前几天遇到一个客户要求恢复数据相机照片,症状是FAT32系统中病毒后清除了FAT表,目录项还在,先采用文件类型的恢复手段,几乎试遍了各种软件都不果,只是恢复了其中很少的一部分,得出以下结论:
1,文件是特殊结构的图片文件头,跟常规图像格式的文件头不一样;
分析:用WINHEX分析客户提供的样本文件,搜索其图像文件头"FFD8",发现文件头正常,排除这一项可能/
2,该照片存在碎片,经与客户沟通发现,该客户在拍摄过程边拍边删除,所拍的照片几乎已经存满SD卡,这就与上面能恢复一部分文件相印证(数据恢复软件是按文件连续存储即没有碎片来恢复的);
分析:因为以前从来没有接触过图片的存储结构,所以开始上网了解.通过两天的学习,大概知道了图片的一个存储结构,这时想到之前搜索文件夹头时,文件头相对集中在SD卡的前面1/8处,而且很多都是64K,再搜索"FFD9"图片结束标志,发现几乎两个文件隔了大概8-12M,这很符合原来图片的大小,初步猜测图片分成了两部分,一个前面的文件头,另一部分是介于两个"FFD9"之间的,马上验证,OK!图片完整恢复!
接下来的事情就简单啦,验证了四五个文件都能正常打开,OK,写脚本,收工!
 
qq: 1533701227,欢迎交流数据恢复相关问题!