R-Studio 这个软件是 Windows 上运行的可以恢复 Windows 文件系统和 Linux 文件系统的绝好软件, 我试过了 5 种以上的恢复软件, 就这个软件的效率和结果最好. 我先普及一些背景再介绍 R-Studio 怎么用. 文档比较长, 但是你看完的话肯定不虚此行. 怕你看不完, 我把最重要的一句话先说下, 一旦发生误操作, 赶快停下, 关机, 不要破坏原现场, 不要破坏原现场, 不要破坏原现场, 先冷静下来然后仔细看完这篇文档.(建议先收藏, 文档用时方恨没收藏, 我保证不删除)
我前些年花过 88 元买过 anedata.com 这家的数据恢复软件, 那次我的移动硬盘掉地上了, 硬件损伤, 在磁盘管理器里只能看到有个盘, 但是根本没法对其做任何操作, 鼠标一点盘符, 移动硬盘指示灯马上就灭了, 然后在磁盘管理器里就看不到盘了, 重新插拔后用 DiskGenius 倒是能识别到分区, 但是恢复的时候老是卡死, 最后我用这家的数据恢复软件搞定了. 可是最近去看这个软件, 四五年过去了没啥大变化, 前些年 GPT 大盘还没普及, 500G,1T 的 MBR 移动硬盘用它还行, 现在大于 2T 的 GPT 大盘用它的可靠性我不确定, 没恢复还破坏了现场就得不偿失了. 云上的盘就方便多了, 不论大盘, 小盘, 只要是云盘(非云上的本地盘), 就可以打快照保留现场, 用快照创建新盘复制一个现场出来.
前不久我把 Linux 数据盘格式化后想起来里面有我之前写的几个 PHP 文件, 不是那么重要, 重写的话又会浪费些时间, 我评估了下时间, 可以用数据恢复软件试试. Linux 文件系统跟 Windows 的 NTFS 不一样, 格式化后别抱太大希望, 一般情况下不可能完整恢复, 倒是能找到一些没有原始文件名和目录结构的元数据, 但这些数据如果量很大且你不太熟悉自己文件情况的话, 鉴别重用就太难了.
Windows 格式化后不要做其他任何操作, 用恢复软件完全恢复的可能性很大.
我用过很多款数据恢复软件, R-Studio 的恢复效果最好(我在网上找的破解版). 我跟数据恢复公司的技术人员做过交流, 云上误操作删数据或者格式化磁盘, 一般情况下也是用 R-Studio 这款软件找数据, 幸亏我有较丰富的经验, 既然他们也用这个软件, 那我就省了找数据恢复公司的钱. 但是我得郑重提醒下, 如果你没有数据恢复经验, 千万别乱搞, 最怕的就是没搞好还破坏了现场. 如果你是云盘, 打快照备份了现场, 那你用快照创建新盘去练手是没问题的, 别删备份现场的那个快照就行, 万一你练手失败了, 再用快照创建一块新盘继续练, 这就是运维行业常说的 "回滚" 机制.
数据恢复公司用的 R-Studio 是正版的还是破解版的我没好意思问这么尖锐的问题, 反正我看网上破解版的挺多.
我还请教了对方 "被加密勒索的文件找数据恢复公司有没有办法", 对方很明确地说要看加密的情况, 因为加密原理是在文件头部加密或在整个文件里分段加密. 头部加密的话, 如果是小文件恢复的可能性不大, 大文件的话, 可以根据文件本身的特点去构造头部数据, 能不能恢复, 能恢复多少, 要看运气和文件特点. 他还提到如果是间断加密的, 不论文件大小都没有办法, 除非黑客本人, 只有他知道加密算法, 因此只有黑客本人能反解.
推荐 2 个网站, 可以提交被加密的文件看看加密算法是什么, 然后看有没有对应的解决方案, 没有的话只能找数据恢复公司分析下文件结构看看有没有运气能恢复出来.
这个网站是让你上传小于 1MB 的被加密文件确认是如何被加密的, 上传文件就知道能不能解密了
类似的另一个网站 https://id-ransomware.malwarehunterteam.com/
数据恢复公司的大哥特别跟我提到 "中间商赚差价" 的情况: 某人跟加密勒索的黑客有交情, 声称能通过技术手段恢复被加密的数据, 被加密勒索的一方觉得直接给黑客给钱没有保障, 万一石沉大海了多亏, 于是找这个声称能恢复加密数据的人支付数据恢复费用, 确实也拿回了数据, 这样一传十, 十传百, 口碑就出去了, 后面有加密勒索的都找这个人恢复, 实际上这是其生财之道, 但不是正道, 是歪门邪道. 他并不能恢复, 他找黑客恢复的, 他经常找黑客恢复, 黑客给他有优惠, 比如打 5 折, 然后他给对方按黑客原价的 8 折恢复出来, 赚差价. 常在河边走哪能不湿鞋, 最后被警方抓获, 以诈骗罪判刑了.
接下来我们学习一些数据恢复注意事项再介绍 R-Studio 怎么用.
关于 Windows 分区的一些知识
http://www.anedata.com/resource_004.html
关于恢复成功率的一些知识
http://www.anedata.com/resource_003.html
平时正常使用时需要注意的问题
http://www.anedata.com/resource_002.html
数据恢复中需要注意的问题
http://www.anedata.com/resource.html
数据恢复过程中最怕被误操作而造成二次破坏
数据丢失后, 要严禁往需要恢复的分区里面存新文件
在讲 R-Studio 怎么用之前, 我先说说我用了很多年的 DiskGenius 吧, 这款软件有很多功能都很棒, 比如克隆硬盘 (硬盘对拷), 克隆分区(磁盘分区对拷), 查找已丢失分区表等. 说到对拷, 我这里正好有份实践数据, 我对 250G 本地盘对拷到 250G 高性能云盘, 花了 3 小时 02 分钟, 平均速度 182/250=0.728 分钟 / GB, 按[0.8-1] 分钟 / GB 预估, 对拷 1000G 需要 [800-1000] 分钟, 如果是 SSD 云盘的话, 应该会明显快一些.
细心的同学注意看我是从 HD0 克隆到 HD2 的, 我是对一个本地盘的系统盘做的克隆, 常规办法下是没法对系统盘做克隆的, 我用了自己制作的 WinPE, 开机的时候从 WinPE 进去操作的. 我制作的 WinPE 里集成了 DiskGenius(也叫 PartitionGuru), 我的 WinPE 兼容云服务器和普通电脑, 甚至很偏门的电脑也兼容, 具体使用详见我另一个文档 https://cloud.tencent.com/developer/article/1558241 .
我没用过付费的 DiskGenius 专业版, 都是网上找的破解版, 客观讲, 恢复效果没有 R-Studio 好, 并且还发现 DiskGenius4.9 及其以后的版本有 bug: 在 webVNC 里一运行就卡死, 但远程的时候正常.
言归正传, 说一下云盘和本地盘两种情况如何恢复数据.
一, 云盘
出事后先关机做快照, 快照是块设备级别的, 相当于硬盘底层对拷, 用做的快照创建的盘跟原盘的情况完全一样.
不要破坏原现场, 不要破坏原现场, 不要破坏原现场.
快照创建 OK 后, 用快照创建一块新盘并保留快照不要删, 然后再买一块同样大小的空盘, 2 块新盘挂到一个全新的 Windows2008R2 上, 然后在 2008R2 里通过数据恢复软件扫描, 扫出文件后先保存扫描结果 / 进度, 以免中途崩溃又得从头来.
快照的好处是你可以同时创建多个相同现场出来, 挂载到多个全新的 Windows 机器上, 用不同的数据恢复软件扫描, 看谁扫得快, 扫出来的结果也可以做比较以查漏补缺验证恢复的可靠性.
这里要特别说明下, 扫描的快慢跟机器的 CPU, 内存以及磁盘介质, 数据量多少都有很大关系, 如果比较着急, 建议用至少 4 核 16G 内存的机器进行扫描恢复, 别用 1 核 1G 的玩人, 1G 内存够干个屁.
二, 本地盘
由于本地盘不支持快照, 唯一的办法是买一块相同地区, 相同可用区的相同大小的云盘, 请云服务商把你本地盘对拷到这块云盘, 然后你对云盘做快照, 然后其余的事情就跟上面说的一样了. 但是对拷本地盘到云盘这种非标操作是不合规的, 服务商一般会拒绝, 既然是求人办事, 就客气点, 别老是花 10 块钱就想一直当上帝, 把服务商的后顾之忧先给人家去除掉, 即要保证合规操作, 你得给人家一个保证书和授权, 别有事没事碰瓷, 这样谁还敢应承你. 我以前在阿里云的时候经常怼工单客服, 最后我发现我的工单经常超过 3 个小时左右甚至更长时间才回复, 我猜测可能是被他们打上了 "恶意" 标签, 后来我学乖了, 不论遇到多么差的客服我都保持客客气气, 并且发现了他们的问题后我都一一指正并给出优化建议来释放我的善意, 再后来过了一段时间, 我提交工单后平均 40 分钟左右就响应了, 并且还会破天荒地给我打电话, 我前些年在阿里云提了七八个工单他们都没主动电话过. 如此看, 与人为善, 与己为善, 求人办事得有求人办事的态度, 不能光是撒泼打滚充上帝.
三, R-Studio 使用过程
如果是 Linux EXT3,EXT4 的文件系统, 可以在 Windows 服务器里安装个能识别 EXT 文件系统的软件 ext2fsd
ext2fsd 下载地址: https://nchc.dl.sourceforge.net/project/ext2fsd/Ext2fsd/0.69/Ext2Fsd-0.69.exe
下载地址是从 ext2fsd 官网一步步找过去的
官网链接: https://www.ext2fsd.com/?page_id=16
如果下载地址和官网链接变了, 直接访问官网域名 ext2fsd.com 去找新的下载地址
R-Studio 的下载地址这里不提供, 你自己去网上找一个吧.
不论是 32 位还是 64 位 Windows, 软件根目录里的 RStudio.exe 会自动匹配紧随其后的 RStudio32.exe 或 RStudio64.exe, 我们双击 RStudio.exe 就行.
找到对的盘后点 "扫描", 如何找到对的盘, 注意看红框右边的标签, 即 diskid.
操作中各个环节的速度跟 CPU 和内存大小, 磁盘介质, 数据量多少等都有关系, 扫描出来后点恢复就行.
来源: https://www.qcloud.com/developer/article/1559710