数据恢复技术分析
李俊杰的
这个作者很懒,什么都没留下…
展开
-
软件报错地址
软件报错地址原创 2017-04-21 13:48:48 · 696 阅读 · 0 评论 -
分区数据恢复之 $boot 详解
博主出品必属精品原创 2017-07-26 17:21:09 · 456 阅读 · 0 评论 -
分区恢复之 $MFT 详解
博主出品必属精品46 49 4C 45 ===2c=ID boot =0D 20=8--f boot=dbr 每簇扇区数,,=0D 28--2F =分区扇区数 30---37=MFT的起始 处号位置*8 ==6291456扇区38-3F =MFTMIRR备份处号 余下可以填00 MFT原创 2017-07-26 17:25:20 · 7531 阅读 · 0 评论 -
分区恢复之 0扇区 详解
博主出品必属精品0扇区向上第5行,第一拍 4个字节=身份证,和其他硬盘不能相同,往后2个字节不用要可以填00 00再往后4个字节也可以 00 00 00 00 ,然后到分区,07 代表NTFS,0C 代表FAT16-32 0F 代表扩展分区07后面可以填写 EF FF FF 或是 00 00 00 , NTFS分区=07 FE FF FF 再往后4原创 2017-07-26 17:28:40 · 4490 阅读 · 2 评论 -
分区恢复之 FAT32分区 详解
博主出品必属精品FAT32 root directory=根目录位置 FAT1 FAT2 2号簇=记录根目录的所有文件的名字2E 20 20 = FAT32 FAT16 的目录项 第4行 4-5 A-B =00 00 是文件的起始簇号 =00 00原创 2017-07-26 17:31:32 · 1496 阅读 · 0 评论 -
MFT 目录项 大小 计算
1,先找MFT 起始0号项, 注意区分 是MFT备份 还是MFT的起始,如果是备份,只有8个扇区, 然后向下搜索2,找到最后一个目录项,看序号, 如:255. 3,向下2个扇区,记录现在扇区位置,3,现在扇区位置-(目录项255+1)*2 如果等于 MFT 起始位置,那记录字节大小即可,如果不是,那目前是目录项是错的,继续按这个方法查找原创 2017-08-04 11:36:50 · 1948 阅读 · 0 评论 -
分区恢复之重新分区和格式化分区恢复 详解
博主出品必属精品 重新分区找回原来分区的过程: 1.从后面搜索EB5290(512=0) 【正常情况应该能搜索到两个结果,一个是现有分区的备份,一个就是原来分区的备份】2.如果只有1项EB5290的分区备份。那么就需要从现有的分区里面找 MFT目录项。然后通过free space标记的MFT目录项 算出 原来的MFT的0号项。再通过原来MFT的0号项算出原来分区的D原创 2017-07-27 14:28:41 · 1191 阅读 · 0 评论 -
敲砸病毒规律收集分析
PKHQD1F21FF814FBB8431245AC73PKHQPKHQF9FA15E318EFB9174B15PKHQPKHQE9F407F61AF5B344094EFE16PKHQPKHQFEFC1EF219EFA0174A13PKHQPKHQE3F814F20CF3A4171457B75E79462EE3F80A2D7D6F1772C14AF4B81C75DAAD3712047644F4A3...原创 2017-10-04 22:38:25 · 44221 阅读 · 0 评论 -
数据恢复文件结构深度讲解原理非专业勿操作
放假一个星期原创 2017-04-29 08:47:26 · 28496 阅读 · 0 评论 -
RIAD 0 处理细节
案例: ST 4K, 2个 2TB的盘1,区分硬盘顺序打开WINHEX,把2个硬盘分别打开,搜索DBR, 先搜索到DBR的 是1号盘,没搜索到的是2号盘。2,查看每扇区字节数查看DBR转换成10进制=4096个字节3,设置每扇区字节数为4096这个改成4096,改完看下,不一原创 2017-07-25 22:27:33 · 403 阅读 · 0 评论 -
安卓手机相片数据恢复
手机相片数据恢复,第一步需要先 ROOT,获取权限 第二步链接手机,做镜像,把手机内存镜像备份到电脑上,第三步,打开winhex, 扫描镜像,提取相片文件头,第四步,把相片恢复出来给客户预览,图片很可能是小图原创 2017-07-04 08:56:17 · 477 阅读 · 0 评论 -
技术反馈
出错请联系技术员原创 2017-04-29 08:40:55 · 5435 阅读 · 0 评论 -
EMOOV 故障处理细节
视频合并如果无法播放,需要检查emoov 确认 ftyp大小正确打开ftyp 看到emoov 前4个字节大小, 1 需要先按ALT+F5 把数据解释器调整正确, 2 复制大小,3起止位置跳转偏移量,输入大小转到文件结尾向后多保存8个字节 即可原创 2017-05-03 18:32:01 · 263 阅读 · 0 评论 -
WINHEX手工最快恢复2断MOV的操作流程
mdatftyp512=4 * 列出所有结果 ctrl+m选择mdat alt+1 选择ftyp 向上偏移5个字节 alt+2atrl+catrl+n *1字节ctrl+b返回ftyp alt+1下一个mdat 向上偏移5个字节 alt+2crtl+c返回新建 crtl+vctrl+s 命名***.mov过程:复制文件尾 到新建窗口,写原创 2017-05-04 09:37:46 · 2008 阅读 · 0 评论 -
winhex 手工恢复佳能70D视频过程
第一步,先用winehx打开磁盘第二步,搜索DAT和MOV第3步,新建一个窗口第四步,分别把DAT和MOV粘贴到新窗口第五步,保存文件到电脑上,后缀是MOV原创 2017-05-03 14:30:26 · 3045 阅读 · 1 评论 -
用WINHEX合并两个或多个BIN文件
转载转载 2017-05-03 10:30:42 · 1396 阅读 · 0 评论 -
如何使用WinHex脚本自动修复FAT32文件系统DBR
此脚本不是去复制备份的DBR,而是通过文件系统计算BPB参数,来达到修复文件系统的目的,下面是脚本: Assign ParSize GetSizeAssign SecSize 512Goto 0x000Write 0xEB5890Write 0x4D53444F53352E30Write SecSizeWrite 0x00Write 0x0000转载 2017-04-30 16:04:28 · 2037 阅读 · 1 评论 -
USBC 故障处理方法
我们在恢复移动硬盘 U盘的时候通常会遇到 RAW 故障,或是打开里面文件夹是乱码 有USBC字符,通过WINHEX 可以准确判断是否是由USBC 故障引起的,通常可以通过超级硬盘数据恢复,或是DG 恢复工具,把文件按类型或是目录恢复出来,如果是固态硬盘 或是U盘,有可能恢复出来的office和视频会打开乱码 无法播放!这种情况只能通过WINHEX,直接把USBC故障引起的扇原创 2017-05-29 10:51:53 · 2151 阅读 · 0 评论 -
WINHEX 数据恢复实用脚本
WINHEX 脚本Winhex 脚本,之所以不叫程序,因为他实际上是一种批处理,通过对Winhex 现有的 Winhex API 的调用,来实现需要的功能,所以功能有限。如果电脑上直接安装了 Winhex 是可以直接调用“.whs”文件直接执行,或者在 Winhex 界面。通过启动中心运行。一行一句,是标准。养成良好的逻辑习惯。原创 2017-05-22 09:04:34 · 8711 阅读 · 2 评论 -
数据恢复winhex操作注意
扫描提示 The Undo command will not beavailable after this operation because ofthe specified undo limit of 20 MB. 需要在菜单 options--options-undo-第一个选择取消alt+F5 调试 32bat bing endian原创 2017-07-12 14:34:15 · 584 阅读 · 0 评论 -
数据恢复技术研究
备用的系统地址原创 2017-03-31 10:57:59 · 8789 阅读 · 1 评论