如何使用winhex來(lái)恢復(fù)NTFS分區(qū)中被刪除的文件����?在這篇教程中,我想以一個(gè)最簡(jiǎn)單的例子來(lái)說(shuō)明��?����;謴?fù)的前提條件有這么幾個(gè): 1、我格式化了一個(gè)分區(qū)���,所以這個(gè)分區(qū)中是沒(méi)有任何文件的���。
2�、我使用的文件大小小于1K,所以這個(gè)文件在NTFS分區(qū)的文件記錄中的數(shù)據(jù)屬性中是個(gè)常駐屬性��。所以這里不涉及到運(yùn)行計(jì)算的問(wèn)題�����,最簡(jiǎn)單的文件恢復(fù)了,以這個(gè)恢復(fù)例子的過(guò)程�����,可以建立一個(gè)數(shù)據(jù)恢復(fù)的大體原理了。
具體操作步驟如下:
:建立一個(gè)文本文件
我格式化了我的分區(qū)G���,分區(qū)類型是NTFS,使用快速格式化���,正常格式化只在檢查磁盤壞道時(shí)才有用。�。��。之后�����,我在這個(gè)分區(qū)建了一個(gè)文本文件,如下圖所示:
這個(gè)文件很簡(jiǎn)單���,內(nèi)容也很少����,我保存這個(gè)文件后�����,然后然后我們來(lái)看看這個(gè)文件大小信息���,如下圖所示:
我們看到,這個(gè)文件大小是224個(gè)字節(jié)�,記住了哦�����,等下恢復(fù)這個(gè)文件的時(shí)候就可以對(duì)比一下了咯 嘻嘻 。����。。
之后我就刪除了這個(gè)文件����,現(xiàn)在�����,我們看看怎么恢復(fù)這個(gè)文件���!
第二:用winhex打開(kāi)分區(qū)
我們運(yùn)行winhex,然后點(diǎn)擊菜單:工具-->打開(kāi)磁盤���,來(lái)打開(kāi)G盤��。如下圖所示:
我們可以找到$MFT這個(gè)文件��,然后右擊它,然后點(diǎn)擊打開(kāi)���,之后就會(huì)打開(kāi)這個(gè)文件MFT�����。如下面兩個(gè)圖所示:
這里為什么要這么做呢?
因?yàn)?�,我們只需要在MFT找到我們丟失的文件�����,如果我們?cè)谡麄€(gè)分區(qū)里搜索并且這個(gè)分區(qū)很大的話,會(huì)要很多時(shí)間的���,而MFT文件就小得多了����, 也就1G左右��,這是我人為弄出來(lái)的,一般系統(tǒng)是很難見(jiàn)到這么大的MFT文件的��,除非你是做服務(wù)器,有很多磁盤碎片和小文件�����。�����。����。
之后����,我們可以點(diǎn)擊菜單中的:搜索-->查找文本�。如下圖所示:
我們輸入我們想要恢復(fù)的文件名HelloWorld��,而且注意��,要選擇Unicode。因?yàn)镸FT的文件名是Unicode形式的��,之后就是查找了��!
一會(huì)我們就找到了這個(gè)文件�����,如下圖所示:
為了能使用WinHex的顏色�����,我們轉(zhuǎn)到分區(qū)去看這個(gè)文件記錄!首先,我們看到這個(gè)文件記錄在MFT的偏移地址是7450H����,然后我們?cè)趙inhex中轉(zhuǎn)到我們分區(qū)的視圖,然后點(diǎn)擊MFT文件�����,這樣就偏移到了我們MFT文件的位置�����,然后選擇菜單中的:位置-->轉(zhuǎn)到偏移位置����。
然后輸出7450�,位置是從當(dāng)前位置開(kāi)始����!如下圖所示:
之后����,我們就找到了這個(gè)文件記錄�����,如下圖所示:
我們看圖的左邊,文件記錄號(hào)是29���,我們看上圖的藍(lán)色框,那個(gè)是文件記錄的標(biāo)識(shí):FILE�。那么我們?cè)趺粗肋@是個(gè)被刪除的文件呢�����,一種辦法是直接在文件記錄頭上看����,如上圖的紅色框��,那2字節(jié)為文件記錄偏移16H處���,0表示文件已被刪除,1表示這個(gè)文件在使用���,2表示是個(gè)目錄等等���。
好,現(xiàn)在我們?nèi)ゲ檎椅募涗浿械臄?shù)據(jù)屬性�����,這個(gè)屬性是80H開(kāi)頭,好在winhex有這個(gè)顏色分類�,很容易找到,如上圖的橙色框所示���。
下面我們集中抽取這個(gè)數(shù)據(jù)屬性來(lái)分析�����,如下圖所示:
我們一個(gè)一個(gè)來(lái)分析框中的內(nèi)容表示的意思, 個(gè)紅色的框表示這是個(gè)數(shù)據(jù)屬性�,值是80H。橙色框:0表示這是個(gè)常駐屬性��,即這個(gè)文件的內(nèi)容就在這個(gè)文件記錄中,如果是1就表示這是個(gè)非常駐屬性����,那么我們要獲取數(shù)據(jù)就得從運(yùn)行中一個(gè)一個(gè)的計(jì)算獲得���,這個(gè)在下期講解!
算:75b0H + 18H = 75c8H��。藍(lán)色框的4個(gè)字節(jié)表示這個(gè)文件的數(shù)據(jù)大小:E0H��,折合十進(jìn)制就是224,即這個(gè)文件大小是224個(gè)自己���,記得我在前面講過(guò)嗎,上面還有文件大小的截圖呢�!綠色框的4個(gè)字節(jié)表示這個(gè)文件的數(shù)據(jù)的偏移位置18H����,這個(gè)偏移從這個(gè)數(shù)據(jù)屬性的開(kāi)始位置計(jì)算���,就是上圖中的80H位置,這個(gè)位置這樣計(jì)算:75b0H + 18H = 75c8H���。
然后��,我們就可以由這個(gè)數(shù)據(jù)的偏移位置和大小得到這個(gè)文件的數(shù)據(jù)���,如紫色框表示��。
最后���,我們用鼠標(biāo)來(lái)選擇這些數(shù)據(jù)(選擇的數(shù)據(jù)的顏色會(huì)變的)�,然后點(diǎn)擊右鍵���,選擇:編輯-->復(fù)制選項(xiàng)塊-->植入新文件��,如下圖所示:
在這里,我們 就選擇另外一個(gè)分區(qū)�,不要在要恢復(fù)的分區(qū)中保存文件����,已保證我們的數(shù)據(jù)不會(huì)被覆蓋掉��!
這里,我把文件保存在D盤中���,也命名為HelloWorld.txt�����。
u盤術(shù)普遍使用成為移動(dòng)存儲(chǔ)數(shù)據(jù)的一種重要介質(zhì)同時(shí)成為數(shù)據(jù)恢復(fù)上的一大難題下面看華軍數(shù)據(jù)恢復(fù)專家關(guān)于U盤0字節(jié)數(shù)據(jù)恢復(fù)的介紹:
U盤0字節(jié)數(shù)據(jù)恢復(fù)是數(shù)據(jù)恢復(fù)中很常見(jiàn)的一個(gè)技術(shù)項(xiàng)目�����,出現(xiàn)這種情況有很多原因,比如說(shuō)U盤再讀取數(shù)據(jù)的過(guò)程中�����,我們把U盤從電腦中拔下來(lái),又或者是插著U盤的時(shí)候外界條件造成的(比如突然斷電����,突然我們關(guān)機(jī)了),這都有可能會(huì)造成U盤0字節(jié)的顯現(xiàn)產(chǎn)生,這都是一些常規(guī)可見(jiàn)的邏輯錯(cuò)誤導(dǎo)致��,一般都都是電腦有問(wèn)題,U盤是才會(huì)被損壞出現(xiàn)0字節(jié)問(wèn)題�,當(dāng)然這種問(wèn)題也不是沒(méi)有解決的辦法。
很多人在找我們的時(shí)候都問(wèn)是不是只有量產(chǎn)或者格式化才能恢復(fù)U盤正常使用,我可以告訴大家這種方式有一定的可適用性�,有的U盤進(jìn)行此類操作后是會(huì)從新恢復(fù)U盤使用�����,但不是百 百的���,且很重要的一點(diǎn)就此類操作后U盤數(shù)據(jù)將更難恢復(fù)甚至不可恢復(fù)�,所以請(qǐng)大家酌情而定��。U盤0字節(jié)從技術(shù)方面說(shuō)只是不正常的使用使U盤引導(dǎo)數(shù)據(jù)出錯(cuò),導(dǎo)致U盤不能正常使用����,其根本的解決辦法就是恢復(fù)U盤的引導(dǎo)數(shù)據(jù)(U盤0字節(jié)數(shù)據(jù)恢復(fù))����,就可以了�。
U盤0字節(jié)數(shù)據(jù)恢復(fù)在恢復(fù)U盤的引導(dǎo)數(shù)據(jù)是可以選擇軟件恢復(fù)也可以選擇專業(yè)人士恢復(fù),軟件不適合重要數(shù)據(jù)恢復(fù)��,因?yàn)楸锥颂啵菀自斐蓴?shù)據(jù)不可恢復(fù)��,重要數(shù)據(jù)還是找專業(yè)人士通過(guò)技術(shù)方式恢復(fù)。
一種災(zāi)難發(fā)生的可能是cascading failure�����。假設(shè)運(yùn)維團(tuán)隊(duì)在發(fā)布版本時(shí)���,發(fā)布了錯(cuò)誤的配置文件�����,盡管這種分發(fā)是在可控狀況下進(jìn)行的�,但因?yàn)橄到y(tǒng)在低發(fā)布率時(shí)崩潰有自愈能力��,在更高百分比的發(fā)布時(shí)���,由于可用系統(tǒng)的負(fù)載更大,導(dǎo)致可用系統(tǒng)退出服務(wù)���,最終導(dǎo)致所有可用服務(wù)均退出服務(wù),服務(wù)宣告徹底不可用����?��?紤]到此公司業(yè)務(wù)的復(fù)雜性,并觀察到其技術(shù)棧是大部分基于西雅圖郊區(qū)某公司的技術(shù)構(gòu)建的����,幾乎可以肯定的是�����,部分中間件的支持實(shí)際上是依賴外部技術(shù)支持的��。若是中間件或是第三方vendor提供的組件導(dǎo)致錯(cuò)誤�,很可能本地團(tuán)隊(duì)無(wú)法做到及時(shí)響應(yīng)。事件發(fā)生時(shí)大約是太平洋時(shí)間下午9點(diǎn)��,此時(shí)的技術(shù)支持很大可能是在印度或是澳大利亞進(jìn)行的����。作者的行業(yè)從業(yè)經(jīng)驗(yàn)表明,印度技術(shù)支持在很大程度上是無(wú)法很快解決技術(shù)問(wèn)題的��。若是本地團(tuán)隊(duì)沒(méi)有對(duì)應(yīng)對(duì)災(zāi)難做出playbook�,則很有可能在生產(chǎn)環(huán)境故障時(shí)束手無(wú)措���。
應(yīng)對(duì)措施
不管是攻擊或是內(nèi)部故障,有好的備份以及冗余措施�,均可以使宕機(jī)時(shí)間縮短到 。備份問(wèn)題盡管聽(tīng)起來(lái)不可思議����,但在實(shí)踐中����,不少企業(yè)并未建立起一套檢驗(yàn)過(guò)的備份系統(tǒng)��。備份的意義在于危急時(shí)刻可以快速恢復(fù)或重建生產(chǎn)系統(tǒng)。在企業(yè)網(wǎng)絡(luò)中����,經(jīng)常出現(xiàn)的問(wèn)題實(shí)際上是:1����、備份步驟的瑕疵導(dǎo)致并未完成正確的備份過(guò)程2���、由于有限的存儲(chǔ)空間導(dǎo)致一定時(shí)間后因存儲(chǔ)空間耗盡導(dǎo)致的隨后備份失敗3�、備份介質(zhì)受損導(dǎo)致無(wú)法成功恢復(fù)傳統(tǒng)上�����,磁帶因其低造價(jià)以及高存儲(chǔ)密度使其成為了理想的備份介質(zhì)。然而�����,這種傳統(tǒng)備份介質(zhì)的幾個(gè)致命缺點(diǎn)經(jīng)常使其內(nèi)含的數(shù)據(jù)變得不可存?�。?���、丟失的磁帶索引卡片2��、磁帶介質(zhì)在存儲(chǔ)過(guò)程中受到外界磁場(chǎng)影響3�、介質(zhì)本身?yè)p壞4����、介質(zhì)讀取過(guò)程中被讀取設(shè)備損壞 此外,磁帶備份介質(zhì)本身一般存儲(chǔ)于磁帶倉(cāng)庫(kù)中�,從倉(cāng)庫(kù)檢索出所需的備份磁帶�����、轉(zhuǎn)
