美FBI正协助马方对模拟器数据进行恢复

新华社北京3月26日电——飞行模拟器在马来西亚航空公司MH370航班机长家中被发现。初步调查显示，模拟器上的信息数据已被部分删除，有些已被锁定。联邦调查局技术人员目前正在协助马来西亚恢复模拟器数据。飞行模拟器数据可以恢复吗？

计算机数据存储有两种形式，一种是内存，另一种是硬盘。当一个人在他的办公桌前工作时，内存就像一个桌面，硬盘就像一个抽屉，所有的数据都存储在抽屉里(存储在硬盘里)，当需要时，数据被带到桌面(读入内存)。当系统退出时，就像下班后整理桌子一样，内存中的数据会消失，但抽屉(硬盘)中的数据仍然可以找到。

加州飞行爱好者坎特·扬尼斯认识马来西亚航空公司MH370航班的机长扎哈里，并回答了他关于安装飞行模拟器的问题。科托·扬尼斯在他的博客中说:“除非我‘拯救’一次飞行(游戏)，否则一旦我关闭游戏软件，关于场景的数据就会丢失。”伊利诺伊理工学院计算机系主任、教授孙贤在接受记者采访时说，如果飞行模拟器的数据可以恢复，数据应该存储在硬盘上。

假设马来西亚航空公司370航班的机长进行了一次模拟训练，并将其过程数据保存在文件“abc”中。模拟器计算机的硬盘分区表将记录保存“abc”的位置。对该文件的任何计算机处理请求都将从硬盘分区表中的该记录开始。

当马航370航班机长删除该文件时，硬盘分区表中“abc”文件名中的“A”将被删除并标记为未知。但是，这并不意味着该文件的内容不再存在，而是硬盘分区表告诉硬盘，“abc”文件占用的空间可以被其他文件覆盖。因此，只要“abc”文件所在的硬盘空间没有被覆盖，就可以通过恢复硬盘分区表中“abc”文件名的第一个字母“A”来检索被删除的文件。

如何完全删除文件？这利用了计算机内部的二进制运算。计算机只知道0和1，所有的数据和文件都由一系列的0和1组成，它们按顺序放在磁盘上。当事人可以使用一种称为“零填充”的方法，用“0”覆盖原始文件中的每个字节。即使文件被还原，结果也只是一个空文件。

然而，“零填充”并非没有缺陷。机械硬盘利用磁性原理来存储数据。非常微小的磁化粒子代表0或1，具有不同的磁极方向。在外部磁场的帮助下，可以通过反转磁极方向来存储和改变数据。假设0是水平方向，1是垂直方向，完全删除文件将使所有磁盘在水平方向变为0。然而，磁盘读写头的“工作效率”不是100%，1可能有点弯曲，0可能不那么平坦。这是联邦调查局数据恢复专家的核心工作原理。他们分析0的精确方向，以确定每个0的“过去生活”是0还是1。

当磁盘反复被“补零”覆盖，磁极方向反复改变时，数据恢复专家的识别无疑是一个漫长而复杂的过程，恢复数据的质量也可能大大降低。孙贤和教授说，看数据是如何被删除的以及硬件是如何构造的是一项非常复杂的工作。(原标题:删除的飞行模拟器数据可以恢复吗)