NTFS文件系统的数据恢复方法
2010-11-16 09:44:41 作者:
来源:
互联网 浏览次数:
30 文字大小:【
大】【
中】【
小】
从NTFS文件系统中进行数据恢复,恢复被删除的文件比大多数文件系统都要容易。在NTFS中,文件被删除时,从其父目录的索引中移除它的文件名,取消MFT项的分配,取消簇的分配。Microsoft只是做了这些操作而并没有删 ...
从NTFS文件系统中进行数据恢复,恢复被删除的文件比大多数文件系统都要容易。在NTFS中,文件被删除时,从其父目录的索引中移除它的文件名,取消MFT项的分配,取消簇的分配。Microsoft只是做了这些操作而并没有删除任何指针。
NTFS中对恢复最为不利的因素是,当文件名从文件的父目录索引中移除时,索引会重新进行整理,被删除文件的文件名信息就会丢失。因此,在恢复的时候你很可能在原来的目录下看不到被删除的文件。但问题也并不是非常严重,因为可以找到MFT项,所有被取消分配的MFT项都很容易被找到。每个项中都会有一个效件名属性($FILE_NAME),它带有父目录的文件参考号。因此,只要找到了被取消分配的MFT项,就可以获知它的完整路径,除非父目录已经重新分配给了新的文件或目录。
要恢复NFTS文件系统中所有被删除了的文件,可以搜索所有被取消分配的MFT项,找到后,根据项中的文件名属性($FILE_NAME)和父目录的文件参考号确定文件的名字和原路径。簇指针也应该完好地存在,如果文件内容还没有被覆盖,就可以完好地恢复出来。即使文件严重片段化,有多个文件碎片也并不影响恢复。
如果属性值为常驻属性,在MFT被重新分配前,数据是不会被覆盖掉的。
如果文件需要不只一个MFT项存储它的属性,就需要对其他的MFT坝’陝复。
Windows分配MFT项时使用第一可用分配策略,因此低号码MFT项比高号码MFT项更容易被重新分配出去而造成覆盖。
数据恢复文件或对删除的文件进行分析时,通过文件系统日志或变化日志可能会找到一些最近发生的情况的记录。变化日志并不总是开启的,但它会提供最后文件被删除或改变的相关信息。