从被格式化的U盘中恢复文件.PDF

从被格式化的U 盘中恢复文件 是否遇到过这样的情况，当把一个文件从u 盘中删除或格式化u 盘后发现这个文件还是有 用的，对于删除操作可以用finaldata 这样的软件来恢复，如果你在删除后没有拷贝新文件或 对它进行磁盘碎片整理那么恢复的几率还是很大的。但fianaldata 这样的对于格式化的u 盘 就无能为力了，本文主要讲述如何从格式化的u 盘中恢复数据。 这里用到的工具是WinHex “得到 ZDNetSoftwareLibrary 五星级最高评价，拥有强大的系 统效用。”其中“磁盘编辑”是他的功能之一。 在此之前先要搞清楚FAT格式分区的数据结构，一个完整硬盘的数据应该包括五部 分：MBR （主引导扇区），DBR （操作系统引导扇区），FAT （文件分配表），DIR区（目 录区）和DATA区（数据区）。MBR和DBR不是这篇文章讨论的重点，我们知道在FAT格式 的文件系统中簇是存贮的最小单位，FAT( File Allocation Table)从名字看出来他是一个表， 是一个标识簇的使用状态的表，包括这个簇是否可以使用（是否损坏），如果可以使用他现 在使用的没有，如果已经使用了和他连接的下一个簇是什么（因为fat格式的文件系统是链 式的，就是说一个文件可以存放在不连续的簇上，那么读取的时候怎么读取呢，先读第一个 簇，第一个簇的结尾包含下一个簇的位置，通过它找到下一个簇，依次找到下去直到找到结 尾的簇，结尾的簇尾部有一个结束标志。由于fat表的重要性在文件系统里有两个fat表，fat1 和fat2 （是fat1 的备份）另外FAT12,FAT16,FAT32 的不同之处就是在于FAT12 是用12 位来 标识一个簇，16 就是用16 位，32 就是用32 位，用的位越多能标识的簇越多，一个分区的 极限容量也就越大。这里要注意的是FAT只是标识了簇，（对于ＦＡＴ16 来说00 00 代表本 簇空闲，FFF7 标识本簇破坏，FFF8~FFFF标识本簇是文件的结束簇）真正的簇是在data区上 的。DIR区中有些什么，它里面有文件名，目录名，文件创建的时间，它的属性（系统，存 档，只读）还有它起始的簇是什么。读取文件时就是先到DIR区 找看看有没有请求的文件， 如果有根据它标识的起始簇去读数据，读到起始簇后就可以沿着刚才所说的那条链把文件读 出来了。 删除文件时都做出了什么。 为了说明这个问题我们先往u 盘里考入一个文件用WinHex 打开u 盘 然后在点这里查看DIR 区 看看README.TXT 在dir 区的信息 然后我们删除README.TXT 看看DIR 区有什么变化， 我们发现在52 变成了E5,其实文件删除，系统就是简单的在dir 区中把文件名的第一个 字节改成E5 ，然后再FAT 区把所占有的簇标记为0000H 。就是说删除文件后，文件的入口 还在（就是从DIR 区可以看到文件的第一个簇的地址）Final Data 这样的软件就是根据这个 来查找被删除的数据，由于只能找到第一个簇的地址，在FAT 区中只有“链头”后面的“链 子”都不再了，软件认为文件的存储是连续的，从第一个簇向下连续的往下找，事实很多时 候系统存储文件就是连续的。（另外系统有这样一个特性，如果你存储了一个文件a，所占 的簇号为5，6，7 然后你把他删除了，又存储的文件b 需要4 个簇存储，那么b 所占的簇不 是5，6，7，8 而是8，9，10，11） 格式化后发生了什么？ 我们还是用WinHex 来分析，格式化u 盘后我们来看看ＦＡＴ区。 FAT 区都被清0 了，你也许注意到FAT 区开始部分的 F8FFFF0FFFFFFF0FFFFFFF0，开始簇都是这个标记。 再来看看DIR 区 也都被清零了。 看看DATA 区 数据还还在。 那么文件的入口都不在了我们怎么来找文件呢，对于纯文本文件，我们在ＤＡＴＡ区搜 索文件的内容，由于文件存储一般是连续的我们不难找到文件的头簇和尾簇，主要是观察左 边的asc 吗部分（图中标记黄色的部分） ，找到头簇我们在它的第一个字节出点右键出现点块开始 ，在尾簇的最后一个字节点块结尾，然后再点右键点编辑，点复制块－》进入新文件 RAR ，PDF,DOC 等文件并不是文本文件，我们可以从文件结构来确定文件的头簇和尾 簇，我发现大多是文件的头和尾都有