wesmar/FileRecoveryTool

# KVC 文件恢复工具  **专业级 Windows 文件恢复工具 • 超轻量 • 零依赖** 一款高性能取证工具，通过直接读取原始磁盘扇区，从 NTFS、FAT32 和 exFAT 文件系统中恢复已删除的文件。 ## 🚀 功能特性 - **多文件系统支持**：NTFS（MFT 解析、驻留/非驻留属性）、FAT32（LFN 条目、簇链）、exFAT（分配位图） - **三阶段恢复引擎**： 1. **MFT 扫描** - 通过文件记录标志即时恢复最近删除的文件 2. **USN 日志分析** - 从 NTFS 变更日志历史记录中恢复文件，即使 MFT 条目被覆盖也能恢复 3. **文件雕刻** - 使用文件签名（PNG、JPG、PDF、ZIP、Office 文档、视频、压缩包）进行深度扇区扫描 - **纯原生代码**：Win32 API + Modern C++ (RAII、智能指针、模板) - 无 Qt、MFC 或 .NET 臃肿组件 - **多线程架构**：响应式 UI 与后台扫描 - **安全至上**：内置验证防止覆盖源驱动器上的数据 ## 📋 系统要求 - Windows 10/11 (64-bit) - 管理员权限（直接磁盘访问所需） - Visual Studio 2026 (默认 slnx) 用于从源代码构建 ## 🔧 构建 1. 克隆仓库 2. 在 Visual Studio 2022+ 中打开解决方案 3. 将配置设置为 **Release | x64** 4. 构建解决方案 生成的可执行文件是独立的，没有外部依赖项。 ## 💡 使用说明 1. **以管理员身份运行**（扇区级磁盘访问所需） 2. **选择驱动器** - 选择要扫描的逻辑驱动器（C:、D: 等） 3. **配置扫描**： - **MFT**：快速，推荐用于 NTFS - **USN 日志**：查找删除历史记录 - **文件雕刻**：针对已格式化/损坏驱动器的深度扫描（较慢） 4. **筛选**（可选）：输入文件夹路径或文件名以缩小结果范围 5. **扫描**：点击“Start Scan”（开始扫描）- 结果实时显示 6. **恢复**：选择文件并点击“Recover Selected”（恢复所选） - ⚠️ **重要提示**：始终保存到不同的驱动器，以避免覆盖可恢复的数据 ## 🏗️ 架构 - **DiskForensicsCore**：通过带有 `\\.\PhysicalDrive` 语义的 `CreateFile` 进行直接磁盘 I/O - **NTFSScanner**：手动 MFT 记录解析、数据运行解释、路径重建 - **FileCarver**：基于签名的恢复，具备智能文件大小检测 - **RecoveryEngine**：安全的文件恢复，包含源驱动器验证 - **GUI**：纯 Win32 API 配合现代通用控件（ListView、ProgressBar） ## 📦 支持的文件类型 **图片**：PNG, JPG, GIF, BMP **文档**：PDF, DOC/DOCX, XLS/XLSX, PPT/PPTX **压缩包**：ZIP, RAR, 7z **媒体**：MP4, AVI, MKV, MP3, WAV ## ⚠️ 重要提示 - 始终恢复到与源盘**不同的物理驱动器** - 文件删除后立即停止向源驱动器写入数据，以获得最佳恢复效果 - 文件雕刻的成功取决于扇区是否已被覆盖 ## 📄 许可证 MIT 许可证 - 详情见 LICENSE 文件 ## 👨‍💻 作者 Marek Wesołowski - WESMAR https://kvc.pl **注意**：此工具访问原始磁盘扇区。请谨慎使用，并始终维护备份。

标签：exFAT, FAT32, HTTP工具, LangChain, Linux, MFT解析, Modern C++, NTFS, USN日志, Win32 API, 免安装, 取证工具, 域环境安全, 底层磁盘访问, 数据恢复, 文件恢复, 文件雕刻, 深度扫描, 硬盘数据恢复, 磁盘扫描, 系统工具, 网络信息收集, 误删恢复, 轻量级