NTFS文件系统误格式化及其数据恢复分析

格式化的底层分析

格式化其实就是给分区创建一个文件系统。首先看一个有数据的NTFS分区，然后将其格式化，并分析格式化后原来数据的改变。

图4-497是一个NTFS分区“J”中的数据，分区内有一个文件夹“1234”和一个文件夹“5678”。

图4-497　一个NTFS分区中的数据

文件夹“1234”下有四个文件jpg文件，如图4-498所示。

图4-498　文件夹“1234”下的文件

文件夹“5678”下也有四个文件jpg文件，如图4-499所示。

图4-499　文件夹“5678”下的文件

以文件“1.jpg”为例，分析这个文件的结构。

文件“1.jpg”的文件记录的第一个扇区如图4-500所示。

图4-500　“1.jpg”文件记录的第一个扇区

根据文件记录中的80H属性，可以看到这是一个非常驻属性，从Run List可看出文件开始于358 945簇，跳转到358 945簇找到该文件的内容，如图4-501所示。

图4-501　358 945簇的内容

其他文件的结构这里就不一一讲述了，现在将这个NTFS分区“J”格式化，如图4-502所示。

图4-502　格式化NTFS分区“J”

格式化后再来看这个分区的MFT文件，发现所有文件的文件记录都在，内容也完好，图4-503是“1.jpg”的文件记录。

图4-503　格式化后“1.jpg”的文件记录

根据Run List跳转到358 945簇，看到数据也完好，如图4-504所示。

图4-504　格式化后358 945簇的内容

格式化之后文件的恢复

从前面的分析可以看出来，NTFS文件系统格式化之后，MFT中还遗留着格式化之前的文件的记录，而只要文件记录在，数据就有恢复的可能性，如果文件记录被破坏了，文件就很难恢复了。

分区格式化之后，只要找到原来文件的文件记录，利用80H属性中的Run List就可以找到数据并恢复，不管文件是否连续存放。具体做法在前面讲过，这里就不再演示。