简易数据恢复
- 数据恢复
- 数据恢复原理
- FAT文件系统
- NTFS文件系统
- 在NTFS文件系统中的原理分析
- 对于文件删除有一段时间时:
- 基于软件的文件恢复
- 总结
数据恢复
数据恢复是一个很大的概念,包括文件恢复,分区恢复,分区格式化恢复,等等。我今天主要就讲一讲文件恢复。相信大家在日常生活中会遇到过误删了一些文件吧,比如可能明天要交的实验报告或者是一些珍贵的照片被删除了;然后后面又想找回来,那怎么办呢? 下面要用到的工具有winhex磁盘查看器。
数据恢复原理
其实在计算机中文件都是存储以01存储,然而在不同的操作系统文件的存储方式也会不一样。现在主流的有FAT和NTFS这两个文件系统。在这里我就针对FAT和NTFS文件系统来讲一讲文件被删除后的状态。
FAT文件系统
FAT在硬盘中数据结构大概分为五个区:
- MBR区:由分区软件创建
- DBR区:操作系统的引导记录,就是各个分区自己的引导记录
- FAT区:文件分配表,用于记录文件在磁盘中的所在位置
- FDT区:文件目录表,就相当于我们平时看到的文件那种结构
- DATA区:这就是存储数据的地方,是文件的原始状态。
在了解了文件系统之后,我们就知道了,其实文件删除就只是把FAT表和FDT表进行了一些修改,然后文件系统就会认为在这个位置是空白的,就不会认为这里还存有数据。但是位于DATA区的数据还是存在,只是文件系统不能够识别出来。
所以这就是文件恢复的前提。其实数据并不会被删除,只能被覆盖,当后面再有数据存进来以后,系统就会寻找记录为空的地方存放数据,如果数据被覆盖了,那么就不能够恢复了,所以当我们发现有东西误删之后就不要在做过多的文件存储操作了。
NTFS文件系统
NTFS和FAT32有很大区别,但是它们的结构是有共通之处的。NTFS大概的结构由 B o o t 和 Boot和 Boot和MFT还有 B o o t 备 份 组 成 。 Boot备份组成。 Boot备份组成。Boot包含了引导扇区。 M F T 是 主 文 件 表 , 是 N T F S 结 构 的 核 心 。 最 后 的 一 个 扇 区 是 MFT是主文件表,是NTFS结构的核心。最后的一个扇区是 MFT是主文件表,是NTFS结构的核心。最后的一个扇区是Boot引导扇区的备份,其实它不是不分区内的结构,是属于分区外的一个扇区备份,它的大小不算入分区大小,从FAT32文件系统转换成NTFS是没有后面的$Boot扇区备份的。在NTFS文件系统结构的最关键的概念:一切东西都是文件。所以其他的元文件都是文件,不作为特殊的结构列出。
我们来看看文件删除前后的磁盘数据的变化:
删除前:
删除后:
通过上图发现,文件删除之后改变的就只有$MFT的一些标识改变了。所以在这两个文件系统中,文件被删除之后,数据区都不会被删除。
在NTFS文件系统中的原理分析
在这里我们要用到一个软件winhex,这是一个文件编辑和磁盘编辑器,通过这个软件我们可以看到原始数据。我们从上面知道,文件的删除是不会删除原始数据,所以想要恢复文件就是应该要找到所需要的文件的数据。这样我们再通过winhex就能够进行数据恢复了。
####文件刚刚被删除的情况
在NTFS文件系统中,我们可以通过winhex打开被删除文件的所在磁盘,然后如果文件才被删除的话,我们可以在目录中看到文件,就可以直接点击恢复。如下图:
对于文件删除有一段时间时:
在这种情况中,我们会发现在目录下看不到所删除的文件了,这时候就要进入$MFT这个文件中寻找被删除文件的数据所在位置。
-
先进入$MFT文件中搜索被删除的文件名,然后就会跳转到文件的信息处,以FLIE为标志,然后再往后面找到80标志还有一个属性就是距80偏移8字节处的属性为01还是00,如果是00,那么文件的数据就在现在这个位置如
还有如果属性是01,那么说明文件在其他位置,就要根据后面的信息找到位置在哪里:
”31”中的“1”说明后面的第一个字节“0A”代表的是文件的是这个数据段的长度,为”0x000A”簇,“3”说明,从第三个字节开始的3个字节“99 44 01”代表数据起始簇号,即“0x994401”。这样我们就得到了文件的第一段长度。转化为十进制为10044417。然后上面一排03 92 00 所包含的信息为文件的大小,大小为9203换成十进制是37379。然后进行下面的操作:1.跳转到扇区位置,找到文件的起始位置。
根据文件大小再进行跳转,找到文件的末尾位置。
这样我们就找到文件的完整数据了。
- 在找到完整数据之后我们进行的就是选取数据并保存了。
- 这样简单的数据恢复就完成了。
基于软件的文件恢复
对于文件放入回收站之后,回收站也被清空了,我们应该如何简单有效的把文件找回呢?当然是用现有的软件 进行找回文件。我找了很多可以恢复文件的软件,但是都不能进行文件恢复,因为都需要买一个账号,如果不是特别重要的文件,或者比较严重的问题,不值得去买一个账号。对于免费的软件呢,国内的有腾讯和360的文件恢复软件然后还有recuva。
下面就针对recuva进行讲解
- 首先在网上下载并安装recuva
- 然后界面,点击cancel
- 然后来到了这个主界面
- 然后找到误删文件的所在分区然后点击scan
- 最后找到想要恢复的文件点击恢复就可以了(然后后面选择保存位置时不要保存到之前那个分区了,不然可能文件恢复不好)
总结
数据能够被恢复的基础就是,文件被删除后,只是把自己隐藏起来了,但是并没有把数据清空。然后自己动手去实现数据恢复,最初就是要明白文件系统的原理,然后用winhex这个软件想办法找到文件数据所处的位置,就能够实现数据恢复了。但是这样来做是很麻烦的,还不如直接用软件,进行几个简单的操作就完成了。但是,自己动手从底层去实现是一个很有趣的事情。
