过去几周,我正在对文件分配表恢复进行某种探索。我的目的是通过签名找到可能已删除的文件(例如,通过“50 4B 03 04”字节的 ZIP 文件)并恢复整个内容以在其中进行搜索。
我已经探索过 FAT 存在的问题:文件系统使用分配表索引来进行集群链存储和已删除文件标记,这使得文件恢复乍一看是不可能的。
但是有一个恢复软件广告承诺恢复从 FAT 文件系统中删除的文件。因此,我认为可能有一种解决方法。
我发现我们可以成功恢复连续位于磁盘上的文件。第一个集群给了我们一个索引,索引地址值给了我们找到存储文件大小的目录条目的强大可能性。但这是结束了吗?我也想恢复碎片文件,但找不到方法。
任何人都可以知道一种解决方法并在这里帮助我吗?
FAT 文件系统为每个文件和文件夹使用一个目录条目。它显示起始簇、文件名、日期和大小。要访问文件,系统会在目录中查找文件并记下起始集群。然后它转到与起始簇相对应的 FAT(文件分配表)簇。起始簇条目包含下一个簇的簇号。下一个集群条目指向下一个集群,依此类推,直到您到达文件末尾标记,这意味着这是文件使用的最后一个集群。
当您删除文件或文件夹时。它找到它所在的目录并将文件或文件夹名称条目的第一个字母更改为 E6 十六进制(不确定它是 E6 还是稍有不同),然后删除 FAT 链。
这就是为什么一旦文件被删除,您只能恢复 FAT 系统中的连续文件。所有数据恢复实用程序都将使用此方法。除非您能找到正确的簇链仍然存在的 FAT 痕迹,否则没有其他可用的。