因为现在FAT文件系统基本被淘汰,现在NTFS为主流文件系统,如果想恢复NTFS文件系统下的数据,最后使用恢复工具进行恢复,因为NTFS文件系统是基于数据库的文件系统,手工恢复相当的复杂。
实验环境:
在虚拟机硬盘上有一个主分区,一个扩展分区,扩展分区里有一个逻辑分区(FAT16文件格式)
向逻辑分区E拷贝一个LOG文件additions.log,然后删除该文件,现在用WINHEX恢复该文件的内容
一、打开WINHEX
选择逻辑磁盘E
二、单击访问,选择根目录
三、找出文件名为additions.log相对应的区域
1、查找计算数据
此区域包含了被删除的文件additions.log的起始簇和文件的大小,
起始簇:02 00
簇大小:AE 10 06 00
以上两个数据为16进制表示,并且是高低位互换,所以
起始簇:00 02 即 2
簇大小:00 06 10 AE 换成10进制为397486字节
2、计算出文件占用簇数
在FAT16文件中,每个簇占16个扇区,每个扇区有512个字节,所以每簇有
16×512=8192字节
根据文件所占簇的大小得出:文件占用的簇数:
397486÷8192≈48.5
48.5表示:文件占用49个簇,前48个簇都被用完,最后一个只占用了一部分。
3、计算出文件占用簇的结束簇位置
由起始簇和占簇大小得出文件占用簇的结束位置
结束簇=起始簇+簇大小-1
结束簇为49+2-1=50
4、计算出文件占每个簇多少字节
前面说了,文件占用了前48个簇的所有字节,既前48个簇都占用了512个字节
那么最后一个簇没占用完,该怎么计算出来文件占用了多少字节呢?
给出下面一个公式:
占用最后簇的大小=文件大小-其他簇之和=397486-48×512=4270
得出最后一个簇被占用4270个字节
5、计算出文件占用磁盘空间的位置
从以上而知:文件数据位置为:从2簇到第50簇偏移4269(因为簇的编号从0开始)
四、选中数据区并导出数据
1、转到起始簇 2簇
2、以起始簇为起点
3、转到结束簇 50簇
4、在50簇内偏移4269字节 用16进制表示为10AD
在相对位置内选择“当前位置”,因为当前光标已经移动到50簇的起始位置
5、以50簇偏移10AD位置为结束点
6、把所选数据导出到一个新文件
7、为新文件命名
新文件名的扩展名应该与原文件的扩展名相同
五、打开新文件,查看是否与原文件相同
略