格式化的底层分析

格式化其实就是给分区创建一个文件系统，首先看一个有数据的FAT16分区，然后将其格式化，并分析格式化后原来数据的改变。

图4-266是一个FAT16分区“J”中的数据，一个文件“kuihua.jpg”和一个文件夹“123”。

图4-266　一个FAT16分区“J”中的数据

文件夹“123”下有一个文件“123.jpg”，如图4-267所示。

图4-267　文件夹“123”下的文件“123.jpg”

该分区的FAT表的部分内容如图4-268所示。

图4-268　FAT16分区“J”的FAT表的部分内容

该分区的FDT的部分内容如图4-269所示。

图4-269　FAT16分区的FDT的部分内容

FDT中是文件夹“123”及文件“kuihua.jpg”的目录项。

文件夹“123”下的文件“123.jpg”的文件目录项如图4-270所示。

图4-270　文件夹“123”下的文件“123.jpg”的文件目录项

文件“123.jpg”的文件目录项之前还有两个目录项，它们是“.”目录和“..”目录的目录项。

现在将这个FAT16分区“J”格式化，如图4-271所示。

图4-271　格式化FAT16分区

格式化后再来看这个分区的FAT表，发现FAT表除了0号FAT项和1号FAT项以外，已被完全清空，如图4-272所示。

图4-272　格式化后FAT表被清零

跳转到FDT区，看到FDT也被完全清零，如图4-273所示。

图4-273　格式化后FDT被清零

再跳转到子目录区，发现文件夹“123”下的文件“123.jpg”的目录项还在，如图4-274所示。

图4-274　文件夹“123”下的文件“123.jpg”的目录项依然存在

格式化之后文件的恢复

从前面的分析可以看出来，FAT16文件系统格式化之后，FAT表的簇链全部清零，FDT区中的文件目录项也被清零，所以根目录下的文件就很难被恢复了，因为没有目录项就无法知道这些文件名及它们存放的地址。

子目录的目录项还保存着，没有被清零，所以子目录下的文件是有机会恢复的，如“123.jpg”这个文件，从图4-274中可以看出文件开始簇号为07H，文件大小为03BD00H（十进制值为244 992），跳转到7号簇，其部分内容如图4-275所示。

图4-275　文件“123.jpg”的数据

只要从7号簇所在扇区开始，连续选中244 992字节，并另外保存，就可以将文件恢复。具体做法在前面讲过，这里就不再演示。