迅维网

标题: 通过WINHEX底层数据分析工具来手工进行提取格式化以后的重要数据 [打印本页]

作者: wh327 时间: 2019-6-14 14:05
标题: 通过WINHEX底层数据分析工具来手工进行提取格式化以后的重要数据

磁盘被误格式化后最好不要再运用，如果被覆盖的话恢复起来会很麻烦，而且成功几率也不是很大，下面就讲一讲格式化后手工怎么样来提取分区被格式化以后的数据。

我现在有一块磁盘，里面是有东西的我就把H：盘格式化掉

格式化完成后，没有任何东西

那我现在就打开winhex来操作底层，看看格式化后底层都做了哪些变化

首先MFT 80属性的属性体发生了变化

图一

图二

图一是格式化之后的，图二是格式化之前的

现在我要跳出这个数据的范围，找到如下这个扇区：

根据0xC07BFC2C-0xC07BFC2F这四个字节确定文件的偏移位置

用0xC07BFC2C-0xC07BFC2F这四个字节除以4加一得到簇大小，加一的原因是因为MFT是从0号开始编号的算出结果之后记录下来，然后回到MFT的位置将算出的簇大小结果填在80属性的簇流中然后修改簇流的第一个字节（你算出的结果占几个字节就写几个字节），然后修改起始位置（用当前MFT的位置除8），下来就修改0xC0000118-0xC000011B四个字节填入簇大小（这里要加1），0xC0000128-0xC000012B中填入总字节大小（用簇大小乘512），0xC0000138-0xC000013F四个字节和0xC0000130-0xC0000133四个字节中也填入总字节大小，保存，然后更新一下快照

增加了591个文件，恢复完成

作者: FOXCONNCHINA 时间: 2019-6-14 14:58
都2019了！这些东西。10年都有了。。。。。。。。。。。

欢迎光临迅维网 (https://www.chinafix.com/)