手工WINHEX数据恢复NTFS卷中误删除的文件

最新推荐文章于 2022-03-22 23:42:27 发布
最新推荐文章于 2022-03-22 23:42:27 发布
阅读量1k 收藏 12
点赞数 1

  对于数据恢复来说,虽然文件删除后所有的数据运行都能够在残留的MFT中找到,但是数据运行的个数越少即文件碎片越少或者没有碎片,文件被覆盖的可能性就越小,数据恢复的概率也就越高。以下是手工恢复NTFS卷中误删除文件的过程。

  1.需要恢复的文件

  NTFS卷中一个文件被删除时,其MFT并没有被删除,前面已经介绍过,这里以恢复一个NTFS卷中一删除的文件为例,假设在用户的NTFS卷D盘中有一个名为photo的目录,该目录下有一个名为“penquan.jpg”的文件,如图5-1所示。假设用户不小心将此文件删除。

  

  图 5-1 NTFS 卷中将被删除的文件

  2. 找到要恢复文件的 MFT

  首先通过 WinHex 选择文件所在的逻辑磁盘将其打开,如图 5-2 所示。

  

  图 5-2 选择磁盘分区

  打开磁盘的分区后找到该分区的 MFT ,如图 5-3 所示。

  

  图 5-3 转到 MFT 的起始位置

  3. 恢复数据

  找到分区的 $MFT 后,通过文件名查找文件的 MFT ,如图 5-4 所示。

  

  图 5-4 查找文件的 MFT

  查找到的结果如图 5-5 所示。

  

  图 5-5 已删除文件的 MFT

  先来看看MFT头,偏移15.16H为0表示该文件已经被删除了,系统根据这个标志来决定建立新文件时是否能够覆盖这个MFT而创建自己的MFT。10H 属性就不分析了,除非希望恢复的文件所有的时间属性和以前一样,用户对此要求一般没有那么高,所以跳过10H属性不分析。30H属性这里也不分析。关键是要分析80H属性,即数据属性,在该属性所有的描述中,对恢复数据最有用的信息有两个,一个是偏移00C12DD160H开始的8个字节的属性是该文件的实际大小506E,单位是字节。还有一个地方是偏移00C12DD170H开始的数据运行位置描述,这里为十六进制数41H 06H 83H 0BH 90H 00H。其中41H定义了其后面有1个字节表示该文件的数据运行所占的簇的个数,4个字节表示该数据运行的起始逻辑簇号,这里定义了其运行占用了06个簇,其起始逻辑簇号为900B83H。知道了起始簇号和数据运行的真实大小,甚至知道运行所占的簇的个数,要恢复文件数据就很容易了。

  在WinHex中选择“位置”|“转换到扇区”命令,打开对话框,在“簇”文本框中输入9440131(900B83H转换后的十进制数),然后单击确定,即可找到数据的起始位置,其中FFH DBH是.jpg照片的文件头标志。在找到的数据起始位置右击,选择“选块开始”命令。如图5-6所示。

  

  图 5-6 文件的起始位置

继续在 WinHex 中选择 “ 位置 ”|“ 转换偏移量 ” 命令,打开 “ 转到偏移量 ” 对话框输入 20590 ( 506EH 转换成十进制数)如图 5-7 所示。

  

  图 5-7 转换偏移量

  单击确定后会跳到文件的结尾位置,单击右键选择 “ 选块结尾 ” 命令,如图 5-8 所示,即可完全的选择到用户要恢复的文件数据。

  

  图 5-8 找到文件的结束位置

  选中所有要恢复的数据内容后,在选中的任意块上右击,选择 “ 编辑 ”|“ 复制选块 ”|“ 进入新文件 ” 命令如图 5-9 所示。

  

  图 5-9 复制所有数据

  然后将文件命名并保存到指定的路径,如图 5-10 所示。

  

  图 5-10 保存文件

  保存成功后,关闭 WinHex ,按照刚才保存的路径打开文件,数据恢复成功,图 5-11 是恢复后的文件。

  

windows NTFS文件系统手动数据恢复
bqnagus
09-26 2693
windows NTFS文件系统数据恢复
winhex数据恢复linux,winhex数据恢复完整图文教程
weixin_42512836的博客
05-12 2396
winhex数据恢复完整图文教程》由会员分享,可在线阅读,更多相关《winhex数据恢复完整图文教程(44页珍藏版)》请在人人文库网上搜索。1、winhex数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些...
winhex用于手工恢复删除的文件
03-02
Winhex 是一个很不错的 16 进制文件编辑与磁盘编辑软件。 WinHex文件小、速度快,功能不输其它的 Hex 十六进位编辑器工具得到了 ZDNet Software Library 五颗星最高评价,可做 Hex 与 ASCII 码编辑修改,多文件寻替换功能,一般运算及逻辑运算,磁盘磁区编辑(支持 FAT16、FAT32 和 NTFS)自动搜寻编辑,文件比对和分析等功能。
手把手教你用WinHexNTFS分区中恢复被删除的文件(上)
热门推荐
飞空静渡
05-22 4万+
       原创文章,转载请注明出处,谢谢!               作者:清林,博客名:飞空静渡 在这篇教程中,我想以一个最简单的例子来说明如何使用winhex恢复NTFS分区中被删除的文件的,为了使这上篇的文章的知识尽量的简单,我这里所恢复的条件有这么几个: 1、我格式化了一个分区,所以这个分区中是没有任何文件的。2、我使用的文件大小小于1K,所以这个文件NTFS
手把手教你用WinHexNTFS分区中恢复被删除的文件(上).docx
01-31
手把手教你用WinHexNTFS分区中恢复被删除的文件(上).docx
利用winhex恢复误删文件
weixin_34248118的博客
09-27 1839
无意中发现一款软件winhex,没想到竟然还有恢复误删文件的功能。下面让我演示如何操作吧!首先,下载这款软件的压缩包,解压就好了,目录下有个winhex.exe,直接点击就可以运行了,如果你想删除winhex软件,容易,把整个解压的目录删除掉就OK了!运行界面首先,我在D盘建了个文件夹叫“测试”,再建立一个文本文档叫123.txt(反正就演示,取名简单点)再瞎写些内容,保存后...
NTFS下手动恢复被删文件
勿以善小而不为,勿以恶小而为之
10-03 481
NFTS下手动恢复被删文件 预备知识: 小文件数据位于MFT项中,常驻;大文件数据位于簇流中,非常驻 过程: 1:小文件 参见大文件处理思路前半部分,小文件数据在80属性中。 2:大文件(约700字节以上) 被删文件名为:文件100227-all.wmv 恢复步骤:(1)在MFT中定位到该文件            “文件”的UNICODE码是8765F64E。      ...
【删除文件找回攻略】:WinHex数据恢复秘籍,再也不怕数据丢失
![winhex数据手工恢复教程](https://www.iforensics.com.tw/pic/Encase.PNG) ...文章第四章深入分析了WinHex在不同类型文件和操作系统崩溃后数据恢复的应用案例。最后,探讨了数据安全的重要性和WinHex辅助工具
WinHex数据恢复与计算机取证的强大16进制编辑器
数据恢复方面,WinHex的表现尤为出色,无论是因为误删除还是硬盘损坏等原因导致的数据丢失,WinHex都能提供有效的数据恢复方案。它拥有文件检查和修复功能,支持对文本、图像、音频等多种格式的文件进行检查和修复...
Winhex数据恢复教程:解析硬盘结构与恢复方法
"winhex数据手工恢复教程" 在数据恢复领域,Winhex是一款强大的十六进制编辑器,尤其适用于软恢复,即处理非物理损坏的数据丢失情况。本教程将重点讲解如何利用Winhex进行数据恢复,同时也简述了数据恢复的基本概念...
winhex数据手工恢复教程
07-10
非常详细的PDF文档,图文并茂 主要讲解分区表的手动重建
winhex 十六进制编辑器 手工数据恢复
07-21
一款很好的16进制编辑器,可以做手工恢复和密码破解
winhex数据恢复教程从入门到精通.pdf
02-21
winhex数据恢复教程从入门到精通.pdf
JPG修复软件
06-09
JPEG Enhancer 是一款简单易用而又非常强大的JPEG图片修复工具。它可以恢复因为经过低品质JPEG压缩器压缩过而损坏的图片;该软件使用独特的技术,易于使用;和其他类似软件不同,该软件不会因简单的模糊化损坏图片,而是修复图片,使图片效果完好如初。 功能特性: ·加载/保存 JPEG/BMP ·移除 JPEG 人造痕迹(≈ Remove JPEG Artifacts in [PS]) ·恢复因非 100% 品质压缩而导致损坏的 JPEG 图像 ·降低中值噪点(≈ Median Noise Removal in [ACDSee]) ·平滑调整图像大小 界面特性: ·多文档界面 ·皮肤
文件完整性保障】:WinHex在数据检查与修复中的权威指南
[winhex数据手工恢复教程](http://rrkf.com/img/rr_product/c2ddf42b-fbfb-4a1b-9fe2-4e7e7fabe950/concat1.jpg) # 摘要 文件完整性是指文件数据的未被非法篡改或破坏的状态,是确保数据安全和可靠性的重要因素。...
WinHex手工恢复数据
邹邹s的博客
07-04 2795
win7下的创建虚拟磁盘磁盘管理—更多操作—那建VHDWinhex基本操作 打开磁盘 界面介绍 显示磁盘处依次为:偏移-16进制-ascii码——磁盘信息 查找十六进制数值 图标为带望远镜的0xFF 更新快照 对在十六进制里的操作进行更新 转到扇区 改变当前编辑扇区
Winhex手动恢复删除数据
weixin_44504022的博客
12-23 4124
1、在磁盘中创建一个test文件夹,在另一个磁盘创建testback文件夹,文件夹下均放置一个数字命名的.jpg,的图片,然后使用shift+delete删除test下的该图片。 2、使用winhex打开创建test文件夹的磁盘,找到MFT中该jpg的FILE0结构中的80属性、文件大小及文件簇起始地址。 036D9D为文件16进制 31表示后面的数据中,前两个是族数,这里为37个族,后四个是族号的开始位置,十六进制表示为“0003F993”换算成10进制为260499 3、使.
winHex数据恢复(第一篇)
anquanfun的博客
03-22 1万+
利用WinHex恢复删除数据和被破坏分区
WINHEX之从数据恢复到删盘跑路
Ms08067安全实验室
06-24 1135
这是酒仙桥六号部队的第 11篇文章。全文共计2216个字,预计阅读时长8分钟。背景话说平时部门里面的老哥们一个个都不声不响的,开了公众号后才发现一个个都是人才,说话还好听,呜呼~~...
Winhex数据恢复NTFS文件系统详解
最新发布
05-08
<think>好的,我现在需要帮助用户了解WinHexNTFS文件系统中的数据恢复方法和原理。用户希望得到详细的教程,所以我的回答需要结构清晰,分步骤解释。首先,我应该回顾用户提供的引用内容,看看里面有哪些关键点可以利用。 引用1提到NTFS中删除文件后,MFT残留的数据运行信息很重要,特别是数据碎片少的话恢复概率高。引用2和3详细说明了NTFS的元文件结构,尤其是$MFT的作用,每个文件记录的位置和属性。引用4则指出在恢复时应该直接搜索MFT而不是整个分区,以节省时间。 接下来,我需要组织这些信息,分步骤说明WinHex的操作流程。可能需要从原理入手,先解释MFT和文件删除后的状态,再过渡到具体步骤,比如定位MFT、分析文件记录、查找数据运行等。同时,要结合引用中的技术细节,比如MFT的结构、属性类型(如80属性对应文件数据),以及如何判断文件是否被覆盖(比如MFT项开头是否为“FILE”或“BAAD”)。 还要注意用户提到的格式要求,行内公式用$...$,独立公式用$$...$$,但根据引用内容,可能数学公式不多,但如果有涉及计算的部分需要正确应用。例如,计算簇偏移可能需要公式,比如簇号乘以每簇扇区数再乘以扇区大小。例如:$$簇偏移 = 簇号 \times 每簇扇区数 \times 512$$。 另外,用户要求生成相关问题,我需要考虑与WinHex数据恢复相关的常见问题,比如如何判断文件是否可恢复、处理碎片的方法、优缺点分析等。同时,确保回答中引用正确,比如在提到MFT结构时引用[^2][^3],在提到搜索MFT时引用[^4]。 需要检查是否覆盖了所有关键步骤:定位MFT、分析文件记录、定位数据运行、导出数据。每个步骤中结合引用中的信息,比如MFT前16个元文件、属性类型80的数据内容、修正值的作用等。同时,注意事项部分要提醒用户及时操作、碎片影响等,引用相关部分支持这些观点。 最后,确保语言简洁,步骤明确,符合用户的结构要求,分点说明原理、步骤和注意事项,并在末尾生成相关问题。可能还需要注意术语的准确性,比如“MFT项”与“文件记录”是否同义,根据引用3,MFT项即文件记录,占用1024字节,两个扇区,需要统一使用正确术语。</think>[系统级响应] ### WinHexNTFS文件系统中的数据恢复原理与方法 #### 一、核心原理 1. **MFT的核心作用** NTFS通过主文件表$MFT管理所有文件,每个文件对应一个或多个MFT项(文件记录)[^2][^3]。删除文件时,系统仅将MFT项标记为未使用,但文件属性(如数据运行列表、文件名)仍可能保留[^1]。 2. **数据恢复依赖的关键要素** - **$DATA属性(类型0x80)**:记录文件内容的簇位置和大小[^3] - **文件名属性(类型0x30)**:存储原始文件名 - **修正值验证**:若MFT项开头为`BAAD`则说明数据已损坏[^3] 3. **数学关系** 数据恢复需通过簇号计算物理偏移: $$簇偏移 = 簇号 \times 每簇扇区数 \times 512$$ #### 二、详细操作步骤 1. **定位MFT区域** - 从DBR读取$MFT起始簇号(偏移0x30-0x37)[^2] - 使用WinHex跳转:`位置管理器 > 转到扇区`输入计算值 2. **分析文件记录** ```text FILE头标识 → 属性列表 → 80属性 → 数据运行列表 ``` - 搜索特征值:`46 49 4C 45`(ASCII "FILE")[^3] - 检查数据运行格式:`11 03 1A 00`表示起始簇0x1A00,长度3簇 3. **定位文件数据** - 通过数据运行中的簇号链计算物理位置 - 多碎片文件需合并所有数据运行片段[^1] 4. **数据导出验证** - 右键选中数据区域 → `编辑 > 复制区块 > 至新文件` - 校验文件头特征(如JPEG的`FF D8 FF E0`) #### 三、关键注意事项 1. **及时性原则** 文件删除后应立即停止写入操作,避免覆盖簇链[^1] 2. **碎片影响评估** 碎片化文件需完整提取所有数据运行片段,成功率与碎片数量成反比[^4] 3. **MFT镜像利用** 当主$MFT损坏时,可尝试从$MFTMirr(镜像文件恢复[^3] #### 四、WinHex高级功能应用 1. **模板解析器** 使用`模板管理器 > NTFS > MFT Entry`自动解析属性结构 2. **特征搜索加速** 限定搜索范围:`搜索 > 区块 > 仅MFT区域`[^4] 3. **文件签名恢复** 对未链接数据执行:`工具 > 磁盘工具 > 通过文件类型恢复`
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值