在ntfs文件系统下恢复删除带有碎片的文件如何定位?

笨菜鸟

我现在发的这个贴子，你可以当做是求助贴，或是讨论贴都行，目的是让大家看完贴后

多多发表对此贴的看法，和解决办法，为什么会出现这种情况？是普遍现象？还是个中案例？


话说正题，我看到了“数据重现”一书中的485页讲的是ntfs文件系统中删除文件的数据恢复，书中讲，文件被删除后，在其MFT表中只是

改写了，0x16~0x17字节处的标志（00为删除的文件，01为正常的文件，02为删除的目录，03为正常的目录）那么在其为80属性的数据属性没有变化，可以根据其中的

簇流来恢复数据，果真如此吗？我做了个实验，文件是400.xls(有两个碎片的电子表格文件，其中都是文字）大小为21k,在winhex中簇列为：26179 ，26180，18421，18422，18423，18424。总计为6为2片。

然后在根分区中删除了这个文件，在其MFT中观察变化，原先0x16~0x17处的字节变为00成删除文件标志，而本不应该变化的80属性却发生了变化，由原来的80个字节（包括簇流）变为24个字节。

并且变化后80属性由原来的非常驻，变为了常驻性质，并且没有了簇流，这时文件如何定位？也就是在ntfs文件系统下恢复删除带有碎片的文件如何定位？(shift+delete删除的）期待大家的回答。

VICTORYBOY1180

期待高手解决

matrixhdd

ohh what happens then ?

junyi_de

回复 1# 笨菜鸟

多试几次呗，换不同的系统看看是不是都是这样的情况。至少我这里不是，如果说碎片极多，族流很长超出mft长度的话，也许会重写，目前没遇到过这种情况。族流没了的话，就像FAT32删除那样，高位被清除了，在加上文件有碎片，就需要很依靠文件结构来判断了，不过这里面也不是那么简单的事，这种方法就算知道也不会告诉你，属于商业秘密吧，别人还要靠这吃饭呢。

其实机械硬盘的碎片重组在技术上已经比较成熟了，当然了，也要看碎片的程度，不能绝对的说任何情况100%都能恢复。现在最牛逼的应该是固态硬盘的文件重组技术，是在硬盘损坏的情况下，虽然在底层有一个对用户透明的映射表，因为固态硬盘的原理是文件分割成很多块向不同的闪存上写，所以这个就非常难说了，上次参观的Kroll Ontrack公司，他们的技术部经理说他们正在研究这个，遇到了一些困难。

awolfs8888

有碎片。。特殊情况特殊对待。。。。。。。

L_wy

期待高手解决

lxljcx

路过 看看高手有何见解

笨菜鸟

回复 4# junyi_de


    中国人跟外国人比就是缺少共享精神，人家linux系统源码都随便看。

junyi_de

回复 8# 笨菜鸟

linux本来就是开源的，本来就能随便看，当初开发linux的时候就是要求公开源代码。可是我说的那些不可能开源的，别人的技术怎么可能随随便便给你，你看google把他的搜索算法公开了吗？这种是商业机密，不是说外国人的共享精神就很高尚，涉及到核心技术的东西，别人会把辛辛苦苦研究的成果白白送你？你以为现在是共产主义吗。

就数据恢复来说，与其说共享精神，国内现在还能买到这种关于数据恢复的书，比如你看的“数据重现”，里面把各个文件系统的结构都详细告诉你了，你只要花几十块钱就能买到自学了。你知道winhex公司有关于这方面的培训，光培训个文件系统2天时间就要1000美元，这些东西就是你看的书上写的。你有什么想法啊。

年轻人，不要太愤青了。中国人真正缺的不是共享，是创造和研究精神，在很多行业一直没有自己的核心技术，都是靠仿造，我在国外深有体会。宝马公司的发动机很牛逼，中国的一些汽车厂商就买回来自己拆了研究里面构造，完全一比一仿制，但是造出来的性能就是没有原装的好，为什么，材料啊！！那些零件和气缸的材料配方是保密的，里面有什么元素就算你能测出来，但你不知道生产的过程啊，不可能造出一模一样的啊。所以材料学现在在各行业很吃香啊。中国人想花钱买，德国人不给你，你能怎样么，别人也不是傻子。再者，大众公司，20多年前给了中国桑塔纳的技术，你看现在那车在性能和油耗上还是很好，不过后来别人不给你最新技术了，中国拿到的技术都是德国这边淘汰的，涉及到商业秘密，外国人比猴还精。

我在这里不是说中国的不好，是我切身体会，中国人喜欢走捷径，所以光靠仿制是不行的，还是要有核心的技术在手里，这才是赚钱的地方。

wuleiaili0620

[s:12][s:12][s:12][s:12]