烟台数据恢复烟台的凡数据手工恢复二进制文档碎片案例.docVIP

U盘FAT系统手工恢复二进制文档碎片经典案例分析 U盘的文件系统一般为FAT16或者FAT32(目前主要为后者),文件在删除或者中病毒后会把文件在FAT表中占相应的簇位清空,并将其目录项的首个字节改为E5,如果文件不连续,比如经常在U盘内编辑更新的文件就会产生碎片,这时针对某个重要的文件,比如说文档就不能利用软件来恢复,在FAT表被清零的情况下软件的恢复原理是根据文件的目录项里记录的文件超簇跟大小,按文件连续存储的方式来恢复的,现在,就给大家介绍如何用WINHEX手工来恢复二进制文档. 此案例针对已经对二进制文档有一定了解的数据恢复人员,如果不明白也可以再去学习下论坛里的相关资料,华山剑客在这方面给出了很充分的资料,大家搜下就有了. 下面以恢复”实践报告正文.DOC”为例,故障现象为客户误删除了此文件,用软件可以把文件找回来,但打开出错. 分析故障,初步判断是文档存在碎片,首先要寻找正确的文件头,如何判断呢?可看到在WINHEX里面有三个此文件,依次进行分析: 先判断第一个文件: 跳转至其目录项,可知其大小为(00142E00/H)1322496字节/512=2583扇区=1291.5K,跟WINHEX看到的大小是一致的,再跳到其文件头,用WIHNEX的列出文件族数功能就可以方便的查看了: 可以看到这是一个文档的文件头,在偏移2C-2F/H的位置可以知道文件有1个SAT