FAT12环境中文件删除、文件恢复原理实验（单簇文件）

这是之前在xl博客上写的计算机病毒原理课程实验二的续。

原理上，文件删除是将目录项的第一字节改为e5（删除文件），并将FAT表中链上每个FAT项还原为0（回收簇）。

该实验目的为验证并试验此原理。

因为完整实验的之前步骤已经在xl博客上实现了，这里就不再赘述，直接从删除文件这个步骤开始：

显而易见在根目录下有MUSIC目录，GAME目录和一个TXT文件，在这里删除这个TXT文件。

然后将软盘弹出并打开考察。

现在考察这个软盘，首先考察FAT表区：

显然ROOTTMP.TXT对应的第8簇已清0。

继续考察根目录区（根目录区的地址已在之前的文章中计算过两次..这里也不再赘述..）

显然该目录项的第一个字节被修改为E5。

最后考察用户数据区：因为第0,1扇区被系统保留但未在用户数据区占用实际储存空间（实验在之前验证过），所以第8簇对应用户数据区起第6扇区

显然该扇区数据依然存在。

下面进行该文件的恢复，因为该文件只占用1簇空间，所以显然只要进行两步。首先找到该文件目录项，把第一个字节改掉（不能改为00，因为00是字符串结束符，DOS系统也不会识别出该文件），然后查看目录项对应的起始簇号：第8簇，在FAT表中将第8簇修改为fff即可。

进行上述操作后进入DOS，连接上软盘：

可见文件恢复成功。