如何使用WinHex恢复删除的文件

 我来答
手机用户04016
2016-10-01 · TA获得超过2022个赞
知道答主
回答量:113
采纳率:0%
帮助的人:70.6万
展开全部
使用WinHex恢复删除的文件的操作过程
1、打开磁盘

打开磁盘
2、直接恢复文件
如果文件是不久前删除的话,可以看到已经删除的文件,这时便可以直接恢复文件了。

直接恢复文件
3、通过$MFT恢复文件
如果在文件列表里没有看到已删除的文件,那么可以从$MFT里恢复。
$MFT,主文件表(Master File Table),存在于是NTFS文件系统里。当文件在硬盘上删除后,文件记录并没有从$MFT里删除,因此可以从$MFT里恢复已删文件。
1)打开$MFT
右键点击“$MFT”,然后点击“打开”。

打开$MFT
2)查找要恢复的文件
按组合键CTRL+F弹出窗口,输入要恢复的文件名或关键词,选择“Unicode”。

查找要恢复的文件
3)找到要恢复的文件记录

要恢复的文件记录
找到要恢复的文件记录,接着是进行数据分析,这是恢复过程中最关键的一步。分析如下:
红色圈出的FILE0,是文件头的开始标识。偏移文件头16H的位置,即蓝色圈出的00,00表示该文件已经被删除。
红色圈出的80,是数据属性的标识。在偏移8H的位置,如果是01,即蓝色圈出的地方(本例是01,如果是00,则接下来的分析要看这里如何使用WinHex恢复删除的文件(2)),那么要看偏移30H的地方,即蓝色圈出的D9 F1 07,这个便是文件的大小,十六进制表示为“7F1D9”。再看偏移40H的地方,即蓝色圈出的42 80 00 BC 50 2B 01,42表示后面的数据中,前两个是族数,这里为80个族,后四个是族号的开始位置,十六进制表示为“12B50BC”。
这个分析主要是得到两个数据,族的起始位置和文件大小。
4)通过族的起始位置和文件大小来恢复文件
切换到磁盘窗口,选中$MFT,然后按组合键CTRL+G,输入族的起始位置19615932(把十六进制12B50BC转换为十进制,百度一下转换工具吧,可以在此网页里转换http://jinzhi.supfree.net/)。

输入族的起始位置
点击确定后,在鼠标出现的地方,点击右键,然后点击“选块起始”。

选块起始
按组合键ALT+G,弹出转到偏移量的窗口,这里选择相对于“当前位置”,然后输入7F1D9(第三步分析中得到的文件大小,十六进制)。

转到偏移量
点击确定后,在鼠标出现的地方,点击右键,然后点击“选块结束”。

选块结束
选块结束后,在鼠标出现的地方,点击右键,然后点击“编辑”。

编辑
点击编辑后,然后点击“复制选块-至新文件”,在弹出窗口里,输入文件名,即可恢复文件。
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式