|
|
第十二章
特定类型文件恢复
本说明中所有图片均出自X-ways Forensics 及Winhex
14.3版。
某日,一友人来访,万分苦恼曰:昨日让公司技工帮“Ghost”了一下爱机,重开机后,猛然惊觉珍藏多年之相片集未曾Copy,晕,傻,欲哭无泪,拟投江自尽。盼君能助一背之力,挽其损失。
经Winhex相助,寻回2037照片,友开颜。
IBM笔记本计算机详细信息如下,C盘共20GB。
Drive C:
内部名称: Drive C:
创建日期:
2007-08-20 17:49:26
Hash: n/a
描述 File system:
NTFS
Name: ML_C
Total capacity: 21,482,463,232 bytes = 20.0
GB
Sector count: 41,957,936
Bytes per sector: 512
Bytes per
cluster: 4,096
Free clusters: 3,972,650 = 76% free
Total clusters:
5,244,742
利用Winhex,笔者从17时49分至18时30分,成功将C盘中的2000余幅照片挽救回来。本例,是恢复特定类型文件的一个典型例子。如恢复DOC,XLS等文件同理。
具体操做过程如下(日志由Winhex自动生成):
日志
| 时间 |
描述 |
| 2007-08-20 17:49:25 |
View Disk
 |
| 2007-08-20 17:49:51 |
对话框: 请注意:此卷的磁盘快照是 0 分钟以前 进行的。
→ 确定(O) |
| 2007-08-20 17:49:54 |
活动窗口: Drive C:
菜单: 进行磁盘快照 |
| 2007-08-20 17:50:02 |
进行磁盘快照
Sprite注:
由于主要使用数据恢复功能,因此进行磁盘快照时,只选择前面两项的数据恢复功能即可。
而此分区被Ghost覆盖,实际第一选项已毫无用处,仅选择第二项即可。 |
| 2007-08-20 17:50:16 |
依据文件头标志搜索 驱动器 C:
Sprite注:
需要恢复的照片为jpeg格式,因此只选通过jpeg格式签名恢复即可,其他无需选择。这是Winhex恢复特定类型文件的主要方法。 |
| 2007-08-20 18:16:01 |
操作*: 读取扇区... +3155 文件
→ 完成 |
| 2007-08-20 18:16:12 |
对话框: 进行磁盘快照后现有 62,945 个数据项目 (之前 28,224 个, 之后 +34,721
个)。 |
| 2007-08-20 18:16:26 |
过滤: 文件名称
Sprite注:
过滤显示出磁盘中所有jpg文件 |
| 2007-08-20 18:16:27 |
目录浏览及过滤设置
 |
| 2007-08-20 18:17:47 |
过滤: 文件名称
Sprite注:
由于显示的jpeg文件过多,因此重新设定a*.jpg显示出磁盘中所有恢复出来的jpg文件。 |
| 2007-08-20 18:18:14 |
过滤: 文件大小
Sprite注:
同时恢复出一些ie暂存目录下的无用图片,将小于100KB的过滤掉 |
| 2007-08-20 18:18:15 |
目录浏览及过滤设置
 |
| 2007-08-20 18:18:57 |
活动窗口: Drive C:
菜单: 全选 |
| 2007-08-20 18:23:18 |
活动窗口: Drive C:
菜单: 恢复/复制(C)... |
| 2007-08-20 18:29:33 |
操作*: 正在复制... 2,299 文件, 1.7 GB
→ 完成 |
| 2007-08-20 18:29:52 |
对话框: 2,307 个文件和 0 个目录被成功恢复。 (1.8 GB) |
| 2007-08-20 18:30:13 |
报告 (选项)
Sprite注:
制作报告
共计恢复2037张图片,友人大部分照片恢复成功,但部分文件有损坏,笔者也没有办法了。
|
|
|
