文檔碎片恢復

時間 2019-12-14

標籤文檔碎片恢復简体版

原文原文鏈接

人啊，有時候真的很好笑，先不說者個了，我以前已經寫過關於如何使用WinHex軟件作數據恢復的操做步驟，（破解版本的軟件能夠修改文件的內容）。可是並無將這個工具很詳細的介紹一遍，不少操做也沒有給出比較清晰的思路。因此今天準備花時間把關於Winhex數據恢復的知識詳細的從新整理歸檔一遍，便於後面的學習。作完這篇數據使用WinHex數據恢復的整理以後，我會抽空將我以前關於 Kali linux tools的應用作一個詳細的總結（估計要花大概一個月時間），linux

數據恢復包括軟恢復和硬盤恢復，咱們這裏只討論軟恢復（使用WinHex軟件恢復數據）：另外雨荷的數據恢復我也較多的文獻資料（已經百度雲上共享過，能夠直接搜索）windows

關於硬盤的知識請自行查找，這裏再也不作介紹。目前主流的數據恢復軟件有 R-Studio 和 Handy-Recovery 、都叫獸（操做簡單）、美亞的不少產品。編輯器

MBR -----主引導記錄，位於整個硬盤的0柱面0磁道1扇區，總共佔用63個扇區，可是實際上只是用了一個扇區（512字節）。在這512個字節的主引導記錄中，MBR能夠分爲三個部分，第一部分是引導代碼，一共佔用了446個字節，第二部分是分區表，佔64字節，第三部分是55AA，結束標誌，佔了兩個字節，工具

引導代碼的做用：讓硬盤具有引導的功能，若是引導代碼丟失，那麼這個硬盤做爲從盤全部分區的數據還在，只是這個硬盤不能啓動，恢復引導代碼使用命令 fdisk（Linux）或者 disk part（window）學習

若是是分區表丟失，這個磁盤就會丟失分區，測試

EBR也叫做擴展分區，主引導記錄最多隻能描述四個分區項，若是想要在一個硬盤上分區多餘4個，就要使用EBR。，主引導取修復的時候使用 disk part （disk等相關的命令自行百度），在關於disk的U盤存儲我0現象也可使用該命令從新對U盤找回（以前博客詳細寫過）spa

每個分區由 DBR、 FAT1 、FAT二、 DIR、、DATA組成（Win7開始NTFS）3d

WinHex 軟件偶強大的分區管理功能，和文件管理功能，可以自動分析分區鏈和文件簇鏈。對硬盤進行備份和克隆，最主要的是可以編輯任何一種文件的二進制內容（使用十六進制），其磁盤編輯器能夠便捷物理磁盤的任意扇區，是手工恢復數據的必備工具，code

每個分區表項各佔16個字節，各字節含義以下：（H表示16進制）

字節位置	內容及含義
第1字節	引導標誌。若值爲80H表示活動分區；若值爲00H表示非活動分區。
第二、三、4字節	本分區的起始磁頭號、扇區號、柱面號
第5字節	分區類型符： 00H——表示該分區未用 06H——FAT16基本分區 0BH——FAT32基本分區 05H——擴展分區 07H——NTFS分區 0FH——（LBA模式）擴展分區 83H—— Linux分區
第六、七、8字節	本分區的結束磁頭號、扇區號、柱面號
第九、十、十一、12字節	本分區以前已用了的扇區數
第1三、1四、1五、16字節	本分區的總扇區數

下圖是截取的一個扇區的部分（分區表），分區表從第447個字節開始標記 ,能夠看到第447個字節是80，表示引導標誌。若值爲80H表示活動分區；若值爲00H表示非活動分區。那麼按照上面的表個顯示 44八、44九、450字節分別是起始磁頭號、扇區號、柱面號分別對應的是 00、0一、6F。在看451字節是07表示BTFS分區格式。45一、45二、453表示分區的結束磁頭號、扇區號、和柱面號、。須要注意的是WinHex編輯區十六進制的數值是以Little Endian的方式排列並組織數據類型，這種類型的數據高位在後，低位在前，因此在提取數值要計算的時候要反過來（WinHex上顯示已使用扇區數比方 FE FF FF要反過來計算，就是 FFFFFE）blog

在windows系統中自帶了不少小工具，使用 fsutil 工具能夠對文件系統進行簡單的查詢（具體的使用你們能夠對應關鍵命令進一步測試）

關於硬盤型號和Model型號的相關知識能夠參考馬林著做的《重生-----Windows數據恢復極限剖析》連接: https://pan.baidu.com/s/1Vs2RdhgB3TIiA2BqK9le0g 提取碼: 87ki

下面具體的使用WinHex恢復一個在電腦上已經刪除的文件，爲了說明原理這裏我只用 txt格式的文本演示（已知該文本中存在客戶的聯繫方式，如今不當心刪除了，電腦回收站中也刪除了，如何找到該問價，在文件名字以忘記的狀況下如何恢復，你甚至不知道該文件是存儲在哪個盤符上，可是隻要大概知道你的文件內容大體是關於什麼的，就能夠經過計算找到。在文件名字以忘記的狀況下如何恢復，）

示例：

第一步：首先新建一個文件標記爲 q.txt 以後將該文件刪除，並在回收站中清理掉。咱們開始使用Winhex計算該文件在磁盤中的位置，以後恢復數據。

第二步：刪除文件之q.txt （注意的是若是是在U盤上刪除了文件，其實在Winhex上的目錄上依然存在，只須要點擊恢復便可。因此咱們這裏只討論PC上的恢復）

如今將q.txt 問價拷貝到PC端的 D盤符上能夠看到改文件確實存在，以後刪除後並清理回收站，刷新快照。對應的截圖如右面

第三步：查找文件碎片

右鍵打開文件「$MFT」，選擇搜索方式Unicode ，填入關鍵字或者文件名。這裏咱們填入關鍵字 15117262659 搜索

經過查找發現以下：選擇塊以後進行恢復