修复启动系统文件-(修复启动系统文件损坏)

来源:191路由网 2022-12-30 23:33:06

(修复启动系统文件损坏)

在一次大型电诈案件的侦破中,专案组成员通过数据恢复工具恢复了所需文档文件。但令人意想不到的是,出现了部分Office文件无法打开或者打开乱码的情况,案件一时陷入了僵局。


文件无法打开


文件打开乱码



凌晨1点,办案人员联系到了经验丰富的效哥,委托他对这些重要文件进行紧急修复。效哥发现,这些文件都是DOC或XLS,是Microsoft Office 2007及之前的版本使用的文件格式,属于复合文档。于是,他脑海中立刻浮现了复合文档的两种修复方案。



★复合文档修复方案★




方案一基于扇区结构的修复方案



1

HEADER扇区受损


根据HEADER扇区的固定结构,对HEADER扇区中缺失或错误的字段内容进行修改处理,确保HEADER扇区的内容能够与文档的配置表信息、文档属性描述信息、文档扇区大小等信息正确对应。

HEADER扇区数据内容结构



2

内部控制流扇区受损


内部控制流扇区受损一般指的是文档的配置表扇区内容被破坏,包括SAT、SSAT、MSAT这三类配置表扇区内包含的SID值与文档的实际情况不能一一对应起来,则需要结合HEADER扇区和文档实际扇区内容的情况,对文档中所有的扇区进行解析,判断每个扇区内数据结构,然后对内部控制流扇区进行修改处理,从而重新生成修复完成后的复合文档。



3

用户数据流扇区受损


用户数据流扇区受损一般指的是在生成文件时,因用户对文档的增删改等操作而改变的文档中存储的数据流扇区被破坏,需要对这部分扇区内容进行修复处理。对于这部分数据,首先要结合DOC文档的存储结构,来确定文档中存储这些结构的扇区位置;然后判断是其中的哪些结构错误或缺失造成文件被破坏,再结合其中存储的固定信息内容,针对被破坏结构进行修复处理。

电脑

DOC文档存储结构




方案二基于流数据的修复方案


对于基于流数据的修复方案,针对的是复合文档中基本的扇区结构已经被完全破坏,不能通过文档的扇区配置表以及目录数据流,对文档的内容按照DOC文档存储结构进行判断处理的情况。


因为复合文档中存储的内容可能有文字、图片、视频、声音等类型的数据,而这些数据存储在文档中并没有进行再压缩操作,所以基于流数据的修复方案,就是利用这一点,针对文档中可能存在的不同类型的数据,按照这些类型的数据本身具备的数据结构特点,对文档进行逐字节解析判断。


图片、视频、声音这类的数据因其数据格式都有其固定的结构和标识,在对文档内容进行解析判断时,可结合这类型数据的结构特点进行分析判断。若满足这类数据的结构特点,则提取出来结合这类数据的结构重新保存生成新的文件;若不是,则判断这部分数据是否为文档的内部控制流数据或目录数据流;若都不是,则这部分数据为复合文档的文字数据,并将其提取出来保存为文本文件。


通过基于流数据修复方案修复完成的文档,会将修复出来的数据内容,按照其存储内容的数据类型进行分类保存。


电脑

基于流数据的修复方案流程图



通过对比分析损坏文档的文件头,效哥发现是复合文件头结构损坏导致了文件无法打开,也就是上文中「HEADER扇区受损」这一原因,于是他通过手动重建复合文件头,成功修复了所有损坏文件。



快速修复方法


如前文所示,对损坏文件进行手动修复,需要针对各类情况采取不同的修复方案,掌握起来比较困难,也十分耗时费力。如果遇见由office或wps创建的doc、docx、xls、xlsx、ppt、pptx、pdf文档损坏的情况,不妨试试这个快速修复的方法,即在FRM5200星火文件修复大师(简称:「星火」)中操作以下步骤:


步骤一

修复


☆ 启动「星火」,选择文档修复模式,添加需要修复的文档,开始修复。



步骤二

解密


☆ 若文档被加密,程序会进行提示,输入密码后点击“确定”按钮将继续修复。



步骤三

预览


☆ 修复完成后,即可对文档内容进行预览。




步骤四

导出


☆ 在目录树中勾选需要导出的文档,点击“导出文件”按钮,选择路径后进行导出。



更重要的是,「星火」是一款文件修复六边形战士,可同时对档、图片、视频、音频、压缩文件等不同类型的文件进行批量修复,能为电子数据取证与数据恢复工作提供强有力的技术支撑。


电脑
点击展开全文

相关阅读

u盘防拷专家-(防拷贝u盘)

(防拷贝u盘)U盘是最常用的移动存储设备之一,我们经常把一个电脑数据拷到另一台电脑时经常用到;在拷贝一下数据的时候,使用完成后,通常我们都是:删除或者快速格式化,完事;很多时候也没有太关注数据重要与否,毕竟U盘是自己的。电脑电脑实际上,我...

2022-12-30

修复启动系统文件-(修复启动系统文件损坏)

(修复启动系统文件损坏)在一次大型电诈案件的侦破中,专案组成员通过数据恢复工具恢复了所需文档文件。但令人意想不到的是,出现了部分Office文件无法打开或者打开乱码的情况,案件一时陷入了僵局。文件无法打开文件打开乱码凌晨1点,办案人员联系到了经验丰富的效哥,委托他对这些重要文件进行紧急修复。效哥发现,这些文件都是DOC或XLS,是Microsof...

2022-12-30

win81笔记本优化教程-(win8.1优化教程)

(win8.1优化教程)新荣耀在这两年的成长是肉眼可见的,尤其是在产品体验上,总能带来同价位机型没有的亮点,比如荣耀50系列的外观设计和Vlog拍摄模式,荣耀80系列的AIVlog视频大师,折叠旗舰MagicVs的轻薄长续航,MagicBook14上的OSTurbo等等。而这些创新体验的背后,得益于架构设计、硬件迭代,更得益于相对隐...

2022-12-30

win7如何取消强密码-(win7强制取消密码)

(win7强制取消电脑密码)大家一般在应用自身电脑上时,会设置开机密码来保护自身的个人隐私,但当碰到忘掉密码时应该怎么办呢?如今来看看小编给你产生的Win7怎样强行删除开机密码吧。Win7强行删除开机密码:1.最先大家按组合键“winR”键开启运行窗口。2.随后我们在里面输入“...

2022-12-30

bios设置usb识别u盘启动-(bios 启动usb)

(bios启动usb)bios设置u盘启动,现在我们很少使用光驱做系统一般都是用u盘做系统那今天我们讲一下如何从bios里面,去设置u盘启动那每一个电脑bios启动的方法是不同的大家可以在电脑开机的时候看一下电脑下...

2022-12-30

191路由网 - 192.168.1.1,192.168.0.1无线路由器设置教程

版权声明:本站的文章和图片来自互联网收集,仅做分享之用如有侵权请联系站长,我们将在24小时内删除