- 专业度
- 8659
- 元宝
- 994679
- 金钱
- 2035
- 最后登录
- 2024-5-13
- 注册时间
- 2011-7-5
- 精华
- 3
- 积分
- 1014328
- 阅读权限
- 200
- 帖子
- 281
 
TA的每日心情 | 慵懒
2013-7-7 17:56:22 |
|---|
签到天数: 5 天 [LV.2]偶尔看看I - 金钱
- 2035
- 元宝
- 994679
- 专业度
- 8659
|
前几天遇到一个客户要求恢复数据相机照片,症状是FAT32系统中病毒后清除了FAT表,目录项还在,先采用文件类型的恢复手段,几乎试遍了各种软件都不果,只是恢复了其中很少的一部分,得出以下结论:
1,文件是特殊结构的图片文件头,跟常规图像格式的文件头不一样;
分析:用WINHEX分析客户提供的样本文件,搜索其图像文件头"FFD8",发现文件头正常,排除这一项可能/
2,该照片存在碎片,经与客户沟通发现,该客户在拍摄过程边拍边删除,所拍的照片几乎已经存满SD卡,这就与上面能恢复一部分文件相印证(数据恢复软件是按文件连续存储即没有碎片来恢复的);
分析:因为以前从来没有接触过图片的存储结构,所以开始上网了解.通过两天的学习,大概知道了图片的一个存储结构,这时想到之前搜索文件夹头时,文件头相对集中在SD卡的前面1/8处,而且很多都是64K,再搜索"FFD9"图片结束标志,发现几乎两个文件隔了大概8-12M,这很符合原来图片的大小,初步猜测图片分成了两部分,一个前面的文件头,另一部分是介于两个"FFD9"之间的,马上验证,OK!图片完整恢复!
接下来的事情就简单啦,验证了四五个文件都能正常打开,OK,写脚本,收工!
|
|
发表于 2011-8-16 11:35:29
收藏
发表于 2011-8-16 15:36:44