摘要:从找回误删的照片,到恢复RAID阵列,本文中所介绍的这些工具可以大大帮助您进行数据的恢复。现如今的存储介质的确是比以往更可靠了。但是,尽管驱动设备方面的故障越来越少,但在造成您的数据丢失的头号原因:人为错误方面,技术措施方面几乎没有任何改进。有时候,当您在没有对相关数据进行任何副本备份的情况下,其所带来的损失无疑可以说是灭顶之灾。
现如今的存储介质的确是比以往更可靠了。但是,尽管驱动设备方面的故障越来越少,但在造成您的数据丢失的头号原因:人为错误方面,技术措施方面几乎没有任何改进。有时候,当您在没有对相关数据进行任何副本备份的情况下,其所带来的损失无疑可以说是灭顶之灾。尤其是对于那些重要文件或不可替代的照片而言,由于您错误地对某存储驱动器进行了格式化或删除太快,除了令人恼火外,也只能怪您自己了。
好消息是针对从磁盘驱动器、SSD固态硬盘、SD卡、USB驱动器和大多数其他任何一种媒介执行数据恢复的工具的功能则在不断变得强大、且更具方便易用性和多功能性的特点。而最难的部分可能并不是恢复数据本身,而是从当前市场上种类繁多的不同数据恢复工具中,找出哪款工具才真正适合处理您的特殊数据灾害的工具。
而在这篇测评综述中,我们将为广大读者逐一分析一系列可用于从损坏的媒介、重新格式化的媒介以及数据被意外删除的媒介进行数据恢复的软件产品。这些软件产品的范围涵盖了从面向非技术用户的免费工具到面向企业客户的商用软件包。其中包括了针对Windows、Mac和Linux系统的不同工具,且提供了各种各样的使用案例,从简单的最终用户恢复(Recuva)到恢复作为一般系统分析的一部分(Sleuth
Kit/Autopsy)再到从RAID阵列进行数据重建(Kroll Ontrack公司的EasyRecovery企业版)。
因此,不管您特定的数据灾难是怎样的,相信您都能够通过本文发现您真正需要的那款数据恢复工具。
PhotoRec
很少有像PhotoRec这样的即用型通用灵活的数据恢复工具。
这是一款免费的开源项目,能够运行在Windows,Linux,Mac OS X(包括英特尔和PowerPC
Mac)设备上,PhotoRec采用文件签名,支持对400多种数据格式通过检测恢复文件,更增加了所有的时间。其甚至可以添加自定义数据签名,以防您试图从您自己创建的文件格式中恢复数据。
PhotoRec是一款很好的免费工具,这使其成为了恢复常见文件的首选类型。这也是一款相对能够确保万无一失的工具,但其更强大的功能选项并不突兀。如果您所需要的只是从某媒介针对最容易恢复的数据执行数据恢复,而且您的成本预算也比较低,那么,PhotoRec将是您不容错过的选择。
免费的开源PhotoRec支持超过400种文件格式的恢复,使之成为了恢复常见的文件类型的首选。
PhotoRec针对每个平台都有提供两个版本:一个命令行/纯文字版本和GUI版本。其图形用户界面(GUI)工具更容易导航,但这两个版本都可以通过命令行参数来实现自动化。在这两种情况下,恢复过程是高度引导的。用户只需选择一个卷进行文件恢复,目录恢复到写恢复文件,以及无论是只从未使用的空间或整个源卷中恢复。选择什么类型的文件进行扫描是可选的。
PhotoRec支持以几乎所有块级设备或文件类型为源。支持的文件包括诸如虚拟机磁盘映像和常用于数字取证工作,以Encase EWF格式存储的图像文件。PhotoRec也可以从智能手机恢复数据,只要其可以作为USB大容量存储设备安装。
只要PhotoRec遇到一个可能与已知的文件格式相匹配的数据,其就能执行对完整文件成分的最佳猜测,并将结果写入到目标文件夹的子文件夹。某些备选功能可用于执行对某些文件格式更积极的重建,如JPEG图像。但在大多数情况下,最好的结果则来自非碎片文件。然而,您不会得到原来的文件名;PhotoRec将为恢复的文件自动生成文件名。
PhotoRec也有一款伴侣应用程序:TestDisk,用以恢复整个磁盘或由于损坏或意外删除的磁盘分区。
Sleuth Kit
Brian Carrier公司的Sleuth
Kit是一款免费的开源数字化取证工具包:是一款整合了包括针对物理驱动器和磁盘图像进行磁盘分析,并从中恢复数据的工具集合。据该公司介绍,这款Sleuth
Kit主要是被“执法机构、军事机构及企业调查人员,用以探讨计算机到底发生了什么”,所以该工具套件主要是用于恢复整个系统的活动证据,而不是从一个单一的卷恢复特定的文件。对于一般性的数据恢复需求,其这些功能可能是多余的,但其非常适合于那些想要搞清楚为什么数据可能已经从一个系统丢失的情况。例如,由于某个系统安全问题。
Sleuth Kit及其他一些同类工具被打包在一款被称为Autopsy的GUI应用程序中,其也是由
Carrier公司所提供的。附带的工具都打包成模块,允许潜在的开发人员推出自己的或者将现有的工具作为一个模块重新打包。Python和Java均支持作为模块的开发语言,这些工具本身要么以这些语言编写,要么包含了这些语言。
上文中所讨论的PhotoRec便是包括在其间的一个模块。所以,Autopsy可以说是一款易于用来与其他工具结合使用的方法。其他组件包括最近活动模块,其能够从Web浏览器的历史纪录提取数据,寻找最近安装过的任何程序,并通过RegRipper工具检查注册表hive配置文件。另一个模块以常见的格式解析电子邮件,如PST或Thunderbird的MBOX
格式。还有另一个模块检查在Android手机上经常发现的文件类型。
一旦您连接到一个给定的卷或图像文件,并开始对其进行分析,相应的结果就会开始在Autopsy的GUI上立即出现。如果您正在一个大型的卷执行恢复操作,并需要尽可能快地开始将结果解析到别处,该款产品无疑将使您的一个巨大的福音。
Autopsy
中的大多数最佳性能都有助于针对在系统上所发生的事件进行重建。例如,时间轴特性,其能够基于事件所发生的时间来整理来自各种模块的结果,并且其还可以基于一个给定的时间范围或事件类型进行过滤或者缩小整理范围。
Autopsy还允许多用户协作,尽管这可能需要多款第三方配件的支持,如PostgreSQL、Solr、ActiveMQ
——均需要安装和配置。
Autopsy在一个GUI中打包了Sleuth Kit套件,并包含了其他几款用于数字取证和数据恢复的相当方便的工具。
Kroll Ontrack公司的EasyRecovery企业版
凭借一个向导界面和简单的工作流程,Kroll Ontrack公司的EasyRecovery企业版是专为从卷中快速提取数据而设计的,尤其是针对需要重建的RAID阵列。
EasyRecovery可以从传统的硬盘驱动器、USB存储设备、光盘、移动设备、虚拟磁盘映像、以及磁盘故障的RAID阵列中执行恢复操作。除了能够探索一个体积和恢复文件从它(删除或没有),EasyRecovery可以擦驱动器,分析错误或使用细节的媒体,并执行磁盘映像功能如复制驱动器或磁盘的数据写入到一个图像文件的内容。远程恢复功能为Easyrecovery的一个实例提供了一个内置的通过程序的另一实例进行遥控的方式,只要两个实例可以在网络中通过5900端口(VNC协议)互相通信。
针对删除的文件执行恢复有两种方式:要么通过简单的取消删除(通过检查NTFS目录记录);要么通过扫描上卷上空的空间,并试图在卷中基于启发式算法重建文件。发现的文件可以通过内置的hex/ASCII/Unicode编码转换工具/二进制查看工具的方法进行直接检测,这是一种快速的查看问题文件是否正是您所寻找的文件的方便的方式。
不幸的是,如果您扫描的是整个卷,则无法在其显示最终扫描结果之前进行保存或检查文件。您需要等到整个扫描完成之后,才能确定是否有任何有用的东西被发现了,这与Autopsy或PhotoRec是不同的。其也不会出现可以向应用程序添加自定义文件签名的可能(如PhotoRec具有的功能),所以您被限定于硬连接到程序的文件类型。现在所存在的几个控件在很大程度上是进行了一些轻微的改动,比如是否在恢复过程中尝试连接断了视频流。您可以看到扫描产生的日志信息,虽然其有点神秘。
对于针对企业用户的功能而言,其中一个真正的赢家是RAID阵列的恢复工具,在很大程度上是因为其不局限于仅恢复一种或两种类型的RAID或JBOD。而是支持包括一系列常见的软件和硬件RAID
0和RAID 5类型,包括:惠普/康柏、Adaptec、AMI、矽映电子科技(Silicon
Image)、Promise等等。还包括一项自动的重建功能,可以扫描所提供的磁盘,并作出一个关于阵列如何被放在一起的恰当的猜测。
EasyRecovery也可以从多款电子邮件客户端恢复数据,包括:Outlook、Outlook
Express、Eudora、Mozilla、Becky和Windows Live
Mail。电子邮件恢复工具的一个缺点是,其并不使用与其他的程序相同的工作流程。您必须通过一个工具栏按钮为其打开一个单独的接口,然后将其指向一个文件夹,让所有的邮件文件被存储在该文件夹。在这些恢复工具中浏览只有几个字节的数据的Outlook
PST文件是极其缓慢的;有时长达一分钟或两分钟才能在PST的一个给定的文件夹显示邮件信息列表,而该工具经常会显示多个文件夹的副本。据Kroll
Ontrack
公司的技术支持人员表示,该设置是假设问题PST已受损,从而显示可能仍然存在的早期版本的文件夹。该团队表示,电子邮件的恢复速度将在未来的版本中得到解决。
EasyRecovery的价格并不便宜。家庭版需要79美元,专业版149美元,企业版则为499美元。庆幸的是,所有的版本均有一个免费试用。该免费试用并不执行实际的数据恢复操作,但其可以让您看到有哪些数据可以被恢复。EasyRecovery可同时适用于Windows和Mac系统。
Kroll Ontrack 公司的EasyRecovery企业版是一款工业级的恢复工具,具备从损坏的RAID阵列恢复数据的功能。
Recuva
Recuva的开发者正是为全球的用户提供了出色的CCleaner工具的同一开发者。这款Recuva工具为Windows用户
提供了与CCleaner一样,简单易用的文件恢复工具。
默认情况下,Recuva从一个向导模式启动,使其易于直接执行恢复工作。您可以通过选择一种文件类型(或选择“所有文件”);将该程序指向特定的驱动器、设备或常用的文件位置(如回收站),并选择是否执行快速扫描或深度扫描。Recuva将通过挖掘问题媒介,然后展示给您一个有可能恢复的文件列表。其甚至可以扫描安装驱动器的卷影副本(快照),虽然您不能扫描驱动器的图像,除非他们已经被安装并可以通过驱动器号获得。(驱动已经被作为本地驱动器安装能够被扫描。)
如同在这篇综述中测评文章中所介绍的许多其他程序一样,这款Recuva在其扫描过程中无法让您看到扫描的结果;您必须等待扫描的完成。好的一方面是,Recuva的扫描迅速。即使是在“深度扫描”模式下,该模式能够对更广泛的各种文件类型进行探测。其只需花费1分钟,50秒来扫描一款16GB可移动闪存驱动器,而相对而言,某些其他产品则需要10分钟或更长时间。(PhotoRec的扫描速度也同样快。)
一旦扫描完成后,您会得到一份文件与其原始位置、最后修改日期及其他相关基本信息的列表。文件是彩色编码的,以显示其是怎样恢复的。如果某个文件已被另一个文件所覆盖,Recuva会让您知道。
如果您想了解更多关于恢复工作的细节,您可以切换到高级模式。在该模式下,您可以通过文件名或内容来搜索文件,在文件中检查头数据,或将候选文件的列表保存为纯文本。当您开启该程序的时候,您可以选择在高级模式下运行。保存文件是相当容易的,只需在列表中点击,并选择恢复选项即可。一个安全的擦除功能能够让您破坏已暴露的数据,以防您正在验证一个从一开始就应该被删除的项目。
该款Recuva的最大的一个限制是,文件签名似乎被硬连接到程序中。如果您想寻找一个自定义格式或未被列入到Recuva的名单中的文件格式,您需要使用PhotoRec或一款允许自定义文件签名的应用程序。更重要的是,想要弄清楚该款应用程序到底支持哪些文件类型是很难的。Piriform软件工作室的网站似乎并没有明确列出哪些文件类型是Recuva承认的,但我发现在该产品的论坛上发现了一份说明,提供在高级模式下支持的文件类型的一个方法。
Recuva拥有不提供任何技术支持的免费版;以及提供付费技术支持的售价24.95美元的商业版和专业版。对于使用免费版本的企业,似乎没有任何许可证的限制,也没有缺失任何功能。该程序的便携版(免费)可以存在USB驱动器上,其运行而无需安装在目标机器设备上,可以方便地在多机环境下运行该程序。
Recuva是一款针对Windows系统的快速而灵活的恢复工具。您既可以在一个简单、向导驱动的模式下运行,也可以在高级模式下运行以获得更多的细节。
SystemRescueCd
有太多基于Linux系统采用rescue模式的CD光盘文件恢复工具存在,但是这些产品中有很多都已不再更新,需要太多的命令行向导才能真正变得有用。这款SystemRescueCd是一款Linuxrescue模式
CD
光盘(或U盘),已经能够在恢复完成并可用之间实现良好的平衡。另外,您会在SystemRescueCd网站上发现大量的文档,虽然这些文档都是面向那些不惧Linux系统或命令行的专家的。
对于从无法开机的系统,或者您不想冒数据被病毒感染的风险的情况而言,SystemRescueCd是最好的数据恢复工具了。当您启动操作系统时,机器上有问题的文件系统不会自动安装,以防止它们被意外更改。他们可以从很多的工具上被读取,但他们不能被写入。如果您试图复制这样一个系统的数据,您需要手动安装您需要文件被保存的驱动器。
SystemRescueCd为从损坏的驱动器或系统中检查、复制和保存数据提供了丰富的开源工具。PhotoRec便是其中之一,虽然其只是在文本模式版本中可用,但其仍然是相当有用和强大的,如果使用GUI版本不那么容易的话。当然,数据恢复的速度将完全取决于所使用的特定程序。
SystemRescueCd的另一个不错的福音是整个系统,包括工具在内,均保持了不断更新。(我所测评的版本发布日期为2015年10月29日,并于2016年1月1日发布了新的更新版本)
这款SystemRescueCd最大的一个缺点是,没有针对用户的任何指导。如果您对于一款Linux系统不甚了解,建议您最好是在尝试使用这款工具执行任何类型的恢复工作之前学习准备一下。
SystemRescueCd让您能够从图形化桌面的级联菜单启动很多常见的工具,但这并不能代替一个向导或通用恢复选项的启动菜单。另一款rescue模式的CD:AVG急救盘,是由AVG杀毒软件套件制造商创造的,能够为用户提供准确的指导,但是其许多工具都已经过时,因此很难进行推荐。
SystemRescueCd是一款专为Linux系统发行版设计的数据恢复工具,捆绑了一系列开源工具以检测和修复磁盘,并从Linux和Windows系统抢救文件。
CardRecovery
闻如其名,面向Windows系统的CardRecovery工具的侧重点是恢复相机存储卡中的数据,其具备了一系列具体执行数据恢复工作的功能。该产品的一款兄弟程序:CardRescue则为Mac OS X系统用户带来了同样的功能。
与Recuva一样,CardRecovery也从一个向导界面开始,从此处您可以选择想要恢复的媒介以及将数据恢复到的目标目录,以便写入恢复的文件。如果您是从被用于特定类型的数码相机(佳能,索尼,尼康,宾得等)中所使用的存储卡中恢复数据,您可以指定品牌,以优化搜索。
该产品的一大最重要的限制是,其局限于扫描相机媒介的常用文件类型,主要是JPEG、TIFF和RAW等常见的格式。您也可以扫描其他一些格式的音频和视频文件。但是,如果您试图恢复任何其他类型的文件,就需要另一款程序了。请注意,卡必须安装,且驱动器号可用,您不能扫描一个卷的图像文件或网络共享文件。
扫描一款15GB的驱动器大约需要15分钟,但CardRecovery为您提供了扫描中途过程中的暂停选项,以恢复已经通过搜索发现的文件。提供文件的任何附加属性数据,如相机拍摄的EXIF数据,也可以预览。
该款程序提供了一个对于可以恢复的文件的缩略图的可浏览列表,让您能够通过视觉识别特定的图像文件。但该功能所存在的一个小弊端在于:您一次只可以浏览仅六幅图像。还要注意,某些恢复的电影文件无法播放;CardRecovery的创作开发人员推荐了一些第三方应用程序,以帮助修复这些文件。
如果您想找出CardRecovery是否真的能够拯救您的特定的数据,而不想在其上花钱,本测评文章中所评估的版本则可以查找文件,并允许您预览这些文件,但并不允许您来拯救恢复他们。而CardRecovery的许可副本售价仅为39.95美元。
CardRecovery专门从相机的媒介恢复丢失的照片以及一些音频和视频文件。
Remo Recover
适用于Windows和Mac两种系统,Remo
Recover有三种版本。基本版处理最常见类型的文件恢复,而媒体版增加了对各种媒体的支持,如RAW相机文件。专业版是针对遭受损害或被重新分区或格式化的整个驱动器进行恢复的。其媒体版和专业版支持大约280种文件类型。在启动该程序时,您可以选择您想要运行的具体版本。而如果您没有特定版本的一个许可证秘钥,您只能看到哪些文件是可以恢复的,但并不能恢复它们。
标准文件恢复可以搜索最近删除的文件,其目录项仍然存在;以及那些在驱动器内还有可用空间的文件,该程序试图匹配数据而非文件签名。由目录项搜索是默认选择,因为Remo Recover以该方式恢复能很快获得结果。
搜索由文件签名是慢的,您没有得到任何反馈,在这样一个搜索,告诉您,如果有任何事情已经出现了。在加上,当您完成扫描一个给定的驱动器,您可以节省恢复会话的状态。这可以让您回到一个扫描和继续恢复文件的结果,而无需重新扫描整个硬盘。如果在恢复会话之间的内容变化,所以要小心,我怀疑这个程序将能够做任何事情。
通过文件签名搜索速度很慢,而且在这样的搜索过程中,您不会得到关于发现了任何数据的反馈。其好的一方面是:当您完成了对指定驱动器的扫描,您可以保存恢复会话的状态。这使您可以返回到扫描的结果,并继续恢复文件,而无需重新扫描整个驱动器。我怀疑如果在恢复会话期间,驱动器的内容发生变化,该程序将是否能够执行任何事情,所以这一点要特别小心。
与CardRecovery一样,Remo Recover
也具有用于扫描特定数码相机制造商的RAW图像类型的功能,甚至包括比较奇特的高端类型,如徕卡的功能。我想要指出的是,PhotoRec也声称能够搜索其中的许多数据格式,虽然并不支持所有的文件数据格式。例如,哈苏(Hasselblad)和理光(Ricoh)格式在Remo
Recover 中就能够得到很好的支持,但在PhotoRec中则不能。对于那些使用上述两种设备之一的用户而言,可能最好选择采用Remo
Recover有助于您的数据恢复。
该产品的专业版工具具备分区恢复和驱动非格式功能,让您能够扫描原始驱动器,即使没有附带驱动器号连接,也能够从中恢复数据。借助专业版,整个驱动器可以被成像到一个文件,使得执行恢复操作可以无需原始媒体。注意,写出图像文件需要很长的时间,通常大约与其首次扫描该媒介所花费的时间一样长。但如果您将图像从读取速度较慢的媒介复制到本地硬盘驱动器或SSD固态硬盘,搜索图像的速度会快许多倍。
Remo Recover的免费预览版能够让您预览可恢复的数据,但不能保存。Windows的基本版、媒体版和Pro版本的售价分别为39.97美元、49.97美元和99.97美元。而Mac的售价分别为59.94美元、69.94美元和179.94美元。
Windows和Mac版本的Remo Recover结合了通用的文件恢复功能,甚至支持一些相机媒体。
现在您可以做出您的选择了
哪款数据恢复工具才是最适合您的呢?PhotoRec及其伴侣TestDisk一直以来都是最有用的、高效的、灵活的且廉价的可用的应用程序数据恢复工具。他们没有如本文中所测评的其他某些应用程序那样广度的选项,但第一步采用他们就出现问题几乎是不可能的。
比起像单一功能的扳手或锤子,Sleuth Kit/Autopsy
更像是一个完整的工具箱,而恰恰是因为这个原因,可能对其的利用变成了更令人生畏的工作,特别是如果您需要执行的是恢复特定的文件。但是,对于那些需要完整工具箱的用户而言,这是一个相当棒的没有初始成本的恢复方式。SystemRescueCd还推出了大量的工具进行了打包,但其是针对需求更严格的专家的。那些害怕命令行的用户别想用它。
Kroll Ontrack 公司的EasyRecovery企业版凭借其RAID恢复功能得以脱颖而出,并被推荐给那些需要这种功能的用户。对于那些不需要这些功能的用户而言,其所拥有的许多其他功能在其他产品中也可以找到,像Remo Recover。
Remo Recover得以脱颖而出的原因在于其易于从媒体保存图像文件,并主持一些非常奇特的相机文件类型,作为其数据库的一部分。CardRecovery也支持一系列的这些类型的文件,但其缓慢的扫描和略显笨拙的界面则不甚令人满意。
最后,Recuva将很多极棒的功能打包集成到一款程序中:快速扫描、接口方便、哪些数据能够恢复哪些不能恢复的有用的详细细节。每位Windows 用户的工具箱中都应该具备该工具。
本文转自d1net(转载)