前面我们使用这个软件发现了很多删除掉的数据,今天来看看簇。FAT文件系统中,存在一个簇的链接,我知道了簇1在哪里就可以顺藤摸瓜恢复所有的信息。

这里使用FAT 12为例子,FAT其他万变不离其宗,甚至其他文件系统都有相似处。有了这次体验,你就可以大胆去尝试和猜测,点击与判断。感受一下吧。

来源:Unit 6: Windows File Systems and Registry 6.1 Windows File Systems and Registry Windows FAT File Systems

文章中比如,簇,第一簇,红色簇,蓝色簇,绿色簇都有它的伏笔。甚至所有的笔记都有伏笔。对哪里有疑惑,就应该生出危机意识,笔记或者文档只是用来备份,而不是用来学习的地方。

如果是学习,就不能忽略掉我给的来源。文章也已翻译好,虽然不怎么修正术语,但是玩一玩大家来找茬,还是可以发现英文对应的正确术语叫什么的。

演示工具Encase

查看大量的引导记录。前面的文章中出现过这个工具的演示,是在说boot引导的地方。

这里打开的文件系统是FAT 12。注意windows7的NTFS系统也可以用此工具。Windows8以及windows 2012的文件系统是一个新的系统,这以为着需要更先进的工具来支持。很遗憾,这里不关注它们。如果你很想掌握,去SANS社区收集信息即可。

这是第一个扇区,这是引导记录

你点击一个,它自己全部选择上1,这是FAT文件系统表    2是这个表的备份

绿色的是根目录,蓝色的是当前分配的数据区。灰色的是目前没有使用的,里面是历史数据,垃圾数据

现在重点关注这个根目录的内容,选到它的第一个扇区,使用十六进制数查看

大小端伏笔:第一个簇的信息驻留在第二行的26-27字节中02 00这是小端的顺序,需要把它反过来,变成00 02,做一个交换。因为人的阅读是从左到右,而计算机的阅读是比特为最小单位,01011110这个肯定是最右边最小,如果计算机从最右边开始操作就是小端。从左边开始操作就是大端。

举例:内地地址为十六进制的0002,拿出的是02,显示的02又在前面就变成了02 00这跟内存地址是个反的,交换一下变成0002就跟内存地址表示得一样了,这样才不会错。至于怎么拿,到底是大端还是小端,搞不清楚没关系。关键的地方就在于,内地地址是多少,你丫的显示的时候不要搞反。

一旦找到第一个簇,它将使用FAT表来找其他簇。如果你看到文件名以E5开头比如File1,这就被删除了。E5在FAT 12文件系统(dos系统的时代,在windows 98以前)中表示删除,这是一个固定的标志。看见一眼,就能100%肯定

回过头去看看删除的目录,文件夹的开头内容有点和点点。

前面我们看见第一个簇它是00 02 ,右边内容发现这第一个簇对应的是file4文件的内容。

点开文件4,发现是一张图片,最底下的 PS33 LS33 CL 2,这个CL 2 表示的就是簇2.

【干货】查看windows文件系统中的数据—利用簇号查看文件与恢复文件的更多相关文章

  1. 4.安装etcdkeeper查看etcd数据库中的数据

    作者 微信:tangy8080 电子邮箱:914661180@qq.com 更新时间:2019-06-24 12:47:59 星期一 欢迎您订阅和分享我的订阅号,订阅号内会不定期分享一些我自己学习过程 ...

  2. SQL SERVER 数据库中查看文本字段中的数据长度LEN() 函数的使用方法

    SQL LEN() 语法 SELECT LEN(column_name) FROM table_name Id LastName FirstName Address City 1 Adams John ...

  3. Hive数据导入——数据存储在Hadoop分布式文件系统中,往Hive表里面导入数据只是简单的将数据移动到表所在的目录中!

    转自:http://blog.csdn.net/lifuxiangcaohui/article/details/40588929 Hive是基于Hadoop分布式文件系统的,它的数据存储在Hadoop ...

  4. Windows系统中CMD wmic查看硬盘、内存、CPU、BIOS、网卡等信息。(附带脚本)

    目录 Windows系统中CMD wmic查看硬盘.内存.CPU.BIOS.网卡等信息. 查看内存相关 查看内存主板数量(两条命令均可) 查看物理内存 查看逻辑内存 查看缓存 查看虚拟内存 查看网络相 ...

  5. Windows Phone实用教程:利用Blend为程序添加设计时数据

    [前言] Blend自诞生那一天起就伴随这开发者如此的评价: 有VS还用Blend干啥,直接码代码就好了. Blend会生成一堆垃圾无用代码,很不爽. 对于这类我只会在心里评价,当你并不真正了解一样事 ...

  6. Verilog利用$fdisplay命令往文件中写入数据

    最近在做的事情是,用FPGA生成一些满足特定分布的序列.因此为了验证我生成的序列是否拥有预期的性质,我需要将生成的数据提取出来并且放到MATLAB中做数据分析. 但是网上的程序很乱,表示看不懂==其实 ...

  7. 使用hexdump追踪FAT32文件系统中的一个文件

    最近在看文件系统基础结构等知识,本来重点是想看EXT4文件系统,但是目前没有找到比较详细说明EXT4文件系统详细结构的,用EXT3的对应着找结果有点出入,在想是不是我用hexdump的参数有问题,于是 ...

  8. 使用Hive或Impala执行SQL语句,对存储在HBase中的数据操作

    CSSDesk body { background-color: #2574b0; } /*! zybuluo */ article,aside,details,figcaption,figure,f ...

  9. Jmeter----读取excel表中的数据

    Jmeter 读取excel数据使用的方法是使用CSV Data Set Config参数化,之后使用BeanShell Sampler来读取excel表中的数据 第一步.查看所需的接口都要哪些字段和 ...

随机推荐

  1. Scrum Meeting day 1

    第一次会议,在这一次的会议中,明确了任务目标,并将任务进行合理分配,并且规划了整个任务的初步计划. No_00:分工情况 姓名 分工   崔强      PM 杜正远 主力工程师 王嘉豪 主力工程师 ...

  2. 2-Fifteenth Scrum Meeting-20151215

    任务安排 成员 今日完成 明日任务 闫昊 修复bug  写完学习进度记录的数据库操作 唐彬 编写与服务器交互的代码  编写与服务器交互的代码 史烨轩 获取视频url   余帆 修复bug  本地路径的 ...

  3. #Leetcode# 373. Find K Pairs with Smallest Sums

    https://leetcode.com/problems/find-k-pairs-with-smallest-sums/ You are given two integer arrays nums ...

  4. 【大数据】Zookeeper学习笔记

    第1章 Zookeeper入门 1.1 概述 Zookeeper是一个开源的分布式的,为分布式应用提供协调服务的Apache项目. 1.2 特点 1.3 数据结构 1.4 应用场景 提供的服务包括:统 ...

  5. scheme 之门

    scheme 之门 开始之前 这是一篇 Scheme 的介绍文章. Scheme 是一个 LISP 的方言, 相对于 Common LISP 或其他方言, 它更强调理论的完整和优美, 而不那么强调实用 ...

  6. 沉迷AC自动机无法自拔之:[UVALive 4126] Password Suspects

    图片加载可能有点慢,请跳过题面先看题解,谢谢 一看到这么多模式串就非常兴奋,又是\(AC\)自动机 题目就是要求:经过 \(n\) 个节点,把所有单词都遍历一遍的方案数,和那道题差不多嘛 所以这样设: ...

  7. 超实用Image类

    using System; using System.Drawing; using System.Drawing.Imaging; using System.IO; using System.Runt ...

  8. luogu2048 [NOI2010]超级钢琴 (优先队列+主席树)

    思路:先扫一遍所有点作为右端点的情况,把它们能产生的最大值加到一个优先队列里,然后每次从优先队列里取出最大值,再把它对应的区间的次大值加到优先队列里,这样做K次 可以用一个前缀和,每次找i为右端点的第 ...

  9. bzoj3612 平衡 (dp)

    设f[i][j]为把i拆成j个不重复的.大于0小于等于N的数的方案数 我们考虑一个方案是怎么来的:(初始状态是f[0][0]=1) 如果这个方案里有1,那它是先把原来的状态的每个数加1.然后再增加一个 ...

  10. nowcoder106I Neat Tree (单调栈)

    Richard神犇出给nowcoder的题 用单调栈找到每个点它向右和向左的第一个大于或小于它的位置,然后它作为最大值/最小值的区间就要在这个范围里,那么它的贡献就是这个区间长度乘一乘再减一减 注意一 ...