《一种恢复FAT32分区数据的方法.pdf》由会员分享,可在线阅读,更多相关《一种恢复FAT32分区数据的方法.pdf(6页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 (43)申请公布日 (21)申请号 201410775892.2(22)申请日 2014.12.17G06F 17/30(2006.01)G06F 11/14(2006.01)(71)申请人四川效率源信息安全技术有限责任公司地址 610000 四川省成都市高新区天府大道1700号新世纪环球中心E37楼2-1-715(72)发明人梁效宁(54) 发明名称一种恢复FAT32分区数据的方法(57) 摘要本发明公开了一种恢复FAT32分区数据的方法,包括以下步骤:S1:选择FAT32分区;S2:分析FAT表空闲区域位置;S3:整合为空闲区域合集;S4:选择提取类型;S5:提取相应文。
2、件。本发明能准确的区分分区内的正常区域和空闲区域,并可形成空闲区域集合缩小扫描范围方便文件提取;按照文件头特性可全面深度扫描或者以文件类型分类扫描空闲区域集合中文件并进行提取;能按照文件大小或文件尾截断提取相应文件,提取更为全面且提高工作效率,缩短提取时间。(51)Int.Cl.(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书1页 说明书2页 附图2页(10)申请公布号 CN 104462433 A(43)申请公布日 2015.03.25CN 104462433 A1/1页21. 一种恢复FAT32分区数据的方法,其特征在于包括以下步骤:S1:将硬盘插入恢复设备,选择需恢复数。
3、据的FAT32分区;S2:通过分析FAT表,得到分区内所有正常区域和空闲区域的位置;S3:将所有空闲区域整合为一个空闲区域合集文件;S4:选择提取类型,若选择提取所有空闲区域则通过标记信息和文件头特征提取空闲区域合集中所有的文件,若选择精确查找则进入S5;S5:选择文件类型,根据文件头特征扫描所有空闲区域内的对应文件并记录;S6:判断记录的文件是否有文件大小信息或文件尾,若有则按文件大小或文件尾进行截断,并提取出文件,若没有则进入S7;S7:按照文件通常大小进行截断并提取文件。2.根据权利要求1所述的一种恢复FAT32分区数据的方法,其特征在于所述S7中若按文件大小截断并提取失败,则使用人工截。
4、断并提取。3.根据权利要求1所述的一种恢复FAT32分区数据的方法,其特征在于所述S7中的通常文件大小为按照文件通常的大小事先配置的固定大小值。权 利 要 求 书CN 104462433 A1/2页3一种恢复 FAT32 分区数据的方法技术领域0001 本发明涉及信息安全技术领域,特别涉及一种恢复FAT32分区数据的方法。背景技术0002 FAT32是Windows系统硬盘主要分区格式的一种,存储的数据中涉及人们的工作、学习、生活、交往、财务、休闲、娱乐、情感等,对个人或公司来说都是十分珍贵的无形资产。同时作为电子证据的一种,犯罪嫌疑人的硬盘数据是公安机关、检察院等司法部门破案的关键。0003。
5、 多种情况会导致分区数据丢失:操作系统等软件问题造成存储信息丢失;误删除、误格式化,犯罪嫌疑人恶意删除毁灭罪证。0004 目前市面上有很多硬盘数据恢复工具,对于数据恢复都具有如下局限性:都是基于全盘扫描来完成文件的查找,耗费时间长;只能恢复删除标记的数据,对于没有删除标记的数据不能进行恢复,恢复数据不全面。发明内容0005 本发明针对现有技术的缺陷,提出一种恢复FAT32分区数据的方法,能有效的解决上述现有技术存在的问题。0006 为了实现上述目的,本发明采用的技术方案是:一种恢复FAT32分区数据的方法,包括以下步骤:S1:将硬盘插入恢复设备,选择需恢复数据的FAT32分区;S2:通过分析F。
6、AT表,得到分区内所有正常区域和空闲区域的位置;S3:将所有空闲区域整合为一个空闲区域合集文件;S4:选择提取类型,若选择提取所有空闲区域则通过标记信息和文件头特征提取空闲区域合集中所有的文件,若选择精确查找则进入S5;S5:选择文件类型,根据文件头特征扫描所有空闲区域内的对应文件并记录;S6:判断记录的文件是否有文件大小信息或文件尾,若有则按文件大小或文件尾进行截断,并提取出文件,若没有则进入S7;S7:按照文件通常大小进行截断并提取文件。0007 作为优选,所述S7中若按文件大小截断并提取失败,则使用人工截断并提取。0008 作为优选,所述S7中的通常文件大小为按照文件通常的大小事先配置的。
7、固定大小值。0009 与现有技术相比本发明的优点在于:能准确的区分分区内的正常区域和空闲区域,并可形成空闲区域集合缩小扫描范围方便文件提取;按照文件头特性可全面深度扫描或者以文件类型分类扫描空闲区域集合中文件并进行提取;能按照文件大小或文件尾截断提取相应文件,提取更为全面且提高工作效率,缩短提取时间。说 明 书CN 104462433 A2/2页4附图说明0010 图1为本发明实施例的流程图;图2为本发明FAT32文件系统的结构示意图。具体实施方式0011 为了详细说明本发明的具体实施方式,下面结合附图以说明:如图1所示,一种恢复FAT32分区数据的方法,包括以下步骤:S1:将硬盘插入恢复设备。
8、,选择需恢复数据的FAT32分区;S2:整个分区都是由FAT表来标记使用,通过分析FAT表,得到分区内所有正常区域和空闲区域的位置;S3:将所有空闲区域整合为一个空闲区域合集文件;S4:选择提取类型,若选择提取所有空闲区域则通过标记信息和文件头特征提取空闲区域合集中所有的文件,若选择精确查找则进入S5;S5:选择文件类型,根据文件头特征扫描所有空闲区域内的对应文件并记录;S6:判断记录的文件是否有文件大小信息或文件尾,若有则按文件大小或文件尾进行截断,并提取出文件,若没有则进入S7;S7:按照文件通常大小进行截断并提取文件。0012 所述S7中若按文件大小截断并提取失败,则使用人工截断并提取。。
9、0013 所述S7中的通常文件大小为按照文件通常的大小事先配置的固定大小值。0014 下面详细说明本发明的原理:如图2所示,在FAT32文件系统由DBR、FAT1、FAT2、DATA区四个部分组成,其中FAT1/2区是用于记录硬盘中有关文件如何被分散存储在不同扇区的信息,所有的存储区都是通过FAT表来进行记录和管理。0015 FAT表标记的正常区域是已经存放文件的,而空闲区域FAT表也标记有状态。0016 通过分析FAT表以及每个簇的使用情况,就可以精确的区分出正常区域与空闲区域。0017 文件被删除后FAT表会释放相应的簇链,并标记该文件的存储区域为空闲区域,但在硬盘平凡的重写中会破坏掉文件。
10、的标记,目前的硬盘恢复工具都是通过找到标记的被删除文件来恢复文件的,但是已被破坏标记的文件无法恢复,所以通过找到所有空闲区域并形成一个空闲区域合集,在空闲区域合集中可以找到所有删除的文件或者被破坏掉标记的文件。0018 通过文件头特征可以准确找到该文件,在更具文件大小信息或者文件尾来截断读取,从而提取出相应的文件。0019 例如要找到docx文件只要扫描到“50 4B 03 04 14 00 06 00”的文件头特征则找到该类文件,在通过文件大小信息和文件尾来判断该文件的大小,若没有则利用事先设定的docx文件的一般大小来进行截断并进行提取。0020 以上描述阐述了具体细节以便充分理解本发明,但本发明还可以采用其他不同于此描述方式来实施,因此本发明并不限于以上公开的具体实施例。说 明 书CN 104462433 A1/2页5图1说 明 书 附 图CN 104462433 A2/2页6图2说 明 书 附 图CN 104462433 A。