U如果删除了磁盘文件,或者U盘格式化了,很多时候都是用恢复软件恢复的office事实上,只要文件存在,我们就可以使用文件WINHEX通过手工分析底层数据结构进行恢复。
原因是什么?因为u盘的文件系统通常是fat32.这种文件系统在存储文件时,如果u盘操作次数多,很容易产生碎片。
一旦u盘上存储的文件产生碎片,由于文件的底层数据存储不是连续存储的,使用普通恢复软件恢复的文件往往是不正常的。
例如,在这种情况下,文件删除后,用数据恢复软件打开有问题
0
1
2
3
现在打开恢复文件看结果是看不懂的乱码
4
找不到专业软件时,可手工分析恢复所以在这种情况下,一般都有碎片化的文件,需要手工提取数据。这里有一个16进制的编辑器winhex当然,手工提取的前提是对各种文件系统有深入的了解。
5
这就是16进制显示的分区,先跳到6291456扇区
6
接下来,将需要恢复的文件名转换为Unicode因为NTFS分区格式为Unicode编码格式命名,转换后,单击菜单栏Search--->Find Hex Values 如下图所示,窗口会弹出
7
写下刚刚转换的16进制数值,向下搜索
8
光标停在这个扇区,找到了80个属性,我用红色框架框起来的是我要恢复文件的簇流,是根据这个簇流恢复文件的,这个簇流不是连续的,有片段的,这就是通常所说的文件有碎片。
先算一个片段 起始位置:775124 簇大小:1
第二个片段 起始位置:16777253 簇大小:3 (第二段的起始位置相对于第一段)
第三个片段 起始位置:17552261 簇大小:41 (第三段的起始位置相对于第二段)
第四个片段 起始位置:17552345 簇大小:1 (第四段的起始位置相对于第三段)
共计算了四个片段,现在需要提取每个片段的内容,跳转到第一个片段的位置,将内容复制到新文件中,剩下的操作都一样
提取每个片段后,单击winhex菜单栏Tools--->File Tools--->Concatenate需要保存文件的路径和后缀会弹出
9
点击保存后,弹出窗口选择刚提取的文件(注意,必须按顺序附加)
10
附加四个碎片后,点击Done,附加完成后,打开恢复文件查看
11
恢复完成后,可正常打开