自己动手完成数据恢复

数据恢复

   数据恢复是一个很大的概念，包括文件恢复，分区恢复，分区格式化恢复，等等。我今天主要就讲一讲文件恢复。相信大家在日常生活中会遇到过误删了一些文件吧，比如可能明天要交的实验报告或者是一些珍贵的照片被删除了；然后后面又想找回来，那怎么办呢? 下面要用到的工具有winhex磁盘查看器。

---

---

数据恢复原理

  其实在计算机中文件都是存储以01存储，然而在不同的操作系统文件的存储方式也会不一样。现在主流的有FAT和NTFS这两个文件系统。在这里我就针对FAT和NTFS文件系统来讲一讲文件被删除后的状态。

---

FAT文件系统

  FAT在硬盘中数据结构大概分为五个区：

• MBR区：由分区软件创建
• DBR区：操作系统的引导记录，就是各个分区自己的引导记录
• FAT区：文件分配表，用于记录文件在磁盘中的所在位置
• FDT区：文件目录表，就相当于我们平时看到的文件那种结构
• DATA区：这就是存储数据的地方，是文件的原始状态。

  在了解了文件系统之后，我们就知道了，其实文件删除就只是把FAT表和FDT表进行了一些修改，然后文件系统就会认为在这个位置是空白的，就不会认为这里还存有数据。但是位于DATA区的数据还是存在，只是文件系统不能够识别出来。
所以这就是文件恢复的前提。其实数据并不会被删除，只能被覆盖，当后面再有数据存进来以后，系统就会寻找记录为空的地方存放数据，如果数据被覆盖了，那么就不能够恢复了，所以当我们发现有东西误删之后就不要在做过多的文件存储操作了。

---

NTFS文件系统

  NTFS和FAT32有很大区别，但是它们的结构是有共通之处的。NTFS大概的结构由$Boot和$MFT还有$Boot备份组成。$Boot包含了引导扇区。$MFT是主文件表，是NTFS结构的核心。最后的一个扇区是$Boot引导扇区的备份，其实它不是不分区内的结构，是属于分区外的一个扇区备份，它的大小不算入分区大小，从FAT32文件系统转换成NTFS是没有后面的$Boot扇区备份的。在NTFS文件系统结构的最关键的概念：一切东西都是文件。所以其他的元文件都是文件，不作为特殊的结构列出。

我们来看看文件删除前后的磁盘数据的变化:

删除前：

删除后：

  通过上图发现，文件删除之后改变的就只有$MFT的一些标识改变了。所以在这两个文件系统中，文件被删除之后，数据区都不会被删除。

在NTFS文件系统中的原理分析

  在这里我们要用到一个软件winhex，这是一个文件编辑和磁盘编辑器，通过这个软件我们可以看到原始数据。我们从上面知道，文件的删除是不会删除原始数据，所以想要恢复文件就是应该要找到所需要的文件的数据。这样我们再通过winhex就能够进行数据恢复了。

####文件刚刚被删除的情况

  在NTFS文件系统中，我们可以通过winhex打开被删除文件的所在磁盘，然后如果文件才被删除的话，我们可以在目录中看到文件，就可以直接点击恢复。如下图：

对于文件删除有一段时间时：

  在这种情况中，我们会发现在目录下看不到所删除的文件了，这时候就要进入$MFT这个文件中寻找被删除文件的数据所在位置。

• 先进入$MFT文件中搜索被删除的文件名，然后就会跳转到文件的信息处，以FLIE为标志，然后再往后面找到80标志还有一个属性就是距80偏移8字节处的属性为01还是00，如果是00，那么文件的数据就在现在这个位置如还有如果属性是01，那么说明文件在其他位置，就要根据后面的信息找到位置在哪里：
  
  ”31”中的“1”说明后面的第一个字节“0A”代表的是文件的是这个数据段的长度，为”0x000A”簇，“3”说明，从第三个字节开始的3个字节“99 44 01”代表数据起始簇号，即“0x994401”。这样我们就得到了文件的第一段长度。转化为十进制为10044417。然后上面一排03 92 00 所包含的信息为文件的大小，大小为9203换成十进制是37379。然后进行下面的操作：

  1.跳转到扇区位置，找到文件的起始位置。

根据文件大小再进行跳转，找到文件的末尾位置。这样我们就找到文件的完整数据了。

• 在找到完整数据之后我们进行的就是选取数据并保存了。
• 这样简单的数据恢复就完成了。

---

---

基于软件的文件恢复

  对于文件放入回收站之后，回收站也被清空了，我们应该如何简单有效的把文件找回呢？当然是用现有的软件 进行找回文件。我找了很多可以恢复文件的软件，但是都不能进行文件恢复，因为都需要买一个账号，如果不是特别重要的文件，或者比较严重的问题，不值得去买一个账号。对于免费的软件呢，国内的有腾讯和360的文件恢复软件然后还有recuva。

下面就针对recuva进行讲解

• 首先在网上下载并安装recuva
• 然后界面，点击cancel
• 然后来到了这个主界面
• 然后找到误删文件的所在分区然后点击scan
• 最后找到想要恢复的文件点击恢复就可以了（然后后面选择保存位置时不要保存到之前那个分区了，不然可能文件恢复不好）

总结

  数据能够被恢复的基础就是，文件被删除后，只是把自己隐藏起来了，但是并没有把数据清空。然后自己动手去实现数据恢复，最初就是要明白文件系统的原理，然后用winhex这个软件想办法找到文件数据所处的位置，就能够实现数据恢复了。但是这样来做是很麻烦的，还不如直接用软件，进行几个简单的操作就完成了。但是，自己动手从底层去实现是一个很有趣的事情。