簡介：利用winhex手工恢復

一棒旗、winhex簡介

? ??winhex 是一個以16 進制編輯器為核心喘批，檢查和修復各種文件、恢復刪除文件铣揉、硬盤損壞造成的數(shù)據(jù)丟失等的軟件（挺牛逼）

二饶深、NTFS

? ? 是windows使用的文件系統(tǒng)

? ? ?1.特點

? ? ? ?（1） 安全性較高 ，NTFS文件系統(tǒng)有日志容錯功能逛拱，所以安全性比FAT文件系統(tǒng)高敌厘。

? ? ? ?（2）NTFS文件系統(tǒng)可以給文件設置訪問權限

? ? ? ?（3） 支持文件壓縮和文件加密

? ? ? ?（4）可以磁盤配額

? ? ? ?（5） NTFS文件系統(tǒng)支持大分區(qū)（在MBR磁盤最大支持2T，在GPT磁盤支持的分區(qū)更大）

? ? ? ?（6）NTFS文件系統(tǒng)支持大文件（大于4G）

? ? 2.說明

? ? ? ?關于NTFS文件系統(tǒng)的結構等其他知識詳見

NTFS 文件系統(tǒng)介紹 - 簡書

三朽合、準備工作

? ? ? ? 在進行恢復之前咱們創(chuàng)建一個虛擬磁盤VHD在俱两，在里面進行恢復，其好處是不會對系統(tǒng)造成損害曹步，且在$MFT中文件記錄少宪彩，方便查找

? ? 1.創(chuàng)建vhd

? ? ? ? （1）右擊“此電腦”點擊管理

????????（2）點擊磁盤管理

? ? ? ? （3）右擊“磁盤管理”，點擊創(chuàng)建VHD

? ? （4）選擇路徑和大屑堋（按自身決定）

? ? ? ? 這底部會有進度提醒

（5）初始化磁盤

????????（6）分配磁盤毯焕，這里總共就2G全部分配

????????????新建卷

（7）分配完成

四衍腥、手工恢復

????這里展示兩種常駐屬性和非常駐屬性恢復磺樱。

? ?（1）?常駐屬性：直接在MFT項中記錄屬性體

? ? ? ? ? ? ? ? ? ? ? ? 優(yōu)點：訪問速度快

????????????????????????缺點：只能記錄少量的數(shù)據(jù)

? ? （2）非常駐屬性：在MFT之外的區(qū)域記錄屬性體

? ? ? ? ? ? ? ? ? ? ? ? 優(yōu)點：用簇流記錄文件存儲的數(shù)據(jù)區(qū)域，可以記錄很大的數(shù)據(jù)

? ? ? ? ? ? ? ? ? ? ? ? 缺點：訪問速度較慢

????1.常駐屬性恢復

? ? ? ?（1）在新建的vhd中創(chuàng)建一個文件婆咸，并寫入較少內容

? ? ? ? （2）打開winhex竹捉，加入磁盤

可以看到剛剛創(chuàng)建的文件

? ? ? ?（3）刪除

? ? ? （4）重新載入磁盤

? ? （5）因為winhex以16進制為核心，咱們先把文件名字轉為16進制尚骄，在網(wǎng)頁上搜索字符轉16進制的在線工具即可块差，我給出一個網(wǎng)址

十六進制編碼 - 在線六角編碼器

https://www.convertstring.com/zh_CN/EncodeDecode/HexEncode

? ? （6）輸入文件名以及定界符，得到結果

? ? ? ? （7）回到winhex中，搜索16進制數(shù)據(jù)憨闰，注意這里要從$MFT開始搜索状蜗，MFT主文件表，每個文件的信息都在這個MFT中有記錄

? ? （8）可得到文件在MFT中的索引名

? ? ? ? （9）復制這16進制值鹉动，并搜索

得到123.txt的MFT表轧坎，

·其中80屬性里保存了文件的內容

·00代表的常駐屬性

·相對于80屬性偏移10-13的地方,即藍色框的地方是文件的大小 17H

·相對于80屬性14-15的地方,即黃色框的地方是文件的起始偏移量18H

這塊的偏移量位置可以用工具確定，按住alt+g,選擇80位置從當前位置偏移10即可找到文件大小的位置泽示。

（10）恢復文件

? ? ? ?得到文件的大小和起始簇的偏移量缸血，直接跳轉到起始位置

????相對于80偏移的18的地方是6A

????????????右擊6A，點擊選擇起始位置

? 在以64位起始位置偏移17

?得到00位械筛，并選擇尾部

右擊編輯——復制選塊——致新文件

至此恢復成功

?2.非常駐屬性恢復

? ? ? ? 這里就省略一些不必要的步驟

? ? （1）創(chuàng)建一個文件捎泻，并刪除

? ? （2）重新載入winhex

? ? （3）字符轉為16進制

????（4）搜索MFT表

? ? （5）復制16進制值

????（6）搜索存儲此文件的MFT表

（7）查看信息

·其中80屬性里保存了文件的內容

·01代表的非常駐屬性

·這里的黃框是簇流信息，表示著文件的內容存在的位置

????21 10 46 08?

? ? （8）恢復

? ? ? 這里要倒著看起始簇埋哟，為0846h笆豁，轉換為10進制為

? ? ? ? 或者直接用winhex自帶的數(shù)據(jù)解釋器

? ? ctrl+g調轉簇區(qū)

? ? ? ? 選擇起始位置

? ? ? ? ? ?尾部位置=起始簇+簇流大小=2118+16（16進制的10轉為10進制為16）=2134

右擊編輯——復制選塊——致新文件

恢復成功

如有錯誤的地方還請各位多多指教，謝謝