贊助商

欄目分類

贊助商

大家感興趣的文章

搜索

    如何使用WinHex恢復(fù)刪除的文件(1)

    作者:admin    時(shí)間:2015-5-28 14:53:40    瀏覽:

    • 當(dāng)硬盤里的某些重要文件被不小心刪除后,怎么辦呢,其實(shí),要恢復(fù)已刪文件可以借助一些工具來實(shí)現(xiàn),本文介紹如何使用WinHex恢復(fù)刪除的文件。

      了解WinHex

      WinHex是一個(gè)專門用來對付各種日常緊急情況的小工具。它可以用來檢查和修復(fù)各種文件、恢復(fù)刪除文件、硬盤損壞造成的數(shù)據(jù)丟失等。同時(shí)它還可以讓你看到其他程序隱藏起來的文件和數(shù)據(jù)??傮w來說是一款非常不錯(cuò)的16 進(jìn)制編輯器。

      使用WinHex恢復(fù)刪除的文件的操作過程

      1、打開磁盤

      打開磁盤

      打開磁盤

      2、直接恢復(fù)文件

      如果文件是不久前刪除的話,可以看到已經(jīng)刪除的文件,這時(shí)便可以直接恢復(fù)文件了。

      直接恢復(fù)文件

      3、通過$MFT恢復(fù)文件

      如果在文件列表里沒有看到已刪除的文件,那么可以從$MFT里恢復(fù)。

      $MFT,主文件表(Master File Table),存在于是NTFS文件系統(tǒng)里。當(dāng)文件在硬盤上刪除后,文件記錄并沒有從$MFT里刪除,因此可以從$MFT里恢復(fù)已刪文件。

      1)打開$MFT

      右鍵點(diǎn)擊“$MFT”,然后點(diǎn)擊“打開”。

      打開$MFT

      打開$MFT

      2)查找要恢復(fù)的文件

      按組合鍵CTRL+F彈出窗口,輸入要恢復(fù)的文件名或關(guān)鍵詞,選擇“Unicode”。

      查找要恢復(fù)的文件

      查找要恢復(fù)的文件

      3)找到要恢復(fù)的文件記錄

      要恢復(fù)的文件記錄

      要恢復(fù)的文件記錄

      找到要恢復(fù)的文件記錄,接著是進(jìn)行數(shù)據(jù)分析,這是恢復(fù)過程中最關(guān)鍵的一步。分析如下:

      紅色圈出的FILE0,是文件頭的開始標(biāo)識。偏移文件頭16H的位置,即藍(lán)色圈出的00,00表示該文件已經(jīng)被刪除。

      紅色圈出的80,是數(shù)據(jù)屬性的標(biāo)識。在偏移8H的位置,如果是01,即藍(lán)色圈出的地方(本例是01,如果是00,則接下來的分析要看這里如何使用WinHex恢復(fù)刪除的文件(2)),那么要看偏移30H的地方,即藍(lán)色圈出的D9 F1 07,這個(gè)便是文件的大小,十六進(jìn)制表示為“7F1D9”。再看偏移40H的地方,即藍(lán)色圈出的42 80 00 BC 50 2B 01,42表示后面的數(shù)據(jù)中,前兩個(gè)是族數(shù),這里為80個(gè)族,后四個(gè)是族號的開始位置,十六進(jìn)制表示為“12B50BC”。

             這個(gè)分析主要是得到兩個(gè)數(shù)據(jù),族的起始位置和文件大小。

      4)通過族的起始位置和文件大小來恢復(fù)文件

      切換到磁盤窗口,選中$MFT,然后按組合鍵CTRL+G,輸入族的起始位置19615932(把十六進(jìn)制12B50BC轉(zhuǎn)換為十進(jìn)制,百度一下轉(zhuǎn)換工具吧,可以在此網(wǎng)頁里轉(zhuǎn)換http://jinzhi.supfree.net/)。

      輸入族的起始位置

      輸入族的起始位置

      點(diǎn)擊確定后,在鼠標(biāo)出現(xiàn)的地方,點(diǎn)擊右鍵,然后點(diǎn)擊“選塊起始”。

      選塊起始

      選塊起始

      按組合鍵ALT+G,彈出轉(zhuǎn)到偏移量的窗口,這里選擇相對于“當(dāng)前位置”,然后輸入7F1D9(第三步分析中得到的文件大小,十六進(jìn)制)。

      轉(zhuǎn)到偏移量

      轉(zhuǎn)到偏移量

      點(diǎn)擊確定后,在鼠標(biāo)出現(xiàn)的地方,點(diǎn)擊右鍵,然后點(diǎn)擊“選塊結(jié)束”。

      選塊結(jié)束

      選塊結(jié)束后,在鼠標(biāo)出現(xiàn)的地方,點(diǎn)擊右鍵,然后點(diǎn)擊“編輯”。

      編輯

      編輯

            點(diǎn)擊編輯后,然后點(diǎn)擊“復(fù)制選塊-至新文件”,在彈出窗口里,輸入文件名,即可恢復(fù)文件。

      復(fù)制選塊至新文件

      復(fù)制選塊至新文件

            WinHex下載

            這個(gè)是WinHex18.3_x86_x64免安裝破解中文版,本人正在使用,沒有遇到任何問題。

            下載地址:http://pan.baidu.com/s/1bn54zXd

      相關(guān)鏈接

      windows損壞文件無法讀取 運(yùn)行Chkdsk工具解決問題

      今天,不知道哪里出的問題,突然間電腦不斷的彈出新的窗口,導(dǎo)致電腦死機(jī),最后不得不重新啟動電腦。

      重新啟動電腦后,當(dāng)我打開IE時(shí),竟然在右下角彈出一個(gè)警告提示,大概意思是“windows損壞文件無法讀取,需運(yùn)行Chkdsk工具”

      。。。

    x