马上注册,获取阅读精华内容及下载权限
您需要 登录 才可以下载或查看,没有帐号?注册
x
任务分析: 根据任务描述,是将ExFat文件系统格式化成ExFat文件系统,并且格式化前后其每簇扇区数、一致,由于ExFat文件系统的格式化会重建DBR、清空两个FAT表、根目录重建操作;由于每簇扇区数相同,DBR重建时和格式化前是一致的;清空FAT表,会导致非连续存放的数据是不能恢复完整的,可恢复连续存放的文件;根目录重建会导致根目录下的数据是无法恢复的,子目录下的数据有恢复的可能性。综合以上可恢复在子目录下连续存放的文件。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image002.gif 图11.3.3-1 根目录 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image004.gif 图11.3.3-2 2020子目录 格式化前该分区的FAT表的部分内容如图11.3.3-3所示。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image006.gif 图11.3.3-3 格式化前FAT表部分内容 格式化前该分区簇位图文件的部分内容如图11.3.3-4所示。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image008.gif 图11.3.3-4 格式化前簇位图文件部分内容 格式化前该分区根目录的内容如图11.3.3-5所示。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image010.gif 图11.3.3-5 格式化前根目录部分内容 文件夹“2020”下的10txt文件的文件目录项如图11.3.3-5所示。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image012.gif 图11.3.3-5 文件夹“2020”下的文件目录项 “7.txt”开始于20号簇,大小是12字节,转到20号簇,其内容如图11.3.3-6所示。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image014.gif 图11.3.3-6 “7.txt”文件内容 分析完以上结构后将这个ExFAT分区格式化。格式化完再来看这个分区的FAT表,发现FAT表与格式化前完全一样,如图11.3.3-7所示。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image016.gif 图11.3.3-7 格式化后FAT表部分内容 但这里并不是说ExFAT格式化不改变FAT表,其实ExFAT格式化会把FAT表第一个扇区的原有数据清零,并写入元文件和根目录对应的FAT项。该分区的FAT表第一个扇区的数据格式化前后没有变化是因为元文件及根目录占的位置及大写文件在格式化前后没有发生改变。 再看看格式化后的簇位图文件,该分区簇位图文件的内容如图11.3.3-8所示。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image018.gif 图11.3.3-8 格式化后的簇位图文件部分内容 簇位图文件的内容只有一个字节“3FH”,换算成二进制等于“00111111”,说明2、3、4、5、6簇被使用,其他簇为空簇,其中簇位图文件占用2、3两个簇,大写文件占用4号簇,根目录占用5号簇,系统“System Volume Information”文件夹占用6号簇,系统“IndexerVolumeGuid”文件占用7号簇。 格式化后该分区根目录的内容如图11.3.3-9所示。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image020.gif 图11.3.3-9 格式化后根目录内容 根目录中只剩下4个目录项,分别是卷标的目录项、簇位图文件的目录项、大写文件的目录项和“System Volume Information”子目录项,其他的目录项已被清零。 再看文件夹“2020”下的文件夹下的目录项,如图11.3.3-10所示。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image012.gif 图11.3.3-10 格式化后“2020”文件夹下的目录项 可以看到文件夹“2020”下的文件“7.txt”的文件目录项依然存在,没有任何破坏。跳转到“7.txt”文件的开始位置20号簇,其内容如图11.3.3-11所示,其中数据内容是完好的。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image021.gif 图11.3.3-11 格式化后“7.txt”文件内容 如果需要提取子目录下所有的文件即文件夹,只需要将该目录下的目录项全部粘贴到根目录中即可在winhex中的目录浏览器中遍历到,下面将文件夹“2020”下的全部目录项写入至根目录,写入后的内容如图11.3.3-12所示。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image023.gif 图11.3.3-12 “2020”文件夹下的目录项写入至根目录 保存之后用winhex重新打开分区,可以在目录浏览器中显示“2020”文件夹下的所有文件,如图11.3.3-13所示,最后将根目录下的文件提取出来即可。 file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image025.gif 图11.3.3-13 文件夹“2020”下的所有文件 | 
/1 
狗仔卡
发表于 2021-4-25 16:05:01
支持!
反对!
收藏
分享
帖子提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
