《计算机检测维修与数据恢复》（下册） 课件 任务1 子任务 2  利用 WinHex 恢复受破坏的 exFAT 文件系统

子任务2 利用WinHex恢复受破坏的exFAT文件系统任务1exFAT文件系统恢复项目7文件系统恢复01利用Winex恢复受破坏exFAT分区DBR02利用Winex恢复受破坏FAT表（被清零）目录contents03恢复受破坏exFAT数据区用户目录项利用Winex恢复受破坏exFAT分区DBR01利用Winex恢复受破坏exFAT分区DBR一(一)利用Winex恢复受破坏DBR（DBR备份不被破坏）（共有3个步骤）步骤一：附加虚拟磁盘，发现磁盘出错步骤二：运行Winhex并打开它，确认DBR被破坏，DBR备份不被破坏步骤三：恢复受破坏DBR利用Winex恢复受破坏exFAT分区DBR一步骤一：附加虚拟磁盘，发现磁盘出错

在素材文件夹中，双击“7任务1-2-1.vd”，资源管理器发现磁盘有问题，并弹出错误对话框。如图7-4所示。图7-4资源管理器弹出的错误对话框图利用Winex恢复受破坏exFAT分区DBR一步骤二：运行Winhex并打开它，确认DBR被破坏，DBR备份不被破坏

运行Winex，打开“D1”，在硬盘窗口，发现分区1图标变成灰色，扩展名“exFAT”为“？”，进一步打开分区1,发现0扇区（DBR）被清零，跳转至12号扇区（DBR备份，也可通过查找“55AA”的办法来查找DBR备份），数据正常。说明分区1的DBR被破坏，其备份正常。步骤三：恢复受破坏DBR1.复制DBR备份（整个12号扇区），粘贴到0号扇区

复制当前整个扇区（12号扇区），然后粘贴到0号扇区。

2.保存

点击“保存”功能，关闭本磁盘，退出Winex。

在素材文件夹中，双击“7任务1-2-1.vd”，资源管理器正常打开磁盘，恢复受破坏DBR（DBR备份不被破坏）的操作完成。利用Winex恢复受破坏exFAT分区DBR一(二)利用Winex恢复受破坏DBR及其备份（共有3个步骤）步骤一：附加虚拟磁盘，发现磁盘出错步骤二：：确认DBR及其备份都被破坏步骤三：恢复受破坏DBR及其备份利用Winex恢复受破坏exFAT分区DBR一步骤一：附加虚拟磁盘，发现磁盘出错

在素材文件夹中，双击“7任务1-2-2.vd”，资源管理器发现磁盘有问题，并弹出错误提示。如图7-5所示。图7-5资源管理器弹出的错误对话框图利用Winex恢复受破坏exFAT分区DBR一步骤二：确认DBR及其备份都被破坏

运行（Winex），打开“D1”，在硬盘窗口，发现分区1图标变成灰色，扩展名“exFAT”为“？”，进一步打开分区1,发现0扇区（DBR）被清零，跳转至12号扇区（DBR备份，也可通过查找0X55/0XAA的办法来查找DBR备份），找不到DBR。说明分区1的DBR及其备份都被破坏。步骤三：恢复受破坏DBR及其备份1.创建一个与“7任务1-2-2.vd”磁盘容量、分区格式化相同的虚拟磁盘创建一个与“7任务1-2-2.vd”磁盘容量、分区格式化相同的虚拟磁盘，复制虚拟磁盘的分区1的DBR到“7任务1-2-2.vd”磁盘分区1的DBR位置。

2.把MBR记录分区1起始扇区及大小在本磁盘内，跳转到0号扇区，偏移“X1C6〜9”的记录为分区1的起始扇区2048号扇区，偏移“X1CA〜D”记录为分区1的大小33552384扇区。利用Winex恢复受破坏exFAT分区DBR一步骤三：恢复受破坏DBR及其备份3.找到FAT表的起始扇区在分区1本分区内查找FAT表，用“查找十六位进制数值”功能查找0XFFFFFFF8，在2048号扇区找到FAT表，因此，FAT的起始扇区为2048号扇区。如图7-6所示。图7-6Winex编辑窗口信息（FAT表）图从图7-6可看出，簇位图文件在2和3号簇，共占2簇，大写字符文件在4号簇，共占1簇，根目录起始簇在5号簇。利用Winex恢复受破坏exFAT分区DBR一步骤三：恢复受破坏DBR及其备份

4.找到大写字符文件和根目录的起始扇区，并计算每簇扇区数在分区1本分区内查找FAT表，用“查找十六位进制数值”功能查找0X000001，在6272号扇区找到大写字符文件，即大写字符文件的起始扇区为6272号扇区。继续向下查找“030000”，在6336号扇区找到根目录，即根目录的起始扇区为6336号扇区。大写字符文件总扇区为6336-6272=64，且只占1簇，用2n表示，可知n为8。

5.找到簇位图文件的起始扇区，并计算FAT表的大小由于簇位图文件点2和3号簇，共2簇，因此，簇位图文件的总扇区数为2×64＝128。大写字符文件的起始扇区为6272，簇位图文件的起始扇区为6272-128=6144。在本分区内，跳转至簇位图文件的起始扇区为6144，见到簇位图文件参数。同时，由于数据区是从簇位图文件所在扇区开始，因此，簇位图文件的起始扇区为6144号扇区也是数据的起始扇区。数据区的大小=本分区总扇区一数据的起始扇区=33552384-6144=33546240，数据区总簇数=总扇区数÷64=33546240÷64=524160簇。FAT所占的扇区数最大值为数据区的起始扇区-FAT表的起始扇区，即6144-2048=4096扇区。利用Winex恢复受破坏exFAT分区DBR一步骤三：恢复受破坏DBR及其备份6.把步骤三至步骤五找到的参数填入DBR主要参数表把步骤三至步骤五找到的参数填入DBR参数格式表（表7-2），得到DBR参数表，如表7-8所示。表7-8exFAT分区DBR主要参数表偏移量长度值参数0X0030X9076EB跳转指令0X0380X5441465845文件系统0X0B530X00保留区0X4080X0800分区起始扇区:20480X4880X01FFF800分区总扇区数:335523840X5040X0800FAT表起始扇区:20480X5440X1000FAT表总扇区数:40960X5840X1800数据区起始扇区:61440X5C40X07FF80数据区总簇数:5241600X6040X05根目录起始簇:50X648略分区序号及标志0X6C40X09每扇区字节数(2n):5120X6D10X06每簇扇区数(2n):640X6E10X01FAT表个数:10X6F10X080磁盘类型0X78390略引导程序0X1FE20X55/0XAA扇区有效标志利用Winex恢复受破坏exFAT分区DBR一步骤三：恢复受破坏DBR及其备份7.把DBR参数写入DBR跳转至本分区0号扇区，把表7-8的DBR参数填入DBR相应偏移，得到恢复后DBR，如图7-7所示。利用Winex恢复受破坏exFAT分区DBR一步骤三：恢复受破坏DBR及其备份8.恢复DBR备份

把DBR复制到12号扇区，即12扇区为DBR备份。点击“保存”功能，关闭本磁盘，退出Winex。在素材文件夹中，双击“7任务1-2-2.vd”，资源管理器正常打开磁盘，恢复受破坏DBR及其备份的操作完成。利用Winex恢复受破坏FAT表（被清零）02利用Winex恢复受破坏FAT表（被清零）二利用Winex恢复受破坏FAT表（被清零）（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确认FAT表被破坏（被清零）步骤三：恢复被破坏的FAT表利用Winex恢复受破坏FAT表（被清零）二步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务1-2-3.vd”，然后运行Winex，打开“D1”，操作界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（exFAT分区）。步骤二：确认FAT表被破坏（被清零）进入在分区1，点开FAT表，跳转到2048号扇区，数据全为0，说明FAT表被破坏（被清零）。如图7-8所示。图7-8Winex编辑窗口信息（FAT表）图利用Winex恢复受破坏FAT表（被清零）二步骤三：恢复被破坏的FAT表1.利用DBR模板读取DBR的BPB参数利用DBR模板读取本分区DBR，如图7-9所示。图7-9Winex“exFAT模板”信息（DBR）图利用Winex恢复受破坏FAT表（被清零）二步骤三：恢复被破坏的FAT表1.利用DBR模板读取DBR的BPB参数利用DBR模板读取本分区DBR，如图7-9所示。图7-9Winex“exFAT模板”信息（DBR）图在图7-9中，可读取：（1）数据区的起始扇区为6144号扇区，所在簇号为2号簇，也是簇位图文件的起始扇区。（2）根目录的起始扇区为5号簇。（3）每簇扇区数为26=64扇区。由于大写字符文件是在目录的前1簇（且只占1簇），因此大写字符文件占4号簇。由于簇位图文件是在大写字符文件前，因此3号簇是被簇位图文件占，又由于簇位图文件起始在2号簇，故簇位图文件占2、3号簇。利用Winex恢复受破坏FAT表（被清零）二步骤三：恢复被破坏的FAT表2.确定0号表项、1号表项的参数0号表项参数固定为0XFFFFFF8F、1号表项参数固定为0XFFFFFFFF。3.确定2号表项、3号表项的参数由于簇位图文件占2、3号簇，因此2号表项、3号表项参数为0X3、0XFFFFFFFF。4.确定4号表项的参数由于大写字符文件仅占4号簇，因此4号表项参数为0XFFFFFFFF。5.确定5号表项的参数由于根目录占5号簇，因此5号表项参数为0XFFFFFFFF。6.确定6号表项的参数跳转到6号簇，发现有用户数据，由于这数据是由根目录或子目录管理了，因此6号表项及其后面的表项目全部为0X00000000。最后进行保存和磁盘快照操作，完成恢复受破坏FAT表（被清零）任务的操作。利用Winex恢复受破坏FAT表（被清零）二步骤三：恢复被破坏的FAT表7.把已确定的各表项的参数填入FAT表把已确定的各表项的参数填入FAT表，恢复了FAT表，如图7-10所示。点击“保存”功能，进行“磁盘快照”，关闭本磁盘，退出Winex。

在素材文件夹中，双击“7任务1-2-3.vd”，资源管理器正常打开磁盘，恢复受破坏FAT表的操作完成。恢复受破坏exFAT数据区用户目录项03恢复受破坏exFAT数据区用户目录项三恢复受破坏exFAT数据区用户目录项（共有3个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确认用户目录项被破坏（被清零）步骤三：恢复被破坏用户文件（夹）恢复受破坏exFAT数据区用户目录项三步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务1-2-4.vd”，资源管理器正常打开磁盘，但根目录没有文件（夹）。然后运行Winex，打开“D1”，操作界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（exFAT分区）。步骤二：确认用户目录项被破坏（被清零）进入在分区1，根目录没有文件（夹），点击根目录，发现用户文件（夹）录项为0，说明用户文件（夹）目录项被破坏了。如图7-11、12所示。图7-11Winex驱动器窗口信息（分区1）图恢复受破坏exFAT数据区用户目录项三步骤二：确认用户目录项被破坏（被清零）图7-12Winex编辑窗口信息（根目录表）图恢复受破坏exFAT数据区用户目录项三步骤三：恢复被破坏用户文件（夹）1.推算被破坏用户文件（夹）所占的簇号从图7-12可知，由于前一个文件起始簇为6，后一个文件起始簇为15，因此，被破坏的用户文件（夹）可能占7-14簇。2.查找被破坏用户文件（夹）所占的簇号按推算，被破坏的用户文件（夹）可能占7-14簇，从7簇开始查找，在9号簇找到被破坏用户文件目录表，看各表项，发现有2个文件，起始簇分别为10和14，如图7-13所示。

图7-13Winex编辑窗口信息（户文件目录表）图恢复受破坏exFAT数据区用户目录项三步骤三：恢复被破坏用户文件（夹）3.恢复被破坏的根目录表项（1）复制9号簇下第1个目录项，然后粘贴到根目录被清零的目录项。如图7-14所示。图7-14Winex编辑窗口信息（根目录表）图恢复受破坏exFAT数据区用户目录项三步骤三：恢复被破坏用户文件（夹）3.恢复被破坏的根目录表项（1）复制9号簇下第1个目录项，然后粘贴到根目录被清零的目录项。如图7-14所示。（2）把偏移0X0E4的值2改为1，即文件夹（目录）属性，而非文件属性。（3）把偏移0X114的值A改为9，即文件夹（目录）的起始簇为9。（4）把偏移0X108〜C、0X118〜C的两个值都改为800000，即文件夹（目录）的大小为32768字节。（5）把偏移0X122〜0X13F的两个值都改为3800FB4EA152，即文件夹（目