如何使用winhex来恢复NTFS分区中被删除的文件？在这篇教程中，我想以一个最简单的例子来说明。恢复的前提条件有这么几个：       1、我格式化了一个分区，所以这个分区中是没有任何文件的。

      2、我使用的文件大小小于1K，所以这个文件在NTFS分区的文件记录中的数据属性中是个常驻属性。所以这里不涉及到运行计算的问题，最简单的文件恢复了，以这个恢复例子的过程，可以建立一个数据恢复的大体原理了。

具体操作步骤如下：

 ：建立一个文本文件

      我格式化了我的分区G，分区类型是NTFS，使用快速格式化，正常格式化只在检查磁盘坏道时才有用。。。之后，我在这个分区建了一个文本文件，如下图所示：

      这个文件很简单，内容也很少，我保存这个文件后，然后然后我们来看看这个文件大小信息，如下图所示：

      我们看到，这个文件大小是224个字节，记住了哦，等下恢复这个文件的时候就可以对比一下了咯 嘻嘻 。。。

      之后我就删除了这个文件，现在，我们看看怎么恢复这个文件！

第二：用winhex打开分区

      我们运行winhex，然后点击菜单：工具-->打开磁盘，来打开G盘。如下图所示：

      我们可以找到$MFT这个文件，然后右击它，然后点击打开，之后就会打开这个文件MFT。如下面两个图所示：

      这里为什么要这么做呢？

      因为，我们只需要在MFT找到我们丢失的文件，如果我们在整个分区里搜索并且这个分区很大的话，会要很多时间的，而MFT文件就小得多了， 也就1G左右，这是我人为弄出来的，一般系统是很难见到这么大的MFT文件的，除非你是做服务器，有很多磁盘碎片和小文件。。。

      之后，我们可以点击菜单中的：搜索-->查找文本。如下图所示：

      我们输入我们想要恢复的文件名HelloWorld，而且注意，要选择Unicode。因为MFT的文件名是Unicode形式的，之后就是查找了！

一会我们就找到了这个文件，如下图所示：

      为了能使用WinHex的颜色，我们转到分区去看这个文件记录！首先，我们看到这个文件记录在MFT的偏移地址是7450H，然后我们在winhex中转到我们分区的视图，然后点击MFT文件，这样就偏移到了我们MFT文件的位置，然后选择菜单中的：位置-->转到偏移位置。

      然后输出7450，位置是从当前位置开始！如下图所示：

      之后，我们就找到了这个文件记录，如下图所示：

      我们看图的左边，文件记录号是29，我们看上图的蓝色框，那个是文件记录的标识：FILE。那么我们怎么知道这是个被删除的文件呢，一种办法是直接在文件记录头上看，如上图的红色框，那2字节为文件记录偏移16H处，0表示文件已被删除，1表示这个文件在使用，2表示是个目录等等。

      好，现在我们去查找文件记录中的数据属性，这个属性是80H开头，好在winhex有这个颜色分类，很容易找到，如上图的橙色框所示。

      下面我们集中抽取这个数据属性来分析，如下图所示：

      我们一个一个来分析框中的内容表示的意思， 个红色的框表示这是个数据属性，值是80H。橙色框：0表示这是个常驻属性，即这个文件的内容就在这个文件记录中，如果是1就表示这是个非常驻属性，那么我们要获取数据就得从运行中一个一个的计算获得，这个在下期讲解！

      算：75b0H + 18H = 75c8H。蓝色框的4个字节表示这个文件的数据大小：E0H，折合十进制就是224，即这个文件大小是224个自己，记得我在前面讲过吗，上面还有文件大小的截图呢！绿色框的4个字节表示这个文件的数据的偏移位置18H，这个偏移从这个数据属性的开始位置计算，就是上图中的80H位置，这个位置这样计算：75b0H + 18H = 75c8H。

      然后，我们就可以由这个数据的偏移位置和大小得到这个文件的数据，如紫色框表示。

      最后，我们用鼠标来选择这些数据（选择的数据的颜色会变的），然后点击右键，选择：编辑-->复制选项块-->植入新文件，如下图所示：

      在这里，我们 就选择另外一个分区，不要在要恢复的分区中保存文件，已保证我们的数据不会被覆盖掉！

      这里，我把文件保存在D盘中，也命名为HelloWorld.txt。

u盘术普遍使用成为移动存储数据的一种重要介质同时成为数据恢复上的一大难题下面看华军数据恢复专家关于U盘0字节数据恢复的介绍：

   U盘0字节数据恢复是数据恢复中很常见的一个技术项目，出现这种情况有很多原因，比如说U盘再读取数据的过程中，我们把U盘从电脑中拔下来，又或者是插着U盘的时候外界条件造成的(比如突然断电，突然我们关机了),这都有可能会造成U盘0字节的显现产生，这都是一些常规可见的逻辑错误导致，一般都都是电脑有问题，U盘是才会被损坏出现0字节问题，当然这种问题也不是没有解决的办法。

   很多人在找我们的时候都问是不是只有量产或者格式化才能恢复U盘正常使用，我可以告诉大家这种方式有一定的可适用性，有的U盘进行此类操作后是会从新恢复U盘使用，但不是百 百的，且很重要的一点就此类操作后U盘数据将更难恢复甚至不可恢复，所以请大家酌情而定。U盘0字节从技术方面说只是不正常的使用使U盘引导数据出错，导致U盘不能正常使用，其根本的解决办法就是恢复U盘的引导数据（U盘0字节数据恢复），就可以了。

   U盘0字节数据恢复在恢复U盘的引导数据是可以选择软件恢复也可以选择专业人士恢复，软件不适合重要数据恢复，因为弊端太多，容易造成数据不可恢复，重要数据还是找专业人士通过技术方式恢复。

一种灾难发生的可能是cascading failure。假设运维团队在发布版本时，发布了错误的配置文件，尽管这种分发是在可控状况下进行的，但因为系统在低发布率时崩溃有自愈能力，在更高百分比的发布时，由于可用系统的负载更大，导致可用系统退出服务，最终导致所有可用服务均退出服务，服务宣告彻底不可用。考虑到此公司业务的复杂性，并观察到其技术栈是大部分基于西雅图郊区某公司的技术构建的，几乎可以肯定的是，部分中间件的支持实际上是依赖外部技术支持的。若是中间件或是第三方vendor提供的组件导致错误，很可能本地团队无法做到及时响应。事件发生时大约是太平洋时间下午9点，此时的技术支持很大可能是在印度或是澳大利亚进行的。作者的行业从业经验表明，印度技术支持在很大程度上是无法很快解决技术问题的。若是本地团队没有对应对灾难做出playbook，则很有可能在生产环境故障时束手无措。

应对措施

不管是攻击或是内部故障，有好的备份以及冗余措施，均可以使宕机时间缩短到 。备份问题尽管听起来不可思议，但在实践中，不少企业并未建立起一套检验过的备份系统。备份的意义在于危急时刻可以快速恢复或重建生产系统。在企业网络中，经常出现的问题实际上是：1、备份步骤的瑕疵导致并未完成正确的备份过程2、由于有限的存储空间导致一定时间后因存储空间耗尽导致的随后备份失败3、备份介质受损导致无法成功恢复传统上，磁带因其低造价以及高存储密度使其成为了理想的备份介质。然而，这种传统备份介质的几个致命缺点经常使其内含的数据变得不可存取：1、丢失的磁带索引卡片2、磁带介质在存储过程中受到外界磁场影响3、介质本身损坏4、介质读取过程中被读取设备损坏 此外，磁带备份介质本身一般存储于磁带仓库中，从仓库检索出所需的备份磁带、转