2022年winhex恢复U盘数据案例

1、储备一个文件的时候,操作系统第一在记录全部空间使用情形的文件支配表 FAT 中找到足够容纳文件的空间,然后把文件内容写到相对应的硬盘扇区上,并在文件支配表中标出该空间已经被占用；删除文件的时候,一般并不对文件所占用的扇区进行操作,而仅仅是在文件支配表中指明哪些空间可以支配给别的文件使用；这个时候, 被删除文件的实际内容仍然存在,可以被复原； 假如删除文件后又创建了新文件,那么被删文件所占用的扇区就有可能被新文件所使用,这时候就无法复原被删文件的数据了； 所以一旦误删除了文件,就不要再对该文件所在的分区进行写操作了,否就有可能掩盖原有数据,造成文件无法复原；学校问：复原文件的三个阶段1使用自动化

2、复原软件复原软件 如 Finaldata或 EasyRecovery 等 使用很简洁,依据向导的指示操作就可以 了；2手工复原被删除数据手工复原的原理是直接在储备设备上查找被删除文件的关键内容；这种方法适合复原有明显特点而且结构简洁的文件,如文本文件； 假如文件很大, 且分散于磁盘的不同位置,仍需要依据文档的内部结构重新组织文档,才能完全复原数据；3找专业的数据复原公司备份数据由于数据很重要,所以第一要进行备份,万一显现误操作,仍可以把 U盘复原到最初的状态； 这一步很重要,并且 U盘容量不大,备份不会占用太大磁盘空间；进行扇区级别的磁盘数据备份有很多工具,如 Ghost、WinHex 和 D

3、iskExplorer,下面主要介绍 WinHex；WinHex是一个 16 进制文件编辑工具,可以跳过操作系统的文件系统直接读取磁盘和 U盘等设备,从而进行数据复原；使用 WinHex 的“ Tools ” 菜单下面的“Open Disk” 命令,打开物理U盘；在 WinHex 中看到 U盘的引导数据全是“FF” ,分区表和文件系统完全丢失了；从“ Edit ” 菜单中选择“Define Block ” ,选择起止为“Beginning of file” 和“End of file” ；Into New File” ,把整个U盘的数然后再从“Edit ” 菜单中选择“Copy Block ”

4、 “据写到一个文件中 例如“u.img ” ,这样就完成了U盘的备份；自动复原完成备份后, 笔者尝试用数据复原工具Finaldata、EasyRecovery 和 Recover4All进行复原,由于 U盘容量很小, 很快就搜寻出很多文件,但是就是没有发觉要找的那个重要文件,看来只能手工操作了；手工修复确定文件位置询问伴侣得知该文件是中英文混合的Word文档,大部分是中文,含有少量英文,因此笔者准备通过查找文件内容尝试复原文件；用 WinHex打开前面储存的U盘镜像文件 在镜像文件上进行数据复原的好处是拜望速度比直接拜望 U盘快,而且仍可以防止破坏 U盘原有数据； 选择“Search” 菜单中

5、的“Find Text ” 命令,从镜像文件中直接搜寻文中包含的英文字符串“control needed” ；由于搜寻到太多的字符串“control needed” ,因此目前仍无法对文件进行定位；假如能记住部分中文内容,搜寻中文可以防止找到太多的结果；Word文档中的中文用Unicode 编码,因此打开记事本输入文章包含的中文字符“ 决策” ,另存为 Unicode 编码的文件 test.txt；用 WinHex 打开文件“test.txt” ,开头的“FFFE” 代表字符编码的次序,因此随后的“ B351567B” 就是“ 决策” 的Unicode 格式的 16 进制表示；从 WinHex

6、 的“ Search” 菜单中选择“Find Hex Values” 命令,在 U盘镜像文件中搜寻“ B351567B” ；由于 WinHex 只能以内码的格式显示中文,Unicode 格式的中文都显示为乱码,那么如何知道是否找到了正确的数据呢？从搜寻到“B351567B” 的地方开头选择一段数据,仍然是从“Edit ” 菜单中选择“Copy Block ” “Into New File” 复制到一个新的文件中noname.txt；打开记事本, 选定刚才储存的文件“noname.txt ” , 然后将编码格式设置为“Unicode”格式后再打开就可以看到它的真实内容了,经伴侣确认, 这段文字就

7、是要找的文件的部分内 容；定位文件头要完整地复原Word文档,仅找到文件部分内容是不够的,我们需要找到DOC文件的开头 文件头 ；用 WinHex 打开任意一个已知的完好的Word 文件,可以看到文件的起始标志字符串为“D0CF11E0” ,显示为“ 邢. 唷” ；查到DOC文档的特点标志为“ D0CF11E0A1B11AE1” ；easy 提示纯文本格式的TXT文件不像 Word文档那样有特点标志,但复原时可以直接用WinHex搜寻文件中包含的中文或者英文关键字,确定文件所处位置；仍然是使用 WinHex的“ Find Hex Values” 命令,搜寻方向设置为“Up” ,也就是从刚才找到

8、的特点字符串“ 决策” 的位置往前搜寻 Word文件的起始标志“D0CF11E0” ；找到 Word文件起始位置后,选择“Edit ” 菜单中的“Define Block ” ,设定块开头的位置为标志字符串“D0CF11E0” 开头的地方,依据文件的大小, 设定一个估量的终止偏移量,可以尽量大一些,不要太小就可以了；从“Edit ” 菜单中选择“Copy Block ” “Into New File ” 把定义的块储存为一个新文件 new.doc ；easy 提示如何运算块的大小？WinHex 中的一个偏移量代表一个字节Byte ,运行 Windows自带的运算器,切换到十六进制模式,用终止地址减去开头地址就得到定义块的大小；360000355A00A600 A600 十六进制 42496十进