資源描述:
《Winhex手工恢復(fù)U盤亂碼數(shù)據(jù)一例.doc》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)����。
1、Winhex手工恢復(fù)U盤亂碼數(shù)據(jù)一例核心提示:U盤連接電腦后無(wú)法打開�����,拔插一次后可以打開��,但目錄變成亂碼(如圖1)�。這是根目錄受損的典型故障。往往是由于病毒的破壞或者干擾造成讀寫錯(cuò)誤所致���,具體破壞的程度和方式比較復(fù)雜�����。本案例顯然是u盤感染了一種帶有自動(dòng)運(yùn)行功能的病毒���。亂碼的文件夾無(wú)法打開U盤連接電腦后無(wú)法打開����,拔插一次后可以打開����,但目錄變成亂碼(如圖1)。這是根目錄受損的典型故障����。往往是由于病毒的破壞或者干擾造成讀寫錯(cuò)誤所致�,具體破壞的程度和方式比較復(fù)雜。本案例顯然是u盤感染了一種帶有自動(dòng)運(yùn)行功能的病毒�����。亂碼的文件夾無(wú)法打開�。U盤里的一些重要數(shù)據(jù)丟失。由于重要數(shù)據(jù)裝在文件夾里面����,所以可
2、以用winhex手工重建根目錄文件夾的方法來(lái)找回丟失的重要數(shù)據(jù)(當(dāng)然沒有百分之百的把握)���。圖1為了避免u盤長(zhǎng)時(shí)間工作有可能導(dǎo)致硬件損壞的風(fēng)險(xiǎn)����,以及數(shù)據(jù)受到二次破壞的風(fēng)險(xiǎn),先用Winhex制作u盤的鏡像文件�����,然后對(duì)鏡像文件進(jìn)行數(shù)據(jù)恢復(fù)操作����。啟動(dòng)綠色版ha_WinHex14.1SR-6。點(diǎn)“工具-打開磁盤”����,在對(duì)話框中選擇“邏輯磁盤”中的u盤盤符,或者“物理磁盤”中的u盤名稱(本人選擇后者)��,打開u盤��。點(diǎn)“文件-創(chuàng)建磁盤鏡像”���,在打開的對(duì)話框中選擇鏡像文件保存的路徑��,點(diǎn)選“raw鏡像”(如圖2)�����,然后“確定”�,幾分鐘后鏡像文件創(chuàng)建完畢,關(guān)閉軟件或關(guān)閉軟件中打開的u盤��,就可以把u盤退出來(lái)并拔
3����、掉。圖2怎樣在winhex中使用鏡像文件恢復(fù)數(shù)據(jù)呢����?在winhex中點(diǎn)“文件-打開”��,找到保存在電腦中的影像文件打開即可���。接下來(lái)這步操作非常關(guān)鍵���,點(diǎn)“專業(yè)工具-設(shè)置鏡像文件為磁盤”,這時(shí)打開的鏡像文件就變成了與直接打開u盤的界面一摸一樣了��,操作起來(lái)與直接操作u盤沒有什么區(qū)別(如圖3�����,由于鏡像文件是“物理磁盤”,需要雙擊“分區(qū)1”才會(huì)進(jìn)入圖3界面�,如果鏡像文件是“邏輯磁盤”可以直接看到圖3的分區(qū)界面)。圖3點(diǎn)擊“offset”行右端的“訪問”功能下拉菜單(黑三角)�����,點(diǎn)選“根目錄”�����,主界面跳到根目錄的第一扇區(qū)(如圖4���,每個(gè)扇區(qū)有半透明橫線隔開)�。根目錄的目錄登記項(xiàng)就從這一扇區(qū)開始登記�。U盤
4、根目錄中的文件夾和文件的名稱之所以變成亂碼��,就是因?yàn)檫@里的目錄登記項(xiàng)被改寫為“FF”或者亂碼(如圖4���、圖5所示���,圖5為點(diǎn)擊滑動(dòng)條向下移動(dòng)看到的根目錄第二扇區(qū))。目錄登記項(xiàng)一般占兩行(如圖5陰影部分)����。長(zhǎng)文件名目錄登記項(xiàng)占4行����,前兩行里面有很多“FF”��,很容易辨別出來(lái)����,后兩行與兩行的目錄登記項(xiàng)樣式完全相同(如圖6陰影部分)。以“E5”開頭的目錄登記項(xiàng)�,說明該目錄已經(jīng)被刪除。以下是名為“HH”的文件夾的目錄登記項(xiàng):48?48??20?20?20?20?20?20?????20??20?20?10?00?5B?4E?865C?39?5C?39?0D?00?4F?86?????5C?39?18
5��、?4D?00?00??00?00該目錄登記項(xiàng)為兩行��,前11個(gè)字節(jié)表示文件名和擴(kuò)展名�,其中“48”是“H”的編碼�����,20表示空位���。第二行左起第5�、6、11�����、12個(gè)字節(jié)標(biāo)明子目錄文件夾所在位置的首簇號(hào)(文件是以簇為最小單位保存的�����,而不是以扇區(qū)為最小單位保存�,本u盤一簇由8扇區(qū)構(gòu)成)。第二行左起第5�、6、11�����、12個(gè)字節(jié)分別為“0D”�、“00”、“18”���、“4D”���,所以該子目錄所在位置的首簇號(hào)為“000D4D18”(16進(jìn)制,組合順序?yàn)榈?、5�、12、11)�。其他字節(jié)表示創(chuàng)建時(shí)間、更新時(shí)間�、訪問時(shí)間、屬性等��,本案例不需要關(guān)注這些內(nèi)容����。圖4圖5圖6根目錄文件夾和文件名稱亂碼,一般只是根目錄登記項(xiàng)
6�����、受破壞��,根目錄登記項(xiàng)指向的子目錄一般不會(huì)受破壞�。所以需要把這些沒有被破壞的子目錄找到。點(diǎn)擊“訪問”功能下拉菜單的“搜索目錄(向下)”(如圖7)��,就可以自動(dòng)找到一個(gè)子目錄����。子目錄所在扇區(qū)的前四行是兩個(gè)特殊的目錄登記項(xiàng)(如圖8),第一個(gè)目錄登記項(xiàng)名稱編碼為“2E”���,轉(zhuǎn)化為文本就是“.”�����,第二個(gè)目錄登記項(xiàng)名稱編碼為“2E2E”��,轉(zhuǎn)化為文本就是“..”����。這兩個(gè)文本符號(hào)是區(qū)分子目錄的最明顯標(biāo)志�����。第一個(gè)目錄登記項(xiàng)是該文件夾自身的目錄登記項(xiàng)�,首簇號(hào)就是該目錄所在位置的簇號(hào),第二個(gè)目錄登記項(xiàng)其實(shí)就是父目錄的目錄登記項(xiàng)副本�,首簇號(hào)指向父目錄所在位置的簇號(hào),如果父目錄的目錄登記項(xiàng)丟失的話�,可以直接用這個(gè)副
7、本做模板恢復(fù)����,只需要改一下文件夾名稱即可。如果第二個(gè)目錄登記項(xiàng)的首簇號(hào)全為“0”,說明該目錄的父目錄是根目錄�,如果不是“0”,說明該目錄的父目錄不是根目錄���。由于我們需要先恢復(fù)根目錄�,所以搜索時(shí)看到第二個(gè)目錄登記項(xiàng)的首簇號(hào)全為“0”的目錄���,就把第一個(gè)目錄登記項(xiàng)的首簇號(hào)數(shù)據(jù)抄下來(lái)�,也就是記住該目錄所在位置�。不斷點(diǎn)擊“搜索目錄(向下)”,直至顯示100%完成�。搜索過程需要一定時(shí)間。圖7圖8找到所有指向根目錄的子目錄的首簇號(hào)后����,我們就開始恢復(fù)根目錄登記
