内容基础，功力尚浅，或有未知错误，请多多指教。

这里先贴一下老师的小tips，这是我的展示步骤。

1.fat 32分区下面创建一个 txt 文件，观察文件的目录项、簇链表以及文件的位置。

2.shift+ del 删除该文件

3.用 winhex 进入该 fat 32 分区，进行数据恢复（包括手工修复目录项，簇链表）

4.刷新分区，进入原有目录，此时应该可以正常看到这个文件，同时双击可正常打开。

文件恢复的原理（网上搜集，看起来比较奇怪是因为这是从onenote上直接复制过来的）

FAT文件系统

先上一个结构图，具体概念可以自己百度。

其中簇是文件存储的基本单位。我的电脑1簇=8个扇区=8*512 B =4 KB（这里需要注意的是，文件属性里显示的文件大小是不精确的字节数，所以之后恢复簇链表时填充FAT表的时候，不要多填或少填。）

下面我们一边介绍然后演示txt文件的恢复。

我是直接在电脑“磁盘管理”中，将空闲的一个盘分出来一个FAT32文件格式的盘做的实验，这是因为现在的文件系统一般比较大，采用的是更适合的NTFS文件系统，所以分盘的时候最好大约在30M~30G之间。（当然你也可以在虚拟机里搞）

（首先上一张winhex全景图），以管理员权限打开，（否则无法成功修改），打开磁盘。

在winhex里操作记得观察结果之前要进行“更新磁盘快照”。

1.DBR

如下图所标注，着色部分是FAT32文件系统的DBR，分别为跳转指令，OEM代号，BPB，引导程序和结束标志（55AA）。其中BPB结构另一图中详尽标出（0x0B~0x59），并在表格里说明含义。FAT32文件系统的开始部分有一个由若干个扇区组成的保留区，保留区的大小会记录在DBR扇区中，比较常见的为32、34或38个扇区。由DBR中0x0e和0x0f两个地址的数值决定，小端字节序，即N的值。

BPB结构图如下：

2.FAT表

FAT表中记录的是文件的簇链表，以4个字节为一个簇号，从光标0x00~0x03为0号表项，固定值；1号表项是可能被用于记录脏标志，以说明文件系统没有被正常卸载或者磁盘表面存在错误。不过这个值并不重要。正常情况下1号表项的值为“FFFFFFFF”或“FFFFFF0F”。文件簇号从2号簇开始存储，每个簇里面填写下一个簇的簇号，结束簇填“FFFFFF0F”。

3.下面进入根目录区。根目录区存储文件目录，FAT32文件系统中，分区根目录下的文件和目录都放在根目录区中，子目录中的文件和目录都放在子目录区中，并且没每32个字节为一个目录项，每个目录项纪录着一个目录或文件（也可能是多个目录项记录一个文件或目录），如上图所示就是一个目录项。

在FAT32文件系统中，目录项可以分为四类：卷标目录项、“.”和“..”目录项、短文件名目录项、长文件名目录项。 （“.”和“..”目录项：“.”表示当前目录，“..”表示上一层目录。这两个目录项多存在子目录中。短文件名目录项：所谓短文件名既文件名的“8.3”格式，此格式支持主文件名不能超过8字节，扩展名不能超过3字节。短文件名目录始终存放在一个目录项中。）短文件名各参数如下：

如图为一个短文件名目录项，大小32个字节。

如图所示文件首簇（0x14 0x15）为0，所以不用分析。短文件就是这样存储的。长文件就是把它分成若干短文件名，向上存储。举一个例子。粉色所示是我们长文件浓缩成短文件的目录项，与短文件一样的格式存储；而长文件的名字则拆开，32个字节里存13个字符，Unicode编码存储，1表示第一部分，2表示第二部分，42表示第二部分已经足够存储文件名了。

4.下面我们建立一个大约60K的test.txt。

如图，新建txt文档，大小大约53.7kb。（由于操作失误建立了53.7MB，所以在删除前对此文件进行删减为57.9kb。）

右键选择文件，导航至根目录处，分析文件属性。

如图数据解释器告诉我们，文件大小56326144B，首簇号30004H(196612D)。

选择文件->右键->导航->列出簇，如图。可知文件一共占有15个簇，从196612->196626。

选择文件->右键->导航->目录项。如图，注意到ANSI ASCII将字母t转为大写，绿色部分组合起来是首簇号，验证后恰为30004H（196612D），文件大小59337B。

选择窗口->导航->转至FAT记录..->输入文件十进制首簇号。

如图，可以看到已经进入FAT1，得到文件簇链表。

现在shift+del永久删除文件，更新磁盘快照。观察到文件名已经损坏。

5.恢复原理

大致原理是，对于短文件而言，永久性删除（shift+ del ），不同于放入回收站)意味着：

①   根目录目录项里文件名首字节改为E5，首簇号高位改为0000H。

②   FAT表里簇链表被清空。

针对此，我们开始文件恢复。

①   文件->右键->导航->目录项。直接修改第一个字符为T（也可任意）。

②文件->右键->导航->列出簇，观察。

虽然框图已经变灰，但首簇以及占用簇还没有发生变化。

已知196612D=30004H，直接在目录项里修改0x14~15，填充0300。

③]窗口->导航->跳至FAT区->输入首簇号196612，得到下图，开始修复簇链表。修复完如图

保存，查看。成功。可以看到之前删除的test文件又出现了，鼓掌！

结束！谢谢，欢迎批评指正

[if !vml]

[endif]