de NTFS Para la recuperación de datos, aunque todos los datos se ejecutan después de que se pueda eliminar el archivo en la MFT residual, cuanto menor sea el número de datos, menos fragmentados o fragmentados. Cuanto menos probable sea que se sobrescriba un archivo, mayor será la probabilidad de recuperación de datos. El siguiente es el proceso de recuperación manual de archivos del volumen NTFS por error. 1. El archivo que se restaurará Cuando se elimina un archivo en el volumen NTFS, no se ha eliminado su MFT. Como se describe anteriormente, este es un ejemplo de restauración de un archivo eliminado en un volumen NTFS, asumiendo que se encuentra en el disco D del volumen NTFS del usuario. Hay un directorio llamado foto, que tiene un archivo llamado "penquan.jpg", como se muestra en la Figura 5-1. Supongamos que el usuario borra accidentalmente este archivo. Figura 5-1 Archivos que se eliminarán en el volumen NTFS 2. Ubique la MFT donde desea restaurar el archivo. Primero abra el disco lógico donde se encuentra WinHex, como se muestra en la Figura 5-2. Figura 5-2 Selección de una partición de disco Abra la partición del disco y busque la MFT de la partición, como se muestra en la Figura 5-3. Figura 5-3 Vaya al comienzo de la MFT 3. Recupere los datos Después de encontrar el $ MFT de la partición, busque la MFT del archivo por el nombre del archivo, como se muestra en la Figura 5-4. Figura 5-4 Encuentre el resultado de la MFT del archivo como se muestra en la Figura 5-5. Figura 5-5 MFT del archivo eliminado
Primero observe el encabezado de la MFT. El desplazamiento 15.16H es 0 para indicar que el archivo se ha eliminado. El sistema determina si se sobrescribirá este archivo al crear un nuevo archivo. Crea tu propia MFT con MFT. El atributo 10H no se analiza, a menos que todos los atributos de tiempo del archivo que desea restaurar sean los mismos que antes, el usuario generalmente no es tan alto, por lo que no se analiza omitir el atributo 10H. El atributo 30H no se analiza aquí. La clave es analizar el atributo 80H, es decir, el atributo de datos. En todas las descripciones del atributo, hay dos información más útil para recuperar los datos. Una es que el atributo de 8 bytes a partir del desplazamiento 00C12DD160H es el tamaño real del archivo 506E. La unidad es byte. Otro lugar es la descripción de la posición de la ejecución de datos a partir del desplazamiento 00C12DD170H, aquí está el número hexadecimal 41H 06H 83H 0BH 90H 00H. Donde 41H define el número de agrupaciones seguidas por 1 byte que indica los datos que se ejecutan en el archivo y 4 bytes que indican el número de agrupación lógica inicial de los datos ejecutados. Aquí, define que la operación ocupa 06 agrupaciones. , su número de cluster lógico inicial es 900B83H. Saber el número inicial del clúster y el tamaño real de la ejecución de los datos, e incluso conocer el número de clústeres que se ejecutan, es fácil recuperar los datos del archivo. Seleccione "Ubicación" en WinHex |
El comando "Convertir a sector", abre el cuadro de diálogo, ingresa 9440131 (número decimal convertido 900B83H) en el cuadro de texto "Grupo", y luego haz clic en Aceptar, puedes encontrar la posición inicial de los datos, donde FFH DBH es .jpg El logo del encabezado del archivo para la foto. Haga clic derecho en el inicio de los datos encontrados y seleccione el comando "Seleccionar inicio de bloque". Como se muestra en la Figura 5-6.
Figura 5-6 La posición inicial del archivo