客户端将驱动器带到灾难恢复实验室的速度越快，恢复已删除文件的可能性就越大。

第一种方式。搜索和分析文件系统元数据。

该解决方案基于已删除文件的可用文件系统元数据，因此我们可以找到这些值。

看看带有NTFS文件系统分区的图像。这里我们有几个文件夹，然后我们删除了其中一个。

删除之前：

删除后：

如您所知，NTFS中的每个文件都有“ MFT记录 ”。它包含文件名，创建数据，修改数据等。这些值用于文件系统进行文件识别。所有这些记录具有相同的大小（基本为1024个字节），并保留在驱动器的特殊区域中-MFT表（主文件表）中。该区域分配有储备，因此该区域内部可能是未使用的扇区。

因此，删除“ Pics ”文件夹后，我们将得到以下信息：

• 指向“ Pics”文件夹的链接已被删除；
• “ Pics”文件夹的记录以及该文件夹中每个文件的记录在MFT表中都标记为“空闲”；
• 这些文件所占用的空间是免费的，可用于新用户数据。

（这不是完整的更改列表，但对于本文来说足够了）

因此，文件及其MFT记录仍在驱动器上，但是这些文件及其MFT记录的空间被标记为对新文件来说是免费的。

如果按原样打开分区，则看不到该文件夹​​和已删除的文件，但是如果我们扫描MFT记录，则可以将该文件夹及其文件inide返回到原始分区。

可以在“数据提取器”中通过“ 扫描MFT ”选项执行此过程。不要忘记标记“ 显示已删除的文件 ”选项。

« 扫描MFT »选项-不是对NTFS文件系统的唯一逻辑扫描：

• « 扫描MFT »和« 扫描MFT + INDX »方法-读取驱动器的一小部分，因此此过程需要一点时间。但是，如果FS损坏不是很大，两者都会带来良好的结果。
• « 分区分析 »和« 搜索NTFS结构 »方法-在复杂情况下有效（然后损坏了整个分区）。它们将被读取到整个分区，并且花费大量时间进行此扫描，但会带来最优质和完整的结果。

在我们的示例中，每个选项都带来相同的良好结果，并且文件将被恢复。

第二种方式。当找不到删除的文件元数据时。

数据提取器为每个文件系统提供逻辑扫描选项。例如，对于XFS，可以使用“ 分区数据分析 ”选项。但是在我们的示例中，由于XFS文件系统在删除文件后清除了元数据记录，因此并没有带来结果。

如果删除用户后继续工作，NTFS分区上可能会出现相同的情况。删除文件的记录可以用新数据重写。对于这种情况可以使用RAW恢复方法，但是我们可以尝试通过以下方法来加快过程：

创建未使用空间的地图，然后在该地图上启动RAW恢复过程。

此过程可以节省大量时间，并且可以获得良好的扫描结果。