- 积分
- -1
- 下载分
- 分
- 威望
- 点
- 原创币
- 点
- 下载
- 次
- 上传
- 次
- 注册时间
- 2007-1-2
- 精华
|
马上注册,获取阅读精华内容及下载权限
您需要 登录 才可以下载或查看,没有帐号?注册
x
磁盘被误格式化后最好不要再运用,如果被覆盖的话恢复起来会很麻烦,而且成功几率也不是很大,下面就讲一讲格式化后手工怎么样来提取分区被格式化以后的数据。
我现在有一块磁盘,里面是有东西的我就把H:盘格式化掉
格式化完成后,没有任何东西
那我现在就打开winhex来操作底层,看看格式化后底层都做了哪些变化
首先MFT 80属性的属性体发生了变化
图一
图二
图一是格式化之后的,图二是格式化之前的
现在我要跳出这个数据的范围,找到如下这个扇区:
根据0xC07BFC2C-0xC07BFC2F这四个字节确定文件的偏移位置
用0xC07BFC2C-0xC07BFC2F这四个字节除以4加一得到簇大小,加一的原因是因为MFT是从0号开始编号的算出结果之后记录下来,然后回到MFT的位置将算出的簇大小结果填在80属性的簇流中然后修改簇流的第一个字节(你算出的结果占几个字节就写几个字节),然后修改起始位置(用当前MFT的位置除8),下来就修改0xC0000118-0xC000011B四个字节填入簇大小(这里要加1),0xC0000128-0xC000012B中填入总字节大小(用簇大小乘512),0xC0000138-0xC000013F四个字节和0xC0000130-0xC0000133四个字节中也填入总字节大小,保存,然后更新一下快照
增加了591个文件,恢复完成 |
|
狗仔卡
发表于 2019-6-14 14:05:55
支持!
反对!
收藏
分享
帖子提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
