|
|
|
Doc文件恢复一例
存储介质:SONY 4G Mini U盘
故障描述:朋友从电脑拷到U盘两个Doc文件,文件名和内容都是英文的,放在U盘根目录下,当时曾刷新确认过其存在,但未打开过,两天后打开U盘发现这两个文件不存在了。
恢复软件:EasyRecovery,FinalData ,winhex
恢复思路:盘体正常,其他文件完好,感觉属于一般性文件丢失,用常规软件EasyRecovery,FinalData恢复即可,实在不行就用WinHex喽。
恢复过程:
一、用EasyRecovery恢复,过滤器用“*.doc”,搜索结果如下图:
有大量曾删除的Doc文件,经朋友一一确认,没有找到要找的文件。
二、用FinalData恢复,如下图,搜索的比EasyRecovery的还要多,但同样没找到要找的文件。
三、关键时刻,还得用WinHex。
1、用WinHex打开U盘,搜索Doc文件头D0CF11E0A1B11AE1,如下图:
2、再搜文件尾,如下图:
4D6963726F736F6674204F666669636520576F72642039372D3230303320CEC4B5B5000A0000004D53576F7264446F630010000000576F72642E446F63756D656E742E3800F439B271
这是一个误区,我在这里耽误很多时间,细心一点你就会发现这个文件尾是用Office2007保存的Word97-2003文档,而我要找的是用Office2003保存的Word2003文档(后来发现的),如下图:
这才是Word2003的文件尾
4D6963726F736F6674204F666669636520576F726420CEC4B5B5000A0000004D53576F7264446F630010000000576F72642E446F63756D656E742E3800F439B271
到这里也许你会认为能轻而易举的找到要找的文件了,事实相反,由于文件较多,一个一个傻找的话会很浪费时间。
根据本人对Doc文件的研究,英文的句号以及后面的空格的16进制数据是2E2020202020,有多少空格就有多少20。如下图所示:
3、于是就搜索2E2020202020(由于是文件体的一部分就暂称文件体),结果如下:
嘿嘿!点击对文件体搜索的结果,就看到了上图中的大量的英文了。
4、对搜索结果分析发现,正好有两段结果偏移正好符合“文件头+文件体+文件尾”结构,且均含大量英文,如下图:
5、成功在即!选中文件头+文件体+文件尾,并置入新文件,如下图所示:
6、保存到桌面,并修改后缀为“.doc”,打开如下图所示:
同样方法的另一文件如下图:
经朋友确认,数据恢复成功!
恢复心得:两种文件尾的区别,以及文件体标志之一的2E2020202020是本此恢复节省时间的关键。希望广大数据恢复爱好者多总结多发现,并把成果跟大家分享。 |
-
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
北京某高级数据恢复系列教程
【新手看老鸟闪】西数模块定义直观图
WD 28(PST)模块简要说明
电子产品结构与导热材料解决方案
硬盘坏道维修色块全去! 希捷F3去色块又一
58GrenadaBP2家族三角板盘1ERxx系列硬砍0头
发个西数固件11g
ST 2T监控硬盘不认别,怎么解决
可怜啊!希捷12代1T酷鱼ST31000524AS固件JC
主板设计中导热界面材料对降低接触热阻的影