关闭

关闭

关闭

封号提示

内容

首页 用WinHex手工恢复复合文档的文件头

用WinHex手工恢复复合文档的文件头.doc

用WinHex手工恢复复合文档的文件头

zhy123 2010-12-18 评分 0 浏览量 0 0 0 0 暂无简介 简介 举报

简介:本文档为《用WinHex手工恢复复合文档的文件头doc》,可适用于IT/计算机领域,主题内容包含用WinHex修复损坏的复合文档文件头说明:、本教程仅仅针对复合文档(比如Word、Excel等)的文件头损坏后的修复、请允许我假设你已经了解复合文符等。

用WinHex修复损坏的复合文档文件头说明:、本教程仅仅针对复合文档(比如Word、Excel等)的文件头损坏后的修复、请允许我假设你已经了解复合文档的结构至少你能知道复合文档中的一些术语(比如:SAT、SSAT MSAT、标准流、短流等)否则请你弥补相关知识后继续阅读本教程(以前我曾发过一个相关内容的帖子:http:bbsintohardcomviewthreadphptid=extra=page=)、这个教程中涉及到的文档样本大家可以到http:bbsintohardcomthreadhtml中下载、网上这方面的资料很少所以本教程中有的名词是自己“命名”的因此相关名词请只在本教程中使用和理解!!如有不明白之处可以相互交流(我的QQ:)一、现象打开这个文档时出现乱码(如图):下载(KB):二、分析数据用WinHex打开这个文档如下图:下载(KB):分析:这个文档的文件头损坏了继续分析后面的内容损坏没有现在把这个文档设置为磁盘(如图)复合文档在储存数据的最小单位是块(一个块是个字节相当于一个扇区的数据所以有时我们也把它称为扇区)这样操作后看到的数据可以以一个扇区的形式呈现便于分析和手工重建。下载(KB):经过分析数据发现这个文档好像只有第扇区的数据完全破坏了这个扇区的内容是复合文档的文件头内容网上有恢复复合文档文件头的视频教程(这个论坛上就有!!)好像就是把一个正常的复合文档的前几行数据复制一下就行了从理论上讲恢复的成功率极小几乎是。因为复合文档的结构和FAT文件系统极其相似但比它还要复杂一些(涉及到短流、SSAT和MSAT)复合文档的文件头相当于FAT文件系统中的DBR有很多参数是要根据文件的具体数据进行相应的修改。下图中红底黑字部分描述的就是一般要修改的内容(有处小的文档一般只改其中的处)其它部分可以用一个正常的复合文档的相应数据代替。下载(KB):说明:要修改的文件头内容:、存放扇区配置表(SAT)的扇区总数(CH-FH)、存放目录流的第一个扇区的SID(H-H)、存放短扇区配置表(SSAT)的第一个扇区的SID(CH-FH)、存放短扇区配置表(SSAT)的扇区总数(H-H)、存放主扇区配置表的第一个扇区的SID(如果为-表示没有附加扇区)(H-H)、存放主扇区配置表的扇区总数(H-BH)、存放主扇区配置表(MSAT)的第一部分(从CH开始视具体情况决定结束位置)备注:如果文件比较小(存放主扇区配置表的第一部分在第扇区没有装满)第、两部分不用修改!!要修复文件头一般从扇区配置表(SAT)的数据分析开始SAT相当于FAT文件系统中的FAT表它把这个复合文档的各类数据“链”在一起所以我们反过来通过分析它们的链接情况和相应位置的数据来分析整个文档的数据结构最后根据相关信息重建文件头达到修复文件头的目的。在分析前有必要作一个说明不然你会越看越糊涂的!!我们现在看到的数据所在的扇区数据和复合文档中描述的扇区数有一个扇区的错位比如说复合文档中描述的第扇区在WinHex中看到的是第扇区为了便于区分把用WinHex打开看到的扇区叫做物理扇区文档的参数中描述的扇区叫参数扇区(这是我自己想的一个概念请只在本教程中使用和理解!!)。我们可以这样理解:物理扇区是这个复合文档的文件头存放了复合文件的一些整体信息它对后面的数据来说是一个隐藏扇区所以对数据区来说它把物理扇区看成它的第一个扇区(即参数扇区)物理扇区就是参数扇区依此类推(如下图所示)。物理扇区        …………N参数扇区        …………N-通过分析开始几个扇区的数据很容易判断出物理扇区的数据就是SAT(如图)下载(KB):第扇区(物理)从这个扇区中的数据可以看到在参数扇区和参数扇区这两个扇区中的数据是SAT数据(因为相应的位置是FDFFFFFF而FDFFFFFF是存放SAT扇区标志)参数扇区就是物理扇区的位置现在的这个位置就是SAT数据不必再分析现在到参数扇区就是物理扇区去看看(如图):下载(KB):第扇区(物理)这个扇区中没有FDFFFFFF而且从偏移CABH开始后面全部是FFFFFFFF(空闲的SID)综合这两个扇区(物理第和第扇区)的数据可以确定:存放扇区配置表(SAT)的扇区总数:个(要修改的第个参数)这两个是:参数扇区和参数扇区(要修改的第个参数)。(其实存放扇区配置表的扇区总数可以根据这个文档的扇区总数直接判断!!)然后分析这两个扇区的SAT链接情况和相应扇区的数据获得以下信息(下面的扇区都是指参数扇区):SAT:、(共个扇区)DIR:、(共个扇区)SSAT:(共个扇区)短流:、(共个扇区)标准流:――()――(从参数扇区到扇区不包括参数扇区共扇区)三、手工修复文件头、将一个正常的复合文档的第一个扇区(物理扇区)的数据复制到这个要修复的文档的物理扇区位置(如图)下载(KB):、修复相应的数据因为这个文档比较小所以只修改个位置即:、存放扇区配置表(SAT)的扇区总数(CH-FH):、存放目录流的第一个扇区的SID(H-H):、存放短扇区配置表(SSAT)的第一个扇区的SID(CH-FH):、存放短扇区配置表(SSAT)的扇区总数(H-H):、存放主扇区配置表(MSAT)的第一部分:  FFFFFFFF(后面全部是FF)下载(KB):要修复的数据位置下载(KB):修复后然后保存可以正常打开这个文档(因为这个文档设置的有密码考虑到隐私问题不便告诉大家。大家在拿到这个样本文档边看这个教程边恢复的时候如果最后恢复后打开这个文档提示输入密码时说明你恢复成功了对我们来说文档的内容不是很重要)

用户评论(0)

0/200

精彩专题

上传我的资料

每篇奖励 +1积分

资料评分:

/6
2下载券 下载 加入VIP, 送下载券

意见
反馈

立即扫码关注

爱问共享资料微信公众号

返回
顶部

举报
资料