admin管理员组文章数量:1630195
第5章《起始簇号的计算方法》
就算起始簇号有两种方法,1是公式计算,2是组合数值。
第一个公式:起始簇号等于低16位的数值+(高16位的数值*65536)
注意:当高16位为0的时候,那么只需要看低16位的数值
位置:高16位在左,低16位在右。
- 让数据区先转到根目录
- 在高低位中找到的是起始起始簇号而不是扇区,扇区要利用算出的簇号转化,在跳至扇区中转成扇区。
- 在数据存储中数值是相反的-----例如:00 00 05 09 00 00 00 05 0E 00 提取出来就是09 05 0E 05
第二个组合数值
- 把提取出来的数输入到计算机十六进制里面转换成十进制,然后再把转换好的数值复制到跳至扇区中簇的框中在扇区框中的数值就是文件的数据扇区。
- 手工提取数据字符串,点击要复制数值的第一位按住ALT+1键选中,然后再单击数值末尾字符按ALT+2选中再单击右键编辑-复制选块-至新文件,然后文件名和扩展名一定要与提取前的数据一样。
注意:手工提取的数据没有扩展名。
注:提取的数据是在扇区中提取的不是在根目录中提取的。
第6章《利用FAT表找出目录的下个簇》
- 当第一个目录里的文件比较多时,一个簇存不下所有文件,就会增加一个簇来存放文件。但这两个簇往往不是连续的,就需要FAT表来定位目录的下个簇是第几号簇。
- 打开字符转换器,然后把汉字输入到里面,把它的ANSI码复制到查找十六进制里面去找。
- 一切开始都是从2号簇开始找,把光标放到2号簇的第一位记录它的32bit数值,然后在跳至扇区中把数值输入到簇的框中搜索,搜索到的就是根目录的下一个簇。找到下一个簇后就跳至扇区看能否搜索到要找的数据,如果能那么就提取出来如果不能就继续找下个簇。
例如:找到的是3号簇,那么就看32bit,如果32bit是3614,那么就跳至扇区去查找十六进制。看能否一至两秒能否找到,如不能就继续找下一个簇。
注意:如果还要找下一个簇一定要回到FAT1里面来找也就是一定要回到原始位置,光标也一定要放到第一位的数值上。这里是开始第二个簇的查找,第一个不用这样,第一个是光标放在2号簇的第一个数值上,不要混淆了。
注意:每找到一个簇就要跳至扇区去开一下能否搜索到。
- 如果要找下一个簇那么把(原来的32bit的数值*4),然后再把计算出的结果放到(转到偏移量)中的新位置框中,相对于哪里选择当前位置也就是光标所放的位置。
位置:选项下面第一个
注意:通常我们用的都是十进制,如果一开始用的是十六进制那么一直都要用十六进制查找、搜索等,要不然找出来的是错的。
这样以此类推直到找到为止
以上转到偏移量都是十进制
第七章《长文件名目录项》
- 当文件名超过8个字节时,就需要用长文件名目录项来存储文件名。
- 长文件名目录项的0B位置标志一定是0F。
- 长文件名目录项使用Unicode编码存储文件名的。
- 长文件名目录项数据结构:
偏移字节(16进制) |
描述 |
00-00 |
状态码(E5:删除;01表示目录项序号;42前面的4是表示最后一个目录项,后面的2是表示序号为2的目录项)。 |
01-0A |
长文件名的第1-5个字符 |
0B-0B |
长文件名目录项的标志为0F |
0C-0C |
保留 |
0D-0D |
校验和 |
0E-19 |
文件名的第6-11个字符 |
1A-1B |
保留 |
1C-1F |
文件名的第12-13个字符 |
注意:找到长文件名的目录项后,找到的那个里面没有有用的数据,只不过是记录文件名的,有用的在长文件名的下一项数值才有用,也就是说只有它的短文件名目录项才有高16位和低16位。
- Unicode编码中每个字符都会用两个字节来表示。
- 长文件名是用Unicode编码,短文件名用的是ANSI编码。
第八章《根据两个子目录算出簇大小》
- 子目录:
每个文件夹的最前面两个目录项,一定是“.”和“..”目录项,分别表示子目录本身和父目录。
- 簇大小计算公式:
两个扇区相减,两个簇相减;然后它们的和相除,然后结果就是簇的大小。
例如:扇区:40992,,238208;簇:131080,4。 就是:2138208-40992=2097216,131080-4=131076再然后就是 2097216除以4=16;那么就表明每个簇有16个扇区。
以上都是在十进制里面进行的
第九章《搜索完整的长文件名》
1、WinHex搜索限制:
Winhex搜索十六进制数值最多只能搜索50个字节,如果超过50个字节winhex将自动把多余的字节忽略掉
2、50个字节只能容纳20个字符的长文件名目录项。
3、一个文件名目录项的长度是32个字节,所以50个字节的话那后面的就还剩下18个字节也就是说第二个文件名目录项也可以查找它前面18个字节的十六进制,那么前面的18个字节的话是到偏移11的位置。
4、在Unicode编码中两个字节对应的是文件名一个符。
5、如果要复制搜索的话一定要从下向上复制慢50个字节也是可以搜索,不过太过于复杂,通常一般都是复制的是前面的32个字节来查找十六进制。
注:(1)、先把字符转换成Unicode编码
- 、转换完好后复制并记录Unicode编码
- 在winhex中找一个全为0的扇区,然后选一小部分来填充成“3F”--3F名为通配符。
- 再按长文件名目录项数据结构图标来把转换好的十六进制填在“3F”中。
- 填充完成后复制第一项的十六进制数值来查找长文件名目录项。
6、长文件名目录项数据结构:
偏移字节(16进制) |
描述 |
00-00 |
状态码(E5:删除;01表示目录项序号;42前面的4是表示最后一个目录项,后面的2是表示序号为2的目录项)。 |
01-0A |
长文件名的第1-5个字符 |
0B-0B |
版权声明:本文标题:接上一章winhex数据恢复新手入门教程 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1729072728a1185087.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论