迅维网

标题: FAT32格式化后数据的恢复 [打印本页]

作者: $刀剑笑 时间: 2011-3-4 14:35
标题: FAT32格式化后数据的恢复
本帖最后由 $刀剑笑于 2011-3-7 22:06 编辑

故障描述：
客户硬盘原来为四个分区，C D E F，对应分区格式为：FAT32,NTFS,NTFS,FAT32.感觉电脑运行慢，自己安装了系统，系统装好后，发现F盘的资料被自己格式化了。他是先进入DOS，使用FORMAT。我们知道，有些DOS系统要另外加载NTFS，如果不加载，DOS会把他的F盘认成D盘。这位客户也是半瓶水，一进DOS,就FORMAT了C盘和D盘（D实际上为F盘）。

说在前面的话：此类问题相信大多数同行都遇到过，使用一些恢复软件可以恢复出来，会使用软件的朋友，请不要向下看了，下面的内容，对你来说是没有意义的！

下面的内容，只是针对和我一样，对文件系统有兴趣的朋友，可以一起来学习。

所要数据：因为F盘有很多目录，一台电脑多人使用，最重要数据是他在F盘新建的20110301这个文件夹，在这个文件夹下有很多文件，包括一个叫20101205的文件夹。

把故障盘接在台机上，打开WINHEX,打开F盘：

可以看到，数据是被格的比较干净的（里面的ABC是我后面创建的目录项，因开始做时没来得急截图）

即然有一个目录叫：20101205，我们就寻找它。桌面上新建一个文本文档，输入这个名字，并保存。用WINHEX打开这个文本文件

我们搜索：3230313031323035

大概五六分钟，仅在2116258处找到

向上翻，可以看到很多文件，直到在2116256处找到它的目录项：

可以看出，它的上层目录起始簇号为：65538，所以，只要把ABC的起始簇号，指向65538就可以了。
（刚写到前面时，客户来取盘，没能把图载下来），这样我们可以通过WINHEX把数据全部导出来，我直接导在了自己电脑的D盘00000下：

经过测试，都可以正常打开。。。

此时回头打开客户的F盘，中的ABC

因客户盘在写的时候拿走，我只能把上图故障模拟出来

为什么在WINHEX下已经可以把数据导出来了，在WINDOWS下却不能正常打开？

想想FAT32格式化后文件系统产生的三大变化：
一、重写了DBR
二、清空了FAT表（FAT1和FAT2都清零）
三、清空了根目录下的目录项

既然FAT表被清空了，文件就不能指向它的下一个链接，没有一个完整的路要走下去（个人理解），所以我们打开ABC文件夹时，WINDOWS是无法向下进行，只能提示错误了。
有人可能会说，恢复FAT表不就行了？当然，对于连续存放的文件，也是有可能恢复的。在此不再向下分析，有兴趣的朋友可以共同讨论下。

此故障用数据恢复软件也能找到，不过工作量也不小，客户F盘有四五十个文件夹，一个一个找也是比较累的。因客户能提供出来准确的信息，使用WINHEX大概用了十分钟左右，就完整恢复了。

作者: dcdzzz 时间: 2011-3-4 16:09
本帖最后由 dcdzzz 于 2011-3-4 16:19 编辑

看得是懂非懂的。
1、可以看出，它的上层目录为根目录，起始簇号为：65538，是怎么看出的？
2、只要把ABC的起始簇号，指向65538就可以了，怎么指？

作者: $刀剑笑 时间: 2011-3-4 16:56
回复 dcdzzz 的帖子

1, 02 00 01 00，转化成十进制就是65538
2，这里我省了一步截图，你可以参考我的这个文章 http://www.chinafix.com.cn/thread-297847-1-1.html，方法是一样的

作者: $刀剑笑 时间: 2011-3-7 22:09
本帖最后由 $刀剑笑于 2011-3-7 22:12 编辑

刚回家又看了帖子，里面一处笔误，很是抱歉，我已经修改过来了。最近很多朋友在问同一个问题，我做了张图片说明，发上来。这些都是自觉来的，可能说的不够准确，我尽力说清楚吧。

麻烦版主把我下一楼删除了，回复发图片没发过，失误。

作者: $刀剑笑 时间: 2011-3-7 22:09
d:\123

欢迎光临迅维网 (https://www.chinafix.com/)