因爲現在FAT文件系統基本被淘汰,現在NTFS爲主流文件系統,如果想恢復NTFS文件系統下的數據,最後使用恢復工具進行恢復,因爲NTFS文件系統是基於數據庫的文件系統,手工恢復相當的複雜。
實驗環境:
在虛擬機硬盤上有一個主分區,一個擴展分區,擴展分區裏有一個邏輯分區(FAT16文件格式)
向邏輯分區E拷貝一個LOG文件additions.log,然後刪除該文件,現在用WINHEX恢復該文件的內容
一、打開WINHEX
選擇邏輯磁盤E
二、單擊訪問,選擇根目錄
三、找出文件名爲additions.log相對應的區域
1、查找計算數據
此區域包含了被刪除的文件additions.log的起始簇和文件的大小,
起始簇:02 00
簇大小:AE 10 06 00
以上兩個數據爲16進製表示,並且是高低位互換,所以
起始簇:00 02 即 2
簇大小:00 06 10 AE 換成10進製爲397486字節
2、計算出文件佔用簇數
在FAT16文件中,每個簇佔16個扇區,每個扇區有512個字節,所以每簇有
16×512=8192字節
根據文件所佔簇的大小得出:文件佔用的簇數:
397486÷8192≈48.5
48.5表示:文件佔用49個簇,前48個簇都被用完,最後一個只佔用了一部分。
3、計算出文件佔用簇的結束簇位置
由起始簇和佔簇大小得出文件佔用簇的結束位置
結束簇=起始簇+簇大小-1
結束簇爲49+2-1=50
4、計算出文件佔每個簇多少字節
前面說了,文件佔用了前48個簇的所有字節,既前48個簇都佔用了512個字節
那麼最後一個簇沒佔用完,該怎麼計算出來文件佔用了多少字節呢?
給出下面一個公式:
佔用最後簇的大小=文件大小-其他簇之和=397486-48×512=4270
得出最後一個簇被佔用4270個字節
5、計算出文件佔用磁盤空間的位置
從以上而知:文件數據位置爲:從2簇到第50簇偏移4269(因爲簇的編號從0開始)
四、選中數據區並導出數據
1、轉到起始簇 2簇
2、以起始簇爲起點
3、轉到結束簇 50簇
4、在50簇內偏移4269字節 用16進製表示爲10AD
在相對位置內選擇“當前位置”,因爲當前光標已經移動到50簇的起始位置
5、以50簇偏移10AD位置爲結束點
6、把所選數據導出到一個新文件
7、爲新文件命名
新文件名的擴展名應該與原文件的擴展名相同
五、打開新文件,查看是否與原文件相同
略