>电子数据恢复（Word天）（Word哥）

对电子数据访问的进一步兴趣

当条件允许时

以只读方式读取原测试材料中的数据

并制作镜像或副本

无法对原始检验材料进行操作

无法对唯一的图像文件进行操作

多个副本，对副本进行读分析

机器重启后易失数据将会丢失

因此，无法实现重复性或再现性

背景

> 现实生活中，造成数据丢失的原因有很多

——既有客观自然因素，也有人为因素

> 信息犯罪嫌疑人作案后，

——为了逃避司法机关的打击，犯罪证据必须尽可能销毁

> 从计算机和其他电子设备中删除数据

-- 阻止调查人员获取他们想要的数据

> 数据被删除或丢失后

--为了向法庭提供可靠、有力的证据

-- 取证人员必须恢复相关电子数据

--这也促使了数据恢复技术的出现和发展

需要

> 电子数据恢复的最终目标

--恢复其原始外观，使用各种恢复软件和工具再现丢失或无法访问的数据的过程

-- 需要复习一些数据存储、硬盘数据和操作系统启动过程的知识

> 属于电子数据取证中最常用的基础技术之一

-- 可修复损坏的硬盘、U盘等存储介质（物理修复）

--使数据能够正常读取

······固件修复、物理故障修复、芯片级修复

--从电子数据存储介质中恢复（逻辑修复、数据修复）

--修复已删除或损坏的数据文件和数据内容

······根据文件系统的存储原理重建MBR、DBR、FAT、FDT

······根据文件签名特征中的文件头和文件尾特征值进行检索​​​​

······根据文件类型（Word、数据库文件等）进行数据恢复

定义

> 指存储介质损坏或人为操作导致部分或全部数据无法正常访问或读取时。

——通过一定的方法和手段检索数据，使信息能够正常访问或读取的技术

>数据恢复是存储介质出现问题后的补救措施。 它既不是预防措施，也不是备份措施。

> 因此，也有一些特殊情况会导致数据难以恢复，例如数据被覆盖、低级格式化、磁盘盘片严重损坏等。

进一步解释

> 通过技术手段抢救、恢复存储介质上丢失的电子数据的技术

--台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数字存储卡、MP3等设备上的存储介质

> 目前主流操作系统在格式化存储介质时移动硬盘低级格式化工具，并不会擦除介质上的实际数据信号。

-- 正是操作系统处理存储时的此设置提供了数据恢复的可能性

> 需要注意的是，这种恢复通常只有在数据文件删除后没有新的数据写入相应的存储位置时才能进行。

——因为一旦新数据被写入，例如写入磁盘，磁性粒子的极性就会发生不可挽回的改变，从而使旧数据真正被擦除。

历史回顾（链接）：

部分文字及图片来源于网络，谨致谢意。 如果您认为本文内容不当或有疑问，甚至侵犯您的版权，请联系我们。 全文由微信订阅号【数字取证文摘】原创制作。 转发时请注明出处。