數據恢復，作為一個數據再現的過程，一定要解決兩個問題，第一是從哪里恢復，第二是怎么恢復。解決了這兩個問題，我們事實上就把握了數據恢復的。這一部分就是探討從哪里恢復的問題。
　　1. 有效而及時的備份是數據恢復最可靠的來源：在許多人倡導備份到秒的今天，恐怕不會有人懷疑這點。而有些備份機制則是系統內建的，比如兩份FAT表。
　　2. 數據的實際有效性的判定是關鍵：對我們來說，硬盤無法自舉、文件找不到、文件打不開等現象，其實并不能與數據丟丟失劃等號。因為此時d ovt rnd 往往只是邏輯丟失，在物理意義上，它仍然存在或部分存在。最明顯的就是文件刪除的例子，事實上，這只是把文件首字節改為0E5而已,文件體依然存在。
　　3. 數據損壞過程的可逆性分析:對數據的改變無非兩種:取代和變換，前者是不可逆的，后者則是可逆的。我們以殺毒為例，對于大多文件性病毒來說，那些以附加而非代換方式感染的文件型病毒，理想的殺毒過程就是感染的逆過程。這種分析也適用于重要信息被隱藏搬移或者被加密的情況，但分析將比較復雜。
　　4. 數據本身是否是標準信息：有些信息實際是通用或局部通用的，你無須考慮如何從本機搶救。只要有相同或相近的系統版本就可以了，比如BOOT區、隱含扇區、Windows的DLL文件等等。典型的例子如分區表的代碼區，這是一段標準代碼，事實上，它就放在你的FDISK程序里面，你可以用DEBUG把他提取出來。
　　5. 數據本身是否可以由其它信息統計再生：有些信息盡管丟失了，也沒有備份。但它實際可以從其他數據中間接求得。最典型的就是主分區表中的分區信息，即使你把它清零也不必害怕，因為你可以從你幾個分區中計算再生。
　　6. 破壞的完成程度：事實上，FDISK、FORMAT都不會徹底破壞數據，一般只有低格和扇區覆蓋操作才會徹底破壞數據。但有時，破壞過程或者誤操作過程會因人工終止、死機等原因不能完成。最明顯的就是CIH病毒的例子，由于CIH是以1024字節為單位覆蓋扇區，這當然是不可逆過程，于是我們最初都認為，破壞是很難恢復的，除非人工終止。事實上，當病毒覆蓋某些扇區時會與WIN9X系統發生沖突，從而造成死機，使數據得到了保護。