一个客户的硬盘FAT32分区，32扇区/簇。客户要恢复9月份删除的文件。winhex打开，在该目录下存放了大约20个名为的文件，这些同名文件在winhex中显示“文件被删除并转移位置”或显示红色“X号”，即找不到文件头。将这20多个文件逐一恢复并分析，发现内容非常相似，是客户在误删除凭后重新补录的，后又将其删除。

　　按照客户提供的一个标题一样内容完全不一样的文件（这个文件也存放到了该目录下），对全盘进行搜索关键字，有十几个扇区符合条件。逐一进行分析，在其中一个扇区有“投标单位”，“投标金额”等字样，接近“招投标”的相关主题。选择文件头和文件尾提取出来，打开，excel提示错误。定位root，发现root以及SAT偏移了一个扇区。

　　分析：1.这个FAT32是32扇区/簇，如果是出现碎片，碎片的大小应该也是32的倍数。

　　2.仅仅做了删除操作的文件文件头并不会做任何的破坏。

　　结论：当前找到的root并不属于这个文件，该文件的部分内容被破坏。

　　把SAT以及root的位置向前提一个扇区，与文件头对应。最后多余的扇区填充00，打开，提示错误。接下来找这四个表的表头。只找到其中一个。全盘搜索剩余三个表的其实特征，没有任何发现，可以确定，这三个表头也被破坏。手工重建root，保存打开，能看到数据，但是不完美，行和列的数据不对应，向后偏移了一个单元格，打电话与客户核对，客户表示能接受，制表人凭记忆可以调整表格将其对应。