手工WINHEX資料恢復NTFS卷中誤刪除的檔案

對於資料恢復來說，雖然檔案刪除後所有的資料執行都能夠在殘留的mft中找到，但是資料執行的個數越少即檔案碎片越少或者沒有碎片，檔案被覆蓋的可能性就越小，資料恢復的概率也就越高。以下是手工恢復ntfs卷中誤刪除檔案的過程。

1.需要恢復的檔案

ntfs卷中乙個檔案被刪除時，其mft並沒有被刪除，前面已經介紹過，這裡以恢復乙個ntfs卷中一刪除的檔案為例，假設在使用者的ntfs卷d盤中有乙個名為photo的目錄，該目錄下有乙個名為「penquan.jpg」的檔案，如圖5-1所示。假設使用者不小心將此檔案刪除。

圖 5-1 ntfs 卷中將被刪除的檔案

2. 找到要恢復檔案的 mft

首先通過 winhex 選擇檔案所在的邏輯磁碟將其開啟，如圖 5-2 所示。

圖 5-2 選擇磁碟分割槽

開啟磁碟的分割槽後找到該分割槽的 mft ，如圖 5-3 所示。

圖 5-3 轉到 mft 的起始位置

3. 恢復資料

找到分割槽的 $mft 後，通過檔名查詢檔案的 mft ，如圖 5-4 所示。

圖 5-4 查詢檔案的 mft

查詢到的結果如圖 5-5 所示。

圖 5-5 已刪除檔案的 mft

先來看看mft頭，偏移15.16h為0表示該檔案已經被刪除了，系統根據這個標誌來決定建立新檔案時是否能夠覆蓋這個mft而建立自己的mft。10h 屬性就不分析了，除非希望恢復的檔案所有的時間屬性和以前一樣，使用者對此要求一般沒有那麼高，所以跳過10h屬性不分析。30h屬性這裡也不分析。關鍵是要分析80h屬性，即資料屬性，在該屬性所有的描述中，對恢復資料最有用的資訊有兩個，乙個是偏移00c12dd160h開始的8個位元組的屬性是該檔案的實際大小506e，單位是位元組。還有乙個地方是偏移00c12dd170h開始的資料執行位置描述，這裡為十六進製制數41h 06h 83h 0bh 90h 00h。其中41h定義了其後面有1個位元組表示該檔案的資料執行所佔的簇的個數，4個位元組表示該資料執行的起始邏輯簇號，這裡定義了其執行占用了06個簇，其起始邏輯簇號為900b83h。知道了起始簇號和資料執行的真實大小，甚至知道執行所佔的簇的個數，要恢復檔案資料就很容易了。

在winhex中選擇「位置」|「轉換到扇區」命令，開啟對話方塊，在「簇」文字框中輸入9440131(900b83h轉換後的十進位制數)，然後單擊確定，即可找到資料的起始位置，其中ffh dbh是.jpg**的檔案頭標誌。在找到的資料起始位置右擊，選擇「選塊開始」命令。如圖5-6所示。

圖 5-6 檔案的起始位置

繼續在 winhex 中選擇「位置」|「轉換偏移量」命令，開啟「轉到偏移量」對話方塊輸入 20590 ( 506eh 轉換成十進位制數)如圖 5-7 所示。

圖 5-7 轉換偏移量

單擊確定後會跳到檔案的結尾位置，單擊右鍵選擇「選塊結尾」命令，如圖 5-8 所示，即可完全的選擇到使用者要恢復的檔案資料。

圖 5-8 找到檔案的結束位置

選中所有要恢復的資料內容後，在選中的任意塊上右擊，選擇「編輯」|「複製選塊」|「進入新檔案」命令如圖 5-9 所示。

圖 5-9 複製所有資料

然後將檔案命名並儲存到指定的路徑，如圖 5-10 所示。

圖 5-10 儲存檔案

儲存成功後，關閉 winhex ，按照剛才儲存的路徑開啟檔案，資料恢復成功，圖 5-11 是恢復後的檔案。

手工WINHEX資料恢復NTFS卷中誤刪除的檔案

手工WINHEX資料恢復NTFS卷中誤刪除的檔案

WinHex恢復分割槽

FAT下的winhex資料恢復

手工WINHEX資料恢復NTFS卷中誤刪除的檔案

手工WINHEX資料恢復NTFS卷中誤刪除的檔案

WinHex恢復分割槽

FAT下的winhex資料恢復

相關推薦