diskgenius
硬盘基地 硬盘基地 数据恢复 硬盘 查看内容

恢复删除的文件 WinHEX NTFS文件系统

2014-7-3 15:29| 发布者: 蝴蝶| 查看: 10470| 评论: 16|来自: 电脑维修培训

摘要: 用winhex恢复刚删除的一个或是几个文件winhex的效率比数据恢复软件还是比较高的,用winhex对底层数据进行分析并恢复数据。以我的电脑D盘的下载文件下的文件为例。电脑D盘的下载文件下的文件为例接下来删除这个文件。 ...
       用winhex恢复刚删除的一个或是几个文件winhex的效率比数据恢复软件还是比较高的,用winhex对底层数据进行分析并恢复数据。以我的电脑D盘的下载文件下的文件为例。
电脑D盘的下载文件下的文件为例

接下来删除这个文件。shift+delete
删除这个文件
删除文件

文件已经删除
现在用winhex打开D盘
用winhex打开D盘
首先从DBR找到文件记录开始的位置,我这里是C0000(十六进制)转换过来时786432号簇,每簇是8个扇区(786432*8=6291456扇区)
从DBR找到文件记录开始的位置
跳转到$MFT第一个文件记录的位置,搜索drivethelife6_setup.exe文件名(注意文件名是以unicode字符存储的)。在6310826扇区找到目录项。
搜索drivethelife6_setup.exe文件名

通过对目录项分析下一个文件记录就是要找的文件drivethelife6_setup.exe的位置。
文件drivethelife6_setup.exe的位置

记录号

属性

接下来计算文件的位置了。
第一个 32 8B 00 74 8A 20 开始位置(十六进制 20 8A 74)转换为十进制是2132596簇,占用(十六进制00 8B) 139个簇。转到2132596号簇,139*8=1112 向下偏移1112个扇区,然后复制到新文件。
位置 

文件属性

转到

PE文件头

转到偏移位置

第二个 32 1E 06 CF D6 FB 开始位置(十六进制 FB D6 CF 这个是负数 转换成二进制111110111101011011001111)然后逐位取反末尾家1转换为十进制是-272689用2132596+(-272689)=1859907簇,占用(十六进制06 1E) 1566个簇。到相应位置复制到新文件

相应位置复制到新文件

第三个 31 61 28 64 01 开始位置(十六进制 01 64 28)转换为十进制是91176簇,占用(十六进制61) 97个簇。用2132596+(-272689)+91176=1951083号簇,97*8=776 向下偏移776个扇区,然后复制到新文件。
复制到新文件

第四个 32 E2 04 E5 CE E3 开始位置(十六进制 E3 CE E5 可以看出这里又是一个负数,转换成二进制 111000111100111011100101)然后逐位取反末尾家1转换为十进制是-1847579簇,占用(十六进制04 E2) 1250个簇。用2132596+(-272689)+91176+(-1847579)=103504号簇,1250*8=10000 向下偏移10000个扇区,然后复制到新文件。
第四个 32 E2 04 E5 CE E3 开始位置

下图是恢复出来的四个碎片文件,要合并后才可以用。
恢复的四个文件

下面合并文件。

正在合并文件
合并完成的文件。
合并完成

看文件是否可以运行。可以运行。
运行文件

可以运行
复结束

开心
2

鄙视
15

鼓掌

愤怒

可怜

刚表态过的朋友 (17 人)

发表评论

最新评论

引用 爱学习的Rudens 2019-11-4 21:15
实用性很强,谢谢大佬。那如果不记得自己删除的文件名该怎么办?
引用 beiyao 2019-3-10 12:52
问下大佬,就是你文件删了用底层软件打开D盘,磁盘快照一下里面不是还可以找到删除的文件吗??
引用 anrank 2018-9-28 11:20
学习了,学习了。。。。
引用 穿越那片星空 2018-9-27 20:35
学习了,学习了!
引用 有毒有害物质 2018-8-12 23:01
学习了学习了
引用 15830123913 2018-5-13 14:02
学习了
引用 丿数据恢复丶张 2018-4-30 19:25
学习了
引用 wcw 2017-10-30 11:53
你好,当文件删除后,在$MFT中如何查找,为什么我用你的方法找不到?
引用 wenxueshan 2017-10-27 11:50
高手,受教了
引用 数据恢复小学生 2017-2-24 23:56
虚心学习,脚踏实地。
引用 数据恢复小学生 2017-2-24 23:50
虚心学习,脚踏实地。
引用 yy2016 2016-11-12 16:34
学习学习
引用 466827041 2015-10-20 12:03
好帖,必须要顶啊
就是网站的水印太大了,影响到观看了
引用 512549046 2015-6-30 09:38
受教了
引用 ifantasy 2015-6-29 11:56
好厉害 学习了
引用 wqb0391 2015-6-6 18:28
受教了

查看全部评论(16)

寻好东西

SSD固态硬盘使用40000小时掉盘问题:SAS企业级固态固件修复

SSD固态硬盘使用40000小

固态SSD硬盘数据丢失风险难道很大?日前HPE惠与公司的多款SAS企业级S

受损不识别的SSD固态硬盘数据恢复 数据恢复工程师知识

受损不识别的SSD固态硬

SSD固态硬盘数据恢复中相同主控型号有的可以恢复,有的不可以恢复,

PC-3000数据恢复便携式III:支持M.2 NGFF PCI-e NVMe固态硬盘数据恢复

PC-3000数据恢复便携式I

PC-3000便携式III:新功能和支持的设备PC-3000便携式III的精心设计和

返回顶部