卡卡網

當硬盤里的某些重要文件被不小心刪除后，怎么辦呢，其實，要恢復已刪文件可以借助一些工具來實現，本文介紹如何使用WinHex恢復刪除的文件。

了解WinHex

WinHex是一個專門用來對付各種日常緊急情況的小工具。它可以用來檢查和修復各種文件、恢復刪除文件、硬盤損壞造成的數據丟失等。同時它還可以讓你看到其他程序隱藏起來的文件和數據?？傮w來說是一款非常不錯的16 進制編輯器。

使用WinHex恢復刪除的文件的操作過程

1、打開磁盤

打開磁盤

2、直接恢復文件

如果文件是不久前刪除的話，可以看到已經刪除的文件，這時便可以直接恢復文件了。

直接恢復文件

3、通過$MFT恢復文件

如果在文件列表里沒有看到已刪除的文件，那么可以從$MFT里恢復。

$MFT，主文件表(Master File Table)，存在于是NTFS文件系統(tǒng)里。當文件在硬盤上刪除后，文件記錄并沒有從$MFT里刪除，因此可以從$MFT里恢復已刪文件。

1）打開$MFT

右鍵點擊“$MFT”，然后點擊“打開”。

打開$MFT

2）查找要恢復的文件

按組合鍵CTRL+F彈出窗口，輸入要恢復的文件名或關鍵詞，選擇“Unicode”。

查找要恢復的文件

3）找到要恢復的文件記錄

要恢復的文件記錄

找到要恢復的文件記錄，接著是進行數據分析，這是恢復過程中最關鍵的一步。分析如下：

紅色圈出的FILE0，是文件頭的開始標識。偏移文件頭16H的位置，即藍色圈出的00，00表示該文件已經被刪除。

紅色圈出的80，是數據屬性的標識。在偏移8H的位置，如果是01，即藍色圈出的地方（本例是01，如果是00，則接下來的分析要看這里如何使用WinHex恢復刪除的文件（2）），那么要看偏移30H的地方，即藍色圈出的D9 F1 07，這個便是文件的大小，十六進制表示為“7F1D9”。再看偏移40H的地方，即藍色圈出的42 80 00 BC 50 2B 01，42表示后面的數據中，前兩個是族數，這里為80個族，后四個是族號的開始位置，十六進制表示為“12B50BC”。

       這個分析主要是得到兩個數據，族的起始位置和文件大小。

4）通過族的起始位置和文件大小來恢復文件

切換到磁盤窗口，選中$MFT，然后按組合鍵CTRL+G，輸入族的起始位置19615932（把十六進制12B50BC轉換為十進制，百度一下轉換工具吧，可以在此網頁里轉換http://jinzhi.supfree.net/）。

輸入族的起始位置

點擊確定后，在鼠標出現的地方，點擊右鍵，然后點擊“選塊起始”。

選塊起始

按組合鍵ALT+G，彈出轉到偏移量的窗口，這里選擇相對于“當前位置”，然后輸入7F1D9（第三步分析中得到的文件大小，十六進制）。

轉到偏移量

點擊確定后，在鼠標出現的地方，點擊右鍵，然后點擊“選塊結束”。

選塊結束

選塊結束后，在鼠標出現的地方，點擊右鍵，然后點擊“編輯”。

編輯

      點擊編輯后，然后點擊“復制選塊-至新文件”，在彈出窗口里，輸入文件名，即可恢復文件。

復制選塊至新文件

      WinHex下載

      這個是WinHex18.3_x86_x64免安裝破解中文版，本人正在使用，沒有遇到任何問題。

      下載地址：http://pan.baidu.com/s/1bn54zXd

相關鏈接

windows損壞文件無法讀取 運行Chkdsk工具解決問題

今天，不知道哪里出的問題，突然間電腦不斷的彈出新的窗口，導致電腦死機，最后不得不重新啟動電腦。

重新啟動電腦后，當我打開IE時，竟然在右下角彈出一個警告提示，大概意思是“windows損壞文件無法讀取，需運行Chkdsk工具”

。。。