图5-3 转到MFT的起始位置
3. 恢复数据
找到分区的$MFT后,通过文件名查找文件的MFT,如图5-4所示。
图5-4 查找文件的MFT
查找到的结果如图5-5所示。
图5-5 已删除文件的MFT
先来看看MFT头,偏移15.16H为0表示该文件已经被删除了,系统根据这个标志来决定建立新文件时是否能够覆盖这个MFT而创建自己的MFT。10H属性就不分析了,除非希望恢复的文件所有的时间属性和以前一样,用户对此要求一般没有那么高,所以跳过10H属性不分析。30H属性这里也不分析。关键是要分析80H属性,即数据属性,在该属性所有的描述中,对恢复数据最有用的信息有两个,一个是偏移00C12DD160H开始的8个字节的属性是该文件的实际大小506E,单位是字节。还有一个地方是偏移00C12DD170H开始的数据运行位置描述,这里为十六进制数41H 06H 83H 0BH 90H 00H。其中41H定义了其后面有1个字节表示该文件的数据运行所占的簇的个数,4个字节表示该数据运行的起始逻辑簇号,这里定义了其运行占用了06个簇,其起始逻辑簇号为900B83H。知道了起始簇号和数据运行的真实大小,甚至知道运行所占的簇的个数,要恢复文件数据就很容易了。
在WinHex中选择“位置”|“转换到扇区”命令,打开对话框,在“簇”文本框中输入9440131(900B83H转换后的十进制数),然后单击确定,即可找到数据的起始位置,其中FFH DBH是.jpg照片的文件头标志。在找到的数据起始位置右击,选择“选块开始”命令。如图5-6所示。
图5-6 文件的起始位置
继续在WinHex中选择“位置”|“转换偏移量”命令,打开“转到偏移量”对话框输入20590(506EH转换成十进制数)如图5-7所示。
图5-7 转换偏移量
单击确定后会跳到文件的结尾位置,单击右键选择“选块结尾”命令,如图5-8所示,即可完全的选择到用户要恢复的文件数据。
图5-8 找到文件的结束位置
选中所有要恢复的数据内容后,在选中的任意块上右击,选择“编辑”|“复制选块”|“进入新文件”命令如图5-9所示。
图5-9 复制所有数据
然后将文件命名并保存到指定的路径,如图5-10所示。