恢复已删除文件是一个非常常见的任务。那么,如何操作硬盘并恢复已删除的文件呢?让我们在本文中讨论这个问题。
文件删除后,驱动器修改了文件系统的元数据,但并未直接影响文件体。这些文件仍然位于驱动器上,但(!) 文件系统认为这些块是空的,可以写入,并且文件系统可能会用新的用户数据覆盖这些块。
客户越快将驱动器带到数据恢复实验室,恢复已删除文件的可能性就越大。
方法一:搜索和分析文件系统元数据。
此解决方案基于已删除文件的可用文件系统元数据,因此我们可以找到这些值。
看一下这个NTFS文件系统分区的图像。这里我们有几个文件夹,然后我们删除了其中一个。
删除前:
删除后:
如您所知,NTFS中的每个文件都有一个"MFT记录"。它包含文件名、创建日期、修改日期等。文件系统使用这些值来识别文件。所有此类记录都具有相同的大小(通常为1024字节),并保存在驱动器的特殊区域——MFT表(主文件表)中。该区域是预留分配的,因此该区域内部可能存在未使用的扇区。
因此,删除"Pics"文件夹后,我们有以下情况:
-
"Pics"文件夹的链接已被删除;
-
"Pics"文件夹的记录以及该文件夹内每个文件的记录在MFT表中被标记为空闲;
-
曾用于这些文件的空间被标记为空闲,可用于新的用户数据。
(这不是完整的更改列表,但就本文而言已经足够)
因此,文件及其MFT记录仍然在驱动器上,但这些文件及其MFT记录所占用的空间被标记为空闲,可供新文件使用。
如果我们直接打开分区,我们将无法看到此文件夹和已删除的文件,但如果我们扫描MFT记录,我们可以将此文件夹及其内部文件恢复到原始分区中。
此过程可以在Data Extractor中通过"扫描MFT"选项执行。别忘了勾选"显示已删除文件"选项。
«扫描MFT»选项——并非NTFS文件系统唯一的逻辑扫描方式:
-
«扫描MFT»和«扫描MFT+INDX»方法——读取驱动器的非常小的部分,因此此过程只需花费很少时间。但如果文件系统损坏不严重,这两种方法都能带来良好的结果。
-
«分区分析»和«搜索NTFS结构»方法——对于复杂情况(例如整个分区损坏)有效。它们读取整个分区并需要大量时间进行扫描,但能带来最优质和最完整的结果。
在我们的示例中,这些选项中的每一个都能带来同样良好的结果,文件将被恢复。
方法二:当找不到已删除文件的元数据时。
Data Extractor为每个文件系统提供了逻辑扫描选项。例如,对于XFS,可以使用«分区数据分析»选项。但在我们的示例中,它不会带来结果,因为XFS文件系统在文件删除后会清除元数据记录。
NTFS分区上也可能出现同样的情况,如果在删除后用户继续工作。已删除文件的记录可能会被新数据覆盖。对于这种情况,可以使用RAW恢复方法,但我们可以通过以下方法尝试加速过程:
创建未使用空间的映射,然后在此映射上启动RAW恢复过程。
此过程可以节省大量时间,并且还能获得良好的扫描结果。
有些情况需要同时应用这两种方法进行恢复,我们的技术支持部门随时准备为您提供帮助。