• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    硬盘基地手机版
  • 关注官方公众号
    微信扫一扫关注
    硬盘基地公众号
  • 恢复删除的文件 WinHEX NTFS文件系统

    2014-7-3 15:29| 发布者: 蝴蝶| 查看: 5097| 评论: 12|来自: 电脑维修培训

    摘要: 用winhex恢复刚删除的一个或是几个文件winhex的效率比数据恢复软件还是比较高的,用winhex对底层数据进行分析并恢复数据。以我的电脑D盘的下载文件下的文件为例。电脑D盘的下载文件下的文件为例接下来删除这个文件。 ...
           用winhex恢复刚删除的一个或是几个文件winhex的效率比数据恢复软件还是比较高的,用winhex对底层数据进行分析并恢复数据。以我的电脑D盘的下载文件下的文件为例。
    电脑D盘的下载文件下的文件为例

    接下来删除这个文件。shift+delete
    删除这个文件
    删除文件

    文件已经删除
    现在用winhex打开D盘
    用winhex打开D盘
    首先从DBR找到文件记录开始的位置,我这里是C0000(十六进制)转换过来时786432号簇,每簇是8个扇区(786432*8=6291456扇区)
    从DBR找到文件记录开始的位置
    跳转到$MFT第一个文件记录的位置,搜索drivethelife6_setup.exe文件名(注意文件名是以unicode字符存储的)。在6310826扇区找到目录项。
    搜索drivethelife6_setup.exe文件名

    通过对目录项分析下一个文件记录就是要找的文件drivethelife6_setup.exe的位置。
    文件drivethelife6_setup.exe的位置

    记录号

    属性

    接下来计算文件的位置了。
    第一个 32 8B 00 74 8A 20 开始位置(十六进制 20 8A 74)转换为十进制是2132596簇,占用(十六进制00 8B) 139个簇。转到2132596号簇,139*8=1112 向下偏移1112个扇区,然后复制到新文件。
    位置 

    文件属性

    转到

    PE文件头

    转到偏移位置

    第二个 32 1E 06 CF D6 FB 开始位置(十六进制 FB D6 CF 这个是负数 转换成二进制111110111101011011001111)然后逐位取反末尾家1转换为十进制是-272689用2132596+(-272689)=1859907簇,占用(十六进制06 1E) 1566个簇。到相应位置复制到新文件

    相应位置复制到新文件

    第三个 31 61 28 64 01 开始位置(十六进制 01 64 28)转换为十进制是91176簇,占用(十六进制61) 97个簇。用2132596+(-272689)+91176=1951083号簇,97*8=776 向下偏移776个扇区,然后复制到新文件。
    复制到新文件

    第四个 32 E2 04 E5 CE E3 开始位置(十六进制 E3 CE E5 可以看出这里又是一个负数,转换成二进制 111000111100111011100101)然后逐位取反末尾家1转换为十进制是-1847579簇,占用(十六进制04 E2) 1250个簇。用2132596+(-272689)+91176+(-1847579)=103504号簇,1250*8=10000 向下偏移10000个扇区,然后复制到新文件。
    第四个 32 E2 04 E5 CE E3 开始位置

    下图是恢复出来的四个碎片文件,要合并后才可以用。
    恢复的四个文件

    下面合并文件。

    正在合并文件
    合并完成的文件。
    合并完成

    看文件是否可以运行。可以运行。
    运行文件

    可以运行
    复结束

    开心
    2

    鄙视
    13

    鼓掌

    愤怒

    可怜

    刚表态过的朋友 (15 人)

    该文章已有12人参与评论

    请发表评论

    全部评论

    查看全部评论>>

    扫描微信二维码

    查看手机版网站

    随时了解更新最新资讯

    .

    在线客服(服务时间 9:00~18:00)

    在线QQ客服
    .
    Email:9443120@qq.com
    移动电话:13011628855

    Powered by Intohard X1.0© 2001-2013 Inhdd Inc.( 鲁ICP备09029790号 )