datech 发表于 2020-4-11 16:00:25

一例比较有意思的U盘数据恢复案例探讨

本帖最后由 datech 于 2020-4-11 16:04 编辑

偶然看到一例比较有意思的U盘数据恢复案例,挑起了数据恢复的技术思考欲望,虽然没有样本数据,在反复查看文章描述后,对恢复案例有了一些技术实施的想法,FAT32格式的,文章转发在下边给大家探讨一下子吧。

前言:如果你经常使用U盘,看完我做的这个恢复案例,会得到很多启示。

U盘恢复案例:
  客户是一位律师,一个4G的U盘存放了十多年(根据底层数据判断的结果)与专业相关的数据(WORD文档占95%),由于某原因(其实客户自己不知什么原因,曾和我说是电脑硬件升级的原因,这个原因被我否决了)导致U盘中大量的数据丢失,然后找了好几家数据恢复商恢复,恢复的结果都不满意,因为恢复出来的文件夹都是重新命名的,最好的效果就是目录结构比较完整,但根目录下(打开U盘时看到的)丢失的文件夹名都重新命名了,类似下图的效果:



  因为重新命名的文件夹相当多,通过客户逐个根据里面的内容准确无误的还原原始文件夹名是不可能实现的,所以客户委托某同行在国内找这方面的高手帮他解决这个难题(客户后来对我说此时他已付出超过三位数的恢复费用了),于是这个同行把客户的U盘做了一个镜像发给我。接到镜像文件后发现确实是一个相当棘手的难题:




 一个4G的U盘,实际容量3.72G,可用空间531M,已使用空间3.2G





  但U盘中真正正常的数据只有近90M,还有一个近13.2G的FOUND.000文件夹,这个13.2G的数据是异常的,所以数据量也是不可信的(4G的U盘正常情况下不可能装下大于4G的数据),从底层数据分析看,客户应该是在某种异常情况(比如U盘在使用过程中动了U盘或者拔出U盘或者电脑突然断电等原因)导致U盘目录信息损坏(分析底层目录信息发现有1952个字节的数据破坏了)导致数据丢失,然后U盘再次接到电脑上,系统自动进行了CHK操作导致了严重的二次破坏(产生了13.2G的FOUND.000文件夹),这个操作对数据恢复来说是致命的二次破坏性操作。因为以前没有做过类似的案例(还原原始文件/文件夹名),只好再翻看多年没看的文件系统方面的书:

  经过一天的研究,制定了一套恢复方案,然后根据方案手工处理还原了一部分的数据并恢复出来,让客户远程验证恢复的效果,客户认同了我的恢复结果,根据协定预付了定金,然后正式开始恢复,最后成功的把根目录下的丢失的285个文件夹名和2008个文件名还原正常(近3G的数据量)

(说明:因客户数据敏感,所以不便展示恢复的最终效果图)
  客户远程验证数据比较满意(因为有1952个字节的数据破坏导致只能还原99%的数据无法达到客户100%的理想值,虽然对我来说是相当满意,但对客户来说只能是比较满意,我是人不是神,没办法),客户付完余款,然后把恢复的数据发给客户,至此这个恢复圆满结束。

案例反思:
   U盘是现在大多数人最常用的存放数据的设备,写此案例的主要目的是想通过这个案例的恢复给U盘使用者的一些忠告:
1、U盘你只能把它当作是一个存放数据的临时存放设备,请注意关键词“临时”,不要把它作为一个很可靠的永久存放数据的设备,重要的数据最好多放几个位置,比如在自己的电脑、邮箱或者网盘。现在市场上的U盘质量参差不齐,有一部分U盘的质量是得不到保证的(随便一个小作坊都可以做U盘出售,你品,你仔细的品!),再加上U盘使用时都是插在电脑外置接口上,裸露在外,所以在使用过程中很容易被其它东西碰一下,容易引起接触不良,导致U盘中的数据损坏、丢失甚至U盘损坏。

2、U盘在使用过程中不要热拔插。正常情况下,在取下U盘前要把U盘中打开的文件或者程序全部关闭,U盘和其它设备间没有转移数据(拷数据)这样有数据交流的操作时,点电脑桌面右下角的“安全弹出硬件并弹出媒体”按钮,然后选择准备取下的U盘盘符,等出现“安全地移除硬件”提示后才能取下U盘。但在实际操作中很多U盘使用者觉得这样操作麻烦,或者有急事不想等,在U盘使用过程中直接把U盘在电脑上取下来,这个操作就叫热拔插,U盘是不支持热拔插的,如果在热拔插时U盘正在和其它设备进行数据交流,也容易导致U盘中的数据损坏、丢失甚至U盘损坏。

3、如果你是一名财会人员、教师或常用U盘做文档处理的办公人员,建议不要直接打开U盘中的文档进行编辑,也不要直接打开U盘中的PPT给别人做演示,因为U盘中的数据在和外界进行数据传输时,如果出现意外(比如U盘被其它东西碰了一下导致U盘接触不良、电脑突然断电或者电脑死机等现象),轻者会导致传输数据的文件出现问题,严重者会导致U盘中的其它数据出现问题甚至U盘损坏。最安全的方法是把要编辑的文档复制到电脑中进行编辑,编辑完保存后再复制到U盘中,PPT要先复制到电脑桌面上再给别人做演示。

4、万一U盘出现数据丢失,马上取下U盘,保护好现场,然后找专业的数据恢复人员去恢复,尽可能的把数据损坏情况降到最低,提高恢复的成功率。本案例中,如果客户发现数据丢失后,没有再接到电脑上让系统做了CHK这样的二次破坏性的操作,这个恢复就是一个非常简单的恢复,而且恢复的效果也比较好,客户付出的代价也不会那么大。

filweo 发表于 2020-6-16 10:29:50

一篇好几贴,学习了,谢谢!

尚品科技 发表于 2020-6-17 22:00:05

这就是个做过CK命令或者系统修复的优盘而已   说的神神叨叨的

coolmac 发表于 2021-1-22 05:20:40

这个盘是客户用系统自带的扫面工具进行了扫面和修复,我们的U盘在多次未推出就热插拔后都会遇到这个自动修复的对话框,所以产生CHK的碎片文件,靠软件自动恢复不理想,需要手工修复或者整合这些碎片文件。因此自动扫面和修复功能要慎用。

heang567 发表于 2024-1-11 13:29:44

谢谢分享,拿来学习一下

heang567 发表于 2024-1-27 10:21:27

谢谢大佬分享哦,谢谢

heang567 发表于 2024-3-7 13:07:07

感谢大佬分享
页: [1]
查看完整版本: 一例比较有意思的U盘数据恢复案例探讨