文章总结: 本文面向电子数据鉴定人员,强调数据恢复在鉴定场景中的复杂性。核心要点包括:恢复前应先固定介质避免二次破坏;区分镜像文件与物理克隆的适用场景;注意SSD的TRIM和写保护局限性;理解文件系统层次结构对恢复的影响;区分删除、格式化、覆盖写等不同数据丢失情况;文件雕复对碎片化视频效果有限;行车记录仪数据恢复需考虑设备特性;RAID恢复关键在于重建阵列参数;写时复制文件系统带来机会与挑战;加密恢复依赖密钥材料而非仅密码;恢复结果需详细说明成功程度与失败原因。文章提供了大量可操作建议,强调专业判断与记录的重要性。 综合评分: 90 文章分类: 应急响应,数据安全,安全工具,技术标准,安全意识
数据恢复不只是“扫描”和“导出”:给鉴定人的通识课
电子物证
2026年7月15日 08:00 辽宁
在小说阅读器读本章
去阅读
以下文章来源于赛博鉴识 ,作者鉴匠
赛博鉴识 .
Cyber 之眼看 Forensics
很多人理解的数据恢复,是打开软件、选择磁盘、点击扫描、预览文件、导出结果。
但在鉴定场景里,事情远没有这么轻松。
我们真正面对的,往往不是“一个文件误删了”,而是一块正在继续劣化的硬盘,一张被行车记录仪循环写入的存储卡,一个做过 TRIM 的 SSD,一组顺序不明的 RAID 成员盘,或者一个密钥丢失后看起来还完整、实际上已经无法解释的数据池。
数据恢复的第一课,不是“用什么工具”,而是先回答三个问题:
- • 数据还在不在?
- • 存储结构还能不能解释?
- • 操作过程会不会把本来存在的数据进一步破坏?
对鉴定人员来说,数据恢复不是单纯的技术活,而是围绕证据介质、存储结构、恢复方法和结果边界展开的一套判断过程。
一、恢复之前,先别急着“恢复”
数据恢复最怕什么?
不是扫描时间长,也不是文件名丢失,而是还没搞清楚情况,就直接在原始介质上动手。
一块硬盘出现坏道后,继续反复读取,可能导致坏块范围扩大。一个 SSD 如果继续上电,控制器后台的垃圾回收可能让原本还有机会恢复的数据彻底消失。
更常见的风险来自操作系统本身。
接入电脑后,系统可能自动挂载卷,分配盘符,写入索引,生成缩略图,甚至弹出“是否修复磁盘”的提示。如果用户误点,文件系统结构可能被进一步修改。恢复软件本身也可能在扫描过程中持续读取介质,让本来已经不稳定的硬盘加速劣化。
所以,数据恢复的第一动作,不是恢复,而是固定。
能做镜像,先做镜像。
能克隆,先做克隆。
不能稳定读取的介质,先评估风险,再决定是否继续读取。
最危险的做法,就是把原始介质当成实验对象,反复用不同工具扫描、修复、尝试挂载。这样做出来的结果,既可能损坏数据,也可能损害证据解释的可信度。
二、镜像文件和物理克隆,不是一回事
很多人把“制作副本”理解成一件事,其实至少有两种典型路线:制作磁盘镜像文件,或者克隆到另一块物理硬盘。
镜像文件的优点是灵活。它便于校验、归档、复制、备份,也方便在不同恢复软件之间切换。对于电子数据鉴定来说,镜像文件更容易纳入案件管理和复核流程。原始 RAW 镜像尤其常见,因为它结构简单,兼容性好,绝大多数工具都能识别。
但镜像文件也有缺点。
普通 RAW 镜像主要保存扇区内容,不一定保存完整的物理层信息。例如原盘的物理扇区大小、接口转换方式、设备报告特征等信息,如果没有额外记录,后续分析时可能缺失背景。某些场景下,这些信息会影响分区解释、RAID 重组或原环境复现。
物理克隆则更接近“替身盘”。把源盘内容复制到另一块物理硬盘后,可以在某些设备或系统中模拟原盘使用。例如需要放回原 NAS、录像机、工控设备或老旧系统中测试时,物理克隆有时更方便。
但物理克隆同样需要谨慎。目标盘容量、扇区大小、固件表现不一致,都可能影响结果。如果目标盘比源盘大,还要注意尾部残留数据污染;如果目标盘之前使用过,更应该先清零再克隆。
简单说,镜像文件适合证据保存、分析和复核;物理克隆适合模拟原运行环境。两者不是谁替代谁,而是服务于不同目的。
三、写保护很重要,但别把它神化
大家都知道,访问原始介质时要尽量使用写保护。
这个原则没有错。
但要注意,写保护解决的是“主机向介质写入”的问题,并不能解决所有“介质内容变化”的问题。
传统机械硬盘时代,写保护的逻辑比较清楚:只要阻止电脑向硬盘写入,就可以最大限度保持盘面状态。可是 SSD、U 盘、存储卡这类闪存设备并不完全一样。
SSD 内部有控制器,有映射表,有垃圾回收,有磨损均衡,还有 TRIM。文件被删除后,操作系统可能发送 TRIM 指令,告诉 SSD 某些逻辑区域已经不再使用。随后,SSD 控制器可能在后台清理这些物理页面。
这个过程不一定表现为电脑继续写入。即使外部写保护器挡住了主机写命令,SSD 内部仍可能发生状态变化。
这意味着,SSD 取证不能简单套用机械硬盘时代的经验。
对于机械硬盘,删除后未覆盖的数据可能长期存在。对于 SSD,删除后是否还能恢复,往往取决于 TRIM 是否执行、设备是否继续上电、控制器何时进行后台清理,以及目标数据是否已经被物理擦除。
所以,面对 SSD、U 盘和存储卡,鉴定人员不能只问“有没有写保护”,还要问“数据是否已经被控制器内部处理掉”。
四、一个转接器,可能改变你看到的磁盘
现场恢复经常会用到 USB 转 SATA 转接器、硬盘盒、读卡器。
这些设备很方便,但它们不一定完全透明。
有些 USB 转接器遇到坏块时,表现并不稳定。它可能长时间卡死,可能直接重置设备,也可能导致同一个 USB 控制器上的其他设备一起掉线。如果源盘和目标盘接在同一个 USB 控制器下,极端情况下,源盘读不出来,目标盘写入也被中断,最终留下一个不完整甚至零字节的输出文件。
还有一个容易被忽略的问题:扇区大小转换。
有些 USB 转 SATA 芯片会把原本 512 字节扇区的硬盘,呈现为 4096 字节扇区。分区表、卷起始位置和文件系统解释,都依赖扇区地址。一旦扇区大小视角变化,原本正确的地址计算就可能失效。
于是会出现一些看似奇怪的现象:
同一块硬盘,放在原硬盘盒里能读,拆出来直连 SATA 反而读不了;
或者直连 SATA 能看到分区,换一个 USB 盒子就显示未初始化;
又或者镜像文件本身没有问题,但因为当时没有记录扇区大小,后续解释出现偏差。
因此,取证记录里不应只写“读取某硬盘”,还应记录连接方式、接口路径、转接设备、操作系统识别到的逻辑扇区大小和物理扇区大小。
有时候,问题不在硬盘,而在你观察硬盘的方式。
五、文件系统像金字塔,塔尖坏了最麻烦
要理解数据恢复,必须先理解文件系统。
可以把文件系统想象成一座金字塔。
最上层,是少量关键入口信息,例如引导扇区、超级块、卷头、根节点、全局参数等。它们告诉系统:这个卷是什么类型,从哪里开始,元数据在哪里,应该怎样解释后面的内容。
中间层,是主要元数据,例如文件记录、目录结构、inode、MFT、块指针、分配位图等。它们记录文件名、路径、时间戳、属性、大小,以及文件内容存放在哪些位置。
最底层,才是文件内容本身。
正常情况下,操作系统从塔尖开始,沿着元数据结构逐层向下,最终找到文件内容。可一旦发生删除、格式化、分区损坏或系统崩溃,塔尖和中间层可能出现断裂。
最麻烦的是,塔尖通常很小,位置固定,很容易被新的格式化、初始化或系统修复覆盖。一个快速格式化操作,未必会清空整块磁盘,却可能正好重写最关键的入口结构。
这就是为什么很多恢复任务不能只依赖文件系统正常挂载。
真正的数据恢复,往往需要全盘扫描,从残留的中间层元数据、目录项、文件记录、块指针、文件头尾和内容特征中,反向重建原来的结构。
它不是“打开一个坏掉的文件夹”,而是从废墟中重新拼出一张地图。
六、删除、格式化、覆盖写,是三种完全不同的灾难
在案件材料里,常常会看到“数据被删除”“文件丢失”“磁盘被格式化”这样的表述。
但从恢复角度看,这些情况差别很大。
删除文件,通常只是文件系统元数据发生变化。文件名、路径、分配状态可能被修改,文件内容未必立即消失。如果没有覆盖,仍然可能恢复。
快速格式化,通常会重建文件系统的关键结构。原有目录树和文件记录可能部分丢失,但大量文件内容仍可能留在介质上。能否恢复,取决于新文件系统覆盖了多少旧结构。
完全格式化或写零,则危险得多。如果设备真的把大量区域清零,原数据就不再存在。对于存储卡而言,有些相机或设备格式化时会写入大面积零值,这种情况下,恢复软件扫描不到数据并不奇怪。
覆盖写入是另一类问题。已经被新数据覆盖的旧数据,不能靠普通软件恢复。所谓“高级恢复”,也不能把已经被物理覆盖的内容变回来。
SSD 还要单独考虑 TRIM。删除后即使没有明显写入新文件,目标数据也可能已经被控制器清理。
所以,在取证报告中,简单写“经数据恢复未检出相关文件”有时是不够的。更有价值的表达,是说明为什么没恢复出来:
- • 文件系统元数据缺失;
- • 文件内容已经被覆盖;
- • 介质返回大量零值;
- • 存储控制器不再提供原始数据;
- • 加密密钥缺失;
- • 阵列结构无法重建。
恢复失败不是结论,失败原因才是结论的一部分。
七、文件雕复不是魔法,尤其遇到碎片化视频
当文件系统元数据丢失后,常见方法是文件雕复。
最基础的雕复方式,是扫描文件头和文件尾。发现 JPEG 文件头,就往后寻找 JPEG 结束标记;发现 ZIP、PDF、MP4、MOV 等格式特征,就尝试按照格式结构截取数据。
这个方法对连续存储的文件比较有效。
问题是,现实中的文件不一定连续。
文件系统为了利用空闲空间,可能把一个文件拆成多个片段,分散存储在不同位置。这就是碎片化。文件越大,写入越频繁,存储介质越接近满载,碎片化概率越高。
图片文件相对好处理。很多图片体积较小,即使元数据丢失,也有机会通过文件头尾恢复出连续内容。
视频文件就麻烦得多。
行车记录仪、手机、相机生成的视频往往体积较大,写入持续时间长,还可能边录边封装。一个视频文件可能被分成多个片段。传统“从文件头截到文件尾”的方法,一旦遇到碎片,就可能得到一个无法播放、只能播放开头、或者中间断裂的文件。
复杂的文件雕复,需要判断每个候选块是否属于同一文件,还要验证拼接后的结构是否符合格式规则。候选片段越多,组合数量越大,误拼接风险也越高。
因此,面对“删除的视频能不能恢复”,不能只看有没有文件头。还要判断文件是否碎片化,文件系统是否保留簇链,是否发生覆盖,视频格式是否能校验,恢复结果是完整视频、部分可播放片段,还是仅有文件残片。
在交通事故、执法记录、监控录像等案件中,即使只恢复出部分片段,也可能有证明价值。但必须把“能播放”“完整”“连续”“未损坏”区分清楚。
八、行车记录仪不是黑匣子
很多人对行车记录仪有一个误解:事故发生前的视频一定在卡里,只要技术足够强,就能找出来。
实际并非如此。
行车记录仪通常是消费级设备。它的写入机制、断电保护、缓存刷新、文件封装方式,都不能和飞机黑匣子相比。
有些记录仪在录制时,会先把视频数据写入缓存,再分段写入存储卡。索引信息、文件尾、MP4 atom 等结构可能在文件结束时才更新。如果事故发生时设备突然断电,最后一段视频可能尚未完整封装。
还有些情况下,碰撞会导致存储卡瞬间接触不良,电源中断,或者设备重启。这样一来,关键时间段的视频可能根本没有成功写入卡中。
循环录制也会带来解释风险。旧视频可能被新视频覆盖,事故前片段可能被后续开机录制覆盖,锁定文件和普通文件的保存策略也可能不同。
所以,取证时不能把“没有恢复到事故前视频”直接等同于“人为删除”。
更谨慎的解释应当是:未发现目标视频,可能与循环覆盖、断电中断、缓存未刷新、文件未封装、存储卡故障或人为删除等多种因素有关,需要结合设备状态、录制策略、文件时间线、卡内残留数据和外部事实综合判断。
九、RAID 恢复:关键不是有几块盘,而是怎么排
多盘存储的恢复,和单盘恢复完全不是一个难度。
单盘中,逻辑地址和物理位置大致是一一对应的。多盘阵列中,文件系统看到的是一个逻辑卷,而数据实际分布在多块成员盘上。
RAID 恢复的核心,不是把所有盘都插上,而是重建阵列参数。
- • 成员盘有哪些?
- • 盘序是什么?
- • 块大小是多少?
- • 起始偏移是多少?
- • RAID 级别是什么?
- • 奇偶校验如何分布?
- • 是否存在热备盘、掉线盘、过期盘、不同步镜像盘?
这些问题只要有一个判断错误,后面看到的文件系统就可能完全错乱。表面上看是文件系统损坏,实际上可能只是阵列参数拼错了。
传统 RAID 的布局相对规整。只要确定 RAID0、RAID5、RAID6、镜像等结构,再推断盘序、块大小和校验轮转方式,就有机会重建逻辑卷。
但一些现代存储系统并不完全遵循传统 RAID 的思路。
比如 RAIDZ 与文件系统深度耦合。它不是简单地把传统 RAID5/6 放在文件系统下面,而是在文件系统自身的数据块、校验、压缩、块指针等机制中完成分布。脱离文件系统,只按传统 RAID 的方式硬拼,往往难以得到正确结果。
因此,遇到 NAS、存储池、ZFS、Btrfs、LVM、动态磁盘等场景时,鉴定人员必须先画清楚层次结构:底层是物理盘,中间是否有阵列、池、卷、数据集,上层是什么文件系统,是否还有加密或快照。
看不清层次,就谈不上恢复。
十、写时复制文件系统:既保留过去,也制造复杂性
现代文件系统越来越多采用写时复制(CoW)机制。
传统文件系统修改数据时,可能直接在原位置覆盖。写时复制则不同:系统先把新版本写到别处,再更新指针,让文件系统从旧版本切换到新版本。
这样做有明显好处。断电或崩溃时,旧版本通常还在,文件系统一致性更容易保持。快照、版本管理、校验和、自修复等能力,也常常建立在这套机制之上。
但对数据恢复来说,它既是机会,也是麻烦。
机会在于,旧版本的数据和元数据可能还残留在介质上。某些场景下,可以从历史树、旧块、旧指针中找回过去的状态。
麻烦在于,元数据不再固定待在一个位置。一次看似很小的修改,可能导致底层数据块、上层指针、树节点、根节点连续生成新版本。时间一长,磁盘上会留下大量不同时间点的结构片段。
恢复软件要做的,不只是找文件,而是在这些残留版本之间判断关系:哪些块属于同一棵树,哪些指针已经过期,哪个版本更接近目标时间点,哪些数据仍然有效。
所以,对 ZFS、Btrfs、APFS 这类文件系统,不能用 FAT 或 NTFS 的直觉来理解恢复。它们不是简单的“目录表坏了就找文件头”,而是在一片版本化的元数据森林里寻找路径。
十一、加密恢复的关键,不只是密码
加密存储恢复最容易被误解。
很多人以为,只要知道用户密码,就一定能恢复数据;或者只要磁盘还在,找不到密码也还有办法。
现代存储加密通常不是直接用用户密码加密整块磁盘,而是采用多级密钥结构。用户密码、恢复密钥、密钥文件、TPM、系统配置等,往往只是用来保护真正的数据加密密钥。实际数据由主密钥或卷密钥加密。
这样设计有好处。用户改密码时,不需要重新加密整块磁盘,只需要重新保护密钥材料。
但这也带来一个后果:如果真正关键的密钥材料丢失,数据本体即使完好无损,也无法解释。
在 NAS、ZFS、TrueNAS、BitLocker、FileVault 等场景中,不能只盯着数据盘。启动盘、系统配置、密钥文件、恢复密钥、导出的配置备份、外部 USB Key、管理员电脑、密码管理器,都可能成为恢复加密数据的关键。
加密场景下,数据恢复的核心问题不是“文件还在不在”,而是“有没有足够的密钥信息把它解密出来”。
如果密钥缺失,介质镜像再完整,也只是完整地保存了一堆无法解开的密文。
十二、恢复结果不能只看“有没有文件”
鉴定中的数据恢复,最后必须回到结果评价。
恢复出了文件,不等于恢复成功。
文件能打开,不等于完整。
视频能播放,不等于时间连续。
图片有缩略图,不等于原图还存在。
文件名还在,不等于文件内容可恢复。
时间戳存在,不等于文件没有被移动、复制或重建。
一个专业的数据恢复结果,至少应当区分几种情况。
有些文件内容在介质上连续存储,恢复路径清楚,结果通常较可靠。
有些文件是碎片重组的。恢复过程依赖算法判断和格式校验,结果需要进一步验证。
有些文件是部分损坏的。它可能缺少尾部、缺少索引、缺少中间片段,或者被新数据覆盖了一部分。
有些文件只是元数据残留。能看到文件名、路径、大小、时间戳,但文件内容已经无法恢复。
还有些对象属于不可恢复。原因可能是覆盖写入、TRIM、清零、控制器故障、密钥缺失或阵列参数无法确定。
在电子数据鉴定中,真正重要的不是一句“恢复成功”或“恢复失败”,而是讲清楚恢复依据、恢复范围、结果完整性和局限性;导出巨量的无法打开文件对于委托人来说毫无价值。
十三、鉴定人的基本工作思路
做数据恢复,不应从工具开始,而应从介质开始。
先看介质状态。设备是否正常识别?容量是否正确?是否频繁掉线?是否有坏块?是否返回大量零值?是否为 SSD、U 盘、存储卡、机械硬盘、RAID 或 NAS?
再看存储层次。有没有分区表?有没有卷管理?有没有 RAID?有没有存储池?有没有加密?文件系统是什么?是否有快照、压缩、去重、写时复制?
然后再决定恢复策略。是走文件系统恢复,还是文件雕复?是先重建 RAID,还是先提取单盘残留?是需要密钥,还是主要处理坏块?是优先完整文件,还是优先关键时间段片段?
最后评价恢复结果。哪些文件完整?哪些文件损坏?哪些文件只是元数据?哪些结论可以支持?哪些结论不能支持?没有恢复到目标数据,是因为不存在、未写入、被覆盖、被清零、被 TRIM,还是因为条件不足无法判断?
数据恢复不是“把扫出来的文件导出来”这么简单。
在电子数据鉴定中,它更像是一项解释工作:解释数据曾经如何存放,为什么现在无法正常访问,哪些内容仍然可以被重建,哪些内容已经不可逆地消失,以及恢复结果能在多大程度上支持案件事实。
参考文献
[1] Alexey V. Gubin. Disk image files vs. physical disk clones. Klennet Notes, 2017-04-24. [2] Alexey V. Gubin. Working without a clone – is it safe? Klennet Notes, 2019-01-20. [3] Alexey V. Gubin. Preventing data changes during the recovery. Klennet Notes, 2023-04-26. [4] Alexey V. Gubin. Write blockers are not effective with SSDs. Klennet Notes, 2018-04-16. [5] Alexey V. Gubin. USB and bad blocks. Klennet Notes, 2017-09-28. [6] Alexey V. Gubin. USB adapters silently change the sector size. Klennet Notes, 2018-04-14. [7] Alexey V. Gubin. Zero-sized devices. Klennet Notes, 2017-10-06. [8] Alexey V. Gubin. Filesystem structure and data recovery. Klennet Notes, 2019-02-07. [9] Alexey V. Gubin. Disks, Partitions, Pools, Volumes, Datasets, and Filesystems. Klennet Notes, 2019-09-05. [10] Alexey V. Gubin. Carving for fragmented files. Klennet Notes, 2017-07-07. [11] Alexey V. Gubin. On the complexity of file carving. Klennet Notes, 2017-08-27. [12] Alexey V. Gubin. Amount of fragmentation on memory cards. Klennet Notes, 2018-03-07. [13] Alexey V. Gubin. Fragmentation of video files. Klennet Notes, 2017-11-09. [14] Alexey V. Gubin. Dash cam is not quite a black box. Klennet Notes, 2017-11-10. [15] Alexey V. Gubin. Contiguous, Fragmented, and Damaged files in Klennet Carver. Klennet Notes, 2019-05-29. [16] Alexey V. Gubin. Determining RAID block size and starting sector, a simple example. Klennet Notes, 2018-10-01. [17] Alexey V. Gubin. Analyzing block map in RAID0. Klennet Notes, 2018-10-02. [18] Alexey V. Gubin. Analyzing a simple RAID5. Klennet Notes, 2018-11-13. [19] Alexey V. Gubin. ZFS RAIDZ vs. traditional RAID. Klennet Notes, 2019-07-04. [20] Alexey V. Gubin. Simplified theory of copy-on-write filesystems. Klennet Notes, 2023-04-19. [21] Alexey V. Gubin. Copy-on-write, wandering trees, and data recovery. Klennet Notes, 2024-06-16. [22] Alexey V. Gubin. Encryption keys in storage encryption. Klennet Notes, 2023-03-14. [23] Alexey V. Gubin. FreeNAS, TrueNAS, GELI, and native ZFS encryption. Klennet Notes, 2022-02-22. [24] Alexey V. Gubin. Encryption is probably a net negative. Klennet Notes, 2025-04-17. [25] Alexey V. Gubin. Quick test for unrecoverable memory cards. Klennet Notes, 2019-01-15. [26] Alexey V. Gubin. Reviews, comparison testing, and challenges in data recovery. Klennet Notes, 2018-06-05. [27] Alexey V. Gubin. Disk imager benchmarks. Klennet Notes, 2023-02-03.
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:电子物证 《数据恢复不只是“扫描”和“导出”:给鉴定人的通识课》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论