最近，有一客户移动硬盘误格式化后自己先用恢复软件尝试恢复，无法恢复出数据，接着客户也找了几间数据恢复公司还是恢复无果，后来把硬盘带到我司。

我们工程师拿到硬盘后，先通过前期沟通了解到，客户的硬盘原来是在苹果电脑上正常使用，后来接上Windows系统的电脑上提示格式化，一不小心点到了，导致数据丢失。

1、了解故障后先对硬盘进行全盘镜像备份，后期恢复工作全在镜像备份中操作，以保护源环境。

2、接着先观察格式化后是否对源文件系统造成破坏，发现格式化后没有写入多少数据，只覆盖了部分源文件。

3、通过底层软件访问底层，对底层扇区进行查找分析，发现一个加密扇区。根据经验判断这是一个HFS+的加密分区头，继续向下分析发现，加密元数据并没有严重破坏。

这个时候我们基本可以判断，客户原本是启用了苹果分区自带加密功能，分区数据全部是加密形成存放的，因此，之前的公司都是用些下载的软件去全盘扫描，当然是什么都没有找到。

4、由于加密信息并没有被破坏，所以通过计算，把源分区的大小等信息分析出来，再重写引导，以加密分区的形式把数据通过程序虚拟出来，最后把数据提取到客户的备份硬盘，至此，恢复工作结束。

通过案例的分析来看，数据恢复并没有想象中那么简单，并不是单单靠软件就能恢复的，软件只是工具，想要恢复数据，还需要丰富的经验和专业知识支持。