以下为详细讲解内容：

一、分区是否被格式化操作判断

在实际生活和业务工作中可能会遇到分区被“格式化”操作，造成相关的重要数据丢失，特别是实际案件中对于破坏分区涉案数据经常会遇到这种情况。分区格式化数据恢复，首先需要判断分区是否被执行格式化操作，常见的判断方法有以下2种：

第一种，可以根据分区中文件系统的文件创建时间来判定。

第二种，通过类似于winhex底层查看分区数据，通过底层数据的存储情况确认分区是否有实际数据。

二、格式化原理

了解熟悉分区格式化操作的原理，有利于我们尽可能全面恢复分区中的数据。硬盘格式化分为3种类型：快速格式化、高级格式化、低级格式化，每种格式化原理不同，对数据造成的破坏不同。

快速格式化：重建文件管理系统，数据区不变。

图片

高级格式化：重建文件管理系统，对数据区清零。

图片

低级格式化：介质检查，磁盘介质测试，划分磁道和扇区，对每个扇区进行编号（C/H/S），设置交叉因子，针对整块硬盘数据存储区域进行覆盖，常用于硬盘涉密数据销毁。

三、格式化后数据恢复

高级格式化和低级格式化后数据都不能恢复，所以此次实操主要探讨的是对执行快速格式化操作后分区数据的恢复。

根据快速格式化分区的原理，分区原有文件管理系统已经被删除然后被后写入的文件系统数据覆盖，且文件的文件名称、时间属性、相关文件状态标识等文件属性是存放在文件系统中的，所以不能通过常规删除数据恢复的方式来恢复数据，可以通过文件签名恢复技术恢复分区数据，即按文件内容结构进行不同类型文件数据恢复。

快速格式化后，新写入的分区文件系统不会完全覆盖原有分区删除的文件系统，可能存在文件系统残留目录，因此可以通过文件系统残留目录恢复的方法尽可能恢复更多的数据。

分区快速格式化操作数据恢复实战模拟：

恢复工具：DRS6800数据恢复系统

恢复源：VHD虚拟磁盘

1. 虚拟磁盘模拟

（1）右键此电脑（或计算机或我的电脑），选择“管理”，选择“磁盘管理”，进入Windows7/8/10磁盘管理器；

（2） 在导航栏“操作”选择创建VHD虚拟磁盘（逻辑存储等同于物理磁盘）；再根据相关选择设置虚拟磁盘路径、大小等相关信息；

（3）对虚拟磁盘进行初始化，然后右键虚拟磁盘区域选择新建简单卷根据提示创建分区，再对分区中拷贝足够多的数据（可以使恢复效果更接近实际情况）。

2.对分区执行快速格式化操作

格式化之前分区中数据

分区快速格式化操作

格式化后分区中数据

3.选择数据恢复工具（实操中的数据恢复软件为效率源DRS6800数据恢复系统）进行签名恢复及残留目录恢复

（1）打开数据恢复软件，选择“数据恢复”。

（2）添加虚拟磁盘镜像文件，选择格式化操作的分区，选择深度扫描（DRS6800中深度扫描可以支持快速格式化分区签名恢复和残留目录恢复同时进行），选择“开始扫描”。

4. 文件确认及保存

残留目录恢复，可看到文件目录名称及相关属性；

签名恢复，根据文件类型恢复，确实文件名称等相关文件属性；

保存所有恢复文件。

四、注意事项

1.当分区提示格式化的时候应注意以下几点：

（1）提示格式化对话框，点击“取消”；

（2）使用数据恢复工具快速扫描恢复；

（3）若快速扫描无法出现数据，则需通过FSR （文件签名恢复提取技术）；

（4）若恢复过程“卡死”“报错”，硬盘此分区有坏道影响，建议可以选取有效目标文件逐一恢复或磁盘对磁盘镜像。

2.如何简易判断分区可能被格式化操作

可以根据分区中文件系统的文件创建时间来判定；

通过类似于winhex底层查看分区数据，通过底层数据的存储情况确认分区是否有实际数据。

3.分区执行格式化操作后，如果想恢复数据，切记不能再往分区中写入数据；

4.分区被格式化后，原有分区的文件目录可能被覆盖破坏，对于覆盖破坏后原分区残留目录恢复有利于还原原始目录结构（原有分区文件存储信息）；

5.残留目录恢复的数据并不是所有数据，切记一定要结合签名恢复一起进行；

6.签名恢复由于是按文件类型执行的恢复操作，对于一些特殊文件需要先分析其文件结构，手动添加文件签名标志，然后才能通过签名恢复恢复其文件，如图所示；

7.对于一些小文件（文件存储位置在MFT文件记录中），分区格式化后此类文件极大可能会被完全覆盖无法恢复；

8.本文为实操案例模拟练习文章，内容为数据恢复基础性知识，仅供参考，如有不足之处，欢迎斧正。