[工作]用WinHex修复损坏的复合文档文件头
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
经过分析数据发现,这个文档好像只有第0扇区的数据完全破坏了,这个扇区的内容是复合文档的文件头内容,网上有恢复复合文档文件头的视频教程(这个论坛上就有~~),好像就是把一个正常的复合文档的前几行数据复制一下就行了,从理论上讲恢复的成功率极小,几乎是0。因为复合文档的结构和FAT文件系统极其相似,但比它还要复杂一些(涉及到短流、SSAT和MSAT),复合文档的文件头相当于FAT文件系统中的DBR,有很多参数是要根据文件的具体数据进行相应的修改。下图中红底黑字部分描述的就是一般要修改的内容(有7处,小的文档一般只改其中的5处),其它部分可以用一个正常的复合文档的相应数据代替。
没有装满),第5、6两部分不用修改~~
要修复文件头,一般从扇区配置表(SAT)的数据分析开始,SAT第1扇区(物理) 相当于FAT文件系统中的FAT表,它把这个复合文档的各类数据从这个扇区中的数据可以看到,在参数0扇区和参数100扇区这两“链”在一起,所以我们反过来通过分析它们的链接情况和相应位个扇区中的数据是SAT数据(因为相应的位置是FDFFFFFF,而置的数据,来分析整个文档的数据结构,最后根据相关信息重建文FDFFFFFF是存放SAT扇区标志),参数0扇区就是物理1扇区件头,达到修复文件头的目的。 的位置,现在的这个位置就是SAT数据,不必再分析,现在到参在分析前有必要作一个说明,不然你会越看越糊涂的~~我们现在数100扇区,就是物理101扇区去看看(如图):
[工作]用WinHex修复损坏的复合文档文件头
用WinHex修复损坏的复合文档文件头
说明:
1、本教程仅仅针对复合文档(比如Word、Excel等)的文件头损坏后的修复.
2、请允许我假设你已经了解复合文档的结构,至少你能知道复合文档中的一些术语(比如:SAT、SSAT MSAT、标准流、短流等)
现象
打开这个文档时出现乱码(如图):
三、手工修复文件头
1、将一个正常的复合文档的第一个扇区(物理0扇区)的数据复制到这个要修复的文档的物理0扇区位置(如图)
2、修复相应的数据
因为这个文档比较小,所以只修改5个位置,即:
1、存放扇区配置表(SAT)的扇区总数(2CH,2FH):02000000
2、存放目录流的第一个扇区的SID(30H,33H):01000000
信息,它对后面的数据来说是一个隐藏扇区,所以对数据区来说,
它把物理1扇区看成它的第一个扇区(即参数0扇区),物理2扇
区就是参数1扇区,依此类推(如下图所示)。
物理扇区 0 1 2 3 4 5 6 …………N
5、存放主扇区配置表(MSAT)的第一部分:00000000 64000000
FFwk.baidu.comFFFFF(后面全部是FF)
SAT链接情况和相应扇区的数据获得以下信息(下面的扇区都是指参数扇区): 修复后
SAT:0、100(共2个扇区)
、154(共2个扇区) DIR:1
SSAT:2(共1个扇区)
短流:3、153(共2个扇区)
标准流:4――(100)――152(从参数4扇区到152扇区,不包括参数100扇区,共148扇区)
看到的数据所在的扇区数据和复合文档中描述的扇区数有一个扇
区的错位,比如说复合文档中描述的第0扇区在WinHex中看到的
是第1扇区,为了便于区分,把用WinHex打开看到的扇区叫做物
理扇区,文档的参数中描述的扇区叫参数扇区(这是我自己想的一
个概念,请只在本教程中使用和理解~~)。我们可以这样理解:
物理0扇区是这个复合文档的文件头,存放了复合文件的一些整体
分析数据
用WinHex打开这个文档,如下图:
分析:这个文档的文件头损坏了,继续分析后面的内容损坏没有,现在把这个文档设置为磁盘(如图),复合文档在储存数据的最小单位是块(一个块是512个字节,相当于一个扇区的数据,所以有时我们也把它称为扇区),这样操作后看到的数据可以以一个扇区的形式呈现,便于分析和手工重建。
要修复的数据位置
第101扇区(物理)
这个扇区中没有FDFFFFFF,而且从偏移CA6BH开始,后面全部是FFFFFFFF(空闲的SID),综合这两个扇区(物理第1和第101扇区)的数据可以确定:存放扇区配置表(SAT)的扇区总数:2个(要修改的第1个参数);这两个是:参数0扇区和参数100扇区(要修改的第7个参数)。(其实存放扇区配置表的扇区总数可以根据这个文档的扇区总数直接判断~~)然后分析这两个扇区的
说明:要修改的文件头内容: 参数扇区 0 1 2 3 4 5 …………N,1
1、存放扇区配置表(SAT)的扇区总数(2CH,2FH)
通过分析开始几个扇区的数据很容易判断出物理1扇区的数据就
是SAT(如图) 2、存放目录流的第一个扇区的SID(30H,33H)
3、存放短扇区配置表(SSAT)的第一个扇区的SID(3CH,3FH)
3、存放短扇区配置表(SSAT)的第一个扇区的SID(3CH,3FH):02000000
4、存放短扇区配置表(SSAT)的扇区总数(40H,43H):01000000
4、存放短扇区配置表(SSAT)的扇区总数(40H,43H)
5、存放主扇区配置表的第一个扇区的SID(如果为,2表示没有附
加扇区)(44H,47H)
6、存放主扇区配置表的扇区总数(48H,4BH)
7、存放主扇区配置表(MSAT)的第一部分(从4CH开始,视具
体情况决定结束位置)
备注:如果文件比较小(存放主扇区配置表的第一部分在第0扇区
没有装满),第5、6两部分不用修改~~
要修复文件头,一般从扇区配置表(SAT)的数据分析开始,SAT第1扇区(物理) 相当于FAT文件系统中的FAT表,它把这个复合文档的各类数据从这个扇区中的数据可以看到,在参数0扇区和参数100扇区这两“链”在一起,所以我们反过来通过分析它们的链接情况和相应位个扇区中的数据是SAT数据(因为相应的位置是FDFFFFFF,而置的数据,来分析整个文档的数据结构,最后根据相关信息重建文FDFFFFFF是存放SAT扇区标志),参数0扇区就是物理1扇区件头,达到修复文件头的目的。 的位置,现在的这个位置就是SAT数据,不必再分析,现在到参在分析前有必要作一个说明,不然你会越看越糊涂的~~我们现在数100扇区,就是物理101扇区去看看(如图):
[工作]用WinHex修复损坏的复合文档文件头
用WinHex修复损坏的复合文档文件头
说明:
1、本教程仅仅针对复合文档(比如Word、Excel等)的文件头损坏后的修复.
2、请允许我假设你已经了解复合文档的结构,至少你能知道复合文档中的一些术语(比如:SAT、SSAT MSAT、标准流、短流等)
现象
打开这个文档时出现乱码(如图):
三、手工修复文件头
1、将一个正常的复合文档的第一个扇区(物理0扇区)的数据复制到这个要修复的文档的物理0扇区位置(如图)
2、修复相应的数据
因为这个文档比较小,所以只修改5个位置,即:
1、存放扇区配置表(SAT)的扇区总数(2CH,2FH):02000000
2、存放目录流的第一个扇区的SID(30H,33H):01000000
信息,它对后面的数据来说是一个隐藏扇区,所以对数据区来说,
它把物理1扇区看成它的第一个扇区(即参数0扇区),物理2扇
区就是参数1扇区,依此类推(如下图所示)。
物理扇区 0 1 2 3 4 5 6 …………N
5、存放主扇区配置表(MSAT)的第一部分:00000000 64000000
FFwk.baidu.comFFFFF(后面全部是FF)
SAT链接情况和相应扇区的数据获得以下信息(下面的扇区都是指参数扇区): 修复后
SAT:0、100(共2个扇区)
、154(共2个扇区) DIR:1
SSAT:2(共1个扇区)
短流:3、153(共2个扇区)
标准流:4――(100)――152(从参数4扇区到152扇区,不包括参数100扇区,共148扇区)
看到的数据所在的扇区数据和复合文档中描述的扇区数有一个扇
区的错位,比如说复合文档中描述的第0扇区在WinHex中看到的
是第1扇区,为了便于区分,把用WinHex打开看到的扇区叫做物
理扇区,文档的参数中描述的扇区叫参数扇区(这是我自己想的一
个概念,请只在本教程中使用和理解~~)。我们可以这样理解:
物理0扇区是这个复合文档的文件头,存放了复合文件的一些整体
分析数据
用WinHex打开这个文档,如下图:
分析:这个文档的文件头损坏了,继续分析后面的内容损坏没有,现在把这个文档设置为磁盘(如图),复合文档在储存数据的最小单位是块(一个块是512个字节,相当于一个扇区的数据,所以有时我们也把它称为扇区),这样操作后看到的数据可以以一个扇区的形式呈现,便于分析和手工重建。
要修复的数据位置
第101扇区(物理)
这个扇区中没有FDFFFFFF,而且从偏移CA6BH开始,后面全部是FFFFFFFF(空闲的SID),综合这两个扇区(物理第1和第101扇区)的数据可以确定:存放扇区配置表(SAT)的扇区总数:2个(要修改的第1个参数);这两个是:参数0扇区和参数100扇区(要修改的第7个参数)。(其实存放扇区配置表的扇区总数可以根据这个文档的扇区总数直接判断~~)然后分析这两个扇区的
说明:要修改的文件头内容: 参数扇区 0 1 2 3 4 5 …………N,1
1、存放扇区配置表(SAT)的扇区总数(2CH,2FH)
通过分析开始几个扇区的数据很容易判断出物理1扇区的数据就
是SAT(如图) 2、存放目录流的第一个扇区的SID(30H,33H)
3、存放短扇区配置表(SSAT)的第一个扇区的SID(3CH,3FH)
3、存放短扇区配置表(SSAT)的第一个扇区的SID(3CH,3FH):02000000
4、存放短扇区配置表(SSAT)的扇区总数(40H,43H):01000000
4、存放短扇区配置表(SSAT)的扇区总数(40H,43H)
5、存放主扇区配置表的第一个扇区的SID(如果为,2表示没有附
加扇区)(44H,47H)
6、存放主扇区配置表的扇区总数(48H,4BH)
7、存放主扇区配置表(MSAT)的第一部分(从4CH开始,视具
体情况决定结束位置)
备注:如果文件比较小(存放主扇区配置表的第一部分在第0扇区