winhex恢復(fù)數(shù)據(jù)方法:
1、打開WINHEX,首先我們按F9選擇HD1物理磁盤;
2、我們將右側(cè)的滾動條拉到最底部,從這個扇區(qū)的0x28處記錄的,可以知道文件系統(tǒng)大小3906321838;
3、從左下角可以看出當(dāng)前扇區(qū)是3907029166,根據(jù)當(dāng)前扇區(qū)號和文件系統(tǒng)總扇區(qū)數(shù) 可以算出文件系統(tǒng)的起始扇區(qū)號 3907029166-3906321838=707328
4、接著跳轉(zhuǎn)到707328扇區(qū),發(fā)現(xiàn)是個正常的DBR說明我們剛剛計算正確,跳轉(zhuǎn)到0號扇區(qū),將找到的分區(qū)起始扇區(qū)號和文件系統(tǒng)的總扇區(qū)數(shù)寫到分區(qū)表就可以了。按CTRL+S保存修改。
恢復(fù)刪除的文件的方法:
1、打開磁盤
2、直接恢復(fù)文件
如果文件是不久前刪除的話,可以看到已經(jīng)刪除的文件,這時便可以直接恢復(fù)文件了。
3、通過$MFT恢復(fù)文件
如果在文件列表里沒有看到已刪除的文件,那么可以從$MFT里恢復(fù)。
$MFT,主文件表(Master File Table),存在于是NTFS文件系統(tǒng)里。當(dāng)文件在硬盤上刪除后,文件記錄并沒有從$MFT里刪除,因此可以從$MFT里恢復(fù)已刪文件。
1、打開$MFT
右鍵點擊“$MFT”,然后點擊“打開”。
2、查找要恢復(fù)的文件
按組合鍵CTRL+F彈出窗口,輸入要恢復(fù)的文件名或關(guān)鍵詞,選擇“Unicode”,如上圖所示:
3、找到要恢復(fù)的文件記錄
找到要恢復(fù)的文件記錄,接著是進(jìn)行數(shù)據(jù)分析,這是恢復(fù)過程中最關(guān)鍵的一步。,如上圖所示:
紅色圈出的FILE0,是文件頭的開始標(biāo)識。偏移文件頭16H的位置,即藍(lán)色圈出的00,00表示該文件已經(jīng)被刪除。
紅色圈出的80,是數(shù)據(jù)屬性的標(biāo)識。在偏移8H的位置,如果是01,即藍(lán)色圈出的地方(本例是01,如果是00,則接下來的分析要看這里如何使用WinHex恢復(fù)刪除的文件(2)),那么要看偏移30H的地方,即藍(lán)色圈出的D9 F1 07,這個便是文件的大小,十六進(jìn)制表示為“7F1D9”。再看偏移40H的地方,即藍(lán)色圈出的42 80 00 BC 50 2B 01,42表示后面的數(shù)據(jù)中,前兩個是族數(shù),這里為80個族,后四個是族號的開始位置,十六進(jìn)制表示為“12B50BC”。
這個分析主要是得到兩個數(shù)據(jù),族的起始位置和文件大小。
4、通過族的起始位置和文件大小來恢復(fù)文件
切換到磁盤窗口,選中$MFT,然后按組合鍵CTRL+G,輸入族的起始位置19615932(把十六進(jìn)制12B50BC轉(zhuǎn)換為十進(jìn)制)。
點擊確定后,在鼠標(biāo)出現(xiàn)的地方,點擊右鍵,然后點擊“選塊起始”。
按組合鍵ALT+G,彈出轉(zhuǎn)到偏移量的窗口,這里選擇相對于“當(dāng)前位置”,然后輸入7F1D9(第三步分析中得到的文件大小,十六進(jìn)制)。
點擊確定后,在鼠標(biāo)出現(xiàn)的地方,點擊右鍵,然后點擊“選塊結(jié)束”。
選塊結(jié)束后,在鼠標(biāo)出現(xiàn)的地方,點擊右鍵,然后點擊“編輯”。
點擊編輯后,然后點擊“復(fù)制選塊-至新文件”,在彈出窗口里,輸入文件名,即可恢復(fù)文件。
以上便是winwin7小編給大家分享的關(guān)于使用winhex恢復(fù)數(shù)據(jù)使用的詳細(xì)操作方法!