winhex
下载链接链接:https://pan.baidu.com/s/1PERs1m0pnARBG9Yxi96zFg
提取码:j38f
6.2.1 文件恢复(jpg)
创建磁盘 如图 27
图 27 创建fat32
加入文件查看hash值 如图28
图 28 sbpk.jpg文件hash值
完全删除文件 如图29
图29 完全删除
通过winhex 查看文件登记项 如图30
图 30 文件登记项
由图可得起始簇号:03
文件大小:7D 54 01 00 转化 87165 字节
起始扇区:(3-2)*8+40960=40968 扇区
结束扇区: 40968+182784/512=41138 扇区
通过起始扇区和结束扇区复制出十六进制,导出文件 如图31
图31 复制十六进制
导出文件恢复成功 如图32
图 32 恢复成功对比hash值
Fat32模板 如图33 ;如图34
图 33 图34 (模板)
当fat32的备份DBR没损坏时,使用WinHex编辑引导扇区,将DBR用十六进制“0”写入 ,保存退出 如图35
图 35 填充数据
模板可知第六扇区为备份扇区,该扇区内容填充到引导扇区 如图36
图36 导入扇区
若备份的Dbr损坏,创建新磁盘 如图37
图 37 新磁盘
将Dbr扇区填充为00,dbr备份扇区同样无法使用,
保存退出 如图38
图 38 填充dbr为00
关闭计算机后,发现清楚dbr的磁盘已经无法打开如图39
图39 磁盘e
使用winhex将,创建相同G盘(fat32)
将G盘中dbr导入e盘中,保存退出,如图40
图40 复制dbr
关机重启后,查看e盘正常打开,文件还在 如图41
图41 查看e盘
6.2.3 Fat表恢复
创建8G磁盘,如图42
图 42 创建磁盘
将磁盘fat1分区填充“00” ,保存退出,如图43
图43 fat1 损坏
查看e盘,无法打开 如图 44
图44 损坏e盘
将fat2分区数据导入fat1分区,保存退出 如图45
图45 E盘正常打开
fat 1 和fat 2 损坏 (填充“00”) 如图46
图 46 填充fat1和fat2
若两个fat都损坏,需要跳转到根目录搜索文件目录项 如图47
图47 文件目录项
Ssss.doc簇号:03
文件大小:02 CA 00 182784 字节
文件占用扇区数:182784/512=357扇区
占用簇:357/8=44 簇
将分析所得的数据填写到FAT表中,FAT1表同下,并保存,
FAT表被恢复 FF FF FF 0F为簇的结束标识 如图48
图48 恢复fat1,fat2
查看E盘,文件完好 如图49
图 49 修复成功
6.2.4 视频大文件恢复
创建fat32 8G磁盘,如图50
图50 fat磁盘
复制视频文件,查看视频文件hash值 如图 51
图51 视频文件hash 值
完全删除视频文件 如图52
图52 完全删除
查看文件登记项 如图53
图54 文件登记项
通过计算:视频文件起始扇区和结束扇区
起始簇号:03
文件大小:37 98 C6 0D 转化 231118848 字节
起始扇区:(3-2)*8+40960=40968 扇区
结束扇区: 40968+182784/512=492372 扇区
将起始和结束扇区的十六进数值导出为文件,对比hash 如图55
图55 导出视频文件hash值
6.2.5 文件夹文件恢复
创建fat32 8G磁盘 如图56
图56 fat32磁盘
导入文件,查看gg.jpg 文件hash值 如图57
图57 hash值
查看文件目录登记项 如图 58
图58 文件登记项
通过计算:视频文件起始扇区和结束扇区
起始簇号:03
文件大小:B6 14 00 00 转化 5203 字节
起始扇区:(3-2)*8+40960=40968 扇区
结束扇区: 40968+5203/512=40978 扇区
起始扇区到结束扇区的十六进制,导出成文件。
保存在桌面,查看hash值,如图59
图59 对比hash值