作者：黑蛋

上篇文章說到周游去偷秦淮電腦東西，并繞過了秦淮電腦開機密碼。但是隨后又因為周游自己使用的軟件有病毒，有損毀文件的功能，導致秦淮一直在分析的數(shù)據(jù)丟失了一部分。所以他們又開始神乎其技的恢復數(shù)據(jù)：

我們大家在平時，誤刪的文件都會在回收站中找回，但是如果在回收站中都刪除了，那么就毫無辦法。但是如果拿到修電腦的技術人員手中，亦或者網(wǎng)上有很多種數(shù)據(jù)恢復軟件，都是可以恢復數(shù)據(jù)的。那么這種神奇的手段原理是什么呢，今天我們就來聊一聊常見的數(shù)據(jù)恢復技術--軟件恢復。

在聊軟件恢復前，我們先簡單介紹看一下操作系統(tǒng)對文件的管理：

在對文件管理中，和我們今天聊的主題最貼近的就是操作系統(tǒng)中文件的存儲空間管理，根據(jù)不同需求，他有多種方式，空閑區(qū)表法，空閑鏈表法，位圖法。簡單來講，我們可以用酒店管理做個例子：

image-20221205231934713

就是每個人入住酒店，在前臺都有一張表記錄，誰住幾號房這樣。如果a沒有交費，那么在前臺記錄中，1號房是空的，但是a還是住在1號房。

在這個時候，如果我們要找a,盡管前臺記錄沒有a的信息，但是在1號房中還是可以找到a。但是如果這個時候新來一個住戶w，在前臺交錢，并入住1號房，那么a就必須得搬走。在這個時候，如果我們要找到a，那肯定是找不到的，因為1號房里面住的已經(jīng)是w。

而文件管理也是這樣，對于機械硬盤，當我們刪除數(shù)據(jù)的時候，其實不會對文件所占用的內存進行清空，只是會刪除文件索引，也就是類似前臺記錄。這也就是為什么刪除文件后，短期內可以找回來。因為時間越短，內存地址保持原樣的可能性更大。在機械硬盤中如果我們新保存了一些文件（機械硬盤允許覆蓋寫入），那么很有可能會覆蓋之前的內存地址，覆蓋太多的話，這種情況是無法修復的。但對于固態(tài)硬盤來講是默認開啟trim，刪除數(shù)據(jù)的時候，會順帶對內存區(qū)域清空，這種情況是無法恢復的。