文件恢复原理.docVIP

对于数据恢复来说，虽然文件删除后所有的数据运行都能够在残留的MFT中找到，但是数据运行的个数 越少即文件碎片越少或者没有碎片，文件被覆盖的可能性就越小，数据恢复的概率也就越高。以下是手工 恢复NTFS卷中误删除文件的过程。 1.需要恢复的文件 NTFS卷中一个文件被删除时，其MFT并没有被删除，前面已经介绍过，这里以恢复一个NTFS卷中一删除 的文件为例，假设在用户的NTFS卷D盘中有一个名为photo的目录，该目录下有一个名为“penquan.jpg” 的文件，如图5-1所示。假设用户不小心将此文件删除。 图5-1 NTFS卷中将被删除的文件 2.找到要恢复文件的MFT 首先通过WinHex选择文件所在的逻辑磁盘将其打开，如图5-2所示。 图5-2 选择磁盘分区 打开磁盘的分区后找到该分区的MFT，如图5-3所示。 图5-3 转到MFT的起始位置 3.恢复数据 找到分区的$MFT后，通过文件名查找文件的MFT，如图5-4所示。 图5-4 查找文件的MFT 查找到的结果如图5-5所示。 图5-5 已删除文件的MFT 先来看看MFT头，偏移15.16H为0表示该文件已经被删除了，系统根据这个标志来决定建立新文件时是 否能够覆盖这个MFT而创建自己的MFT。10H属性就不分析了，除非希望恢复的文件所有的时间属性和以前 一样，用户对此要求一般没有那么高，所以跳过10H