【前言】

    大量的資料恢復案例表明,資料在出錯後如果能更好的保護現場不再破壞,可挽救率是極高的。可現實往往是資料出錯後,不懂的或不經意的操作對現場做了破壞,導致可恢復率下降或無法恢復。一個專業的資料恢復工程師最根本的必須技能就是如何保護現場,盡最大可能的保證操作的可回溯。

【正文】

    對於WINDOWS平臺,出現資料災難後,通常的應對過程為:1、判斷硬體級別是否有損壞 2、保證接入任何系統均不會自動寫入資料 3、儘可能備份 4、在備份中進行資料恢復。

    我不打算在本文中詳細描述硬體級別的判斷,但有2個簡單的標準:1、如果出錯前硬碟報IO錯誤,2、如果硬碟有不同於平常的異常聲音,則需要轉移至專業的機構做處理。

    排除硬體問題,如何保證資料丟失後,現狀無任何改變是本文的初衷。正常情況下,WINDOWS會自動載入掛載的驅動器碟符,這個操作是可寫、可修正的操作。這是沒有任何徵兆的行為,如果檔案系統有錯誤或者某硬碟是RAID中的一個成員盤(恰巧分割槽表、檔案系統引導扇區在這個硬碟上),自動掛載會激發chkdsk行為,這是相當致命的。已有的案例中有大量因此原因導致的資料災難,所以,一定要保證系統載入磁碟時的只讀性。如果沒有第三方監控工具,就只能這樣解決:

    使用Windows Server 2003、Windows Server2008或Windows7,並確認關閉卷的自動載入功能—-執行“mountvol /N”命令即可。在這之後,加入的驅動器就不會自動載入碟符,從而保證了介質的只讀。在server版本上,預設已經關閉。如果是Windows7,需要用管理員身份手動關閉。

    在這之後,即可以用張宇部落格(http://zhangyu.blog.51cto.com)中的其他文章提到的映象方法,對故障裝置進行完整映象。

    即使沒有條件做映象,不自動載入碟符,也可以保證不會有誤操作,相對而言,也可以用資料恢復軟體對這組磁碟做恢復(專業的資料恢復軟體都是針對磁碟為物件的,如果以可看到碟符的分割槽為物件進行恢復,本身就很業餘)