ExFat文件系统DBR受损恢复案例

ExFat文件系统也FAT32相类似,同时也结合着NTFS中的知识。

下面我们手工分析EXFat文件系统DBR受损手工分析案例

手工恢复受损的DBR需要计算一下参数:

隐藏扇区数

分区总扇区数

FAT表起始扇区数

FAT表大小

首簇号

总的簇数

根目录的起始簇号

每扇区字节数

每簇扇区数

首先Winhex打开受损磁盘,如下:

 

根据MBR可知分区起始在63号扇区,跳到63号扇区发现DBR全部被填充为FF。由于FxFat DB12号扇区会有备份DBR,跳到75号扇区发现备份DBR也遭到破坏,被填充为00

如图:

ExFat文件系统DBR受损恢复案例_根目录

ExFat文件系统DBR受损恢复案例_知识_02

 

 

下面我们检查去数据区是否受损

搜索“F8FF”在2111号扇区找到其fat表,发现为正常FAT

ExFat文件系统DBR受损恢复案例_手工_03

 

簇位图的起始扇区号为4159,如下

ExFat文件系统DBR受损恢复案例_根目录_04

 

搜索“00000100”在4223号扇区找到大写字符元文件

下面我们手工分析计算一下BPB中需要的参数:

通过分析我们知道由于大写字符所占用的为固定大小,占用一个簇。而FAT表中显示簇位图跟大写字符都占用一簇,即每簇大小为4223-4159=64

隐藏扇区63

总扇区15669248-63=15669185

FAT起始扇区数2111

首簇起始扇区号4159

总簇数(15669185-4159/64约为244767

现在我们来计算FAT表大小:

(总簇数+2)*4/512

(这里当然不是很准确,可根据FAT表大小是簇的整数倍,需要整体考虑)

根目录的起始簇号 4

每扇区字节数512

每簇扇区数64

现在我们来手工写入保存后正常打开。

 

注意:ExFat文件系统的引导扇区不允许发生改变,即1-11号扇区,其备份扇区也是如此。当然这里的思路很多,需要仔细琢磨。

  有很多地方不是很清楚,昨天刚看的EXfat文件系统,不足之处大家多给意见。 呵呵  谢谢~