1、用Winhex查看硬盘信息
1)为虚拟机添加一块硬盘
右击“我的电脑”->“管理”
其余默认,勾选" 磁盘 1"
下一步,直到完成
在新添加的动态磁盘上创建卷
所有选项均默认,直至完成向导,等待格式化完毕后在“我的电脑”会显示新的磁盘
2)安装winhex
打开桌面tools\WinHex文件夹,双击运行WinHex程序,出现如下窗口:
3)使用winhex打开硬盘,分析硬盘信息
点击tools—>open disk
打开物理磁盘C盘,可以查看与编辑硬盘信息
找到第一扇区末尾:000001F0处,查看末尾标志是否为55AA
4)根据看到的信息,查找资料,分析硬盘的分区信息。
| 字节位置 | 内容含义 |
|---|---|
| 第1字节 | 引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。 |
| 第2、3、4字节 | 本分区的起始磁头号、扇区号、柱面号 |
| 第5字节 | 分区类型符: 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 OFH——(LBA模式〉扩展分区 83H——Linux分区 |
| 第6、7、8字节 | 本分区的结束磁头号、扇区号、柱面号 |
| 第9、10、11、12字节 | 本分区之前已用了的扇区数 |
| 第13、14、15、16字节 | 本分区的总扇区数 |
2、用Winhex找回被删除文件
1、建立反删除目标文件
关闭winhex,打开D盘(新建立的分区),建立一个文本文件,命名为:aaa.txt,并添加内容。
保存之后,删除文件。
2、找回文件
打开winhex,点击tools—>open disk,打开D盘
点击Specialist—>refine volume snapshot 获取卷快照,也可以按快捷键F10
勾选“获取新快照”与“彻底搜索文件系统数据结构”,然后点击“确定”
可以看到winhex自动查找硬盘文件系统,查找后找到被删除文件,被删除文件与存在的文件颜色不同
右键该文件,点击恢复/复制
选择一个路径保存文件,打开恢复的文件,查看内容是否成功恢复,这里存的是c盘根目录
3、用Final data恢复被删除的文件
1、打开桌面上tools\finaldata文件夹,找到应用程序“FdWizard”
打开该程序,显示主界面如下图,选择“恢复删除/丢失文件”
选择恢复已删除文件
可以看到文件的内容与被删前无误,也可以点击恢复选择一个路径保存文件再查看。
分析与思考
1)试着把D盘格式化后,分别用winhex和final data恢复被删除的文件,看能否恢复成功
在D盘中新建文件aaa.txt
删除aaa.txt
之后选择磁盘管理,格式化D盘
打开Winhex,恢复文件
找不到aaa.txt文件
那么我们再打开Final data来试着恢复文件
在Final data中也找不到aaa.txt文件
所以,如果我们将文件删除并且格式化磁盘之后,利用这两款软件是找不回文件的
2)尝试通过Winhex手工还原目录项、然后修复簇链表
在D盘中新建目录aaa ,目录中在建目录bbb ,在bbb目录下新建文件ccc.txt
删除aaa目录
打开winhex,按照之前的步骤试着还原目录
选择恢复目录
目录已恢复,就是不知道为什么aaa的名字变了
浙公网安备 33010602011771号