CN104462433B - 一种恢复fat32分区数据的方法 - Google Patents

一种恢复fat32分区数据的方法 Download PDF

Info

Publication number
CN104462433B
CN104462433B CN201410775892.2A CN201410775892A CN104462433B CN 104462433 B CN104462433 B CN 104462433B CN 201410775892 A CN201410775892 A CN 201410775892A CN 104462433 B CN104462433 B CN 104462433B
Authority
CN
China
Prior art keywords
file
size
clear area
fat32
extraction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410775892.2A
Other languages
English (en)
Other versions
CN104462433A (zh
Inventor
梁效宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SICHUAN XLY INFORMATION SAFETY TECHNOLOGY Co Ltd
Original Assignee
SICHUAN XLY INFORMATION SAFETY TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SICHUAN XLY INFORMATION SAFETY TECHNOLOGY Co Ltd filed Critical SICHUAN XLY INFORMATION SAFETY TECHNOLOGY Co Ltd
Priority to CN201410775892.2A priority Critical patent/CN104462433B/zh
Publication of CN104462433A publication Critical patent/CN104462433A/zh
Application granted granted Critical
Publication of CN104462433B publication Critical patent/CN104462433B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种恢复FAT32分区数据的方法,包括以下步骤:S1:选择FAT32分区;S2:分析FAT表空闲区域位置;S3:整合为空闲区域合集;S4:选择提取类型;S5:提取相应文件。本发明能准确的区分分区内的正常区域和空闲区域,并可形成空闲区域集合缩小扫描范围方便文件提取;按照文件头特性可全面深度扫描或者以文件类型分类扫描空闲区域集合中文件并进行提取;能按照文件大小或文件尾截断提取相应文件,提取更为全面且提高工作效率,缩短提取时间。

Description

一种恢复FAT32分区数据的方法
技术领域
本发明涉及信息安全技术领域,特别涉及一种恢复FAT32分区数据的方法。
背景技术
FAT32是Windows系统硬盘主要分区格式的一种,存储的数据中涉及人们的工作、学习、生活、交往、财务、休闲、娱乐、情感等,对个人或公司来说都是十分珍贵的无形资产。同时作为电子证据的一种,犯罪嫌疑人的硬盘数据是公安机关、检察院等司法部门破案的关键。
多种情况会导致分区数据丢失:操作系统等软件问题造成存储信息丢失;误删除、误格式化,犯罪嫌疑人恶意删除毁灭罪证。
目前市面上有很多硬盘数据恢复工具,对于数据恢复都具有如下局限性:
都是基于全盘扫描来完成文件的查找,耗费时间长;只能恢复删除标记的数据,对于没有删除标记的数据不能进行恢复,恢复数据不全面。
发明内容
本发明针对现有技术的缺陷,提出一种恢复FAT32分区数据的方法,能有效的解决上述现有技术存在的问题。
为了实现上述目的,本发明采用的技术方案是:一种恢复FAT32分区数据的方法,包括以下步骤:
S1:将硬盘插入恢复设备,选择需恢复数据的FAT32分区;
S2:通过分析FAT表,得到分区内所有正常区域和空闲区域的位置;
S3:将所有空闲区域整合为一个空闲区域合集文件;
S4:选择提取类型,若选择提取所有空闲区域则通过标记信息和文件头特征提取空闲区域合集中所有的文件,若选择精确查找则进入S5;
S5:选择文件类型,根据文件头特征扫描所有空闲区域内的对应文件并记录;
S6:判断记录的文件是否有文件大小信息或文件尾,若有则按文件大小或文件尾进行截断,并提取出文件,若没有则进入S7;
S7:按照文件通常大小进行截断并提取文件。
作为优选,所述S7中若按文件大小截断并提取失败,则使用人工截断并提取。
作为优选,所述S7中的通常文件大小为按照文件通常的大小事先配置的固定大小值。
与现有技术相比本发明的优点在于:能准确的区分分区内的正常区域和空闲区域,并可形成空闲区域集合缩小扫描范围方便文件提取;按照文件头特性可全面深度扫描或者以文件类型分类扫描空闲区域集合中文件并进行提取;能按照文件大小或文件尾截断提取相应文件,提取更为全面且提高工作效率,缩短提取时间。
附图说明
图1为本发明实施例的流程图;
图2为本发明FAT32文件系统的结构示意图。
具体实施方式
为了详细说明本发明的具体实施方式,下面结合附图以说明:
如图1所示,一种恢复FAT32分区数据的方法,包括以下步骤:
S1:将硬盘插入恢复设备,选择需恢复数据的FAT32分区;
S2:整个分区都是由FAT表来标记使用,通过分析FAT表,得到分区内所有正常区域和空闲区域的位置;
S3:将所有空闲区域整合为一个空闲区域合集文件;
S4:选择提取类型,若选择提取所有空闲区域则通过标记信息和文件头特征提取空闲区域合集中所有的文件,若选择精确查找则进入S5;
S5:选择文件类型,根据文件头特征扫描所有空闲区域内的对应文件并记录;
S6:判断记录的文件是否有文件大小信息或文件尾,若有则按文件大小或文件尾进行截断,并提取出文件,若没有则进入S7;
S7:按照文件通常大小进行截断并提取文件。
所述S7中若按文件大小截断并提取失败,则使用人工截断并提取。
所述S7中的通常文件大小为按照文件通常的大小事先配置的固定大小值。
下面详细说明本发明的原理:
如图2所示,在FAT32文件系统由DBR、FAT1、FAT2、DATA区四个部分组成,其中FAT1/2区是用于记录硬盘中有关文件如何被分散存储在不同扇区的信息,所有的存储区都是通过FAT表来进行记录和管理。
FAT表标记的正常区域是已经存放文件的,而空闲区域FAT表也标记有状态。
通过分析FAT表以及每个簇的使用情况,就可以精确的区分出正常区域与空闲区域。
文件被删除后FAT表会释放相应的簇链,并标记该文件的存储区域为空闲区域,但在硬盘平凡的重写中会破坏掉文件的标记,目前的硬盘恢复工具都是通过找到标记的被删除文件来恢复文件的,但是已被破坏标记的文件无法恢复,所以通过找到所有空闲区域并形成一个空闲区域合集,在空闲区域合集中可以找到所有删除的文件或者被破坏掉标记的文件。
通过文件头特征可以准确找到该文件,在更具文件大小信息或者文件尾来截断读取,从而提取出相应的文件。
例如要找到docx文件只要扫描到“50 4B 03 04 14 00 06 00”的文件头特征则找到该类文件,在通过文件大小信息和文件尾来判断该文件的大小,若没有则利用事先设定的docx文件的一般大小来进行截断并进行提取。
以上描述阐述了具体细节以便充分理解本发明,但本发明还可以采用其他不同于此描述方式来实施,因此本发明并不限于以上公开的具体实施例。

Claims (3)

1.一种恢复FAT32分区数据的方法,其特征在于包括以下步骤:
S1:将硬盘插入恢复设备,选择需恢复数据的FAT32分区;
S2:通过分析FAT表,得到分区内所有正常区域和空闲区域的位置;
S3:将所有空闲区域整合为一个空闲区域合集文件;
S4:选择提取类型,若选择提取所有空闲区域则通过标记信息和文件头特征提取空闲区域合集中所有的文件,若选择精确查找则进入S5;
S5:选择文件类型,根据文件头特征扫描所有空闲区域内的对应文件并记录;
S6:判断记录的文件是否有文件大小信息或文件尾,若有则按文件大小或文件尾进行截断,并提取出文件,若没有则进入S7;
S7:按照文件通常大小进行截断并提取文件。
2.根据权利要求1所述的一种恢复FAT32分区数据的方法,其特征在于所述S7中若按文件大小截断并提取失败,则使用人工截断并提取。
3.根据权利要求1所述的一种恢复FAT32分区数据的方法,其特征在于所述S7中的通常文件大小为按照文件通常的大小事先配置的固定大小值。
CN201410775892.2A 2014-12-17 2014-12-17 一种恢复fat32分区数据的方法 Active CN104462433B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410775892.2A CN104462433B (zh) 2014-12-17 2014-12-17 一种恢复fat32分区数据的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410775892.2A CN104462433B (zh) 2014-12-17 2014-12-17 一种恢复fat32分区数据的方法

Publications (2)

Publication Number Publication Date
CN104462433A CN104462433A (zh) 2015-03-25
CN104462433B true CN104462433B (zh) 2017-11-10

Family

ID=52908468

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410775892.2A Active CN104462433B (zh) 2014-12-17 2014-12-17 一种恢复fat32分区数据的方法

Country Status (1)

Country Link
CN (1) CN104462433B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106407038A (zh) * 2015-07-27 2017-02-15 四川效率源信息安全技术有限责任公司 一种碎片文件的数据恢复方法
CN105183877B (zh) * 2015-09-18 2019-03-22 四川效率源信息安全技术股份有限公司 一种重组docx文件碎片数据的方法
CN105117235A (zh) * 2015-09-18 2015-12-02 四川效率源信息安全技术股份有限公司 一种重组Office文件的方法
CN107220146B (zh) * 2017-05-24 2020-09-11 万兴科技股份有限公司 一种文件扫描恢复方法及装置
CN109471756B (zh) * 2018-11-16 2022-10-14 得一微电子股份有限公司 数据恢复方法、装置及计算机可读存储介质
CN110740391B (zh) * 2019-10-31 2021-10-26 四川效率源信息安全技术股份有限公司 一种修复mp4损坏文件的方法
CN111414277B (zh) * 2020-03-06 2023-10-20 网易(杭州)网络有限公司 数据恢复方法、装置、电子设备和介质
CN113900993B (zh) * 2021-10-13 2022-06-28 吴江绿控电控科技有限公司 基于fat32文件系统的提高can数据记录仪文件创建效率的方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1773462A (zh) * 2005-10-17 2006-05-17 珠海金山软件股份有限公司 恢复fat32分区已删除文件的方法
CN101477486A (zh) * 2009-01-22 2009-07-08 中国人民解放军国防科学技术大学 一种基于扇区重组的文件备份恢复方法
CN102254048A (zh) * 2011-08-24 2011-11-23 深圳市万兴软件有限公司 数据恢复方法和系统
CN102360318A (zh) * 2011-09-27 2012-02-22 深圳市万兴软件有限公司 Fat文件系统中被删除文件的恢复方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1773462A (zh) * 2005-10-17 2006-05-17 珠海金山软件股份有限公司 恢复fat32分区已删除文件的方法
CN101477486A (zh) * 2009-01-22 2009-07-08 中国人民解放军国防科学技术大学 一种基于扇区重组的文件备份恢复方法
CN102254048A (zh) * 2011-08-24 2011-11-23 深圳市万兴软件有限公司 数据恢复方法和系统
CN102360318A (zh) * 2011-09-27 2012-02-22 深圳市万兴软件有限公司 Fat文件系统中被删除文件的恢复方法及装置

Also Published As

Publication number Publication date
CN104462433A (zh) 2015-03-25

Similar Documents

Publication Publication Date Title
CN104462433B (zh) 一种恢复fat32分区数据的方法
CN104035839B (zh) Android系统隐私数据恢复实现方法
CN103279532A (zh) 多集合元素去重并标识所属集合的过滤系统及其方法
Tang et al. Recovery of heavily fragmented JPEG files
RU2715288C1 (ru) Система и способ удаления файлов и противодействия их восстановлению
CN104699794B (zh) 一种彻底清除FAT32文件系统中已删除jpg格式文件的方法
Sari et al. A review of graph theoretic and weightage techniques in file carving
KR101593184B1 (ko) 파일시스템 메타데이터 기반 파티션 복구 방법 및 장치
KR100961179B1 (ko) 디지털 포렌식 방법 및 장치
CN108536845A (zh) 残缺数据库文件检验方法
CN111782589B (zh) 一种用于操作历史重现的数据模型的构建方法及系统
CN102385610A (zh) 数字硬盘录像机录像文件保存与数据恢复的方法及其系统
CN103942122B (zh) 一种识别AVI类型block的方法
Pahade et al. A survey on multimedia file carving
CN104331348A (zh) 一种还原fat32目录项的起始簇号恢复文件的方法
KR101692244B1 (ko) 스팸 분류 방법, 이를 수행하기 위한 기록 매체 및 스팸 분류 장치
CN108563751A (zh) 数据库碎片提取方法
Azeem The Data Carving-The Art of Retrieving Deleted Data as Evidence
Southall ‘Is this thing working?‘–The Challenge of Digital Audio for Qualitative Research
CN102662981B (zh) 基于特征扫描的Windows回收站删除记录取证方法
CN103077090B (zh) 一种Outlook删除邮件的恢复方法
Knight The forensic curator: Digital forensics as a solution to addressing the curatorial challenges posed by personal digital archives
CN103049534A (zh) 一种快速销毁数据库数据的方法
CN104539895A (zh) 一种视频分层存储系统及处理方法
CN106648990A (zh) 一种快速提取BlueSky文件系统监控设备中数据的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 610000 E3, building 2-1-715, new century global center, No. 1700 Tianfu Avenue, Chengdu, Sichuan, China

Applicant after: SICHUAN XLY INFORMATION SAFETY TECHNOLOGY CO., LTD.

Address before: 610000 E3, building 2-1-715, new century global center, No. 1700 Tianfu Avenue, Chengdu, Sichuan, China

Applicant before: Sichuan SalvationData Information Safety Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant