一次检验自己技术和耐力的碎片提取经历

一次检验自己技术和耐力的碎片提取经历

 

      一同事花了一个月的时间做了一个FLASH课件准备参加比赛,课件基本上快完工了,不幸的事在前两天发生了:另一同事给他换一个大硬盘,当时本来想用GHOST把小硬盘中的数据GHOST到大硬盘中,但源盘和目标盘选错了,最后导致数据丢失。作品马上要上交了,于是找到我,关键是要恢复小盘中的课件的源文件,文件大小是9.65M。我拿到盘后,分析了现在的数据情况,发现原来的文件那个分区的前面部分关键数据(DBR和FAT表)全部覆盖,感觉不妙了,因为同事对这个源文件不可能是一次作完的,这样文件估计有碎片,而要恢复的文件是一个后缀为fla的FLASH源文件,这种文件我以前没接触过,当时只能能他说:我试试!(在没有十分的把握情况下只能这样说)首先恢复到原来的分区状态,因为这个分区的前面部分数据全部覆盖,现在只能先用数据恢复的最后一招:格式化这个分区。说明:这步操作不是不得已,是不能乱用的!因为我考虑到格式化时重写的数据是已覆盖的部分,对后面要恢复的数据没有任何影响,而且这样还可以恢复出没有覆盖部分的数据的部分目录结构,这样用软件扫,看能不能找到同事说的那个文件。结果用软件扫到相应的目录中的那个文件(扫前要验证格式化后的DBR参数是否正确!!),提取出这个文件后,不能正常打开,而这个文件的数据开始部分距离数据覆盖的最后区域相差很远,所以初步判断源文件的数据没有覆盖,是有碎片引起的。现在的任务就是要提取碎片,先找到一个正常的FLASH源文件分析,发现文件的结构和复合文档的结构很相似,看到一丝曙光,但要在一个8G的分区中提取一个9M多的文件,真有点大海捞针,而且还不知道碎片有多少,同事找来了,还是试试吧。最后花了10个小时,共发现4个碎片,其中只有第二个碎片的结束扇区和第三个碎片的开始扇区没有准确定位外,其它都能准确定位,最后把提取的碎片合成为一个文件,发给同事验证,结果除其中的一个录音的后半部分有点问题外,其它全部正确,但录音可以再录,我就没再继续下去了,总的来说,还是比较成功的。这应该算得上一次检验自己技术和耐力的碎片提取经历!下图是我在这次提取碎片过程中做的一些分析图,作个纪念吧!!

一次检验自己技术和耐力的碎片提取经历_第1张图片

这个文件的SAT占用了155个扇区!!

 

 

 

 

你可能感兴趣的:(职场,Flash,休闲,碎片提取)