FAT32分区下的文件数据定位及删除后的恢复
Windows系统FAT32和NTFS分区文件删除的恢复方法的研究
Windows系统FAT32和NTFS分区文件删除的恢复方法的研究SYS PRACTICE 系统实践当前,Windows操作系统占据了计算机的90%以上的份额,其文件系统类型有两类,FAT32格式和NTFS格式,本文针对这两种文件系统下的数据恢复进行分析和讨论。
一、数据恢复基础(一)?文件系统。
文件系统是操作系统用于组织文件的方法,主要用来记录存储设备已用和未用的空间,维护目录与文件信息,文件系统与其文件组织形式息息相关,不同的文件系统,其逻辑组织方式也是不同的。
(二)?簇。
操作系统将簇作为文件存储的基本分配单位,簇的大小是在对硬盘进行格式化过程中由程序自动分配的,一个簇包含2n个扇区,不论文件有多小,其所占用的空间都是1簇。
二、 FAT32文件系统的数据恢复(一)?基本概念。
FAT32文件系统由DBR,FAT表和数据区构成,采用簇的管理方式管理,和FAT16文件系统相比,不再有固定的根目录区域,而是将根目录与其他目录、文件等一同视为“数据”。
1.?DBR扇区。
FAT32的DBR扇区位于分区所在扇区的首扇区,其数据结构由跳转指令(EB?58?90)、BPB参数值等参数构成。
重要的数值包含每扇区字节数、每簇扇区数、保留扇区数、FAT表个数等。
2.?FAT表。
FAT32文件系统的FAT表以“F8?FF?FF?0F”为FAT 表起始标志,以“FF?FF?FF?0F”为簇链结束标记。
FAT表记录着文件在分区中的分布情况,每个FAT表项占用4字节,如果该簇未被占用,则为“00?00?00?00”,如果该簇为文件的最后一簇,则为“FF?FF?FF?0F”,否则该簇就是文件所占用的下一个簇的簇号,如果该簇为坏簇,则为“F7?FF?FF?FF”。
3.FAT32文件目录项。
FAT32文件系统将根目录归入数据区进行管理,这样做的好处是不受限于目录项数,在需要增加空间时可以为其分配后续簇实现[1]。
FAT32文件系统中使用4个字节描述簇地址,为此FAT32使用0x14-15两个字节作为数据起始簇号高位,0x0A-0B两个字姐作为起始簇号的低位,在读取的时候采用低位在前高位在后的顺序进行读取,然后再转换为十进制数,即可得到目录的起始簇号。
如何恢复已删除的文件
如何恢复已删除的文件文件被删除后,文件的数据并不会从磁盘上真正删除。
通常情况下,文件仅仅是被标记为“删除”,而文件数据甚至文件名等信息还保留在磁盘上。
因此,删除文件后,只要没有写入新文件(即已删除的文件数据没有被新写入的文件覆盖),通过一定的技术手段,是可以将已删除的文件恢复回来的。
这里的“删除”包括操作失误造成的误删,包括被病毒删除,也包括通过工具软件删除(文件粉碎软件除外)。
下面借助数据恢复精灵恢复已删除的文件下载、安装、运行数据恢复精灵要开始恢复已删除的文件,请点击数据恢复精灵软件主界面上的“恢复已删除的文件”按钮。
如下图所示:本功能将以向导的方式,依次执行如下五个步骤:“1、选择分区”、“2、扫描文件”、“3、选择要恢复的文件”、“4、选择目标文件夹”、“5、保存文件”。
请先选择要恢复已删除文件的分区。
所选分区的有关信息将显示在右边的窗口中。
如下图:如果所选分区的文件系统是FAT32或FAT16格式,右侧窗口的底部会显示“搜索更早以前删除的文件”复选框。
如果您想恢复更早以前删除的文件,可以勾选它。
确认选定的分区是您要恢复文件的分区,点击“下一步”按钮。
数据恢复精灵软件将开始扫描该分区,进入向导的下一步:“搜索文件”。
扫描完成后,软件将显示搜索到的所有已删除的文件。
显示方式和Windows系统的“资源管理器”类似。
左侧显示文件目录,右侧显示文件列表。
在每个文件及文件夹图标前面都有一个复选框。
请勾选所有需要恢复的文件及文件夹,然后点击“下一步”按钮准备复制文件。
当您点击了某个文件时,在右下方的窗口中会显示该文件的缩略图预览。
本软件目前支持预览图片及文本文件。
您可以通过预览来判断文件能否被成功恢复。
默认情况下,只有已删除的文件才会被列出来。
如果要列出其它所有文件,包括正常的文件,请通过过滤窗口勾选“正常文件”复选框,然后点击“刷新”按钮。
正常文件没有复选框,不能被选择。
如果只需要恢复一部分文件,也可以通过设置过滤器中的文件名(支持通配符)、文件属性、文件大小和时间来过滤要恢复的文件。
详解FAT32文件系统
详解FAT32⽂件系统详解FAT32⽂件系统硬盘是⽤来存储数据的,为了使⽤和管理⽅便,这些数据以⽂件的形式存储在硬盘上。
任何操作系统都有⾃⼰的⽂件管理系统,不同的⽂件系统⼜有各⾃不同的逻辑组织⽅式。
例如:常见的⽂件系统有FAT,NTFS,EXT,UFS,HFS+等等。
下⾯就来学习⼀下基于Windows的FAT32⽂件系统。
FAT32⽂件系统由DBR及其保留扇区,FAT1,FAT2和DATA四个部分组成,其机构如下图:这些结构是在分区被格式化时创建出来的,含义解释如下:DBR及其保留扇区:DBR的含义是DOS引导记录,也称为操作系统引导记录,在DBR之后往往会有⼀些保留扇区。
FAT1:FAT的含义是⽂件分配表,FAT32⼀般有两份FAT,FAT1是第⼀份,也是主FAT。
FAT2:FAT2是FAT32的第⼆份⽂件分配表,也是FAT1的备份。
DATA:DATA也就是数据区,是FAT32⽂件系统的主要区域,其中包含⽬录区域。
⼀、分析FAT32⽂件系统的DBRFAT32⽂件系统的DBR有5部分组成,分别为跳转指令,OEM代号,BPB,引导程序和结束标志。
如下图是我U 盘上⼀个完整的FAT32⽂件系统的DBR。
E8 58 90 :(跳转指令) 本⾝占2字节它将程序执⾏流程跳转到引导程序处。
“EB 58 90″清楚地指明了OS引导代码的偏移位置。
jump 58H加上跳转指令所需的位移量,即开始于0x5A。
4D 53 57 49 4E 34 2E 31 :(OEM代号) 这部分占8字节,其内容由创建该⽂件系统的OEM⼚商具体安排。
跳转指令之后是8字节长的OEM ID,它是⼀个字符串, OEM ID标识了格式化该分区的操作系统的名称和版本号。
为了保留与MS-DOS的兼容性,通常Windows 2000格式化该盘是在FAT16和FAT32磁盘上的该字段中记录了“MSDOS 5.0”,在NTFS磁盘上(关于ntfs,另述),Windows 2000记录的是“NTFS”。
FAT32
FAT32数据恢复报告――fat32简介fat(filealocationtable)即文件分配表,以这种文件分配表方式访问的文件系统被称为fat文件系统结构,相应的磁盘分区也被称为fat文件分区格式。
fat格式是微软公司最早支持的分区格式,它依据fat表中每个簇链所占的位数分为fat12,fat16和fat32三种格式。
系统将磁盘分割为一个一个大小成正比的块,这个块就是簇。
簇的大小并不唯一,具体内容占到多少个扇区就是在系统对分区展开格式化时根据分区的大小、文件系统类型等对簇的大小展开初始化的。
但大多数情况下,fat32中每簇挤占4kb大小。
文件挤占磁盘时,最轻的单位不是字节而是簇,即使某个文件只有一个字节,操作系统也可以为其分配一个簇的空间。
每个簇都有一个逻辑编号。
fat32系统采用fat簇的方式来实现,过程大致如下:fat 区中被逻辑的划分出若干个fat项,每个fat项有一个逻辑编号,fat32结构的分区中每个fat项占用32位,这个编号对应了数据区中的若干个簇。
fat1和fat2就是两个全然一样的fat,系统同时创建两条全然一样的fat链,这样搞就是为了当fat1损毁时可以用fat2展开恢复正常。
在fat区后面就是系统的根目录区,由若干目录项共同组成。
在根目录区后面就是文件的数据区,这个区域中放置的就是用户和系统创建的文件数据,这个区被逻辑的分割变成了若干个大小成正比的丛,以便管理。
(一)鼓励扇区结构硬盘的主引导扇区mbs是硬盘的第一个扇区,由其中存放的内容包括mbr、出错信息数据区、磁盘分区表dpt和结束标志字四个部分。
主鼓励程序的偏转地址就是0000h~0088h,它主要负责管理从活动分区中转发并运转系统的鼓励程序。
出错信息数据区偏移地址是0089h~00e1h。
磁盘分区表中dpt所含4个分区项,它的偏转地址就是01beh~01fdh,每个分区表项长16个字节,共64字节。
结束标志是偏移地址为01feh~01ffh的两个字节,结束标志是55aah。
DiskGenius官方图文教程--误删除或误格式化后的文件恢复
DiskGenius官方图文教程--误删除或误格式化后的文件恢复当计算机内的文件被有意无意的删除、或遭到病毒破坏、分区被格式化后,文件时可以恢复的。
实际上,操作系统在删除文件时,只是将被删除文件打上了“删除标记”,并将文件数据占用的磁盘空间标记为“空闲”。
文件数据并没有被清除,还静静地“躺”在磁盘上。
只要删除文件后没有建立新的文件,操作系统没有写入新的数据,这些被删除的文件数据就不会被破坏,就有机会通过一定的技术手段将它们“抢救”出来。
格式化操作执行时并不会考虑磁盘上原来的数据内容,也不会先删除旧文件。
不同的文件系统类型,格式化的具体操作内容也不同。
对于FAT32、FAT16、FAT12等文件系统,格式化时会清除文件分配表(简称FAT,固定位于分区的开始部分,含有文件数据的定位信息)及根目录。
文件数据一般不会被清除。
对于NTFS文件系统,格式化时新写入的数据没有固定位置要求,但正常情况下每次格式化时的写入位置不会变化。
因此旧文件数据大多不会被覆盖,仍存在大量残余信息供我们找到丢失的文件。
对于整个分区已经丢失的情况,请首先参阅“搜索已丢失分区(重建分区表)”功能,先搜索到丢失的分区。
然后可以在保存分区表后、或在不保存分区表的情况下再利用“文件恢复”功能恢复分区内的文件。
分区被破坏的表现有:在“我的电脑”中打开分区时系统提示“未格式化”“需要格式化”,分区属性显示为“RAW”,打开分区后看不到任何文件。
遇到这些情况时,都可以通过“误格式化后的文件恢复”功能来恢复文件。
软件支持NTFS、FAT32、FAT16、FAT12等文件系统类型的硬盘分区、支持使用这些文件系统格式的RAID卷、U盘、存储卡(如数码相机中的SD卡、XD卡等等)。
为保护正在恢复的分区不被再次破坏,软件在搜索分区内的文件时,会采用只读模式,不会向分区写入任何数据。
要开始恢复文件,首先选择已删除文件所在的分区。
然后点击工具栏按钮“恢复文件”,或点击主菜单“工具”中的“已删除或格式化后的文件恢复”菜单项,以打开文件恢复对话框。
NTFS
NTFS数据恢复实验【实验思考】对于FAT32格式的分区,使用EasyRecovery软件能否实现误删恢复和格式化恢复?列举你所知道的其它数据恢复软件。
【实验原理】一、NTFS文件系统结构在NTFS文件系统中,文件也按簇进行分配,一个簇必须是物理扇区的整数倍,而且总是2的整数次方。
NTFS文件系统的簇大小在使用格式化程序时,由格式化程序根据卷的大小自动进行分配。
在NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构、引导程序以及记录卷自身大小和使用情况的位图文件。
这体现了NTFS的原则:磁盘上的任何事物都为文件。
在文件中存储一切使得文件系统很容易定位和维护数据。
文件通过主文件表(MFT,Master File Table)来确定其在磁盘上的存储位置。
主文件表是一个与文件相对应的数据库,由系列的文件记录(File Record)组成——卷中每一个文件都有一个文件记录(对于大型文件还可能有多个记录与之相对应)。
主文件表自身也有它自己的文件记录。
NTFS分区的MFT中的文件记录大小一般是固定的,不管簇的大小是多少均为1KB。
文件记录在MFT文件记录数组中物理上是连续的,且从0开始编号,MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(Metadata,是存储在卷上支持文件系统格式管理的数据。
它不能被应用程序访问,只能为系统提供服务)。
其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。
这些元数据文件的名字都以“$”开始,是隐藏文件,在Windows NT/2000/XP中不能使用dir命令像普通文件一样列出。
这些元数据文件是系统驱动程序管理卷所必需的,Windows NT/2000/XP给每个分区赋予一个盘符并不表示该分区包含有Windows NT/2000/XP可以识别的文件系统格式。
如果主文件表损坏,那么该分区在Windows NT/2000/XP下是无法读取的。
R-Studio通用数据恢复方法
R-Studio万能通用数据恢复方法网上流转的数据恢复方法有很多,今天小编给大家整理了一个图文教程,下面一起来学习下R-Studio万能通用数据恢复方法吧!学会了这个教程对于R-Studio怎么用也就自然学会啦!我们将故障硬盘连接到电脑上,在我的电脑中可看到共4个分区,格式为FAT32。
在我的电脑上右键单击--管理--然后进入磁盘管理,可以更加直观的了解现在结构,对后面的数据恢复过程很有帮助。
通过磁盘管理,我们对故障硬盘当前的分区结构和盘符的分配,有了更直观的了解,请注意区分本机硬盘和客户硬盘。
我们首先要了解故障硬盘当前分区的数据量,即对以前数据的覆盖破坏量。
在磁盘管理中,在每个盘符上--单击--右键--属性,这是客户硬盘当前第一个分区H盘的属性。
剩余空间不多,但客户声明本区为操作系统分区,数据不在这里。
因此我们大致了解一下即可。
客户硬盘当前第二个分区I 盘的属性,这个分区占用量为4.86G,这意味着对原来数据可能有约4.86G的覆盖破坏量,是不是覆盖在原重要数据位置要看运气,还原分区后可具体分析。
客户硬盘第3、4个分区K盘和L盘已用空间都基本为空,这些位置的数据恢复效果将会很好。
诊断了解客户硬盘状况完毕,下面开始数据恢复,这里我们使用R-Studio软件来恢复数据,获取R-Studio后并安装运行。
客户需要的是重新分区格式化安装系统以前的数据,并且要求尽可能全部恢复,因为他不记得原来数据放在什么位置,因此需要点击选择扫描恢复整个硬盘而不是分区。
选择要恢复的硬盘或分区,点击R-Studio的开始扫描图标。
你可以根据硬盘型号、卷标、文件系统、开始位置、分区大小来正确确认。
点击开始扫描后,R-Studio弹出扫描设置窗口,一般采用默认选项即可,也可以去掉我们不需要的文件系统,可加快分析速度。
我们要扫描的是整个硬盘,所以从0位置开始,长度149.1G 。
也可以精简R-Studio要分析的文件系统,Windows操作系统只可能是FAT和NTFS格式。
硬盘数据恢复方法大全
硬盘数据恢复方法大全硬盘数据恢复的方法涵盖了多种技术和策略,根据数据丢失的不同原因,选择合适的数据恢复方案至关重要。
以下是硬盘数据恢复的一些常见方法和详细步骤:1、误删除恢复简单恢复:对于刚被误删除的文件,可以直接查看回收站,如果有,可直接还原。
专业软件恢复:如使用Easy Recovery、Recuva、Disk Drill等数据恢复软件进行扫描,软件会搜索硬盘扇区中尚未被覆盖的数据痕迹,重建并恢复已删除的文件。
2、格式化恢复使用专业的格式化恢复工具,扫描已格式化分区,通过对比文件头签名和文件系统的残留信息来识别并重建文件。
3、分区表丢失恢复使用数据恢复软件恢复丢失或损坏的分区表,软件会尝试重构MBR(主引导记录)或GPT分区表,从而使丢失的分区和数据重现。
4、硬盘物理故障恢复硬件故障初步诊断:检查电源接口、数据线连接,尝试更换硬盘盒或连接到另一台电脑上测试。
专业硬件修复:对于硬盘磁头损坏、电机故障、电路板问题等严重物理损伤,需要由专业数据恢复服务商拆开盘腔,在洁净室内通过更换磁头组件或使用专业设备进行读取。
5、硬盘逻辑错误恢复chkdsk工具:Windows系统自带的磁盘检查工具可以用于修复硬盘逻辑错误,如文件系统损坏等情况。
RAID恢复:针对RAID阵列故障,可以通过RAID数据恢复软件重建RAID阵列,还原数据。
6、深度扫描恢复对硬盘进行全面深度扫描,即使是碎片化的数据也能尝试拼接恢复。
此类深度扫描通常需要较长时间,但能最大限度地找回丢失的数据。
7、镜像恢复先创建硬盘的镜像备份,然后在镜像上进行数据恢复操作,以免原始硬盘在恢复过程中进一步受损。
8、RAW分区恢复当硬盘分区变为RAW状态时,可以尝试通过数据恢复工具解析RAW分区,识别文件系统并提取数据。
9、物理损坏情况下的开盘服务当硬盘存在严重的物理故障,如磁头损坏、电机故障等,需要在专业洁净环境下进行开盘数据恢复,这是一项技术要求极高的服务,通常由专业的数据恢复公司提供。
FAT32误格式化的数据恢复思路
FAT32误格式化的数据恢复思路在FAT32文件系统中,对分区进行格式化会重建DBR、清空两个FAT表、清除原根目录并且为分区分配新的簇(通常为第2簇)。
分区误格式化后,可以考虑以下的恢复思路:1、修建DBR:DBR里重要的数据就是BPB,对不同分区的DBR而言,BPB中有以下5个重要字段的数据因分区不同而不同:每簇的扇区数,保留的扇区数,隐藏的扇区数,FAT的扇区数,本分区扇区数。
这些数都要恢复到未格式化以前的状态。
对于没有改变分区容量的格式化,BPB基本是相同的,如果不同就要通过查找“.”目录的方法,计算每簇的扇区数,其他个数可根据默认值获得,FAT的扇区数可根据根目录的偏移,反计算获得。
2、查找恢复的文件名:必须要记住要恢复的文件名或者所在目录的名称,将文件名换算为HEX码查找,通过筛选获得查找文件所在的目录的簇号。
如果文件在跟目录就没有办法查找了,查看下面的步骤。
3、修复根目录:在根目录下建立一个目录,然后修改目录的簇号指向之前查到的目录的族号,也许以前的文件夹不是在跟目下也不要紧。
如果要恢复的文件比较小,可以不需要这一步,直接把要恢复的文件的HEX码直接复制下来就行了!4、查找簇链是连续的文件:通过文件的目录项可知文件的长度,就可计算出文件占簇的长度,将族链填写到FAT表里,到目录里刷新一下,文件就出来了。
如果簇链是连续的话,文件就可以完整的恢复了!5、查找有一处簇链不连续的文件:这就需要对要恢复的文件的结尾的标志有了解,在一个空的簇上建立你要恢复文件的结尾的标志,然后将某一族链指向这个族,在运行一下你的文件看能不能远行,不行就再修改其他的族链,就是要查找到不连续的断链,这样也能恢复一部分的资料。
当然断链的地方如果正好是另一个文件的开始就好办了!查到断的族链后,根据文件的长度和文件的结尾的标志,查找到另一处的文件的结尾的偏移!根据已经查找到的那部分长度就可以计算这一个部分的长度,修改FAT表文件就找回来了!对于根目录的文件也使用这个方法可查找文件头和文件尾的标志。
数据恢复课程报告1
FAT32文件系统分析一、FAT32文件系统简介FAT32是Windows系统硬盘分区格式的一种。
这种格式采用32位的文件分配表,使其对磁盘的管理能力大大增强,突破了FAT16对每一个分区的容量只有2 GB的限制。
由于现在的硬盘生产成本下降,其容量越来越大,运用FAT32的分区格式后,我们可以将一个大硬盘定义成一个分区而不必分为几个分区使用,大大方便了对磁盘的管理。
目前已被性能更优异的NTFS分区格式所取代。
二、基本参数发布时间:1996年8月发布(Windows 95 OSR2)分区标识: 0x0B, 0x0C(MBR)EBD0A0A2-B9E5-4433-87C0-68B6B72699C7(GPT)最大单文件大小: 4 GB (Fat16分区是2 GB )最大文件数量: 268,435,437最长档名限制: 8.3 或者长文件名255个字符最大卷大小: 8 TB记录日期:创建、修改、访问日期范围: 1980年1月1日至2107年12月31日属性:只读,隐藏,系统,卷标,子目录,档案透明加密:不支持透明压缩:不支持访问许可:无限制三、FAT32 功能与以前的 FAT 文件系统实现相比,FAT32 提供了以下增强功能:1、FAT32 支持最大为 2 TB 的驱动器。
(注意:Microsoft Windows 2000 仅能支持最大为 32 GB 的 FAT32 分区。
)2、FAT32 可以更高效地使用空间。
FAT32 使用较小的簇(即,对于大小在 8 GB 以内的驱动器,使用 4 KB 的簇),这与大的 FAT 或 FAT16 驱动器相比,可将磁盘空间的使用率提高 10% 到 15%。
3、FAT32 更稳定可靠。
FAT32 可以重新定位根文件夹,而且它使用文件分配表的备份副本,而不是使用默认副本。
此外,FAT32 驱动器上的引导记录也得到扩展,包括了关键数据结构的备份副本。
因此,与现有的 FAT16 驱动器相比,FAT32 驱动器不容易受单点故障的影响。
用diskgenius恢复分区及文件的方法
用diskgenius恢复分区及文件的方法恢复分区及文件的方法:DiskGenius是一款功能强大的磁盘分区管理和数据恢复工具,它可以帮助您恢复丢失或删除的分区以及丢失的文件。
下面介绍使用DiskGenius来恢复分区及文件的方法:1. 下载和安装DiskGenius:您可以从官方网站上下载和安装最新版本的DiskGenius软件。
安装完成后,打开软件。
2. 检测和选择分区:打开DiskGenius后,它会自动扫描和检测所有连接的硬盘驱动器和分区。
找到您希望恢复的分区,然后单击它来选择。
3. 扫描选定的分区:在左侧的导航栏中,选择“逻辑分区和文件夹”选项卡,然后点击“扫描”按钮。
DiskGenius会开始扫描您选定的分区,并显示正在恢复的文件。
4. 预览和选择要恢复的文件:扫描完成后,DiskGenius会列出所有找到的文件和文件夹。
您可以通过文件类型、修改日期或文件夹结构等方式进行筛选和排序,以便更容易找到您需要恢复的文件。
您可以双击文件进行预览,确保它们是您需要恢复的文件。
5. 恢复分区或文件:选择您需要恢复的文件或整个分区,然后点击工具栏上的“恢复”按钮。
在弹出的恢复选项窗口中,选择一个恢复路径或目录来保存恢复的文件。
请注意,不要将恢复的文件保存在与原始分区或文件相同的位置,以免覆盖原始数据。
6. 等待恢复完成:一旦您点击“恢复”按钮,DiskGenius将开始恢复选定的分区或文件。
这个过程可能需要一些时间,具体时间取决于分区或文件的大小和系统性能。
请耐心等待,直到恢复过程完成。
请注意,使用DiskGenius恢复分区和文件的成功率取决于多种因素,如文件删除时间、磁盘使用情况和分区类型等。
在恢复过程中,请勿使用该分区以免导致数据覆盖或进一步损坏。
总结:DiskGenius是一款功能强大的磁盘分区管理和数据恢复工具,可以帮助您恢复丢失的分区和文件。
按照上述步骤,您可以使用DiskGenius轻松地恢复分区和文件。
文件恢复原理
文件恢复原理文件恢复是指在文件被删除、格式化或者损坏后,通过一些技术手段将文件重新找回的过程。
文件恢复的原理主要是利用文件系统的特性以及数据存储的方式来进行操作,下面我们来详细了解一下文件恢复的原理。
首先,我们需要了解文件系统是如何存储数据的。
在计算机中,文件系统是用来组织和管理计算机上的文件的一种方法。
常见的文件系统有FAT、NTFS、exFAT等。
文件系统通过将文件存储在磁盘上的不同位置来管理文件的存储和访问。
在文件系统中,每个文件都有一个文件头,文件头中包含了文件的元数据信息,比如文件名、文件大小、创建时间、修改时间等。
此外,文件系统还会记录文件存储的位置信息,以便在需要的时候可以快速找到文件。
当文件被删除或者格式化后,实际上文件并没有真正被删除,而是被标记为可以被覆盖的状态。
这是因为文件系统只是将文件的存储位置标记为空闲状态,而并没有真正擦除文件的数据。
因此,只要文件的数据没有被覆盖,就有可能通过一些技术手段将文件找回。
文件恢复的原理主要是通过扫描磁盘上的数据块来找回被删除或者损坏的文件。
在进行文件恢复时,会通过数据恢复软件来扫描磁盘上的数据块,找到被删除文件的文件头和数据块,然后将这些数据块组合起来,最终恢复出完整的文件。
在这个过程中,文件恢复软件会根据文件系统的特点来进行数据的解析和重组,以确保恢复出的文件是完整的。
除了通过扫描磁盘来进行文件恢复外,还可以通过文件备份来进行文件恢复。
文件备份是指将文件复制到其他存储介质上,以防止文件丢失或损坏。
当文件丢失或损坏时,可以通过文件备份来进行文件恢复。
文件备份的原理是将文件的副本保存在其他位置,以确保即使原始文件丢失或损坏,也可以通过文件备份来进行恢复。
总的来说,文件恢复的原理主要是利用文件系统的特性以及数据存储的方式来进行操作,通过扫描磁盘上的数据块或者使用文件备份来恢复被删除或者损坏的文件。
在实际操作中,需要根据具体情况选择合适的文件恢复方法,以确保文件能够被完整地恢复出来。
硬盘损坏后恢复数据的几种方法nbsp误格式化硬盘数据的恢复
硬盘损坏后恢复数据的几种方法 误格式化硬盘数据的恢复214小游戏/一、硬盘的分区对于你手中硬盘来说,首先要做的事情就是分区了。
硬盘分区是否合理直接影响到以后工作的便利性和数据的安全性。
我们最常见到的分区表错误也是硬盘的最严重错误,不同错误的程度会造成不同的损失。
如果是没有活动分区标志,则计算机无法启动。
但从软驱或光驱引导系统后可对硬盘读写,可通过fdisk重置活动分区可进行修复。
如果是某一分区类型错误,会造成某一分区的丢失。
在一般情况下完成硬盘分区之后,会形成3种形式的分区状态;即主分区、扩展分区和非DOS分区。
在硬盘中非DOS分区(Non-DOSPartition)是一种特殊的分区形式,它是将硬盘中的一块区域单独划分出来供另一个操作系统使用,对主分区的操作系统来讲,是一块被划分出去的存储空间。
只有非DOS分区内的操作系统才能管理和使用这块存储区域,非DOS分区之外的系统一般不能对该分区内的数据进行访问。
主分区则是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。
其中的主引导程序是它的一部分,此段程序主要用于检测硬盘分区的正确性,并确定活动分区,负责把引导权移交给活动分区的DOS或其他操作系统。
此段程序损坏将无法从硬盘引导,但从软区或光区之后可对硬盘进行读写。
而扩展分区的概念是比较复杂的,极容易造成硬盘分区与逻辑磁盘混淆;分区表的第四个字节为分区类型值,正常的可引导的大于32mb的基本DOS分区值为06,扩展的DOS分区值是05。
如果把基本DOS分区类型改为05则无法启动系统,并且不能读写其中的数据。
如果把06改为DOS不识别的类型如efh,则DOS认为改分区不是DOS分区,当然无法读写。
很多人利用此类型值实现单个分区的加密技术,恢复原来的正确类型值即可使该分区恢复正常。
分区表中还有其他数据用于纪录分区的起始或终止地址。
这些数据的损坏将造成该分区的混乱或丢失,一般无法进行手工恢复,唯一的方法是用备份的分区表数据重新写回,或者从其他的相同类型的并且分区状况相同的硬盘上获取分区表数据,否则将导致其他的数据永久的丢失。
FAT文件删除恢复
实验一FAT文件删除恢复主要目的:掌握FA T文件系统结构,分析其安全问题主要内容:1.使用Winhex工具查看FA T文件系统;2.了解BPB表、FA T、FDT组成;3.掌握FA T对文件增加和删除的具体执行过程;4.实现FA T中文件删除后的恢复;5.分析FA T文件系统中的安全问题。
实验原理:一WinhexWinhex 是一款评价很高的16 进制文件编辑与磁盘编辑软件。
WinHex 以文件小、速度快,功能不输其它的 Hex 十六进位编辑器工具得到了 ZDNet Software Library 五颗星最高评价,可做 Hex 与 ASCII 码编辑修改,多文件寻替换功能,一般运算及逻辑运算,磁盘磁区编辑(支持 FAT16、FAT32 和 NTFS)自动搜寻编辑,文件比对和分析等功能,另外 8.3 版新增了 RAM 编辑功能。
软件的使用:标题栏:与一般的应用软件一样,标题栏中显示软件名称和当前打开的文件名称。
菜单栏:Winhex 的菜单栏由八个菜单项组成-文件菜单、编辑菜单、搜索、定位、工具、选项菜单、文件管理、窗口和帮助菜单。
在文件菜单中,除了常规的新建、打开文件和保存以及退出命令以外,还有备份管理、创建备份和载入备份功能。
选择文件菜单中的属性项,弹出文件属性窗口,包括文件路径、名称、大小、创建时间和修改日期等内容。
在编辑菜单中,除了常规的复制、粘贴和剪切功能外,还有数据格式转换和修改的功能。
在搜索菜单中,你可以查找或替换文本内容和十六进制文件,搜索整数值和浮点数值。
在定位菜单中,你可以根据偏移地址和区块的位置快速定位。
在工具菜单中,包括磁盘编辑工具、文本编辑工具、计算器、模板管理工具和 Hex 转换器,使用十分方便。
在选项菜单中,包括常规选项设置、安全性设置和还原选项设置。
在文件管理菜单中,你可以对文件进行分割、比较、复制和剖析,功能十分强大。
在 Winhex 的工具栏中,包括文件新建、打开、保存、打印、属性工具;剪切、粘贴和复制编辑工具;查找文本和 Hex 值,替换文本和 Hex 值;文件定位工具、RAM 编辑器、计算器、区块分析和磁盘编辑工具;选项设置工具和帮助工具按钮。
FAT32文件系统U盘数据恢复原理研究
图1 FAT32文件系统的大致结构目前,支持这一磁盘分区格式的操作系统有Win95、、Win2003、Win Vista、Win7和Win10。
部分智能手机也支持FAT32格式存储器直接读写(OTG)。
目前,几乎所有主流系统都能读写这种格式。
2 FAT32文件系统数据定位为了掌握FAT32文件储存规律,要进行系统数据定位将U盘分区格式化为FAT32格式,并创建“cjl.doc”和“cyh.bmp”。
通过WinHex v19.3图2 每簇扇区数图3 文件记录项在2号簇(根目录)找到2个文件目录项,两个文件都是短文件名。
cyh.bmp文件的起始簇号为3号簇(文件起始簇号高位与文件起始簇号低位合并,得到文件起始簇号),十六进制代码为00 00 00 03。
cyh.bmp文件目录项中的FD 37 00 00为文件大小字节数,14 333字节。
已知每个扇区由512个字节组成,cyh.bmp文件所占扇区为14 333/512=28个扇区(向上取整)。
cjl.doc文件的起始簇号为8号簇,十六进制代码为00 00 00 08。
cjl.doc文件目录项的00 58 00 00为文件大小字节数,22 528字节。
已知每个扇区由512个字节组成,cjl.doc 文件所占扇区为22 528/512=44个扇区。
通过以上操作完成这2个文件的数据定位。
3 FAT32文件系统数据删除与恢复完成文件数据定位后,使用“shift+del”彻底删除2个文件,达到误操作导致数据丢失的效果。
重新使用WinHex软件打开U盘,重新定位到根目录,查看是否有被删除文件的文件格式[5]。
将得到的文件记录与文件未删除时比较,cyh.bmp的起始簇号和文件大小没有改变,改变的只有文件记录项头,变成了E5。
查找cjl.doc文件,cjl.doc起始簇号和文件大小没有改变,改变的只有文件记录项头,变成了E5。
经过分析可知,cyh.bmp文件的起始簇号为3号簇00 00 00 03,cyh.bmp文件所占扇区为28个扇区。
基于FAT32的数据恢复系统的设计
Vo. 5 No 1 12 . 1
No . 2 o v 08
基于 F 3 AT 2的数 据 恢 复 系统 的 设计
钟 秀 玉
( 嘉应 学 院计 算 机 科学 与技 术 系 广东 梅州 541) 10 5
摘 要
恶意删除或数据误删现象时常发 生, 数据恢 复的成败 关系到信 息 的安 全:根据基 T D 还记 录有该删除文件夹下 目录或文件信息 。 J
0 引 言
一
( )用 S i +D l 3 h t f e 删除文件 。操作系统在该文件 的 F T第 D 个字节写 E , 5 把该文件起始簇高两个字节写 0, 同时更新最后 访 问时间, 并释放 F T表中记 录该文件的地址簇链 。 A
1 数据恢复相关技术
11 硬 盘存储 结构 .
硬 盘存 储 结 构 包 括 硬 盘 主 引 导 记 录 M R、 盘 分 区 表 B 硬
2 删 除文 件 分 析 及恢 复 方 法
根据创建时 间的两种情形 : 一是被 删除文件或 文件夹跟该
目录下其它未被删除文件或文 件夹是 同一 时间创建 的; 二是被
如果只有一个文件则确定左边或右该模块的输人项是各个fat32硬盘分区或其分区中各个边的簇区间分别为o0文件起始簇文件起始簇该文件大目录路径输出项是根据输入项找到所有被删除文件及现存文小一个簇字节数
第2 5卷第 1 期 1
20 0 8年 1 1月
计 算机 应用 与软件
Co u e p i ain n o t r mp tr Ap lc to s a d S f wa e
s c r y p oe t n An ag r h frd t e o e? b s d o AT 2 i p e e td T i s se l c tst e d ltd f e y c mp r gt e ce — e u i r tci . lo i m aar c v r" a e n F 3 s r s ne . h s y t m al ae h ee e l sb o a i h r a t o t o o i n td t fd ltd f e t h r ae i fe i i gf e n t e dr co rn x i co y,n e ,t c e s st efl ifr t n t e e i o ee e lswi t ec e td t me i h me o xs n ls i h i tr o e tdr tr a d t n i a c s e h e n omai or — t i e y e h i o c v rt e d ltd f e . h y t m i smp e e s , e i l a d e ce t o e eee ls T e s se s i l , a y f xb e n f in . h i l i Ke wo d y rs Ha d ds F l s in tb e F l eee D t e o ey r ik i a sg a l i d l t e e aa r c v r
硬盘数据恢复 原理
硬盘数据恢复原理硬盘数据恢复的原理是通过专业的数据恢复工具和方法,对磁盘上已经被删除、格式化、损坏或不可访问的数据进行逆向工程的过程。
下面将详细介绍硬盘数据恢复的原理。
1. 数据删除与恢复当我们在硬盘上删除文件时,实际上只是将文件的索引从文件系统中删除了,而文件的内容仍然存在于硬盘上。
这是因为硬盘上的数据是以磁道和扇区的形式存储的,而删除文件只是将文件索引指向的磁道和扇区标记为可用,系统就会认为这部分空间可以被覆盖写入新的数据。
在进行硬盘数据恢复时,首先需要找到被删除文件所占据的磁道和扇区,并将其标记为不可用。
然后通过数据恢复工具,扫描硬盘上的磁道和扇区,根据文件的特征和结构,尝试恢复被删除的文件。
这个过程主要依赖于数据恢复工具的算法和对文件的理解,以及对磁道和扇区的数据读取和分析能力。
2. 数据格式化与恢复当我们对硬盘进行格式化操作时,实际上是将磁盘上的文件系统进行初始化,删除文件系统的索引和其他元数据。
但是,格式化并不会将实际的文件内容从硬盘上删除,只是使这些数据对操作系统不可见而已。
因此,在进行格式化后的硬盘数据恢复时,同样需要寻找文件的特征和结构,并通过数据恢复工具对磁盘上的内容进行扫描和分析。
此外,不同的文件系统有不同的格式化方式,例如FAT32、NTFS、Ext4等。
数据恢复工具需要了解和支持不同文件系统的格式化操作,才能有效地进行硬盘数据恢复。
3. 数据损坏与恢复硬盘数据损坏可能是由于硬盘物理故障、电压波动、病毒攻击等原因导致的。
在这种情况下,硬盘数据恢复的难度较大,需要利用专业的数据恢复设备和技术进行。
硬盘物理故障的恢复主要是通过将硬盘拆解,并对硬盘上的磁头、磁盘片等部件进行修复或更换,使其恢复正常运转,然后通过数据恢复设备读取硬盘上的数据。
电压波动和病毒攻击等原因引起的硬盘数据损坏,可能会导致硬盘上某些扇区的数据无法正常读取。
在这种情况下,数据恢复工具需要具备强大的纠错能力,通过专业的算法和技术,尝试对受损的数据进行修复和恢复。
FAT32文件系统数据恢复技术浅析
FAT32文件系统数据恢复技术浅析田全红;达虎;徐成俊;邓哲鹏;张生月;肖珺【摘要】FAT32文件作为Windows操作系统的主流文件被普遍使用.本文对Windows系统下FAT32文件系统的数据恢复进行了分析,介绍FAT32文件系统结构,详细阐述DBR和FAT表损坏时,利用WinHex软件结合自身条件进行快速数据恢复过程,.【期刊名称】《甘肃科技》【年(卷),期】2016(032)024【总页数】3页(P4-6)【关键词】数据恢复;FAT32;文件分配表【作者】田全红;达虎;徐成俊;邓哲鹏;张生月;肖珺【作者单位】甘肃省计算中心,甘肃兰州730030;甘肃省计算中心,甘肃兰州730030;甘肃省计算中心,甘肃兰州730030;甘肃省计算中心,甘肃兰州730030;甘肃省计算中心,甘肃兰州730030;甘肃省计算中心,甘肃兰州730030【正文语种】中文【中图分类】TP399Windows操作系统常采用FAT32和NTFS这两种文件管理系统来对存储介质中的数据进行管理操作。
伴随着网络的快速发展,计算机渗透到我们的日常生活中,尤其在学习和工作中发挥重要的作用。
随着大数据时代的来临,政府、企事业,甚至我们个人更多的以电子数据的形式存储重要信息,如此庞大的数据一旦发生误删除、丢失、感染病毒或者存储介质损坏,将带来严重的损失。
一方面尽可能的保护好数据和设备,另一方面要求在数据丢失时,尽可能的恢复数据,让损失降到最小。
本文主要研究Windows系统下FAT32文件系统的数据恢复,重点阐述DBR和FAT表损坏时数据恢复过程。
FAT32文件作为Windows操作系统的主流文件,其文件系统主要由MBR、DBR 及其保留扇区、FAT1、FAT2和DATA五部分组成[1]。
其中MBR一般占用63个扇区,但实际只用1个扇区。
DBR一般占用32个扇区,但实际只占用第1和第6扇区,第6扇区作为第1扇区的备份,只有第1扇区起作用。
第九讲FAT32文件目录项和删除格式化原理
. ..
FAT32的格式化
在FAT16格式化:1、FAT1和FAT2全部清零 2、FDT文件目录项清零(根 目底下的文件目录项)。 3、重写DBR。 FAT32格式化:1、FAT1和FAT2清零 2、重写DBR 3、根目录文件目录项清零
文件的删除
FAT16删除 删除前
1C~1F是文件的大小(如果文件名过长,那么有可能是3C~3F才是文件的 大小。根据实际情况判断。 1A~1B是文件的开始簇号(可根据实际情况来判断,也有可能是3A~3B)。 ☺在FAT16开始簇号是2个字节来表示的。但是在FAT32里边,开始簇号是 由4个字节来表示的。(由高位和地位构成组合到一起构成。用2个字节 表示(低位)14~15(34~35)也用2个字节表示(高位)。高位和地位 是由4个字节隔开的。)例如:
FAT32各个文件夹的簇号推断
第一个文件占用的簇:开始0号簇向下数到FF FF FF 0F 结束共18个簇。那么下 一个文件就应该从地19号簇开始。
第二个文件的簇:上边64个字节是文件默认的( 和 )。然后下一个文件的起 始簇号是:00 00 00 14 换算成簇号就是:20号簇。后4个字节都是00 00 00 00 , 那么代表里边还有一个文件夹。
00 2E 00 0F 00 8D 38 00 00 00 00 00 FF FF FF FF 52 41 52 20 00 B8 36 7F 25 3E 03 00 BE 1D 26 00
00 00 00 03 组合到一起后,高位在前,低位在后。
文件大小和开始簇号的位置(根据实际情况判断)
FAT32删除文件的变化
文件名首字节标志成E5, 起始簇号高位清零,那么这个文件 的起始簇号就会发生变化。(如果文件考前,上述不考虑变 化。如果文件靠后,那么起始簇号发生变化。那么这个文件 目前就不能通过簇号寻找来进行恢复。 所以在很多FAT32的格式化或者删除,在做数据恢复的时候总 也恢复不过来,或者恢复后打不开,就是因为文件的起始簇 号发生变化,而造成的。 因此在做数据恢复的时候要对比的观察,学习。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
FAT32分区下图片文件及文件夹下PDF文件的定位及数据恢复10级信息管理系司法信息安全方向12号王立鹏利用DiskCreator工具创建磁盘的步骤:1)选择创建虚拟磁盘文件的位置为C盘;如下图1所示:图12)创建大小为1024M的虚拟磁盘;如下图2所示:图23)DiskLoader工具装载虚拟磁盘(Browse选择创建的虚拟磁盘文件FATnt后选择Load InsDisk);如下图3—4所示:图3图44)安装完成;如下图5所示:图5对虚拟磁盘分区的步骤:1)右击我的电脑,选择“管理”;如下图6所示:图62)在“计算机管理”中选择“磁盘管理”;如下图7所示:图73)对磁盘一(如下图8所示)进行分区:图84)建立主分区的过程如下右击未指派的1G磁盘,选择新建磁盘分区;如下图9——14所示:图9图10图11图12图13图14主磁盘分区建好如图15所示:图155)建立扩展分区过程如下,右击未指派的842MB选框后,选择新建磁盘分区,再选择扩展磁盘分区;过程如下图16——18所示:图16图17图18扩展分区建好后如下图19所示:图196)创建逻辑驱动器,右击扩展分区(图19中绿框),选择新建磁盘分区;具体过程如下图20——26所示:图20图22图23图24图26按照上述方法创建好J逻辑驱动器;如下图27所示:图27上述过程为创建虚拟磁盘并且创建好分区的过程创建的虚拟磁盘,大小为1G,一个NTFS的主分区,扩展分区中一个FAT32逻辑驱动器I,一个NTSF逻辑驱动器J,如下图28所示:图28在FAT32的分区中,也就是逻辑盘I中建立一个文件夹,放一个PDF文件,在I盘根下放两张图片,如下图29——30所示:图29图30我们以删除图片Lighthouse文件以及文件夹下的南非文件为例子,来讲述如何进行文件的定位,以及删除文件后,相关扇区的变化,还有如何恢复数据。
删除前的图片文件Lighthouse以及文件夹下南非文件的内容分别如下图31——32所示:图31图32文件以及文件夹删除以前,分别对MBR(主引导记录),EBR1(扩展引导记录),FAT32分区的DBR (DOS引导记录),FAT1(文件分配表),FAT2,以及数据区的文件目录项进行定位分析。
WinHex打开硬盘一,下图扇区就是MBR(C/H/S地址的0柱面0磁头1扇区),如下图33所示:图33上图33阴影部分的66字节为DPT(Disk Partition Table,硬盘分区表,占64字节)和结束标志”55 AA”MBR中分区表的每16字节组成的分区表项分析字节偏移字段长度值字段名和定义0X000001BE 1字节0X00 引导标志(Boot Indicator,指明该分区是否为活动分区0X000001BF1字节0X01 开始磁头(Starting Head)0X000001C06位0X01起始扇区(Starting sector),只用了0-5位,第6,7位被开始柱面字段使用。
0X000001C110位0X00起始柱面(Starting Cylinder),共占10位,最大值为1023 0X000001C21字节0X07 系统ID(System ID)定义分区类型0X000001C31字节0XFE 结束磁头(Ending Head)0X000001C46位0X3F 结束扇区(Ending Sector)只使用0—5位,第6,7位被结束柱面字段使用0X000001C510位0X19 结束柱面(Starting Cylinder),共占10位,最大值为10230X000001C61DWORD(双字) 0X0000003F 相对扇区数(Relative Sectors),指该磁盘开始到该分区开始之间的位移量,以扇区来表示0X000001CA1DWORD(双字) 0X00065F5B 总扇区数(Total Sectors),指该分区中扇区总数分析MBR扇区的分区表项,偏移为000001D2的一个字节为(05H),表示扩展分区,它的起始扇区为偏移000001D6开始的4个字节(9A5F0600H),计算EBR1的位置;跳到EBR1如下图34所示:图34计算出来EBR1位置在417690扇区。
下面跳到EBR1如下图35所示:图35扩展分区中的每个逻辑驱动器的分区信息都存在与类似于MBR的扩展引导记录(EBR, Extended Boot Record)中,EBR中分区表的第一项描述第一个逻辑驱动器,第二项指向下一个逻辑驱动器的EBR,如果不存在下一个逻辑驱动器,第二项就不需要。
从上图35阴影部分第一个分区表项可以看出驱动器类型,偏移0CBF35C2 (0BH)看出分区格式为FAT32分区. 偏移为0CBF35C6开始的4个字节(3F000000H)为相对位置,即63扇区,我们计算DBR的位置:417690+63=417753扇区,跳到DBR扇区,如下图36所示:图36注:大于一个字节的数值被以低字节在前的格式存储,例如:相对扇区字段值为0X3F000000的低字节在前表示为0X0000003F.转换为十进制为63.扇区开始的3字节(EB5890H)为FAT32的DBR的JMP指令,偏移0CBFB20B开始的2字节(0002H)表示每扇区的字节数为512字节。
偏移0CBFB20D的1个字节(08H)表示每簇的扇区数为一簇8扇区。
0CBFB20E开始的2字节(2600H)表示DOS保留扇区数为38扇区。
0CBFB210的一个字节(02H)表示FAT的个数为2. OCBFB224开始的4个字节(C1020000H)表示每FAT扇区数为705扇区。
我们就可以计算FAT1起始扇区为DBR所在扇区加保留扇区数:417753+38=417791。
FAT2的起始扇区为FAT1起始扇区加FAT的大小:417791+705=418496。
FAT的根目录放在数据区,数据区起始扇区为FAT2起始扇区加FAT大小:418496+705=419201。
下表为DBR相关参数分析:偏移实际值(十六进制) 实际值(十进制)长度(字节)含义0CBFB200 EB5890 3 JMP指令,跳转到引导程序,后随一个空指令900CBFB20B 0002 5122 每扇区字节数,记录扇区大小0CBFB20D 08 8 1 每簇扇区数,记录簇大小,即多少个扇区组成一个簇0CBFB20E 2600 38 2 DOS保留扇区,一般为320CBFB210 02 2 1 FAT表个数,一般为二0CBFB220 AE070B00 722862 4 该分区的扇区总数,即分区大小0CBFB224 C1020000 705 4 每FAT扇区数,FAT32下每FAT表占用的扇区数下图37为FAT1起始扇区:FAT32用32为也就是4个字节表示一个簇。
数据区的簇编号从2号簇开始,在FAT表中前0,1簇是与系统相关的。
图37下图38为FAT2的起始扇区图,FAT2与FAT1内容是相同的。
图38下图39为数据区的开始扇区,簇号为2,以后的数据区簇号依次连续增加,一个簇为8扇区。
根目录放于数据区中。
FAT32没有独立的根目录区,它的根目录放在数据区,我们来分析目录项的32个字节:字节偏移长度(字节)内容及含义0X00 8 文件名0X08 3 文件的扩展名0X14 2 文件起始簇号的高十六位0X1A 2 文件起始簇号的低十六位0X1C 4 文件大小(字节)图39从偏移0CCB033A开始的2个字节(0902H)算出图片Lighthouse文件的起始簇号512,其在数据区的绝对地址为(512-2)×8+419201=423353.扇区偏移0CCB033C开始的4字节表示文件大小(7C900800H)为561276字节。
下图40表示图片文件数据起始位置,图示:图40跳转偏移量0008907CH文件大小,到文件末尾;如下图41所示:图41文件选中后的数据图;如下图42所示:图42我们在返回到数据区起始位置,看文件夹及文件夹下的目录,如下图43所示:图43偏移为0CCB029A开始的2字节(0300H)表示PDF文件南非的目录项在3号簇,绝对地址为:(3—2)*8+419201=419209.跳到文件目录的地方,如下图44所示:图44从上图偏移0CCB127A开的2字节(0400H)可以看出pdf文件南非的起始簇为4,绝对地址为:419201+(4-2)*8=419217.扇区,文件大小为(D46C1400H)1338580字节。
跳到文件数据起始扇区,如下图45所示:图45下图46表示跳转偏移量00146CD4H为跳转偏移量:图46文件内容选中后的图示47:图47以上为定位图片文件以及定位文件夹下PDF南非文件的数据区的详细过程,下面我们来删除图片文件和PDF文件,观察相关的扇区变化,进而将文件都恢复出来。
下图为删除文件的截图:删除图片文件如下图48所示:图48删除PDF文件的图示为49:图49删除后我们跳到图片的文件目录项扇区,如下图50所示:图50上图选中区域最后两行可以看出,第一个字节变为E5了,说明图片文件被删除,但是图片文件的文件其实簇号和文件大小并没有变化。
我们跳到图片文件的数据区开始位置423353;如下图51所示:图51看出数据区并无变化。
我们跳到FAT1,如图52所示,看到FAT表清零了。
图52跳到FAT2看看,如图53所示。
FAT也被清零:图531.恢复图片文件。
我们到图片文件的开始扇区,并且定位如下图54所示,定位数据区并选中后恢复到I盘;图54定位到文件结尾,如下图55所示:图55恢复到I盘,如下图56所示:图56这样我们就恢复出来删除的图片了,下面我们来看看恢复出来的图片,如图57所示:2.恢复文件夹下的PDF格式的文件。
定位到文件夹的目录项:文件夹的文件目录项不变,如图58所示:图58文件夹下文件的目录项还在3号簇,即419209扇区;跳到该扇区,如图59所示:可以看出文件的目录项第一个字节变为E5说明PDF南非文件被删除了,但是文件起始簇和文件大小没变化,依旧为4号簇(419217扇区),大小依旧为(D46C14OOH):我们跳到419217并且定位文件数据区;如图60所示:图60选中数据区并恢复,如下图61所示:图61恢复到I盘的“pdf文件”文件夹下;如下图62所示:图62保存好后查看恢复出来的PDF南非文件及内容;如图63所示:图63到此文件夹下的pdf文件’南非”也就恢复出来了。
以上就是创建磁盘及分区,以及在FAT32分区下定位文件,并且删除文件后将其恢复出来的过程。
附录:第一个EBR的扇区号417690FAT32的DBR开始扇区号(417690+63)417753每簇扇区数0x0D(08H)为8个FAT表个数0x10(02H)为2个每FAT扇区数0x24(C1020000H)为705隐含扇区数0x1C(3F000000H)为63DOS保留扇区数0x0E(2600H)为38FAT1开始扇区为417753+38=417791FAT2开始扇区号417791+705=418496根目录区开始扇区号418496+705=419201FAT32格式的J盘下一个图片文件为例,Lighthouse图片文件的文件目录项中文件的起始簇号0x1A(0902H)为512号簇,因为FAT32的数据扇区开始编号就是2号簇,所以文件的起始扇区转化过去为(521-2)*8=4152。