20211025删除文件恢复实验

 

首先进入磁盘管理界面

 

 建立VHD

 

 设置引导为MBR，文件系统为FAT32

进入E盘，创建一个文本文档，命名为Reset(这个文档内容有点伽椰子那味了。。。)

 

 再建立一个名为Remake的文件。填充以Remake

 

 重新打开Reset,以Retake填充

 

 删除Reset文件

 

 WinHex打开物理磁盘E

 

查看分区表模板

 

 

 通过模板可得，保留扇区为4122

 

 FAT表占扇区为2035

 

 有两个FAT扇区，因此文件区的开始扇区为4122+2035+2035=8192扇区

跳转至8192扇区，至数据区

寻找被删除的Reset文件（首二为E5）根据0x14-0x15与0x1A-0x1B的起始簇高低位关系，认定为00-00-00-08为Reset.txt的起始簇

 

同时，找到remake文件的起始簇，为00-00-00-09

 

 

 跳转至08簇

 

可以看到，在09簇时，写入了Remake.txt文件，此时，后续填充的Retake还没有写完。

  

反查FAT表，可以看到，续簇号为0A-00-00-00因此，为10号簇

 

 找到该文件续簇，到处为1、2两个文件

 

 利用copy指令合并两个文件

 

 

 

 完全恢复