這是我們這里的一同行轉到我這里來的一個數據，據客戶描述故障為：盤分了三個區在一次意外死機后重啟電腦后客戶繼續死機前的工作打開最后一個區（前兩個區是正常的）提示未格式化（其實大多數朋友知道這時的問題簡單得多也許重建DBR后整個盤里面的數據都在,這里暫且就不談這種問題的解決方法了），要命的是這時客戶鬼使神差地點擊了格式化了，結果大家當然就知道了，數據肯定是沒有了。據轉到我這里的那同行說他用各種搜索軟件對整個區搜了好幾遍（這也是大多數所謂專業的數據恢復商所用的恢復方法了），當然也搜到了很多數據，盡管很亂但還能正常打開。最后客戶確認搜出來數據大部份正常，但客戶最重要的的一個壓縮文件損壞了，（據客戶說那壓縮文件是他多年搞設計購買的素材庫的精華）。大家知道壓縮文件損壞了是很難很難修復的了。首先我用WINHEX把他搜出來的那個壓縮文件打開分析了下，文件頭亂了，中間的數據也不正常。無法修復，只好從原盤著手了。竟然搜索軟件搜出來的是損壞的，那就只有用手工來做了，當然用手工做這種格式化了的數據很費時，且計算量也很大，只能針對像這樣的個別特重要的數據。對原盤的那個格式化掉的分區做完鏡像后，用WINHEX打開鏡像，設置鏡像文件為磁盤。如下圖所示：IMUHU_J-SEri?nd5MFTISrt'isp$UFTUirT孔叩FPg^tfdlumb■!J.Ji2000)0和D2DD&1]7JD￡￡aH泗MTS20BMZ??型噸日劉誠20(111074?2Xa<liJfl!520[*1]70￡(BTU.623144540IMUHU_J-SEri?nd5MFTISrt'isp$UFTUirT孔叩FPg^tfdlumb■!J.Ji2000)0和D2DD&1]7JD￡￡aH泗MTS20BMZ??型噸日劉誠20(111074?2Xa<liJfl!520[*1]70￡(BTU.623144540kb如q削mm?0QMW520DM7W納囂ZtWtohr2QQM湖.ioowir.m.靈阿旳噸□StHiaOTiTIaooa扣佃2DD&flT.iO5SH352k@.2CW07A520&M7JO5..SHK70M..0EWBSOOBBTfl]..anDauTW.3-1Z4TDEI1￡QKB蒯聞刑$Hows賞idSytRM.aooftfliw..SH■-■SMaOTffl丹卻他2DDMT.W.SHKI7DB1..ISBirrop□Saud」SdadOua_]4S&wre?G3MTF百IU訃配Kid也玄團麗10nHnOffsetMGOB&30OflO.WG0UCOCO32CO&OOMIXNSWCODCOKifiliMMWtXIMBiJwcoDffiwae.MDimii.200M7AEZOKiXlfCE0昨申20CW5M20?4)7?520B&fl7?9H*nriT二博硼屮粗IB無耀陽置普i碼2&&i9?aa0已知fl生冃?.0WB聞t即字牛cjqqMMOiXiOllSWMWM012SKIOOO(WOM4&3GOD000160MOOOMOlTf.WM0CO0192oocooMoeos□JDOOftJ02210123EE53SO呃mo&oo&oOD0000COsoooocMF60D00WmsooowIFLI6S664653?5AA7&滋13軸山OO婪33Cd13OFoaCl2EKFT06114QQOS&CB関SI5468QTB&IS55161616兇9Ufi6&OJ5&7已4&酮20MFaflDMWOG80KiM00flOCO01OD<3000FA33COEEMCE8E1615E-q41BBFTClU1MM49甜城?50IF72OF00仙IE00031.6CF77EFB8DO435091?5闢70flEIE曲甜忸開IE06?&ULJ20FFz?J2F6M&6g或88(K誦應帖FSWOTIS92owloTtT6KKI5503cfl3B%迅olalwreoos-UFCETD圧必5E1kDBq$1121-_.-r-fl33I-atflT-5flu52$512§-uQo3Dfl血o3oooooo&E2-u&oo631ev--c-h-3TJ3791Don-2n-5]oJMc13"24H-E4VF_hz&■Ds_-.bTsLDF-uBF6oftcQE01DD-Z7Tu&TU&1Fr-od-ofl-5-dFEriAcE3i5_u!LiCID哺oil訕盟cflM8]E3E[E2sclo眄lz聲6AU(13eFo或Br必&TI2-^gc1csccF6Gft-11731c-MlE1分區是NTFS格式的，整個分區大小為25.4G。對NTFS分區格式研究過的朋友會知道，在NTFS文件系統中，文件亦是按簇進行分配的，文件通過主文件表MFT（MasterFileTable）來確定其在磁盤上的存儲位置、大小、屬性等信息。相當于FAT系統下的FAT+FDT的功能。每文件都有一個文件記錄。其中第一個記錄就是MFT自己本身。我們轉到第一個文件記錄也就是MFT了直接點可以看到如下圖所示：

硬盤1.分區2100%歸HTFSOffset123目56?9101213L41.5▼1塵0二jjz.03221225472鴨M)4C453000Q30091100000000000AA032iil2254880101Ou380001009S01000004Ouuo—3—Kt0322L22S5040GOO0000加0000000600000000加00—LI0322L22552002OO00000000000010000060000000—Drva0322L22553600W1800加000000脯00DO18000DOfl二H032212255524L葩揭EAA6D3C00LE4舫場DEca01LJLiTS可兀的葩胡器京回「0322L22556S韭陷EAA6DECS01醴E4A6匪DllC301-l!U786432032212255840&OO000000加00QD0000CD0000DO00jQ-,*SMFT就｝0322L2256000D曲0000000100000000000000加00A\0322L225616000000聞000000300000680000000h咽矽謂"片鐘區闡0322L22563200CMIS000000030G5A0000IS000100J卿H5區綢號.329111610322L22564805&0000000000500QEE.4A6HAk6DEC801Lji翅吊區淚馬6291456032212256644EEQ姑血A6DEC801犯E.4A6EADEC801Li二U已供用空冃呂EQMR0322L2256E04HEy鵡邛A6D5C801004000GG0000血00Li￡-W.15744Q宣苓0322122569600doCO0000000000060000曲000DDO00辛宰諄.25JGB032212257120d032400刖00460Q5400000000000000s制FT27s23fl.B9S.B00豐苜03221225728soM0000仙000Q譏004(?DO00000100H二25.5GB032212.2574400ao0000000000OF0000GO0000wg*^[x62-145b'5^1-12S通過第一個文件記錄往下觀察發現格式化了后對文件記錄沒有產生破壞。那么這時我們就可以有一個恢復的思路了：找客記所說的那個壓縮文件的在MFT中的記錄，再通過對文件記錄的分析來確定文件在磁盤中的位置及大小，就可以直接從中提出文件了。想到做到，據客戶告之，壓縮文件名為：源文件與素材。那好，我們可以新建一個文本記事本只輸入壓縮文件名戶告之，壓縮文件名為：源文件與素材。那好，我們可以新建一個文本記事本只輸入壓縮文件名源文件與素材！保存，再用WINHEX打開可以看到如下圖：然后再轉回來，直接從第一個文件記錄往下開始搜索十六進制數值906E8765F64E0E4E207D5067搜索到了一個地方停下來了，看看是不是那個壓縮文件的記錄呢看下圖：；Offset0123；Offset012345678910111213141503237054672B：324691A5DEC3010000D30200000000032370546360000000000OO00002000DO0000000000032370547040902906E8765F64E7E0031002E0052000323705472041005200720000003000000070OO0000032370547360000000000QO0200560000001800010003237054752DS00000Q00000500Bl324691A5DECG01032370F4753Bl824691A5DEC301Bl324691A5DECS0103237054784Bl&24691A5DEC3010000DS020000000003237054800000000000000Q00020000000000000000323Y0F4S160A01906E8765F64E0E4E207D50572E00032370548327200610072000000SO000000480000000323T05484801000000000001000000000000000000032370548&47F2D000000000000400000000000000003237GE4S800000DS0200000000A7FlD70200000000032370548%A7FlD7020000000032802DD55817000003237054912VVFFFF嚇3279軒11000000000000000003237054928000000000000oa0000000000000000000323705494^00000000000000000000000000000000偏移：32370bW5二二花-LJ花部二L」花部二LJ花SF-U'亡恿交件與羞料?r3rH二@-總二二禍二藝1441選塊；根據觀察可以看出正是客戶要的那個壓縮文件的記錄，那么我們又如何來確定這個壓縮文件在磁盤上的那一個扇區？占用了多少的扇區呢？這個就需要對NTFS格式有所了解了。NTFS將文件作為屬性、屬性值集合來處理，這一點與其他文件系統不一樣。可以看到在MFT中用了不同顏色的段來區分，B1B1OOH(znfl--yFA.7邛010100<Eoo11-uEooooooo-ooo^-ooooo9100缸轉側30003237054464C3237054^8U03237054^96032370545120323705^528032370545^'；D32370L?4560032370545760323705459203237054608032370E4624032370546^0Q323M54E氐332370!?4672032370b46Eb032370547040323705472003237054736fl3237054752033370517^03237DH73^t)323?0E>4S0U032370548160323705i332A323705484S訓朗35牴開032370HS303^23705^%s^a=1ooollooo0000-0000Mfww匿C3MB1B1OOH(znfl--yFA.7邛010100<Eoo11-uEooooooo-ooo^-ooooo9100缸轉側30003237054464C3237054^8U03237054^96032370545120323705^528032370545^'；D32370L?4560032370545760323705459203237054608032370E4624032370546^0Q323M54E氐332370!?4672032370b46Eb032370547040323705472003237054736fl3237054752033370517^03237DH73^t)323?0E>4S0U032370548160323705i332A323705484S訓朗35牴開032370HS303^23705^%s^a=1ooollooo0000-0000Mfww匿C3M淌⑶悴翳罰幣的阿肋蛇脯壷刊IraFfitMolMwM腫00III-oOEEOloo-o-SEOSOOO-EEXUoddooooodd-o6oooddooo5&G9ooo55o72Gft-55.GoAAon-DonAoBT-uflAAD00130000-9900Mw釀"MM0020000002202OOS8OOOOO8BOO-uo11ooo9oww牡非⑻00220oo8n-uo89IQ1112131415翱180903UO000000CB01LiC0000肚0000OiOODOOO&23C0000刖it他GE屈DE閉0]Bl32463]塚UECEi01OliOOOO00M000000MOOOOOGM00000011ooOoQooOHooa-QO2ccoD--DDECJE怖屈DCM匹11200990006-6-soL44Do3ni2ooo88000B1B1IK2C7E0001龍'It-9;麗DE朋Q]O0四029QOQDOQQOOOOOD0000oduO目E207D站S72&&7Dfl-D2O1Oo-FE0-00ooD0-0000-00070-01wQfl關025oQD二甲H:我部二L.sM-LI

毬直二Id花誌二Ljt>二花F-LitttF2L花5f-L|utF2Li-Tif文件-TRARIopzvz-二二花P-L|往誹：L』花5f-L|tttF1U-C耳立骨與幸材tarH:@如上圖所標記的，第一個為文件記錄頭，第二個10H表示標準屬性，第三個30H表示文件名屬性，最后一個80H表示數據流屬性也就是關鍵所在了。這里我們只分析數據流屬性，其它屬性就不一一分析了，可以查看相關資料。每一個屬性都為兩部份：屬性頭和內容。先來分析數據流屬性的屬性頭：從第1第4四個字節表示屬性的類型，第5第8四個字節這里的值是48000000表示屬性的長度（包括屬性頭和內容）為72個字節。從17到24共8個字節表示起始的VCN即虛擬簇號，第25到32共8個字節表示結束的VCN此處為2D7FH也就是這個壓縮文件占用了11648個簇。再往下分析從33到40共8個字節表示數據運行的偏移。此處為40H也就是從第64個字節開始了。我們就直接來分析數據運行也只有這一個運行32802DD55817所以起始的LCN即邏輯簇號為1758D5H=1530069,長度為2D80H=11648。接下來我們轉到1530069簇看Offset01235&7891006267152624盟6172211A0700CF9073QQ0626716264000M0000532E7dCOE2dS00Q6Z6716265S450100020BPFTB40Bl7335062571&2&7220帥0000D5D5C&AC5C315C06267162￡S32E6A7067DO71606747725CQ&2GT1&27QN3161祀2E6A00706TISID06257162720的CDDE371392磔9127中SE06267162736的23749B酮D21600514906267162Y52D22510開脂93E804飼91230626716276E1E6聊2F5D2E3AOF5377DFF70626Y162784疥961B99ET50DD5D5DD36606267162300AA陋6AAEAA極ALE3DTAE旳0^2671622160E34FCOFC4CPFETBOFSI2E06267162B3247酣CO6690603B09D2OBC206267162348弱513ft05D?30EB別53IS06267162E64F1DB0262PESOCO00S803E&0626716238052dE514E.00陽40OS0500.FF06267162S9G29庖EQ9ft需32隠A26603S90626716291211FB03E6EEC2SO227C3CDB0&Z6Tlf>2928A19E4?ES60303275BC60020626716294^瑪制0163旳23E2IFBA9C1406267162960茁37OLFB68&F7CA3IFD?9A0$S6T162ST$5AB?41&€IB鐘E43015AS0￡2671G29$26EFAABB3犯盟272S2S軒0626716300867軒DF9SFidF876104C2810626716302^34E4嚇EC13&081OE10Ct9006267163040F4BS878