文件删除驱动器后修改了文件系统的元数据，但不直接影响文件体。这些文件仍然位于驱动器上，但(!) FS 认为这些块是空的，可以写入并且 FS 可以用新用户数据覆盖这些块。

客户端将驱动器带到 DR 实验室的速度越快，恢复已删除文件的可能性就越大。

第一种方式。文件系统元数据的搜索和分析。

此解决方案基于已删除文件的可用文件系统元数据，因此我们可以找到这些值。

看看这个带有 NTFS 文件系统分区的图像。这里我们有几个文件夹，然后我们删除了其中一个。

删除前：

删除后：

如您所知，NTFS 中的每个文件都有“ MFT 记录”。它包含文件名、创建数据、修改数据等。这些值用于文件系统的文件识别。所有这些记录都具有相同的大小（基本上是1024字节）并保存在驱动器的特殊区域——MFT 表（主文件表）中。该区域分配有保留，因此该区域内可以是未使用的扇区。

因此，删除“ Pics ”文件夹后，我们有以下内容：

• “图片”文件夹的链接已被删除；
• “Pics”文件夹的记录和该文件夹内每个文件的记录在 MFT 表中标记为空闲；
• 已用于这些文件的空间就像一个免费空间，可用于新用户数据。

（这不是完整的更改列表，但对于本文来说已经足够了）

因此，文件及其 MFT 记录仍在驱动器上，但这些文件及其 MFT 记录的空间被标记为可用于新文件。

如果我们按原样打开分区，我们就看不到这个文件夹和删除的文件，但是如果我们扫描 MFT 记录，我们可以将这个包含文件的文件夹返回到原始分区。

可以通过“扫描 MFT ”选项在数据提取器中执行此类过程。不要忘记标记“显示已删除的文件”选项。

« Scan MFT » 选项 — 不是 NTFS 文件系统的唯一一种逻辑扫描：

• « Scan MFT » 和 « Scan MFT+INDX » 方法——读取驱动器的一小部分，因此这个过程需要一点时间。不过如果FS不是很损坏的话，两者都带来不错的效果。
• «分区分析» 和 «搜索 NTFS 结构» 方法——对复杂情况有效（然后损坏整个分区）。他们读取整个分区并花费大量时间进行此扫描，但会带来最高质量和最完整的结果。

在我们的示例中，这些选项中的每一个都带来相同的好结果，并且文件将被恢复。

第二种方式。找不到已删除的文件元数据时。

Data Extractor 为每个文件系统提供逻辑扫描选项。例如对于 XFS 可以使用 « Partition data analysis » 选项。但是在我们的例子中它没有带来结果，因为XFS文件系统在文件删除后清除了元数据记录。

如果在删除用户后继续工作，NTFS 分区上也会出现同样的情况。删除文件的记录可以用新数据改写。对于这种情况可以使用 RAW 恢复方法，但我们可以尝试通过以下方法加快进程：

创建未使用空间的地图，然后在该地图上启动 RAW 恢复过程。

此过程可以节省大量时间并获得良好的扫描结果。

有些情况下需要同时应用这两种方式进行恢复