《计算机检测维修与数据恢复》（下册） 课件 项目7 任务1 exFAT文件系统恢复

子任务1 利用WinHex读取

exFAT文件系统参数任务1exFAT文件系统恢复项目7文件系统恢复01利用Winex直接读取FAT表主要参数02利用Winex读取数据区主要参数目录contents利用Winex直接读取FAT表主要参数01利用Winex直接读取FAT表主要参数一一、

利用Winex直接读取FAT表主要参数（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：利用Winex直接读取FAT表主要参数利用Winex直接读取FAT表主要参数一步骤一：附加虚拟磁盘，运行Winhex并打开它

在素材文件夹中，双击“7任务1-1-1.vd”，然后运行Winex，打开“D1”，操作界面显示该硬盘信息，此虚拟磁盘分有1个分区（exFAT分区）。双击打开分区1。步骤二：利用Winex直接读取FAT表主要参数1.打开FAT表再点击打开FAT，发现有0至5号共6个表项。如图7-1所示。

图7-1Winex编辑窗口信息（FAT表）图利用Winex直接读取FAT表主要参数一

2.直接读取FAT表项参数根据表7-2，对应直接读取分区1的FAT表参数，得到FAT表参数表，如表7-7所示。步骤二：利用Winex直接读取FAT表主要参数表7-7FAT表参数表表项值表项数表项内容00号0XFFFFFFF81exFAT表标志表项01号0XFFFFFFFF1系统保留表项02号0X0312号簇为簇位图文件占有，其值“03”为还续占下簇为3号簇。03号0XFFFFFFFF13号簇为簇位图文件结束簇04号0XFFFFFFFF1大字符文件占4号簇05号0XFFFFFFFF1根目录占5号簇（DBR指定）5号表项后的值都是0X00000000，但并不是没有数据了。利用Winex读取数据区主要参数02利用Winex读取数据区主要参数二（一）利用Winex读取根目录子目录项参数（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：利用Winex读取根目录子目录项参数利用Winex读取数据区主要参数二步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务1-1-1.vd”，然后运行Winex，打开“D1”，点开分区1（exFAT分区）。（一）利用Winex读取根目录子目录项参数步骤二：利用Winex读取根目录子目录项参数1.确认读取用户目录项发现根目录下有8个文件（夹），其中“7任务1”是用户文件夹，进一步点开此文件夹，它有2个文件“7任务1-1-1.txt”和“7任务1-1-1.png”。因此，读取的目录项有：根目录项、根目录下户文件夹“7任务1”的目录项、用户文件夹“7任务1”子目录下的文件“7任务1-1-1.txt”和文件“7任务1-1-1.png”的目录项，共4个目录项。利用Winex读取数据区主要参数二（一）利用Winex读取根目录子目录项参数步骤二：利用Winex读取根目录子目录项参数2.打开根目录表，找到“7任务1”子目录项在根目录下有个“（根目录）”文件，点击它，就跳到根目录表。若出现故障，打不开分区或找不到“（根目录）”文件，就根据DBR偏移位置0x60〜0x63指示的根目录的起始簇号，直接跳转至根目录表所在扇区。根目录表如图7-2所示。图7-2Winex编辑窗口信息（根目录表）图利用Winex读取数据区主要参数二（一）利用Winex读取根目录子目录项参数步骤二：利用Winex读取根目录子目录项参数3.利用Winex数据解释器读取“7任务1”子目录项主要参数“7任务1”子目录项主要参数为：起始簇号和文件夹大小。偏移“X114~117”值0X09，即“7任务1”子目录起始簇为9。偏移“X118~11B”值0X8000，用数据解释器读取数据为“32768”，即“7任务1”子目录大小为32768字节。利用Winex读取根目录子目录项参数的操作完成。利用Winex读取数据区主要参数二（一）利用Winex读取“7任务1”子目录的两个录项参数（共有2个步骤）步骤一：打开“7任务1”子目录的目录表，找到它的两个目录项步骤二：利用Winex数据解释器读取“7任务1”目录两个目录项的主要参数利用Winex读取数据区主要参数二步骤一：打开“7任务1”子目录的目录表，找到它的两个目录项根据“7任务1”子目录参数，它的起始簇为9，跳转到9簇，就看到了“7任务1”子目录表。“7任务1”目录表如图7-3所示。（二）利用Winex读取“7任务1”子目录的两个录项参数图7-3Winex编辑窗口信息（“7任务1”目录表）图利用Winex读取数据区主要参数二步骤二：利用Winex数据解释器读取“7任务1”目录两个目录项的主要参数1.偏移“0X34〜37”值0X0A，即“7任务1-1-1.png”用户子目录起始簇为10。偏移“0X38〜3B”值0X01E449，用数据解释器读取数据为123,977，即“7任务1-1-1.png”用户子目录大小为123,977字节。2.偏移“X94〜97”值0X0E，即“7任务1-1-1.txt”用户子目录起始簇为14。偏移“X98〜9B”值0X21，用数据解释器读取数据为33，即“7任务1-1-1.txt”用户子目录大小为33字节。利用Winex读取“7任务1”子目录的两个目录项参数的操作完成。（二）利用Winex读取“7任务1”子目录的两个录项参数感谢观看THANKSFORWATCHING子任务2 利用WinHex恢复受破坏的exFAT文件系统任务1exFAT文件系统恢复项目7文件系统恢复01利用Winex恢复受破坏exFAT分区DBR02利用Winex恢复受破坏FAT表（被清零）目录contents03恢复受破坏exFAT数据区用户目录项利用Winex恢复受破坏exFAT分区DBR01利用Winex恢复受破坏exFAT分区DBR一(一)利用Winex恢复受破坏DBR（DBR备份不被破坏）（共有3个步骤）步骤一：附加虚拟磁盘，发现磁盘出错步骤二：运行Winhex并打开它，确认DBR被破坏，DBR备份不被破坏步骤三：恢复受破坏DBR利用Winex恢复受破坏exFAT分区DBR一步骤一：附加虚拟磁盘，发现磁盘出错

在素材文件夹中，双击“7任务1-2-1.vd”，资源管理器发现磁盘有问题，并弹出错误对话框。如图7-4所示。图7-4资源管理器弹出的错误对话框图利用Winex恢复受破坏exFAT分区DBR一步骤二：运行Winhex并打开它，确认DBR被破坏，DBR备份不被破坏

运行Winex，打开“D1”，在硬盘窗口，发现分区1图标变成灰色，扩展名“exFAT”为“？”，进一步打开分区1,发现0扇区（DBR）被清零，跳转至12号扇区（DBR备份，也可通过查找“55AA”的办法来查找DBR备份），数据正常。说明分区1的DBR被破坏，其备份正常。步骤三：恢复受破坏DBR1.复制DBR备份（整个12号扇区），粘贴到0号扇区

复制当前整个扇区（12号扇区），然后粘贴到0号扇区。

2.保存

点击“保存”功能，关闭本磁盘，退出Winex。

在素材文件夹中，双击“7任务1-2-1.vd”，资源管理器正常打开磁盘，恢复受破坏DBR（DBR备份不被破坏）的操作完成。利用Winex恢复受破坏exFAT分区DBR一(二)利用Winex恢复受破坏DBR及其备份（共有3个步骤）步骤一：附加虚拟磁盘，发现磁盘出错步骤二：：确认DBR及其备份都被破坏步骤三：恢复受破坏DBR及其备份利用Winex恢复受破坏exFAT分区DBR一步骤一：附加虚拟磁盘，发现磁盘出错

在素材文件夹中，双击“7任务1-2-2.vd”，资源管理器发现磁盘有问题，并弹出错误提示。如图7-5所示。图7-5资源管理器弹出的错误对话框图利用Winex恢复受破坏exFAT分区DBR一步骤二：确认DBR及其备份都被破坏

运行（Winex），打开“D1”，在硬盘窗口，发现分区1图标变成灰色，扩展名“exFAT”为“？”，进一步打开分区1,发现0扇区（DBR）被清零，跳转至12号扇区（DBR备份，也可通过查找0X55/0XAA的办法来查找DBR备份），找不到DBR。说明分区1的DBR及其备份都被破坏。步骤三：恢复受破坏DBR及其备份1.创建一个与“7任务1-2-2.vd”磁盘容量、分区格式化相同的虚拟磁盘创建一个与“7任务1-2-2.vd”磁盘容量、分区格式化相同的虚拟磁盘，复制虚拟磁盘的分区1的DBR到“7任务1-2-2.vd”磁盘分区1的DBR位置。

2.把MBR记录分区1起始扇区及大小在本磁盘内，跳转到0号扇区，偏移“X1C6〜9”的记录为分区1的起始扇区2048号扇区，偏移“X1CA〜D”记录为分区1的大小33552384扇区。利用Winex恢复受破坏exFAT分区DBR一步骤三：恢复受破坏DBR及其备份3.找到FAT表的起始扇区在分区1本分区内查找FAT表，用“查找十六位进制数值”功能查找0XFFFFFFF8，在2048号扇区找到FAT表，因此，FAT的起始扇区为2048号扇区。如图7-6所示。图7-6Winex编辑窗口信息（FAT表）图从图7-6可看出，簇位图文件在2和3号簇，共占2簇，大写字符文件在4号簇，共占1簇，根目录起始簇在5号簇。利用Winex恢复受破坏exFAT分区DBR一步骤三：恢复受破坏DBR及其备份

4.找到大写字符文件和根目录的起始扇区，并计算每簇扇区数在分区1本分区内查找FAT表，用“查找十六位进制数值”功能查找0X000001，在6272号扇区找到大写字符文件，即大写字符文件的起始扇区为6272号扇区。继续向下查找“030000”，在6336号扇区找到根目录，即根目录的起始扇区为6336号扇区。大写字符文件总扇区为6336-6272=64，且只占1簇，用2n表示，可知n为8。

5.找到簇位图文件的起始扇区，并计算FAT表的大小由于簇位图文件点2和3号簇，共2簇，因此，簇位图文件的总扇区数为2×64＝128。大写字符文件的起始扇区为6272，簇位图文件的起始扇区为6272-128=6144。在本分区内，跳转至簇位图文件的起始扇区为6144，见到簇位图文件参数。同时，由于数据区是从簇位图文件所在扇区开始，因此，簇位图文件的起始扇区为6144号扇区也是数据的起始扇区。数据区的大小=本分区总扇区一数据的起始扇区=33552384-6144=33546240，数据区总簇数=总扇区数÷64=33546240÷64=524160簇。FAT所占的扇区数最大值为数据区的起始扇区-FAT表的起始扇区，即6144-2048=4096扇区。利用Winex恢复受破坏exFAT分区DBR一步骤三：恢复受破坏DBR及其备份6.把步骤三至步骤五找到的参数填入DBR主要参数表把步骤三至步骤五找到的参数填入DBR参数格式表（表7-2），得到DBR参数表，如表7-8所示。表7-8exFAT分区DBR主要参数表偏移量长度值参数0X0030X9076EB跳转指令0X0380X5441465845文件系统0X0B530X00保留区0X4080X0800分区起始扇区:20480X4880X01FFF800分区总扇区数:335523840X5040X0800FAT表起始扇区:20480X5440X1000FAT表总扇区数:40960X5840X1800数据区起始扇区:61440X5C40X07FF80数据区总簇数:5241600X6040X05根目录起始簇:50X648略分区序号及标志0X6C40X09每扇区字节数(2n):5120X6D10X06每簇扇区数(2n):640X6E10X01FAT表个数:10X6F10X080磁盘类型0X78390略引导程序0X1FE20X55/0XAA扇区有效标志利用Winex恢复受破坏exFAT分区DBR一步骤三：恢复受破坏DBR及其备份7.把DBR参数写入DBR跳转至本分区0号扇区，把表7-8的DBR参数填入DBR相应偏移，得到恢复后DBR，如图7-7所示。利用Winex恢复受破坏exFAT分区DBR一步骤三：恢复受破坏DBR及其备份8.恢复DBR备份

把DBR复制到12号扇区，即12扇区为DBR备份。点击“保存”功能，关闭本磁盘，退出Winex。在素材文件夹中，双击“7任务1-2-2.vd”，资源管理器正常打开磁盘，恢复受破坏DBR及其备份的操作完成。利用Winex恢复受破坏FAT表（被清零）02利用Winex恢复受破坏FAT表（被清零）二利用Winex恢复受破坏FAT表（被清零）（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确认FAT表被破坏（被清零）步骤三：恢复被破坏的FAT表利用Winex恢复受破坏FAT表（被清零）二步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务1-2-3.vd”，然后运行Winex，打开“D1”，操作界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（exFAT分区）。步骤二：确认FAT表被破坏（被清零）进入在分区1，点开FAT表，跳转到2048号扇区，数据全为0，说明FAT表被破坏（被清零）。如图7-8所示。图7-8Winex编辑窗口信息（FAT表）图利用Winex恢复受破坏FAT表（被清零）二步骤三：恢复被破坏的FAT表1.利用DBR模板读取DBR的BPB参数利用DBR模板读取本分区DBR，如图7-9所示。图7-9Winex“exFAT模板”信息（DBR）图利用Winex恢复受破坏FAT表（被清零）二步骤三：恢复被破坏的FAT表1.利用DBR模板读取DBR的BPB参数利用DBR模板读取本分区DBR，如图7-9所示。图7-9Winex“exFAT模板”信息（DBR）图在图7-9中，可读取：（1）数据区的起始扇区为6144号扇区，所在簇号为2号簇，也是簇位图文件的起始扇区。（2）根目录的起始扇区为5号簇。（3）每簇扇区数为26=64扇区。由于大写字符文件是在目录的前1簇（且只占1簇），因此大写字符文件占4号簇。由于簇位图文件是在大写字符文件前，因此3号簇是被簇位图文件占，又由于簇位图文件起始在2号簇，故簇位图文件占2、3号簇。利用Winex恢复受破坏FAT表（被清零）二步骤三：恢复被破坏的FAT表2.确定0号表项、1号表项的参数0号表项参数固定为0XFFFFFF8F、1号表项参数固定为0XFFFFFFFF。3.确定2号表项、3号表项的参数由于簇位图文件占2、3号簇，因此2号表项、3号表项参数为0X3、0XFFFFFFFF。4.确定4号表项的参数由于大写字符文件仅占4号簇，因此4号表项参数为0XFFFFFFFF。5.确定5号表项的参数由于根目录占5号簇，因此5号表项参数为0XFFFFFFFF。6.确定6号表项的参数跳转到6号簇，发现有用户数据，由于这数据是由根目录或子目录管理了，因此6号表项及其后面的表项目全部为0X00000000。最后进行保存和磁盘快照操作，完成恢复受破坏FAT表（被清零）任务的操作。利用Winex恢复受破坏FAT表（被清零）二步骤三：恢复被破坏的FAT表7.把已确定的各表项的参数填入FAT表把已确定的各表项的参数填入FAT表，恢复了FAT表，如图7-10所示。点击“保存”功能，进行“磁盘快照”，关闭本磁盘，退出Winex。

在素材文件夹中，双击“7任务1-2-3.vd”，资源管理器正常打开磁盘，恢复受破坏FAT表的操作完成。恢复受破坏exFAT数据区用户目录项03恢复受破坏exFAT数据区用户目录项三恢复受破坏exFAT数据区用户目录项（共有3个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确认用户目录项被破坏（被清零）步骤三：恢复被破坏用户文件（夹）恢复受破坏exFAT数据区用户目录项三步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务1-2-4.vd”，资源管理器正常打开磁盘，但根目录没有文件（夹）。然后运行Winex，打开“D1”，操作界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（exFAT分区）。步骤二：确认用户目录项被破坏（被清零）进入在分区1，根目录没有文件（夹），点击根目录，发现用户文件（夹）录项为0，说明用户文件（夹）目录项被破坏了。如图7-11、12所示。图7-11Winex驱动器窗口信息（分区1）图恢复受破坏exFAT数据区用户目录项三步骤二：确认用户目录项被破坏（被清零）图7-12Winex编辑窗口信息（根目录表）图恢复受破坏exFAT数据区用户目录项三步骤三：恢复被破坏用户文件（夹）1.推算被破坏用户文件（夹）所占的簇号从图7-12可知，由于前一个文件起始簇为6，后一个文件起始簇为15，因此，被破坏的用户文件（夹）可能占7-14簇。2.查找被破坏用户文