【前言】

    大量的数据恢复案例表明,数据在出错后如果能更好的保护现场不再破坏,可挽救率是极高的。可现实往往是数据出错后,不懂的或不经意的操作对现场做了破坏,导致可恢复率下降或无法恢复。一个专业的数据恢复工程师最根本的必须技能就是如何保护现场,尽最大可能的保证操作的可回溯。

【正文】

    对于WINDOWS平台,出现数据灾难后,通常的应对过程为:1、判断硬件级别是否有损坏 2、保证接入任何系统均不会自动写入数据 3、尽可能备份 4、在备份中进行数据恢复。

    我不打算在本文中详细描述硬件级别的判断,但有2个简单的标准:1、如果出错前硬盘报IO错误,2、如果硬盘有不同于平常的异常声音,则需要转移至专业的机构做处理。

    排除硬件问题,如何保证数据丢失后,现状无任何改变是本文的初衷。正常情况下,WINDOWS会自动加载挂载的驱动器盘符,这个操作是可写、可修正的操作。这是没有任何征兆的行为,如果文件系统有错误或者某硬盘是RAID中的一个成员盘(恰巧分区表、文件系统引导扇区在这个硬盘上),自动挂载会激发chkdsk行为,这是相当致命的。已有的案例中有大量因此原因导致的数据灾难,所以,一定要保证系统加载磁盘时的只读性。如果没有第三方监控工具,就只能这样解决:

    使用Windows Server 2003、Windows Server2008或Windows7,并确认关闭卷的自动加载功能----执行“mountvol /N”命令即可。在这之后,加入的驱动器就不会自动加载盘符,从而保证了介质的只读。在server版本上,默认已经关闭。如果是Windows7,需要用管理员身份手动关闭。

    在这之后,即可以用张宇博客(http://zhangyu.blog.51cto.com)中的其他文章提到的镜像方法,对故障设备进行完整镜像。

    即使没有条件做镜像,不自动加载盘符,也可以保证不会有误操作,相对而言,也可以用数据恢复软件对这组磁盘做恢复(专业的数据恢复软件都是针对磁盘为对象的,如果以可看到盘符的分区为对象进行恢复,本身就很业余)