- 积分
- 23
- 下载分
- 分
- 威望
- 点
- 原创币
- 点
- 下载
- 次
- 上传
- 次
- 注册时间
- 2010-3-2
- 精华
|
马上注册,获取阅读精华内容及下载权限
您需要 登录 才可以下载或查看,没有帐号?注册
x
Doc文件恢复一例
存储介质:SONY 4G Mini U盘
故障描述:客户从电脑拷到U盘两个Doc文件,文件名和内容都是英文的,放在U盘根目录下,当时曾刷新确认过其存在,但未打开过,两天后打开U盘发现这两个文件不存在了。
恢复软件:EasyRecovery,FinalData ,WinHex
恢复思路:盘体正常,其他文件完好,感觉属于一般性文件丢失,用常规软件EasyRecovery,FinalData恢复即可,实在不行就用WinHex喽。
恢复过程:
一、用EasyRecovery恢复,过滤器用“*.doc”,搜索结果如下图:
有大量曾删除的Doc文件,经客户一一确认,没有找到要找的文件。
二、用FinalData恢复,如下图,搜索的比EasyRecovery的还要多,但同样没找到要找的文件。
三、关键时刻,还得用WinHex。
1、用WinHex打开U盘,搜索Doc文件头D0CF11E0A1B11AE1,如下图:
2、再搜文件尾,如下图:
4D6963726F736F6674204F666669636520576F72642039372D3230303320CEC4B5B5000A0000004D53576F7264446F630010000000576F72642E446F63756D656E742E3800F439B271
这是一个误区,我在这里耽误很多时间,细心一点你就会发现这个文件尾是用Office2007保存的Word97-2003文档,而我要找的是用Office2003保存的Word2003文档(后来发现的),如下图:
这才是Word2003的文件尾
4D6963726F736F6674204F666669636520576F726420CEC4B5B5000A0000004D53576F7264446F630010000000576F72642E446F63756D656E742E3800F439B271
到这里也许你会认为能轻而易举的找到要找的文件了,事实相反,由于文件较多,一个一个傻找的话会很浪费时间。
根据本人对Doc文件的研究,英文的句号以及后面的空格的16进制数据是2E2020202020,有多少空格就有多少20。如下图所示:
3、于是就搜索2E2020202020(由于是文件体的一部分就暂称文件体),结果如下:
嘿嘿!点击对文件体搜索的结果,就看到了上图中的大量的英文了。
4、对搜索结果分析发现,正好有两段结果偏移正好符合“文件头+文件体+文件尾”结构,且均含大量英文,如下图:
5、成功在即!选中文件头+文件体+文件尾,并置入新文件,如下图所示:
6、保存到桌面,并修改后缀为“.doc”,打开如下图所示:
同样方法的另一文件如下图:
经客户确认,数据恢复成功!
恢复心得:两种文件尾的区别,以及文件体标志之一的2E2020202020是本此恢复节省时间的关键。希望广大数据恢复爱好者多总结多发现,并把成果跟大家分享。 |
|
狗仔卡
发表于 2010-3-16 20:41:00
支持!
反对!
收藏
分享
帖子提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
