WinHex数据恢复笔记-数据恢复与硬件维护-第2章节-FAT32--5-10课时数据恢复

admin管理员组

文章数量:1130349

目录

加油哈!

第6课时.利用FAT表找出目录的下个簇

实践

干货

第7课时.第长文件名目录项

实践

课堂实践

课后实践

第8课时.根据两个子目录算出簇大小

课堂实践

课后实践

根据两个子目录算出簇大小

第9课时.搜索完整的长文件名方法-

课后实践

第10课时.找出指定目录的所有子目录

课后实践

总结

背诵知识点:

知识点：

---

加油哈!

第6课时.利用FAT表找出目录的下个簇

目的：当第一个目录里的文件比较多时，一个簇存不下所有的文件，就会增加一个簇来存放文件。但这两簇往往是不连续的，就需要通过FAT表来定位目录的下个簇是第几号簇 

1个簇=32扇区=16KB

1扇区=0.5KB

在FAT表里查簇(4位)

FAT表，0号FAT表项(标志)，1号FAT表项(记录2号簇位置)，2号FAT表项(记录3号簇位置)，3号FAT表项(记录4号簇位置)

偏移量=簇*4

实践

课堂实践

1. 跳转到FAT表
2. 查看根目录大小(文件表栏---1个簇=32扇区=16KB 共5个簇)
3. 分析数据"F8 FF FF 0F FF FF FF FF 41 0F 00 00 FF FF FF 0F"
4. F8 FF FF 0F-------FAT表示符号
5. FF FF FF FF-------0号FAT表项的位置
6. 41 0F 00 00-----1号FAT表项的位置
7. 我们在根目录查询是否有“数据恢复.zip”---否
8. 41 0F 00 00(39005簇---2号根目录)-----是我们要找的第二个FAT表项(偏移:3,905*4=15620---到十进制)
9. 点击菜单偏移(15620----十进制),是相对于FAT表00偏移的,得到7,117簇
10. 7,117----2号FAT表项目
11. 我们在根目录查询是否有“数据恢复.zip”---否
12. 7,117*4=28,468(10,081簇)-----3号FAT表项目
13. 我们在根目录查询是否有“数据恢复.zip”---否
14. 10,081*4=40,324(13,671簇)
15. 我们在根目录查询是否有“数据恢复.zip”---真

答案:shujvhuifu

课后实践

1. 跳转到FAT表
2. 查看根目录大小(文件表栏---1个簇=32扇区=16KB 共5个簇)
3. 根目录没有找到---1号FAT表项目
4. 65,892---2号FAT表项目
5. 我们在根目录查询（F3）是否有“数据恢复.zip”---真
6. 0201CC

答案：数据恢复教程 www.shujvhuifu

干货

1. 找FAT表
2. 看根目录大小，决定簇的多少
3. 找FAT1表,簇的位置

第7课时.第长文件名目录项

理论知识:

• 当文件名超过8个字节时，就需要用长文件名目录项来存储文件名。
• 长文件名目录项的0x0B位置的标志一定是0x0F
• 长文件名目录项是用Unicode编码存储文件名的 

偏移字节（16进制）	描述
00-00	状态码（E5：删除  ；01 表示目录项序号 ；42 前面的4表示最后一个目录项，后面的2表示序号为2的目录项）
01-0A	长文件名的第1-5个字符
0B-0B	长文件名目录项的标志0x0F
0C-0C	保留
0D-0D	校验和
0E-19	文件名的第6-11个字符
1A-1B	保留
1C-1F	文件名的第12-13个字符

搜索功能：十六进制,Unicode编码,32-1偏移

实践

课堂实践

课后实践

答案:海天数据恢复 www.shujvhuifu  

第8课时.根据两个子目录算出簇大小

“.”目录下为主

课堂实践

实践一

111文件：3号族（40976扇区）

222文件：3号族（40992扇区）

1. 先求差40992-40976=16
2. 簇大小16

实践二

111文件：3号族（40976扇区）

222文件：4号族（40992扇区）

新建文件夹文件：131080号族（2138208扇区）

1. 先求差2138208-40992=2,097,216
2. 簇数量=131080-4=131076
3. 簇大小=2,097,216/131076=16

妥了🐱‍🐉

课后实践

目的:

根据两个子目录算出簇大小

打开Winhex

分析

1. 文件夹1233            :第4号簇(24640扇区)
2. 文件夹新建文件夹    :第3号簇(24608扇区)
3. 扇区(大减小)24640-24608=32
4. 簇号=4-3=1
5. 簇大小32
6. 去DBR验证(正确)

第9课时.搜索完整的长文件名方法-

目的:区别长文件名，前部分相同，不好寻找

WinHEX只能同时写入50个字节

WinHEX只能搜索50个字节

一个文件夹数据是由高扇区向低扇区写入,1行(1-13字符)不够用要向上部添加2行(14-27)

课后实践

海天数据恢复入门基础视频教程.txt

打开Winhex

只能搜索13个字符: 海天数据恢复入门基础视频教

Unicode编码:776D295970656E6362600D596551E895FA574078C68991985965

1. 随便找一块空白扇区填充3F(通配符)

1. 1-5        6-11        12-13------分别填充01-0A，0E-19，1C-1F

1. 1. 776D295970656E636260------------20位
   2. 0D596551E895FA574078C689------24位
   3. 91985965----------------------------8位

1. 输入到对应的位
3. 3F776D295970656E6362603F3F3F0D596551E895FA574078C6893F3F91985965(作为16进制)
4. 亲，记得清空哦
5. 复制16进制
6. 查询
8. 03DB(987簇)

答案：海天数据恢复入门基础视频教程海天数据恢复入门基础视频教程海天数据恢复入门基础视频教程

第10课时.找出指定目录的所有子目录

标准子目录格式

2E 20 20 20 20 20 20 20 20 20 20 20

（512偏移）

如果直接搜索，则会把很多子子目录搜索出来

1. 随便找到一个空白的地方
2. 构建数据结构

1. 2. 2E 2E 20 20 20 20 20 20 20 20 20 3F 3F 3F 3F 3F
   3. 3F 3D 3F 3F 3F 00 00 3F 3F 3F 00 00
   4. 2E 2E 表示在父目录（根目录下）
   5. 00 00表示在父目录（根目录下）的位置(14-15,1A-1B)---父目录的簇号是0

1. 查询父目录（512-32）偏移
2. 在（根目录）文件夹里的文件夹，它的父目录就是父目录文件夹本身簇号 ---跟他最高级(父目录文件夹)--一个簇号

课后实践

目的:找出5号簇目录里的所有文件夹 

1. 找个空白的地方
2. 构建数据结构

1. 2. 2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F050000000000

3.复制粘贴查询（512-32）

8个妥了

总结

背诵知识点:

偏移字节（16进制）	描述
00-00	状态码（E5：删除  ；01 表示目录项序号 ；42 前面的4表示最后一个目录项，后面的2表示序号为2的目录项）
01-0A	长文件名的第1-5个字符
0E-19	文件名的第6-11个字符
1C-1F	文件名的第12-13个字符

知识点：

1. 利用FAT表找出目录

1. 1. 偏移量是相对于FAT表第一个值直接偏移的(簇*4)
   2. 1个簇=32扇区=16KB

1. 没啥知识点，都蕴含其中

目录

加油哈!

第6课时.利用FAT表找出目录的下个簇

实践

干货

第7课时.第长文件名目录项

实践

课堂实践

课后实践

第8课时.根据两个子目录算出簇大小

课堂实践

课后实践

根据两个子目录算出簇大小

第9课时.搜索完整的长文件名方法-

课后实践

第10课时.找出指定目录的所有子目录

课后实践

总结

背诵知识点:

知识点：

---

加油哈!

第6课时.利用FAT表找出目录的下个簇

目的：当第一个目录里的文件比较多时，一个簇存不下所有的文件，就会增加一个簇来存放文件。但这两簇往往是不连续的，就需要通过FAT表来定位目录的下个簇是第几号簇 

1个簇=32扇区=16KB

1扇区=0.5KB

在FAT表里查簇(4位)

FAT表，0号FAT表项(标志)，1号FAT表项(记录2号簇位置)，2号FAT表项(记录3号簇位置)，3号FAT表项(记录4号簇位置)

偏移量=簇*4

实践

课堂实践

1. 跳转到FAT表
2. 查看根目录大小(文件表栏---1个簇=32扇区=16KB 共5个簇)
3. 分析数据"F8 FF FF 0F FF FF FF FF 41 0F 00 00 FF FF FF 0F"
4. F8 FF FF 0F-------FAT表示符号
5. FF FF FF FF-------0号FAT表项的位置
6. 41 0F 00 00-----1号FAT表项的位置
7. 我们在根目录查询是否有“数据恢复.zip”---否
8. 41 0F 00 00(39005簇---2号根目录)-----是我们要找的第二个FAT表项(偏移:3,905*4=15620---到十进制)
9. 点击菜单偏移(15620----十进制),是相对于FAT表00偏移的,得到7,117簇
10. 7,117----2号FAT表项目
11. 我们在根目录查询是否有“数据恢复.zip”---否
12. 7,117*4=28,468(10,081簇)-----3号FAT表项目
13. 我们在根目录查询是否有“数据恢复.zip”---否
14. 10,081*4=40,324(13,671簇)
15. 我们在根目录查询是否有“数据恢复.zip”---真

答案:shujvhuifu

课后实践

1. 跳转到FAT表
2. 查看根目录大小(文件表栏---1个簇=32扇区=16KB 共5个簇)
3. 根目录没有找到---1号FAT表项目
4. 65,892---2号FAT表项目
5. 我们在根目录查询（F3）是否有“数据恢复.zip”---真
6. 0201CC

答案：数据恢复教程 www.shujvhuifu

干货

1. 找FAT表
2. 看根目录大小，决定簇的多少
3. 找FAT1表,簇的位置

第7课时.第长文件名目录项

理论知识:

• 当文件名超过8个字节时，就需要用长文件名目录项来存储文件名。
• 长文件名目录项的0x0B位置的标志一定是0x0F
• 长文件名目录项是用Unicode编码存储文件名的 

偏移字节（16进制）	描述
00-00	状态码（E5：删除  ；01 表示目录项序号 ；42 前面的4表示最后一个目录项，后面的2表示序号为2的目录项）
01-0A	长文件名的第1-5个字符
0B-0B	长文件名目录项的标志0x0F
0C-0C	保留
0D-0D	校验和
0E-19	文件名的第6-11个字符
1A-1B	保留
1C-1F	文件名的第12-13个字符

搜索功能：十六进制,Unicode编码,32-1偏移

实践

课堂实践

课后实践

答案:海天数据恢复 www.shujvhuifu  

第8课时.根据两个子目录算出簇大小

“.”目录下为主

课堂实践

实践一

111文件：3号族（40976扇区）

222文件：3号族（40992扇区）

1. 先求差40992-40976=16
2. 簇大小16

实践二

111文件：3号族（40976扇区）

222文件：4号族（40992扇区）

新建文件夹文件：131080号族（2138208扇区）

1. 先求差2138208-40992=2,097,216
2. 簇数量=131080-4=131076
3. 簇大小=2,097,216/131076=16

妥了🐱‍🐉

课后实践

目的:

根据两个子目录算出簇大小

打开Winhex

分析

1. 文件夹1233            :第4号簇(24640扇区)
2. 文件夹新建文件夹    :第3号簇(24608扇区)
3. 扇区(大减小)24640-24608=32
4. 簇号=4-3=1
5. 簇大小32
6. 去DBR验证(正确)

第9课时.搜索完整的长文件名方法-

目的:区别长文件名，前部分相同，不好寻找

WinHEX只能同时写入50个字节

WinHEX只能搜索50个字节

一个文件夹数据是由高扇区向低扇区写入,1行(1-13字符)不够用要向上部添加2行(14-27)

课后实践

海天数据恢复入门基础视频教程.txt

打开Winhex

只能搜索13个字符: 海天数据恢复入门基础视频教

Unicode编码:776D295970656E6362600D596551E895FA574078C68991985965

1. 随便找一块空白扇区填充3F(通配符)

1. 1-5        6-11        12-13------分别填充01-0A，0E-19，1C-1F

1. 1. 776D295970656E636260------------20位
   2. 0D596551E895FA574078C689------24位
   3. 91985965----------------------------8位

1. 输入到对应的位
3. 3F776D295970656E6362603F3F3F0D596551E895FA574078C6893F3F91985965(作为16进制)
4. 亲，记得清空哦
5. 复制16进制
6. 查询
8. 03DB(987簇)

答案：海天数据恢复入门基础视频教程海天数据恢复入门基础视频教程海天数据恢复入门基础视频教程

第10课时.找出指定目录的所有子目录

标准子目录格式

2E 20 20 20 20 20 20 20 20 20 20 20

（512偏移）

如果直接搜索，则会把很多子子目录搜索出来

1. 随便找到一个空白的地方
2. 构建数据结构

1. 2. 2E 2E 20 20 20 20 20 20 20 20 20 3F 3F 3F 3F 3F
   3. 3F 3D 3F 3F 3F 00 00 3F 3F 3F 00 00
   4. 2E 2E 表示在父目录（根目录下）
   5. 00 00表示在父目录（根目录下）的位置(14-15,1A-1B)---父目录的簇号是0

1. 查询父目录（512-32）偏移
2. 在（根目录）文件夹里的文件夹，它的父目录就是父目录文件夹本身簇号 ---跟他最高级(父目录文件夹)--一个簇号

课后实践

目的:找出5号簇目录里的所有文件夹 

1. 找个空白的地方
2. 构建数据结构

1. 2. 2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F050000000000

3.复制粘贴查询（512-32）

8个妥了

总结

背诵知识点:

偏移字节（16进制）	描述
00-00	状态码（E5：删除  ；01 表示目录项序号 ；42 前面的4表示最后一个目录项，后面的2表示序号为2的目录项）
01-0A	长文件名的第1-5个字符
0E-19	文件名的第6-11个字符
1C-1F	文件名的第12-13个字符

知识点：

1. 利用FAT表找出目录

1. 1. 偏移量是相对于FAT表第一个值直接偏移的(簇*4)
   2. 1个簇=32扇区=16KB

1. 没啥知识点，都蕴含其中

本文标签： 数据恢复课时硬件笔记章节