admin管理员组文章数量:1643282
目录
第20课时.格式化对文件系统做了什么操作
格式化对文件系统做了什么操作?
第21课时.格式化的恢复-虚拟子目录
第22课时.格式化的恢复-手工提取根目录下文件
课后实践
总结:
第23课时.格式化的恢复-手工计算DBR参数
课后实践
第24课时.格式化的恢复-取巧获得DBR参数
第25课时.磁盘未被格式化恢复-利用备份的DBR恢复
课后实践
干货
第26课时.磁盘未被格式化恢复-用系统格式化默认参数恢复
第27课时.磁盘未被格式化恢复-手工计算DBR参数
干货:
第28课时.文件或目录损坏的原因和恢复方法
原因:FAT表损坏
课后实践
第29课时.文件名变乱码的恢复方法
干货:
课后实践
扩展一下
第30课时.磁盘未被格式化恢复-根据FAT表算出簇大小
课后实践
第20课时.格式化对文件系统做了什么操作
格式化对文件系统做了什么操作?
- DBR里面的参数改变
- 1号扇区里面的参数改变
- FAT1和FAT2被清空
- 根目录也被清空,如果有卷标 那么会有一条卷标目录项
第21课时.格式化的恢复-虚拟子目录
目的:手工提取根目录下文件夹内文件
因为盘被格式化,根目录消失,目录项,数据区不丢失
一般是一下格式(根目录文件夹):
2E 2E 20 20 20 20 20 20 20 20 20 3F 3F 3F 3F 3F
3F 3F 3F 3F 00 00 3F 3F 3F 3F 00 00
2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F0000
放到根目录里(不是FAT表里)视频讲解出错(这是一个目录项)
312020202020202020202010001C5AA29045904500005BA29045430C00000000
322020202020202020202010001C5AA29045904500005BA29045460C00000000
332020202020202020202010001C5AA29045904500005BA290456B8200000000
342020202020202020202010001C5AA29045904500005BA29045249D00000000
352020202020202020202010001C5AA29045904500005BA29045A29D00000000
右键选中恢复
好使
第22课时.格式化的恢复-手工提取根目录下文件
目的:手工提取根目录下文件
- 常用文件搜索关键词
-
- ZIP压缩包:开头:50 4B 03 04 结尾:50 4B 05 06 00 00
- 直接搜索TXT文件内容:ANSI码
课后实践
目的:恢复被格式化盘里的根目录下的rar压缩包
思路寻找ZIP格式的特征码------>开头:50 4B 03 04 结尾:50 4B 05 06 00 00
- 格式化
- 打开Winhix
- 翻车了(自己放了个ZIP文件---->格式化)
- 后来才发现题目是RAR课上学的是ZIP
- 那就在电脑上生成一下RAR文件
- 结果电脑上的好压不支持RAR压缩包的操作
-
- 找啊找,学习文件里有
- 找相同的特征码(RAR)
-
- 开始:526172211A070100 结尾:1D77565103050400
- ZIP管用
- RAR没找到
- 那就自己建一个.RAR的文件---->格式化吧
- 搜索到了
-
- 头
- 尾巴
- 复制到新文件
-
- 好使RAR
总结:
- 常用文件搜索关键词
-
- ZIP压缩包:开头:50 4B 03 04 结尾:50 4B 05 06 00 00
- ZIP压缩包:开始:526172211A070100 结尾:1D77565103050400
- 直接搜索TXT文件内容:ANSI码
- 在电脑上,对比找一个文件的特征码,查找就能搞定
第23课时.格式化的恢复-手工计算DBR参数
又是重点???
目的:解决文件夹的簇和当前扇区不一致(DBR参数改变)
- 子目录实际扇区和 高低簇不一致
- 先获取两个子目录并记录簇号 和 真实扇区号
-
- 3号簇 40976号扇区
- 5号簇 41008号扇区
- 相差32个扇区 相差2个簇 得出 1个簇16个扇区
- 2号簇(根目录--->4扇区)
- 去DBR修改参数
-
- 修改簇大小
- FAT表大小=(根目录-FAT表起始扇区(0E-0F))/2
- 修改两个参数
- 填入DBR
- 验证():FAT表起始扇区号+(FAT表大小*2)=根目录位置
数据恢复基本流程.xmind
课后实践
目的
- 查找目录(记得打上通配符3F)
-
- 2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F0000
- 查找簇和扇区号
-
- 子目录1 43,960号簇 392624扇区 B8 AB
- 子目录2 45,363号簇 403848扇区 33 B1
- 差1403号簇 差11,224扇区 得每个簇扇区数:8
- 修改DBR扇区
-
- 根目录2号簇(40,960)
- 计算每个簇扇区数:8
- 计算FAT表大小(40960-8,282)/2=16339
-
- (根目录-FAT表起始扇区(0E-0F))/2=FAT表大小
- 填入DBR表
- 成功
第24课时.格式化的恢复-取巧获得DBR参数
目的:另一种获取DBR参数
- 搜索子目录
-
- 2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F0000(512-32)
- 获取高低簇
- 重点
- 去虚拟一个磁盘(容量与恢复磁盘一致)
-
- MBR,FAT32
- 这里选择不同的分配单元---->512;1024;【2048;4096;8192;16k;32k;64k】;128k;256k;
- 复制新虚拟的DBR扇区
第25课时.磁盘未被格式化恢复-利用备份的DBR恢复
RAW格式----不识别硬盘系统
- 打开Winhex
- 选择※物理磁盘
- 选择1号分区
- 复制到新文件
课后实践
目的:恢复盘数据
问题:DBR扇区丢失,文件系统不可读取
解决方案:从6号备份DBR扇区,复制到0号DBR扇区
- 通过物理磁盘进入
-
- 选择1号分区
- 打开6号扇区,数据复制到0号扇区(DBR扇区)
- 更新磁盘快照
- 数据恢复成功
干货
6号扇区是备份的DBR扇区,如果DBR扇区损坏,则可以直接复制6号扇区备份
第26课时.磁盘未被格式化恢复-用系统格式化默认参数恢复
RAW----不识别磁盘系统
目的:DBR扇区损坏,备份DBR数据损坏
- 电脑无法识别硬盘格式;DBR顺坏;备用DBR损坏
- 搜索FAT表头{F8FFFF0F----FAT表头部标记---(512-0)------FFFFFF0F---尾巴标记---(0-0)}
- 记录FAT表扇区
-
- 14343扇区(FAT表1先损坏(大概率),这个是FAT表2)
- 创建一个新的虚拟磁盘(容量相同,FAT32,默认值)
- 复制新的虚拟磁盘的DBR到,待恢复磁盘
- 更新磁盘快照
- 把FAT表2数据放到FAT表1数据中 FAT表数据(FAT2头----到----根目录头)
- 查看FAT表开头(偏移00)
-
- 129
- 1个扇区=512字节
- 1个FAT表4字节
- 1个扇区可以有=128个表项
- 填充FAT表头 (F8FFFF0F)
第27课时.磁盘未被格式化恢复-手工计算DBR参数
RAW----不识别磁盘系统
- 通过FAT表或者子目录确定以下参数
-
- 每个簇的扇区数
- FAT表起始扇区号
- 文件的总扇区大小-----左下角Winhex界面
- FAT表大小
干货:
129是第二个FAT表扇区
关键阐述
0D:每个簇的扇区数
0E-0F:FAT表起始扇区号
20-23:文件的总扇区大小-----左下角Winhex界面
24-27:FAT表大小
第28课时.文件或目录损坏的原因和恢复方法
根目录FAT表损坏,导致磁盘无法读取(提示目录损坏)-----FF FF FF 0F
目录对应的FAT表损坏,会导致目录损坏
原因:FAT表损坏
修复方法:
- 直接在winhex里复制出来
- 修复FAT表项
课后实践
目的:修复虚拟磁盘镜像文件中文件夹名为《12345》的FAT表项
我一脸懵逼:表示《12345》能打开啊---动画片很好看
搞掉文件对应的FAT表项
- 文件夹《12345》 对应簇----18,886簇 628864扇区(对应正确✔)
- 保存一下目录的FAT表,避免翻车
-
- 成功制造困难
- 寻找目录的高低簇号
-
-
- 18,886号簇
-
-
- 找到FAT表 因为1个簇是4字节 则18,886号簇=75,544字节
- 从FAT表00项偏移75,544字节,并填充FF FF FF 0F
- 拓展一下
-
- FAT1全部填充00
-
-
- 通过FAT表2备份恢复
- 构建FAT表
-
-
-
-
-
- 根目录可读取
-
-
-
-
-
-
- 全填充FF FF FF 0F 也可
-
-
-
-
-
-
- 然后可直接在WinHex复制到新文
-
-
-
第29课时.文件名变乱码的恢复方法
目的:文件名变乱码并修复
- 通过点击目录框,得到扇区
- 把扇区转为十六进制
- 构建文件夹数据----填入高低簇号
-
- 2E 2E 20 20 20 20 20 20 20 20 20 3F 3F 3F 3F 3F
- 3F 3F 3F 3F 00 00 3F 3F 3F 3F 7C 2B 00 00 00
- 搜索
- 虚拟子目录
- 填入高低簇号
干货:
- 构建文件夹数据----填入高低簇号
-
- 2E 2E 20 20 20 20 20 20 20 20 20 3F 3F 3F 3F 3F
- 3F 3F 3F 3F 00 00 3F 3F 3F 3F 7C 2B 00 00 00
- 00 00 7C 2B 表示对应子目录下的目录
课后实践
(给的硬盘镜像目录下文件,是没有问题的)
- 秉承着没有困难制造困难的目的
- 那就按他的意识把根目录给搞坏
-
- 很棒
- 构建文件夹目录
-
- 2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F000000000000
- 查找目录项
- 查到6个根目录下的目录
-
-
-
- 目录1 03 00
- 目录2 E3 2C
- 目录3 4E 2E
- 目录4 1F 35
- 目录5 22 35
- 目录6 24 35
-
-
- 添加到虚拟目录项目的高低簇中
-
-
- 根目录的文件夹虚拟成功
-
- 妥了
扩展一下
破坏子目录(目录项破坏)
目录项目破坏
- 刚才子目录“1”下有一个文件夹,经过破坏后
- 查看目录 “1”的扇区号:24608 第3号簇 十六进制:00 03
- 构建子文件夹结构
-
- 2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F0300
-
- 注意高低簇的位置
- 搜索十六进制数据
-
- 找到一个文件夹(得知:4号簇)
- 虚拟子目录
- 数据恢复正确
第30课时.磁盘未被格式化恢复-根据FAT表算出簇大小
目的:根据FAT表算出簇大小
- 查询FAT表
-
- F8FFFF0 定位FAT表开头
- 记录 FAT表1头 AND FAT表2头
- FAT表大小=FAT表2头 - FAT表1头
- 根目录位置=FAT表2头+FAT表大小
- 一共用的簇= 总扇区-根目录位置扇区
- 一共的FAT表项目=FAT表大小*每个扇区 128个表项目
- 簇大小=总扇区数/一共的FAT表项目
- 举例
-
- FAT 1:4170
- FAT 2:18469
- 总扇区号:14673920
- FAT表大小=18469-4170=14,299
- 根目录位置=FAT表2头+FAT表大小=18469+14,299=32768
- 用了簇的扇区=总扇区-根目录位置扇区=14673920-32768=14,641,152
- 一共的FAT表项目=FAT表大小*每个扇区 128个表项目=14,299*128=1,830,272
- 簇大小=总扇区数/一共的FAT表项目=14,641,152/1,830,272=7.999440520316106 (FAT表前两个簇不可使用造成) 约8
-
-
- 实际可用的FAT表项目=一共的FAT表项目-2
-
-
-
-
- 簇大小=总扇区数/一共的FAT表项目=14,641,152/(1,830,272-2)=7.999449261584356 无限接近于8----文件总扇区,
-
-
课后实践
目的:通过FAT表的大小算出簇大小,从而修复DBR
- 打开可爱的Winhex
- 问题:DBR损坏
-
- 寻找簇大小
-
-
- 查找FAT表一定搜索:FFFFFF0F
- FAT1:2076
- FAT2:13326
- 总共扇区号:23062528
- FAT表大小=FAT2-FAT1=13326-2076=11,250
- 根目录位置=FAT2+FAT表大小=13326+11,250=24,576
- 用了簇的扇区=23062528-24,576=23,037,952
- 共FAT表项数=FAT表大小*128=11,250*128=1,440,000
- 簇大小=总扇区数/一共的FAT表项目=23062528/1,440,000=16.01564444444444
-
-
-
-
- 官方一点:一共的FAT表项目=一共的FAT表项目-2
- 簇大小=总扇区数/一共的FAT表项目=23062528/1,439,998=16.01566668842596
-
-
-
-
- 簇大小是16
-
- 新建虚拟磁盘并复制DBR
版权声明:本文标题:WinHex数据恢复笔记-数据恢复与硬件维护-第2章节-FAT32-20-30课时数据恢复 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1729359546a1198533.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论