2025年WinHex数据恢复笔记-数据恢复与硬件维护-第2章节-FAT32-20-30课时数据恢复

大家好，我是讯享网，很高兴认识大家。

第20课时.格式化对文件系统做了什么操作

格式化对文件系统做了什么操作?

第21课时.格式化的恢复-虚拟子目录

第22课时.格式化的恢复-手工提取根目录下文件

课后实践

总结:

第23课时.格式化的恢复-手工计算DBR参数

课后实践

第24课时.格式化的恢复-取巧获得DBR参数

第25课时.磁盘未被格式化恢复-利用备份的DBR恢复

课后实践

干货

第26课时.磁盘未被格式化恢复-用系统格式化默认参数恢复

第27课时.磁盘未被格式化恢复-手工计算DBR参数

干货:

第28课时.文件或目录损坏的原因和恢复方法

原因：FAT表损坏

课后实践

第29课时.文件名变乱码的恢复方法

干货：

课后实践

扩展一下

第30课时.磁盘未被格式化恢复-根据FAT表算出簇大小

课后实践

讯享网

第20课时.格式化对文件系统做了什么操作

格式化对文件系统做了什么操作?

DBR里面的参数改变
1号扇区里面的参数改变
FAT1和FAT2被清空
根目录也被清空，如果有卷标那么会有一条卷标目录项

第21课时.格式化的恢复-虚拟子目录

目的:手工提取根目录下文件夹内文件

因为盘被格式化，根目录消失，目录项,数据区不丢失

一般是一下格式（根目录文件夹）：

2E 2E 20 20 20 20 20 20 20 20 20 3F 3F 3F 3F 3F

3F 3F 3F 3F 00 00 3F 3F 3F 3F 00 00

2E2E0F3F3F3F3F3F3F3F3F00003F3F3F3F0000

放到根目录里（不是FAT表里）视频讲解出错（这是一个目录项）

00001C5AA005BAC00000000

00001C5AA005BAB

00001C5AA005BAD00000000

00001C5AA005BA29045A29D00000000

右键选中恢复

好使

第22课时.格式化的恢复-手工提取根目录下文件

目的:手工提取根目录下文件

常用文件搜索关键词

- ZIP压缩包：开头：50 4B 03 04 结尾：50 4B 05 06 00 00
- 直接搜索TXT文件内容：ANSI码

课后实践

目的：恢复被格式化盘里的根目录下的rar压缩包

思路寻找ZIP格式的特征码------>开头：50 4B 03 04 结尾：50 4B 05 06 00 00

格式化
打开Winhix
翻车了（自己放了个ZIP文件---->格式化）
后来才发现题目是RAR课上学的是ZIP
那就在电脑上生成一下RAR文件
结果电脑上的好压不支持RAR压缩包的操作

1. 找啊找，学习文件里有

找相同的特征码(RAR)

1. 开始:A070100 结尾:1D400

ZIP管用

RAR没找到

那就自己建一个.RAR的文件---->格式化吧
搜索到了

1. 头
3. 尾巴

复制到新文件

2. 好使RAR

总结:

常用文件搜索关键词

- ZIP压缩包：开头：50 4B 03 04 结尾：50 4B 05 06 00 00
- ZIP压缩包:开始:A070100 结尾:1D400
- 直接搜索TXT文件内容：ANSI码
- 在电脑上，对比找一个文件的特征码,查找就能搞定

第23课时.格式化的恢复-手工计算DBR参数

又是重点？？？

目的：解决文件夹的簇和当前扇区不一致（DBR参数改变）

1. 3号簇 40976号扇区
2. 5号簇 41008号扇区
3. 相差32个扇区相差2个簇得出 1个簇16个扇区
4. 2号簇（根目录--->4扇区）

去DBR修改参数

1. 修改簇大小
2. FAT表大小=（根目录-FAT表起始扇区(0E-0F））/2
3. 修改两个参数

填入DBR
验证（）：FAT表起始扇区号+（FAT表大小*2）=根目录位置

数据恢复基本流程.xmind

课后实践

目的

1. 2E2E0F3F3F3F3F3F3F3F3F00003F3F3F3F0000

查找簇和扇区号

1. 子目录1 43,960号簇扇区 B8 AB
2. 子目录2 45,363号簇扇区 33 B1
3. 差1403号簇差11,224扇区得每个簇扇区数：8

修改DBR扇区

计算每个簇扇区数:8
计算FAT表大小(40960-8,282)/2=16339

1. （根目录-FAT表起始扇区(0E-0F））/2=FAT表大小

填入DBR表
成功

第24课时.格式化的恢复-取巧获得DBR参数

目的：另一种获取DBR参数

1. 2E2E0F3F3F3F3F3F3F3F3F00003F3F3F3F0000（512-32）
2. 获取高低簇

重点
去虚拟一个磁盘（容量与恢复磁盘一致）

1. MBR,FAT32
2. 这里选择不同的分配单元---->512;1024;【2048;4096;8192;16k;32k;64k】;128k;256k;

复制新虚拟的DBR扇区

第25课时.磁盘未被格式化恢复-利用备份的DBR恢复

RAW格式----不识别硬盘系统

打开Winhex
选择※物理磁盘
选择1号分区
复制到新文件

课后实践

目的：恢复盘数据

问题：DBR扇区丢失，文件系统不可读取

解决方案：从6号备份DBR扇区，复制到0号DBR扇区

通过物理磁盘进入

1. 选择1号分区

打开6号扇区，数据复制到0号扇区（DBR扇区）
更新磁盘快照
数据恢复成功

干货

6号扇区是备份的DBR扇区，如果DBR扇区损坏，则可以直接复制6号扇区备份

第26课时.磁盘未被格式化恢复-用系统格式化默认参数恢复

RAW----不识别磁盘系统

目的：DBR扇区损坏，备份DBR数据损坏

电脑无法识别硬盘格式；DBR顺坏；备用DBR损坏
搜索FAT表头{F8FFFF0F----FAT表头部标记---(512-0)------FFFFFF0F---尾巴标记---（0-0）}
记录FAT表扇区

1. 14343扇区（FAT表1先损坏(大概率)，这个是FAT表2）

创建一个新的虚拟磁盘(容量相同，FAT32,默认值)
复制新的虚拟磁盘的DBR到，待恢复磁盘
更新磁盘快照
把FAT表2数据放到FAT表1数据中 FAT表数据（FAT2头----到----根目录头）
查看FAT表开头(偏移00)

1. 129
2. 1个扇区=512字节
3. 1个FAT表4字节
4. 1个扇区可以有=128个表项

填充FAT表头（F8FFFF0F）

第27课时.磁盘未被格式化恢复-手工计算DBR参数

RAW----不识别磁盘系统

1. 每个簇的扇区数
2. FAT表起始扇区号
3. 文件的总扇区大小-----左下角Winhex界面
4. FAT表大小

干货:

129是第二个FAT表扇区

关键阐述

0D:每个簇的扇区数

0E-0F:FAT表起始扇区号

20-23:文件的总扇区大小-----左下角Winhex界面

24-27：FAT表大小

第28课时.文件或目录损坏的原因和恢复方法

根目录FAT表损坏，导致磁盘无法读取（提示目录损坏）-----FF FF FF 0F

原因：FAT表损坏

修复方法：

直接在winhex里复制出来
修复FAT表项

课后实践

目的:修复虚拟磁盘镜像文件中文件夹名为《12345》的FAT表项

我一脸懵逼：表示《12345》能打开啊---动画片很好看

搞掉文件对应的FAT表项

文件夹《12345》对应簇----18,886簇扇区（对应正确✔）
保存一下目录的FAT表，避免翻车

3. 成功制造困难
4. 寻找目录的高低簇号

1. 2. 18,886号簇

1. 找到FAT表因为1个簇是4字节则18,886号簇=75,544字节
2. 从FAT表00项偏移75,544字节，并填充FF FF FF 0F

拓展一下

1. FAT1全部填充00

1. 1. 通过FAT表2备份恢复
  3. 构建FAT表

1. 1. 1. 全填充FF FF FF 0F 也可

1. 1. 1. 1. 然后可直接在WinHex复制到新文

第29课时.文件名变乱码的恢复方法

目的:文件名变乱码并修复

通过点击目录框，得到扇区
把扇区转为十六进制
构建文件夹数据----填入高低簇号

1. 2E 2E 20 20 20 20 20 20 20 20 20 3F 3F 3F 3F 3F
2. 3F 3F 3F 3F 00 00 3F 3F 3F 3F 7C 2B 00 00 00

搜索
虚拟子目录
填入高低簇号

干货：

构建文件夹数据----填入高低簇号

1. 2E 2E 20 20 20 20 20 20 20 20 20 3F 3F 3F 3F 3F
2. 3F 3F 3F 3F 00 00 3F 3F 3F 3F 7C 2B 00 00 00
3. 00 00 7C 2B 表示对应子目录下的目录

课后实践

(给的硬盘镜像目录下文件，是没有问题的)

秉承着没有困难制造困难的目的
那就按他的意识把根目录给搞坏

2. 很棒

2. 2E2E0F3F3F3F3F3F3F3F3F00003F3F3F3F000000000000
3. 查找目录项
4. 查到6个根目录下的目录

1. 1. 1. 目录1 03 00
    2. 目录2 E3 2C
    3. 目录3 4E 2E
    4. 目录4 1F 35
    5. 目录5 22 35
    6. 目录6 24 35

妥了

扩展一下

目录项目破坏

刚才子目录“1”下有一个文件夹，经过破坏后

查看目录 “1”的扇区号：24608 第3号簇十六进制：00 03
构建子文件夹结构

1. 2E2E0F3F3F3F3F3F3F3F3F00003F3F3F3F0300

1. 注意高低簇的位置

搜索十六进制数据

2. 找到一个文件夹（得知：4号簇）

数据恢复正确

第30课时.磁盘未被格式化恢复-根据FAT表算出簇大小

目的：根据FAT表算出簇大小

查询FAT表

1. F8FFFF0 定位FAT表开头
2. 记录 FAT表1头 AND FAT表2头
3. FAT表大小=FAT表2头 - FAT表1头
4. 根目录位置=FAT表2头+FAT表大小
5. 一共用的簇= 总扇区-根目录位置扇区
6. 一共的FAT表项目=FAT表大小*每个扇区 128个表项目
7. 簇大小=总扇区数/一共的FAT表项目

举例

1. FAT 1:4170
2. FAT 2:18469
3. 总扇区号：
4. FAT表大小=18469-4170=14,299
5. 根目录位置=FAT表2头+FAT表大小=18469+14,299=32768
6. 用了簇的扇区=总扇区-根目录位置扇区=-32768=14,641,152
7. 一共的FAT表项目=FAT表大小*每个扇区 128个表项目=14,299*128=1,830,272
8. 簇大小=总扇区数/一共的FAT表项目=14,641,152/1,830,272=7.6106 （FAT表前两个簇不可使用造成）约8

1. 1. 实际可用的FAT表项目=一共的FAT表项目-2

1. 1. 1. 簇大小=总扇区数/一共的FAT表项目=14,641,152/(1,830,272-2)=7.4356 无限接近于8----文件总扇区，

课后实践

目的：通过FAT表的大小算出簇大小，从而修复DBR

打开可爱的Winhex
问题：DBR损坏

1. 寻找簇大小

1. 1. 查找FAT表一定搜索：FFFFFF0F
  2. FAT1:2076
  3. FAT2:13326
  4. 总共扇区号：
  5. FAT表大小=FAT2-FAT1=13326-2076=11,250
  6. 根目录位置=FAT2+FAT表大小=13326+11,250=24,576
  7. 用了簇的扇区=-24,576=23,037,952
  8. 共FAT表项数=FAT表大小*128=11,250*128=1,440,000
  9. 簇大小=总扇区数/一共的FAT表项目=/1,440,000=16.044

1. 1. 1. 官方一点：一共的FAT表项目=一共的FAT表项目-2
    2. 簇大小=总扇区数/一共的FAT表项目=/1,439,998=16.096

1. 1. 簇大小是16

新建虚拟磁盘并复制DBR

2025年WinHex数据恢复笔记-数据恢复与硬件维护-第2章节-FAT32-20-30课时数据恢复

讯享网

第20课时.格式化对文件系统做了什么操作

格式化对文件系统做了什么操作?

第21课时.格式化的恢复-虚拟子目录

第22课时.格式化的恢复-手工提取根目录下文件

课后实践

总结:

第23课时.格式化的恢复-手工计算DBR参数

课后实践

第24课时.格式化的恢复-取巧获得DBR参数

第25课时.磁盘未被格式化恢复-利用备份的DBR恢复

课后实践

干货

第26课时.磁盘未被格式化恢复-用系统格式化默认参数恢复

第27课时.磁盘未被格式化恢复-手工计算DBR参数

干货:

第28课时.文件或目录损坏的原因和恢复方法

原因：FAT表损坏

课后实践

第29课时.文件名变乱码的恢复方法

干货：

课后实践

扩展一下

第30课时.磁盘未被格式化恢复-根据FAT表算出簇大小

课后实践

相关推荐