为什么数据恢复程序经常恢复没有原始名称/结构的文件?
例如,我使用 PhotoRec,我认为它是一个非常好的用于恢复目的的应用程序,但它发现的所有内容都可以在没有名称和结构的情况下恢复。
这是为什么?我了解名称的“来源”是主文件表,它存储名称/结构/属性等。这是真的吗?
为了真正的恢复,有结构和名称,是否需要保持MFT完好无损?
有两种数据恢复程序:
\n\n前一种查看磁盘上的文件系统以获取有关要恢复的文件和文件夹的信息。他们可能会查看 FAT/MFT,但通常当文件丢失时,该信息也会丢失,因此这些程序通常会检查磁盘上的簇以查找类似目录的内容。然后他们将检查目录条目以识别标记为已删除的文件。如果指示的文件未被覆盖,则目录中应该有足够的数据(名称、起始簇和大小)来恢复文件。子目录也是如此:应该有足够的信息(名称、起始簇)来识别子目录并对其中的文件重复上述过程。
\n\n这种方法有两个主要缺点:
\n\n后一种类型的数据恢复程序完全忽略文件系统,而是查找文件类型。它通常包含一个文件签名列表(例如,标头、幻数等),这些签名是不同类型文件的典型特征。然后,它扫描磁盘,查找这些字节模式,只要找到一个,就会将该簇和许多后续簇添加为一个文件,然后显示文件列表。
\n\n此方法有一系列不同的缺点:
\n\nfile0001,例如file0002、 等。这两种方法各有利弊,您使用哪种方法取决于您,因为这取决于您的磁盘和文件。您可能最好使用每种类型的至少一个程序来最大程度地取得成功。这样,您将通过恢复最多的内容和元数据(文件名等)来找到最多的文件。您可能需要进行一些比较和手动工作才能将正确的元数据复制到正确的内容,但这是最大程度恢复的最佳选择。不利的一面是,使用多个程序会导致大量混乱和误报,需要进行排序,因此由您来决定丢失文件的价值。
\n\n\n\n\n为什么恢复程序经常恢复没有原始名称/结构的文件?
\n\n例如,我使用 PhotoRec,我认为它是一个非常好的用于恢复目的的应用程序,但它发现的所有内容都可以在没有名称和结构的情况下恢复。
\n\n这是为什么?
\n
因为PhotoRec是一种签名类型的数据恢复程序。
\n\n\n\n\n我了解名称的“来源”是主文件表,它存储名称/结构/属性等。这是真的吗?为了真正的恢复,有结构和名称,是否需要保持MFT完好无损?
\n
是的,是的。
\n\n由于您所描述的原因,使用 NTFS 恢复已删除的文件通常比使用 FAT 更成功,但是 PhotoRec 是一个签名式程序,因此它不引用有关文件/文件夹的元数据的 MFT。
\n\n此外,除非您立即停止使用包含已删除文件的磁盘并立即执行恢复,否则包含文件和/或引用它们的 MFT 条目的簇有可能被回收和覆盖。(Windows有一个令人讨厌且令人困惑的习惯,会立即神秘地覆盖已删除的文件。我曾多次在意外删除文件后按重置按钮\xe2\x80\x94以避免Windows在关机期间覆盖\xe2\x80\x94文件,但仍然发现有问题的文件被覆盖。)
\n| 归档时间: |
|
| 查看次数: |
5171 次 |
| 最近记录: |