NTFS文件系统大硬盘数据恢复案例分析
关键词： 病毒破坏数据恢复、误删除数据恢复
　　公司一块80G 迈拓金九硬盘，某天突然进不了分区，提示为“无法访问X： 参数错误”。硬盘上为该公司为本市摄制和编辑的运动会视频和音频文件，摄录磁带中已清除，运动会也不可能再开一次。先前到某电脑公司去试过，结果没能解决问题。广告公司经理和我的一个朋友是朋友，知道此事后就转来我处。

　　修复过程：该硬盘为只有一个NTFS分区的数据盘，先在DOS下用扇区编辑软件查看LBA0–63扇区，结果发现分区表和63扇区都有错误，1—62扇区间有大量扇区被写上不明代码，87-102扇区不正常，先手工修复分区表，恢复63引导扇区，删除1—62扇区间的代码。87-102扇区之间暂不处理，到WINDOWS下检查，结果还是出现同样的提示，试用恢复软件1，可以看到目录结构，再试FINALDATE，这个软件此时太不尽人意；用恢复软件1选择某目录进行试恢复，结果28个试恢复文件只恢复2个，其余的全部为0字节，恢复工作陷入困境。再次对79-102扇区进行分析，79扇区面目全非，被严重篡改破坏，80-86扇区被清空，87-102扇区的内容也不正常。经过一番苦思冥想，对某
扇区进行备份后做清除，备份被放到1-62扇区之间，以备不测时改回原样。

再次在WINDOWS下用恢复软件1进行恢复，让其读该盘约10秒钟，停止扫描，看到的内容和前面提到的相同，试恢复一个文件夹，从恢复过程能看到这时恢复动作正常了，随后对其余的文件和文件夹进行恢复，近3个多小时后，63.9G资料全部恢复，文件中几乎就AVI、WAV、PSD和其它格式的图形文件，逐个打开完全正常。恢复工作顺利结束，大功告成。

　　后来一个朋友说这个分区应该是2000格式化出来的，mft在分区的前面，很容易被破坏，象此案里里面87-102扇区里大约有6个左右的用户文件/文件夹是恢复不出来的，但102~~以后的文件应该能完全恢复的。在ntfs里面，一般90扇区以后的mft才是用户的文件信息，前面的是系统的一些元文件，对数据恢复影响不大的。

　　个人觉得ntfs还是比较先进的，文件碎片都放在一个mft里面，只要这个扇区没有被破坏，就可以恢复。

NTFS的结构确实比较复杂，正常情况下所有的操作MFT中有记录。但是，那些扇区被使用，那些没被使用，这些概念还是很有用的。

　　实验盘被删除79-102扇区内容后，开机后不需要第三方软件，文件和目录直接可以读出拷贝到其它地方。查看被删除扇区内容，95扇区后的内容都自动修复了，80-94嘛。。。。看来MFT中应该还有一个备份，或是具有自动修复功能。

　　故障盘为何就不能自动修复？且不让访问。故障盘中某些扇区看来是被利用了。它的数据恢复是通过第三方软件得到的，对第三方软件来讲，就算格式化了，绝大部分数据还是能找回来的。

[转]数据恢复工具篇
关键词： 数据恢复
1、Harddisk Data Recovery 3.0 硬盘文件系统恢复工具，该工具不象其它修复工具需要写入数据从而有可能把您的硬盘搞得更糟，它可以 在内存重建文件系统，并可以安全的把数据传输到另外一个设备，支持FAT16/32、NTFS。
2、Disk Genius(DiskMan) 2.0 国产全中文硬盘分区表维护软件，软件主要功能及特点：1、仿WINDOWS纯中文图形界面，支持鼠标操 作；2、提供比fdisk更灵活的分区操作，支持分区参数编辑；3、提供强大的分区表重建功能，迅速修复损坏 了的分区表；4、支持FAT/FAT32分区的快速格式化；5、在不破坏数据的情况下直接调整FAT/FAT32 分区的大小；6、自动重建被破坏的硬盘主引导记录；7、为防止误操作，对于简单的分区动作，在存盘之 前仅更改内存缓冲区，不影响硬盘分区表；8、能查看硬盘任意扇区，并可保存到文件。9、可隐藏FAT/FAT32 及NTFS分区。10、可备份包括逻辑分区表及各分区引导记录在内的所有硬盘分区信息。11、提供扫描硬盘 坏区功能，报告损坏的柱面。12、具备扇区拷贝功能。13、可以彻底清除分区数据。
3、File Scavenger 2.1 能够恢复在NTFS格式下意外删除的文件工具，能够救回的文件不只单一文件，还包括整个目录及压缩 文件，也支持救回来的文件选择在原来所在位置恢复或储存到其它的硬盘。
4、EasyRecovery Pro 6.0是威力非常强大的硬盘数据恢复工具。能够帮你恢复丢失的数据以及重建文件系统。EasyRecovery不会向你的原始驱动器写入任何东东，它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。该软件可以恢复大于8.4GB的硬盘。支持长文件名。 被破坏的硬盘中像丢失的引导记录、BIOS参数数据块；分区表；FAT表；引导区都可以由它来进行恢复。
5、Recover98 用来在 WIN 98 下搜索并恢复误删除的文件和子目录的工具，可惜它的试用版，仅能救回3个文件。
6、TiraMisu Data Recovery deMo FAT32 4.03 是恢复硬盘因病毒感染,意外格式化或其它因素所导至的资料损失恢复工具软件,即使电脑以无法开机启动,仍可利用本身所作的启动盘开机来找出所失去的硬盘资料,并让你将这些资料拷贝到其它的硬盘．
7、FinalData 是一个文件恢复程序，利用它能够恢复被删除的重要信息，甚至还能从已经格式化或者已经损坏的磁盘中抽取文件，允许恢复完整的目录并尽量保持其原有的目录结构。
8、多数杀毒软件都有重建分区表的功能。

[转]手动恢复U盘数据2
关键词： 数据恢复
手动恢复U盘数据
接着我在u盘的数据文件中用winhex查找“.”和“..”目录项，以此计算格式化前的u盘的参数。
不到一秒就在文件的前边找到了一个目录项。目录项中的“.”所在的位置清楚地写明了他自身所处
的簇的顺序号。
这里的“.”目录所占的簇号位2（fat16分区通常的第一个簇）。
继续搜索下一个目录簇。找到了，
这里的偏移是1C8000H，簇的编号是0×63簇,而上边第2簇的偏移是44000H，计算一下：(1C8000H-
44000H)/(63H-2H)=4000H天！他格式化之前簇的大小竟然是4000H=16kb.接下来我又验证了几个目录
项，的确原来簇的大小是16k,怪不得他格式化以后用数据恢复软件找回的数据那么大，原来是数据
恢复软件搞错了簇的大小。
知道了就好办了，我在我的磁盘上分了一个fat16的分区，分的时候用win2003的磁盘管理器分
成了簇大小为16K，以便于对应。其实分多大簇的分区，或者分成fat32都可以，只要简单的改动就
可以移植我们的数据的。但终究不如直接分出来方便。
分好区以后，找到新分区的第2簇地址。将网友传过来的数据文件从偏移44000H处开始选到结束，
复制到新分区的第2簇地址，然后用数据恢复软件，数据就都出来了，毕竟word文档对于16k的簇大小，
大多数还是连续的。

后记：可能有的数据恢复软件不设置一下直接就可以恢复的（我不知道，但这是个很容易实现的功
能）。但手动作毕竟不同，心里踏实、放心得很，工具只不过是利用它的运算快，而不是他的智能。
当然也希望能有我们自己的工具来配合修复工作。努力中。。。

[转]手动恢复U盘数据1
关键词： 数据恢复
手动恢复U盘数据
某日，一个广州的网友在QQ上告知，他的u盘(128M,实际上是125M)在热拔插的时候数据
丢失，无奈之下，就把u盘重新格式化了，然后用数据恢复工具（我不记得他用什么工具了
）恢复以后却发现没有一个文件可以用。
他的u盘以前和现在都是fat16格式的，重点恢复的是里边的word文档。他用QQ传给我一
个数据恢复软件恢复后的文件，我看了一下。大小上了M单位。用winhex打开文件一看，数
据杂乱无章，而且，好多word文档应该有的标志都没有。我的第一感觉是，他的word文档可
能比较大，可能文档中夹带图片、大表格等占空间的东西，以至于保存文件是文件并未联
系存储。而格式化后，很自然的，分区fat表丢失了。这时候的数据恢复是很艰难的。
原来我的计划是针对簇链的丢失来制定的。必须面对整个分区，所以我让他把整个U盘
的数据用winhex备份后传给我。我们的网速都有限，也感谢这位网友的信任。花了可能1个
左右小时数据才过来。
数据过来后，我大体看了一下数据偏移在一扇区的dbr数据，现在的分区结构是fat16,簇
大小是2kB,容量125M，fat表所占扇区数目为250个，1个保留扇区，两份FAT表。这些数据
都一切正常