误删除文件的恢复
侯素玲
文件误删除的恢复
现在以NTFS分区中的两个文件“putuo.jpg”和“recovery.txt”为例,讲解文件的各部分结构。
误删除文件的恢复-大文件 putuo.jpg是一个图片文件,该文件在NTFS文件系统中由文件记录迚行管理,文件记录占用2个扇区。
1.通过0号扇区的DBR的30H-37H处的簇号定位到MFT2.点击查找文件,查找“putuo”设置为Unicode编码方式。
如图: 误删除文件的恢复-大文件
3.系统定位到putuo.jpg所在MFT中的文件记录处 误删除文件的恢复-大文件
4.文件名在30H属性中,文件的数据由80H属性管理 从80H属性可以看出,偏移08H的值为“01”说明该属性是非常驻属性;
偏移30H~37H的值为“A288470000000000”说明文件大小为4788A2H(十进制值为4688034)字节;偏移40H~47H的值为“2279042D14”说明该文件的RunList中只有一个数据流,所以文件是连续存储的,数据的开始簇号为142DH(十进制值为5165);用WinHex跳转到5165号簇,就是文件存储的起始位置。
误删除文件的恢复-大文件 将文件“putuo.jpg”按Shift+Delete删除,删除后查看其文件记录。
可以看出文件“putuo.jpg”的文件记录的状态字节16-17H已经由0100(文件在使用中)变为0000(文件被删除),而30H属性中的文件名、80H属性中的文件大小、RunList等重要信息没有任何变化。
跳转到文件的数据区,内容没有任何变化。
误删除文件的恢复-大文件 在文件第1个字节处,右击,选块开始;从这个字节开始,往后连续的4688034个字节就是这个文件的所有数据; 转到偏移地址4688033处,右击,选块结束;右击编辑—复制选块—置入新文件,命名并保存。
注意:不要存入误删除文件所在的分区 误删除文件的恢复-小文件 现在再以NTFS分区中的另一文件“recovery.txt”为例,讲解文件的各部分结构。
这是一个文本文件,打开后内容如图所示。
误删除文件的恢复-小文件 误删除文件的恢复-小文件 文件的数据是由80H属性管理的,文件“recovery.txt”的80H属性如图所示。
从80H属性中可以看出文件“recovery.txt”的属性体是常驻的,属性体开始于该属性的0x18偏移处,属性体的大小为0x10偏移处D6000000(十迚制值为214)字节。
因为80H属性为数据属性,所以其属性体就是这个文件的数据。
注意:文件“recovery.txt”的数据直接放在80H属性体中,而文件“putuo.jpg”的数据则放在一个RunList数据流当中。
误删除文件的恢复-小文件 同理,彻底删除文件“recovery.txt”,其文件记录的状态字节已经由0100(文件在使用中)变为0000(文件被删除),而30H属性中的文件名、80H属性中的属性头、属性体等重要信息没有任何变化。
我们只要选中属性体,复制置入新文件即可。
任务 在NTFS分区中拷入一个图片,删除后用手工恢复的方法将其恢复;在NTFS分区中建立一个文本文档,文件内容为: 请登录实习管理系统,完善个人信息,网址:账号名:rzptxxgc初始密码:123456误删除后,将其手工恢复在根目录下拷入一个视频,删除后用手工恢复的方法将其恢复 文件先删除到回收站又清空后的恢复 如果文件被删除到回收站,系统会生成一条新的文件记录,原文件记录的文件名会被改变,但是80H属性不变。
下图中一个名为523.txt的文件,其文件记录位于6291528扇区,被删除到回收站后,系统在6291530扇区又生成一个文件记录,文件名为$IUGKS2Z.txt,80H属性的内容是J:\523.txt,注明了被删除的文件路径及文件名。
文件先删除到回收站,又清空的恢复 位于6291528扇区的文件记录其30H属性发生变化,文件名为$RUGKS2Z.txt 文件先删除到回收站又清空后的恢复 所以,对删除到回收站后又被清空的文件恢复,首先还是去搜文件名,找到系统新生成的文件记录,然后根据30属性确定文件的新名字$IUGKS2Z.txt,把I换成
R,再去搜索$RUGKS2Z.txt,这才是被删除文件的真正文件记录。
找到文件记录以后,通过80H属性恢复文件内容即可,方法步骤和前面按Shift+Delete彻底删除文件的恢复方法是一样的。
任务 在NTFS分区中拷入一个名为test.docx的word文档,删除到回收站后,清空回收站,然后恢复该文件;
误删除文件的恢复-大文件 putuo.jpg是一个图片文件,该文件在NTFS文件系统中由文件记录迚行管理,文件记录占用2个扇区。
1.通过0号扇区的DBR的30H-37H处的簇号定位到MFT2.点击查找文件,查找“putuo”设置为Unicode编码方式。
如图: 误删除文件的恢复-大文件
3.系统定位到putuo.jpg所在MFT中的文件记录处 误删除文件的恢复-大文件
4.文件名在30H属性中,文件的数据由80H属性管理 从80H属性可以看出,偏移08H的值为“01”说明该属性是非常驻属性;
偏移30H~37H的值为“A288470000000000”说明文件大小为4788A2H(十进制值为4688034)字节;偏移40H~47H的值为“2279042D14”说明该文件的RunList中只有一个数据流,所以文件是连续存储的,数据的开始簇号为142DH(十进制值为5165);用WinHex跳转到5165号簇,就是文件存储的起始位置。
误删除文件的恢复-大文件 将文件“putuo.jpg”按Shift+Delete删除,删除后查看其文件记录。
可以看出文件“putuo.jpg”的文件记录的状态字节16-17H已经由0100(文件在使用中)变为0000(文件被删除),而30H属性中的文件名、80H属性中的文件大小、RunList等重要信息没有任何变化。
跳转到文件的数据区,内容没有任何变化。
误删除文件的恢复-大文件 在文件第1个字节处,右击,选块开始;从这个字节开始,往后连续的4688034个字节就是这个文件的所有数据; 转到偏移地址4688033处,右击,选块结束;右击编辑—复制选块—置入新文件,命名并保存。
注意:不要存入误删除文件所在的分区 误删除文件的恢复-小文件 现在再以NTFS分区中的另一文件“recovery.txt”为例,讲解文件的各部分结构。
这是一个文本文件,打开后内容如图所示。
误删除文件的恢复-小文件 误删除文件的恢复-小文件 文件的数据是由80H属性管理的,文件“recovery.txt”的80H属性如图所示。
从80H属性中可以看出文件“recovery.txt”的属性体是常驻的,属性体开始于该属性的0x18偏移处,属性体的大小为0x10偏移处D6000000(十迚制值为214)字节。
因为80H属性为数据属性,所以其属性体就是这个文件的数据。
注意:文件“recovery.txt”的数据直接放在80H属性体中,而文件“putuo.jpg”的数据则放在一个RunList数据流当中。
误删除文件的恢复-小文件 同理,彻底删除文件“recovery.txt”,其文件记录的状态字节已经由0100(文件在使用中)变为0000(文件被删除),而30H属性中的文件名、80H属性中的属性头、属性体等重要信息没有任何变化。
我们只要选中属性体,复制置入新文件即可。
任务 在NTFS分区中拷入一个图片,删除后用手工恢复的方法将其恢复;在NTFS分区中建立一个文本文档,文件内容为: 请登录实习管理系统,完善个人信息,网址:账号名:rzptxxgc初始密码:123456误删除后,将其手工恢复在根目录下拷入一个视频,删除后用手工恢复的方法将其恢复 文件先删除到回收站又清空后的恢复 如果文件被删除到回收站,系统会生成一条新的文件记录,原文件记录的文件名会被改变,但是80H属性不变。
下图中一个名为523.txt的文件,其文件记录位于6291528扇区,被删除到回收站后,系统在6291530扇区又生成一个文件记录,文件名为$IUGKS2Z.txt,80H属性的内容是J:\523.txt,注明了被删除的文件路径及文件名。
文件先删除到回收站,又清空的恢复 位于6291528扇区的文件记录其30H属性发生变化,文件名为$RUGKS2Z.txt 文件先删除到回收站又清空后的恢复 所以,对删除到回收站后又被清空的文件恢复,首先还是去搜文件名,找到系统新生成的文件记录,然后根据30属性确定文件的新名字$IUGKS2Z.txt,把I换成
R,再去搜索$RUGKS2Z.txt,这才是被删除文件的真正文件记录。
找到文件记录以后,通过80H属性恢复文件内容即可,方法步骤和前面按Shift+Delete彻底删除文件的恢复方法是一样的。
任务 在NTFS分区中拷入一个名为test.docx的word文档,删除到回收站后,清空回收站,然后恢复该文件;
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。