所以实际记录在媒介上的信号受到以前保存在同一位置的信号的影响，例如，如果原来记录的数据位是




0




，现在被一个




1




覆盖，那么实际记录在磁盘媒介上的信号强度肯定不如原来数据位是




1




的强度。





专用的硬件设备能够精确地检测出信号强度的实际值，将这个值减去当前数据位的标准强度，就得到了被覆盖数据的副本。理论上，这个过程可以向前递推七次，所以如果要彻底清除文件，必须反复覆盖数据七次以上，每次都用随机生成的数据覆盖。





第二种数据恢复技术的依据是，磁头每次读




/




写数据时，不可能绝对精确地定位在同一个点上，写入新数据的位置不会刚好覆盖在原来的数据上。原有数据总是会留下一些痕迹，利用专用的设备可以分析出原有数据的副本




—




称为影子数据。当然，如果我们反复执行覆盖操作，原有数据的痕迹也会越来越弱。









●




影子数据




:




被覆盖的数据总是与新写入的不离左右，就象人的影子总是紧跟着人，因此被覆盖的数据就称为影子数据。英文功力好的读者可以参见这篇专著




:

http://www.forensics-intl.com/art15.html





。





通常而言，能够恢复已删除、覆盖的数据应该算是一件好事，当然，某些必须彻底清除数据的场合除外。这方面最为著名的标准是美国国防部订立的磁盘清洗规范，它要求数据必须覆盖三次




:




第一次用一个




8




位的字符覆盖，第二次用该字符的补码




(0




和




1




全反转的字符




)




覆盖，最后用一个随机字符覆盖。不过这个清洗方法不适用于包含高度机密信息的媒介，这类媒介必须进行消磁处理，或者销毁其物理载体。当然，对于大多数场合来说，简单的覆盖处理已经足够。