CN1773462A - 恢复fat32分区已删除文件的方法 - Google Patents
恢复fat32分区已删除文件的方法 Download PDFInfo
- Publication number
- CN1773462A CN1773462A CN 200510100303 CN200510100303A CN1773462A CN 1773462 A CN1773462 A CN 1773462A CN 200510100303 CN200510100303 CN 200510100303 CN 200510100303 A CN200510100303 A CN 200510100303A CN 1773462 A CN1773462 A CN 1773462A
- Authority
- CN
- China
- Prior art keywords
- file
- data
- document
- low
- bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及计算机领域,特别涉及一种计恢复己删除文件的方法。一种恢复FAT32分区已删除文件的方法,其包括如下步骤:A.分析分区中的已删除文件目录项,得到其数据起始簇的低16位信息;B.获取该已删除文件的扩展名;C.读该文件目录项中起始簇的低16位所指的磁盘位置,将高16位设为0;D.读文件起始簇低16位和假定高16位所指扇区,读取该扇区;E.判断是否已经超出该分区所能表示的最大扇区号;F.判断匹配该数据是否和已删除文件的文件类型相匹配;G.簇的起始位置的高16位加1,低位不变,进入步骤d;H.退出。本发明可准确恢复FAT32分区已删除文件。
Description
技术领域
本发明涉及计算机领域,特别涉及一种计恢复已删除文件的方法。
背景技术
FAT32目录项结构如图1所示。Windows在进行文件操作时,根据该结构定位文件数据。在Windows系统中删除一个FAT32逻辑盘的文件时,首先将文件名的首字节标注为已经删除标志,然后将文件数据起始簇的高16位修改为0,最后进行空间释放的处理。FAT32分区中文件删除后的目录项的结构如图2所示。FAT32分区中文件被删除时,描述其起始簇的高16位数据被清0,虽然描述其数据起始簇的低16位是正确的,但大多数情况根据文件删除后的残余目录项中的数据结构,并不能正确找到文件数据的位置。根据该残余目录项只能正确定位到文件数据起始簇的高16位本来就是0的情况,通过以下计算可以得知,该情况可能是:1、FAT32逻辑盘的簇大小为32K,已经删除文件数据位于逻辑盘的2G之内;2、FAT32逻辑盘的簇大小为16K,已经删除文件数据位于逻辑盘的1G之内。
1、FAT32逻辑盘的簇大小为32K时:
32位簇的起始位置最多能表示的大小=0xFFFF簇×32K/簇=2097120K
2、FAT32逻辑盘的簇大小为16K时:
16位簇的起始位置最多能表示的大小=0xFFFF簇×16K/簇=1048560K
当然,以此类推,FAT32逻辑盘的簇大小为64K,已经删除文件数据位于逻辑盘的4G之内时也有上述问题等等。簇大小是格式化分区时确定下来的,簇大小越大,浪费的空间也越大,但文件访问速度会快,Windows文件系统在格式化FAT32分区时一般默认选择16K大小或者32K大小,并以16K大小的情况居多(一般根据分区的总大小来确定),所以当FAT32逻辑盘中的文件被删除,若其数据位于分区的2G(情况1)或1G(情况2)以上时,文件的恢复成为一个难题。
发明内容
本发明所要解决的技术问题在于,提供一种有效的恢复FAT32分区已删除文件的方法。
本发明所要解决的技术问题是通过如下技术方案实现的:
一种恢复FAT32分区已删除文件的方法,其包括如下步骤:
a)分析分区中的已删除文件目录项,得到其数据起始簇的低16位信息;
b)获取该已删除文件的扩展名;
c)读该文件目录项中起始簇的低16位所指的磁盘位置,将高16位设为0;
d)读文件起始簇低16位和假定高16位所指扇区,读取该扇区;
e)判断是否已经超出该分区所能表示的最大扇区号,如果是跳到步骤h;
f)判断匹配该数据是否和已删除文件的文件类型相匹配,如果匹配说明该数据可能是该文件的数据,取这些数据保存为文件,从而实现文件恢复。如果不匹配说明该数据不是该文件的数据,跳到步骤g;
g)簇的起始位置的高16位加1,低位不变,进入步骤d;
h)退出。
本发明利用一个扫描循环和文件格式判断相结合的方式,通过判断文件类型和磁盘数据中的文件类型标识是否匹配,来确定该数据是否属于此文件数据。可准确恢复FAT32分区已删除文件,当扫描结果中有多个文件格式相同的文件时(出现这种情况几率很小),可人工判断筛选。
附图说明
图1为FAT32目录项结构图;
图2为删除文件后的FAT32目录项结构图;
图3为本发明复FAT32分区已删除文件的方法流程图。
具体实施方式
本发明方法是通过判断文件类型和磁盘数据中的文件类型标识是否匹配,来确定该数据是否属于此文件数据。具体步骤如下:
1.分析分区中的已删除文件目录项,得到其数据起始簇的低16位信息;
2.获取该已删除文件的扩展名;
3.读该文件目录项中起始簇的低16位所指的磁盘位置,将高16位设为0;
4.读文件起始簇低16位和假定高16位所指扇区,读取该扇区;
5.判断是否已经超出该分区所能表示的最大扇区号,如果是跳到步骤8;
6.判断匹配该数据是否和己删除文件的文件类型相匹配,如果匹配说明该数据可能是该文件的数据,取这些数据保存为文件,从而实现文件恢复。如果不匹配说明该数据不是该文件的数据,跳到步骤7;
7.簇的起始位置的高16位加1,低位不变,进入步骤4;
8.退出。
由于大多数文件都有一个特定的文件类型标志,这些标志一般指文件最开头的几个字符,比如windows的可执行文件EXE、DLL、VXD等文件的文件头为字符串“MZ”,Adobe公司的PDF文件的文件头为字符串“%PDF”等。但也有些少数文件的文件标志不是在文件最开头的几个字符,而是出现在文件中的特定偏移位置。这些标志往往用于确定文件格式是否正确,文件是否损坏等。
本发明利用一个扫描循环和文件格式判断相结合的方式,通过判断预恢复文件的类型和磁盘数据中的文件类型标识是否匹配,来确定该数据是否属于此文件数据。可准确恢复恢复FAT32分区已删除文件,当扫描结果中有多个文件格式相同的文件时(出现这种情况几率很小),可人工判断筛选。
本发明还有其他一些变形或者改进。如果本技术领域的技术人员受到本发明的启发做出的显而易见的非实质性的改变或者改进,均属于本发明权利要求书的保护范围。
Claims (3)
1、一种恢复FAT32分区已删除文件的方法,其特征在于,包括如下步骤:
a.分析分区中的已删除文件目录项,得到其数据起始簇的低16位信息;
b.获取该已删除文件的扩展名;
c.读该文件目录项中起始簇的低16位所指的磁盘位置,将高16位设为0;
d.读文件起始簇低16位和假定高16位所指扇区,读取该扇区;
e.判断是否已经超出该分区所能表示的最大扇区号,如果是跳到步骤h;
f.判断匹配该数据是否和已删除文件的文件类型相匹配,如果匹配说明该数据可能是该文件的数据,取这些数据保存为文件,从而实现文件恢复。如果不匹配说明该数据不是该文件的数据,跳到步骤g;
g.簇的起始位置的高16位加1,低位不变,进入步骤d;
h.退出。
2、根据权利要求1所述的恢复FAT32分区已删除文件的方法,其特征在于,当结果得到多个与预恢复文件类型相同的文件时,最后可通过人工判断筛选。
3、根据权利要求1所述的恢复FAT32分区已删除文件的方法,其特征在于,所述已删除文件的高16位大于0。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101003031A CN100353329C (zh) | 2005-10-17 | 2005-10-17 | 恢复fat32分区已删除文件的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101003031A CN100353329C (zh) | 2005-10-17 | 2005-10-17 | 恢复fat32分区已删除文件的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1773462A true CN1773462A (zh) | 2006-05-17 |
| CN100353329C CN100353329C (zh) | 2007-12-05 |
Family
ID=36760454
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005101003031A Active CN100353329C (zh) | 2005-10-17 | 2005-10-17 | 恢复fat32分区已删除文件的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100353329C (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100386763C (zh) * | 2006-07-28 | 2008-05-07 | 珠海金山软件股份有限公司 | Ntfs卷中从指定目录中搜索已删除文件的方法 |
| CN100407159C (zh) * | 2006-08-01 | 2008-07-30 | 珠海金山软件股份有限公司 | 恢复fat32文件系统中已删除文件的方法 |
| CN100423002C (zh) * | 2006-09-19 | 2008-10-01 | 珠海金山软件股份有限公司 | 删除fat卷中文件的方法 |
| CN100446000C (zh) * | 2006-08-16 | 2008-12-24 | 珠海金山软件股份有限公司 | Fat卷中重建目录结构和恢复数据的方法 |
| CN100454304C (zh) * | 2006-07-28 | 2009-01-21 | 珠海金山软件股份有限公司 | Fat卷中从指定目录中搜索已删除文件的方法 |
| CN100454307C (zh) * | 2006-09-19 | 2009-01-21 | 珠海金山软件股份有限公司 | 彻底粉碎fat卷中文件数据的方法 |
| CN101937377A (zh) * | 2009-06-29 | 2011-01-05 | 百度在线网络技术(北京)有限公司 | 数据恢复方法和装置 |
| CN102360318A (zh) * | 2011-09-27 | 2012-02-22 | 深圳市万兴软件有限公司 | Fat文件系统中被删除文件的恢复方法及装置 |
| CN102609531A (zh) * | 2012-02-14 | 2012-07-25 | 北京鼎普科技股份有限公司 | 一种根据关键字反查文件的方法 |
| WO2014067240A1 (zh) * | 2012-10-30 | 2014-05-08 | 厦门市美亚柏科信息股份有限公司 | 一种恢复移动终端已删除sqlite文件的方法及装置 |
| CN104331348A (zh) * | 2014-11-27 | 2015-02-04 | 四川效率源信息安全技术有限责任公司 | 一种还原fat32目录项的起始簇号恢复文件的方法 |
| CN104462433A (zh) * | 2014-12-17 | 2015-03-25 | 四川效率源信息安全技术有限责任公司 | 一种恢复fat32分区数据的方法 |
| CN109582501A (zh) * | 2018-11-28 | 2019-04-05 | 万兴科技股份有限公司 | 文件恢复方法、装置、计算机设备及存储介质 |
| CN109614370A (zh) * | 2018-11-28 | 2019-04-12 | 万兴科技股份有限公司 | 磁盘文件扫描方法、装置、计算机设备及存储介质 |
| CN109710455A (zh) * | 2018-11-22 | 2019-05-03 | 厦门市美亚柏科信息股份有限公司 | 基于fat32文件系统的删除文件恢复方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08227372A (ja) * | 1995-02-20 | 1996-09-03 | Canon Inc | データ処理装置 |
-
2005
- 2005-10-17 CN CNB2005101003031A patent/CN100353329C/zh active Active
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100386763C (zh) * | 2006-07-28 | 2008-05-07 | 珠海金山软件股份有限公司 | Ntfs卷中从指定目录中搜索已删除文件的方法 |
| CN100454304C (zh) * | 2006-07-28 | 2009-01-21 | 珠海金山软件股份有限公司 | Fat卷中从指定目录中搜索已删除文件的方法 |
| CN100407159C (zh) * | 2006-08-01 | 2008-07-30 | 珠海金山软件股份有限公司 | 恢复fat32文件系统中已删除文件的方法 |
| CN100446000C (zh) * | 2006-08-16 | 2008-12-24 | 珠海金山软件股份有限公司 | Fat卷中重建目录结构和恢复数据的方法 |
| CN100423002C (zh) * | 2006-09-19 | 2008-10-01 | 珠海金山软件股份有限公司 | 删除fat卷中文件的方法 |
| CN100454307C (zh) * | 2006-09-19 | 2009-01-21 | 珠海金山软件股份有限公司 | 彻底粉碎fat卷中文件数据的方法 |
| CN101937377B (zh) * | 2009-06-29 | 2014-10-22 | 百度在线网络技术(北京)有限公司 | 数据恢复方法和装置 |
| CN101937377A (zh) * | 2009-06-29 | 2011-01-05 | 百度在线网络技术(北京)有限公司 | 数据恢复方法和装置 |
| CN102360318A (zh) * | 2011-09-27 | 2012-02-22 | 深圳市万兴软件有限公司 | Fat文件系统中被删除文件的恢复方法及装置 |
| CN102609531B (zh) * | 2012-02-14 | 2015-05-06 | 北京鼎普科技股份有限公司 | 一种根据关键字反查文件的方法 |
| CN102609531A (zh) * | 2012-02-14 | 2012-07-25 | 北京鼎普科技股份有限公司 | 一种根据关键字反查文件的方法 |
| WO2014067240A1 (zh) * | 2012-10-30 | 2014-05-08 | 厦门市美亚柏科信息股份有限公司 | 一种恢复移动终端已删除sqlite文件的方法及装置 |
| CN104331348A (zh) * | 2014-11-27 | 2015-02-04 | 四川效率源信息安全技术有限责任公司 | 一种还原fat32目录项的起始簇号恢复文件的方法 |
| CN104462433A (zh) * | 2014-12-17 | 2015-03-25 | 四川效率源信息安全技术有限责任公司 | 一种恢复fat32分区数据的方法 |
| CN104462433B (zh) * | 2014-12-17 | 2017-11-10 | 四川效率源信息安全技术股份有限公司 | 一种恢复fat32分区数据的方法 |
| CN109710455A (zh) * | 2018-11-22 | 2019-05-03 | 厦门市美亚柏科信息股份有限公司 | 基于fat32文件系统的删除文件恢复方法及系统 |
| CN109582501A (zh) * | 2018-11-28 | 2019-04-05 | 万兴科技股份有限公司 | 文件恢复方法、装置、计算机设备及存储介质 |
| CN109614370A (zh) * | 2018-11-28 | 2019-04-12 | 万兴科技股份有限公司 | 磁盘文件扫描方法、装置、计算机设备及存储介质 |
| CN109582501B (zh) * | 2018-11-28 | 2021-09-03 | 万兴科技股份有限公司 | 文件恢复方法、装置、计算机设备及存储介质 |
| CN109614370B (zh) * | 2018-11-28 | 2021-11-09 | 万兴科技股份有限公司 | 磁盘文件扫描方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100353329C (zh) | 2007-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1773462A (zh) | 恢复fat32分区已删除文件的方法 | |
| CN1095576C (zh) | 使用数据结构从输入文本识别出词的方法 | |
| KR100345945B1 (ko) | 텍스트및이미지문서를동기시켜표시하며조작하기위한방법및장치 | |
| CN102243699B (zh) | 一种恶意代码检测方法及系统 | |
| Huebner et al. | Data hiding in the NTFS file system | |
| CN1655146A (zh) | 用于文件系统快照持久性的方法和装置 | |
| US20080059612A1 (en) | Variable length file header apparatus and system | |
| CN1641644A (zh) | 用于执行多个文件管理操作的方法与装置 | |
| CN1959649A (zh) | Ntfs卷中重建目录结构和恢复数据的方法 | |
| US8275750B2 (en) | Method to efficiently use the disk space while unarchiving | |
| CN100407159C (zh) | 恢复fat32文件系统中已删除文件的方法 | |
| US20120131072A1 (en) | System and Method for removing Master File Table ($MFT) File Record Segments (FRS) | |
| US7602972B1 (en) | Method and apparatus for identifying white space tables within a document | |
| CN108459845A (zh) | 一种监控标签属性的埋点方法及装置 | |
| US6446085B1 (en) | Method and apparatus for processing recursive hard links in a data processing system | |
| CN1284101C (zh) | 信息显示方法和装置 | |
| US20120109638A1 (en) | Electronic device and method for extracting component names using the same | |
| CN110287338B (zh) | 行业热点确定方法、装置、设备和介质 | |
| US8615522B2 (en) | Computing device, storage medium and method for outputting dimension data using the computing device | |
| Jang et al. | Understanding anti-forensic techniques with timestamp manipulation | |
| CN112235599B (zh) | 一种视频处理方法及系统 | |
| CN112364374B (zh) | Linux平台上文件复制、移动、压缩、解压操作识别方法 | |
| CN102194071B (zh) | 基于时域的数据取证及交叉分析方法 | |
| CN1945549A (zh) | 一种不依赖文件系统恢复数据的方法 | |
| CN111552511B (zh) | 一种VxWorks系统物联网固件解包恢复文件名的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Zhuhai Jida Lianshan Guangdong city of Zhuhai Province Patentee after: Zhuhai Kingsoft Software Co.,Ltd. Address before: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Zhuhai Jida Lianshan Guangdong city of Zhuhai Province Patentee before: Zhuhai Kingsoft Software Co.,Ltd. |
|
| ASS | Succession or assignment of patent right |
Owner name: KINGSOFT CORPORATION LIMITED Free format text: FORMER OWNER: ZHUHAI KINGSOFT SOFTWARE CO., LTD. Effective date: 20140901 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 519015 ZHUHAI, GUANGDONG PROVINCE TO: 100085 HAIDIAN, BEIJING |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20140901 Address after: Kingsoft No. 33 building, 100085 Beijing city Haidian District Xiaoying Road Patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Address before: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Zhuhai Jida Lianshan Guangdong city of Zhuhai Province Patentee before: Zhuhai Kingsoft Software Co.,Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20060517 Assignee: Zhuhai Kingsoft Software Co.,Ltd. Assignor: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Contract record no.: 2014990000778 Denomination of invention: Method for recovering deleted file of FAT32 partition Granted publication date: 20071205 License type: Common License Record date: 20140926 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model |