FAT32分区下的文件数据定位及删除后的恢复
Windows系统FAT32和NTFS分区文件删除的恢复方法的研究
Windows系统FAT32和NTFS分区文件删除的恢复方法的研究SYS PRACTICE 系统实践当前,Windows操作系统占据了计算机的90%以上的份额,其文件系统类型有两类,FAT32格式和NTFS格式,本文针对这两种文件系统下的数据恢复进行分析和讨论。
一、数据恢复基础(一)?文件系统。
文件系统是操作系统用于组织文件的方法,主要用来记录存储设备已用和未用的空间,维护目录与文件信息,文件系统与其文件组织形式息息相关,不同的文件系统,其逻辑组织方式也是不同的。
(二)?簇。
操作系统将簇作为文件存储的基本分配单位,簇的大小是在对硬盘进行格式化过程中由程序自动分配的,一个簇包含2n个扇区,不论文件有多小,其所占用的空间都是1簇。
二、 FAT32文件系统的数据恢复(一)?基本概念。
FAT32文件系统由DBR,FAT表和数据区构成,采用簇的管理方式管理,和FAT16文件系统相比,不再有固定的根目录区域,而是将根目录与其他目录、文件等一同视为“数据”。
1.?DBR扇区。
FAT32的DBR扇区位于分区所在扇区的首扇区,其数据结构由跳转指令(EB?58?90)、BPB参数值等参数构成。
重要的数值包含每扇区字节数、每簇扇区数、保留扇区数、FAT表个数等。
2.?FAT表。
FAT32文件系统的FAT表以“F8?FF?FF?0F”为FAT 表起始标志,以“FF?FF?FF?0F”为簇链结束标记。
FAT表记录着文件在分区中的分布情况,每个FAT表项占用4字节,如果该簇未被占用,则为“00?00?00?00”,如果该簇为文件的最后一簇,则为“FF?FF?FF?0F”,否则该簇就是文件所占用的下一个簇的簇号,如果该簇为坏簇,则为“F7?FF?FF?FF”。
3.FAT32文件目录项。
FAT32文件系统将根目录归入数据区进行管理,这样做的好处是不受限于目录项数,在需要增加空间时可以为其分配后续簇实现[1]。
FAT32文件系统中使用4个字节描述簇地址,为此FAT32使用0x14-15两个字节作为数据起始簇号高位,0x0A-0B两个字姐作为起始簇号的低位,在读取的时候采用低位在前高位在后的顺序进行读取,然后再转换为十进制数,即可得到目录的起始簇号。
如何恢复已删除的文件
如何恢复已删除的文件文件被删除后,文件的数据并不会从磁盘上真正删除。
通常情况下,文件仅仅是被标记为“删除”,而文件数据甚至文件名等信息还保留在磁盘上。
因此,删除文件后,只要没有写入新文件(即已删除的文件数据没有被新写入的文件覆盖),通过一定的技术手段,是可以将已删除的文件恢复回来的。
这里的“删除”包括操作失误造成的误删,包括被病毒删除,也包括通过工具软件删除(文件粉碎软件除外)。
下面借助数据恢复精灵恢复已删除的文件下载、安装、运行数据恢复精灵要开始恢复已删除的文件,请点击数据恢复精灵软件主界面上的“恢复已删除的文件”按钮。
如下图所示:本功能将以向导的方式,依次执行如下五个步骤:“1、选择分区”、“2、扫描文件”、“3、选择要恢复的文件”、“4、选择目标文件夹”、“5、保存文件”。
请先选择要恢复已删除文件的分区。
所选分区的有关信息将显示在右边的窗口中。
如下图:如果所选分区的文件系统是FAT32或FAT16格式,右侧窗口的底部会显示“搜索更早以前删除的文件”复选框。
如果您想恢复更早以前删除的文件,可以勾选它。
确认选定的分区是您要恢复文件的分区,点击“下一步”按钮。
数据恢复精灵软件将开始扫描该分区,进入向导的下一步:“搜索文件”。
扫描完成后,软件将显示搜索到的所有已删除的文件。
显示方式和Windows系统的“资源管理器”类似。
左侧显示文件目录,右侧显示文件列表。
在每个文件及文件夹图标前面都有一个复选框。
请勾选所有需要恢复的文件及文件夹,然后点击“下一步”按钮准备复制文件。
当您点击了某个文件时,在右下方的窗口中会显示该文件的缩略图预览。
本软件目前支持预览图片及文本文件。
您可以通过预览来判断文件能否被成功恢复。
默认情况下,只有已删除的文件才会被列出来。
如果要列出其它所有文件,包括正常的文件,请通过过滤窗口勾选“正常文件”复选框,然后点击“刷新”按钮。
正常文件没有复选框,不能被选择。
如果只需要恢复一部分文件,也可以通过设置过滤器中的文件名(支持通配符)、文件属性、文件大小和时间来过滤要恢复的文件。
详解FAT32文件系统
详解FAT32⽂件系统详解FAT32⽂件系统硬盘是⽤来存储数据的,为了使⽤和管理⽅便,这些数据以⽂件的形式存储在硬盘上。
任何操作系统都有⾃⼰的⽂件管理系统,不同的⽂件系统⼜有各⾃不同的逻辑组织⽅式。
例如:常见的⽂件系统有FAT,NTFS,EXT,UFS,HFS+等等。
下⾯就来学习⼀下基于Windows的FAT32⽂件系统。
FAT32⽂件系统由DBR及其保留扇区,FAT1,FAT2和DATA四个部分组成,其机构如下图:这些结构是在分区被格式化时创建出来的,含义解释如下:DBR及其保留扇区:DBR的含义是DOS引导记录,也称为操作系统引导记录,在DBR之后往往会有⼀些保留扇区。
FAT1:FAT的含义是⽂件分配表,FAT32⼀般有两份FAT,FAT1是第⼀份,也是主FAT。
FAT2:FAT2是FAT32的第⼆份⽂件分配表,也是FAT1的备份。
DATA:DATA也就是数据区,是FAT32⽂件系统的主要区域,其中包含⽬录区域。
⼀、分析FAT32⽂件系统的DBRFAT32⽂件系统的DBR有5部分组成,分别为跳转指令,OEM代号,BPB,引导程序和结束标志。
如下图是我U 盘上⼀个完整的FAT32⽂件系统的DBR。
E8 58 90 :(跳转指令) 本⾝占2字节它将程序执⾏流程跳转到引导程序处。
“EB 58 90″清楚地指明了OS引导代码的偏移位置。
jump 58H加上跳转指令所需的位移量,即开始于0x5A。
4D 53 57 49 4E 34 2E 31 :(OEM代号) 这部分占8字节,其内容由创建该⽂件系统的OEM⼚商具体安排。
跳转指令之后是8字节长的OEM ID,它是⼀个字符串, OEM ID标识了格式化该分区的操作系统的名称和版本号。
为了保留与MS-DOS的兼容性,通常Windows 2000格式化该盘是在FAT16和FAT32磁盘上的该字段中记录了“MSDOS 5.0”,在NTFS磁盘上(关于ntfs,另述),Windows 2000记录的是“NTFS”。
FAT32
FAT32数据恢复报告――fat32简介fat(filealocationtable)即文件分配表,以这种文件分配表方式访问的文件系统被称为fat文件系统结构,相应的磁盘分区也被称为fat文件分区格式。
fat格式是微软公司最早支持的分区格式,它依据fat表中每个簇链所占的位数分为fat12,fat16和fat32三种格式。
系统将磁盘分割为一个一个大小成正比的块,这个块就是簇。
簇的大小并不唯一,具体内容占到多少个扇区就是在系统对分区展开格式化时根据分区的大小、文件系统类型等对簇的大小展开初始化的。
但大多数情况下,fat32中每簇挤占4kb大小。
文件挤占磁盘时,最轻的单位不是字节而是簇,即使某个文件只有一个字节,操作系统也可以为其分配一个簇的空间。
每个簇都有一个逻辑编号。
fat32系统采用fat簇的方式来实现,过程大致如下:fat 区中被逻辑的划分出若干个fat项,每个fat项有一个逻辑编号,fat32结构的分区中每个fat项占用32位,这个编号对应了数据区中的若干个簇。
fat1和fat2就是两个全然一样的fat,系统同时创建两条全然一样的fat链,这样搞就是为了当fat1损毁时可以用fat2展开恢复正常。
在fat区后面就是系统的根目录区,由若干目录项共同组成。
在根目录区后面就是文件的数据区,这个区域中放置的就是用户和系统创建的文件数据,这个区被逻辑的分割变成了若干个大小成正比的丛,以便管理。
(一)鼓励扇区结构硬盘的主引导扇区mbs是硬盘的第一个扇区,由其中存放的内容包括mbr、出错信息数据区、磁盘分区表dpt和结束标志字四个部分。
主鼓励程序的偏转地址就是0000h~0088h,它主要负责管理从活动分区中转发并运转系统的鼓励程序。
出错信息数据区偏移地址是0089h~00e1h。
磁盘分区表中dpt所含4个分区项,它的偏转地址就是01beh~01fdh,每个分区表项长16个字节,共64字节。
结束标志是偏移地址为01feh~01ffh的两个字节,结束标志是55aah。
DiskGenius官方图文教程--误删除或误格式化后的文件恢复
DiskGenius官方图文教程--误删除或误格式化后的文件恢复当计算机内的文件被有意无意的删除、或遭到病毒破坏、分区被格式化后,文件时可以恢复的。
实际上,操作系统在删除文件时,只是将被删除文件打上了“删除标记”,并将文件数据占用的磁盘空间标记为“空闲”。
文件数据并没有被清除,还静静地“躺”在磁盘上。
只要删除文件后没有建立新的文件,操作系统没有写入新的数据,这些被删除的文件数据就不会被破坏,就有机会通过一定的技术手段将它们“抢救”出来。
格式化操作执行时并不会考虑磁盘上原来的数据内容,也不会先删除旧文件。
不同的文件系统类型,格式化的具体操作内容也不同。
对于FAT32、FAT16、FAT12等文件系统,格式化时会清除文件分配表(简称FAT,固定位于分区的开始部分,含有文件数据的定位信息)及根目录。
文件数据一般不会被清除。
对于NTFS文件系统,格式化时新写入的数据没有固定位置要求,但正常情况下每次格式化时的写入位置不会变化。
因此旧文件数据大多不会被覆盖,仍存在大量残余信息供我们找到丢失的文件。
对于整个分区已经丢失的情况,请首先参阅“搜索已丢失分区(重建分区表)”功能,先搜索到丢失的分区。
然后可以在保存分区表后、或在不保存分区表的情况下再利用“文件恢复”功能恢复分区内的文件。
分区被破坏的表现有:在“我的电脑”中打开分区时系统提示“未格式化”“需要格式化”,分区属性显示为“RAW”,打开分区后看不到任何文件。
遇到这些情况时,都可以通过“误格式化后的文件恢复”功能来恢复文件。
软件支持NTFS、FAT32、FAT16、FAT12等文件系统类型的硬盘分区、支持使用这些文件系统格式的RAID卷、U盘、存储卡(如数码相机中的SD卡、XD卡等等)。
为保护正在恢复的分区不被再次破坏,软件在搜索分区内的文件时,会采用只读模式,不会向分区写入任何数据。
要开始恢复文件,首先选择已删除文件所在的分区。
然后点击工具栏按钮“恢复文件”,或点击主菜单“工具”中的“已删除或格式化后的文件恢复”菜单项,以打开文件恢复对话框。
NTFS
NTFS数据恢复实验【实验思考】对于FAT32格式的分区,使用EasyRecovery软件能否实现误删恢复和格式化恢复?列举你所知道的其它数据恢复软件。
【实验原理】一、NTFS文件系统结构在NTFS文件系统中,文件也按簇进行分配,一个簇必须是物理扇区的整数倍,而且总是2的整数次方。
NTFS文件系统的簇大小在使用格式化程序时,由格式化程序根据卷的大小自动进行分配。
在NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构、引导程序以及记录卷自身大小和使用情况的位图文件。
这体现了NTFS的原则:磁盘上的任何事物都为文件。
在文件中存储一切使得文件系统很容易定位和维护数据。
文件通过主文件表(MFT,Master File Table)来确定其在磁盘上的存储位置。
主文件表是一个与文件相对应的数据库,由系列的文件记录(File Record)组成——卷中每一个文件都有一个文件记录(对于大型文件还可能有多个记录与之相对应)。
主文件表自身也有它自己的文件记录。
NTFS分区的MFT中的文件记录大小一般是固定的,不管簇的大小是多少均为1KB。
文件记录在MFT文件记录数组中物理上是连续的,且从0开始编号,MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(Metadata,是存储在卷上支持文件系统格式管理的数据。
它不能被应用程序访问,只能为系统提供服务)。
其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。
这些元数据文件的名字都以“$”开始,是隐藏文件,在Windows NT/2000/XP中不能使用dir命令像普通文件一样列出。
这些元数据文件是系统驱动程序管理卷所必需的,Windows NT/2000/XP给每个分区赋予一个盘符并不表示该分区包含有Windows NT/2000/XP可以识别的文件系统格式。
如果主文件表损坏,那么该分区在Windows NT/2000/XP下是无法读取的。
R-Studio通用数据恢复方法
R-Studio万能通用数据恢复方法网上流转的数据恢复方法有很多,今天小编给大家整理了一个图文教程,下面一起来学习下R-Studio万能通用数据恢复方法吧!学会了这个教程对于R-Studio怎么用也就自然学会啦!我们将故障硬盘连接到电脑上,在我的电脑中可看到共4个分区,格式为FAT32。
在我的电脑上右键单击--管理--然后进入磁盘管理,可以更加直观的了解现在结构,对后面的数据恢复过程很有帮助。
通过磁盘管理,我们对故障硬盘当前的分区结构和盘符的分配,有了更直观的了解,请注意区分本机硬盘和客户硬盘。
我们首先要了解故障硬盘当前分区的数据量,即对以前数据的覆盖破坏量。
在磁盘管理中,在每个盘符上--单击--右键--属性,这是客户硬盘当前第一个分区H盘的属性。
剩余空间不多,但客户声明本区为操作系统分区,数据不在这里。
因此我们大致了解一下即可。
客户硬盘当前第二个分区I 盘的属性,这个分区占用量为4.86G,这意味着对原来数据可能有约4.86G的覆盖破坏量,是不是覆盖在原重要数据位置要看运气,还原分区后可具体分析。
客户硬盘第3、4个分区K盘和L盘已用空间都基本为空,这些位置的数据恢复效果将会很好。
诊断了解客户硬盘状况完毕,下面开始数据恢复,这里我们使用R-Studio软件来恢复数据,获取R-Studio后并安装运行。
客户需要的是重新分区格式化安装系统以前的数据,并且要求尽可能全部恢复,因为他不记得原来数据放在什么位置,因此需要点击选择扫描恢复整个硬盘而不是分区。
选择要恢复的硬盘或分区,点击R-Studio的开始扫描图标。
你可以根据硬盘型号、卷标、文件系统、开始位置、分区大小来正确确认。
点击开始扫描后,R-Studio弹出扫描设置窗口,一般采用默认选项即可,也可以去掉我们不需要的文件系统,可加快分析速度。
我们要扫描的是整个硬盘,所以从0位置开始,长度149.1G 。
也可以精简R-Studio要分析的文件系统,Windows操作系统只可能是FAT和NTFS格式。
硬盘数据恢复方法大全
硬盘数据恢复方法大全硬盘数据恢复的方法涵盖了多种技术和策略,根据数据丢失的不同原因,选择合适的数据恢复方案至关重要。
以下是硬盘数据恢复的一些常见方法和详细步骤:1、误删除恢复简单恢复:对于刚被误删除的文件,可以直接查看回收站,如果有,可直接还原。
专业软件恢复:如使用Easy Recovery、Recuva、Disk Drill等数据恢复软件进行扫描,软件会搜索硬盘扇区中尚未被覆盖的数据痕迹,重建并恢复已删除的文件。
2、格式化恢复使用专业的格式化恢复工具,扫描已格式化分区,通过对比文件头签名和文件系统的残留信息来识别并重建文件。
3、分区表丢失恢复使用数据恢复软件恢复丢失或损坏的分区表,软件会尝试重构MBR(主引导记录)或GPT分区表,从而使丢失的分区和数据重现。
4、硬盘物理故障恢复硬件故障初步诊断:检查电源接口、数据线连接,尝试更换硬盘盒或连接到另一台电脑上测试。
专业硬件修复:对于硬盘磁头损坏、电机故障、电路板问题等严重物理损伤,需要由专业数据恢复服务商拆开盘腔,在洁净室内通过更换磁头组件或使用专业设备进行读取。
5、硬盘逻辑错误恢复chkdsk工具:Windows系统自带的磁盘检查工具可以用于修复硬盘逻辑错误,如文件系统损坏等情况。
RAID恢复:针对RAID阵列故障,可以通过RAID数据恢复软件重建RAID阵列,还原数据。
6、深度扫描恢复对硬盘进行全面深度扫描,即使是碎片化的数据也能尝试拼接恢复。
此类深度扫描通常需要较长时间,但能最大限度地找回丢失的数据。
7、镜像恢复先创建硬盘的镜像备份,然后在镜像上进行数据恢复操作,以免原始硬盘在恢复过程中进一步受损。
8、RAW分区恢复当硬盘分区变为RAW状态时,可以尝试通过数据恢复工具解析RAW分区,识别文件系统并提取数据。
9、物理损坏情况下的开盘服务当硬盘存在严重的物理故障,如磁头损坏、电机故障等,需要在专业洁净环境下进行开盘数据恢复,这是一项技术要求极高的服务,通常由专业的数据恢复公司提供。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
FAT32分区下图片文件及文件夹下PDF文件的定位及数据恢复10级信息管理系司法信息安全方向12号王立鹏利用DiskCreator工具创建磁盘的步骤:1)选择创建虚拟磁盘文件的位置为C盘;如下图1所示:图12)创建大小为1024M的虚拟磁盘;如下图2所示:图23)DiskLoader工具装载虚拟磁盘(Browse选择创建的虚拟磁盘文件FATnt后选择Load InsDisk);如下图3—4所示:图3图44)安装完成;如下图5所示:图5对虚拟磁盘分区的步骤:1)右击我的电脑,选择“管理”;如下图6所示:图62)在“计算机管理”中选择“磁盘管理”;如下图7所示:图73)对磁盘一(如下图8所示)进行分区:图84)建立主分区的过程如下右击未指派的1G磁盘,选择新建磁盘分区;如下图9——14所示:图9图10图11图12图13图14主磁盘分区建好如图15所示:图155)建立扩展分区过程如下,右击未指派的842MB选框后,选择新建磁盘分区,再选择扩展磁盘分区;过程如下图16——18所示:图16图17图18扩展分区建好后如下图19所示:图196)创建逻辑驱动器,右击扩展分区(图19中绿框),选择新建磁盘分区;具体过程如下图20——26所示:图20图22图23图24图26按照上述方法创建好J逻辑驱动器;如下图27所示:图27上述过程为创建虚拟磁盘并且创建好分区的过程创建的虚拟磁盘,大小为1G,一个NTFS的主分区,扩展分区中一个FAT32逻辑驱动器I,一个NTSF逻辑驱动器J,如下图28所示:图28在FAT32的分区中,也就是逻辑盘I中建立一个文件夹,放一个PDF文件,在I盘根下放两张图片,如下图29——30所示:图29图30我们以删除图片Lighthouse文件以及文件夹下的南非文件为例子,来讲述如何进行文件的定位,以及删除文件后,相关扇区的变化,还有如何恢复数据。
删除前的图片文件Lighthouse以及文件夹下南非文件的内容分别如下图31——32所示:图31图32文件以及文件夹删除以前,分别对MBR(主引导记录),EBR1(扩展引导记录),FAT32分区的DBR (DOS引导记录),FAT1(文件分配表),FAT2,以及数据区的文件目录项进行定位分析。
WinHex打开硬盘一,下图扇区就是MBR(C/H/S地址的0柱面0磁头1扇区),如下图33所示:图33上图33阴影部分的66字节为DPT(Disk Partition Table,硬盘分区表,占64字节)和结束标志”55 AA”MBR中分区表的每16字节组成的分区表项分析字节偏移字段长度值字段名和定义0X000001BE 1字节0X00 引导标志(Boot Indicator,指明该分区是否为活动分区0X000001BF1字节0X01 开始磁头(Starting Head)0X000001C06位0X01起始扇区(Starting sector),只用了0-5位,第6,7位被开始柱面字段使用。
0X000001C110位0X00起始柱面(Starting Cylinder),共占10位,最大值为1023 0X000001C21字节0X07 系统ID(System ID)定义分区类型0X000001C31字节0XFE 结束磁头(Ending Head)0X000001C46位0X3F 结束扇区(Ending Sector)只使用0—5位,第6,7位被结束柱面字段使用0X000001C510位0X19 结束柱面(Starting Cylinder),共占10位,最大值为10230X000001C61DWORD(双字) 0X0000003F 相对扇区数(Relative Sectors),指该磁盘开始到该分区开始之间的位移量,以扇区来表示0X000001CA1DWORD(双字) 0X00065F5B 总扇区数(Total Sectors),指该分区中扇区总数分析MBR扇区的分区表项,偏移为000001D2的一个字节为(05H),表示扩展分区,它的起始扇区为偏移000001D6开始的4个字节(9A5F0600H),计算EBR1的位置;跳到EBR1如下图34所示:图34计算出来EBR1位置在417690扇区。
下面跳到EBR1如下图35所示:图35扩展分区中的每个逻辑驱动器的分区信息都存在与类似于MBR的扩展引导记录(EBR, Extended Boot Record)中,EBR中分区表的第一项描述第一个逻辑驱动器,第二项指向下一个逻辑驱动器的EBR,如果不存在下一个逻辑驱动器,第二项就不需要。
从上图35阴影部分第一个分区表项可以看出驱动器类型,偏移0CBF35C2 (0BH)看出分区格式为FAT32分区. 偏移为0CBF35C6开始的4个字节(3F000000H)为相对位置,即63扇区,我们计算DBR的位置:417690+63=417753扇区,跳到DBR扇区,如下图36所示:图36注:大于一个字节的数值被以低字节在前的格式存储,例如:相对扇区字段值为0X3F000000的低字节在前表示为0X0000003F.转换为十进制为63.扇区开始的3字节(EB5890H)为FAT32的DBR的JMP指令,偏移0CBFB20B开始的2字节(0002H)表示每扇区的字节数为512字节。
偏移0CBFB20D的1个字节(08H)表示每簇的扇区数为一簇8扇区。
0CBFB20E开始的2字节(2600H)表示DOS保留扇区数为38扇区。
0CBFB210的一个字节(02H)表示FAT的个数为2. OCBFB224开始的4个字节(C1020000H)表示每FAT扇区数为705扇区。
我们就可以计算FAT1起始扇区为DBR所在扇区加保留扇区数:417753+38=417791。
FAT2的起始扇区为FAT1起始扇区加FAT的大小:417791+705=418496。
FAT的根目录放在数据区,数据区起始扇区为FAT2起始扇区加FAT大小:418496+705=419201。
下表为DBR相关参数分析:偏移实际值(十六进制) 实际值(十进制)长度(字节)含义0CBFB200 EB5890 3 JMP指令,跳转到引导程序,后随一个空指令900CBFB20B 0002 5122 每扇区字节数,记录扇区大小0CBFB20D 08 8 1 每簇扇区数,记录簇大小,即多少个扇区组成一个簇0CBFB20E 2600 38 2 DOS保留扇区,一般为320CBFB210 02 2 1 FAT表个数,一般为二0CBFB220 AE070B00 722862 4 该分区的扇区总数,即分区大小0CBFB224 C1020000 705 4 每FAT扇区数,FAT32下每FAT表占用的扇区数下图37为FAT1起始扇区:FAT32用32为也就是4个字节表示一个簇。
数据区的簇编号从2号簇开始,在FAT表中前0,1簇是与系统相关的。
图37下图38为FAT2的起始扇区图,FAT2与FAT1内容是相同的。
图38下图39为数据区的开始扇区,簇号为2,以后的数据区簇号依次连续增加,一个簇为8扇区。
根目录放于数据区中。
FAT32没有独立的根目录区,它的根目录放在数据区,我们来分析目录项的32个字节:字节偏移长度(字节)内容及含义0X00 8 文件名0X08 3 文件的扩展名0X14 2 文件起始簇号的高十六位0X1A 2 文件起始簇号的低十六位0X1C 4 文件大小(字节)图39从偏移0CCB033A开始的2个字节(0902H)算出图片Lighthouse文件的起始簇号512,其在数据区的绝对地址为(512-2)×8+419201=423353.扇区偏移0CCB033C开始的4字节表示文件大小(7C900800H)为561276字节。
下图40表示图片文件数据起始位置,图示:图40跳转偏移量0008907CH文件大小,到文件末尾;如下图41所示:图41文件选中后的数据图;如下图42所示:图42我们在返回到数据区起始位置,看文件夹及文件夹下的目录,如下图43所示:图43偏移为0CCB029A开始的2字节(0300H)表示PDF文件南非的目录项在3号簇,绝对地址为:(3—2)*8+419201=419209.跳到文件目录的地方,如下图44所示:图44从上图偏移0CCB127A开的2字节(0400H)可以看出pdf文件南非的起始簇为4,绝对地址为:419201+(4-2)*8=419217.扇区,文件大小为(D46C1400H)1338580字节。
跳到文件数据起始扇区,如下图45所示:图45下图46表示跳转偏移量00146CD4H为跳转偏移量:图46文件内容选中后的图示47:图47以上为定位图片文件以及定位文件夹下PDF南非文件的数据区的详细过程,下面我们来删除图片文件和PDF文件,观察相关的扇区变化,进而将文件都恢复出来。
下图为删除文件的截图:删除图片文件如下图48所示:图48删除PDF文件的图示为49:图49删除后我们跳到图片的文件目录项扇区,如下图50所示:图50上图选中区域最后两行可以看出,第一个字节变为E5了,说明图片文件被删除,但是图片文件的文件其实簇号和文件大小并没有变化。
我们跳到图片文件的数据区开始位置423353;如下图51所示:图51看出数据区并无变化。
我们跳到FAT1,如图52所示,看到FAT表清零了。
图52跳到FAT2看看,如图53所示。
FAT也被清零:图531.恢复图片文件。
我们到图片文件的开始扇区,并且定位如下图54所示,定位数据区并选中后恢复到I盘;图54定位到文件结尾,如下图55所示:图55恢复到I盘,如下图56所示:图56这样我们就恢复出来删除的图片了,下面我们来看看恢复出来的图片,如图57所示:2.恢复文件夹下的PDF格式的文件。
定位到文件夹的目录项:文件夹的文件目录项不变,如图58所示:图58文件夹下文件的目录项还在3号簇,即419209扇区;跳到该扇区,如图59所示:可以看出文件的目录项第一个字节变为E5说明PDF南非文件被删除了,但是文件起始簇和文件大小没变化,依旧为4号簇(419217扇区),大小依旧为(D46C14OOH):我们跳到419217并且定位文件数据区;如图60所示:图60选中数据区并恢复,如下图61所示:图61恢复到I盘的“pdf文件”文件夹下;如下图62所示:图62保存好后查看恢复出来的PDF南非文件及内容;如图63所示:图63到此文件夹下的pdf文件’南非”也就恢复出来了。
以上就是创建磁盘及分区,以及在FAT32分区下定位文件,并且删除文件后将其恢复出来的过程。
附录:第一个EBR的扇区号417690FAT32的DBR开始扇区号(417690+63)417753每簇扇区数0x0D(08H)为8个FAT表个数0x10(02H)为2个每FAT扇区数0x24(C1020000H)为705隐含扇区数0x1C(3F000000H)为63DOS保留扇区数0x0E(2600H)为38FAT1开始扇区为417753+38=417791FAT2开始扇区号417791+705=418496根目录区开始扇区号418496+705=419201FAT32格式的J盘下一个图片文件为例,Lighthouse图片文件的文件目录项中文件的起始簇号0x1A(0902H)为512号簇,因为FAT32的数据扇区开始编号就是2号簇,所以文件的起始扇区转化过去为(521-2)*8=4152。