QQ登录

只需一步,快速开始

扫一扫,访问微社区

新浪微博登陆

只需一步, 快速开始

登录 | 加入雨荷 | 找回密码

数据恢复,winhex视频,数据恢复培训,硬盘数据恢复,raid0,raid1,raid5数据恢复,雨荷数据

 找回密码
 加入雨荷

QQ登录

只需一步,快速开始

扫一扫,访问微社区

新浪微博登陆

只需一步, 快速开始

总共6044条微博

动态微博

查看: 12471|回复: 68

一个XLS碎片提取案例

  [复制链接]

该用户从未签到

新浪微博达人勋

发表于 2010-3-13 15:51:44 | 显示全部楼层 |阅读模式
最近接了一个用户的活,要求恢复一个XLS。该文件存储在一个移动硬盘上,用户误格式化了移动硬盘,写入了一定的数据,然后用软件扫描找到了大部分数据,但是有一个XLS却无法打开,在试了很多次都失败的情况下用户求助于我们。 首先对软件扫描的XLS进行了分析,发现仅仅只有文件头所在的簇(该逻辑盘8个SEC一个簇)是正常的,其它全部有问题,该文件没有ROOT没有SAT,如果文件头正确的话很明显这个文件应该是有碎片,然后软件扫描时只是简单的根据文件头进行了连续提取造成了文件的不正确。文件头开始于硬盘2006簇,以下为文件头的信息。


从文件问中可以得知,该XLS无MSAT,只有三个SAT扇区。接挨着文件头的是一个以0908开始的SEC,如果文件头正确那么该簇应该就是该XLS开始的前8个SEC,再往下的簇为INDEX是一个索引,很明显他不属于该文件,那么这个XLS很可能在此处被“隔”开了,碎片产生了。


从图中可以得知DocumentSummaryInformationSID303,正好在SAT第一个SID的前8SEC,通过脚本很快定位了几个符合条件的,经过和用户沟通,从中找出一个符合要求的,如下图:



有了这些信息就好处理了,我们可以得到各个SHEET表的偏移值及长度,这样进行查找就方便了,经过两个小时的奋战终于得到了所有的SHEET表,如下图

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入雨荷 新浪微博登陆

x

评分

参与人数 1威望 +4 收起 理由
xiongdeyuan + 4

查看全部评分

  • TA的每日心情
    郁闷
    2016-11-16 16:23
  • 签到天数: 27 天

    [LV.4]匆匆过客

    新浪微博达人勋

    发表于 2010-3-13 16:56:33 | 显示全部楼层
  • TA的每日心情
    开心
    2015-12-12 13:29
  • 签到天数: 96 天

    [LV.6]站长亲人

    新浪微博达人勋

    发表于 2010-3-13 18:35:42 | 显示全部楼层
    看到小程子有发新案例 强烈支持 感谢了

    该用户从未签到

    新浪微博达人勋

    发表于 2010-3-13 19:43:31 | 显示全部楼层
    看到小程子有发新案例 强烈支持 感谢了:32|
  • TA的每日心情
    开心
    2011-8-18 22:03
  • 签到天数: 2 天

    [LV.1]初来乍到

    新浪微博达人勋

    发表于 2010-3-13 20:06:36 | 显示全部楼层
    看楼主的案例是多sheet表里每个sheet表都没有碎片,如果一个sheet表里就有2个以上的碎片,你这个模板也能恢复就好了,如果是单sheet表没有碎片这个应该是没有什么难度的

    该用户从未签到

    新浪微博达人勋

    发表于 2010-3-13 21:44:54 | 显示全部楼层
    i小程子的案例就是好,呵呵,辛苦了~~~
  • TA的每日心情
    慵懒
    2013-10-17 22:20
  • 签到天数: 7 天

    [LV.3]偶尔蹭饭

    新浪微博达人勋

    发表于 2010-3-13 23:44:00 | 显示全部楼层
    NT的好做一点 FAT就麻烦了
  • TA的每日心情
    擦汗
    2014-10-2 21:33
  • 签到天数: 1 天

    [LV.1]初来乍到

    新浪微博达人勋

    发表于 2010-3-14 01:17:49 | 显示全部楼层
    高人呀,目前碎片整理是最复杂的了
  • TA的每日心情
    擦汗
    2014-10-2 21:33
  • 签到天数: 1 天

    [LV.1]初来乍到

    新浪微博达人勋

    发表于 2010-3-14 01:18:26 | 显示全部楼层
    还有如果视频监控出类似的问题可以解决吗?
  • TA的每日心情
    擦汗
    2014-10-2 21:33
  • 签到天数: 1 天

    [LV.1]初来乍到

    新浪微博达人勋

    发表于 2010-3-14 01:19:34 | 显示全部楼层
    数据库文件也可以这样做吗?

    该用户从未签到

    新浪微博达人勋

     楼主| 发表于 2010-3-14 09:42:10 | 显示全部楼层
    5# yzq4045
    单个SHEET表有碎片的,只能通过一些关键字来定位了,不过不要指望用户提供有用的建议,因为超过半数的用户已经没有印象了

    该用户从未签到

    新浪微博达人勋

     楼主| 发表于 2010-3-14 09:50:00 | 显示全部楼层
    5# yzq4045
    另外,我个人认为碎片提取实际上就是在有效的利用文件的结构特征来达到逆向分析并重组的目的.所以如果没有这些特征做碎片比登天还要难,除此之外就是和用户的沟通了,只能是每分析一步就沟通一次或者是多次,只有这样才能完美的把散落在逻辑盘上的那些碎片给重新"串"起来.
    当然了,如果你有高见我也愿意洗耳恭听,毕竟技术是用来交流的,我的QQ号是cpx-cym@163.com

    该用户从未签到

    新浪微博达人勋

    发表于 2010-3-14 11:13:55 | 显示全部楼层

    该用户从未签到

    新浪微博达人勋

    发表于 2010-3-14 11:45:20 | 显示全部楼层
    本帖最后由 不动 于 2010-3-14 11:49 编辑

    从图中可以得知DocumentSummaryInformation的SID为303,
    在没找到ROOT前,是怎么知道DocumentSummaryInformation的SID为303?文件头好像没说明DocumentSummaryInformation的位置吧。
    还请小程子指教。
  • TA的每日心情
    开心
    2011-8-14 15:36
  • 签到天数: 1 天

    [LV.1]初来乍到

    新浪微博达人勋

    发表于 2010-3-14 13:52:27 | 显示全部楼层
    案例就是好,呵呵,辛苦了~~~
    发表回复
    您需要登录后才可以回帖 登录 | 加入雨荷 新浪微博登陆

    本版积分规则

    Copyright © 2001-2015 All Rights Reserved雨荷数据安全技术论坛 陕ICP备17009169号

    QQ|申请友链|小黑屋|手机版|Archiver|雨荷数据安全技术论坛 ( 陕ICP备17009169号

    快速回复 返回顶部 返回列表