Windows system >> Windowsの知識 >  >> コンピュータソフトウェアのチュートリアル >> システムツール >> NTFSボリュームで誤って削除されたファイルの手動回復

NTFSボリュームで誤って削除されたファイルの手動回復

  
データ回復の場合、ファイル削除後に実行されるすべてのデータは残りのMFTで見つけることができますが、データ実行数が少ないほど断片化または断片化は少なくなります。ファイルが上書きされる可能性が低いほど、データ回復の可能性が高くなります。以下は、誤ってNTFSボリュームからファイルを手動で復元するプロセスです。 1.復元するファイルNTFSボリューム内のファイルを削除しても、そのMFTは削除されていません削除したファイルをNTFSボリューム内に復元する例を示します。図5-1に示すように、photoという名前のディレクトリに「penquan.jpg」という名前のファイルがあります。ユーザーが誤ってこのファイルを削除したとします。図5-1 NTFSボリュームで削除するファイル2.ファイルを復元するMFTを見つけます図5-2に示すように、まずWinHexがある論理ディスクを開きます。図5-2ディスクパーティションの選択図5-3に示すように、ディスクのパーティションを開き、パーティションのMFTを見つけます。図5-3 MFTの先頭に移動します。3.データを回復します。パーティションの$ MFTを見つけたら、図5-4に示すように、ファイル名からファイルのMFTを見つけます。図5-4ファイルのMFTの検索結果を図5-5に示します。図5−5削除されたファイルのMFT最初にMFTヘッダを見ると、オフセット15.16Hはファイルが削除されたことを示すために0であり、システムは新しいファイルを作成するときにこのファイルを上書きするかどうかを決定する。 MFTであなた自身のMFTを作成してください。 10H属性は分析されません。復元したいファイルのすべての時間属性が以前と同じでない限り、ユーザーはそれほど高くないため、10H属性をスキップしても分析されません。 30H属性はここでは分析されません。重要なのは、80H属性、つまりデータ属性を分析することですが、属性の記述すべてにおいて、データを回復するための最も有用な情報が2つあり、1つはオフセット00C12DD160Hから始まる8バイト属性がファイル506Eの実際のサイズです。単位はバイトです。もう1つの場所は、オフセット00C12DD170Hから始まるデータ実行位置の説明です。ここでは、16進数41H 06H 83H 0BH 90H 00Hです。ここで、41Hはクラスター数を定義し、その後にファイルのデータ実行を示す1バイト、およびデータ実行の開始論理クラスター番号を示す4バイトが続きますここでは、操作が06クラスターを占有することを定義します。その開始論理クラスター番号は900B83Hです。開始クラスタ番号と実行されるデータの実際のサイズ、そして実行されているクラスタの数さえわかっていれば、ファイルデータを簡単に復元できます。 WinHexで「場所」を選択します。 [セクタに変換]コマンドをクリックしてダイアログボックスを開き、[クラスタ]テキストボックスに9440131(900B83Hに変換された10進数)を入力して[OK]をクリックします。写真のファイルヘッダーロゴ。見つかったデータの始点を右クリックして、[Select Block Start]コマンドを選択します。図5-6に示すとおり
図5-6ファイルの開始位置
Copyright © Windowsの知識 All Rights Reserved