一个客户的硬盘FAT32分区,32扇区/簇。客户要恢复9月份删除的文件。winhex打开,在该目录下存放了大约20个名为的文件,这些同名文件在winhex中显示“文件被删除并转移位置”或显示红色“X号”,即找不到文件头。将这20多个文件逐一恢复并分析,发现内容非常相似,是客户在误删除凭后重新补录的,后又将其删除。
按照客户提供的一个标题一样内容完全不一样的文件(这个文件也存放到了该目录下),对全盘进行搜索关键字,有十几个扇区符合条件。逐一进行分析,在其中一个扇区有“投标单位”,“投标金额”等字样,接近“招投标”的相关主题。选择文件头和文件尾提取出来,打开,excel提示错误。定位root,发现root以及SAT偏移了一个扇区。
分析:1.这个FAT32是32扇区/簇,如果是出现碎片,碎片的大小应该也是32的倍数。
2.仅仅做了删除操作的文件文件头并不会做任何的破坏。
结论:当前找到的root并不属于这个文件,该文件的部分内容被破坏。
把SAT以及root的位置向前提一个扇区,与文件头对应。最后多余的扇区填充00,打开,提示错误。接下来找这四个表的表头。只找到其中一个。全盘搜索剩余三个表的其实特征,没有任何发现,可以确定,这三个表头也被破坏。手工重建root,保存打开,能看到数据,但是不完美,行和列的数据不对应,向后偏移了一个单元格,打电话与客户核对,客户表示能接受,制表人凭记忆可以调整表格将其对应。
文件被同名覆盖后的恢复 www.jdcok.com/anli/5/590.html