根據外國統計機構發布的信息�,個人PC電腦操作系統市場份額統計��,微軟WINDOWS的操作系統份額達到90%多��,而微軟WINDOWS的操作系統使用的文件系統�,主流文件系統還是NTFS�,下面筆者用案例向大家介紹NTFS數據恢復的實戰過程��。
數據丟失的具體故障為:盤分了三個區在一次意外死機后磁盤提示(前兩個區是正常的)提示未格式化(其實大多數朋友知道這時的問題簡單得多也許重建DBR后整個盤里面的數據都在��,這里暫且就不談這種問題的解決方法了),要命的是這時已經鬼使神差地點擊了格式化了,結果大家當然就知道了��,數據肯定是沒有了�。據轉到我這里的那同行說他用各種搜索軟件對整個區搜了好幾遍(這也是大多數所謂專業的數據恢復商所用的恢復方法了),當然也搜到了很多數據��,盡管很亂但還能正常打開�。最后客戶確認搜出來數據大部份正常,但最重要的的一個壓縮文件損壞了��,大家知道壓縮文件損壞了是很難很難修復的了��。首先我用WINHEX把他搜出來的那個壓縮文件打開分析了下��,文件頭亂了,中間的數據也不正常��。無法修復�,只好從原盤著手了。竟然搜索軟件搜出來的是損壞的�,那就只有用手工來做了��,當然用手工做這種格式化了的數據很費時,且計算量也很大��,只能針對像這樣的個別特重要的數據��。
對原盤的那個格式化掉的分區做完鏡像后�,用WINHEX打開鏡像,設置鏡像文件為磁盤�。如下圖所示:
分區是NTFS格式的�,整個分區大小為25.4G�。對NTFS分區格式研究過的朋友會知道,在NTFS文件系統中�,文件亦是按簇進行分配的��,文件通過主文件表MFT(Master File Table)來確定其在磁盤上的存儲位置、大小�、屬性等信息��。相當于FAT系統下的FAT+FDT的功能��。每文件都有一個文件記錄�。其中第一個記錄就是MFT自己本身��。我們轉到第一個文件記錄也就是MFT了直接點可以看到如下圖所示:
通過第一個文件記錄往下觀察發現格式化了后對文件記錄沒有產生破壞�。那么這時我們就可以有一個恢復的思路了:找到所說的那個壓縮文件的在MFT中的記錄��,再通過對文件記錄的分析來確定文件在磁盤中的位置及大小�,就可以直接從中提出文件了�。想到做到,只知道一個壓縮文件的壓縮文件名為:源文件與素材��。那好��,我們可以新建一個文本記事本只輸入壓縮文件名―――源文件與素材��!保存,再用WINHEX打開可以看到如下圖:
然后再轉回來�,直接從第一個文件記錄往下開始搜索十六進制數值90 6E 87 65 F6 4E 0E 4E 20 7D 50 67搜索到了一個地方停下來了�,看看是不是那個壓縮文件的記錄呢看下圖:
根據觀察可以看出正是客戶要的那個壓縮文件的記錄�,那么我們又如何來確定這個壓縮文件在磁盤上的那一個扇區?占用了多少的扇區呢?這個就需要對NTFS格式有所了解了。NTFS將文件作為屬性、屬性值集合來處理��,這一點其他文件系統不一樣��??梢钥吹皆贛FT中用了不同顏色的段來區分��,
如上圖所標記的�,第一個為文件記錄頭��,第二個10H表示標準屬性�,第三個30H表示文件名屬性�,最后一個80H表示數據流屬性也就是關鍵所在了。這里我們只分析數據流屬性,其它屬性就不一一分析了,可以查看相關資料��。每一個屬性都為兩部份:屬性頭和內容�。先來分析數據流屬性的屬性頭:從第1第4四個字節表示屬性的類型,第5第8四個字節這里的值是48 00 00 00表示屬性的長度(包括屬性頭和內容)為72個字節。從17到24共8個字節表示起始的VCN即虛擬簇號�,第25到32共8個字節表示結束的VCN此處為2D7FH也就是 這個壓縮文件占用了11648個簇�。再往下分析從33到40共8個字節表示數據運行的偏移��。此處為40H也就是從第64個字節開始了��。我們就直接來分析數據運行也只有這一個運行32 80 2D D5 58 17所以起始的LCN即邏輯簇號為1758D5H=1530069��,長度為2D80H=11648�。接下來我們轉到1530069簇看��,第一個字節右鍵選塊開始��,上面算出來這個文件的,如下圖:
大小為11648個簇�,也就是1530069+11648=1541717再轉到1541717簇��,所在的扇區的上一扇區也就是文件的結尾了。最后一個字節右鍵選塊結尾��。再在所選塊中右鍵編輯-復制扇區-到新文件即指點到路徑保存��。然后改擴展名為RAR��。
至此恢復完成。經檢查沒有一個損壞的�。
假如您恢復不成功��,或者資料不完整,可以將硬盤拿到我們華軍行數據恢復��,我們有更加專業的數據恢復工程師為您服務�!
沈陽數據恢復 
