分享到: | 更多 |
据新华社北京3月26日电 马航MH370航班机长家中曾搜出飞行模拟器。初期调查显示,模拟器上的信息数据已被部分删除,有的已被锁定,美国联邦调查局(FBI)技术人员目前正协助马方对模拟器数据进行恢复。那么飞行模拟器的数据能否恢复呢?
美国伊利诺伊理工学院计算机系主任孙贤和教授接受记者采访时说,如果飞行模拟器的数据可以恢复,数据就应该是保存在硬盘里。
假设马航370航班机长进行一次模拟器练习,将其过程数据保存在文件“abc”中,模拟器计算机的硬盘分区表上就会记录“abc”的保存位置,计算机任何有关该文件的处理请求都将从硬盘分区表的这条记录开始。
当马航370航班机长删除了这个文件,硬盘分区表上“abc”文件名中的“a”就会被删除并被标记为未知;但这并不意味着文件内容已经不存在,而是硬盘分区表告知硬盘“abc”文件所占的空间可以被其他文件覆盖了。因此,只要“abc”文件所在的硬盘空间没有被覆盖,在硬盘分区表中恢复“abc”文件名的第一个字母“a”,就可以找回已经被“删除”的文件。
那么如何彻底删除一个文件呢?这利用的是计算机内部靠二进制运算的特性。计算机只认识0和1,所有数据及文件都是由一串0和1组成,按顺序放在磁盘里。当事人可以使用一种叫“填零”的方法,将原来文件中的每个字节都用“0”覆盖。
然而,“填零”也不是没有缺陷。机械硬盘使用磁性原理存储数据,用极其微小的磁化颗粒以不同的磁极方向来代表0或1,借助外部磁场翻转磁极方向,就能存储、改变数据。假设0是水平方向,1是竖直方向,彻底删除文件就是让磁盘全部变成水平方向的0。然而,磁盘读写头的“工作效率”并不是百分之百,1可能歪一点,0可能不那么平。FBI数据恢复专家的核心工作原理就在于此,他们通过分析0的精确方向,来判断每个0的“前世”是0还是1。
当磁盘被多次覆盖“填零”,磁极方向被反复改变,数据恢复专家的鉴别工作无疑是一个漫长而复杂的过程,恢复数据的质量也有可能大打折扣。孙贤和教授表示,现在就看数据是如何删除的,硬件是怎样的结构,总之是一件非常复杂的工作。