• 設爲首頁
  • 點擊收藏
  • 手機版
    手機掃一掃訪問
    硬盤基地手機版
  • 關注官方公衆號
    微信掃一掃關注
    硬盤基地公衆號
  • 恢複刪除的文件 WinHEX NTFS文件系統

    2014-7-3 15:29| 發布者: 蝴蝶| 查看: 9654| 評論: 16|來自: 電腦維修培訓

    摘要: 用winhex恢複剛刪除的一個或是幾個文件winhex的效率比數據恢複軟件還是比較高的,用winhex對底層數據進行分析並恢複數據。以我的電腦D盤的下載文件下的文件爲例。電腦D盤的下載文件下的文件爲例接下來刪除這個文件。 ...
           用winhex恢複剛刪除的一個或是幾個文件winhex的效率比數據恢複軟件還是比較高的,用winhex對底層數據進行分析並恢複數據。以我的電腦D盤的下載文件下的文件爲例。
    電腦D盤的下載文件下的文件爲例

    接下來刪除這個文件。shift+delete
    刪除這個文件
    刪除文件

    文件已經刪除
    現在用winhex打開D盤
    用winhex打開D盤
    首先從DBR找到文件記錄開始的位置,我這裏是C0000(十六進制)轉換過來時786432號簇,每簇是8個扇區(786432*8=6291456扇區)
    從DBR找到文件記錄開始的位置
    跳轉到$MFT第一個文件記錄的位置,搜索drivethelife6_setup.exe文件名(注意文件名是以unicode字符存儲的)。在6310826扇區找到目錄項。
    搜索drivethelife6_setup.exe文件名

    通過對目錄項分析下一個文件記錄就是要找的文件drivethelife6_setup.exe的位置。
    文件drivethelife6_setup.exe的位置

    記錄號

    屬性

    接下來計算文件的位置了。
    第一個 32 8B 00 74 8A 20 開始位置(十六進制 20 8A 74)轉換爲十進制是2132596簇,占用(十六進制00 8B) 139個簇。轉到2132596號簇,139*8=1112 向下偏移1112個扇區,然後複制到新文件。
    位置 

    文件屬性

    轉到

    PE文件頭

    轉到偏移位置

    第二個 32 1E 06 CF D6 FB 開始位置(十六進制 FB D6 CF 這個是負數 轉換成二進制111110111101011011001111)然後逐位取反末尾家1轉換爲十進制是-272689用2132596+(-272689)=1859907簇,占用(十六進制06 1E) 1566個簇。到相應位置複制到新文件

    相應位置複制到新文件

    第三個 31 61 28 64 01 開始位置(十六進制 01 64 28)轉換爲十進制是91176簇,占用(十六進制61) 97個簇。用2132596+(-272689)+91176=1951083號簇,97*8=776 向下偏移776個扇區,然後複制到新文件。
    複制到新文件

    第四個 32 E2 04 E5 CE E3 開始位置(十六進制 E3 CE E5 可以看出這裏又是一個負數,轉換成二進制 111000111100111011100101)然後逐位取反末尾家1轉換爲十進制是-1847579簇,占用(十六進制04 E2) 1250個簇。用2132596+(-272689)+91176+(-1847579)=103504號簇,1250*8=10000 向下偏移10000個扇區,然後複制到新文件。
    第四個 32 E2 04 E5 CE E3 開始位置

    下圖是恢複出來的四個碎片文件,要合並後才可以用。
    恢複的四個文件

    下面合並文件。

    正在合並文件
    合並完成的文件。
    合並完成

    看文件是否可以運行。可以運行。
    運行文件

    可以運行
    複結束
    該文章已有16人參與評論

    請發表評論

    全部評論

      • 引用 愛學習的Rudens 2019-11-4 21:15
        實用性很強,謝謝大佬。那如果不記得自己刪除的文件名該怎麽辦?
      • 引用 beiyao 2019-3-10 12:52
        問下大佬,就是你文件刪了用底層軟件打開D盤,磁盤快照一下裏面不是還可以找到刪除的文件嗎??
      • 引用 anrank 2018-9-28 11:20
        學習了,學習了。。。。
      • 引用 wcw 2017-10-30 11:53
        你好,當文件刪除後,在$MFT中如何查找,爲什麽我用你的方法找不到?
      • 引用 wenxueshan 2017-10-27 11:50
        高手,受教了
      • 引用 yy2016 2016-11-12 16:34
        學習學習
      • 引用 466827041 2015-10-20 12:03
        好帖,必須要頂啊
        就是網站的水印太大了,影響到觀看了
      • 引用 ifantasy 2015-6-29 11:56
        好厲害 學習了
      • 引用 wqb0391 2015-6-6 18:28
        受教了

    查看全部評論>>

    論壇精選
    • 21模塊改時間爲何不成功

      21模塊改時間爲何不成

    • Easy Tools SM2258XT固態硬盤工具 數據恢複軟件

      Easy Tools SM2258XT

    • 1717Easy Tools 2.2.6 SM2258XT固態硬盤維修工
    • 909Easy Tools SM2258XT固態硬盤工具 數據恢複
    • 3032019年11月18日中國硬盤基地論壇簽到帖
    • 278大佬們,我這種情況的硬盤能軟件修複嗎?
    • 248求助!這道題的解題思路是什麽?
    • 212淺談佳能mp4視頻文件的恢複(winhex腳本的
    • 2022019年11月19日中國硬盤基地論壇簽到帖
    • 202求大佬指教HFS分區格式沒有卷頭後怎麽計算

    掃描微信二維碼

    查看手機版網站

    隨時了解更新最新資訊

    .

    在線客服(服務時間 9:00~18:00)

    在線QQ客服
    .
    Email:9443120@qq.com
    移動電話:13011628855

    Powered by Intohard X1.0© 2001-2013 Inhdd Inc.( 魯ICP備09029790號 )