|
001489C0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
001489D0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
001489E0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
001489F0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
00148A00 01 00 FE FF 03 0A 00 00 FF FF FF FF 06 09 02 00 ..?....????....
00148A10 00 00 00 00 C0 00 00 00 00 00 00 46 18 00 00 00 ....?.....F....
00148A20 4D 69 63 72 6F 73 6F 66 74 20 57 6F 72 64 20 44 Microsoft Word D
00148A30 6F 63 75 6D 65 6E 74 00 0A 00 00 00 4D 53 57 6F ocument.....MSWo
00148A40 72 64 44 6F 63 00 10 00 00 00 57 6F 72 64 2E 44 rdDoc.....Word.D
00148A50 6F 63 75 6D 65 6E 74 2E 38 00 F4 39 B2 71 00 00 ocument.8.?瞦..
---------------------------------------------------------------------------------
(这是在winhex中显示的情况,此部分内容是最后扇区的中间部分的内容#
既然文件头尾标志已确定,即可在磁盘中搜索了。可搜索所有的“D0 CF 11 E0 A1 B1 1A E1 ”,保存其位置。在搜索特定的尾标志,保存其位置。观看在winhex“位置管理器”中的所保存位置。删除位置不是以"000H","002H", "004H","006H","008H"结尾的文件头标志(因为扇区容量512B=200HB)。删除不合位置特征的尾标志(通过对200H取余的结果看)。再删除多出来的头或尾标志。(应该成对出现)
此例以Word 2000文档为例。通常情况下,word文档的大小不可能太大。在winhex的位置管理器当中,所有的位置是以地址来排序的。所以,看一下成对的头尾标志其偏移是否合逻辑。如不合,删了!
那么,剩下来的便是最有可能的了。剩下的,不用说了吧!将每一对头尾地址之间的数据保存即可。(成不成功看命吧!)
这是以Office文件为例说明。其实大多数文件都有特征标志,可参看相关资料或自己研究。对于没有特定尾标志的文件,它的结构也有特征,结合头标志和结构看吧!(不过可能稍难点!) 还有,恢复的文件当中可能有你删除了的文件,没有办法。只好一视同仁了。不过一般情况下,已删除文件的开头是最先被系统的其他文件覆盖的,可能也能降低工作量吧!
|