FAT32下文件删除的恢复思路与方法

最新推荐文章于 2021-07-08 14:36:51 发布
最新推荐文章于 2021-07-08 14:36:51 发布
阅读量3.6k 收藏 11
点赞数
分类专栏: 技术 文章标签: 扩展 磁盘

 

FAT32下文件删除的恢复思路与方法

内容提要:因为FAT32的文件系统是由三部分进行管理文件的
文件目录项    FAT表      数据区

一 首先了解FAT32分区下文件删除会对硬盘底层做了哪些操作.

1、文件目录项的首字节被改成E5,该文件的起始簇号的高位簇号被清零(本文只对高位簇号没有被清零或高位簇号原来就是零的进行讲解)
2、FAT 对应的簇链被清零
3、数据区没有发生改变

 


下面我们来看一下WINHEX截取的图片。我用VDISK虚拟了一个磁盘。里面装了一首MP3歌曲。现在就来看一下没有删除以前的那个MP3歌曲在文件系统中是什么样的。文件名是   10 朋友别哭.mp3

未删除文件以前的目录项   



FAT表一部分,



  

未删除以前的数据区    一部分

 


下面我们再来看一下删除文件后发生的改变

文件目录项:首字节被改成了E5

下载 (20.43 KB)

2008-9-30 12:44



FAT 表     已经被清零


 

 

数据区  无变化


这就是删除以前和删除后的变化。不知道大家看懂了没有。下面我们就来恢复这个MP3歌曲。
恢复思路:找到该文件的起始簇号。然后算出该文件占用的扇区数。这样就能导出该文件


1、
转到该文件目录项

我们知道,FAT32的起始簇号 是两个部分组成一是从34H-35H偏移  二是3A-3B偏移,

34H-35H 为 00 00
此簇号为00 00。只是因为原来簇号就是00 00 我们删除文件以后高位被清零。所以我们看不出来改变了。因为我们按照高位在前,低位在后的原则
所以该文件的起始簇号为 00 00 00 03H
起始簇号为3号簇

下面我们算一下该文件的大小。  在目录项的3C-3FH偏移是文件的大小,它的单位是字节  

94 7F B0 00 H
等于11597716字节  大家都知道一个扇区是512字节  那么11597716 /512= 22651.7890625
四舍五入=22652扇区  该文件就占用了这么多扇区。


好了,既然起始簇号和占用扇区数已经算出来了,我们就开始恢复文件吧  

先跳转到3号簇  

3号簇.jpg  

 

3号簇对应的是1264号扇区   也就是该文件的起始扇区

那么该文件的结束扇区就应该是(起始扇区+此文件占用的扇区数)也就是1264+22652=23916号扇区

首先在1264号扇区的首字节点选块开始


下载 (150.67 KB)

2008-9-30 12:44




然后在23916的最后一个字节点选块结束

 

然后在任意所选的扇区上点右键---编辑-----复制选块-----置入新文件

默认的名子是NONAME .  在任意位置点保存。文件的扩展名默认是DAT
然后把此文件夹扩展名改为MP3就可以了。

此文件恢复成功 。

 

 

 

批注:

本例中的文件恢复成功基于2个前提:

1:目录项的高位(0X09D034~0X09D035)在文件删除后未被清零或者原本就为零。

2:文件内容连续存放

 

wfu
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
FAT32学习笔记(三)文件删除,目录的删除FAT32表的用途,FsInfo的作用
zeewee1986的专栏
12-09 6489
文件删除 在前面已经说过如何通过BPB里的各项参数去找到Data Area,从而得到文件对应的Directory Entry,最后找到文件的内容;对于目录,也是大同小异,不同之处只是更“曲折”一点,会先找到目录,去目录的“内容”里找到文件的Directory Entry,进一步,才可以找到文件内容。那么,在FAT32里,文件如何删除? 实际上非常简单,FAT32文件系统在删除文件的时候,仅仅
FAT文件系统与文件恢复
magic_jiayu的博客
02-26 3207
FAT文件系统与文件恢复
FAT32下文件删除的数据恢复思路方法
10-16
FAT32下文件删除的数据恢复思路方法,用于无意中删除数据,找回文件内容的方案和方法思路,具体流程看压缩文档
FAT32下文件删除的手动恢复
weixin_44922845的博客
03-03 1947
磁盘结构 磁盘的结构一般由主引导记录 (MBR)、基本分区和扩展分区组成。其中,主引导记录又可以称为主引导扇区,由引导程序和分区表组成,主引导扇区的最后两个字节为 0x55AA,代表着主引导扇区的结束。 在 MBR 分区表中最多4个主分区或者 3 个主分区+ 1 个扩展分区,也就是说扩展分区只能有一个,然后可以再细分为多个逻辑分区。Windows系统默认情况下,一般都是只划分一个主分区给系统,剩余...
Failed to decode downloaded font: 字体文件无法使用的问题
09-30 8388
Failed to decode downloaded font: 字体文件无法使用的问题 遇到这个问题,网上搜说是后台文件过滤的问题,致使文件损坏,所以才出现这个错误。 测试了下,还真是: 首先把有问题的字体文件从 source 标签中下载下来 把项目中的文件复制一份出来 对比这两个文件的大小 发现大小确实不一样。所以说明就是文件的问题。 这个时候找后台处理文件过滤的问题就可以了,不管是哪个过滤,肯定是过滤的问题。跟前边没干什么关系。 ...
FAT32下文件删除
weixin_34106122的博客
09-22 411
该案例文件删除后,文件起始簇号高位没有被清零,请网友注意. 在E盘下有一个文件夹anli,文件夹anli下有文件夹Winhex15.3和两个图片分别是111.jpg和222.jpg. 我们首先用Winhex软件打开E盘,从FDT中找到所描述的文件夹项anli,FDT起如扇区号=保留扇区数+FAT大小*2,这些参数可在DBR的BPB参数中可以找到,也可直接跳转到2号簇。查找文...
操作系统: 精髓与设计原理 第七版 课件
01-24
- 预防和避免死锁的方法:银行家算法、资源预分配、死锁检测与恢复等策略。 9. **安全与隐私**: - 访问控制:权限、访问矩阵、访问控制列表等机制保护资源的安全。 - 审计:跟踪和记录系统活动,用于事后分析和...
Vxworks编程指南与用户手册.rar
08-19
1. **任务(Task)管理**:VxWorks的任务是程序执行的基本单元,通过创建、删除、挂起和恢复任务来实现并发执行。 2. **信号量(Semaphore)**:用于进程间同步和资源管理,确保对共享资源的互斥访问。 3. **消息...
操作系统课程设计报告简单文件系统的实现.doc
最新发布
11-30
mkdir、删除目录命令my_rmdir、显示目录命令my_ls、更改当前目录命令my_cd、创建文件命令my_create、打开文件命令my_open、关闭文件命令my_close、写文件命令my_write、读文件命令my_read、删除文件命令my_rm、退出...
操作系统课程设计简单文件系统的实现.doc
09-25
在某些情况下,位示图可以与FAT文件分配表)合并。 4. **文件目录结构**:采用多级目录结构,简化了文件的组织和访问。每个目录项包含文件名、物理地址(即文件在磁盘上的位置)和文件长度。为了实现文件保护,...
FAT32文件系统原理与数据恢复
03-15
对各种主流的文件系统进行了比较详细的介绍,并对FAT32文件系统进行了具体深入的分析,分析了其存储原理以及数据恢复的原理及现状。
磁盘与文件系统详解(FAT32+NTFS+安全删除文件流程及C代码实现)
05-11
目录 零、MBR DPT EBR 2 1、MBR主引导记录/扇区 2 2、EBR分区表 3 一、 FAT32文件系统 3 1、 基本介绍 3 2、 FAT表 4 (1)FAT12 16 32区别 4 (2)FAT表结构及作用 4 3、 数据区 5 (1)根据簇号得到在FAT中的扇区号和偏移: 6 (2)目录项FDT 6 二、NTFS文件系统 9 1、基本介绍 9 (1)DBR Dos Boot Record 9 (2)$boot文件 10 (3)$MFT文件 11 2、具体讲文件记录 11 【文件记录头】 11 【属性】 12 三、查找一个文件过程 21 1、思路 21 2、手动查找的过程 21 四、彻底删除文件 26 1、系统删除文件的过程 26 2、我们安全删除需要做的事情 26 3、我们安全删除思路 27 五、代码实现 28 1、模块及关键代码 28 (1)交互模块 28 (2)安全删除总控模块 28 (3)覆盖文件内容模块 28 (4)改写文件名模块 28 2、涉及函数和数据结构 28
FAT32文件删除恢复
weixin_43907106的博客
12-21 1839
实验名称:FAT32文件删除恢复 一、 实验目的 掌握文件删除恢复操作,并分析FAT、FDT、DATA的变化。 二、 实验内容 根目录下新建一图片文件(以自己名字首字母命名),shift + Delete完全删除此图片,查看FAT、FDT、DATA区的变化,并手工恢复图片。分析手工恢复删除文件的过程。 格式化分区 ,查看FAT、FDT、DATA的变化。 三、 实验操作步骤及截图 新建磁盘并分区。 在桌面保存一张图片,以姓名首字母命名为yx。复制到系统盘G中。 shift + De
Fat32文件系统存储原理及数据恢复
热门推荐
LanderlYoung
10-07 1万+
1.        第一阶段:       熟悉WinHex的使用。 于第二阶段体现。   2.        第二阶段:       分析本地硬盘的主引导扇区   首先我们要做的是熟悉fat32 文件系统。 实验环境是Windows8 操作系统+winhex 17.2。鉴于本地没有fat32格式的磁盘分区。 1.        在win8下创建一个虚拟磁盘vhd,并格式化为fa
FAT32下和NTFS下永久性删除文件恢复
hell_orld的博客
10-12 1293
FAT32下和NTFS下永久性删除文件恢复查看文件系统类型FAT32下永久性删除文件恢复NTFS下永久性删除文件恢复注意事项总结 查看文件系统类型 右键磁盘点击属性,就可以看到文件系统。 如果没有FAT32文件系统,可以创建虚拟磁盘。 FAT32下永久性删除文件恢复 我使用的是U盘(一般是FAT32),U盘的删除是永久性删除。(对于右键直接删除,是放入回收站,只有目录项文件名首字节被修改为E5,只需还原文件首字节即可恢复文件。) 文件名:test3 文件大小:89134b 文件内容: 1
FAT32文件系统下文件恢复
一期一会的博客
07-08 1332
FAT32文件系统下文件恢复 1.首先添加一个60G的磁盘,划分为3个盘,每个盘分20G 2.新建一个文档111放至E盘,随后再进行删除 3.观察根目录和引导扇区模版 通过上图可知入口簇号(03H)和文件大小(94 2D 00 00) 由上图可知,每簇扇区数为32。 通过上图,我们整理出以下数据: (1)入口簇号 03H 03D (2)结束簇号 03H (3)根目录起始扇区 24576 扇区 (4)文件起始扇区 (3-2)*32+24576=24608 扇区 (5)文件大小 94 2D 0
关于FAT32文件系统<1>——目录删除后,该目录下文件的目录项的变化
hsbdbshs124346的博客
03-02 1169
创建一个目录11111,并在该目录下创建一个目录22222和一个文本文件111111.txt,最后还在目录22222下创建一个文本文件3333333.txt,将目录111111删除,使用winhex查看磁盘,发现自目录11111起,里面所有文件的目录项都会将第一个字节修改为0xE5。 ps:该FAT32文件系统中,1个簇=8个扇区,1个扇区=512个字节 ...
复习操作系统
伍成雪的博客
06-09 2141
1没有安装操作系统的计算机启动过程和结果? 启动会比较快,但功能很局限,无法使用常见的软件应用,对于普通用户来说,功能很局限,对于专业工程师来说,想使用没有操作系统的计算机也有难度。启动后进入 BIOS 2虚拟机软件(例如VMware,VirtualPC等)能不能理解为操作系统 虚拟机本身运行在一个操作系统上,但对虚拟机上运行的程序来说,它是一个OS。 A现代操作系统会不会因为内存太小,而让应用程序无法启动运行或让系统崩溃? 操作系统的内存管理能使较大的应用程序在内存小的情况下运行 A在多道批处理中尝试不断
用winhex恢复Fat32文件系统中“永久删除文件“实例
Kiolng的博客
04-03 3467
Fat32文件系统恢复“永久删除文件"实例 首先看看要删除前的文件内容,含以下文件: 再在磁盘中选择要删除文件,按“shift”+”delete”键永久删除文件 用winhex打开该磁盘的对应分区,如果没有看到被删除文件,则进行如下操作: 两种恢复方式 方法一: 右击要恢复文件,选择“恢复/复制”即可将文件恢复到任何位置 测试:恢复成功 方法二:手工恢复 ①在根目录下滚动,找...
fat32文件彻底删除原理.docx
04-20
总的来说,对于Fat32文件系统的文件删除文件恢复,需要使用专门的文件删除文件恢复工具来确保文件可以被彻底删除,并尽可能多的找回被删除文件。同时,在进行文件删除文件恢复时,需要考虑到Fat32文件系统的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值