从 Win 11 恢复已删除的 .wav 文件

假设 Windows 10/11 + NTFS，通常会删除以下文件：

我还假设我们绕过了回收站。删除后：

1. 文件的 $MFT 记录被标记为“未使用”。这是最重要的，因为其余条目仍然完好无损。
2. INDX 被修改，但更重要的是分配给文件的簇在 $Bitmap 中被标记为空闲。

基于文件系统的取消删除或文件恢复工具通常可以在几秒钟内检查$MFT 和$Bitmap。

1 意味着只要该条目没有被重复使用，我们就可以检索诸如文件名、文件的父级（文件夹）以及分配给该文件的完整簇列表等信息（假设所有簇“运行列表”都适合一个 MFT 记录）。

2 表示分配给文件的簇可随时被覆盖。在系统驱动器上，我们需要考虑操作系统不断向驱动器写入数据。此外，我们下载的用于恢复文件的软件、我们安装的用于恢复文件的软件可能会覆盖我们试图恢复的数据。

要恢复完整的文件，我们需要 1 和 2。如果我们丢失了 2，那么恢复就毫无意义了。如果我们只丢失了 1，那么我们就有机会“雕刻”文件。在这种情况下，基于文件系统的恢复和取消删除工具将无法检测到已删除的文件（日志除外）。

PhotoRec 是一个“雕刻机”：它会扫描整个驱动器（尽管它提供了将扫描限制为仅扫描可用空间的选项）并查找“魔法字节”。例如，JPEG 以字节序列 0xFF、D8、FF 开头，如果我们在群集边界上找到这样的序列，那么很有可能我们找到了 JPEG 文件的开头。

由于我们必须扫描整个驱动器（或整个可用空间），如果我们使用 PhotoRec 之类的工具，我们可以看出这远非理想。此外，由于其本质，该工具必然会产生“误报”，并且不会恢复文件属性（例如文件名），因此我们认为基于文件系统的恢复删除工具是更好的选择。

删除的文件多久会被覆盖？

你不知道。虽然有时对已删除文件的扫描确实会检测到几个月前删除的文件，但几分钟前删除的文件也确实已经无法恢复。

这些工具如何评估已删除文件的状态？

许多恢复删除类型的工具会告诉您它们是否“认为”文件可以恢复。它们会给出某个百分比，或者只是简单地说明“好”或“差”。

通过将分配给已删除文件的簇与 $Bitmap 中这些簇的状态进行比较，可以确定这些簇是否“空闲”。如果是，则假定分配给该文件的簇尚未被覆盖。

可以应用的另一种方法是查看文件扩展名是否与“魔法字节”匹配。

现在假设文件从 SSD + Windows 10/11 + NTFS 中删除

Windows 通常会立即向 SSD 发送 TRIM 命令，但这仅涉及与数据簇关联的 LBA 扇区地址。将此视为可能存在例外的经验法则。同样，通常 SSD 的“取消映射”会“修剪”LBA 地址，从那时起，如果我们从 LBA 地址 (RZAT) 读取，则会返回零。

有时会有一些关于是否立即发送 TRIM 命令的讨论，因为 Windows 也运行计划的（每周）TRIM。但立即和计划的 TRIM两个都发生。

$MFT 记录本身不受 TRIM 的影响，它只是被标记为“未使用”。

这意味着：

• PhotoRec 将无法检测到这些文件。
• 基于文件系统的恢复工具可能能够“检测”该文件，但恢复的文件将以零填充。

此视频演示了上述内容：https://youtu.be/NyLQbxnPurc

经验法则的一些例外

• 例外是那些足够小以适合 MFT 条目的文件（小文本文件、.ico 文件等），只要不重复使用 $MFT 记录，就可以恢复这些文件。
• 我看到 Windows 文件系统驱动器在出现文件系统问题时拒绝发送 TRIM 命令。使用 chkdsk 后，修剪再次发生。

这很可能是不可能的，但即使不可能，您也不想恢复它们，因为它们无法使用。WAV 文件存储未编码的原始波形，因此对所有扰动都特别敏感。删除会将文件占用的空间标记为空闲空间，并且内容会随着时间的推移而严重退化。即使恢复，它们也会至少受到一定程度的损坏，听起来非常糟糕，到处都是随机的静态噪音。