昨天接了一个几乎不报有太大希望的单子，西部数据80G硬盘中的一个5G大小的分区无法打开，客户随即做了格式化的操作，然后又向分区内考入了4G左右的数据，当意识到数据丢失后，担心后来的数据影响恢复，又将后考入的数据删掉。客户说来之前在中关村柜台做过恢复，告知数据结构被破坏，数据已经没有办法恢复了，由于数据的重要性，客户还是决定拿到达思数据恢复中心再尝试恢复一下。在与客户沟通之后，在覆盖严重的情况下，就没有再拿软件去扫描，因为本来分区就比较小，覆盖后目前的目录结构肯定已经被严重破坏了，在这种情况下去扫描得到的结果肯定是不正确的。（经过数据地层查看位于正常MFT所在的位置全部被其他的数据给覆盖了，部分截图如下所示）

于是我们根据客户提供的所需数据类型等相关信息选择了直接定位文件头，用WIXHEX按照文件类型的方式提取。首先针对JPG图片进行恢复，在进程走到80%的时候 ，只出来了几张工程图片，心想这下可能希望不大了，但惊喜往往也在这种情况下发生的。最后20%出来了450张图片，都是小孩子的一些照片，应该是客户需要的数据，经验证每张图片还存在一个比较小的缩略图和一个相同的副本，所以实际上可用的图片出来了150张左右。接下来按照相同的方案对WORD，XLS，PPT等文档进行了相应的提取，虽然不多，但几乎都能正常打开。最终所有恢复出来的数据量在445M大小，客户验证后，认为需要的数据还是找回来了一部分，最终认可了数据。

案例总结：类似于这样的单子，在与客户的沟通中可能第一反应都是基本上没有希望了，因为覆盖的数据太多，数据的重要结构都几乎破坏了。数据在被写入磁盘的时候，会按照一定的分配策略，可以是连续的，也可以是分散写入的，本案例中之所有能够恢复出正常的文件，主要还是因为文件写在了分区靠后的位置，而且大多是连续存放的情况，所以说这样的恢复结构是很意外的。

关于达思数据恢复与取证中心

达思科技，国家级高新技术企业，天津市国家保密局涉密载体数据恢复唯一协作单位，国家保密局常用办公设备存储部件敏感信息检查系统项目课题承接单位，数据恢复与取证行业著名品牌，在国内乃至全亚洲数据恢复技术领先！达思科技的全称是达思凯瑞技术(北京)有限公司，成立于2007年8月，注册资金1500万元。达思科技是一家以数据恢复与取证技术研发为核心的国家级高新技术企业，公司拥有自主知识产权的数据恢复与取证软件30多种。公司下设研发中心、数据恢复与取证服务部、服务器RAID数据恢复应急中心等。

关注达思公司微信服务号或订阅号，获取更多信息：