如何使用WinHex恢复删除的文件(1)转

管理员
管理员
管理员
58
文章
1
评论
2020年9月15日02:38:25 评论 23

当硬盘里的某些重要文件被不小心删除后,怎么办呢,其实,要恢复已删文件可以借助一些工具来实现,本文介绍如何使用WinHex恢复删除的文件。

了解WinHex

WinHex是一个专门用来对付各种日常紧急情况的小工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。总体来说是一款非常不错的16 进制编辑器。

使用WinHex恢复删除的文件的操作过程

1、打开磁盘

如何使用WinHex恢复删除的文件(1)转

打开磁盘

2、直接恢复文件

如果文件是不久前删除的话,可以看到已经删除的文件,这时便可以直接恢复文件了。

如何使用WinHex恢复删除的文件(1)转

直接恢复文件

3、通过$MFT恢复文件

如果在文件列表里没有看到已删除的文件,那么可以从$MFT里恢复。

$MFT,主文件表(Master File Table),存在于是NTFS文件系统里。当文件在硬盘上删除后,文件记录并没有从$MFT里删除,因此可以从$MFT里恢复已删文件。

1)打开$MFT

右键点击“$MFT”,然后点击“打开”。

如何使用WinHex恢复删除的文件(1)转

打开$MFT

2)查找要恢复的文件

按组合键CTRL F弹出窗口,输入要恢复的文件名或关键词,选择“Unicode”。

如何使用WinHex恢复删除的文件(1)转

查找要恢复的文件

3)找到要恢复的文件记录

如何使用WinHex恢复删除的文件(1)转

要恢复的文件记录

找到要恢复的文件记录,接着是进行数据分析,这是恢复过程中最关键的一步。分析如下:

红色圈出的FILE0,是文件头的开始标识。偏移文件头16H的位置,即蓝色圈出的00,00表示该文件已经被删除。

红色圈出的80,是数据属性的标识。在偏移8H的位置,如果是01,即蓝色圈出的地方(本例是01,如果是00,则接下来的分析要看这里如何使用WinHex恢复删除的文件(2)),那么要看偏移30H的地方,即蓝色圈出的D9 F1 07,这个便是文件的大小,十六进制表示为“7F1D9”。再看偏移40H的地方,即蓝色圈出的42 80 00 BC 50 2B 01,42表示后面的数据中,前两个是族数,这里为80个族,后四个是族号的开始位置,十六进制表示为“12B50BC”。

这个分析主要是得到两个数据,族的起始位置和文件大小。

4)通过族的起始位置和文件大小来恢复文件

切换到磁盘窗口,选中$MFT,然后按组合键CTRL G,输入族的起始位置19615932(把十六进制12B50BC转换为十进制,百度一下转换工具吧,可以在此网页里转换http://jinzhi.supfree.net/)。

如何使用WinHex恢复删除的文件(1)转

输入族的起始位置

点击确定后,在鼠标出现的地方,点击右键,然后点击“选块起始”。

如何使用WinHex恢复删除的文件(1)转

选块起始

按组合键ALT G,弹出转到偏移量的窗口,这里选择相对于“当前位置”,然后输入7F1D9(第三步分析中得到的文件大小,十六进制)。

如何使用WinHex恢复删除的文件(1)转

转到偏移量

点击确定后,在鼠标出现的地方,点击右键,然后点击“选块结束”。

如何使用WinHex恢复删除的文件(1)转

选块结束

选块结束后,在鼠标出现的地方,点击右键,然后点击“编辑”。

如何使用WinHex恢复删除的文件(1)转

编辑

点击编辑后,然后点击“复制选块-至新文件”,在弹出窗口里,输入文件名,即可恢复文件。

如何使用WinHex恢复删除的文件(1)转

复制选块至新文件

weinxin
wireshark中文社区
微信公众号扫一扫
管理员
  • 本文由 发表于 2020年9月15日02:38:25
如何使用WinHex恢复删除的文件(2)转 I T

如何使用WinHex恢复删除的文件(2)转

本文是如何使用WinHex恢复删除的文件(1)的续文,是使用WinHex恢复删除文件的第二种情况。开始的操作步骤跟(1)是一样的,这里仅作另一种情况的分析,即是要恢复的文件非常小的时候。 要恢复的文件...
xbox手柄MAC驱动 I T

xbox手柄MAC驱动

近期购入传说中的手柄,没用手柄玩游戏的习惯 https://github.com/360Controller/360Controller/releases/tag/v1.0.0-alpha.6 360...
如何使用WinHex恢复删除的文件(2)转 I T

如何使用WinHex恢复删除的文件(2)转

本文是如何使用WinHex恢复删除的文件(1)的续文,是使用WinHex恢复删除文件的第二种情况。开始的操作步骤跟(1)是一样的,这里仅作另一种情况的分析,即是要恢复的文件非常小的时候。 要恢复的文件...
二进制十进制十六进制 I T

二进制十进制十六进制

  二进制:B  代表数字:0、1(逢二进一) 十进制:D  代表数字:0、1、2、3、4、5、6、7、8、9(逢十进一) 十六进制:H 代表数字:0、1、2、3、4、5、6、7、8、9、A...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: