一种还原fat32目录项的起始簇号恢复文件的方法
【专利摘要】本发明公开了一种还原FAT32目录项的起始簇号恢复文件的方法,其特征在于包括以下步骤:S1:检索数据区,区分被删除文件;S2:根据被删除文件的目录项,得到目录项起始簇号的高位;S3:检索高位被清零的目录项,并记录;S4:提取S3中记录的目录项恢复对应文件;S5:判断是否完成任务,若是则结束,若否则执行S4。本发明能够找到并恢复起始簇号高位被清除的文件;通过父目录或同级文件高位缩小检索范围,缩短程序运行时间;经过三重判断恢复文件提高成功率。
【专利说明】—种还原FAT32目录项的起始簇号恢复文件的方法
【技术领域】
[0001]本发明涉及信息安全【技术领域】,特别涉及一种还原FAT32目录项的起始簇号恢复文件的方法。
【背景技术】
[0002]FAT32是Windows系统硬盘主要分区格式的一种,存储的数据中涉及人们的工作、学习、生活、交往、财务、休闲、娱乐、情感等,对个人或公司来说都是十分珍贵的无形资产。同时作为电子证据的一种,犯罪嫌疑人的硬盘数据是公安机关、检察院等司法部门破案的关键。
[0003]目前常见的恢复FAT32文件系统中被删除数据的方法主要是通过按文件目录项起始簇号低位进行恢复,但起始簇号高位若被清除,高低位组合的首簇是不正确的,不能正确的进行恢复文件;因此当前急需一种还原FAT32目录项的起始簇号来恢复文件的方法。
【发明内容】
[0004]本发明针对现有技术的缺陷,提出一种通过还原FAT32目录项的起始簇号恢复文件的方法,能有效的解决上述现有技术存在的问题。
[0005]为了实现上述目的,本发明采用的技术方案是:一种还原FAT32目录项的起始簇号恢复文件的方法,包括以下步骤:
S1:检索数据区,通过目录项区分被删除文件;
52:根据被删除文件的目录项,得到目录项起始簇号的高位;
53:检索高位被清零的目录项,并记录;
54:提取S3中记录的目录项之一,计算该目录项起始簇号恢复对应文件;
55:判断是否完成所有起始簇号高位被清零文件的恢复,若是则结束,若否则执行S4。
[0006]作为优选,所述S4包括以下步骤:
5401:记录该目录项的起始簇号低位及文件大小信息;
5402:查找该目录项的父目录和同级文件的目录项;
5403:选择提取父目录或同级文件目录项中的起始簇号高位;
5404:若为父目录,则起始簇号高位向上偏移一位;若为同级文件,根据同级文件目录项位置向上或向下偏移一位;若偏移位置到达父目录头部或尾部,停止偏移,执行S4。
[0007]S405:根据偏移后的高位和S401记录的低位得到新的起始簇号;
5406:根据S405得到的起始簇号对应的文件头判断是否为常用文件,若是则执行S407,若否则执行S404 ;
5407:根据起始簇号及S401记录的文件大小判断对应的FAT项是否为连续的未使用状态;若是则执行S408,若否则执行S404 ;
5408:根据起始簇号及S401记录的文件大小截取文件,分析该文件是否正确;若是则执行S409,若否则执行S404 ; S409:恢复该文件。
[0008]与现有技术相比本发明的优点在于:能够找到并恢复起始簇号高位被清除的文件;通过父目录或同级文件高位缩小检索范围,缩短程序运行时间;经过三重判断恢复文件成功率和正确率高。
【专利附图】
【附图说明】
[0009]图1为本发明的主流程图;
图2为本发明步骤S4的详细流程图。
【具体实施方式】
[0010]为了详细说明本发明的【具体实施方式】,下面结合附图以说明:
如图1所示,一种还原FAT32目录项的起始簇号恢复文件的方法,包括以下步骤:
S1:检索数据区,通过目录项区分被删除文件,这里需要检索到目录项开头为“E5”则认为这是被删除文件的目录项。
[0011]S2:根据被删除文件的目录项,得到目录项起始簇号的高位。
[0012]S3:检索并记录起始簇号高位为“00 00”的目录项。
[0013]S4:提取S3中记录的目录项之一,计算该目录项起始簇号进行比对并恢复对应文件。
[0014]S5:判断是否完成所有起始簇号高位被清零文件的恢复,若是则结束,若否则执行S4。
[0015]如图2所示,所述步骤S4的详细步骤如下:
S401:记录该目录项的起始簇号低位及文件大小信息,目录项中已包含低位信息和文件大小信息。
[0016]S402:根据该目录项找到其父目录和同级文件的目录项。
[0017]S403:选择提取父目录或同级文件目录项中的起始簇号高位。
[0018]S404:若选择父目录,则起始簇号高位向上偏移一位;若选择同级文件,根据同级文件目录项位置向上或向下偏移一位;例如高位为“02”,则将高位变为“01”或“03” ;若偏移位置到达父目录头部或尾部的边界,停止偏移,执行S4。
[0019]S405:根据偏移后的高位和S401记录的低位得到新的起始簇号。
[0020]S406:根据S405得到的起始簇号对应的文件头判断是否为常用文件,若是则执行S407,若否则执行S404 ;这里需要将常用文件的文件头分别和对应的文件头进行匹配。
[0021]S407:根据起始簇号及S401记录的文件大小判断对应的FAT项是否为连续的未使用状态;若是则执行S408,若否则执行S404 个文件的大小对应在FAT表中的FAT项,文件被删除后FAT项也会被清除,只需判断该文件对应的FAT表中的FAT项是否被清空即可,若已经被清空而且清空范围和文件大小范围吻合则认为可能是有效文件。
[0022]S408:根据起始簇号及S401记录的文件大小截取文件,分析该文件是否为有效,是否损坏;若是则执行S409,若否则执行S404。
[0023]S409:恢复该文件。
[0024]以上描述阐述了具体细节以便充分理解本发明,但本发明还可以采用其他不同于此描述方式来实施,因此本发明并不限于以上公开的具体实施例。
【权利要求】
1.一种还原FAT32目录项的起始簇号恢复文件的方法,其特征在于包括以下步骤: 51:检索数据区,通过目录项区分被删除文件; 52:根据被删除文件的目录项,得到目录项起始簇号的高位; 53:检索高位被清零的目录项,并记录; 54:提取S3中记录的目录项之一,还原该目录项起始簇号并恢复对应文件; 55:判断是否完成所有起始簇号高位被清零文件的恢复,若是则结束,若否则执行S4。
2.根据权利要求1所述的一种还原FAT32目录项的起始簇号恢复文件的方法,其特征在于所述S4包括以下步骤: 5401:记录该目录项的起始簇号低位及文件大小信息; 5402:查找该目录项的父目录和同级文件的目录项; 5403:选择提取父目录或同级文件目录项中的起始簇号高位; 5404:若为父目录,则起始簇号高位向上偏移一位;若为同级文件,根据同级文件目录项位置向上或向下偏移一位;若偏移位置到达父目录头部或尾部的边界,停止偏移,执行S4。
3.S405:根据偏移后的高位和S401记录的低位得到新的起始簇号; 5406:根据S405得到的起始簇号对应的文件头判断是否为常用文件,若是则执行S407,若否则执行S404 ; 5407:根据起始簇号及S401记录的文件大小判断对应的FAT项是否为连续的未使用状态;若是则执行S408,若否则执行S404 ; 5408:根据起始簇号及S401记录的文件大小截取文件,分析该文件是否正确;若是则执行S409,若否则执行S404 ; 5409:恢复该文件。
【文档编号】G06F17/30GK104331348SQ201410693388
【公开日】2015年2月4日 申请日期:2014年11月27日 优先权日:2014年11月27日
【发明者】梁效宁 申请人:四川效率源信息安全技术有限责任公司