技术论坛 › 硬盘数据恢复论坛 › Doc文件恢复一例

杜李敖 发表于 2009-11-25 15:41:06

Doc文件恢复一例

Doc文件恢复一例
存储介质：SONY 4G Mini U盘
故障描述：朋友从电脑拷到U盘两个Doc文件，文件名和内容都是英文的，放在U盘根目录下，当时曾刷新确认过其存在，但未打开过，两天后打开U盘发现这两个文件不存在了。
恢复软件：EasyRecovery，FinalData ，WinHex
恢复思路：盘体正常，其他文件完好，感觉属于一般性文件丢失，用常规软件EasyRecovery，FinalData恢复即可，实在不行就用WinHex喽。
恢复过程：
一、用EasyRecovery恢复，过滤器用“*.doc”,搜索结果如下图：
http://u.intohard.com/attachment/200911/25/195867_1259134198p9VP.jpg
有大量曾删除的Doc文件，经朋友一一确认，没有找到要找的文件。
二、用FinalData恢复，如下图，搜索的比EasyRecovery的还要多，但同样没找到要找的文件。
http://u.intohard.com/attachment/200911/25/195867_1259134199lcib.jpg
三、关键时刻，还得用WinHex。
1、用WinHex打开U盘，搜索Doc文件头D0CF11E0A1B11AE1，如下图：
http://u.intohard.com/attachment/200911/25/195867_1259134199NS81.jpg
2、再搜文件尾，如下图：
4D6963726F736F6674204F666669636520576F72642039372D3230303320CEC4B5B5000A0000004D53576F7264446F630010000000576F72642E446F63756D656E742E3800F439B271
http://u.intohard.com/attachment/200911/25/195867_1259134199r1LX.jpg
这是一个误区，我在这里耽误很多时间，细心一点你就会发现这个文件尾是用Office2007保存的Word97-2003文档，而我要找的是用Office2003保存的Word2003文档（后来发现的），如下图：
这才是Word2003的文件尾
4D6963726F736F6674204F666669636520576F726420CEC4B5B5000A0000004D53576F7264446F630010000000576F72642E446F63756D656E742E3800F439B271
http://u.intohard.com/attachment/200911/25/195867_1259134200rGzG.jpg
到这里也许你会认为能轻而易举的找到要找的文件了，事实相反，由于文件较多，一个一个傻找的话会很浪费时间。
根据本人对Doc文件的研究，英文的句号以及后面的空格的16进制数据是2E2020202020，有多少空格就有多少20。如下图所示：
http://u.intohard.com/attachment/200911/25/195867_125913419919sK.jpg
3、于是就搜索2E2020202020（由于是文件体的一部分就暂称文件体），结果如下：
http://u.intohard.com/attachment/200911/25/195867_1259134200z7fO.jpg
嘿嘿！点击对文件体搜索的结果，就看到了上图中的大量的英文了。
4、对搜索结果分析发现，正好有两段结果偏移正好符合“文件头+文件体+文件尾”结构，且均含大量英文，如下图：
http://u.intohard.com/attachment/200911/25/195867_1259134200kCmm.jpg
5、成功在即！选中文件头+文件体+文件尾，并置入新文件，如下图所示：
http://u.intohard.com/attachment/200911/25/195867_1259134201g6jk.jpg
6、保存到桌面，并修改后缀为“.doc”，打开如下图所示：
http://u.intohard.com/attachment/200911/25/195867_1259134201EFfF.jpg
同样方法的另一文件如下图：
http://u.intohard.com/attachment/200911/25/195867_12591342019s4r.jpg
经朋友确认，数据恢复成功！
恢复心得：两种文件尾的区别，以及文件体标志之一的2E2020202020是本此恢复节省时间的关键。希望广大数据恢复爱好者多总结多发现，并把成果跟大家分享。

xiongdeyuan 发表于 2009-11-25 15:47:01

不错，谢谢分享

maxshot 发表于 2009-11-25 16:11:03

不错，谢谢分享

黑夜流星 发表于 2009-11-25 16:19:20

感谢楼主分享。

dgtan 发表于 2009-11-25 16:31:51

"英文的句号以及后面的空格的16进制数据是2E2020202020，有多少空格就有多少20".不錯,有空看做下試驗看看.

innovation 发表于 2009-11-25 17:50:48

这个帖子不错，应该置顶。

李宏辉 发表于 2009-11-25 22:09:36

学习下，谢谢楼主分享！！！

jackwei057 发表于 2009-11-26 00:20:57

不错，谢谢分享

zhangke8202 发表于 2009-11-26 07:56:40

思路清晰，对于新手是很好的案例

yaoaijia 发表于 2009-11-29 00:22:23

幸好文件够小还是连续的

查看完整版本: Doc文件恢复一例