看苹果盘需要把bigending打开 首先找到卷头 在没有卷头的情况下，就往下搜索!00找到分配文件， 一般苹果盘和ntfs一样，每块扇区数是8 在这里往上调8个扇区就是分区起始，分区起始一定要记住，因为是手工提取文件的条件之一。 有卷头的情况下，看编录文件， 拿这个数乘每块扇区数再加上分区起始就是编录文件的开始，在编录文件中就可以大概知道部分文件的具体信息， 跳到根目录节点， 看到部分文件的节点号，如果要恢复34号文件下的文件那么就需要找到34号文件节点，跳到34号文件节点下面去看看， 看文件的基本信息就可以把这个文件提取出来了。 找到起始块号和大小，起始块号乘每块扇区数加上分区起始扇区就是文件起始， 完美提取...

一般恢复出来的文件就是把表示文件破坏，就是424D，然后就是把像素改成反的，如果像素没反就用电脑建一个，然后用建的这个文件的像素试试。...

各类文件的文件头标志 1、从Ultra－edit-32中提取出来的 JPEG (jpg)，文件头：FFD8FF PNG (png)，文件头：89504E47 GIF (gif)，文件头：47494638 TIFF (tif)，文件头：49492A00 Windows Bitmap (bmp)，文件头：424D CAD (dwg)，文件头：41433130 Adobe Photoshop (psd)，文件头：38425053 Rich Text Format (rtf)，文件头：7B5C727466 XML (xml)，文件头：3C3F786D6C HTML (html)，文件头：68746D6C3E Email [thorough only] (eml)，文件头：44656C69766572792D646174653A Outlook Express (dbx)，文件头：CFAD12FEC5FD746F Outlook (pst)，文件头：2142444E MS Word/Excel (xls.or.doc)，文件头：D0CF11E0 MS Access (mdb)，文件头：5374616E64617264204A WordPerfect (wpd)，文件头：FF575043 Postscript (eps.or.ps)，文件头：252150532D41646F6265 Adobe Acrobat (pdf)，文件头：255044462D312E Quicken (qdf)，文件头：AC9EBD8F Windows Password (pwl)，文件头：E3828596 ZIP Archive (zip)，文件头：504B0304 RAR Archive (rar)，文件头：52617221 Wave (wav)，文件头：57415645 AVI (avi)，文件头：41564920 Real Audio (ram)，文件头：2E7261FD Real Media (rm)，文件头：2E524D46 MPEG (mpg)，文件头：000001BA MPEG (mpg)，文件头：000001B3 Quicktime (mov)，文件头：6D6F6F76 Windows Media (asf)，文件头：3026B2758E66CF11 MIDI (mid)，文件头：4D546864 2、从winhex中取出的文件头列表 File Type ExtensionsHeader JPEG jpg;jpeg 0xFFD8FF PNG png 0x89504E470D0A1A0A GIF gif GIF8 TIFF tif;tiff 0x49492A00 TIFF tif;tiff 0x4D4D002A Bit map bmp BM AOL ART art 0x4A47040E000000 AOL ART art 0x4A47030E000000 PC Paintbrush pcx 0x0A050108 Graphics Metafile wmf 0xD7CDC69A Graphics Metafile wmf 0x01000900 Graphics Metafile wmf 0x02000900 Enhanced Metafile emf 0x0100000058000000 Corel Draw cdr CDR CAD dwg 0x41433130 Adobe Photoshop psd 8BPS Rich Text Format rtf rtf XML xml HTML html;htm;php;php3;php4;phtml;shtml type Email eml Delivery-date: Outlook Express dbx 0xCFAD12FE Outlookpst!BDN MS Office/OLE2doc;xls;dot;ppt;xla;ppa;pps;pot;msi;sdw;db 0xD0CF11E0A1B11AE1 MS Access mdb;mda;mde;mdt Standard J WordPerfect wpd 0xFF575043 OpenOffice Writer sxw writer OpenOffice Calc sxc calc OpenOffice Math sxm math OpenOffice Impress sxi impress OpenOffice Draw sxd draw Adobe FrameMaker fm <MAKERFILE PostScript eps.or.ps;ps;eps %!PS-Adobe Adobe Acrobat pdf %PDF-1. Quicken qdf 0xAC9EBD8F QuickBooks Backup qbb 0x458600000600 Sage sly.or.srt.or.slt;sly;srt;slt0x53520100 Sage Backup 1 SAGEBACKUP Lotus WordPro v9 lwp 0x576F726450726F Lotus 123 v9 123 0x00001A00051004 Lotus 123 v5 wk4 0x00001A0002100400 Lotus 123 v3 wk3 0x00001A0000100400 Lotus 123 v1 wk1 0x2000604060 Windows Password pwl 0xE3828596 ZIP Archive zip;jar 0x504B0304 ZIP Archive (outdated) zip 0x504B3030 RAR Archive rar Rar! GZ Archive gz;tgz 0x1F8B08 BZIP Archive bz2 BZh ARJ Archive arj 0x60EA 7-ZIP Archive 7z 7z集' Wave wav WAVE AVI avi AVI Real Audio ram;ra .ra?0 Real Media rm .RMF MPEG mpg;mpeg 0x000001BA MPEG mpg;mpeg 0x000001B3 Quicktime mov moov Windows Media asf 0x3026B2758E66CF11 MIDI mid MThd Win32 Executable exe;dll;drv;vxd;sys;ocx;vbxMZ Win16 Executable exe;dll;drv;vxd;sys;ocx;vbxMZ ELF Executable elf;; 0x7F454C4601010100 各种文件类型文件头标志位详细列表 FFD8FFFE00, .JPEG;.JPE;.JPG, "JPGGraphic File" FFD8FFE000, .JPEG;.JPE;.JPG, "JPGGraphic File" 474946383961, .gif, "GIF 89A" 474946383761, .gif, "GIF 87A" 424D, .bmp, "Windows Bitmap" 4D5A,.exe;.com;.386;.ax;.acm;.sys;.dll;.drv;.flt;.fon;.ocx;.scr;.lrc;.vxd; .cpl;.x32, "Executable File" 504B0304, .zip, "Zip Compressed" 3A42617365, .cnt, "" D0CF11E0A1B11AE1,.doc;.xls;.xlt;.ppt;.apr, "MS Compound Document v1 or Lotus Approach APRfile" 0100000058000000, .emf, "" 03000000C466C456, .evt, "" 3F5F0300, .gid;.hlp;.lhp, "Windows HelpFile" 1F8B08, .gz, "GZ Compressed File" 28546869732066696C65, .hqx, "" 0000010000, .ico, "Icon File" 4C000000011402, .lnk, "Windows LinkFile" 25504446, .pdf, "Adobe PDF File" 5245474544495434, .reg, "" 7B5C727466,.rtf, "Rich Text Format File" lh, .lzh, "Lz compression file" MThd, .mid, "" 0A050108, .pcx, "" 25215053, .eps, "Adobe EPS File" 2112, .ain, "AIN Archive File" 1A02, .arc, "ARC/PKPAK Compressed 1" 1A03, .arc, "ARC/PKPAK Compressed 2" 1A04, .arc, "ARC/PKPAK Compressed 3" 1A08, .arc, "ARC/PKPAK Compressed 4" 1A09, .arc, "ARC/PKPAK Compressed 5" 60EA, .arj, "ARJ Compressed" 41564920, .avi, "Audio Video Interleave(AVI)" 425A68, .bz;.bz2, "Bzip Archive" 49536328, .cab, "Cabinet File" 4C01, .obj, "Compiled Object Module" 303730373037, .tar;.cpio, "CPIO ArchiveFile" 4352555348, .cru;.crush, "CRUSH ArchiveFile" 3ADE68B1, .dcx, "DCX Graphic File" 1F8B, .gz;.tar;.tgz, "Gzip ArchiveFile" 91334846, .hap, "HAP Archive File" 3C68746D6C3E,.htm;.html, "HyperText Markup Language 1" 3C48544D4C3E,.htm;.html, "HyperText Markup Language 2" 3C21444F4354, .htm;.html, "HyperText MarkupLanguage 3" 100, .ico, "ICON File" 5F27A889, .jar, "JAR Archive File" 2D6C68352D,.lha, "LHA Compressed" 20006040600, .wk1;.wks, "Lotus 123 v1 Worksheet" 00001A0007800100, .fm3, "Lotus 123 v3 FMTfile" 00001A0000100400, .wk3, "Lotus 123 v3Worksheet" 20006800200, .fmt, "Lotus 123 v4 FMTfile" 00001A0002100400, .wk4, "Lotus 123 v5" 5B7665725D, .ami, "Lotus Ami Pro" 300000041505052, .adx, "Lotus ApproachADX file" 1A0000030000, .nsf;.ntf, "Lotus NotesDatabase/Template" 4D47582069747064, .ds4, "MicrografixDesigner 4" 4D534346, .cab, "Microsoft CAB FileFormat" 4D546864, .mid, "Midi Audio File" 000001B3, .mpg;.mpeg, "MPEG Movie" 0902060000001000B9045C00, .xls, "MS Excel v2" 0904060000001000F6055C00, .xls, "MS Excel v4" 7FFE340A,.doc, "MS Word" 1234567890FF, .doc, "MS Word 6.0" 31BE000000AB0000, .doc, "MS Word forDOS 6.0" 1A00000300001100, .nsf, "NotesDatabase" 7E424B00, .psp, "PaintShop Pro Image File" 504B0304, .zip, "PKZIP Compressed" 89504E470D0A, .png, "PNG Image File" 6D646174, .mov, "QuickTime Movie" 6D646174, .qt, "Quicktime MovieFile" 52617221, .rar, "RAR Archive File" 2E7261FD, .ra;.ram, "Real AudioFile" EDABEEDB, .rpm, "RPM Archive File" 2E736E64, .au, "SoundMachine AudioFile" 53495421, .sit, "Stuffit v1 ArchiveFile" 53747566664974, .sit, "Stuffit v5Archive File" 1F9D, .z, "TAR Compressed ArchiveFile" 49492A, .tif;.tiff, "TIFF (Intel)" 4D4D2A,.tif;.tiff, "TIFF (Motorola)" 554641, .ufa, "UFA Archive File" 57415645666D74, .wav, "Wave Files" D7CDC69A,.wmf, "Windows Meta File" 4C000000, .lnk, "Windows Shortcut (LinkFile)" 504B3030504B0304, .zip, "WINZIPCompressed" FF575047, .wpg, "WordPerfectGraphics" FF575043, .wp, "WordPerfect v5 orv6" 3C3F786D6C,.xml, "XML Document" FFFE3C0052004F004F0054005300540055004200, .xml, "XML Document(ROOTSTUB)" 3C21454E54495459, .dtd, "XML DTD" 5A4F4F20, .zoo, "ZOO Archive File" 通过文件头标识判断图片格式 最近在做东西的时候遇到了点问题，在加载图片的时候，加载失败，后缀都是jpg格式，但换个图片就可以了，为此，怀疑图片格式有问题，遂拖到UE里面查看它的16进制，果然，两个图片的文件头根本就不一样，这不是欺负人嘛，害我白白浪费了半天的时间，差点要重新编译内核。 然后到网上找了一些资料，查看不同格式图片的文件头是怎样的。下面转帖是不同图片的文件头标志： 图片的格式很多，一个图片文件的后缀名并不能说明这个图片的真正格式什么，那么如何获取图片的格式呢？我想到了几个简单但有效的方法，那就是读取图片文件的文件头标识。我们知道各种格式的图片的文件头标识识不同的，因此我们可以通过判断文件头的标识来识别图片格式。 我对各种格式的图片文件头标识进行了分析，不仅查找资料，也用十六进制编辑器察看过图片的文件头，以下是我收集、分析的结果，供大家参考。 1.JPEG/JPG 文件头标识 (2bytes): $ff, $d8 (SOI) (JPEG 文件标识) 文件结束标识 (2bytes): $ff, $d9 (EOI) 2.TGA 未压缩的前5字节 0000 02 00 00 RLE压缩的前5字节 00 00 10 00 00 3.PNG 文件头标识 (8 bytes) 89 50 4E 47 0D 0A 1A 0A 4.GIF 文件头标识 (6bytes) 47 49 46 38 39(37) 61 G I F 8 9 (7) a 5.BMP 文件头标识 (2bytes) 42 4D B M 6.PCX 文件头标识 (1bytes) 0A 7.TIFF 文件头标识 (2bytes) 4D 4D 或 49 49 8.ICO 文件头标识 (8bytes) 00 00 01 00 01 00 20 20 9.CUR 文件头标识 (8bytes) 00 00 02 00 01 00 20 20 10.IFF 文件头标识 (4bytes) 46 4F 52 4D F O R M 11.ANI 文件头标识 (4bytes) 52 49 46 46 12、Word/Excel(xls.or.doc) 文件头标识 D0CF11E0 D0CF11E0A1B11AE1 文件结束标识 0100FEFF030A0000 R I F F 根据这些文件头标识的收集，我可以写一个识别图像格式的模块了。但是在写这个模块之前可以对收集到的文件头标识进行优化，使得程序中字符串比对次数尽量的少。 1.JPEG我们知需要比对文件头的$ff, $d8这两个字符，而不用读取最后的两个结束标识了。 2.TGA，ICO，CUR只需比对第三个与第五个字符即可。 3.PNG比对[89][50]这两个字符。 4.GIF比对[47][49][46]与第五个字符。 废话不多说了，利用内存流来判断文件的格式，其实判断文件的前几个字节就可以简单的判断这个文件是什么类型的文件，例如 jpg文件 是 FFD8 (从低位到高位就要反过来 D8FF 下面都是一样) BMP文件 是 424D ---4D42 其他的我就不一一列举了，想知道跟多文件类型分别是用什么字符作为文件的开头的话，下载个C32asm或者UE等这类16进制编辑器就可以看到了 什么头都没有直接数据的就是ANSI类型,EF BB BF头的就是UTF-8类型,FF FE头的就是UNICODE类型的,FE FF头的就是UNICODE BIG ENDIAN类型的,然后根据类型确定用什么类型的变量保存内容 求助怎么能在winhex中添加新的文件头搜索项 选择按类型恢复，弹出对话框后点击signatures按钮，这时，winhex就会调用excel打开这个winhex安装目录下的File Type Signatures Search这个文件。然后在Description下输入描述比如“图片”，Extensions下输入扩展名，多个扩展名可以以分号隔开。heard下输入文件头的标志，以右斜杠隔开，并一小写x开头（表示十六进制）。逐个输入标志字节，比如图片则输入：\xFF\xD8\。假设图片的标志字节在第四个字节，那么在offset下输入4。...

一般出题就是把头delete，然后要添加字节进去，然后复制个头过来，修复文件头就能出来了，或者会把ROOT里面的7-4删除，然后要记得，一般是3.，还有就是运算第一个扇区，或者整文件运算，...

常驻文件提取 第一步：首先找到DBR这几个重要的参数 在没有DBR 的时候就往下搜索46494C 第二步：找到MFT的扇区位置，一般大盘就是在DBR的基础上往下跳786432*8=6291456 第三步：在MFT的基础下往下跳12个扇区找到bitmap，因为一个文件记录站两个扇区，所以bitmap在第6号文件记录， 第四步：跳到第35号文件记录，35号就是存放分区第一个文件的文件记录位置，那就是在MFT的位置往下跳70个扇区， 第五步：提出文件， 非常驻文件提取 前面一样，找到mft的位置，往下跳70个扇区，找到分区第一个文件的位置，然后在下面找到你要恢复的文件的文件记录， 数据流起始的大小（簇）乘每簇扇区数，然后加上dbr的位置，就是文件的起始位置，然后文件的大小（簇）乘每簇扇区数就是文件的扇区大小，然后将它提取出来就行了。 碎片提取 同样找到文件的文件记录，看到80属性，然后它的数据流会显示几段，先找到第一段的起始簇号及大小，然后算出第一块碎片的起始扇区和大小，提取出来，然后用第一块的起始扇区加上，第二块的起始大小，就等于第二块碎片的起始，然后算出大小提取出来，如果后面还有第三个碎片，原理也是一样的，然后利用winhex中的碎片合并功能，ALT+k合并，先填文件的名字，然后合并第一个，合并第二个。完成。...

附件：ZZ017数字产品检测与维护赛项规程（师生同赛）.pdf 附件：ZZ017数字产品检测与维护赛项赛题库（师生同赛）.zip 暂定国赛比赛时间：5月14日...

DBR参数 但是在中盈的数据恢复软件中是打不开exfat分区的，在这里就需要手工提取文件。 手工提取文件 第一步： 往下非0（!00） 可以找到FAT表 然后继续往下非0（!00） 可以找到BITMAP 然后继续往下非0（!00） 可以找到大小写 然后继续往下非0（!00） 就到根目录了， 也可以直接搜索81000000找到根目录，但是为了防止运算，所以在这里用到了非0（!00） 看根目录， 手工提取文件需要几个条件，每簇扇区数，这个时候就需要看根目录文件的起始簇号，一般为4号簇 第一个文件的起始簇号是5，所以我们就以第一个文件做为起始，找到第一个文件的起始扇区，判断往下跳8/16/32/64/128/256、如果刚好在根目录的位置跳到了第一个文件的起始，那么这个数就是每簇扇区数，这个分区的每簇扇区数是256，然后我们要提2.doc，那么就需要拿2号文件的起始簇号减去第一个文件的起始簇号，然后乘每簇扇区数，加上第一个文件的起始扇区，就能将这个2.doc文件提取出来， 另外算每簇扇区数的方法还有，看第一个文件和第二个文件的起始簇号，表示，第一个文件的大小只占一个簇，所以我们拿第一个文件的开始到第二个文件的开始的字节数，除512个字节，表示这个文件占多少个扇区，然后这个文件刚好只占一个簇，所以这个分区的每簇扇区数是256....

手工提取文件 一：找到DBR 二：搜索F8FFFF找到两个FAT表，然后算出FAT大小， 然后算出RD(根目录的位置=fat大小*2+fat1扇区位置) 三： 四：起始簇号减去根目录的簇号，也就是2号，再乘每簇扇区数，然后加上根目录的位置就是文件的起始扇区，然后算出大小，提取。 ***根目录簇号一般为2 五：在根目录删除的情况下，找到目录第一个文件的起始簇号，找到分区第一个文件的扇区位置，然后拿要提取的文件簇号减去第一个文件的起始簇号，乘每簇扇区数，然后加上分区第一个文件的扇区位置，然后就可以跳到你想要提取的文件的起始扇区位置， 原理和减去根目录簇号是一个概念，只是相对分区第一个文件的起始簇号。 碎片手工提取 方法一:出题人竟然出了碎片提取，那FAT表肯定会留一个好的，目录也不会删除，即使删除根目录，文件在子目录的情况下，可以建一个新盘，复制一个根目录过来，然后重新给他写一个文件目录，只需要文件的起始扇区，名字无所谓，这样一来，在不删除FAT表的前提下只需要修复DBR就可以打开这个分区把文件提取出来， 方法二：找到根目录，看起始簇号，找到需要恢复的文件起始簇号，比如12，那么跳到FAT表，就看13，然后文件是从12开始，只是在FAT表里面表示13，然后找到不连续的数，那么不连续的这个数就是这个文件的第二段起始，以此类推，把几段提出来，然后用winhex中的合并工具，合并，恢复。 碎片提取详解 1，看根目录， 2，看8号文件，找到低位，这里是9号簇起始 大小.50,788 3，然后 跳到fat表，如果根目录是09,（9号簇）那么FAT表就是看10号簇（0A）然后看0A后面 的4个字节就是他下一个碎片的起始， 4， 5，然后跳到他下一个碎片的起始，一直到ffffff0f，不包括ffffffof 所以这个文件一共有两段，一段是从9-10号簇 还有一段就是58-62号簇 把两段提出来，保存不需要后缀 9. 最后使用ALT+K文件合并，然后设置一个文件名，这里是8.docx 然后附加1然后附加2，附加2之后就直接保存 ...

那就丢了呗，还能咋办！...