CN104331348A - 一种还原fat32目录项的起始簇号恢复文件的方法 - Google Patents
一种还原fat32目录项的起始簇号恢复文件的方法 Download PDFInfo
- Publication number
- CN104331348A CN104331348A CN201410693388.8A CN201410693388A CN104331348A CN 104331348 A CN104331348 A CN 104331348A CN 201410693388 A CN201410693388 A CN 201410693388A CN 104331348 A CN104331348 A CN 104331348A
- Authority
- CN
- China
- Prior art keywords
- file
- directory entry
- starting cluster
- directory
- perform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种还原FAT32目录项的起始簇号恢复文件的方法,其特征在于包括以下步骤:S1:检索数据区,区分被删除文件;S2:根据被删除文件的目录项,得到目录项起始簇号的高位;S3:检索高位被清零的目录项,并记录;S4:提取S3中记录的目录项恢复对应文件;S5:判断是否完成任务,若是则结束,若否则执行S4。本发明能够找到并恢复起始簇号高位被清除的文件;通过父目录或同级文件高位缩小检索范围,缩短程序运行时间;经过三重判断恢复文件提高成功率。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种还原FAT32目录项的起始簇号恢复文件的方法。
背景技术
FAT32是Windows系统硬盘主要分区格式的一种,存储的数据中涉及人们的工作、学习、生活、交往、财务、休闲、娱乐、情感等,对个人或公司来说都是十分珍贵的无形资产。同时作为电子证据的一种,犯罪嫌疑人的硬盘数据是公安机关、检察院等司法部门破案的关键。
目前常见的恢复FAT32文件系统中被删除数据的方法主要是通过按文件目录项起始簇号低位进行恢复,但起始簇号高位若被清除,高低位组合的首簇是不正确的,不能正确的进行恢复文件;因此当前急需一种还原FAT32目录项的起始簇号来恢复文件的方法。
发明内容
本发明针对现有技术的缺陷,提出一种通过还原FAT32目录项的起始簇号恢复文件的方法,能有效的解决上述现有技术存在的问题。
为了实现上述目的,本发明采用的技术方案是:一种还原FAT32目录项的起始簇号恢复文件的方法,包括以下步骤:
S1:检索数据区,通过目录项区分被删除文件;
S2:根据被删除文件的目录项,得到目录项起始簇号的高位;
S3:检索高位被清零的目录项,并记录;
S4:提取S3中记录的目录项之一,计算该目录项起始簇号恢复对应文件;
S5:判断是否完成所有起始簇号高位被清零文件的恢复,若是则结束,若否则执行S4。
作为优选,所述S4包括以下步骤:
S401:记录该目录项的起始簇号低位及文件大小信息;
S402:查找该目录项的父目录和同级文件的目录项;
S403:选择提取父目录或同级文件目录项中的起始簇号高位;
S404:若为父目录,则起始簇号高位向上偏移一位;若为同级文件,根据同级文件目录项位置向上或向下偏移一位;若偏移位置到达父目录头部或尾部,停止偏移,执行S4。
S405:根据偏移后的高位和S401记录的低位得到新的起始簇号;
S406:根据S405得到的起始簇号对应的文件头判断是否为常用文件,若是则执行S407,若否则执行S404;
S407:根据起始簇号及S401记录的文件大小判断对应的FAT项是否为连续的未使用状态;若是则执行S408,若否则执行S404;
S408:根据起始簇号及S401记录的文件大小截取文件,分析该文件是否正确;若是则执行S409,若否则执行S404;
S409:恢复该文件。
与现有技术相比本发明的优点在于:能够找到并恢复起始簇号高位被清除的文件;通过父目录或同级文件高位缩小检索范围,缩短程序运行时间;经过三重判断恢复文件成功率和正确率高。
附图说明
图1为本发明的主流程图;
图2为本发明步骤S4的详细流程图。
具体实施方式
为了详细说明本发明的具体实施方式,下面结合附图以说明:
如图1所示,一种还原FAT32目录项的起始簇号恢复文件的方法,包括以下步骤:
S1:检索数据区,通过目录项区分被删除文件,这里需要检索到目录项开头为“E5”则认为这是被删除文件的目录项。
S2:根据被删除文件的目录项,得到目录项起始簇号的高位。
S3:检索并记录起始簇号高位为“00 00”的目录项。
S4:提取S3中记录的目录项之一,计算该目录项起始簇号进行比对并恢复对应文件。
S5:判断是否完成所有起始簇号高位被清零文件的恢复,若是则结束,若否则执行S4。
如图2所示,所述步骤S4的详细步骤如下:
S401:记录该目录项的起始簇号低位及文件大小信息,目录项中已包含低位信息和文件大小信息。
S402:根据该目录项找到其父目录和同级文件的目录项。
S403:选择提取父目录或同级文件目录项中的起始簇号高位。
S404:若选择父目录,则起始簇号高位向上偏移一位;若选择同级文件,根据同级文件目录项位置向上或向下偏移一位;例如高位为“02”,则将高位变为“01”或“03”;若偏移位置到达父目录头部或尾部的边界,停止偏移,执行S4。
S405:根据偏移后的高位和S401记录的低位得到新的起始簇号。
S406:根据S405得到的起始簇号对应的文件头判断是否为常用文件,若是则执行S407,若否则执行S404;这里需要将常用文件的文件头分别和对应的文件头进行匹配。
S407:根据起始簇号及S401记录的文件大小判断对应的FAT项是否为连续的未使用状态;若是则执行S408,若否则执行S404;一个文件的大小对应在FAT表中的FAT项,文件被删除后FAT项也会被清除,只需判断该文件对应的FAT表中的FAT项是否被清空即可,若已经被清空而且清空范围和文件大小范围吻合则认为可能是有效文件。
S408:根据起始簇号及S401记录的文件大小截取文件,分析该文件是否为有效,是否损坏;若是则执行S409,若否则执行S404。
S409:恢复该文件。
以上描述阐述了具体细节以便充分理解本发明,但本发明还可以采用其他不同于此描述方式来实施,因此本发明并不限于以上公开的具体实施例。
Claims (3)
1.一种还原FAT32目录项的起始簇号恢复文件的方法,其特征在于包括以下步骤:
S1:检索数据区,通过目录项区分被删除文件;
S2:根据被删除文件的目录项,得到目录项起始簇号的高位;
S3:检索高位被清零的目录项,并记录;
S4:提取S3中记录的目录项之一,还原该目录项起始簇号并恢复对应文件;
S5:判断是否完成所有起始簇号高位被清零文件的恢复,若是则结束,若否则执行S4。
2.根据权利要求1所述的一种还原FAT32目录项的起始簇号恢复文件的方法,其特征在于所述S4包括以下步骤:
S401:记录该目录项的起始簇号低位及文件大小信息;
S402:查找该目录项的父目录和同级文件的目录项;
S403:选择提取父目录或同级文件目录项中的起始簇号高位;
S404:若为父目录,则起始簇号高位向上偏移一位;若为同级文件,根据同级文件目录项位置向上或向下偏移一位;若偏移位置到达父目录头部或尾部的边界,停止偏移,执行S4。
3.S405:根据偏移后的高位和S401记录的低位得到新的起始簇号;
S406:根据S405得到的起始簇号对应的文件头判断是否为常用文件,若是则执行S407,若否则执行S404;
S407:根据起始簇号及S401记录的文件大小判断对应的FAT项是否为连续的未使用状态;若是则执行S408,若否则执行S404;
S408:根据起始簇号及S401记录的文件大小截取文件,分析该文件是否正确;若是则执行S409,若否则执行S404;
S409:恢复该文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410693388.8A CN104331348A (zh) | 2014-11-27 | 2014-11-27 | 一种还原fat32目录项的起始簇号恢复文件的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410693388.8A CN104331348A (zh) | 2014-11-27 | 2014-11-27 | 一种还原fat32目录项的起始簇号恢复文件的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104331348A true CN104331348A (zh) | 2015-02-04 |
Family
ID=52406080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410693388.8A Pending CN104331348A (zh) | 2014-11-27 | 2014-11-27 | 一种还原fat32目录项的起始簇号恢复文件的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104331348A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105786653A (zh) * | 2016-03-01 | 2016-07-20 | 厦门市美亚柏科信息股份有限公司 | 基于fat32文件系统的文件恢复方法及其系统 |
| CN108170372A (zh) * | 2017-12-08 | 2018-06-15 | 厦门集微科技有限公司 | 基于云硬盘的数据处理方法和装置 |
| CN109614370A (zh) * | 2018-11-28 | 2019-04-12 | 万兴科技股份有限公司 | 磁盘文件扫描方法、装置、计算机设备及存储介质 |
| CN112905546A (zh) * | 2021-03-15 | 2021-06-04 | 深圳软牛科技有限公司 | 已删除文件的恢复方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773462A (zh) * | 2005-10-17 | 2006-05-17 | 珠海金山软件股份有限公司 | 恢复fat32分区已删除文件的方法 |
| CN1904845A (zh) * | 2006-08-01 | 2007-01-31 | 珠海金山软件股份有限公司 | 恢复fat32文件系统中已删除文件的方法 |
| CN1928869A (zh) * | 2006-09-19 | 2007-03-14 | 珠海金山软件股份有限公司 | 删除fat卷中文件的方法 |
| CN1945571A (zh) * | 2006-08-16 | 2007-04-11 | 珠海金山软件股份有限公司 | Fat卷中重建目录结构和恢复数据的方法 |
| US20100138406A1 (en) * | 2008-03-12 | 2010-06-03 | Samsung Electronics Co., Ltd. | File access method and system |
| US20110035358A1 (en) * | 2009-08-07 | 2011-02-10 | Dilip Naik | Optimized copy of virtual machine storage files |
-
2014
- 2014-11-27 CN CN201410693388.8A patent/CN104331348A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773462A (zh) * | 2005-10-17 | 2006-05-17 | 珠海金山软件股份有限公司 | 恢复fat32分区已删除文件的方法 |
| CN1904845A (zh) * | 2006-08-01 | 2007-01-31 | 珠海金山软件股份有限公司 | 恢复fat32文件系统中已删除文件的方法 |
| CN1945571A (zh) * | 2006-08-16 | 2007-04-11 | 珠海金山软件股份有限公司 | Fat卷中重建目录结构和恢复数据的方法 |
| CN1928869A (zh) * | 2006-09-19 | 2007-03-14 | 珠海金山软件股份有限公司 | 删除fat卷中文件的方法 |
| US20100138406A1 (en) * | 2008-03-12 | 2010-06-03 | Samsung Electronics Co., Ltd. | File access method and system |
| US20110035358A1 (en) * | 2009-08-07 | 2011-02-10 | Dilip Naik | Optimized copy of virtual machine storage files |
Non-Patent Citations (5)
| Title |
|---|
| 张亮: "面向电子取证的数据获取方法及实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 李岩: "计算机取证中关键技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 王丹: "基于WINDOWS系统平台的数据恢复机制的研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 王继林: "《信息安全导论》", 31 August 2012, 西安电子科技大学出版社 * |
| 赵霜: "《数据安全存储与数据恢复》", 31 July 2013, 西北工业大学出版社 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105786653A (zh) * | 2016-03-01 | 2016-07-20 | 厦门市美亚柏科信息股份有限公司 | 基于fat32文件系统的文件恢复方法及其系统 |
| CN105786653B (zh) * | 2016-03-01 | 2018-09-11 | 厦门市美亚柏科信息股份有限公司 | 基于fat32文件系统的文件恢复方法及其系统 |
| CN108170372A (zh) * | 2017-12-08 | 2018-06-15 | 厦门集微科技有限公司 | 基于云硬盘的数据处理方法和装置 |
| CN109614370A (zh) * | 2018-11-28 | 2019-04-12 | 万兴科技股份有限公司 | 磁盘文件扫描方法、装置、计算机设备及存储介质 |
| CN109614370B (zh) * | 2018-11-28 | 2021-11-09 | 万兴科技股份有限公司 | 磁盘文件扫描方法、装置、计算机设备及存储介质 |
| CN112905546A (zh) * | 2021-03-15 | 2021-06-04 | 深圳软牛科技有限公司 | 已删除文件的恢复方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104331348A (zh) | 一种还原fat32目录项的起始簇号恢复文件的方法 | |
| CN104462433B (zh) | 一种恢复fat32分区数据的方法 | |
| TW200739371A (en) | Information processing apparatus and method, and a computer readable storage medium encoded with a computer program | |
| CN102937926A (zh) | 一种恢复移动终端已删除sqlite文件的方法及装置 | |
| US10459804B2 (en) | Database rollback using WAL | |
| JP2018526837A5 (zh) | ||
| CN103593371A (zh) | 推荐搜索关键词的方法和装置 | |
| CN104270605B (zh) | 一种视频监控数据的处理方法及装置 | |
| CN106202157A (zh) | 基于时间流的视频快速检索方法 | |
| CN101763296A (zh) | 硬盘分区表快速逆向搜索重组与恢复方法 | |
| CN106021985A (zh) | 一种基因组数据压缩方法 | |
| CN104899114A (zh) | 一种固态硬盘上的连续时间数据保护方法 | |
| CN105447168A (zh) | Mp4格式的碎片文件恢复与重组的方法 | |
| CN103136244A (zh) | 基于云计算平台的并行数据挖掘方法及系统 | |
| CN102902766B (zh) | 检测词汇的方法与装置 | |
| CN106648948B (zh) | 一种针对西数硬盘11号模块损坏的修复方法 | |
| CN105786653B (zh) | 基于fat32文件系统的文件恢复方法及其系统 | |
| CN103986981A (zh) | 多媒体文件的情节片段的识别方法及装置 | |
| RU2016124319A (ru) | Способ и устройство для восстановления дедуплицированных данных | |
| CN103942122B (zh) | 一种识别AVI类型block的方法 | |
| CN103399714B (zh) | 存储设备配置信息的维护系统及其使用方法 | |
| CN102915262A (zh) | 一种基于Cloudview的管理数据内容数据备份方法 | |
| US20130144799A1 (en) | Computing device and method for extracting patent rejection information | |
| CN104615948A (zh) | 一种自动识别文件完整性与恢复的方法 | |
| CN104572464A (zh) | 一种Android平台的自动化测试状态保存方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: E37 floor Tianfu Avenue in Chengdu city of Sichuan province in 610000 new century global center No. 1700 2-1-715 Applicant after: SICHUAN XLY INFORMATION SAFETY TECHNOLOGY CO., LTD. Address before: E37 floor Tianfu Avenue in Chengdu city of Sichuan province in 610000 new century global center No. 1700 2-1-715 Applicant before: Sichuan SalvationData Information Safety Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150204 |
|
| WD01 | Invention patent application deemed withdrawn after publication |