数据恢复技术恢复FAT32分区文件课件.ppt

1、恢复误删除的文件四步骤步骤1 1：创建新文件：创建新文件在分区根目录中，创建一个文件，名为“TEST07.txt”，在里面写入一些内容。步骤步骤2 2：彻底删除此文件：彻底删除此文件步骤步骤3 3：从文件名的长度上分析此文件所对应的目录项有无长文件名目录：从文件名的长度上分析此文件所对应的目录项有无长文件名目录项项文件名一共六个字符。所以完全可以用一个短文件名目录记录，所以此文件所对应的目录项应该只有一个短文件名。步骤步骤4 4：然后在：然后在WinhexWinhex软件菜单软件菜单“查看查看字符数值表字符数值表十六进制十六进制/ANSI/ANSI ASCIIASCII”中找到中找到“TEST

2、07TEST07”所对应的所对应的ASCIIASCII码。码。短文件名的文件名编码为ASCII，且其文件名是目录项的第一个字节处开始。删除此文件后，会将其其ASCII码的第一个字节修改为“E5”。即“E5 45 53 54 30 37”。步骤步骤5 5：在：在WinHexWinHex中进入到本分中进入到本分区的根目录，搜索特征值区的根目录，搜索特征值首先进入到根目录，然后点击“搜索-搜索十六进制数值”，会出现“搜索”对话框。在对话框中写入图所示的值。点击“确定”按钮，WinHex主界面中的光标就会自动跳到搜索到的数值处。此时，所示框选部分的起始簇为：26。总字节数为：500步骤步骤6 6：跳至

3、文件头部，标记：跳至文件头部，标记“选块开始选块开始”通过“位置-跳至扇区”，然后在“跳至扇区”对话框中输入簇为26（如图3-81），就可以直接跳到26簇的第一个字节处，即此文件的头部。在此处右键单击，选择“选块起始位置”（如图3-82）。图3-81图3-82步骤步骤7 7：通过总字节数，跳至文件尾部：通过总字节数，跳至文件尾部从图3-83已知本文件的总字节数。此时光标仍然位于文件头部，点击“位置-转到偏移量”，在“转到偏移量”对话框中设置如图3-84所示的值。点击“确定”后，光标会跳入到本扇区某个位置，再将光标向该位置的前一个字节处移动（思考：为什么？），然后右键单击，选择“选块尾部”，文件

4、的所有内容就会自动地被选中。图3-83图3-84步骤步骤8 8：恢复文件 在被选中的数据部分右键单击，然后选择“编辑-复制选块-至新文件”（如图3-85所示），然后将其存储到除被恢复分区之外的分区中。保存的文件名即为此文件的原始文件名即可。图3-85二、恢复误格式化分区u 被格式化了的FAT32分区，其实只是将它的FAT表及根目录清空了，其数据区（除了2簇）的数据还是存在的。这就为数据恢复提供了方便。u 根目录（2簇）记录的是本分区根目录下的文件及目录的属性，包括文件名、数据所在簇等信息。而根目录下的子目录里面有本目录下的文件的属性，也就是说，格式化了的分区，只有根目录下的文件及目录属性才会被

5、丢失，子目录下的所有数据都是完整的。u步骤步骤1 1：新建虚拟磁盘：新建虚拟磁盘u使用WINdows7自带工具创建一个虚拟磁盘，大小为1G。然后将其格式化为FAT32文件系统，再在其根目录下复制入一些文件和目录，要求目录下还有文件或子目录，如图所示u接着，将本分区再次格式化为FAT32文件系统。此时双击打开此分区时，应该看不见任何的文件，可是关键问题是我们现在需要将格式化之前的文件恢复回来。u步骤2：在WINHEX中打开本分区u因为我们想要看到本分区格式化之前的数据，所以我们打开此分区，然后在更新快照的时候，勾选“依据文件系统搜索并恢复目录及文件”，如图3-87所示。默认的打开磁盘或更新快照只

6、是将FAT表和根目录下的目录项一一列举，然后将与它们对应的文件显示在“目录浏览器”中，勾选此项设置可以在更新的时候，让软件自动去搜索数据区的数据（如图3-88所示），搜索的速度比较快，一般10G大小的分区只需要几分钟的时间。搜索结束后，软件就会按照后面数据区的格式扫描其他未在FAT表或根目录下记录的文件或目录。图3-87 更新快照设置 图3-88 更新快照后搜索数据区数据 u如图3-89所示，软件会在“目录浏览器”中显示一个“未知路径”的文件夹，里面装的就是搜索到的不在根目录下的文件及目录。我们可以双击打开此目录，然后就会看到如图3-90所示的内容。它是按簇号排序的目录，因为根目录下的文件的目

7、录项存放在根目录下的，而在格式化的时候，根目录会自动清零，所以此时看不到原根目录下的文件的信息。而根目录下的目录内部装入了一个“.”和一个“.”目录项，“.”目录项会指向本身，而“.”目录项会自动指向本目录的上级目录项，所以可以在“目录浏览器”中看到 图3-90未知目录下的内容图3-89 搜索到的根目录之外的数据u 步骤步骤3 3：恢复文件及目录：恢复文件及目录u 既然已经可以看到文件，此时我们可以在需要恢复的文件上右键单击，然后选择“查看器-相关联的程序”（如图3-91所示），这样就可以打开文件查看其内容是否正确了。若是想将所有的文件全部恢复出来，就在文件所在的文件夹上右键单击，然后选择“恢

8、复/复制”（如图3-92所示），然后在弹出来的“选择目标文件夹”对话框设置保存的位置即可（如图3-93所示）。图图3-91 3-91 查看被格式化了的查看被格式化了的文件内容文件内容图图3-92 3-92 恢复文件及目录恢复文件及目录图图3-93 3-93 “选择目标文件夹选择目标文件夹”对话框对话框u 按前面的步骤基本能恢复根目录下的子目录中的文件及目录，但是根目录下的文件却无法通过这种方式恢复了。每一种文件都有自己固定的格式，如WORD2007文档的头部如图3-94所示，AVI视频文档的头部如图3-95所示，JPG文档的头部如图3-96所示。图3-94 DOCX文档的头部图3-95 AVI格式文档的头部图3-96 JPG格式文档的头u 本次课主要给学习了:恢复FAT32分区文件