实验环境
我是用的winxp的虚拟机
- winhex
- 010editor
简介
- 删除目标
首簇号:786653
簇链表:
- 然后查看在目录表中的位置
由上图可知首簇高位和低位
- 可见文件名首字节被修改,已经是被删除的状态了。
查看root directory
查看簇链表:
都被清零了。
开始恢复
- 和原来的根目录信息相对比,我们发现:
修改了首字节为15H。
簇高位清零了,簇低位并没有变化。
簇链表被清零。
- 恢复文件
- 根据相邻目录项恢复簇高位
相邻目录项簇高位:、
是12。
所以我们设置簇高位为12。
- 修改文件名首字节
- 修复簇链表
这里根据它的簇高位和低位反推,并且假设连续存储的方法进行修改。
保存之后
文件成功被恢复。
大家共勉~~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
