winhex恢复数据方法:
1、打开WINHEX,首先我们按F9选择HD1物理磁盘;
2、我们将右侧的滚动条拉到最底部,从这个扇区的0x28处记录的,可以知道文件系统大小3906321838;
3、从左下角可以看出当前扇区是3907029166,根据当前扇区号和文件系统总扇区数 可以算出文件系统的起始扇区号 3907029166-3906321838=707328
4、接着跳转到707328扇区,发现是个正常的DBR说明我们刚刚计算正确,跳转到0号扇区,将找到的分区起始扇区号和文件系统的总扇区数写到分区表就可以了。按CTRL+S保存修改。
恢复删除的文件的方法:
1、打开磁盘
2、直接恢复文件
如果文件是不久前删除的话,可以看到已经删除的文件,这时便可以直接恢复文件了。
3、通过$MFT恢复文件
如果在文件列表里没有看到已删除的文件,那么可以从$MFT里恢复。
$MFT,主文件表(Master File Table),存在于是NTFS文件系统里。当文件在硬盘上删除后,文件记录并没有从$MFT里删除,因此可以从$MFT里恢复已删文件。
1、打开$MFT
右键点击“$MFT”,然后点击“打开”。
2、查找要恢复的文件
按组合键CTRL+F弹出窗口,输入要恢复的文件名或关键词,选择“Unicode”,如上图所示:
3、找到要恢复的文件记录
找到要恢复的文件记录,接着是进行数据分析,这是恢复过程中最关键的一步。,如上图所示:
红色圈出的FILE0,是文件头的开始标识。偏移文件头16H的位置,即蓝色圈出的00,00表示该文件已经被删除。
红色圈出的80,是数据属性的标识。在偏移8H的位置,如果是01,即蓝色圈出的地方(本例是01,如果是00,则接下来的分析要看这里如何使用WinHex恢复删除的文件(2)),那么要看偏移30H的地方,即蓝色圈出的D9 F1 07,这个便是文件的大小,十六进制表示为“7F1D9”。再看偏移40H的地方,即蓝色圈出的42 80 00 BC 50 2B 01,42表示后面的数据中,前两个是族数,这里为80个族,后四个是族号的开始位置,十六进制表示为“12B50BC”。
这个分析主要是得到两个数据,族的起始位置和文件大小。
4、通过族的起始位置和文件大小来恢复文件
切换到磁盘窗口,选中$MFT,然后按组合键CTRL+G,输入族的起始位置19615932(把十六进制12B50BC转换为十进制)。
点击确定后,在鼠标出现的地方,点击右键,然后点击“选块起始”。
按组合键ALT+G,弹出转到偏移量的窗口,这里选择相对于“当前位置”,然后输入7F1D9(第三步分析中得到的文件大小,十六进制)。
点击确定后,在鼠标出现的地方,点击右键,然后点击“选块结束”。
选块结束后,在鼠标出现的地方,点击右键,然后点击“编辑”。
点击编辑后,然后点击“复制选块-至新文件”,在弹出窗口里,输入文件名,即可恢复文件。
以上便是winwin7小编给大家分享的关于使用winhex恢复数据使用的详细操作方法!
分享到: