1、FAT32文件目录项和删除格式化原理,FAT32的保留扇区和开始簇号,跳转到95号扇区,是因为63号扇区后边有保留扇区(0E0F)。95号扇区F8 FF FF 0F起始是0号簇,根目录在2号簇,3号簇是文件开始簇。(在磁盘形式下,是没办法跳转到簇的,接下来打开逻辑盘。跳转到个目录后能发现根目录下边的文件名称。(同样是每32个字节为一个文件目录项。),FAT32的文件目录项,高位2个字节 低位2个字节 4个字节,00 00 00 03 组合到一起后,高位在前,低位在后。,41 32 00 5B 00 31 00 5D 00 2E 00 0F 00 8D 38 002E 00 72 00 61 0
2、0 72 00 00 00 00 00 FF FF FF FF32 5F 31 5F 38 7E 31 20 52 41 52 20 00 B8 36 7F29 3E 2A 3E 00 00 02 78 25 3E 03 00 BE 1D 26 00,文件大小和开始簇号的位置(根据实际情况判断),1C1F是文件的大小(如果文件名过长,那么有可能是3C3F才是文件的大小。根据实际情况判断。1A1B是文件的开始簇号(可根据实际情况来判断,也有可能是3A3B)。在FAT16开始簇号是2个字节来表示的。但是在FAT32里边,开始簇号是由4个字节来表示的。(由高位和地位构成组合到一起构成。用2个字节表示
3、(低位)1415(3435)也用2个字节表示(高位)。高位和地位是由4个字节隔开的。)例如:,41 32 00 5B 00 31 00 5D 00 2E 00 0F 00 8D 38 002E 00 72 00 61 00 72 00 00 00 00 00 FF FF FF FF32 5F 31 5F 38 7E 31 20 52 41 52 20 00 B8 36 7F29 3E 2A 3E 4F 8B 02 78 25 3E 9E H6 BE 1D 26 00读取这个开始簇号应该这么读:8B 4F H6 9E,文件夹的目录项表示形式,根据上图做解释如下1、扩展名 因为文件没有扩展名,所以
4、484A 只能是20 20 20 2、文件大小判断 文件夹在WINHEX里是没有大小表示的,所以5C5F都是 00 00 00 00综上所述,此目录项代表的就是文件夹文件。那么这个文件的开始簇号应该是:00 00 09 8B 换算成簇号应该是 2443 。跳转到此簇号,就代表着此文件夹的数据区。,FAT32各个文件夹的簇号推断,第一个文件占用的簇:开始0号簇向下数到FF FF FF 0F 结束共18个簇。那么下一个文件就应该从地19号簇开始。,第二个文件的簇:上边64个字节是文件默认的( .和.)。然后下一个文件的起始簇号是:00 00 00 14 换算成簇号就是:20号簇。后4个字节都是00
5、 00 00 00 ,那么代表里边还有一个文件夹。,FAT32的格式化,在FAT16格式化:1、FAT1和FAT2全部清零 2、FDT文件目录项清零(根 目底下的文件目录项)。 3、重写DBR。FAT32格式化:1、FAT1和FAT2清零 2、重写DBR 3、根目录文件目录项清零,文件的删除,FAT16删除删除前删除后,文件的删除,FAT32的文件删除删除前删除后,15,15是人为修改,文件的删除,FAT16文件删除:文件名首字节标志成E5,其他地方不变,FAT中的相应的簇号,清零,如果簇号是连续的可以恢复。数据区不变FAT32文件删除:文件名首字节标志成E5, 起始簇号高位清零,那么这个文件
6、的起始簇号就会发生变化。FAT中的相应的簇号,清零。数据区不变,Fat32删除文件的变化,文件名首字节标志成E5, 起始簇号高位清零,那么这个文件的起始簇号就会发生变化。(如果文件考前,上述不考虑变化。如果文件靠后,那么起始簇号发生变化。那么这个文件目前就不能通过簇号寻找来进行恢复。所以在很多FAT32的格式化或者删除,在做数据恢复的时候总也恢复不过来,或者恢复后打不开,就是因为文件的起始簇号发生变化,而造成的。因此在做数据恢复的时候要对比的观察,学习。上述是FAT32根目录下进行的删除。,FAT32下子目录的删除,首先跳转到子目录文件的数据区。在根目录下找到子目录的开始簇号,然后跳转到子目录开始的簇。在分区下删除子目录,然后在子目录的数据区里看数据。这是会发现子目录下的所有文件的开始字节,全都变成E5开始的。但是如果起始扇区和文件大小数值没有变化。是可以进行恢复的。如果起始簇号的高位不为0,那么文件删除后,子目录下的文件起始簇号的高位也清零,那么这个文件就不能恢复了。如果客户实在需要,可以试着做。一个簇一个簇的找也能找到。找同個文件夾下的其他文件,或者建立日期接近的文件,看它們的高位.,
