最近,有一客户移动硬盘误格式化后自己先用恢复软件尝试恢复,无法恢复出数据,接着客户也找了几间数据恢复公司还是恢复无果后,把硬盘带到我司。
我们工程师拿到硬盘后先通过前期沟通了解到,客户硬盘原来是在苹果电脑上正常使用的,后来接上Windows电脑上提示格式化,不小心点到了,导致数据丢失。
1、了解了故障后先对硬盘进行全盘镜像备份,后期恢复工作在镜像备份中操作,以保护源环境。
2、接着先观察格式化后是否对源文件系统造成破坏,发现格式化后没写入数据,只覆盖了部分源文件。
3、通过软件访问底层,对底层扇区进行查找分析,发现一个加密扇区。根据经验判断是一个HFS 的加密分区头,继续向下分析发现加密元数据并没有严重破坏。这个时候基本判断原因客户本身启用了苹果分区自带加密功能,分区数据全部是加密形成存放的,之前的公司都是用些下载的软件去全盘扫描,当然是什么都没有找到。
4、由于加密信息并没有被破坏,所以通过手工计算把源分区的大小等信息分析出来,再重写引导,以加密分区的形式把数据通过我们自己开发的程序虚拟出来,再把数据提取到客户的备份硬盘,至此,恢复工作结束。
总结,数据恢复并没有想象中那么简单,靠下载个免费软件就能恢复,软件只是工具,想要恢复数据,很多还需要丰富的底层结构经验和专业知识支持的。
,
