作者：黑蛋

上篇文章說(shuō)到周游去偷秦淮電腦東西，并繞過(guò)了秦淮電腦開(kāi)機(jī)密碼。但是隨后又因?yàn)橹苡巫约菏褂玫能浖胁《?，有損毀文件的功能，導(dǎo)致秦淮一直在分析的數(shù)據(jù)丟失了一部分。所以他們又開(kāi)始神乎其技的恢復(fù)數(shù)據(jù)：

我們大家在平時(shí)，誤刪的文件都會(huì)在回收站中找回，但是如果在回收站中都刪除了，那么就毫無(wú)辦法。但是如果拿到修電腦的技術(shù)人員手中，亦或者網(wǎng)上有很多種數(shù)據(jù)恢復(fù)軟件，都是可以恢復(fù)數(shù)據(jù)的。那么這種神奇的手段原理是什么呢，今天我們就來(lái)聊一聊常見(jiàn)的數(shù)據(jù)恢復(fù)技術(shù)--軟件恢復(fù)。

在聊軟件恢復(fù)前，我們先簡(jiǎn)單介紹看一下操作系統(tǒng)對(duì)文件的管理：

在對(duì)文件管理中，和我們今天聊的主題最貼近的就是操作系統(tǒng)中文件的存儲(chǔ)空間管理，根據(jù)不同需求，他有多種方式，空閑區(qū)表法，空閑鏈表法，位圖法。簡(jiǎn)單來(lái)講，我們可以用酒店管理做個(gè)例子：

image-20221205231934713

就是每個(gè)人入住酒店，在前臺(tái)都有一張表記錄，誰(shuí)住幾號(hào)房這樣。如果a沒(méi)有交費(fèi)，那么在前臺(tái)記錄中，1號(hào)房是空的，但是a還是住在1號(hào)房。

在這個(gè)時(shí)候，如果我們要找a,盡管前臺(tái)記錄沒(méi)有a的信息，但是在1號(hào)房中還是可以找到a。但是如果這個(gè)時(shí)候新來(lái)一個(gè)住戶w，在前臺(tái)交錢，并入住1號(hào)房，那么a就必須得搬走。在這個(gè)時(shí)候，如果我們要找到a，那肯定是找不到的，因?yàn)?號(hào)房里面住的已經(jīng)是w。

而文件管理也是這樣，對(duì)于機(jī)械硬盤(pán)，當(dāng)我們刪除數(shù)據(jù)的時(shí)候，其實(shí)不會(huì)對(duì)文件所占用的內(nèi)存進(jìn)行清空，只是會(huì)刪除文件索引，也就是類似前臺(tái)記錄。這也就是為什么刪除文件后，短期內(nèi)可以找回來(lái)。因?yàn)闀r(shí)間越短，內(nèi)存地址保持原樣的可能性更大。在機(jī)械硬盤(pán)中如果我們新保存了一些文件（機(jī)械硬盤(pán)允許覆蓋寫(xiě)入），那么很有可能會(huì)覆蓋之前的內(nèi)存地址，覆蓋太多的話，這種情況是無(wú)法修復(fù)的。但對(duì)于固態(tài)硬盤(pán)來(lái)講是默認(rèn)開(kāi)啟trim，刪除數(shù)據(jù)的時(shí)候，會(huì)順帶對(duì)內(nèi)存區(qū)域清空，這種情況是無(wú)法恢復(fù)的。