浅谈Windows NTFS下的数据恢复

大容量NTFS分区格式化为NTFS后快捷数据恢复案例大家好，我是abian,如果你看过我之前写的“U盘FAT系统手工恢复二进制文档碎片经典案例分析”，那么现在我们又见面了，呵呵，这次带给大家的是NTFS分区（大于200G）在格式化为NTFS后的快速手工恢复方法，在看这之前，你要有相应的NTFS文件系统的一些知识，比如至少要知道什么是MFT及MFT的重要DATARUN参数。

这次拿我的盘来给大家做小白呀,哈哈.首先大家请看我的原盘数据完好,属性如下图: 文件数量如下:原来的MFT大小如下:现在把这个分区快速格式化为NTFS:格式化后数据全没有了:此时要恢复数据一般就是用软件扫描,在没有覆盖的情况数据基本上是能恢复的,但是扫描所需要的时间一般都会在1个钟以上,拷贝数据又要一个钟左右,如何能快速的在原盘上搞好数据呢?接下来就跟大家分享下一个快速恢复此类故障的一个思路.首先,WINHEX打开分区,可以看到,MFT大小为256K,只有512个扇区,再跳到DBR 看下MFT的开始簇数如图:可以看到,开始簇数为:00000C00/H,对DBR有所了解的朋友都知道,DBR的偏移位置一般都是这个,那我们假设以前的DBR如果也是这个位置的话,那么格式化后对于MFT来说只是改了他的前面512 SEC,现在我们就来验证这个猜想,跳到MFT的相对512 SEC,看接下来的扇区是否还是MFT记录,我们查看6291456+512=6291968号扇区,可以看到,在MFT结束位置过后还存在MFT记录号为256的MFT项,我们再在这个扇区往上跳两个扇区,可以看到:如上图,上一个MFT记录号为255号,再跳到6291970扇区,可以看到MFT记录号为257,从以上三个连续的MFT号可以判断,原来MFT开始的簇位也是00000C00/H号簇,因此在格式化后MFT项只改了前面的512个扇区,后面的MFT记录项都是完好的,OK,现在我们再来看MFT项的第0号记录项,即记录MFT文件本身的MFT项作了什么改变.可以看到MFT 0号记录项的80属性如下:从80属性可以看到,文件的虚拟簇号为从0到0000003F/H=(63,一共64个簇,(一个簇有8个扇区大小为00040000/H=262144(字节/512=512(扇区,从DATARUN信息可知:第一个簇开始于簇号为00000C/H,一共有40/H=64个簇.OK,有了以上信息,通过对比以前的MFT 0号记录项的80属性,以前的MFT有12M,而现在只变为256K,我们不难发现, MFT 0号记录项记录着MFT文件本身的一个大小及开始簇位,也就是说,原来有数据的MFT项包含了所有MFT记录项在里面,而我们格式化后的MFT只包含了系统元文件(指MFT , BOOT, LOGFILE , BITMAP等及$RECYCLE.BIN, System Volume Information文件夹及其里面文件的记录项,因此,我们大胆猜想,如果以把原来的MFT 0号记录项还原回去,是不是文件就可以恢复了呢?NOW,LET’S DO IT!对80属性有了解的朋友知道,MFT项最重要的就是它了,而且对于MFT元文件本身来讲,只要找到MFT文件夹的一个起始簇号,文件是否有连续,文件长度就可以把MFT项的80属性还原了.通过以上判断,我们已经可以确定,原来的MFT项跟现在的MFT项起始簇号是一样的,那么如确定文件是否连续的及它的大小呢?我们从MFT的开始扇区6291456扇区开始,在事先不知道MFT大小的情况下,我们可以根据经验大概判断下,先搜索MFT项的最后一个记录,300G左右的分区一般MFT项不会超过100M(当然对于一般用户来说,对于那些作小文件如HTML服务器的硬盘分区就另当别论了,好,我们就跳到6291456+200 000(大概100M=6491456 SEC,可以看到,在这个位置已经不再是MFT项了,那么我们往上搜索MFT文件头,这个不用我教了吧,向上搜索FILE0的HEX值,找到第一个就停下来很快,就找到下面这个扇区这个就是MFT的最后一个记录项吗,不急,再来慢慢分析往上再搜索往上两个扇区是相邻的MFT记录项,再往上找都是连续的MFT记录号,隔一段再找,发现MFT项都是连续的,很好,到此可以总结这个位置的MFT项是连续的,那么它还有没有碎片呢,我们再从6491456 SEC开始往下搜索MFT项,一直往下搜索到超过八分之一都没有再发现MFT记录项的影子了那就不再找了,因为系统开始为MFT分配的空间最多只占分区的八分之一,何况我的分区数据还不满,那么现在确认了MFT项的结束扇区为6316031 SEC,开始扇区为6291456 SEC,那么MFT所占的簇数为6316031-6291456=(24575/8= 3071(FF0B/H 簇,虚拟簇号为0-3070(FE0B/H,文件大小为3071*8*512=12578816(00F0BF00/H,OK,现在把这些补到MFT的80属性去吧补完如下:改完保存,准备收工!卸载磁盘并再次加载,然后再用WINHEX打开分区并重新加载目录OK,文件都出来了!再验证下文件能否正常打开OK,文件能正常打开,再打开资源管理器,分区文件还是为空,这是因为只有MFT项改好了,但是其他系统元文件如BITMAP, LOGFILE等是有问题的,这种情况下除了直接用WINHEX直接COPY数据出来外,别一种比较好的方法就是用CHKDSK命令来修复原盘.具体做法如下:先用”CHKDSK M:”命令检查,结果如下再用”CHKDSK M:/F”命令来修复CHKDSK完成,修复分区错误,现在来打开分区看看! OK,数据在资源管理中重现!数据容量不变,OK!收工!Abian原创,尊重作者劳动成果,转载请注明出处!。

NTFS被快速格式化成NTFS后数据恢复的研究陈培德;王丽清;吴建平【摘要】快速格式化是高级格式化中的一种特殊形式.逻辑盘被快速格式化后数据能否恢复取决于快速格式化操作对原来文件系统中所存储数据的破坏程度.以Windows 7为平台,WinHex 15.08为分析工具,对NTFS文件系统结构进行分析,将逻辑盘由NTFS文件系统快速格式化成NTFS文件系统,通过快速格式化后与快速格式化前对元文件$MFT变化的对比,提出了恢复快速格式化前NTFS文件系统数据的基本思路、方法与步骤.实验结果表明,将逻辑盘由NTFS文件系统快速格式化成NTFS文件系统后,只要恢复格式化前的元文件$MFT的80H属性值,通过CHKDSK命令,便可以恢复被快速格式化破坏的NTFS文件系统结构,除部分数据被覆盖无法恢复外,其他未覆盖的数据均可全部恢复.【期刊名称】《计算机技术与发展》【年(卷),期】2018(028)008【总页数】5页(P191-195)【关键词】格式化;FAT32文件系统;NTFS文件系统;数据恢复【作者】陈培德;王丽清;吴建平【作者单位】云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223;云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223;云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223【正文语种】中文【中图分类】TP311.120 引言格式化是指对磁盘或磁盘中的分区进行初始化的一种操作，这种操作通常会导致现有的磁盘或分区中所有的文件被清除。

格式化通常分为低级格式化和高级格式化[1]。

如果没有特别指明，对硬盘的格式化通常是指高级格式化。

外存储器在生产出来后，一般要经过低级格式化、分区和高级格式操作后，才能用来存储数据[1]。

低级格式化针对的是整个硬盘，一般由外存储器生产厂商来完成；而对外存储器的分区和高级格式化一般由销售商或者用户来完成，高级格式化针对的是某个分区。

NTFS文件系统中用WinHex手动恢复文件的研究作者：史春水刘思磊来源：《电脑知识与技术》2020年第09期摘要：通过数据恢复软件扫描出来的文件的文件名很多都已经改变，现在的硬盘已经容量很大，通常用户在硬盘里存的文件也非常多，再通过这种扫描的方法恢复丢失文档必然造成再次寻找文件的麻烦，通过手动恢复某个具体的文件就变得有价值。

关键词：计算机;数据;恢复中图分类号：TP311 文献标识码：A文章编号：1009-3044（2020）09-0036-03现今数据恢复的软件较多，大多数数据恢复软件可以扫描出丢失的文件，不过多数扫描出来的文件的文件名都已经改变如下图1所示，如果硬盘里的文件数目比较少这种文件名改变的情况引起的问题还不大但是现在的硬盘已经容量很大，通常用户在硬盘里存的文件也非常多，再通过这种扫描的方法恢复丢失文档必然造成再次寻找文件的麻烦，通过手动恢复某个具体的文件就变得有价值。

下面我们探讨一下针对个别文件进行恢复的方法。

当用户把硬盘分区格式化为NTFS文件系统就建立了一个NTFS的结构，将整个磁盘分区上的任何一件事物都看作一个文件，而文件的相关事物又看作一个属性。

“Master File Table”（MFT主文件表）就是NTFS文件系统中一个特殊的文件，它详细地记录了各个文件的属性。

每个文件记录在主文件表中占据的磁盘空间一般为两个扇区，大小1KB，因为MFT的重要性在NTFS文件系统的原文件中还有MFT的备份“MFTMirr”，不过MFTMirr只备份了MFT 的前8个扇区。

文件放人回收站不小心清空了，按Shift+Del键永久删除之后又想找回这个文档，格式化，重装系统等通常是导致文件丢失的几种常见方式。

下面我们来分别看看清空回收站、按Shift+Del键永久删除文件丢失后对$MFT文件的分析。

1 清空回收站我们在VHDI硬盘的NTFS分区内放人一个文件名为“大家好”的word文档，我们先用winhex打开这个盘然后找到$MFT元文件，然后我们新建一个txt文本文件在里面输入大家好另存为的时候选择Unicode如图2所示，这样我们就可以知道文件名在$MFT中的30H属性中的编码如图3所示。

电脑重装系统后被格式化了怎么恢复之前的数据？
电脑重装系统就是将C盘格式化之后再写写入大量的系统数据，这一过程可能会对原始数据造成了一定程度的破坏，导致桌面文件丢失。

我们可以先使用Windows自修复功能，但通常桌面文件会被覆盖掉了，这样的话能够恢复文件的可能性也很小。

此时，我们可以使用第三方数据恢复软件进行恢复。

常见的电脑系统重装后数据损失有以下几种情况：
1、用户误操作电脑，或者是电脑遭到病毒、木马程序的破坏、系统文件严重破坏甚至导致电脑崩溃无法启动，遇到这种情况就不得不重新安装系统。

2.对电脑的运行状态要求较高者，为了保持系统在最优质的状态下工作，会对系统进行优化，而进行系统重装。

以下是重装系统后数据不见了恢复回来的方法：
一：在电脑上安装超级兔子数据恢复软件。

二：打开数据恢复软件后可以看到主界面上有六个模式常见可以选择，这时候可以选择其中的误格式化分区，然后点击开始扫描。

三：待扫描结束，可以全选其中的数据导出到电脑保存即可，如果仍然找不到对应的数据，那么可以使用深度恢复模式再次扫描。

电脑硬盘数据恢复技术解决误删除和格式化的方法电子科技的发展，使得人们的日常生活离不开电脑。

然而，经常会有这样的情况发生：我们误删除了重要的文件，或者不小心格式化了硬盘。

这时候，我们就会感到万分沮丧，因为我们担心我们的数据永远消失了。

如何解决这个问题，恢复误删除和格式化的数据呢？今天，我将为大家介绍一些电脑硬盘数据恢复的技术和方法。

技术一：硬盘扇区读取技术硬盘扇区读取技术是一种非常常见和基本的数据恢复技术。

当我们误删除或者格式化硬盘后，文件并没有真正从硬盘中消失，而是变为了无法被操作系统识别的状态。

因此，我们可以通过特殊的硬盘读取工具，读取硬盘中的扇区数据，并进行解码和还原，从而恢复误删除和格式化的数据。

技术二：数据恢复软件的使用除了硬盘扇区读取技术，我们还可以借助数据恢复软件来解决误删除和格式化的问题。

目前市面上有很多可靠的数据恢复软件，例如国内知名的360数据恢复大师和国外知名的EaseUS Data Recovery Wizard。

这些软件具有强大的数据恢复功能，可以帮助我们找回误删除和格式化的文件。

使用这些软件非常简单，只需要安装软件，选择需要恢复的硬盘分区，点击恢复按钮，软件会自动扫描并显示需要恢复的文件，我们只需要选择需要恢复的文件，点击恢复按钮即可。

技术三：专业的数据恢复服务如果以上的方法都无法恢复数据，或者我们对自己的操作技术不够自信，那么我们可以寻求专业的数据恢复服务。

专业的数据恢复服务机构拥有先进的数据恢复设备和技术，可以解决各种复杂的数据丢失问题。

当我们遇到严重的硬盘问题，例如磁盘物理损坏、硬盘不转等等，专业的数据恢复服务就显得尤为重要。

总结起来，当我们遇到误删除和格式化数据的情况时，不要慌张和着急，因为我们有多种方法来解决这个问题。

我们可以尝试硬盘扇区读取技术，使用数据恢复软件，或者寻求专业的数据恢复服务。

不过，在我们进行救援操作之前，一定要注意，我们要尽快停止对硬盘的使用，以免覆盖原有数据，从而导致无法恢复。

出现的情况：电脑开机运行故障，提示ntfs.sys丢失或损坏。

解决的几个办法：使用Windows的“故障恢复控制台”来挽救系统。

那么怎样才能启动故障恢复控制台？方法有两种，一是从安装光盘启动，二是从硬盘启动。

具体步骤如下：第一种：请插入一张Windows 2000或Windows XP的安装光盘，并且在BIOS中设置为优先从CD-ROM启动，启动电脑以后，系统会自动进入Windows 2000/XP安装界面选项，按下“R”键选择第二项“要使用故障控制台修复Windows XP安装，请按R。

”系统自动登录到故障恢复控制台，恢复控制台也就成功启动了。

第二种：在Windows 2000/XP系统中插入Windows XP的安装光盘，然后单击“开始→运行”，从浏览中找到Windows XP安装光盘上i386文件夹，选中其中的winnt32.exe程序，回到运行对话框后，输入参数/cmdcons，Windows XP提示开始安装。

安装好后重新启动计算机，在操作系统选择菜单中会出现“Windows XP Recovery Console”选项，通过它也可以进入系统故障恢复控制台。

在故障恢复控制台下先输入cd \windows\system32\drivers，然后按ENTER键。

接着输入ren ntfs.sys ntfs.old，将损坏的Ntfs.sys文件重命名为 Ntfs.old。

如果提示没有找到 Ntfs.sys 文件，则该文件丢失了。

把Windows XP的安装光盘放进光驱，假设Windows XP安装在C盘、光驱的盘符为H，键入copy h:\i386\ntfs.sys c:\windows\system32\drivers，然后退出故障恢复控制台，重新启动 Windows XP即可。

xp的原始故障恢复控制台的管理员密码就是（xp）。

故障恢复控制台是windows 2000/xp/2003专用于修复系统的工具，它可以启用和禁用服务、格式化驱动器、在本地驱动器上读写数据（包括被格式化为 ntfs 文件系统的驱动器），并执行许多其他管理任务，是我们连windows 2000/xp/2003安全模式都无法进入时修复系统的“法宝”。

2012年第5期福建电脑基于NTFS文件系统的数据恢复技术张明旺（四川警察学院四川泸州646000）【摘要】：针对用户在NTFS文件系统下由于误操作，造成硬盘上的数据被误删除或格式化等数据丢失的情况下，提出如何恢复数据的方法。

通过对NTFS文件系统结构的详细介绍，重点分析了NTFS文件系统的主文件表MFT、文件记录的结构和文件的几个关键属性（即文件名，标准信息，数据流等），并在此基础上通过分析文件删除前后文件属性值的变化，对数据恢复的具体方法和过程进行了详细的阐述。

【关键词】：数据恢复；NTFS；文件系统1、引言随着信息化社会的快速发展及电脑的广泛应用，使用计算机进行犯罪的案件越来越多，给人们和社会造成了巨大的财产损失。

然而，为了逃脱公安机关的打击，犯罪分子经常将计算机上的犯罪数据信息彻底删除，或将分区甚至整个硬盘进行格式化操作，从而使得重要的犯的罪证据丢失，给案件的取证带来极大的困难。

因此，如何迅速准确的在计算机上恢复出犯罪证据，成为切实打击犯罪的一个关键因素。

NTFS(New Technology File System，新技术文件系统)是在Windows操作系统上应用十分广泛和大力发展的一种文件系统。

本文首先通过对NTFS文件系统的结构和数据存储结构进行了详细介绍，重点分析了NTFS文件系统的主文件表MFT、文件记录的结构和文件的几个关键属性（即文件名、标准信息、数据流等属性），并在此基础上通过分析文件删除前后文件属性值的变化，提出和实现NTFS文件系统下数据恢复的方法。

2、NTFS文件系统介绍NTFS和FAT32文件系统在结构上几乎是完全不同的两种文件系统，NTFS自身具有很多新的特征，比如安全性、容错性、文件压缩和磁盘配额等，都是相对其他系统特殊的地方。

NTFS分区主要由引导扇区、主文件表(Master File Table，MFT)、系统文件和文件存储区域等4个部分组成，其分区结构如图1所示。

数据恢复FAT和NTFS区别来源：加入时间：$AddTime$在这个步步高教程之前的文章内，我们几乎讨论的都是关于存储在FAT或者FAT32文件系统上的数据恢复。

现在我们把注意力放在存放在NTFS卷上的数据。

因为NTFS文件系统与FAT和FAT32文件系统完全不同，数据恢复必须采用不同的方法。

然而，也有例外，这篇教程的最后一部分将讨论无论任何系统格式下都能运行的最终(last ditch)恢复技术，但是现在我们要讨论的是NTFS文件系统从一个数据恢复点是如何工作的。

如果你用Google搜索一下NTFS数据恢复技术，你可能得到最多的链接是关于卖数据恢复产品的网站。

这是因为NTFS被设计可以自己执行恢复数据，而不需要使用第三方数据恢复软件或者操作。

在这个工作中有两个主要技术来实现这个功能:簇重映射(cluster remapping)和事务日志(transaction logging)。

簇重映射簇重映射是通过自动方式把数据从硬盘包含坏的分区的簇上自动移动到良好的簇的技术。

簇重映射的结构不用，取决于包含这个坏的扇区的卷是否是容错的，而且坏的扇区在读写过程中是否被发现。

让我们讨论一下在没有容错的卷上写入的操作，当数据被写入NTFS卷，操作系统在写的操作时把检查扇区做为确认进程的一部分，如果操作系统检测到一个扇区是损坏的。

Windows标记整个簇都是损坏的，这样它在将来就不往这个簇上存储数据。

(这是因为簇不能被再细分)数据将被存储到良好的簇内，这样不会有数据损失。

但是如果这个坏的扇区在读取时候被检测到，情况就不一样了。

操作系统将返回一个读取错误的消息来响应被数据请求。

这里有几种不同的理论关于接下来如何解决这个问题。

一些资料表示，一旦这个读取错误发生，Windows把这个扇区和其中的簇标记为损坏，所以簇其中的数据将完全丢失。

另外一些资料说，如果这个数据的一部分能读出来，Windows在标记这个扇区为损坏之前，把这些数据移到另一个簇。