格式化的底层分析
格式化其实就是给分区创建一个文件系统。首先看一个有数据的NTFS分区,然后将其格式化,并分析格式化后原来数据的改变。
图4-497是一个NTFS分区“J”中的数据,分区内有一个文件夹“1234”和一个文件夹“5678”。
图4-497 一个NTFS分区中的数据
文件夹“1234”下有四个文件jpg文件,如图4-498所示。
图4-498 文件夹“1234”下的文件
文件夹“5678”下也有四个文件jpg文件,如图4-499所示。
图4-499 文件夹“5678”下的文件
以文件“1.jpg”为例,分析这个文件的结构。
文件“1.jpg”的文件记录的第一个扇区如图4-500所示。
图4-500 “1.jpg”文件记录的第一个扇区
根据文件记录中的80H属性,可以看到这是一个非常驻属性,从Run List可看出文件开始于358 945簇,跳转到358 945簇找到该文件的内容,如图4-501所示。
图4-501 358 945簇的内容
其他文件的结构这里就不一一讲述了,现在将这个NTFS分区“J”格式化,如图4-502所示。
图4-502 格式化NTFS分区“J”
格式化后再来看这个分区的MFT文件,发现所有文件的文件记录都在,内容也完好,图4-503是“1.jpg”的文件记录。
图4-503 格式化后“1.jpg”的文件记录
根据Run List跳转到358 945簇,看到数据也完好,如图4-504所示。
图4-504 格式化后358 945簇的内容
格式化之后文件的恢复
从前面的分析可以看出来,NTFS文件系统格式化之后,MFT中还遗留着格式化之前的文件的记录,而只要文件记录在,数据就有恢复的可能性,如果文件记录被破坏了,文件就很难恢复了。
分区格式化之后,只要找到原来文件的文件记录,利用80H属性中的Run List就可以找到数据并恢复,不管文件是否连续存放。具体做法在前面讲过,这里就不再演示。