winhex数据恢复教程

winhex数据恢复教程,第1张

winhex数据恢复教程如下:

电脑:Dell optiplex 7050

系统:Windows10

1、首先右击桌面的此电脑—管理—磁盘管理,可以看到磁盘1中有个1.8T的未分配的空间,这部分空间就是丢失的分区。

2、然后打开WINHEX,按住F9选择HD1物理磁盘。

3、再将滚动条拉到最低,从这个扇区的0x28处记录的,可知道文件系统大小为3906321838。

4、在左下角可以看出当前扇区是3907029166,根据当前扇区号和文件系统总扇区数,可以算出文件系统的起始扇区号为3907029166-3906321838=707328。跳转到707328扇区,敏早高发现是个正常的DBR,说桥尺明我们刚刚算对了。

5、跳转到0号扇区,将找到的分区起始扇区号和文睁丛件系统的总扇区数写到分区表即可。再按CTRL+S保存修改,在磁盘管理中将硬盘刷新磁盘(先脱机再联机)。

使用WinHex恢复删除的文件的 *** 作过程

1、打开磁盘

打开磁盘

2、直接恢复文件

如果文件是不久前删除的话,可以看到已经删除的文件,这时便可以直接恢复文件了。

直接恢复文件

3、通过$MFT恢复文件

如果在文件列表里没有看到已删除的文件,那么可以从$MFT里恢复。

$MFT,主文件表(Master File Table),存在于是NTFS文件系统里。当文件在硬盘上删除后,文件记录并没有从$MFT里删除,因此可以从$MFT里恢复已删文件。

1)打开$MFT

右键点击“$MFT”,然后点击“打开”。

打开$MFT

2)查找要恢复的文件

按组合键CTRL+Fd出窗口,输入要恢复的文件名或关键词,选择“Unicode”。

查找要恢复的文件

3)找到要恢复的文件记录

要恢复的文件记录

找到要恢复的文件记录,接着是进行数据分析,这是恢复过程中最关键的一步。分析如下:

红色圈出的FILE0,是文件头的开始标识。偏移文件头16H的位置,即蓝色圈出的00,00表示该文件已经被删除。

红色圈出的80,是数据属性的标识。在偏移8H的位置,如果是01,即蓝色圈出的地方(本例是01,如果是00,则接下来的分析要看这里如何使用WinHex恢复删除的文件(2)),那么要看偏移30H的地方,即蓝色圈出的D9 F1 07,这个便是文件的大小,十六进制表示为“7F1D9”。再看偏移40H的地方,即蓝色圈出的42 80 00 BC 50 2B 01,42表示后面的数据中,前两个是族数,这里为80个族,后四个是族号的开始位置,十六进制表示为“12B50BC”。

这个分析主要是得到两个数据,族的起始位置和文件大小。

4)通过族的起始位置和文件大小来恢复文件

切换到磁盘窗口,选中$MFT,然后按组合键CTRL+G,输入族的起始位置19615932(把十六进制12B50BC转换为十进制,百度一下转换工具吧,可以在此网页里转换http://jinzhi.supfree.net/)。

输入族的起始位置

点击确定后,在鼠标出现的地方,点击右键,然后点击“选块起始”。

选块起始

按组合键ALT+G,d出转到偏移量的窗口,这里选择相对于“当前位置”,然后输入7F1D9(第三步分析中得到的文件大小,十六进制)。

转到偏移量

点击确定后,在鼠标出现的地方,点击右键,然后点击“选块结束”。

选块结束

选块结束后,在鼠标出现的地方,点击右键,然后点击“编辑”。

编辑

点击编辑后,然后点击“复制选块-至新文件”,在d出窗口里,输入文件名,即可恢复文件。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/tougao/12074259.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-20
下一篇 2023-05-20

发表评论

登录后才能评论

评论列表(0条)

保存