本文案例對象：分區(qū)類型：MBR，文件系統(tǒng)：FAT32

用Winhex對數(shù)據(jù)內(nèi)容進(jìn)行查找提取

目標(biāo)1：數(shù)據(jù)恢復(fù)教程.txt

首先將“數(shù)據(jù)恢復(fù)教程”轉(zhuǎn)化為ASCII碼

由于它是長文件名（超過8個字節(jié)），因此只取前6個字節(jié)：CAFDBEDDBBD6

點擊Winhex分區(qū)的根目錄，用十六進(jìn)制查找文件名

目錄項.png

可得文件的起始簇號=132331，文件大小=16字節(jié)
轉(zhuǎn)到指定簇得

可以看到文件的內(nèi)容部分
在文件頭右鍵選塊起始，若使用十進(jìn)制數(shù)據(jù)，點擊左側(cè)Offset縱欄將顯示進(jìn)制轉(zhuǎn)化為十進(jìn)制，點擊Winhex上方小箭頭轉(zhuǎn)到偏移量，將文件大小16填入

可得到文件的末位+1的位置，點擊選塊結(jié)束，即可選定數(shù)據(jù)范圍

選塊右鍵點擊編輯，復(fù)制選塊至新文件，選擇好位置，并輸入帶后綴的文件名，即可將其人工拷貝至新位置

目標(biāo)2：數(shù)據(jù)恢復(fù)教程.rar

此次使用的是另一塊虛擬磁盤，此次文件非常多，我們嘗試在根目錄下進(jìn)行文件名搜索

發(fā)現(xiàn)需要很長時間，這是因為該磁盤內(nèi)文件很多，根目錄很大。于是我們需要用FAT表進(jìn)行文件目錄下一簇號的查找。

其中Fat的第二表項標(biāo)注根目錄存放情況，此處第三個四字節(jié)并不是FFFFFF0F，而是410f0000(0xF41)，我們可知存放根目錄的下一個簇號是0xF41
于是我們轉(zhuǎn)到該簇號，進(jìn)行進(jìn)一步的文件名查找

發(fā)現(xiàn)查找依然要很久

返回FAT表，查看存放根目錄的下一個簇號，如何查看呢？
由于FAT表每四個字節(jié)記錄一個簇號的使用情況，因此我們可以將FAT表偏移量設(shè)置為3905*4(0xF41*4)即可找到存放根目錄的下一個簇號

將鼠標(biāo)點擊FAT表初始位置F8，點擊Winhex上面轉(zhuǎn)到偏移量

于是我們找到了存放根目錄的下一個簇號7117，依然跳轉(zhuǎn)到該簇查詢文件，發(fā)現(xiàn)依然很慢（一時出不來），接著重復(fù)操作，在FAT表轉(zhuǎn)到偏移量7117*4得到下一個簇號為10081，進(jìn)行查找，無果，再在FAT表轉(zhuǎn)到偏移量10081*4得到下一個簇號為13671，很快就找到了文件目錄（按F3跳到下一個匹配對象）