本文介绍了WinHex如何进行NTFS、FAT32、FAT16、ExFAT文件提取,以及ExFAT、NTFS、FAT32、FAT16的DBR修复方法。详细阐述了每种文件系统的操作步骤和注意事项,包括扇区大小计算和文件大小的确定。
WinHex文件提取
目录
一、NTFS文件提取
首先通过MBR查找文件的类型接着跳到NTFS的DBR处,然后向下跳转70个扇区,通过侧栏查找文件名,找到80属性后记录每簇扇区数以及文件大小后,回到DBR处后进行跳转
注意事项:
1.通过80属性查找的文件大小是扇区,需要与通过DBR查看的每簇扇区数相乘在进行跳转。
2.当磁盘被误格式化时,磁盘中的非常驻属性文件会被保留,常驻属性则不会。
3.当磁盘中的文件被误删除时,无论是常驻属性还是非常驻属性的文件都会在win hex中保留原文件
4.在计算提取文件的所在簇号时,需要将查看到的簇号进行减2。因为0号FAT项和1号FAT项有特殊用处。
二、FAT32文件提取
首先通过MBR查看DBR的大小并跳转到DBR,通过FAT32的DBR查看每簇扇区数、FAT表大小以及保留扇区数进行跳转,跳转至DATA数据区。通过目录项查找需要提取文件的所在簇号,将需提取文件所在簇号与每簇扇区数进行相乘,并从目录项向下跳转所提取文件的簇号与每簇扇区数的结果。(在跳转前最好将文件大小记录下来)
注意事项:
1.在计算提取文件的所在簇号时,需要将查看到的簇号进行减2。因为0号FAT项和1号FAT项有特殊用处。
2.FAT32与FAT16系统不同,FAT32在目录项向下跳转查找文件所在簇时不需要向下跳转32个扇区。
3.FAT32与FAT16在DBR中查找FAT表大小的位置时不相同的。
三、FAT16文件提取
FAT16的文件提取与FAT32的文件提取基本无异,但是要记住FAT16的分区起始扇区与FAT32的分区起始扇区是不一样的。
四、ExFAT文件提取
首先通过MBR查看DBR的大小并跳转到DBR,找到簇位图(查看十进制),直接跳转至簇位图所在的扇区然后向下跳转至大写字母表。再从大写字母表向下跳转256个扇区到达DATA。到达DATA数据区时找到C0属性,查看文件所在的扇区和文件的大小
注意事项:
1.在从簇位图跳转至大写字母表时,有时候可能要跳的扇区数超过256.
2.在查找文件的大小时需要注意它的文件大小有两个,一般来说这两个文件的大小是一样的但难免会有些特殊情况,当两个文件大小不相同时需要查看的是上面的文件大小。
<
最低0.47元/天 解锁文章
扫一扫
438
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
