昨晚加班到近十点才回家。同事送过来一块大C盘（MODEL：HTS542516K9SA00，SN：WGC095YC），说是兴坪某科研所送过来的。

问同事咋回事，同事说是大C盘。

既然是大C，问题应该很简单，分区表。只要精确定位即可。

同事说已经修复分区表的问题，但$BitMap出错，无法访问。

打开底层，看到了同事修正后的DPT：

很正常。两个分区，一个20GB，另一个约130GB。

同事说客户重要数据在后一个分区。那打开第二个分区看看。

果然是$BitMap文件i报错，导致MFT、根目录文件都无法加载。

看第二分区的$Boot文件的BPB参数表:

$MFT文件取值0a52e1的定位不是不可以，但这样的参数并不常见。

转跳676577簇，看$MFT:

$MFT正常存在，共占据4852个簇，右上表为详细的簇列表。理论上这个分区里已经记录了约19400个文件。同时注意到，$MFT只有一个DATARUN，表明$MFT是连续存放的，不存在碎片。

既然问题出在了$BitMap文件，我们就重点关注它。跳6号文件：

$BitMap文件记录良好，存放始于10158734号簇，连续占用1033簇。

再转10158734号簇：

呵呵，一团乱麻。疑似被什么数据覆盖。

由于$MFT被数据覆盖，接下来，我们看看原来的19400个文件记录里还剩下多少：

结果出来了，只有417个。原来正常存储的将近19400个文件，现在要恢复，要保持原来的目录结构和文件名，是一件不可能的事，也就是说，假设原来的文件体没覆盖，最好的恢复结果，除了最多400个文件（必须剔除元数据文件）有名字，其他只能是按文件类型恢复。要知道，即使19000个文件能恢复出来，这些文件只能保留一个数据编号，那后期的文件整理工作量也是相当大的。

一个正常的文件系统，$MFT是不会被系统数据所改写的。这些写入的数据，只可能是后期写入。考虑到客户是重装系统变的大C盘，那这些数据的写入时间，应该在系统重装的同时，或者以后。

下面，让我们看看到底是什么数据覆盖了原第二个分区的$MFT。

客户拿盘过来时，是一个160GB的大C盘，所以我下边对分区进行还原，回复客户拿过来的初始状况：

更改DPT参数，保存，卸载，再加载：

OK。现在大C盘已经正常解析出来了。

通过下面的图，我们可以看到，系统的重装时间为：2102-08-20 21：38：35

在这里，我们还看到客户从2012-08-25 中午12点开始，从网上下载一些数据恢复软件，试图自己进行数据恢复所作的尝试：

这些个软件都大名鼎鼎，网上的相关介绍，想必能看到这篇文章的人都看过，总之，功能都是无比强大——“无敌”、“超级”、“EASY”……。不信的话，你google一下试试。

网上这些个软件，在一定的条件下，有时真还能起点作用，但想靠这些个傻瓜软件一切问题，并不现实。

不幸的是，这一回，客户所做的努力，其结果并不是她所期待的。否则，这块硬盘也不会送到我的手上来。

转正题。还是以我们前边看到遭破坏的原第二分区的3095号MFT记录为例：

注意到原第二分区的起始位置为：41945778 SEC，则原3095号记录相对于大C盘所在扇区号应为：41945778+686577*8+3095*2-63=47364521 SEC。

按此数跳转：

看到没？当前文件为：\Program Files\OkDataRecovery\OkDataRecovery.EXE。

回过头来看看这个文件的写入时间：2012-08-19 23:36:26。8月19日的晚上十一点半，如果客户电脑时钟没错的话。

从时间顺序上看，客户从8-19开始试图对丢失的数据进行恢复。直到8-25还在尝试用不同的软件恢复。但十分不幸的是，安装的第一个数据恢复软件，就造成的$MFT的覆盖。后边陆续写入的数据，加重了覆盖程度。

用另一个工具，我们统计一下客户在8月20日以后的数据写入量，达2.93GB。

OK。分析到此，本案例可告一段落了。

通过本案例的解析，希望能看到些文章的读者，能领悟到些什么。

最后提醒一下：

第一，重要数据丢失，别轻易往原盘写任何数据！要知道，被覆盖数据是不可恢复的。

我们的这位客户，本想自己通过一些软件来恢复已经丢失的数据，没想到，自己的不规范操作，使得自己成为了这些重要数据的真正杀手。

第二，寻求专业数据恢复机构或者数据恢复专业人员的帮助！

现在的数据恢复市场鱼龙混杂。电脑城里，随处可见到一些小摊上，挂一块“数据恢复的”牌子就号称数据恢复的。其实，这些小摊中，绝大多数人的能耐，也就是在网上Down些傻瓜软件，随意扫描一下，出来些数据就管收钱，他们并不关心你丢失的数据是否真正找回。他们所能做的，你也能做。我真还接到过不少在这样的小摊上恢复失败再送过来的例子。其中的很大一部分，有不同程度的数据覆盖。

真正有实力的专业机构，通常是租用专用的写字间作为办公场地，他们有着较完善的专业设备、专业知识和专业技能。也有与常人不同的职业责任感。

第三，真正的重要数据，要有备份。而且是备份于不同的存储介质上。

数据无价，务必谨慎！