子任務1利用WinHex讀取FAT32文件系統參數任務1FAT32文件系統恢復項目7文件系統恢復01利用Winhex讀取FAT表項參數02利用Winhex讀取數據區用戶文件（夾）目錄項主要參數目錄contents利用Winhex讀取FAT表項參數01任務實施1（一）利用Winhex讀取FAT表項參數（共有2個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：讀取和記錄FAT表項參數一步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務1-1-1.vhd”，然后運行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區（FAT32分區），點開分區1，再點開FAT1。如圖7-1所示。利用Winhex讀取FAT表項參數圖7-1Winhex編輯窗口信息（FAT1表）圖一步驟二：讀取和記錄FAT表項參數讀取FAT表項參數，記錄到表7-1中，得FAT1表項參數表，如表7-5所示。利用Winhex讀取FAT表項參數表7-5FAT1表項的參數表表項偏移長度值項數表項內容00號0X0040X0FFFFFF81FAT表標志表項01號0X0440XFFFFFFFF1系統保留表項02號0X0840X0FFFFFFF1目錄表項03號0X0C40X0FFFFFFF1文件只一個表項04號0X1040X0FFFFFFF1文件只一個表項05號0X1440X0FFFFFFF1文件只一個表項06?20號0X18600X07?1515文件存儲指向7?20號表項21號0X5440X0FFFFFFF1文件結束項22號0X5840X0FFFFFFF1文件只一個表項23號0X5C40X0FFFFFFF1文件只一個表項24號0X6040X0FFFFFFF1文件只一個表項25號0X6440X0FFFFFFF1文件只一個表項利用Winhex讀取數據區用戶文件（夾）目錄項主要參數02利用Winhex讀取數據區用戶文件（夾）目錄項主要參數二、利用Winhex讀取數據區用戶文件（夾）目錄項主要參數（共有3個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：讀取和記錄根目錄下文件夾“7任務1”目錄項的主要參數步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數二步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務1-1-1.vhd”，然后運行Winhex，打開“HD1”，點開分區1，發現用戶文件夾“7任務1”，進一步點開此文件夾，它有2個文件“7任務1-1-1.txt”和“7任務1-1-1.png”。因此，讀取的目錄項有：根目錄下文件夾“7任務1”的目錄項、文件夾“7任務1”目錄下的文件“7任務1-1-1.txt”和文件“7任務1-1-1.png”的目錄項，共3個目錄項。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數二步驟二：讀取和記錄根目錄下文件夾“7任務1”目錄項的主要參數單擊根目錄，偏移0X80?X09F為根目錄下文件夾“7任務1”的目錄項。如圖7-2所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數圖7-2Winhex編輯窗口信息（文件夾“7任務1”目錄項）圖二步驟二：讀取和記錄根目錄下文件夾“7任務1”目錄項的主要參數根據表7-2，對應讀取該目錄項主要參數，制成該目錄項主要參數表，如表7-6所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數表7-6文件夾“7任務1”目錄項的主要參數表偏移長度值短文件目錄項內容0X0080X202031F1CEC837主文件（夾）名:7任務10X0830X202020擴展名：空0X0B10X10屬性：10(子目錄)0X0C10X00子目錄名大小寫：OO（大寫）0X1420X00文件（夾）開始簇號的高16位:0簇0X1A20X05文件（夾）開始簇號的低16位:5簇0X1C40X00文件實際大小，0字節二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數①讀取文件“7任務1-1-1.txt”目錄項的主要參數。單擊用戶文件夾“7任務1”，偏移0X80?X0BF為文件“7任務1-1-1.txt”的目錄項，長文件名占2個目錄項。如圖7-3所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數圖7-3Winex編輯窗口信息（文件“7任務1-1-1.txt”目錄項）圖二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數根據表7-2和表7-3，對應讀取該目錄項主要參數，制成該目錄項主要參數表，如表7-7、表7-8所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數表7-7文件“7任務1-1-1.txt”長文件名目錄項參數表偏移長度值長文件名目錄項內容0X0010X41長文件名序列號：65。0X01100X002D003152A14EFB0037長文件名的第1?5個字符：7任務1-。0X0B10X0F長文件名目錄項標志：0X0F。0X0C10X00系統保留0X0D10XBE校驗值和。0X0E120X00780074002E0031002D0031長文件名的第6?11個字符：-1-1.tx。0X1A20X0000保留0X1C40X74長文件名的第12?13個字符：t。二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數根據表7-2和表7-3，對應讀取該目錄項主要參數，制成該目錄項主要參數表，如表7-7、表7-8所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數表7-8文件“7任務1-1-1.txt”短文件名目錄項的主要參數表偏移長度值短文件目錄項內容0X0080X317E31F1CECEC837主文件（夾）名:7任務1?10X0830X545854擴展名：TXT0X0B10X20屬性：20(文檔)0X0C10X00子目錄名大小寫：OO（大寫）0X1420X00文件（夾）開始簇號的高16位:00X1A20X16文件（夾）開始簇號的低16位:22簇0X1C40X21文件實際大小，33字節二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數②讀取文件“7任務1-1-1.png”目錄項的主要參數。單擊用戶文件夾“7任務1”，偏移0X40?X07F為文件“7任務1-1-1.png”的目錄項，長文件名占2個目錄項。如圖7-4所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數圖7-4Winex編輯窗口信息（文件“7任務1-1-1.png”目錄項）圖二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數根據表7-2、表7-3，對應讀取該目錄項主要參數，制成該目錄項主要參數表，如表7-9、表7-10所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數表7-9文件“7任務1-1-1.png”長文件名目錄項參數表偏移長度值長文件名目錄項內容0X0010X41長文件名序列號：65。0X01100X002D003152A14EFB0037長文件名的第1?5個字符：7任務1-。0X0B10X0F長文件名目錄項標志：0X0F。0X0C10X00系統保留0X0D10XAB校驗值和。0X0E120X006E0070002E0031002D0031長文件名的第6?11個字符：-1-1.pn。0X1A20X0000保留0X1C40X67長文件名的第12?13個字符：g。二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數根據表7-2、表7-3，對應讀取該目錄項主要參數，制成該目錄項主要參數表，如表7-9、表7-10所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數表7-10文件“7任務1-1-1.png”短文件名目錄項參數表偏移長度值短文件目錄項內容0X0080X317E31F1CECEC837主文件（夾）名:7任務1?10X0830X474E50擴展名：PNG0X0B10X20屬性：20(文檔)0X0C10X00子目錄名大小寫：OO（大寫）0X1420X00文件（夾）開始簇號的高16位:00X1A20X06文件（夾）開始簇號的低16位:6簇0X1C40X1E449文件實際大小，123977字節感謝觀看THANKSFORWATCHING子任務2利用WinHex恢復FAT32文件系統任務1FAT32文件系統恢復項目7文件系統恢復01用Winhex恢復受破壞FAT表02用Winhex恢復受破壞FAT32數據區用戶目錄項目錄contents用Winhex恢復受破壞FAT表01任務實施2（一）用Winhex恢復受破壞FAT表（被清零）（共有3個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：確定FAT32文件系統受破壞步驟三：恢復FAT32文件系統一步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務1-2-1.vhd”，然后運行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區（FAT32分區）。用Winhex恢復受破壞FAT表步驟二：確定FAT32文件系統受破壞進入在分區1，分別點開FAT1、FAT2表，發現它倆偏移0X03?07有數據“0X7FFFFFFF”，其它都有為0，說明FAT表被破壞了。一步驟三：恢復FAT32文件系統1.確定各目錄項參數分別讀取“根目錄”、“systemVolumeInformation”、“7任務1”、“$RECYCLE.BIN”四個文件及其管理的目錄項數據，得出各自的起始簇及大小，然后根據DBR的BPB的每簇扇區數為16，就可以計算出起始扇區及大小（扇區數）用Winhex恢復受破壞FAT表2.推算FAT1表項值，并把它填入FAT1表項推算出各文件所占的表項號、簇數及對應的表項值，填入FAT1表項表，如表7-11所示。表7-11FAT1表項表表項值起始簇大小（扇區）表項數表項內容00號0X0FFFFFF800號01FAT表標志表項01號0XFFFFFFFF01號01系統保留表項02號0X0FFFFFFF02號01目錄表項03號0X0FFFFFFF03號01文件只一個表項04號0X0FFFFFFF04號01文件只一個表項05號0X0FFFFFFF05號01文件只一個表項06?20號0X07?1506?20號123,97716文件存儲指向7?20號表項21號0X0FFFFFFF21號文件結束項22號0X0FFFFFFF22號331文件只一個表項23號0X0FFFFFFF23號01文件只一個表項24號0X0FFFFFFF24號1291文件只一個表項25號0X0FFFFFFF25號01文件只一個表項

一步驟三：恢復FAT32文件系統根據表7-11，填入FAT1的各個表項，如圖7-7所示。用Winhex恢復受破壞FAT表圖7-7Winhex編輯窗口信息（FAT1表）圖3.把FAT1復制到FAT2表把FAT1表復制到FAT2表,最后進行保存和磁盤快照。恢復受破壞FAT表（被清零）的操作完成。用Winhex恢復受破壞FAT32數據區用戶目錄項02用Winhex恢復受破壞FAT32數據區用戶目錄項二、用Winhex恢復受破壞FAT32數據區用戶目錄項（共有3個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：確定FAT32文件系統受破壞步驟三：恢復FAT32文件系統二步驟二：確定FAT32文件系統受破壞進入在分區1，點擊根目錄，發現用戶目錄項為0，用資源管理器打開本分區，根目錄下沒有文件（夾），說明用戶目錄項被破壞了。如圖7-8所示。用Winhex恢復受破壞FAT32數據區用戶目錄項圖7-8Winhex編輯窗口信息（被“清零”的用戶目錄項）圖二步驟三：恢復FAT32文件系統1.確定非用戶文件（夾）占的簇號從DBR的BPB參數表得知“根目錄”分配2號表項，“systemVolumeInformation”子目錄項中得知其占3-4、25號表項，“$RECYCLE.BIN”子目錄項中可知其占23-24號表項。具體讀數