有句话说得好，磨刀不误砍柴工，掌握一些系统底层知识及文件结构及安全知识会使你在工作中游刃有余。
黑客防线网安数据维护基地提醒您现来说一说实用工具方面，几类应该会使用的软件：
1. 分区表重建工具：如江民硬盘修复软件，Diskgen等，自己写个相应软件也可。
2. 扇区级容错备份工具，专业软件比较昂贵，在5000美元左右，可以用些其它替代软件如：Diskedit，Winhex，PCTools等，自己手动编写也可。
3. 虚拟工具：如VPC，VM Ware，Strdisk等，主要是为了模拟案例，锻炼自己的实际操作能力。这里介绍一些经验，做数据恢复是项比较复杂的工作，很多要面对的问题都存在潜 在联系，如：丢失的数据存在交叉文件，而一些文件本身还感染了病毒，存在被病毒加密等问题。万事开头难，但是在经验不足的情况下，不要拿客户的硬盘开刀， 这就像学西医的情况一样。虚拟机软件就为黑客防线网安数据维护基地提醒您可以反复模拟案例提供条件。黑客防线网安数据维护基地提醒您在建立虚拟硬盘文件尽量采取保证最小功能法。所谓最小功能法，就是指你模拟的 情况只存在一种功能：想要练习分区表恢复，就单纯制造分区表丢失的情况；想要练习分区格式化的恢复情况，那就只格式化目标分区，而不要进行其它对分区表的 操作。在单一的情况处理熟练后，在逐步变为综合情况处理，循序渐进，这样才会飞速提高。
4. 数据恢复工具：如EasyRecovery，FinalData，R-Studio，dataexplore，Runtime等。主要应用于重复劳动，利用软件来做些重复工作，减少做数据恢复时的劳动量。
5. 安全擦拭软件：如PowerQuest DataGone，oose，WipInfSE等。用于特殊客户的保密要求，譬如军队，金融机构，档案中心等。

对使用软件做数据恢复的一点建议

对使用软件做数据恢复的朋友，最好把自己习惯使用的所需软件刻在光盘上，这样光盘运行所需软件，防止由于误 操作引起的数据二次写入造成的破坏。如果你做数据恢复的平台是含有系统还原功能的系统。记得一定要禁用系统还原，因为当你挂接故障硬盘时，系统还原在每个 驱动盘下建立System Volume Information文件夹，会造成潜在的破坏。
软件不是万能的，抛开故障原因由于硬件故障来说，对于做数据恢复仅局限于用一些数据恢复软件是不行的，有些情况数据恢复软件不起作用：
1. 误操作引起的逻辑锁或者病毒引起的引导区参数异常：典型例子江民逻辑锁，会造成硬盘加载失败。这种情况下，数据恢复软件找不到硬盘，无从下手。黑客防线网安数据维护基地提醒您需要先 解除逻辑锁，然后才能进行软件的数据恢复。另外的例子：Polyboot.b，发作后会将主引导区即0扇区搬家移位至61扇区，并用一个错误的引导区或是 乱码来覆盖0扇区，并且采取加密手段，这样就会使硬盘所有的分区及数据不可访问，将61扇区写回0扇区，将60扇区写回63扇区可以找回你的数据。这种情 况当解除了病毒，数据也就恢复了。
2. PE病毒引起可执行文件异常：如 Parite.b引起的可执行文件不能运行。病毒将自身追加到文件尾，把原来的入口保存在距解密起始偏移0xc处 ，病毒修改引入表中对KERENL32.DLL的前两个引入，这两个DWORD被保存在距解密起始偏移0x24处，须将此处两个数据分别减去 （IMAGEBASE＋２）得至正确的RVA。而Parite.c，病毒将自身追加到文件尾，把原来的入口保存在距解密起始偏移0xc处并加密，生成的密 匙的数据存放于距解密起始偏移0x30处，生成的密匙是四个DWORD数据，分别与原来的入口异或一次得到正确的入口……懂得这些知识，才可以恢复感染文 件。
3. 文件头异常引起的问题。黑客防线网安数据维护基地提醒您用数据恢复软件恢复数据时，经常可以发现恢复后的文件打开是乱码，这种情况往往处理起来比较麻烦，需要手动修复。在数据恢复案 例中，经常一个分区有10G大小，可用数据恢复软件恢复的数据却恢复出来15G， 我曾看到有人说是恢复硬盘不同表面的数据，其实真正原因就是文件头和文件结束标志异常引起的文件交叉定位造成的。处理文件头造成的乱码文件成功需要两个条 件：首先数据源的恢复方法正确，得到了正确的数据，其次，修复的算法正确，这两个条件缺一不可。
4. 权限问题引起的数据不可访问。典型例子如文件夹加密：包括用户正当加密后忘记密码或丢失密匙。如有的用户把某一个NTFS分区设置为只有特定用户才可以访 问，当重装系统后无论什么账户都不能访问该分区。这就需要对系统的安全认证及数字签名技术有一定了解。有的时候黑客防线网安数据维护基地提醒您还需要借助一些专门的密码破解软件进行 爆破。
曾经一个朋友找我测试他写的一个数据恢复软件，我给他提的第一个意见就是他的软件安装没有警告使用者不要把软件安装到“要恢复的硬盘”，注意！不是“要恢复的分区”。很多人这一点可能不太了解为什么。
我 来解释一下，2000年的时候，我在为某潜艇部队恢复一份军方科研资料的时候，按照军方技术人员的说法，丢失的数据是存在硬盘的F：盘，后来我在恢复过程中发现一个很重要的XLS文件，存储的是新型设备的参数资料，文件头破损很严重。我花了很久也没有修复，基本上就要放弃了（技术是从今天看来，那个文件仍然不能恢复）。在询问数据相关问题时，我当时得到一个重要线索：科研人员经常更新这个文件，加入新的一些参数，我就想到系统分区下的临时文件去恢复。在我整理好恢复好的C盘文件时，我找到了那个XLS文件。设想当时如果不小心把数据恢复软件安装到看似不相关的 C：，那后果可能会很严重。再就是客户有的时候往往搞不清楚到底丢失的数据位于硬盘那个盘下，造成这种原因一方面是沟通原因，也可能是知识原因，这种情况 经常发生在驱动器盘符不连续，或者例如NTFS分区的数据在一些系统下不可见，造成视觉错误情况下。
当数据恢复完成后需要交接数据时，也要注意， 即使通过非正面沟通，客户认为你已经完全恢复他所需的数据时，也不要为了省事，把恢复出来的数据拷贝回原来的存储介质上。不对源数据作二次写入，是一条贯 彻始终的原则，无论数据恢复前后。作完数据恢复后的数据，行业里通常使用刻录光盘交付。相关的问题还有：当客户拿走数据后，通常情况下要再保存一个星期 后，用数据擦除软件销毁，这不是法律原因，而是职业道德要求，有的时候恢复的数据中含有恶性病毒，即使客户拿回数据，也可能在一周内出现新问题，所以保留 一周数据是必须的，算是一种售后服务。
恢复后的数据保存也有特例：给一些特定单位，如部队，银行，保密机关等单位做数据恢复，在条件许可的情况下 要当面销毁恢复后的备份数据，不允许再保存。一个真正的数据恢复人员绝对不允许对恢复出来的数据非法利用。行业里有这么一个流行的说法，就是即使你恢复出 来你老婆的银行存款数据也不多看一眼，当然这只是一个玩笑。做好你的本职工作，是每个行业的道德规范。

除了技术之外，还要懂得法律知识

这里也需要解释一下：正规的数据恢复公司在做数据恢复前是要有合同的，数据恢复合同的相应条款的具体含义， 尤其是付费条件和免责条款，这都是和数据恢复工作有很大关系，必须十分明确。举个最简单例子：关于数据恢复的恢复率问题：客户在数据丢失后，通常会问是否可以完全恢复这一问题。这个问题一定要慎重对待，其实往往很多情况下的数据破坏后不能完全恢复，可能会存在一部分数据破损。这种情况尤其在于存储介质的存 在不连续存储情况下存在。通常情况下，在常见的分区中，和NTFS分区相关的一些操作可以完全恢复。推荐大家使用NTFS分区，因为总的来说基于日志机制 的系统的容错性比较好。NTFS在处理数据操作时，采取原子事务机制，要么操作完全完成，要不退回到操作前的状态。其它一些分区存在数据丢失情况下，恢复结果往往存在破损文件，所以业界存在一条不成文的规定：恢复数据达到35%按照恢复一半收费，当恢复数据达到75%按全部文件恢复收费。总的来说，只有分区表破坏，NTFS分区删除，NTFS分区格式化，FAT32格式化成NTFS，SCO分区，ReiserFS加载异常等部分情况能完全恢复，其它情况大多不能做到完全恢复。
还有其它特殊情况需要了解法律知识，典型案例：2003年某公司的老总怀疑他的副总写了匿名的诬告信，信件通过邮件发出，但曾 经在电脑上临时编辑过，要求我恢复那封检举信。遇到这种情况，如果征得公安机关同意才可以做恢复取证工作。计算机取证在国内外都起步较晚，和数据恢复行业 有着千丝万缕的联系，还需要时间去完善，不过正是由于刚刚起步，关于所恢复的数据的合法性还有很多争议。

数据恢复行业展望

高端存储和特定文件修复是数据恢复行业特别有前途的领域，在高端方案往往对应高价值数据。关于高端存储方面我再来说说常见 的RAID，RAID在存储容量、存储安全和存储速度上都有独到之处，但是RAID磁盘阵列一旦出现故障，给用户带来的损失也往往最为惨重，难度也比较 大：因为本身它在设计时就考虑了备份容错方案。出问题的原因常见为：RAID阵列卡出现故障，磁盘物理故障，停电造成数据回写异常，插拔硬盘将顺序弄错， 重新配置RAID阵列信息，造成数据异常等。一旦出现以上问题，黑客防线网安数据维护基地提醒您一般采取最小系统法，由简单到复杂，由软故障到硬件问题。切记不要轻易尝试 Rebuild、同步等操作，更千万不要初始化。对RAID0、RAID1、RAID5以及组合型的RAID系列当出现故障以后不对阵列作初始化和非常规 的Rebuild操作。先对磁盘镜像；然后对镜像文件分析，尝试重组数据。

我一直在关注着国内的数据恢复行业的发展。目前仍然有些数据恢复公司对 客户的硬盘做非法操作，可是没有相应的法律文件去规范这种做法。对此我一直很是担忧。工作中经常可以遇到一些客户拿着硬盘，说找了好几家数据恢复公司了， 都没有恢复出丢失的数据，在我恢复数据工程中，居然不但恢复出了客户所需要的数据，而且还恢复出了其他公司的一些数据恢复软件。这些年做数据恢复，我遇到 过不少比较令人担忧的事情：有家公司把客户的由于使用PQ转换分区失败的硬盘作反向处理，即NTFS在重新恢复成为FAT32。还有些公司在处理 WYX病毒造成的加密时，由于不能使用数据恢复软件居然格式化了客户的硬盘，然后再使用数据恢复软件恢复……

正是由于数据恢复行业的种种特点，这 个行业越来越趋向于选择专业技术和素质过硬的人才，目前存在的数据恢复公司也会划分出层次，优秀的公司会占领大部分市场，而技术和运作不过硬的公司会被淘 汰出局。如今，数据恢复行业也呈现出多分支发展的局面：如计算机取证，专业的数据备份业务，和军方联合开发专业设备，安全软件销售等其它分支，所以，有志 于此行业的人，一定在掌握相关技术和能力的同时，要密切关注国内外此行业的发展，与时俱进。相信有志者事竟成，愿你成功。