申请会员ID:数据摧毁
1、申 请 I D:数据摧毁2、个人邮箱:931830491@.com
3、原创技术文章:使用winhex手工恢复NTFS文件系统下误删除的文件
=======================正文==================================
第一:建立一个文本文件
首先建立一个分区。。。之后,我在这个分区建了一个文本文件,如下图所示:
https://s2.ax1x.com/2019/07/07/ZBCabn.png
这个文件很简单,内容是重复的,我保存这个文件后,然后然后我们来看看这个文件大小信息,如下图所示:
https://s2.ax1x.com/2019/07/07/ZBF9Bj.png
我们看到,这个文件大小是1.54kb,记住了哦,等下恢复这个文件的时候就可以对比一下了咯 嘻嘻 。。。
之后我就删除了这个文件,现在,我们看看怎么恢复这个文件!
第二:用winhex打开分区 我们运行winhex,然后点击菜单:工具-->打开磁盘,来文件所在的分区。
如下图所示:
https://s2.ax1x.com/2019/07/07/ZBPpRS.png
我们可以找到$MFT这个文件,然后点击一下 跳到MFT所在的位置然后按 CTRL+F 搜索文本!
https://s2.ax1x.com/2019/07/07/ZBP8d1.png
找到文件记录了!!
https://s2.ax1x.com/2019/07/07/ZBFevF.png
然后我们来看下文件存储的位置!!
https://s2.ax1x.com/2019/07/07/ZBknRf.png
我们跳到12,425号簇看一下
https://s2.ax1x.com/2019/07/07/ZBkhOe.png
https://s2.ax1x.com/2019/07/07/ZBkX6S.png
我们现在已经找到了文件头的位置了!! 我们按alt+小键盘的1选中选块起始位置
刚刚读取的文件大小是1个簇 所以 我们向后偏移一个簇
https://s2.ax1x.com/2019/07/07/ZBAklT.png
看到这边有很多00为什么呢?我们的数据呢???
其实在文件系统中不满足一个簇的文件也是要占用一个簇的向上偏移几个扇区就能看到了 不过我们不用管他
选中他按下alt+小键盘的2作为结束选区然后 按住 ctrl+shift+n另存到桌面看一下吧!
https://s2.ax1x.com/2019/07/07/ZBAatI.png
https://s2.ax1x.com/2019/07/07/ZBA09P.png
终于结束了我们来看一下大小有没有改变
https://s2.ax1x.com/2019/07/07/ZBA2As.png
好像大小变大了 ??为什么呢???
因为我们提取文件的时候后面的00我们都提出来了
可以看到文件占用的空间是没有变的4kb就是8个扇区正好是一个簇
好了 教程到此结束 希望你们能学会吧 也希望吾爱论坛能给咱个账户 啊哈哈哈
抱歉,未能达到申请要求,申请不通过,可以关注论坛官方微信(吾爱破解论坛),等待开放注册通知。
页:
[1]