admin管理员组

文章数量:1643276

目录

第20课时.格式化对文件系统做了什么操作

格式化对文件系统做了什么操作? 

第21课时.格式化的恢复-虚拟子目录

第22课时.格式化的恢复-手工提取根目录下文件

课后实践

总结:

第23课时.格式化的恢复-手工计算DBR参数

课后实践

第24课时.格式化的恢复-取巧获得DBR参数

第25课时.磁盘未被格式化恢复-利用备份的DBR恢复

课后实践

干货

第26课时.磁盘未被格式化恢复-用系统格式化默认参数恢复

第27课时.磁盘未被格式化恢复-手工计算DBR参数

干货:

第28课时.文件或目录损坏的原因和恢复方法

原因:FAT表损坏

课后实践

第29课时.文件名变乱码的恢复方法

干货:

课后实践

扩展一下

第30课时.磁盘未被格式化恢复-根据FAT表算出簇大小

课后实践

第20课时.格式化对文件系统做了什么操作

格式化对文件系统做了什么操作? 

  •  DBR里面的参数改变
  • 1号扇区里面的参数改变
  • FAT1和FAT2被清空
  • 根目录也被清空,如果有卷标 那么会有一条卷标目录项 

第21课时.格式化的恢复-虚拟子目录

目的:手工提取根目录下文件夹内文件

因为盘被格式化,根目录消失,目录项,数据区不丢失

一般是一下格式(根目录文件夹):

2E 2E 20 20 20 20 20 20     20 20 20 3F 3F 3F 3F 3F

3F 3F 3F 3F 00 00 3F 3F      3F 3F 00 00

2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F0000

放到根目录里(不是FAT表里)视频讲解出错(这是一个目录项)

312020202020202020202010001C5AA29045904500005BA29045430C00000000

322020202020202020202010001C5AA29045904500005BA29045460C00000000

332020202020202020202010001C5AA29045904500005BA290456B8200000000

342020202020202020202010001C5AA29045904500005BA29045249D00000000

352020202020202020202010001C5AA29045904500005BA29045A29D00000000

右键选中恢复

好使

第22课时.格式化的恢复-手工提取根目录下文件

目的:手工提取根目录下文件


  • 常用文件搜索关键词
    • ZIP压缩包:开头:50 4B 03 04    结尾:50 4B 05 06 00 00
    • 直接搜索TXT文件内容:ANSI码

课后实践

目的:恢复被格式化盘里的根目录下的rar压缩包 

思路寻找ZIP格式的特征码------>开头:50 4B 03 04    结尾:50 4B 05 06 00 00

  1. 格式化
  2. 打开Winhix
  3. 翻车了(自己放了个ZIP文件---->格式化)
  4. 后来才发现题目是RAR课上学的是ZIP
  5. 那就在电脑上生成一下RAR文件
  6. 结果电脑上的好压不支持RAR压缩包的操作
    1. 找啊找,学习文件里有
  1. 找相同的特征码(RAR)
    1. 开始:526172211A070100    结尾:1D77565103050400
  1. ZIP管用
  1. RAR没找到
  1. 那就自己建一个.RAR的文件---->格式化吧
  3. 搜索到了
    3. 尾巴
  1. 复制到新文件
    2. 好使RAR

总结:

  • 常用文件搜索关键词
    • ZIP压缩包:开头:50 4B 03 04    结尾:50 4B 05 06 00 00
    • ZIP压缩包:开始:526172211A070100    结尾:1D77565103050400
    • 直接搜索TXT文件内容:ANSI码
    • 在电脑上,对比找一个文件的特征码,查找就能搞定

第23课时.格式化的恢复-手工计算DBR参数

又是重点???

目的:解决文件夹的簇和当前扇区不一致(DBR参数改变)

  1. 子目录实际扇区和 高低簇不一致
  2. 先获取两个子目录并记录簇号 和 真实扇区号
    1. 3号簇        40976号扇区
    2. 5号簇        41008号扇区
    3. 相差32个扇区    相差2个簇    得出 1个簇16个扇区
    4. 2号簇(根目录--->4扇区)    
  1. 去DBR修改参数
    1. 修改簇大小
    2. FAT表大小=(根目录-FAT表起始扇区(0E-0F))/2
    3. 修改两个参数
  1. 填入DBR
  2. 验证():FAT表起始扇区号+(FAT表大小*2)=根目录位置

数据恢复基本流程.xmind

课后实践

目的

  1. 查找目录(记得打上通配符3F)
    1. 2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F0000
  1. 查找簇和扇区号
    1. 子目录1    43,960号簇        392624扇区    B8 AB
    2. 子目录2    45,363号簇        403848扇区    33  B1
    3. 差1403号簇         差11,224扇区        得每个簇扇区数:8
  1. 修改DBR扇区
    1. 根目录2号簇(40,960)
  1. 计算每个簇扇区数:8
  2. 计算FAT表大小(40960-8,282)/2=16339
    1. (根目录-FAT表起始扇区(0E-0F))/2=FAT表大小
  1. 填入DBR表
  2. 成功

第24课时.格式化的恢复-取巧获得DBR参数

目的:另一种获取DBR参数

  1. 搜索子目录
    1. 2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F0000(512-32)
    2. 获取高低簇
  1. 重点
  2. 去虚拟一个磁盘(容量与恢复磁盘一致)
    1. MBR,FAT32
    2. 这里选择不同的分配单元---->512;1024;【2048;4096;8192;16k;32k;64k】;128k;256k;
  1. 复制新虚拟的DBR扇区

第25课时.磁盘未被格式化恢复-利用备份的DBR恢复

RAW格式----不识别硬盘系统

  1. 打开Winhex
  2. 选择※物理磁盘
  3. 选择1号分区
  4. 复制到新文件

课后实践

目的:恢复盘数据

问题:DBR扇区丢失,文件系统不可读取

解决方案:从6号备份DBR扇区,复制到0号DBR扇区

  1. 通过物理磁盘进入
    1. 选择1号分区
  1. 打开6号扇区,数据复制到0号扇区(DBR扇区)
  2. 更新磁盘快照
  3. 数据恢复成功

干货

6号扇区是备份的DBR扇区,如果DBR扇区损坏,则可以直接复制6号扇区备份

第26课时.磁盘未被格式化恢复-用系统格式化默认参数恢复

RAW----不识别磁盘系统

目的:DBR扇区损坏,备份DBR数据损坏

  1. 电脑无法识别硬盘格式;DBR顺坏;备用DBR损坏
  2. 搜索FAT表头{F8FFFF0F----FAT表头部标记---(512-0)------FFFFFF0F---尾巴标记---(0-0)}
  3. 记录FAT表扇区
    1. 14343扇区(FAT表1先损坏(大概率),这个是FAT表2)
  1. 创建一个新的虚拟磁盘(容量相同,FAT32,默认值)
  2. 复制新的虚拟磁盘的DBR到,待恢复磁盘
  3. 更新磁盘快照
  4. 把FAT表2数据放到FAT表1数据中            FAT表数据(FAT2头----到----根目录头)
  5. 查看FAT表开头(偏移00)
    1. 129
    2. 1个扇区=512字节
    3. 1个FAT表4字节
    4. 1个扇区可以有=128个表项
  1. 填充FAT表头 (F8FFFF0F)

第27课时.磁盘未被格式化恢复-手工计算DBR参数

RAW----不识别磁盘系统

  1. 通过FAT表或者子目录确定以下参数
    1. 每个簇的扇区数
    2. FAT表起始扇区号
    3. 文件的总扇区大小-----左下角Winhex界面
    4. FAT表大小

干货:

129是第二个FAT表扇区

关键阐述

0D:每个簇的扇区数

0E-0F:FAT表起始扇区号

20-23:文件的总扇区大小-----左下角Winhex界面

24-27:FAT表大小

第28课时.文件或目录损坏的原因和恢复方法

根目录FAT表损坏,导致磁盘无法读取(提示目录损坏)-----FF FF FF 0F

目录对应的FAT表损坏,会导致目录损坏

原因:FAT表损坏

 修复方法:

  1. 直接在winhex里复制出来
  2. 修复FAT表项 

课后实践

目的:修复虚拟磁盘镜像文件中文件夹名为《12345》的FAT表项 

我一脸懵逼:表示《12345》能打开啊---动画片很好看


搞掉文件对应的FAT表项

  1. 文件夹《12345》 对应簇----18,886簇    628864扇区(对应正确✔)
  2. 保存一下目录的FAT表,避免翻车
    3. 成功制造困难
    4. 寻找目录的高低簇号
      2. 18,886号簇
    1. 找到FAT表    因为1个簇是4字节    则18,886号簇=75,544字节
    2. 从FAT表00项偏移75,544字节,并填充FF FF FF 0F
  1. 拓展一下
    1. FAT1全部填充00
      1. 通过FAT表2备份恢复
      3. 构建FAT表   
          1. 根目录可读取
        1. 全填充FF FF FF 0F 也可    
          1. 然后可直接在WinHex复制到新文

第29课时.文件名变乱码的恢复方法

目的:文件名变乱码并修复

  1. 通过点击目录框,得到扇区
  2. 把扇区转为十六进制
  3. 构建文件夹数据----填入高低簇号     
    1. 2E 2E 20 20 20 20 20 20     20 20 20 3F 3F 3F 3F 3F
    2. 3F 3F 3F 3F 00 00 3F 3F      3F 3F 7C 2B 00 00 00    
  1. 搜索
  2. 虚拟子目录
  3. 填入高低簇号

干货:

  1. 构建文件夹数据----填入高低簇号     
    1. 2E 2E 20 20 20 20 20 20     20 20 20 3F 3F 3F 3F 3F
    2. 3F 3F 3F 3F 00 00 3F 3F      3F 3F 7C 2B 00 00 00    
    3. 00 00     7C 2B    表示对应子目录下的目录

课后实践

(给的硬盘镜像目录下文件,是没有问题的)

  1. 秉承着没有困难制造困难的目的
  2. 那就按他的意识把根目录给搞坏
    2. 很棒
  1. 构建文件夹目录
    2. 2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F000000000000
    3. 查找目录项
    4. 查到6个根目录下的目录
        1. 目录1        03    00
        2. 目录2        E3    2C 
        3. 目录3        4E    2E 
        4. 目录4        1F    35 
        5. 目录5        22    35 
        6. 目录6        24   35 
  1. 添加到虚拟目录项目的高低簇中
      2. 根目录的文件夹虚拟成功
  1. 妥了

扩展一下

破坏子目录(目录项破坏)

目录项目破坏

  1. 刚才子目录“1”下有一个文件夹,经过破坏后
  1. 查看目录 “1”的扇区号:24608  第3号簇  十六进制:00 03
  2. 构建子文件夹结构
    1. 2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F0300
    1. 注意高低簇的位置
  1. 搜索十六进制数据
    2. 找到一个文件夹(得知:4号簇)
  1. 虚拟子目录
  1. 数据恢复正确

第30课时.磁盘未被格式化恢复-根据FAT表算出簇大小

目的:根据FAT表算出簇大小

  1. 查询FAT表
    1. F8FFFF0 定位FAT表开头
    2. 记录    FAT表1头 AND FAT表2头
    3. FAT表大小=FAT表2头 - FAT表1头
    4. 根目录位置=FAT表2头+FAT表大小
    5. 一共用的簇= 总扇区-根目录位置扇区
    6. 一共的FAT表项目=FAT表大小*每个扇区 128个表项目
    7. 簇大小=总扇区数/一共的FAT表项目
  1. 举例    
    1. FAT 1:4170
    2. FAT 2:18469
    3. 总扇区号:14673920
    4. FAT表大小=18469-4170=14,299
    5. 根目录位置=FAT表2头+FAT表大小=18469+14,299=32768
    6. 用了簇的扇区=总扇区-根目录位置扇区=14673920-32768=14,641,152
    7. 一共的FAT表项目=FAT表大小*每个扇区 128个表项目=14,299*128=1,830,272
    8. 簇大小=总扇区数/一共的FAT表项目=14,641,152/1,830,272=7.999440520316106    (FAT表前两个簇不可使用造成) 约8
      1. 实际可用的FAT表项目=一共的FAT表项目-2
        1. 簇大小=总扇区数/一共的FAT表项目=14,641,152/(1,830,272-2)=7.999449261584356 无限接近于8----文件总扇区,

课后实践

目的:通过FAT表的大小算出簇大小,从而修复DBR 

  1. 打开可爱的Winhex
  2. 问题:DBR损坏
    1. 寻找簇大小
      1. 查找FAT表一定搜索:FFFFFF0F
      2. FAT1:2076
      3. FAT2:13326
      4. 总共扇区号:23062528
      5. FAT表大小=FAT2-FAT1=13326-2076=11,250
      6. 根目录位置=FAT2+FAT表大小=13326+11,250=24,576
      7. 用了簇的扇区=23062528-24,576=23,037,952
      8. 共FAT表项数=FAT表大小*128=11,250*128=1,440,000
      9. 簇大小=总扇区数/一共的FAT表项目=23062528/1,440,000=16.01564444444444
        1. 官方一点:一共的FAT表项目=一共的FAT表项目-2
        2. 簇大小=总扇区数/一共的FAT表项目=23062528/1,439,998=16.01566668842596
      1. 簇大小是16
  1. 新建虚拟磁盘并复制DBR

本文标签: 数据恢复课时硬件笔记章节

版权声明:本文标题:WinHex数据恢复笔记-数据恢复与硬件维护-第2章节-FAT32-20-30课时数据恢复 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1729359546a1198533.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。