ExFAT文件系统误删除案例

会员1086395

任务分析：

数据恢复工程师上门对U盘硬件外观进行检测，发现没问题之后，再将U盘接入电脑，故障现象与小冯描述的一致，判定是由客户误删除导致文件丢失，并且U盘的分区是EXFAT文件系统格式，对于删除文件或文件夹的方式存在两种情况，第一是删除到回收站，这种删除方式可以直接在回收站中将文件还原回来，回收站是系统隐藏的一个文件夹，想要打开回收站必须在操作系统里面打开系统隐藏文件夹可见。第二种删除是永久性的删除，这种删除是直接删除，可以将占用空间返还，对于EXFAT文件系统永久性的删除到底改变了哪些地方，下面在EXFAT分区中创建一个shujuhuifutest.txt文件，然后将其永久性删除，删除前的目录项如图11.3.2-1所示，删除后的目录项如图11.3.2-2所示。

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image002.gif

图11.3.2-1  文件“shujuhuifutest.txt”删除前目录项

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image004.gif

图11.3.2-2 文件“shujuhuifutest.txt”删除后目录项

经过“shujuhuifutest.txt”文件删除前后的目录项对比，可以发现文件删除后只是每个目录项的首字节发生了变化，由原来的“85H”、“C0H”、“C1H”改变为“05H”、“40H”、“41H”，其他字节没有任何改变，文件的起始簇号、大小、文件名这些关键信息都完好地存在。

该文件原来存放在381号簇，现在跳转到381号簇，其内容如图11.3.2-3所示。

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image006.gif

图11.3.2-3 381号簇内容

很明显文件“shujuhuifutest.txt”的内容还在这里，也就是文件删除并没有清空其数据区。当然，因为文件“shujuhuifutest.txt”只占一个簇，不可能有碎片，所以其在FAT表中也就没有记录项，但该文件在簇位图文件中对应的位上会被清零，以表示文件“shujuhuifutest.txt”所占用的簇已被释放。既然文件删除后文件名、起始簇号、大小及数据内容这些信息都没有损坏，所以只需要定位到这些信息并且另外保存就相当于恢复了删除的文件。不过，如果文件原来没有连续存放，也就是存在碎片，那么该文件在FAT表中就有簇链。当文件删除后，这些簇链会被清零，所以有碎片的文件删除后也不容易恢复。分析文件删除的实质之后，就能对U盘中删除的文件恢复了，下面是误删除恢复的实例。

操作方法与步骤：

（1）首先制作U盘的镜像文件，可以用R-STUDIO、WinHex或其他工具。

（2）用WinHex软件打开所要修复的U盘。

（3）打开之后就是0扇区M BR的16进制界面，如图11.3.2-4所示。根据MBR中的BPB参数可以看到该U盘是一个ExFat的文件系统（根据分区标识07H），其分区起始扇区位置为0800H，换算成十进制之后为2048扇区，其分区总大小换算成十进制为130,017,280扇区。

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image008.gif

图11.3.2-4MBR

（4）然后跳到分区的起始位置2048扇区，也就是ExFat的DBR，如图11.3.2-5所示。根据DBR中BPB参数知道首簇号起始扇区为6144，根目录首簇号为4，每簇扇区数为256，根据这些信息可以计算出根目录起始扇区=6144+（4-2）*256，计算出结果为6566。

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image010.gif

图11.3.2-5  DBR

（5）跳转到6656扇区，根据前三个目录项的首字母“83H 81H 82H”知道这就是EXFAT文件系统的根目录，如图11.3.2-6所示；接着向下搜索我们需要恢复的“20190323195119653014.docx”文件，搜索方式如图11.3.2-7所示。

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image012.gif

图11.3.2-6 根目录

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image014.gif

图11.3.2-7 搜索“20190323195119653014.docx”文件

（6）很快搜索到了“20190323195119653014.docx”文件的目录项，如图11.3.2-8所示，并且该文件的目录项就在根目录中，可以看到该目录项中的首字母都做了相应的删除标志，根据属性2中的信息，可以知道该文件位于377号簇，文件大小为81513字节。

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image016.gif

图11.3.2-8 “20190323195119653014.docx”文件的目录项

（7）跳转到文件的数据区，也就是377号簇，377号簇的起始扇区号=（377-根目录的簇号）*每簇扇区数+根目录的起始扇区号，计算出的结果为102144，跳转至该扇区，如图11.3.2-9所示。

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image018.gif

图11.3.2-9 “20190323195119653014.docx”文件数据起始部分

（8）现在找到了“20190323195119653014.docx”文件数据起始部分，该文件大小为81513字节，由于分区的每簇扇区数为256，每簇可以容纳256*512=131072字节，是大于文件大小的，所以说将该文件的数据直接提取出来即可，提取的方式如图11.3.2-10所示，这里的位置为数据开始的第一个字节，最后选中这部分数据，将他以文件的形式保存，方式如图11.3.2-11所示，最后打开文件，如图11.3.2-12所示。

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image020.gif

图11.3.2-10 跳转至“20190323195119653014.docx”文件数据结尾

file:///C:/Users/cqcet/AppData/Local/Temp/msohtmlclip1/01/clip_image022.jpg

图11.3.2-11 保存“20190323195119653014.docx”文件

会员1175165

楼主发的有点看不明白啊

会员51728

没有大佬的C盘, 没有图, 看不明白啊

会员199794

             学习了。