子任務1?利用WinHex讀取

exFAT文件系統參數任務1exFAT文件系統恢復項目7文件系統恢復01利用Winex直接讀取FAT表主要參數02利用Winex讀取數據區主要參數目錄contents利用Winex直接讀取FAT表主要參數01利用Winex直接讀取FAT表主要參數一一、

利用Winex直接讀取FAT表主要參數（共有2個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：利用Winex直接讀取FAT表主要參數利用Winex直接讀取FAT表主要參數一步驟一：附加虛擬磁盤，運行Winhex并打開它

在素材文件夾中，雙擊“7任務1-1-1.vd”，然后運行Winex，打開“D1”，操作界面顯示該硬盤信息，此虛擬磁盤分有1個分區（exFAT分區）。雙擊打開分區1。步驟二：利用Winex直接讀取FAT表主要參數1.打開FAT表再點擊打開FAT，發現有0至5號共6個表項。如圖7-1所示。

圖7-1Winex編輯窗口信息（FAT表）圖利用Winex直接讀取FAT表主要參數一

2.直接讀取FAT表項參數根據表7-2，對應直接讀取分區1的FAT表參數，得到FAT表參數表，如表7-7所示。步驟二：利用Winex直接讀取FAT表主要參數表7-7FAT表參數表表項值表項數表項內容00號0XFFFFFFF81exFAT表標志表項01號0XFFFFFFFF1系統保留表項02號0X0312號簇為簇位圖文件占有，其值“03”為還續占下簇為3號簇。03號0XFFFFFFFF13號簇為簇位圖文件結束簇04號0XFFFFFFFF1大字符文件占4號簇05號0XFFFFFFFF1根目錄占5號簇（DBR指定）5號表項后的值都是0X00000000，但并不是沒有數據了。利用Winex讀取數據區主要參數02利用Winex讀取數據區主要參數二（一）利用Winex讀取根目錄子目錄項參數（共有2個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：利用Winex讀取根目錄子目錄項參數利用Winex讀取數據區主要參數二步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務1-1-1.vd”，然后運行Winex，打開“D1”，點開分區1（exFAT分區）。（一）利用Winex讀取根目錄子目錄項參數步驟二：利用Winex讀取根目錄子目錄項參數1.確認讀取用戶目錄項發現根目錄下有8個文件（夾），其中“7任務1”是用戶文件夾，進一步點開此文件夾，它有2個文件“7任務1-1-1.txt”和“7任務1-1-1.png”。因此，讀取的目錄項有：根目錄項、根目錄下戶文件夾“7任務1”的目錄項、用戶文件夾“7任務1”子目錄下的文件“7任務1-1-1.txt”和文件“7任務1-1-1.png”的目錄項，共4個目錄項。利用Winex讀取數據區主要參數二（一）利用Winex讀取根目錄子目錄項參數步驟二：利用Winex讀取根目錄子目錄項參數2.打開根目錄表，找到“7任務1”子目錄項在根目錄下有個“（根目錄）”文件，點擊它，就跳到根目錄表。若出現故障，打不開分區或找不到“（根目錄）”文件，就根據DBR偏移位置0x60?0x63指示的根目錄的起始簇號，直接跳轉至根目錄表所在扇區。根目錄表如圖7-2所示。圖7-2Winex編輯窗口信息（根目錄表）圖利用Winex讀取數據區主要參數二（一）利用Winex讀取根目錄子目錄項參數步驟二：利用Winex讀取根目錄子目錄項參數3.利用Winex數據解釋器讀取“7任務1”子目錄項主要參數“7任務1”子目錄項主要參數為：起始簇號和文件夾大小。偏移“X114~117”值0X09，即“7任務1”子目錄起始簇為9。偏移“X118~11B”值0X8000，用數據解釋器讀取數據為“32768”，即“7任務1”子目錄大小為32768字節。利用Winex讀取根目錄子目錄項參數的操作完成。利用Winex讀取數據區主要參數二（一）利用Winex讀取“7任務1”子目錄的兩個錄項參數（共有2個步驟）步驟一：打開“7任務1”子目錄的目錄表，找到它的兩個目錄項步驟二：利用Winex數據解釋器讀取“7任務1”目錄兩個目錄項的主要參數利用Winex讀取數據區主要參數二步驟一：打開“7任務1”子目錄的目錄表，找到它的兩個目錄項根據“7任務1”子目錄參數，它的起始簇為9，跳轉到9簇，就看到了“7任務1”子目錄表。“7任務1”目錄表如圖7-3所示。（二）利用Winex讀取“7任務1”子目錄的兩個錄項參數圖7-3Winex編輯窗口信息（“7任務1”目錄表）圖利用Winex讀取數據區主要參數二步驟二：利用Winex數據解釋器讀取“7任務1”目錄兩個目錄項的主要參數1.偏移“0X34?37”值0X0A，即“7任務1-1-1.png”用戶子目錄起始簇為10。偏移“0X38?3B”值0X01E449，用數據解釋器讀取數據為123,977，即“7任務1-1-1.png”用戶子目錄大小為123,977字節。2.偏移“X94?97”值0X0E，即“7任務1-1-1.txt”用戶子目錄起始簇為14。偏移“X98?9B”值0X21，用數據解釋器讀取數據為33，即“7任務1-1-1.txt”用戶子目錄大小為33字節。利用Winex讀取“7任務1”子目錄的兩個目錄項參數的操作完成。（二）利用Winex讀取“7任務1”子目錄的兩個錄項參數感謝觀看THANKSFORWATCHING子任務2?利用WinHex恢復受破壞的exFAT文件系統任務1exFAT文件系統恢復項目7文件系統恢復01利用Winex恢復受破壞exFAT分區DBR02利用Winex恢復受破壞FAT表（被清零）目錄contents03恢復受破壞exFAT數據區用戶目錄項利用Winex恢復受破壞exFAT分區DBR01利用Winex恢復受破壞exFAT分區DBR一(一)利用Winex恢復受破壞DBR（DBR備份不被破壞）（共有3個步驟）步驟一：附加虛擬磁盤，發現磁盤出錯步驟二：運行Winhex并打開它，確認DBR被破壞，DBR備份不被破壞步驟三：恢復受破壞DBR利用Winex恢復受破壞exFAT分區DBR一步驟一：附加虛擬磁盤，發現磁盤出錯

在素材文件夾中，雙擊“7任務1-2-1.vd”，資源管理器發現磁盤有問題，并彈出錯誤對話框。如圖7-4所示。圖7-4資源管理器彈出的錯誤對話框圖利用Winex恢復受破壞exFAT分區DBR一步驟二：運行Winhex并打開它，確認DBR被破壞，DBR備份不被破壞

運行Winex，打開“D1”，在硬盤窗口，發現分區1圖標變成灰色，擴展名“exFAT”為“？”，進一步打開分區1,發現0扇區（DBR）被清零，跳轉至12號扇區（DBR備份，也可通過查找“55AA”的辦法來查找DBR備份），數據正常。說明分區1的DBR被破壞，其備份正常。步驟三：恢復受破壞DBR1.復制DBR備份（整個12號扇區），粘貼到0號扇區

復制當前整個扇區（12號扇區），然后粘貼到0號扇區。

2.保存

點擊“保存”功能，關閉本磁盤，退出Winex。

在素材文件夾中，雙擊“7任務1-2-1.vd”，資源管理器正常打開磁盤，恢復受破壞DBR（DBR備份不被破壞）的操作完成。利用Winex恢復受破壞exFAT分區DBR一(二)利用Winex恢復受破壞DBR及其備份（共有3個步驟）步驟一：附加虛擬磁盤，發現磁盤出錯步驟二：：確認DBR及其備份都被破壞步驟三：恢復受破壞DBR及其備份利用Winex恢復受破壞exFAT分區DBR一步驟一：附加虛擬磁盤，發現磁盤出錯

在素材文件夾中，雙擊“7任務1-2-2.vd”，資源管理器發現磁盤有問題，并彈出錯誤提示。如圖7-5所示。圖7-5資源管理器彈出的錯誤對話框圖利用Winex恢復受破壞exFAT分區DBR一步驟二：確認DBR及其備份都被破壞

運行（Winex），打開“D1”，在硬盤窗口，發現分區1圖標變成灰色，擴展名“exFAT”為“？”，進一步打開分區1,發現0扇區（DBR）被清零，跳轉至12號扇區（DBR備份，也可通過查找0X55/0XAA的辦法來查找DBR備份），找不到DBR。說明分區1的DBR及其備份都被破壞。步驟三：恢復受破壞DBR及其備份1.創建一個與“7任務1-2-2.vd”磁盤容量、分區格式化相同的虛擬磁盤創建一個與“7任務1-2-2.vd”磁盤容量、分區格式化相同的虛擬磁盤，復制虛擬磁盤的分區1的DBR到“7任務1-2-2.vd”磁盤分區1的DBR位置。

2.把MBR記錄分區1起始扇區及大小在本磁盤內，跳轉到0號扇區，偏移“X1C6?9”的記錄為分區1的起始扇區2048號扇區，偏移“X1CA?D”記錄為分區1的大小33552384扇區。利用Winex恢復受破壞exFAT分區DBR一步驟三：恢復受破壞DBR及其備份3.找到FAT表的起始扇區在分區1本分區內查找FAT表，用“查找十六位進制數值”功能查找0XFFFFFFF8，在2048號扇區找到FAT表，因此，FAT的起始扇區為2048號扇區。如圖7-6所示。圖7-6Winex編輯窗口信息（FAT表）圖從圖7-6可看出，簇位圖文件在2和3號簇，共占2簇，大寫字符文件在4號簇，共占1簇，根目錄起始簇在5號簇。利用Winex恢復受破壞exFAT分區DBR一步驟三：恢復受破壞DBR及其備份

4.找到大寫字符文件和根目錄的起始扇區，并計算每簇扇區數在分區1本分區內查找FAT表，用“查找十六位進制數值”功能查找0X000001，在6272號扇區找到大寫字符文件，即大寫字符文件的起始扇區為6272號扇區。繼續向下查找“030000”，在6336號扇區找到根目錄，即根目錄的起始扇區為6336號扇區。大寫字符文件總扇區為6336-6272=64，且只占1簇，用2n表示，可知n為8。

5.找到簇位圖文件的起始扇區，并計算FAT表的大小由于簇位圖文件點2和3號簇，共2簇，因此，簇位圖文件的總扇區數為2×64＝128。大寫字符文件的起始扇區為6272，簇位圖文件的起始扇區為6272-128=6144。在本分區內，跳轉至簇位圖文件的起始扇區為6144，見到簇位圖文件參數。同時，由于數據區是從簇位圖文件所在扇區開始，因此，簇位圖文件的起始扇區為6144號扇區也是數據的起始扇區。數據區的大小=本分區總扇區一數據的起始扇區=33552384-6144=33546240，數據區總簇數=總扇區數÷64=33546240÷64=524160簇。FAT所占的扇區數最大值為數據區的起始扇區-FAT表的起始扇區，即6144-2048=4096扇區。利用Winex恢復受破壞exFAT分區DBR一步驟三：恢復受破壞DBR及其備份6.把步驟三至步驟五找到的參數填入DBR主要參數表把步驟三至步驟五找到的參數填入DBR參數格式表（表7-2），得到DBR參數表，如表7-8所示。表7-8exFAT分區DBR主要參數表偏移量長度值參數0X0030X9076EB跳轉指令0X0380X5441465845文件系統0X0B530X00保留區0X4080X0800分區起始扇區:20480X4880X01FFF800分區總扇區數:335523840X5040X0800FAT表起始扇區:20480X5440X1000FAT表總扇區數:40960X5840X1800數據區起始扇區:61440X5C40X07FF80數據區總簇數:5241600X6040X05根目錄起始簇:50X648略分區序號及標志0X6C40X09每扇區字節數(2n):5120X6D10X06每簇扇區數(2n):640X6E10X01FAT表個數:10X6F10X080磁盤類型0X78390略引導程序0X1FE20X55/0XAA扇區有效標志利用Winex恢復受破壞exFAT分區DBR一步驟三：恢復受破壞DBR及其備份7.把DBR參數寫入DBR跳轉至本分區0號扇區，把表7-8的DBR參數填入DBR相應偏移，得到恢復后DBR，如圖7-7所示。利用Winex恢復受破壞exFAT分區DBR一步驟三：恢復受破壞DBR及其備份8.恢復DBR備份

把DBR復制到12號扇區，即12扇區為DBR備份。點擊“保存”功能，關閉本磁盤，退出Winex。在素材文件夾中，雙擊“7任務1-2-2.vd”，資源管理器正常打開磁盤，恢復受破壞DBR及其備份的操作完成。利用Winex恢復受破壞FAT表（被清零）02利用Winex恢復受破壞FAT表（被清零）二利用Winex恢復受破壞FAT表（被清零）（共有2個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：確認FAT表被破壞（被清零）步驟三：恢復被破壞的FAT表利用Winex恢復受破壞FAT表（被清零）二步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務1-2-3.vd”，然后運行Winex，打開“D1”，操作界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區（exFAT分區）。步驟二：確認FAT表被破壞（被清零）進入在分區1，點開FAT表，跳轉到2048號扇區，數據全為0，說明FAT表被破壞（被清零）。如圖7-8所示。圖7-8Winex編輯窗口信息（FAT表）圖利用Winex恢復受破壞FAT表（被清零）二步驟三：恢復被破壞的FAT表1.利用DBR模板讀取DBR的BPB參數利用DBR模板讀取本分區DBR，如圖7-9所示。圖7-9Winex“exFAT模板”信息（DBR）圖利用Winex恢復受破壞FAT表（被清零）二步驟三：恢復被破壞的FAT表1.利用DBR模板讀取DBR的BPB參數利用DBR模板讀取本分區DBR，如圖7-9所示。圖7-9Winex“exFAT模板”信息（DBR）圖在圖7-9中，可讀?。海?）數據區的起始扇區為6144號扇區，所在簇號為2號簇，也是簇位圖文件的起始扇區。（2）根目錄的起始扇區為5號簇。（3）每簇扇區數為26=64扇區。由于大寫字符文件是在目錄的前1簇（且只占1簇），因此大寫字符文件占4號簇。由于簇位圖文件是在大寫字符文件前，因此3號簇是被簇位圖文件占，又由于簇位圖文件起始在2號簇，故簇位圖文件占2、3號簇。利用Winex恢復受破壞FAT表（被清零）二步驟三：恢復被破壞的FAT表2.確定0號表項、1號表項的參數0號表項參數固定為0XFFFFFF8F、1號表項參數固定為0XFFFFFFFF。3.確定2號表項、3號表項的參數由于簇位圖文件占2、3號簇，因此2號表項、3號表項參數為0X3、0XFFFFFFFF。4.確定4號表項的參數由于大寫字符文件僅占4號簇，因此4號表項參數為0XFFFFFFFF。5.確定5號表項的參數由于根目錄占5號簇，因此5號表項參數為0XFFFFFFFF。6.確定6號表項的參數跳轉到6號簇，發現有用戶數據，由于這數據是由根目錄或子目錄管理了，因此6號表項及其后面的表項目全部為0X00000000。最后進行保存和磁盤快照操作，完成恢復受破壞FAT表（被清零）任務的操作。利用Winex恢復受破壞FAT表（被清零）二步驟三：恢復被破壞的FAT表7.把已確定的各表項的參數填入FAT表把已確定的各表項的參數填入FAT表，恢復了FAT表，如圖7-10所示。點擊“保存”功能，進行“磁盤快照”，關閉本磁盤，退出Winex。

在素材文件夾中，雙擊“7任務1-2-3.vd”，資源管理器正常打開磁盤，恢復受破壞FAT表的操作完成?；謴褪芷茐膃xFAT數據區用戶目錄項03恢復受破壞exFAT數據區用戶目錄項三恢復受破壞exFAT數據區用戶目錄項（共有3個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：確認用戶目錄項被破壞（被清零）步驟三：恢復被破壞用戶文件（夾）恢復受破壞exFAT數據區用戶目錄項三步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務1-2-4.vd”，資源管理器正常打開磁盤，但根目錄沒有文件（夾）。然后運行Winex，打開“D1”，操作界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區（exFAT分區）。步驟二：確認用戶目錄項被破壞（被清零）進入在分區1，根目錄沒有文件（夾），點擊根目錄，發現用戶文件（夾）錄項為0，說明用戶文件（夾）目錄項被破壞了。如圖7-11、12所示。圖7-11Winex驅動器窗口信息（分區1）圖恢復受破壞exFAT數據區用戶目錄項三步驟二：確認用戶目錄項被破壞（被清零）圖7-12Winex編輯窗口信息（根目錄表）圖恢復受破壞exFAT數據區用戶目錄項三步驟三：恢復被破壞用戶文件（夾）1.推算被破壞用戶文件（夾）所占的簇號從圖7-12可知，由于前一個文件起始簇為6，后一個文件起始簇為15，因此，被破壞的用戶文件（夾）可能占7-14簇。2.查找被破壞用戶文