论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
会声会影2023旗舰版 Parallels 19破解    
发帖 回复
返回列表
  • 2392阅读
  • 1回复

[教程资料]FAT32删除后用软件恢复出乱码的完全恢复 [复制链接]

 上一主题 下一主题
离线pony8000
IT资讯组
 

发帖
53392
今日发帖
最后登录
2024-11-15
只看楼主 倒序阅读 使用道具 楼主  发表于: 2012-07-30 22:25:10
FAT32文件系统删除后用软件扫描后恢复出来的文件大都有可能是乱码,原因是高位簇清0.
FAT32目录项指明了这个文件的起始簇(32位),这个32位值由两个不同的部分组成。大家看图片。

先用winhex打开一个FAT32分区,这里是E盘。



现在看图,以1.jpg为例子看看winhex中的一些情况。看图中蓝色部分,1.jpg的“1st sector”为270339扇区。它的特征码有“JFIF”这是正常的扇区。



现在右击找到这个文件的目录项。看下图



现在光标定位于0x02000060这个位置,运行“FAT目录模板”,看下图



看下图的解释FAT32的高位簇是3,低位簇是8197.它的32位簇是204805(3*65536+8197=204805).



现在删除这个文件。



看现在的E盘,已经没有1.jpg文件了。



现在用winhex重新加载E盘,进行一下磁盘快照,更新一下数据。



看下图,和删除以前的簇对比。明显不一样了,数据恢复软件一定出错。



现在转到目录项



看现在的目录项模板,看有了删除标记“E5”,它的高位簇已经清0了。低位簇不变,还是8197.

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_f464f3a60a9376b.jpg[/img]

=============================================
现在开始恢复
=============================================
现在知道了删除后的变化,现在只要还原高位簇就可以了。
把高位簇从0开始一个个的加1,重新进行簇的组合。
高位簇先试试“1”.

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_bffc6af8a3da363.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_6402aaebcfae462.jpg[/img]
修改完后保存一下磁盘。

下面重新刷新一下,重新做个快照。

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_e2e81659cd88d99.jpg[/img]

现在文件的起始簇变化了,但是数据区是空的,没有jpg的标志“JFIF”。所以高位簇1不是正确的。

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_c54c3f176796e59.jpg[/img]

现在重新修改高位簇。试试2是不是正确的数据。

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_7a0f157c36ccd30.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_6922880c6165fc8.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_4bd171774c4b699.jpg[/img]

保存,重新快照。

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_b53da1d40a15d53.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_7d9ab38ce3bae53.jpg[/img]看数据区还没有jpg的标志“JFIF”。所以高位簇是2错误的。再试下一个数字。


[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_eab553e81341e6b.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_c02c1551f472aff.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_f26c5796296e305.jpg[/img]保存一下,试试这个对不对。


保存,重新快照。

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_a5938ad37490e58.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_9c5c41afcf16876.jpg[/img]
看,现在数据区有了jpg的标志。现在高位簇正确了。
到这一步,这人删除的jpg的开头已经找到了。

现在恢复出来看看。

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_3d956ca32b9276a.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_2511f09ee7795f0.jpg[/img]
保存到桌面。

现在看看恢复的数据
[img]http://bbs.crsky.com/1236983883/Mon_1207/6_210844_b5105fe96c03731.jpg[/img]
,ok。恢复成功。


注意:这是以jpg为例子,大家可以参考我以前的教程。如果是word文件头是什么昵?
精品软件:百度搜闪电软件园  最新软件百度搜:闪电下载吧
有问题联系 sdbeta@qq.com
回复
举报
离线pony8000
IT资讯组

发帖
53392
今日发帖
最后登录
2024-11-15
只看该作者 沙发  发表于: 2012-07-30 22:30:31
本分卷由2345好压(Haozip)生成,请使用2345好压来解压。
2345好压下载地址:http://www.haozip.com/
分卷文件共有以下2个:
fat321.haozip01.zip
fat321.haozip02.zip
为了更方便的合并分卷文件,本说明文件请勿删除,谢谢!

fat321.haozip01.zip (1758 K) 下载次数:0   

fat321.haozip02.zip (1000 K) 下载次数:0
这些是小图,给小子用的。

=============================
下面是视频操作。如果版主觉得不合适,删除了就行了。
点击进入下载页面: Video_2012-07-30_103759.haozip01.7z (1856 K) 下载次数:0
点击进入下载页面: Video_2012-07-30_103759.haozip02.7z (1856 K) 下载次数:0
点击进入下载页面: Video_2012-07-30_103759.haozip03.7z (1587 K) 下载次数:0
精品软件:百度搜闪电软件园  最新软件百度搜:闪电下载吧
有问题联系 sdbeta@qq.com
回复
举报
发帖 回复
返回列表