day 1，手工数据恢复

相信现实中朋友们经常会遇到数据丢失误删除的情况，但是使用软件恢复效果有时候不是很理想，笔者也遇到过，今天开始研究手工数据恢复，先来研究NTFS文件系统的数据恢复吧！

首先来聊聊NTFS文件系统，NTFS是新技术文件系统的英文缩写，现阶段作为Windows操作系统的下主流文件系统，NTFS的特性很多，安全性就比FAT32好很多，理论就不多说了，来个例子！

先在磁盘中永久删除一个有文件的压缩包

打开字符编码器，将文件名ADSafe转为Unicode编码

在WinHex中打开磁盘，搜索文件名的Unicode编码，条件向下搜索

在找到的位置找到80属性，并且找到DATA RUN

先找到RUN LIST 中的文件大小并记录：21767

找到文件起始位置：3721

将文件起始位置填入，跳转到扇区

跳转到目标区域后，可以看到文件类型.RAR说明找对了起始位置，在起始位置按住alt+1选中首部，跳转到3721+21767=25488簇

跳转到的簇号前一个扇区，alt+2选取尾部

右键编辑复制选块至新文件保存为文件后缀为rar的文件。

打开保存的ABC.rar，发现正常打开，且测试无异常，恢复文件成功。