用winhex,final date恢复彻底删除的文件

误彻底删除文件,如何恢复?

本文借用两种工具winhes,finaldate来恢复文件

首先,了解下我们的数据如何存储的

一.磁盘存储原理

 硬盘存储是指以硬盘为存储介质的存储方式,是一种采用磁介质的数据存储设备,数据存储在密封于洁净的硬盘驱动器内腔的若干个磁盘片上。

 

 

 

 

 

 这些盘片一般是在以铝为主要成分的片基表面涂上磁性介质所形成,在磁盘片的每一面上,以转动轴为轴心、以一定的磁密度为间隔的若干个同心圆就被划分成磁道(track),每个磁道又被划分为若干个扇区(sector),数据就按扇区存放在硬盘上。在每一面上都相应地有一个读写磁头(head),所以不同磁头的所有相同位置的磁道就构成了所谓的柱面(cylinder)。

 

硬盘的第一个扇区(0道0头1扇区)被保留为主引导扇区。在主引导区内主要有两项内容:主引导记录和硬盘分区表。主引导记录是一段程序代码,其作用主要是对硬盘上安装的操作系统进行引导;硬盘分区表则存储了硬盘的分区信息。计算机启动时将读取该扇区的数据,并对其合法性进行判断(扇区最后两个字节是否为0x55AA或0xAA55 ),如合法则跳转执行该扇区的第一条指令。所以硬盘的主引导区常常成为病毒攻击的对象,从而被篡改甚至被破坏。可引导标志:0x80为可引导分区类型标志;0表示未知;1为FAT12;4为FAT16;5为扩展分区等等。

 

二.数据备份与恢复

为什么文件被删了还能恢复,它是真的被删了吗?

可恢复是“假删”,因为可根据如下恢复,不可恢复是“真删”,像磁盘被磁铁亲密接吻,改变了方向,改变0,1,或者其它损害,找个WC哭吧

审计,所有动作都被记录,追溯日志,倒推理,可恢复

保护电脑,防止天天买新电脑,防止差评

电脑提供数据备份策略:

根据数据类型选择备份(不备份垃圾、废话)

  • 完全备份(隔一段时间对OS全部备份)
  • 增量备份(在上一次的基础上备份变更的)
  • 差别备份(在上一次完全备份的基础上,备份更新的)
  • 按需备份(我觉得该备份就备份)

 

恢复:

注:恢复时覆盖的,记得先备份

 

回复类型:

  • 全盘恢复
  • 个别文件恢复
  • 重定向恢复

三.认识工具

审计,备份,人为去推,对着一串二进制去算脑壳都大

还好,有工具

1.winhex

    是一款以通用的 16 进制编辑器为核心,专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具: 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等

2.Final data

 FinalData具有强大的数据恢复功能当文件被误删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读,以及磁盘格式化造成的全部文件信息丢失之后,FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息(包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等),用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部分覆盖以后,专业版FinalData也可以将剩余部分文件恢复出来。

 

三.恢复文件

先认识下winhex这个软件:

打开它

 

 

 在winhex打开硬盘:

 

选择C盘确认    进去看看

 

 

 扇区与扇区里的数据以16进制呈现

第一扇区末尾:000001F0处,末尾标志为55AA

 

  

步骤:

(1)建立一个新的磁盘(主要原因是新磁盘里的内容能清楚的知道,C盘也能恢复,但C盘文件多而复杂,还存有系统文件,实验当然在知根知底的盘中做,效果和影响才能深嘛)

(2)在新磁盘中创建一个文件

(3)假装不小心彻底删除它

(4)用winhex恢复它,恢复到它原来在的位置

(5)又假装删了,然后用finaldate恢复它,但由于该软件特别小心翼翼,怕原来位置有同名的文件,怕覆盖它,所以恢复到另外个路径

 

开工:

1)建立一个新的磁盘

 

 

 

 

 

 

 下一步到底!

继续

 

 

 

 

 建立成功

 

 

(2)在新磁盘中创建一个文件

 

 

(3)假装不小心彻底删除它

shift+delete彻底删除!!!回收站也没有的那种 

 

 

 

(4)用winhex恢复它,恢复到它原来在的位置

winhex打开硬盘:tools—>open disk

 

 

 

 

 

 

 看见删除的文件啦

 

恢复到原来的位置

 

 

 再次打开

 

 

 (5)又假装删了,然后用finaldate恢复它,但由于该软件特别小心翼翼,怕原来位置有同名的文件,怕覆盖它,所以恢复到另外个路径

   选择需要扫描的驱动器,然后点击“扫描”,一段时间后会出现以前删除过的文件,勾选目标文件的复选框,可以“预览”

 

 

 

 

 

 

 

 

 

 

 

 

 

四.作业

1)试着把E盘格式化后,分别用winhex和final data恢复被删除的文件,看能否恢复成功。

 

 格式化:

 

 

 

 

 

 

 

 

 用实验恢复文件的步骤并不能恢复文件

 

2)尝试通过Winhex手工还原目录项、然后修复簇链表。

 格式化D盘后,在D盘添加hhw文件,然后删除

 

 

 

 打开winhex

 

 

 

 

 

 

 

 

 

 

 偏移地址是6CF2,在$MFT下做如下操作

 

 

 

 

 

 选中深粉红,右击

 

 

 

 保存到另外一个盘

 

 验证:

 

 参考: (2条消息) 手把手教你用WinHex在NTFS分区中恢复被删除的文件(上)_飞空静渡-CSDN博客

 

 

posted @ 2021-09-22 16:52  学习日志羁旅  阅读(1229)  评论(0编辑  收藏  举报