- 积分
- 1075
- 下载分
- 分
- 威望
- 点
- 原创币
- 点
- 下载
- 次
- 上传
- 次
- 注册时间
- 2010-10-11
- 精华
|
马上注册,获取阅读精华内容及下载权限
您需要 登录 才可以下载或查看,没有帐号?注册
x
用winhex回复删除的文件(NTFS文件系统)
个人认为用winhex恢复刚删除的一个或是几个文件winhex的效率比数据恢复软件还是比较高的,用winhex对底层数据进行分析并恢复数据。
以我的电脑D盘的下载文件下的文件为例。
接下来删除这个文件。shift+delete
现在用winhex打开D盘
首先从DBR找到文件记录开始的位置,我这里是C0000(十六进制)转换过来时786432号簇,每簇是8个扇区(786432*8=6291456扇区)
跳转到$MFT第一个文件记录的位置,搜索drivethelife6_setup.exe文件名(注意文件名是以unicode字符存储的)。在6310826扇区找到目录项。
通过对目录项分析下一个文件记录就是要找的文件drivethelife6_setup.exe的位置。
接下来计算文件的位置了。
第一个 32 8B 00 74 8A 20 开始位置(十六进制 20 8A 74)转换为十进制是2132596簇,占用(十六进制00 8B) 139个簇。转到2132596号簇,139*8=1112 向下偏移1112个扇区,然后复制到新文件。
第二个 32 1E 06 CF D6 FB 开始位置(十六进制 FB D6 CF 这个是负数 转换成二进制111110111101011011001111)然后逐位取反末尾家1转换为十进制是-272689用2132596+(-272689)=1859907簇,占用(十六进制06 1E) 1566个簇。到相应位置复制到新文件
第三个 31 61 28 64 01 开始位置(十六进制 01 64 28)转换为十进制是91176簇,占用(十六进制61) 97个簇。用2132596+(-272689)+91176=1951083号簇,97*8=776 向下偏移776个扇区,然后复制到新文件。
第四个 32 E2 04 E5 CE E3 开始位置(十六进制 E3 CE E5 可以看出这里又是一个负数,转换成二进制 111000111100111011100101)然后逐位取反末尾家1转换为十进制是-1847579簇,占用(十六进制04 E2) 1250个簇。用2132596+(-272689)+91176+(-1847579)=103504号簇,1250*8=10000 向下偏移10000个扇区,然后复制到新文件。
下图是恢复出来的四个碎片文件,要合并后才可以用。
下面合并文件。
合并完成的文件。
看文件是否可以运行。可以运行。
恢复结束,
补充内容 (2014-6-7 11:08):
想学习winhex的11楼有一本很不错的书的下载地址,有兴趣的可以去看看,我看了看写的很不错。 |
购买记录 | 购买人数2 | 价格 | 购买时间 |
|---|
 会员1223976 | 0.5元 | 2019-11-21 22:20 | | 会员488660 | 0.5元 | 2019-4-25 17:55 |
查看所有购买记录
评分
-
查看全部评分
|
[复制链接]
狗仔卡
发表于 2014-6-6 10:47:56
支持!
反对!
收藏
分享
帖子提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
