一. 非常驻80H属性
1.将111.docx放置在E盘随后将其删除
2.搜索-查找十六进制数值 23 00 00 00 ,新文件会从编号23开始放置,我们可以通过00 00了解到该文件被删除,说明是我们刚刚删除的文件。
3.文件信息通常储存在80H属性,我们观察到该文件属于非常驻(01),也可以了解到文件大小,起始簇号等等,我们就可以通过以下的信息去进行恢复:
由上图可知:
(1)起始簇号 03 E1 0B 778499
(2)每簇扇区数 8 通过数字解释器查看(如下图所示)
(3)起始扇区 778499*8=6227992扇区
(4)文件大小 BC 2C 00 00 11452字节 11452/512=22扇区
(5)结束扇区=起始扇区+文件大小 6228014扇区
4.我们可以根据起始扇区和文件大小直接进行定位
5.复制选块至新文件并命名为hf111.docx,恢复成功,随后对比hash值。
二.常驻80H属性
1.创建一个xinan.txt的文件,放置E盘并删除,随后打开winhex
2.通过搜索找到23编号,发现文件就藏在80数据流当中,文件的字节总数为45,确定文件结束位置,直接定位恢复即可,恢复完成后对比hash值。
三.子目录文件恢复
1、打开虚拟机设置,添加一个20G大小的硬盘,进入磁盘管理,将其格式化为NTFS系统。进入E盘新建文件夹并复制一张图片到里面, 将新建文件夹删除,再清空回收站彻底删除。
2.进入winhex,NTFS文件系统中所有新建文件夹都是从23开始编号,所以可以在搜索,查找十六进制数值中搜索。
00 00表示图片被删除,48 E1 07 00表示图片的大小,B2 D4 0B表示起始簇号
3.23表示文件夹的位置,图片在24里面
由上图可知:
(1)文件大小48 E1 07 00 516424字节 1008扇区
(2)起始簇号B2 D4 0B 775346
(3)每簇扇区数8
(4)起始扇区775346*8=6202768
(5)结束扇区6202768+1008=6203776
4.跳转扇区(起始扇区),再跳转偏移量(文件大小)
5.对比恢复的图片和原始图片,相同即可
补充:
除计算文件起始结束位置的方法外,还可以使用查找文件unicode码的方法。
创建文件qlj.txt并复制至E盘并永久删除,打开winhex在MFT中定位跳转文件名qlj。
搜索删除后文件名的十六进制数值跳转后并复制至新文件。
随后对比hash值,确认是否恢复。