粉碎机软件都粉碎了什么为什么不能恢

测试粉碎工具

文件系统：NTFS

测试文件：1.zip2.zip3.zip

粉碎工具试一下到底删除了些啥？

一、首先我们新建一个VHD格式化成NTFS，然后往里面保存1.zip、2.zip、3.zip，先看一下三个文件的MFT的位置和数据截图，对比查看粉碎后与粉碎前的MFT修改

二、确定一个文件内容的位置，用于粉碎后查看是否对数据清0x00

三、确认文件簇号，对比BITMAP是否回收

四、查看目录INDX索引记录，INDX中Item记录了同样的文件属性数据

五、确认BITMAP，粉碎后是否回收空间

六、我们现在开始使用工具粉碎，首先把1.rar文件拖进去，但不勾选下面的“防止恢复”和“防止文件再生”，然后粉碎文件

1、删除后，看一下MFT，可以看到只是属性标志位由原来的0x01(正常文件)标记为0x00(删除文件)，也就是和你delete正常文件删除一样

2、看一下文件内容，发现文件内容还在，也就是只是delete删除，并没有对数据做任何的擦除操作，完全可以恢复

3、看一下目录INDX索引，发现原来便宜处为1.zip，现在变成2.zip，把2把1的位置给覆盖了(这个后面细说，通过volume新生成的卷标目录)

4、看一下bitmap，通过跳转计算，发现原1.zip空间已经被回收释放

五、我们现在粉碎第二个文件2.zip，这次我们勾上“防止恢复”，开始粉碎

1、发现原来的2.zip文件名已经改变成

2、看一下MFT，对比没有删除前得出如下，MFT项中0x08偏移处日志序列号改变，文件属性由原来正常0x01改成0x00和正常删除一样，由于文件名改变，ox10和0x30属性都发生了改变

3、看一下文件内容，发现文件内容都已经被清0，数据无法恢复

4、bitmap就不用看了，肯定释放了

5、看一下INDX索引，处理情况和删除一样

六、我们现在粉碎第三个文件3.zip，这次我们勾上“防止文件再生”，开始粉碎

1、看一下MFT，和文件1一样，更改属性为0x00

2、查看文件内容，发现文件内容还真实存在

3、查看INDX索引目录，发现和文件1、2一样

总结时间：

第一：如果只是把文件添加到粉碎机粉碎，这个过程基本和你在电脑上点击删除是一样的，只是它帮你删除而已，所有删除过程应该也只是调用系统API进行删除操作

第二：勾选，这个过程还是可以了，首先粉碎机会修改MFT中的10和30属性，将文件名修改，然后将文件数据块全部填入0x00，这样的话，文件内容将无法恢复，通过MFT恢复文件属性也将无法恢复，也就是通过对MFT即恢复不了文件内容，也无法知道曾经有这样一个文件存在

第三：勾选文件内容还在，MFT也还在，如果我们只是