扫一扫,访问微社区

新浪微博登陆

只需一步, 快速开始

登录 | 加入雨荷 | 找回密码

数据恢复,winhex视频,数据恢复培训,硬盘数据恢复,raid0,raid1,raid5数据恢复,雨荷数据

 找回密码
 加入雨荷

扫一扫,访问微社区

新浪微博登陆

只需一步, 快速开始

总共6075条微博

动态微博

楼主: rainhe

[交流] U盘部分镜像,敬请分析

  [复制链接]
  • TA的每日心情
    开心
    2017-2-2 08:54
  • 签到天数: 64 天

    [LV.6]站长亲人

    新浪微博达人勋

     楼主| 发表于 2013-5-10 12:02:01 | 显示全部楼层
    回复@bslmao:搜索一级目录。
  • TA的每日心情
    开心
    2015-2-23 18:43
  • 签到天数: 1 天

    [LV.1]初来乍到

    新浪微博达人勋

    发表于 2013-5-10 12:11:47 | 显示全部楼层
    rainhe 发表于 2013-5-10 10:17
    希望你通过 邀请码邀请更多朋友加入。

    恩,我上次做的任务邀请码过期了,看了下新任务又没有这个项了,不知道该怎么操作
  • TA的每日心情
    开心
    2016-3-3 17:04
  • 签到天数: 189 天

    [LV.7]伴坛终老

    新浪微博达人勋

    发表于 2013-5-10 12:33:47 | 显示全部楼层
    bsmao 发表于 2013-5-10 11:53
    有的子目录也是乱码,够狠的

    这个病毒 破坏某些目录 ,大多是偏移一个扇区 ,有的写入2-3个扇区 ,会损失部分文件 ,大多数还能完美修复
  • TA的每日心情
    开心
    7 小时前
  • 签到天数: 2109 天

    [LV.Master]

    新浪微博达人勋

    发表于 2013-5-10 12:45:41 | 显示全部楼层
    本帖最后由 bsmao 于 2013-5-10 13:20 编辑
    rainhe 发表于 2013-5-10 12:02
    回复@bslmao:搜索一级目录。


    镜像里有一个一级目录。复制过去没问题。但是206号簇子目录里也是乱码。这样在把它的下一级子目录里的目录项写到206号簇子目录下应该可以。
  • TA的每日心情
    开心
    2012-11-25 11:19
  • 签到天数: 9 天

    [LV.3]偶尔蹭饭

    新浪微博达人勋

    发表于 2013-5-10 13:52:36 | 显示全部楼层
  • TA的每日心情
    奋斗
    6 小时前
  • 签到天数: 1772 天

    [LV.Master]

    新浪微博达人勋

    发表于 2013-5-10 15:18:17 | 显示全部楼层
  • TA的每日心情
    擦汗
    2013-3-30 21:12
  • 签到天数: 2 天

    [LV.1]初来乍到

    新浪微博达人勋

    发表于 2013-5-10 15:27:58 | 显示全部楼层
  • TA的每日心情
    奋斗
    2016-12-2 15:44
  • 签到天数: 467 天

    [LV.9]

    新浪微博达人勋

    发表于 2013-5-10 16:11:21 | 显示全部楼层
    本帖最后由 dapeng2010 于 2013-5-10 16:15 编辑

    我说一下自己的思路,
    1,mbr可以看出分区格式为fat32(0B以chs方式寻址适用于10G以下的小盘。对于ide老盘如果做系统会做不进去这时可以把0B改成oc[以lba寻址])即可。
    2,分区开始272 sectors (分区表给出)
    3, 分区大小(15613680) [7.4G也就是8G的盘]
    4,跳到272sec 发现是个dbr(这里除了保留扇区正确外其它没有关键数据不正常。)
    5,向下找fat标志。(这里我是找F8向下512 mod 0因为有些时候病毒会改这个标志的后面的值。F8保险些)
    6,在308 sec 发现fat表踪迹但是fat的第一个链被改了后面有些是对的有些不对。F8 D6 FF 0D(如果找F8 FF FF 0F是找不到这个扇区的)
    7,在15526 sec发现fat2标志(这个完好)所以,atsize=15526-308=15218 sectors  rootentry:15526+15218=30744 sec (2号簇)
    8,找2E2020找两个子目录根据他们对应的簇及扇区算出簇大小为8 sec
    9,簇大小计算我是用字目录之间的关系计算的。
    10,重建dbr,fat2替换fat1清空根目录。(因为根目录有乱码,字目录有些目录项目好的所以找一级字目录然后用杜老师的fat32格式化后快速恢复的方法可以恢复。因为只有5万扇区没法试验请杜老师及各位朋友指正,自己分析没有抄袭。



  • TA的每日心情
    无聊
    2015-2-25 13:16
  • 签到天数: 15 天

    [LV.4]匆匆过客

    新浪微博达人勋

    发表于 2013-5-10 16:31:07 | 显示全部楼层
  • TA的每日心情
    开心
    2015-12-11 11:19
  • 签到天数: 24 天

    [LV.4]匆匆过客

    新浪微博达人勋

    发表于 2013-5-10 16:52:49 | 显示全部楼层
    学习一下!!!!!!!!
  • TA的每日心情
    开心
    9 小时前
  • 签到天数: 2203 天

    [LV.Master]

    新浪微博达人勋

    发表于 2013-5-11 06:36:19 | 显示全部楼层

    该用户从未签到

    新浪微博达人勋

    发表于 2013-5-11 10:02:52 | 显示全部楼层
  • TA的每日心情
    开心
    2017-2-2 08:54
  • 签到天数: 64 天

    [LV.6]站长亲人

    新浪微博达人勋

     楼主| 发表于 2013-5-11 14:02:49 来自手机 | 显示全部楼层
    陈是英雄 发表于 2013-5-11 10:02
    下来看看分析下.

    期待你的结果。
  • TA的每日心情

    2015-2-5 23:01
  • 签到天数: 18 天

    [LV.4]匆匆过客

    新浪微博达人勋

    发表于 2013-5-11 15:54:54 | 显示全部楼层
    {:12|}

    支持。。。。。。。。。。。。。
  • TA的每日心情

    2015-2-5 23:01
  • 签到天数: 18 天

    [LV.4]匆匆过客

    新浪微博达人勋

    发表于 2013-5-11 16:40:25 | 显示全部楼层
    rainhe 发表于 2013-5-9 21:03
    是的,因为特殊,所以才分享。

    杜老师公布一下答案吧。。。
    我怎么感觉根目录不是很正常呀。。。。。
    发表回复
    您需要登录后才可以回帖 登录 | 加入雨荷 新浪微博登陆

    本版积分规则

    Copyright © 2001-2015 All Rights Reserved雨荷数据安全技术论坛 陕ICP备08105630

    QQ|申请友链|小黑屋|手机版|Archiver|雨荷数据安全技术论坛 ( 陕ICP备17009169号

    快速回复 返回顶部 返回列表