前 言

在电子取证领域，现场可能会出现目标电脑被远程格式化等突发情况，在时间较为紧迫的情况下，对电脑做完镜像后恢复数据的时间可能并不充裕，本文将探讨手动修复机械硬盘上被格式化后的NTFS文件系统的方法，以便在取证的过程中更高效的恢复数据。

tip 1:创建20G大小的虚拟磁盘以模拟真实使用的硬盘，初始化磁盘为MBR分区后，将所有未分配空间按默认配置格式化为NTFS文件系统，放入命名为00001-10000的共计10000个文件夹，每个文件夹中存放有一个与文件夹命名相同的TXT文本文件，文本文件中均存储了100个1。

tip 2：分离后对该虚拟磁盘进行备份，重新附加后对该分区进行格式化，均采用默认值，模拟现场特殊情况下格式化的操作。

tip 3：将格式化前的磁盘5与格式化后的磁盘4进行比较，其中格式化后的MFT文件中的80属性头与记录了簇流信息的80属性体均发生了改变，由于格式化后的$MFTMirr同步发生了改变，我们无法使用$MFTMirr来修复，因此在手动恢复数据时我们需要对80属性进行修改。

tip 4：由于机械硬盘的特性，在格式化时数据并不会全部被抹去，此时查看格式化后的MFT文件80属性体“31 40 00 00 0C”，其中表示MFT文件大小的“40”通过数据解释器转换后值为64，表示起始簇号的”00000C“通过数据解释器转换后值为786432，先默认为每簇的大小为8开始尝试恢复。由于MFT文件记录在物理上是连续的，且扇区以明文”file“开头,均为”46494C45“，通过查找16进制数值找到的最后一个MFT文件的扇区数为6331550，通过6331550减去0号$MFT开始的6291456，得出MFT真实大小为40094个扇区，即5012个簇，同步修改$MFT与$MFTMirr中的对应参数后进行保存。

tip 5：更新磁盘快照后新增9898个数据项，仅丢失了部分数据，格式化后重新写入了元文件且初始化了$MFT的大小，在这个过程中，原有的MFT条目可能会被清零或覆盖，以便为新的文件系统结构做准备。但格式化之前的大部分MFT仍然保存在电脑上，通过手动修复可以直接恢复MFT未被覆盖的文件。

总 结

根据机械硬盘与NTFS文件系统的特性，我们可以在对原始数据做完镜像后直接尝试手动恢复格式化后的分区，通过修复MFT文件可以快速恢复出未被清除或覆盖的文件，这样极大的提高了取证工作的效率，为现场取证工作提供了强大的支持。