FAT32分区下的文件数据定位及删除后的恢复
如何恢复已删除的文件
如何恢复已删除的文件文件被删除后,文件的数据并不会从磁盘上真正删除。
通常情况下,文件仅仅是被标记为“删除”,而文件数据甚至文件名等信息还保留在磁盘上。
因此,删除文件后,只要没有写入新文件(即已删除的文件数据没有被新写入的文件覆盖),通过一定的技术手段,是可以将已删除的文件恢复回来的。
这里的“删除”包括操作失误造成的误删,包括被病毒删除,也包括通过工具软件删除(文件粉碎软件除外)。
下面借助数据恢复精灵恢复已删除的文件下载、安装、运行数据恢复精灵要开始恢复已删除的文件,请点击数据恢复精灵软件主界面上的“恢复已删除的文件”按钮。
如下图所示:本功能将以向导的方式,依次执行如下五个步骤:“1、选择分区”、“2、扫描文件”、“3、选择要恢复的文件”、“4、选择目标文件夹”、“5、保存文件”。
请先选择要恢复已删除文件的分区。
所选分区的有关信息将显示在右边的窗口中。
如下图:如果所选分区的文件系统是FAT32或FAT16格式,右侧窗口的底部会显示“搜索更早以前删除的文件”复选框。
如果您想恢复更早以前删除的文件,可以勾选它。
确认选定的分区是您要恢复文件的分区,点击“下一步”按钮。
数据恢复精灵软件将开始扫描该分区,进入向导的下一步:“搜索文件”。
扫描完成后,软件将显示搜索到的所有已删除的文件。
显示方式和Windows系统的“资源管理器”类似。
左侧显示文件目录,右侧显示文件列表。
在每个文件及文件夹图标前面都有一个复选框。
请勾选所有需要恢复的文件及文件夹,然后点击“下一步”按钮准备复制文件。
当您点击了某个文件时,在右下方的窗口中会显示该文件的缩略图预览。
本软件目前支持预览图片及文本文件。
您可以通过预览来判断文件能否被成功恢复。
默认情况下,只有已删除的文件才会被列出来。
如果要列出其它所有文件,包括正常的文件,请通过过滤窗口勾选“正常文件”复选框,然后点击“刷新”按钮。
正常文件没有复选框,不能被选择。
如果只需要恢复一部分文件,也可以通过设置过滤器中的文件名(支持通配符)、文件属性、文件大小和时间来过滤要恢复的文件。
Windows系统中的磁盘数据恢复方法
Windows系统中的磁盘数据恢复方法在使用Windows操作系统时,我们经常会遇到意外删除、磁盘格式化或者病毒入侵等造成的数据丢失问题。
幸运的是,Windows系统提供了多种方法来帮助我们恢复丢失的数据。
本文将介绍几种常用的磁盘数据恢复方法,并详细说明每种方法的操作步骤和使用注意事项。
一、使用Windows自带的恢复工具Windows系统自带了一些实用的恢复工具,如回收站、文件历史记录和系统还原功能。
当我们意外删除了文件或者需要恢复之前的版本时,可以尝试使用这些工具。
1. 回收站恢复回收站是Windows系统默认的一个临时存放已删除文件的地方,我们可以通过以下步骤来恢复被误删除的文件:步骤一:双击桌面上的“回收站”图标或者在资源管理器中找到“回收站”文件夹。
步骤二:找到需要恢复的文件,右键点击该文件,选择“恢复”选项。
2. 文件历史记录恢复Windows系统的文件历史记录功能可以帮助我们找回之前保存的文件版本。
以下是使用文件历史记录恢复文件的方法:步骤一:打开包含被删除文件所在文件夹的资源管理器窗口。
步骤二:点击资源管理器窗口上方的“开始”按钮,选择“文档”选项。
步骤三:在文档库窗口中,点击左侧的“历史记录”选项。
步骤四:找到需要恢复的文件,右键点击该文件,选择“还原到”选项,并选择一个恢复点进行还原。
3. 系统还原当系统出现问题或者数据丢失时,我们可以使用系统还原功能将系统恢复到之前的一个状态。
以下是使用系统还原功能的方法:步骤一:打开控制面板,选择“系统和安全”选项。
步骤二:在系统和安全窗口中,找到“系统”部分,点击“系统保护”链接。
步骤三:在系统属性窗口的“系统保护”选项卡中,点击“系统还原”按钮。
步骤四:按照提示选择一个恢复点,并点击“下一步”按钮。
完成后,系统将自动重启并恢复到选择的恢复点。
二、使用第三方数据恢复软件除了Windows自带的恢复工具外,我们还可以利用一些第三方数据恢复软件来提高数据恢复的成功率。
硬盘数据恢复―被删除文件恢复全攻略
硬盘数据恢复―被删除文件恢复全攻略电脑在使用过程中难免会遇到更换机器、中毒、系统崩溃、升级等情况,有时还需要进行硬盘的格式化,结果发现有些重要的数据忘记备份,那后悔也来不及了!难道真的没有办法了吗?不,能恢复的!那数据为什么能恢复呢?这主要取决于硬盘数据的存储原理。
先看一下硬盘上数据存放的原理吧。
硬盘中由一组金属材料为基层的盘片组成,盘片上附着磁性涂层,靠硬盘本身转动和磁头的移动来读写数据的。
其中最外面的一圈称为“0”磁道。
上面记录了硬盘的规格、型号、主引导记录、目录结构等一系列最重要的信息。
我们存放在硬盘上的每一个文件都在这里有登记,相当于文件的户口簿。
在读取文件时,首先要寻找0磁道的有关文件的初始扇区,然后按图索骥,才能找到文件的老巢。
但是删除就不一样了,系统仅仅对零磁道的文件信息打上删除标准。
但这个文件本身并没有被清除。
只是文件占用的空间在系统中被显示为释放,而且,当你下次往硬盘上存储文件时,系统将会优先考虑真正的空白区,只有这些区域被用完以后,才会覆盖上述被删文件实际占有的空间。
另外,即使硬盘格式化后(如format),只要及时抢救,还是有很大希望的。
下面我就向大家做详细的介绍。
easyrecovery就是一个威力非常强悍的硬盘数据恢复正常工具,能帮忙你恢复正常遗失的数据以及扩建文件系统。
下面我们就以easyrecovery为基准,了解删掉软件恢复正常的过程。
一、回收站里被删除文件首先我们启动easyrecovery,页面左边列表中的“数据复原”。
数据修复里面有六个选项,我们点击“deletedrecovery”,它的功能是查找并恢复已删除的文件。
挑选必须恢复正常文件所在的分区,在预设情况下软件对分区继续执行的就是快速读取,如果你须要对分区展开更全盘的读取,就在“顺利完成读取”前贴上搓就行了,挑选不好分区后,我们页面“下一步”。
点击下一步后,软件就开始扫描你刚才选择的分区了。
经过3~4分钟的读取后结果就出了,你页面左面文件夹列表中的文件夹,在右面列举走进文件就是能够被恢复正常的删掉文件,挑选一个必须恢复正常的文件,一定必须把前面的勾打上,然后页面“下一步”。
手动恢复分区表
笔者原有一个30GB移动硬盘,使用磁盘管理工具时,误操作将硬盘逻辑驱动器(移动硬盘的第二分区)删除。
重新插上移动硬盘,系统提示创建新的磁盘分区。
因不忍眼看精心收集的资料就这样消失,那怕有一线生机也要将丢失的数据找回来,试试吧。
首先了解一下硬盘的基本情况:此移动硬盘是笔记本硬盘,硬盘分为四个区,即C(系统盘)、D、E、F,均为FAT32 格式,其中被误删除的是D盘。
由于是系统自带的磁盘管理中的删除逻辑驱动器功能将磁盘删去的,之后还未重新创建,因此数据肯定没有被擦除,可能只是删去了此硬盘分区的一些信息。
如果我们能重新恢复这些信息,系统就可以识别出原磁盘分区以及其中的文件。
我们平时最常见的分区方式是先建立一个主分区,然后将剩余的空间全部建立扩展分区,再在扩展分区上建立逻辑盘。
但是,逻辑盘并没有存在于主引导扇区的分区表里,那么硬盘是如何识别逻辑盘符的呢?其实在逻辑盘的扇区上都会建立一个虚拟MBR(主引导记录),扩展分区指向第一个逻辑盘的MBR,第一个逻辑盘的MBR指向第二个逻辑盘的MBR,以此类推。
其中硬盘分区表64字节中每16个字节具体含义如表1:下面我们将使用DiskGen和KVFIX(江民硬盘修复工具)手工修复硬盘分区表:小提示:DiskGen可以显示硬盘分区的基本信息并能进行分区表的备份和修改。
KVFIX能查看硬盘的扇区同时还能进行扇区参数的编辑。
需要注意的是在操作之前一定要做好备份,而且最好是把备份文件拷贝到其他磁盘上,一旦我们操作有误还可以进行恢复。
通过DiskGen,我们可以获得一些有用信息,如图1:根据显示的信息我们很容易就能得出被删D盘的起始和终止位置,实际上硬盘的分区就是通过起始位置和终止位置来定的。
我们可以由起始和终止的位置算出总的扇区数,也可以由总的扇区数逆推出终止扇区数,同时可以通过查看具体的扇区来检验是否正确。
因为就像前面提到的扇区里的字节是有特点的,比方说结束标志55AA。
浅析Windows FAT32文件系统数据恢复
浅析Windows FAT32文件系统数据恢复作者:邹柏林来源:《数字技术与应用》2015年第07期摘要:在计算机的使用过程中,经常会遇到由于病毒或用户的误操作而造成硬盘数据丢失的情况,给用户带来很大损失。
通过对硬盘数据丢失原因的分析,指出了数据恢复的可行性前提条件,同时还进一步分析了几个常用数据恢复工具软件的主要功能,并简介了用Winhex软件手动恢复硬盘数据恢复的操作过程。
关键词:数据丢失数据恢复数据恢复软件中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2015)07-0000-001引言在信息时代的今天,计算机被广泛应用于商业,军事,政治中。
计算机中的数据显得格外重要。
所谓数据,从广义上说,位于计算机存储介质上的信息都是数据。
任何使这些信息发生非主观意愿之外的变化都可视为破坏。
数据恢复就是一个把异常数据还原为正常数据的过程。
[1]即使数据被删除或硬盘出现故障,只要存储介质没有严重受损,数据还是有可能被完全恢复的。
随着科技的进步,现在许多单位在日常管理中都需要使用计算机,从而,渐渐地出现了一些利用计算机和网络进行犯罪的犯罪分子。
他们进行网络诈骗,骇客攻击盗取商业机密,破坏企事业单位电脑中的重要数据等等。
在司法取证,司法鉴定方面,数据恢复技术起着不容置疑的作用。
如市面上出现了很多专业公司开发的数据恢复软件,为办案人员提供了方便。
2012年刑诉法改写之后,电子数据又作为一个独立的证据出现。
利用数据恢复软件,挖掘犯罪分子的作案证据,更好的为定罪量刑提供依据。
2 常见数据丢失原因及数据可恢复前提在计算机使用过程中,数据丢失的原因最常见的就是病毒破坏。
病毒的破坏可能造成资料被恶意删除,甚至硬盘被格式化。
这种情况下,数据是可以被恢复的;有的时候,我们不小心将文件删除,并且清空了回收站,这样再找回来就比较难了,但是这种误删除文件也是可以恢复的;我们常常可能误使用了格式化命令,造成分区上的数据丢失,这种情况下,只要保护好现场,不再对硬盘进行写的操作,数据就可以恢复;硬盘分区操作失误或硬盘分区表破坏也会造成数据丢失,这种情况下,通常是可以恢复的。
数据恢复之硬盘分区误删除后,教你如何起死回生!
数据恢复之硬盘分区误删除后,教你如何起死回生!如果你误删除了硬盘的分区,而里面有你很重要的数据,你是否为此感到着急万分!莫着急,莫着急!今天给您介绍两种方法来使你的硬盘起死回生!第一种方法是用Winhex,第二种是用Diskgen。
当然第二种比较简单,速度也比较快,是没有数据恢复基础的人是很理想的软件。
好了,先介绍一下我的实验环境,这是从老师那拿的一块虚拟硬盘,我也不知道有几个分区?分区是什么类型的?只知道里面有数据。
而现在要把数据恢复出来。
先说第一种winhex把要恢复的硬盘挂到另外一台计算机上,磁盘1就是要目标硬盘,现在它变成了未指派,我们要把它的分区恢复原状。
打开winhex选择工具----磁盘编辑器打开硬盘1现在开始分析:因为每个硬盘的前63(0-62号)个扇区是保留给系统用的,所以我们应该从63开始进行搜索,转到63扇区按照常理现在的硬盘分区类型大多是NTFS分区,那么先观察ch28位置,发现是00 00 00 00,说明判断错误,应该是FAT分区。
则在CH20位置,发现有一组数据00 82 3E 00 ,这就告诉我们第一个分区是FAT分区,分区大小是3E8200。
注:如果是NTFS,那么在偏移CH28后的几个字节到排列加一就是NTFS分区的扇区大小.既然知道了第一个分区的大小,那么就能知道它的结束位置,以及下一个分区的开始位置。
将大小+起始-1就是第一个分区的结束位置。
即将3E8200转换成十进制加上63减去1等于4096574那么第一个分区就是从63-----4096574扇区,知道第一个的结束那么将结束加一(4096574+1=4096475)就是下一个的分区的开始。
但是,下一个分区是主分区还是扩展的分区呢?不确定,如果是下一个是扩展分区那么在55AA的前64个字节应该有一个分区表。
如果不是一个分区表,那么就是主分区。
就应该看CH28或者是CH20位置来判断是什么分区类型。
按照常理应该是个扩展的分区。
如何恢复误删文件3个方法
如何恢复误删文件使用电脑最怕就是把重要的文件误删了. 看着自己辛苦制作的文件或重要的资料就这样不见了. 第一想法肯定是能不能恢复误删文件. 一般来说, 如果没有经过很多的磁盘操作, 一般文章是可以恢复的. 下面就看如何恢复误删文件.这里分三种不同误册的情况1. 只删除, 没有清空回收站.这咱情况比较简单, 有一点电脑知识的朋友都知道, 文件还是存在的, 只不过躺在回收站而已. 只要到回收站把文件找出来拖回或还原就行了.2. 删除文件后还清空了回收站很多朋友碰到的就是这种情况,也是我们主要这中恢复误删文件的恢复. 清空了回收站(或直接删除而根本不放入回收站), 在我们眼里,好还文件已经消失了。
其实文件还是在磁盘中的,只要你的电脑磁盘的其它操作,一般来说文件都可以找回来。
通过修改注册表就可以了. 先在"运行中"输入regedit打开注册表, 找到分支HKEY_LOCAL_MACHIME/SOFTWARE/microsoft/WINDOWS/CURRENTVE RSION /EXPLORER/DESKTOP/NemeSpace在左边空白处点击“新建”,选择“主键”,命名为“645FFO40—5081—101B—9F08—00AA002F954E”,再把右边的“默认”主键的键值设为“回收站”,退出注册表。
再重启电脑即可见到被你删除的文件。
3. 删除文件后进行了磁盘操作或格式化.如果是这种误删文件的情况, 就不敢保证能完全成恢复文件. 这可以借助一些专门的软件来完成. 这里推荐EasyRecovery. EasyRecovery一款威力非常强大的硬盘数据恢复工具。
能够帮你恢复丢失的数据以及重建文件系统。
EasyRecovery不会向你的原始驱动器写入任何东东,它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。
你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。
该软件可以恢复大于8.4GB 的硬盘。
数据恢复删除的方法
数据恢复删除的方法
在日常生活和工作中,我们时常会遇到各种数据丢失或者误删的情况。
数据的丢失可能会给我们带来麻烦和损失,因此我们需要掌握一些数据恢复删除的方法,以最大化地保护我们的数据安全。
1. 使用数据恢复软件
数据恢复软件是一种比较常见的数据恢复删除的方法。
通过它,我们可以在误删或者数据丢失后,使用软件扫描我们的硬盘或者其他存储设备,找到已删除的文件并进行恢复。
常见的数据恢复软件有Recuva、EaseUS Data Recovery Wizard等。
2. 数据备份
数据备份是一种常见的数据安全措施,也是数据恢复删除的有效方法。
通过备份,我们可以在数据丢失或者误删后,从备份中恢复数据。
在进行备份时,我们可以选择手动备份或者自动备份,也可以选择备份到外部硬盘、云存储等多个存储介质中。
3. 硬盘修复
在硬盘出现坏道或者其他硬件问题时,也可能会导致数据丢失或者误删。
此时,我们可以使用硬盘修复工具进行修复,并尝试恢复数据。
常见的硬盘修复工具有CHKDSK、DiskGenius等。
4. 寻求专业数据恢复服务
如果以上方法均不能恢复我们的数据,我们可以尝试寻求专业数据恢复服务。
专业数据恢复服务公司通常配备有专业设备和技术,可以通过更精确的方式来恢复我们的数据。
但是,由于数据恢复服务需
要付费,并且有一定的风险和限制,我们需要在选择时谨慎考虑。
总之,无论我们遇到什么样的数据丢失或者误删问题,我们都可以通过以上方法来进行数据恢复删除。
但是,我们也需要注意数据安全,在日常生活和工作中保持数据备份和数据安全措施,以最大化地保护我们的数据安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
FAT32分区下图片文件及文件夹下PDF文件的定位及数据恢复10级信息管理系司法信息安全方向12号王立鹏利用DiskCreator工具创建磁盘的步骤:1)选择创建虚拟磁盘文件的位置为C盘;如下图1所示:图12)创建大小为1024M的虚拟磁盘;如下图2所示:图23)DiskLoader工具装载虚拟磁盘(Browse选择创建的虚拟磁盘文件FATnt后选择Load InsDisk);如下图3—4所示:图3图44)安装完成;如下图5所示:图5对虚拟磁盘分区的步骤:1)右击我的电脑,选择“管理”;如下图6所示:图62)在“计算机管理”中选择“磁盘管理”;如下图7所示:图73)对磁盘一(如下图8所示)进行分区:图84)建立主分区的过程如下右击未指派的1G磁盘,选择新建磁盘分区;如下图9——14所示:图9图10图11图12图13图14主磁盘分区建好如图15所示:图155)建立扩展分区过程如下,右击未指派的842MB选框后,选择新建磁盘分区,再选择扩展磁盘分区;过程如下图16——18所示:图16图17图18扩展分区建好后如下图19所示:图196)创建逻辑驱动器,右击扩展分区(图19中绿框),选择新建磁盘分区;具体过程如下图20——26所示:图20图22图23图24图26按照上述方法创建好J逻辑驱动器;如下图27所示:图27上述过程为创建虚拟磁盘并且创建好分区的过程创建的虚拟磁盘,大小为1G,一个NTFS的主分区,扩展分区中一个FAT32逻辑驱动器I,一个NTSF逻辑驱动器J,如下图28所示:图28在FAT32的分区中,也就是逻辑盘I中建立一个文件夹,放一个PDF文件,在I盘根下放两张图片,如下图29——30所示:图29图30我们以删除图片Lighthouse文件以及文件夹下的南非文件为例子,来讲述如何进行文件的定位,以及删除文件后,相关扇区的变化,还有如何恢复数据。
删除前的图片文件Lighthouse以及文件夹下南非文件的内容分别如下图31——32所示:图31图32文件以及文件夹删除以前,分别对MBR(主引导记录),EBR1(扩展引导记录),FAT32分区的DBR (DOS引导记录),FAT1(文件分配表),FAT2,以及数据区的文件目录项进行定位分析。
WinHex打开硬盘一,下图扇区就是MBR(C/H/S地址的0柱面0磁头1扇区),如下图33所示:图33上图33阴影部分的66字节为DPT(Disk Partition Table,硬盘分区表,占64字节)和结束标志”55 AA”MBR中分区表的每16字节组成的分区表项分析字节偏移字段长度值字段名和定义0X000001BE 1字节0X00 引导标志(Boot Indicator,指明该分区是否为活动分区0X000001BF1字节0X01 开始磁头(Starting Head)0X000001C06位0X01起始扇区(Starting sector),只用了0-5位,第6,7位被开始柱面字段使用。
0X000001C110位0X00起始柱面(Starting Cylinder),共占10位,最大值为1023 0X000001C21字节0X07 系统ID(System ID)定义分区类型0X000001C31字节0XFE 结束磁头(Ending Head)0X000001C46位0X3F 结束扇区(Ending Sector)只使用0—5位,第6,7位被结束柱面字段使用0X000001C510位0X19 结束柱面(Starting Cylinder),共占10位,最大值为10230X000001C61DWORD(双字) 0X0000003F 相对扇区数(Relative Sectors),指该磁盘开始到该分区开始之间的位移量,以扇区来表示0X000001CA1DWORD(双字) 0X00065F5B 总扇区数(Total Sectors),指该分区中扇区总数分析MBR扇区的分区表项,偏移为000001D2的一个字节为(05H),表示扩展分区,它的起始扇区为偏移000001D6开始的4个字节(9A5F0600H),计算EBR1的位置;跳到EBR1如下图34所示:图34计算出来EBR1位置在417690扇区。
下面跳到EBR1如下图35所示:图35扩展分区中的每个逻辑驱动器的分区信息都存在与类似于MBR的扩展引导记录(EBR, Extended Boot Record)中,EBR中分区表的第一项描述第一个逻辑驱动器,第二项指向下一个逻辑驱动器的EBR,如果不存在下一个逻辑驱动器,第二项就不需要。
从上图35阴影部分第一个分区表项可以看出驱动器类型,偏移0CBF35C2 (0BH)看出分区格式为FAT32分区. 偏移为0CBF35C6开始的4个字节(3F000000H)为相对位置,即63扇区,我们计算DBR的位置:417690+63=417753扇区,跳到DBR扇区,如下图36所示:图36注:大于一个字节的数值被以低字节在前的格式存储,例如:相对扇区字段值为0X3F000000的低字节在前表示为0X0000003F.转换为十进制为63.扇区开始的3字节(EB5890H)为FAT32的DBR的JMP指令,偏移0CBFB20B开始的2字节(0002H)表示每扇区的字节数为512字节。
偏移0CBFB20D的1个字节(08H)表示每簇的扇区数为一簇8扇区。
0CBFB20E开始的2字节(2600H)表示DOS保留扇区数为38扇区。
0CBFB210的一个字节(02H)表示FAT的个数为2. OCBFB224开始的4个字节(C1020000H)表示每FAT扇区数为705扇区。
我们就可以计算FAT1起始扇区为DBR所在扇区加保留扇区数:417753+38=417791。
FAT2的起始扇区为FAT1起始扇区加FAT的大小:417791+705=418496。
FAT的根目录放在数据区,数据区起始扇区为FAT2起始扇区加FAT大小:418496+705=419201。
下表为DBR相关参数分析:偏移实际值(十六进制) 实际值(十进制)长度(字节)含义0CBFB200 EB5890 3 JMP指令,跳转到引导程序,后随一个空指令900CBFB20B 0002 512 2 每扇区字节数,记录扇区大小0CBFB20D 08 8 1 每簇扇区数,记录簇大小,即多少个扇区组成一个簇0CBFB20E 2600 38 2 DOS保留扇区,一般为320CBFB210 02 2 1 FAT表个数,一般为二0CBFB220 AE070B00 722862 4 该分区的扇区总数,即分区大小0CBFB224 C1020000 705 4 每FAT扇区数,FAT32下每FAT表占用的扇区数下图37为FAT1起始扇区:FAT32用32为也就是4个字节表示一个簇。
数据区的簇编号从2号簇开始,在FAT表中前0,1簇是与系统相关的。
图37下图38为FAT2的起始扇区图,FAT2与FAT1内容是相同的。
图38下图39为数据区的开始扇区,簇号为2,以后的数据区簇号依次连续增加,一个簇为8扇区。
根目录放于数据区中。
FAT32没有独立的根目录区,它的根目录放在数据区,我们来分析目录项的32个字节:字节偏移长度(字节)内容及含义0X00 8 文件名0X08 3 文件的扩展名0X14 2 文件起始簇号的高十六位0X1A 2 文件起始簇号的低十六位0X1C 4 文件大小(字节)图39从偏移0CCB033A开始的2个字节(0902H)算出图片Lighthouse文件的起始簇号512,其在数据区的绝对地址为(512-2)×8+419201=423353.扇区偏移0CCB033C开始的4字节表示文件大小(7C900800H)为561276字节。
下图40表示图片文件数据起始位置,图示:图40跳转偏移量0008907CH文件大小,到文件末尾;如下图41所示:图41文件选中后的数据图;如下图42所示:图42我们在返回到数据区起始位置,看文件夹及文件夹下的目录,如下图43所示:图43偏移为0CCB029A开始的2字节(0300H)表示PDF文件南非的目录项在3号簇,绝对地址为:(3—2)*8+419201=419209.跳到文件目录的地方,如下图44所示:图44从上图偏移0CCB127A开的2字节(0400H)可以看出pdf文件南非的起始簇为4,绝对地址为:419201+(4-2)*8=419217.扇区,文件大小为(D46C1400H)1338580字节。
跳到文件数据起始扇区,如下图45所示:图45下图46表示跳转偏移量00146CD4H为跳转偏移量:图46文件内容选中后的图示47:图47以上为定位图片文件以及定位文件夹下PDF南非文件的数据区的详细过程,下面我们来删除图片文件和PDF文件,观察相关的扇区变化,进而将文件都恢复出来。
下图为删除文件的截图:删除图片文件如下图48所示:图48删除PDF文件的图示为49:图49删除后我们跳到图片的文件目录项扇区,如下图50所示:图50上图选中区域最后两行可以看出,第一个字节变为E5了,说明图片文件被删除,但是图片文件的文件其实簇号和文件大小并没有变化。
我们跳到图片文件的数据区开始位置423353;如下图51所示:图51看出数据区并无变化。
我们跳到FAT1,如图52所示,看到FAT表清零了。
图52跳到FAT2看看,如图53所示。
FAT也被清零:图531.恢复图片文件。
我们到图片文件的开始扇区,并且定位如下图54所示,定位数据区并选中后恢复到I盘;图54定位到文件结尾,如下图55所示:图55恢复到I盘,如下图56所示:图56这样我们就恢复出来删除的图片了,下面我们来看看恢复出来的图片,如图57所示:2.恢复文件夹下的PDF格式的文件。
定位到文件夹的目录项:文件夹的文件目录项不变,如图58所示:图58文件夹下文件的目录项还在3号簇,即419209扇区;跳到该扇区,如图59所示:可以看出文件的目录项第一个字节变为E5说明PDF南非文件被删除了,但是文件起始簇和文件大小没变化,依旧为4号簇(419217扇区),大小依旧为(D46C14OOH):我们跳到419217并且定位文件数据区;如图60所示:图60选中数据区并恢复,如下图61所示:图61恢复到I盘的“pdf文件”文件夹下;如下图62所示:图62保存好后查看恢复出来的PDF南非文件及内容;如图63所示:图63到此文件夹下的pdf文件’南非”也就恢复出来了。
以上就是创建磁盘及分区,以及在FAT32分区下定位文件,并且删除文件后将其恢复出来的过程。
附录:第一个EBR的扇区号417690FAT32的DBR开始扇区号(417690+63)417753每簇扇区数0x0D(08H)为8个FAT表个数0x10(02H)为2个每FAT扇区数0x24(C1020000H)为705隐含扇区数0x1C(3F000000H)为63DOS保留扇区数0x0E(2600H)为38FAT1开始扇区为417753+38=417791FAT2开始扇区号417791+705=418496根目录区开始扇区号418496+705=419201FAT32格式的J盘下一个图片文件为例,Lighthouse图片文件的文件目录项中文件的起始簇号0x1A(0902H)为512号簇,因为FAT32的数据扇区开始编号就是2号簇,所以文件的起始扇区转化过去为(521-2)*8=4152。