数据恢复难点分析，

这几天针对28T的NTFS大分区，面对客户十几天没有专业处理、同步造成了系统结构的严重损坏的文件系统，又较详细研究了MFT构造。由于客户数据错乱，MFT文件遭到破坏，甚至一部分根本不对齐，譬如从0x......a8开始，针对一般软件只能识别0x00开始的mft文件的弊端，利用脚本批处理提取部分凌乱的MFT数据，与主MFT及硬盘构建区域，共同修复、重建尽可能减少损失的MFT文件；

一、FAT文件系统

包括FAT12、16、32、ExFAT；

主要是FAT32，目前采用这种文件系统的有U盘、各种Flash卡、相机或录像机的存储系统，部分电脑用户分区；

这种系统很容易受到破坏，数据破坏的主要原因是目录索引信息全部在存储区的前面，而存储设备往往最容易破坏的就是前部；

FAT32系统文件链表结构信息有两部分，FAT1、FAT2，二者是连着的；往往一同破坏，所以这种系统设计的不太科学；文件链表即FAT一旦破坏，文件就不知内容在那里了；所以往往恢复的时候虽然有文件名，而内容打不开，及文件与内容失去了联系；这时候只能是碎片组合恢复；如果你生成的文件是连续的，那么祝福你，你很幸运，你恢复的文件将是最成功的，如新相机或新卡使用后，从来没有删除过文件，那么恢复将是成功的。但是若中间有删除过文件，那么对不起，文件肯定有碎片。失去了文件存储链表信息，几乎大多数软件都只能连续恢复，因为今天文件种类如此繁多，大家只能根据文件头恢复，而不可能根据中间内容恢复，除非是专项。

当然，如果你熟知文件结构，那么你通过专业分析软件，编写相关程序或脚本，进行组合；也可以恢复成功，但是要自己根据内容重新命名，因为实际文件名与链表失去联系。

二、NTFS系统

NTFS有几个版本，1.0、1.1、1.2、3.0、3.1；许多资料上说最大支持2T分区；NTFS系统中，任何信息都被作为文件存在，与MFT不可分割。

其实笔者看到过有些磁盘阵列，采用GPT分区，但是文件系统却是NTFS，容量达30T；结果是NTFS系统看起来识别这么大的分区正常，但是，其实际并非如此！实践表明采用MBR分区，NTFS最大支持2.19T，采用GPT分区，NTFS系统最大支持16T，准确来说还要略小一点（比17592186044416，即2的44次幂略小100M左右）。

NTFS恢复性极好，原因在于它的构造；一般MFT文件在磁盘分区3G后面，当然较小的情况下也可能在前面，在中部也会有MFT头部4个文件的镜像，根目录也可能紧随其后；但是不行的事情还是会发生的，那就是MFT被彻底覆盖，数据被覆盖总是灾难性的；这种情况下就像FAT32系统被破坏一样。有时候MFT被破坏了一部分！

有时候硬盘扫描完，MFT重建；能够重建的部分，在根目录有显示，或成为失联目录，失联目录的产生是上级目录MFT的信息破坏；失联文件的产生是文件本身MFT信息完整，而上级目录MFT已经不存在；如果文件（非文件夹）的mft破坏，即使物理可能存在，而实际是失联状态，如果要恢复，必须要进行穷举搜索所有非0数据区，甚至分析组合。

三、快速恢复

快速恢复，有很多技巧，不仅需要熟悉磁盘分区结构、文件系统结构、分区引导、文件存储原理等等，还需要熟悉各种软件工具，巧妙利用他们进行快速分享定位。

譬如分区丢失的情况，笔者往往在数分钟内予以恢复；而在现实中许多电脑公司，丝毫不明白，仍然用软件扫描，像蜗牛一样爬行，结果往往很慢，而且常有因为逻辑错误或死循环不得不放弃。

磁盘或卷或区域扫描分析后，相关信息要即使存储，如扫描信息，MFT，有时候因为磁盘容量过于庞大，数据过多或复杂，打开扫描信息会很慢，一旦扫描完成，要及时备份扫描信息；一旦分析完成，要及时保存重要信息文件，如MFT，DBR；这样在下次恢复是可以直接用DBR和MFT及磁盘其它区域组合虚拟磁盘进行快速恢复。

必备工具，winhex，UtralEdit，DG，RS，DE；常用命令二进制合并copy，目录裸列表dir，文件系统故障chkdsk，文件比较fc，当然常用的工具有数百种；各有特长。

快速恢复必须掌握的MBR、GPT，FAT1与FAT2，DBR与BAKDBR，MFTmirror与MFT。

当然这些都是常用文件系统，其它HFS&HFS+...、UFS、EXT234等结构也需要熟悉，才能做到快速、准确、方便。