文件误删除是一类极为常见的逻辑故障,文件删除后如果没有进行数据写入,则基本都可恢复,若有数据写入,视写入多少,可能导致部分甚至所有文件覆盖而导致数据部分或完全无法恢复。所以在检测过程中需要首先判断数据删除后用户进行了多少数据写入操作,若全盘已重新写满,则原始数据基本无法恢复。
Windows系统下,文件删除分为两类,“删除并清空回收站”和“Shift+Delete”,对于NTFS文件系统,这两类删除底层变化相同,仅在目录区做相应标记,不清空数据区,所以两种删除的恢复手段也相同,对于FAT32文件系统,两种删除方式都不清空数据区,但会清空FAT表(文件碎片记录链表),另外对于目录区,前者删除后仅在目录区做相应标记,而后者做相应标记的同时还会清空数据区起始地址高两位字节,所以FAT32两种删除方式的恢复手段不同。
(1)FAT32 删除并清空回收站
若文件未被覆盖,使用R-Studio对删除文件所在分区进行全盘扫描后,可在原始目录下找到相应文件,但文件名首字符会被替换为“$”,这是由于文件在删除过程中,目录区第一个字节被标记为“E5”,这一字节为文件名首字符。如果原始文件没有碎片,则直接将文件恢复出来,即可正常打开。若原始文件经过多次编辑,产生碎片,则无法这样恢复,这是由于FAT32在文件删除后,会同时清空FAT表,FAT表用于记录文件碎片的链表,链表丢失,则原始文件的正常结构错乱,恢复软件仅能根据文件目录中的起始地址定位到文件头,再根据文件大小做相应字节偏移进行恢复,恢复出的文件实际已经损坏,无法正常打开。这种情况,只能通过Winhex底层分析碎片结构,将文件重组,这需要对不同文件类型的数据结构有深入了解。
(2)FAT32 Shift+Delete
FAT32经过Shift+Delete操作后,文件不经过回收站,直接删除,从用户层看与删除并清空回收站效果无异,但从数据结构分析这两种删除的效果完全不同,文件经Shift+Delete后不仅会有“删除并清空回收站”的所有操作,还会清空数据起始地址的高两位,这就导致通过目录区无法正确定位文件起始位置,即使原始文件没有碎片,也无法正常恢复。这种情况只能通过“文件恢复类软件”EasyRecovery、超级数据恢复、O&O DataRecovery按照文件类型进行恢复,恢复后的文件没有文件名,只能手动筛选出所需文件。
(3)NTFS文件删除
若删除时间较短,没有文件写入,则通过R-Studio对文件所在分区做全盘扫描,则可恢复原始文件数据与目录结构。若删除时间较长,文件目录区已被新文件覆盖,则需要通过“文件类型恢复软件”进行全盘扫描,按文件类型进行恢复。
(4)特别说明:
NTFS下,若删除文件超过4G,则文件删除后,其MFT“80属性”(数据属性)内的文件大小将被置零,恢复出的文件大小为0字节,这种情况仅能按文件类型进行恢复,或通过winhex手动分析底层数据结构,手动进行恢复。
