内容发布更新时间 : 2024/6/27 4:08:34星期一 下面是文章的全部内容请认真阅读。

U盘FAT系统手工恢复二进制文档碎片经典案例分析

U盘的文件系统一般为FAT16或者FAT32(目前主要为后者),文件在删除或者中病毒后会把文件在FAT表中占相应的簇位清空,并将其目录项的首个字节改为E5,如果文件不连续,比如经常在U盘内编辑更新的文件就会产生碎片,这时针对某个重要的文件,比如说文档就不能利用软件来恢复,在FAT表被清零的情况下软件的恢复原理是根据文件的目录项里记录的文件超簇跟大小,按文件连续存储的方式来恢复的,现在,就给大家介绍如何用WINHEX手工来恢复二进制文档. 此案例针对已经对二进制文档有一定了解的数据恢复人员,如果不明白也可以再去学习下论坛里的相关资料,华山剑客在这方面给出了很充分的资料,大家搜下就有了.

下面以恢复”实践报告正文.DOC”为例,故障现象为客户误删除了此文件,用软件可以把文件找回来,但打开出错.

分析故障,初步判断是文档存在碎片,首先要寻找正确的文件头,如何判断呢?可看到在WINHEX里面有三个此文件,依次进行分析: 先判断第一个文件:

跳转至其目录项,可知其大小为(00142E00/H)1322496字节/512=2583扇区=1291.5K,跟WINHEX看到的大小是一致的,再跳到其文件头,用WIHNEX的列出文件族数功能就可以方便的查看了:

可以看到这是一个文档的文件头,在偏移2C-2F/H的位置可以知道文件有1个SAT配置表,这个跟目录项中文件大小为1.3M大小不符合,因此这个文件头不对.

接下来跳到第二个文件,同样跳到其目录项,分析其文件大小也为1.3M,然后跳到文件头,

可以看到其配置表总数为(15/H)21个,那么根据配置表总数估算文档大小为(一个配置表大概为60K的文档):21*60=1260K,符合文档大小,初步判断此文件头是正确的. 接下来再判断第三个文件:

可以看到这个文件的文件头明显不是二进制文档的文件头,因此排除这个.