保护数据灾难现场与保护凶案犯罪现场
   提到遭遇数据灾难后一定要充分保护现场状态不要发生变化，我们经常会与公安司法机关保护凶案犯罪现场做类比，虽然看似两码事，但实质却是完全相同的。如果凶案犯罪现场被破坏得面目全非，侦破人员将无法从中提取到足够的证据及早破案；如果数据灾难现场同样被破坏得惨不忍睹，数据恢复工程师将无法帮助客户完好地恢复出丢失的数据。
    现实中，没有充分保护数据灾难现场，有意、无意地将数据灾难现场破坏的情况，比比皆是，司空见惯，很多情况让人倍感遗憾，很多情况则让人心痛不已。
    我们刚刚接手了一个从牡丹江发过来的一块硬盘，数据灾难现场已经被破坏得面目全非、惨不忍睹。客户之前找身边的一些“二把刀”帮忙恢复，这些不负责任的“二把刀”把恢复出来的垃圾数据满满地存回到了原硬盘，与原受损分区相关的两个后来划分出来的分区，一个还剩200M剩余空间，一个还剩1G剩余空间。我们把令我们这些专业数据恢复工程师都“目瞪口呆”的可怕状况如实地告诉给了客户，客户在电话里一再“央求”我们竭尽最大的努力帮他恢复。从这仅存的一点点未被覆盖的磁盘空间，我们运用看家本领——最底层的“DFN技术”，仅仅找到了六张完好的照片，而客户原来足足有一千多张用手机多年拍摄和积累下来的数码照片，这些对客户无比珍贵、根本无法弥补的手机照片，在巨量的后期覆盖过程中，全部毁掉了。当我们把这个“噩耗”如实地告之客户时，客户在电话那头沉默无语，过了许久我们听到客户低沉地说了句：“我起诉他！”，电话就挂断了。虽然我们无法亲眼看到这位牡丹江客户的痛苦表情，但起码我们可以想象得出来。
    我们都知道，操作系统在启动、引导、运行的过程中，会有很多临时文件、交换文件、缓存文件、系统还原文件……等一系列的垃圾文件随时随地地写入到C分区当中。很多客户习惯于把数据存放到“桌面”和“我的文档”里（“我的文档”是可以更改存放路径到其他分区的，而“桌面”则铁定位于系统分区里，除非一开始就将操作系统安装到了除C区以外的其他分区里），一旦经历误删除、或重做系统之类的数据灾难，正确的做法应该是马上将电脑关闭，再也不要引导和使用操作系统了，每多使用一次操作系统，就会增加一些数据覆盖，就会降低一些数据恢复的成功率。但很可惜，很多客户没有意识到这个问题的严重，当数据丢失发生在系统区时，仍然反反复复地、不当回事地使用操作系统，甚至还照常上网、玩游戏，甚至自己将从网上下载下来的所谓数据恢复软件安装进来，这些后期软件的装入，无疑进一步加重了数据覆盖，使得数据恢复难上加难。
    业的、成熟的数据恢复软件，是绝对不允许操作者将查找到的数据存回受损分区里的，你想强行选择受损分区存放数据，软件要么不断发出警示信息，要么自行终止运行、阻止操作者的这种卤莽的误操作行为。而很多从网上下载下来的所谓数据恢复软件却很不负责任，根本没有内置上述预防措施，操作者可以任意选择要存放的路径，即便是有意无意地选中了受损分区，软件也不会有任何的提醒，而任凭从受损分区恢复出来的数据“肆意”写回到受损分区当中。这种“恐怖”的情况造成的数据覆盖，比一般意义上的数据覆盖，要严重和可怕得多，数据恢复的成功率也要低得多。
    有些客户当遭遇数据灾难后，是喜欢自己先想办法恢复的，也许是为了省钱，也许是为了一试身手。但由于缺乏足够的数据安全知识，因此很有可能想当然地想到把恢复出来的数据存放回受损分区里，正所谓“原汤化原食”嘛！如果此时再碰上上面所提到的那些“不负责任”的数据恢复软件，客户一边美滋滋地看着自己“妙手回春”找到的数据在一个一个地传出，却不知道这传出的背后却是可怕至及的深层覆盖。等到数据传送完毕，数据主人得意洋洋地检验“劳动果实”时，就会惊讶地发现，恢复出来的数据很多都根本无法使用，而此时早已为时已晚、后悔晚已。有的客户此时会自然地想到要再做恢复，可想来轻松、事实谈何容易，因为您别忘了，此时的数据灾难现场，可已经和之前的数据灾难现场，大相径庭、天壤之别了！
    我们还有几篇和保护数据灾难现场这个话题相关的“博客随笔”，您可以看一下——《请您别无意间成为您自己数据的“杀手”》、《“二把刀”，请您悠着点》、《令人痛心疾首的后期数据覆盖》。我们之所以用这么多的笔墨，从不同的角度探讨这个话题，实在是因为这是个过于常见、我们每个人都必须要面对的残酷现实。如果凶案犯罪现场被破坏，将无法将凶手绳之以法。如果数据灾难现场被破坏，将可能使珍贵数据荡然无存。
    引用我们的力作《有备无患——如何预防数据灾难》中的两个要点作为本文的总结吧——
    “34、不要试图使用那些盗版的、破解的所谓数据恢复软件去挽救自己的宝贵数据，否则极有可能会造成重要数据的永久性彻底丢失。即便用，也一定要将找出的数据做异地保存，总之无论如何也不能破坏了数据灾难的原始现场。”
    “36、一旦遭遇数据灾难，千万不要惊慌失措，更不要做任何毫无把握的破坏性补救性操作，一定要充分保护数据丢失的原始现场，任何盲目的修复或恢复性操作都将给日后的数据恢复造成巨大障碍。”
    最后，我们又要重复那句我们经常挂在嘴边的老话了——遭遇了数据灾难，如果能够通过花钱解决，那是再简单不过的事情了；如果数据灾难已经严重到您想花钱都花不出去的地步，那才是人世间最痛苦、最痛苦的事情了！