返回
winhex恢复u盘数据案例

winhex恢复u盘数据案例

ID:10797412

大小:1.03 MB

页数:9页

时间:2018-07-08

winhex恢复u盘数据案例_第1页
winhex恢复u盘数据案例_第2页
winhex恢复u盘数据案例_第3页
winhex恢复u盘数据案例_第4页
winhex恢复u盘数据案例_第5页
资源描述:

《winhex恢复u盘数据案例》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、存储一个文件的时候,操作系统首先在记录所有空间使用情况的文件分配表(FAT)中找到足够容纳文件的空间,然后把文件内容写到相对应的硬盘扇区上,并在文件分配表中标出该空间已经被占用。删除文件的时候,一般并不对文件所占用的扇区进行操作,而仅仅是在文件分配表中指明哪些空间可以分配给别的文件使用。这个时候,被删除文件的实际内容仍然存在,可以被恢复。如果删除文件后又创建了新文件,那么被删文件所占用的扇区就有可能被新文件所使用,这时候就无法恢复被删文件的数据了。所以一旦误删除了文件,就不要再对该文件所在的分区进行写操作了,否则有可能覆盖原有数据,造

2、成文件无法恢复。小知识:恢复文件的三个阶段1.使用自动化恢复软件恢复软件(如Finaldata或EasyRecovery等)使用很简单,根据向导的指示操作就可以了。2.手工恢复被删除数据手工恢复的原理是直接在存储设备上寻找被删除文件的关键内容。这种方法适合恢复有明显特征而且结构简单的文件,如文本文件。如果文件很大,且分散于磁盘的不同位置,还需要根据文档的内部结构重新组织文档,才能彻底恢复数据。3.找专业的数据恢复公司备份数据由于数据很重要,所以首先要进行备份,万一出现误操作,还可以把U盘恢复到最初的状态。这一步很重要,并且U盘容量不大

3、,备份不会占用太大磁盘空间。进行扇区级别的磁盘数据备份有很多工具,如Ghost、WinHex和DiskExplorer,下面主要介绍WinHex。WinHex是一个16进制文件编辑工具,可以跳过操作系统的文件系统直接读取磁盘和U盘等设备,从而进行数据恢复。使用WinHex的“Tools”菜单下面的“OpenDisk”命令,打开物理U盘。在WinHex中看到U盘的引导数据全是“FF”,分区表和文件系统完全丢失了。从“Edit”菜单中选择“DefineBlock”,选择起止为“Beginningoffile”和“Endoffile”。然后

4、再从“Edit”菜单中选择“CopyBlock”→“IntoNewFile”,把整个U盘的数据写到一个文件中(例如“u.img”),这样就完成了U盘的备份。自动恢复完成备份后,笔者尝试用数据恢复工具Finaldata、EasyRecovery和Recover4All进行恢复,由于U盘容量很小,很快就搜索出很多文件,但是就是没有发现要找的那个重要文件,看来只能手工操作了。手工修复确定文件位置询问朋友得知该文件是中英文混合的Word文档,大部分是中文,含有少量英文,因此笔者决定通过查找文件内容尝试恢复文件。用WinHex打开前面保存的U盘

5、镜像文件(在镜像文件上进行数据恢复的好处是访问速度比直接访问U盘快,而且还可以避免破坏U盘原有数据。)选择“Search”菜单中的“FindText”命令,从镜像文件中直接搜索文中包含的英文字符串“controlneeded”。由于搜索到太多的字符串“controlneeded”,因此目前还无法对文件进行定位。如果能记住部分中文内容,搜索中文可以避免找到太多的结果。Word文档中的中文用Unicode编码,因此打开记事本输入文章包含的中文字符“决策”,另存为Unicode编码的文件(test.txt)。用WinHex打开文件“test

6、.txt”,开始的“FFFE”代表字符编码的顺序,因此随后的“B351567B”就是“决策”的Unicode格式的16进制表示。从WinHex的“Search”菜单中选择“FindHexValues”命令,在U盘镜像文件中搜索“B351567B”。因为WinHex只能以内码的格式显示中文,Unicode格式的中文都显示为乱码,那么如何知道是否找到了正确的数据呢?从搜索到“B351567B”的地方开始选择一段数据,仍然是从“Edit”菜单中选择“CopyBlock”→“IntoNewFile”复制到一个新的文件中(noname.txt)

7、。打开记事本,选定刚才保存的文件“noname.txt”,然后将编码格式设置为“Unicode”格式后再打开就可以看到它的真实内容了,经朋友确认,这段文字就是要找的文件的部分内容。定位文件头要完整地恢复Word文档,仅找到文件部分内容是不够的,我们需要找到DOC文件的开头(文件头)。用WinHex打开任意一个已知的完好的Word文件,可以看到文件的起始标志字符串为“D0CF11E0”,显示为“邢.唷”。查到DOC文档的特征标志为“D0CF11E0A1B11AE1”。easy提示纯文本格式的TXT文件不像Word文档那样有特征标志,但恢

8、复时可以直接用WinHex搜索文件中包含的中文或者英文关键字,确定文件所处位置。仍然是使用WinHex的“FindHexValues”命令,搜索方向设置为“Up”,也就是从刚才找到的特征字符串“决策”的位置往前搜索Wor

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。