Winhex手工恢复U盘乱码数据一例.doc

Winhex手工恢复U盘乱码数据一例.doc

ID:56281825

大小:2.51 MB

页数:15页

时间:2020-06-05

Winhex手工恢复U盘乱码数据一例.doc_第1页
Winhex手工恢复U盘乱码数据一例.doc_第2页
Winhex手工恢复U盘乱码数据一例.doc_第3页
Winhex手工恢复U盘乱码数据一例.doc_第4页
Winhex手工恢复U盘乱码数据一例.doc_第5页
资源描述:

《Winhex手工恢复U盘乱码数据一例.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Winhex手工恢复U盘乱码数据一例核心提示:U盘连接电脑后无法打开,拔插一次后可以打开,但目录变成乱码(如图1)。这是根目录受损的典型故障。往往是由于病毒的破坏或者干扰造成读写错误所致,具体破坏的程度和方式比较复杂。本案例显然是u盘感染了一种带有自动运行功能的病毒。乱码的文件夹无法打开U盘连接电脑后无法打开,拔插一次后可以打开,但目录变成乱码(如图1)。这是根目录受损的典型故障。往往是由于病毒的破坏或者干扰造成读写错误所致,具体破坏的程度和方式比较复杂。本案例显然是u盘感染了一种带有自动运行功能的病毒。乱码的文件夹无法打开。U盘里的一些重要数据丢失。由于重要数据装在文件夹里面,所以可

2、以用winhex手工重建根目录文件夹的方法来找回丢失的重要数据(当然没有百分之百的把握)。图1为了避免u盘长时间工作有可能导致硬件损坏的风险,以及数据受到二次破坏的风险,先用Winhex制作u盘的镜像文件,然后对镜像文件进行数据恢复操作。启动绿色版ha_WinHex14.1SR-6。点“工具-打开磁盘”,在对话框中选择“逻辑磁盘”中的u盘盘符,或者“物理磁盘”中的u盘名称(本人选择后者),打开u盘。点“文件-创建磁盘镜像”,在打开的对话框中选择镜像文件保存的路径,点选“raw镜像”(如图2),然后“确定”,几分钟后镜像文件创建完毕,关闭软件或关闭软件中打开的u盘,就可以把u盘退出来并拔

3、掉。图2怎样在winhex中使用镜像文件恢复数据呢?在winhex中点“文件-打开”,找到保存在电脑中的影像文件打开即可。接下来这步操作非常关键,点“专业工具-设置镜像文件为磁盘”,这时打开的镜像文件就变成了与直接打开u盘的界面一摸一样了,操作起来与直接操作u盘没有什么区别(如图3,由于镜像文件是“物理磁盘”,需要双击“分区1”才会进入图3界面,如果镜像文件是“逻辑磁盘”可以直接看到图3的分区界面)。图3点击“offset”行右端的“访问”功能下拉菜单(黑三角),点选“根目录”,主界面跳到根目录的第一扇区(如图4,每个扇区有半透明横线隔开)。根目录的目录登记项就从这一扇区开始登记。U盘

4、根目录中的文件夹和文件的名称之所以变成乱码,就是因为这里的目录登记项被改写为“FF”或者乱码(如图4、图5所示,图5为点击滑动条向下移动看到的根目录第二扇区)。目录登记项一般占两行(如图5阴影部分)。长文件名目录登记项占4行,前两行里面有很多“FF”,很容易辨别出来,后两行与两行的目录登记项样式完全相同(如图6阴影部分)。以“E5”开头的目录登记项,说明该目录已经被删除。以下是名为“HH”的文件夹的目录登记项:48?48??20?20?20?20?20?20?????20??20?20?10?00?5B?4E?865C?39?5C?39?0D?00?4F?86?????5C?39?18

5、?4D?00?00??00?00该目录登记项为两行,前11个字节表示文件名和扩展名,其中“48”是“H”的编码,20表示空位。第二行左起第5、6、11、12个字节标明子目录文件夹所在位置的首簇号(文件是以簇为最小单位保存的,而不是以扇区为最小单位保存,本u盘一簇由8扇区构成)。第二行左起第5、6、11、12个字节分别为“0D”、“00”、“18”、“4D”,所以该子目录所在位置的首簇号为“000D4D18”(16进制,组合顺序为第6、5、12、11)。其他字节表示创建时间、更新时间、访问时间、属性等,本案例不需要关注这些内容。图4图5图6根目录文件夹和文件名称乱码,一般只是根目录登记项

6、受破坏,根目录登记项指向的子目录一般不会受破坏。所以需要把这些没有被破坏的子目录找到。点击“访问”功能下拉菜单的“搜索目录(向下)”(如图7),就可以自动找到一个子目录。子目录所在扇区的前四行是两个特殊的目录登记项(如图8),第一个目录登记项名称编码为“2E”,转化为文本就是“.”,第二个目录登记项名称编码为“2E2E”,转化为文本就是“..”。这两个文本符号是区分子目录的最明显标志。第一个目录登记项是该文件夹自身的目录登记项,首簇号就是该目录所在位置的簇号,第二个目录登记项其实就是父目录的目录登记项副本,首簇号指向父目录所在位置的簇号,如果父目录的目录登记项丢失的话,可以直接用这个副

7、本做模板恢复,只需要改一下文件夹名称即可。如果第二个目录登记项的首簇号全为“0”,说明该目录的父目录是根目录,如果不是“0”,说明该目录的父目录不是根目录。由于我们需要先恢复根目录,所以搜索时看到第二个目录登记项的首簇号全为“0”的目录,就把第一个目录登记项的首簇号数据抄下来,也就是记住该目录所在位置。不断点击“搜索目录(向下)”,直至显示100%完成。搜索过程需要一定时间。图7图8找到所有指向根目录的子目录的首簇号后,我们就开始恢复根目录登记

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。