适用前提:系统已经无法去到回收站找回文件。
一般会想到通过PE盘去回收站找回,但是实际情况是回收站没有东西,此时盘符不会和进入系统一样,但是对应上盘符后的回收站也是没有东西。
那就去分区工具看啊,对吧。删除的文件一般在对应盘的 $RECYCLER.BIN文件夹下面,可是看到的确实这样:
名字都被修改了。经过一番摸索发现$Ixxx开头的都不是原始文件,原始文件是对应名字的$Rxxx开头的。$I里面存了对应$R文件的原始文件名字。只需要找到可疑文件,使用二进制查看工具分析$I就可以看到原始文件的名字:
这里只是拿PDF举例,因为有中文所以乱码,一般系统文件不会乱码。
将$Rxxx 改成原始文件名字并且替换到删除位置即可以正常开机。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
