迅维网

标题: 一次特殊的数据恢复(有点难度) [打印本页]

作者: zhy123 时间: 2014-7-16 19:40
标题: 一次特殊的数据恢复(有点难度)
今天一早店里就来了一个客户要做数据恢复，询问情况得知是客户的一个文档文件不小心删除了，以为情况简单就接下了，想也用不了多长时间，客户又要求当面恢复就答应了，价钱谈好，一个文档300RMB，客户坐旁边等。开始工作为了快点做完，免去了软件扫描直接用Winhex打开，本以为可以快些，找到文档所在的文件夹一看不对劲。见下图：

文件夹内并没有显示被删除过的文件，一般文件被删除是可以显示的只不过会在图标上有?号戓是x号，x号表示被覆盖或无法恢复的。见下图：

此时开始怀疑客户所说的，继续与客户沟通了解到以下情况，客户昨晚写好文档后，有一个副本是没用的，就刪除了，问题就在这时出现的，客户操作电脑很熟练速度很快，鼠标一滑选中马上就shift+delete后回车这些操作一气呵成，当她发现文件己经消失，当时由于客户也知道文件删除只要不在往盘里写入其他的文件，文件是可以完全恢复的，就开始进行恢复操作，但是在网上下载几个数据恢复软件进行恢复，均未找到需要的文件，心情开始不安起来，因为这些文件都是要用到的，好几个小时过去了，没办法只能打电话向朋友求助，她朋友来到她家两个人又忙活半天还是没有结果，今天大早就来求助了因下午要用到所以在中午之前必须要恢复出来如果麻烦她还可以加钱，看她一脸倦容肯定是没睡好也不象是骗人哪，那为什么会看不到文件呢？又问她是不是记错了，她很肯定的回答就是这个文件夹。有人说了搜索文件名不就可以了吗，不是没这样做，要是这么简单就不用这么费劲，这个帖子也不会写着多了，用她提供的文件名确实找不到，不知为什么(纠结中)，文件记录和索引都没有，(心说)靠出鬼了。没办法继续，既然是她写的她肯定知道内容，只能用文件的内容进行搜索了，在找不到也没办法只好请她另请高明了。说好后，问她文档开始部分的内容，她提供出来后，把这些内容保存到一个文档，然后用winhex打开取出这些内容的16进制代码填入这个winhex中进行搜索，还不错一会功夫搜到了。见下图：

通过往上翻在这里找到了文档头。见下图：

向下翻在这里找到了结束位置。见下图：

从上图可以看出这里并不是文档的结束位置，因为一个文件结束不可能正好占用整个簇的每一个字节，一定会有部分全是0，也许有。看来这个文档是有碎片的。怎么办呢？
和客户说明，让她提供文档的大小，她说她也记不清也没留意，没办法只能让她多提供一些文档海内容，这样可以快些，还好记忆力不错，提供了几处的内容。先把这个片断保存为文件片段1因为不知有多少碎片。继续查找。有几个查找到的还是已找到扇区里的就不截图了。继续搜索。在这里找到了需要的内容。见下图：

向上翻没看出什么，继续向下翻，在这里找到文档的结束位置，见下图：

现在向上翻，看看扇区数据衔接的对比。见下图：

当到此位置是发现上下数据衔接不上，而此扇区又是整数应该是此扇区应该是这个簇的第一个扇区，见下图：

接下来用这个扇区和上个片段的结束位置进行对比。见下图：

看看上下两扇区的数据是否可以衔接上呢？先考考大家的眼力吧。好了把这个片段保存为片段2。见下图：

接下来合并两文件，见下图：

到此数据恢复结束，让客户验证是否完整，经客户验证后确定文档完好无损，因为关系到个人的隐私问题文档就不截图了，还有一些图片划去了名称。说了几句客气话非要晚上请我吃饭，我说算了吧，数据恢复了就好。至于为什么文件删除了怎么会找不到，有遇到过的吗？这个是不是硬盘有问题呀，请各位高手赐教。

作者: chinarenzhy 时间: 2014-7-16 20:08
楼主的Winhex用得太熟了，好羡慕的说。

作者: 野兽619 时间: 2014-7-16 20:56
Winhex 这个是恢复软件吗？

作者: zhy123 时间: 2014-7-16 21:13

野兽619 发表于 2014-7-16 20:56
Winhex 这个是恢复软件吗？

用于硬盘底层数据分析。

作者: hk945a 时间: 2014-7-16 21:32
楼主，复合文档的资料可以共享一下吗？

作者: zhy123 时间: 2014-7-16 21:39

hk945a 发表于 2014-7-16 21:32
楼主，复合文档的资料可以共享一下吗？

复合文档的资料网上有的是，不过WORD2007及以上版本与WORD2003不一样了。

作者: hk945a 时间: 2014-7-16 21:44
你恢复这个花了多长时间

作者: zhy123 时间: 2014-7-16 21:56

hk945a 发表于 2014-7-16 21:44
你恢复这个花了多长时间

将近2个小时吧。

作者: 会员 912911 时间: 2014-7-16 23:13
没想到前辈不只硬体强.软件也不弱啊

作者: zhy123 时间: 2014-7-16 23:15

汪洋.. 发表于 2014-7-16 23:13
没想到前辈不只硬体强.软件也不弱啊

数据恢复只是好奇。

作者: 肉卷子 时间: 2014-7-17 10:16
应该是在C盘，，，确实和别的盘不同，，，WINHEX用的很熟

作者: 野兽619 时间: 2014-7-18 18:02

zhy123 发表于 2014-7-16 21:13
用于硬盘底层数据分析。

你们用的都是PC3000吗？

作者: zhy123 时间: 2014-7-18 18:06

野兽619 发表于 2014-7-18 18:02
你们用的都是PC3000吗？

PC3000用不起，这个只是用到Winhex而已。

作者: 野兽619 时间: 2014-7-18 22:52

zhy123 发表于 2014-7-18 18:06
PC3000用不起，这个只是用到Winhex而已。

Winhex 这个东西需要硬件什么的吗？软硬结合，大致给我描述下呗

作者: zhy123 时间: 2014-7-19 00:14

野兽619 发表于 2014-7-18 22:52
Winhex 这个东西需要硬件什么的吗？软硬结合，大致给我描述下呗

Winhex不需要任何的硬件支持。

作者: 我的泪为谁飞 时间: 2014-7-19 08:52
楼主有空教教俺 WINHEX

作者: 野兽619 时间: 2014-7-19 09:32

zhy123 发表于 2014-7-19 00:14
Winhex不需要任何的硬件支持。

那是不是网上可以下载的到啊

作者: zhangkai890207 时间: 2014-7-19 11:57
lz能抽个空发下教程不?

作者: pplppl 时间: 2014-7-19 21:41
真强真不知道怎么区分文件衔接位置的感觉吗

作者: zhy123 时间: 2014-7-19 22:44

pplppl 发表于 2014-7-19 21:41
真强真不知道怎么区分文件衔接位置的感觉吗

这个凭感觉可不行。

作者: pinggyuan 时间: 2014-7-20 15:41
winhex还可以用来还原数据啊，以前有人用来破解加密的文档，看了下恢复过程感觉很复杂，也许是因为没用过。不过能恢复出来，还是很厉害的。给你加分。

作者: bijibenokok 时间: 2014-7-20 16:32
很好的分析学习落

作者: zhy123 时间: 2014-7-21 00:12

我的泪为谁飞发表于 2014-7-19 08:52
楼主有空教教俺 WINHEX

winhex有这么难吗？

作者: zhy123 时间: 2014-7-21 00:13

zhangkai890207 发表于 2014-7-19 11:57
lz能抽个空发下教程不?

楼主指的是什么教程？

作者: zhy123 时间: 2014-7-21 00:15

pinggyuan 发表于 2014-7-20 15:41
winhex还可以用来还原数据啊，以前有人用来破解加密的文档，看了下恢复过程感觉很复杂，也许是因为没用过。 ...

winhex破解密码以前还可以，现在不行了。

作者: 我的泪为谁飞 时间: 2014-7-21 08:17

zhy123 发表于 2014-7-21 00:12
winhex有这么难吗？

有啊我学这个只是没有学基础直接干所以我只会一个方法

作者: 电脑维修81 时间: 2014-7-21 10:51
这个不错的哦！以后遇见就不怕了，谢谢楼主

作者: 丨無念℡ゞ 时间: 2014-7-21 10:58
真的很牛X，眼力也很好

作者: xiexing007 时间: 2014-7-21 11:07
楼主，收300块钱太少了，应收500住上

作者: zc333 时间: 2014-7-21 12:59
这是自学的成果么

作者: star19901226 时间: 2014-7-21 15:08
到迅维罗老师会教大家

作者: zhy123 时间: 2014-7-21 21:56

zc333 发表于 2014-7-21 12:59
这是自学的成果么

数据恢复我基本就是自学的。

作者: 苹谷 时间: 2014-7-22 08:20
在我心中楼主已经是高手了

作者: zc333 时间: 2014-7-22 12:51

zhy123 发表于 2014-7-21 21:56
数据恢复我基本就是自学的。

LZ那要人不，想跟你学习哈

作者: 逍乐 时间: 2014-7-22 19:01
这个真服了，那些16进制的代码怎么看都头痛，这钱该你赚的

作者: oyzy2012 时间: 2014-7-23 09:16
搞数据恢复要很多工具和软件是不是呀

作者: wxf127853 时间: 2014-7-24 12:53
楼主运用Winhex很熟练。我还在学习中。

作者: dayedebao 时间: 2014-7-27 16:14
很厉害。虽然只做过简单的数据恢复，我也去研究一下

作者: lq2010 时间: 2014-8-15 13:18
很强大,很有用呀

作者: lq2010 时间: 2014-8-15 13:18
这也学会了一点呀

作者: 15071354008123 时间: 2014-8-15 14:54
有技术含量

欢迎光临迅维网 (https://www.chinafix.com/)