【技术实战】复合文档损坏,如何快速手动修复?

动漫推荐 浏览(1127)
皇冠hg8868官网

[技术实战]复合文件损坏,如何快速手动修复?

关于复合文件

复合文档是一种多样化的文档,不仅包含传统意义上的文本,还包括图形,电子表格数据,声音,视频图像和其他信息。它的广泛应用极大地满足了现代办公的需求,而复合文档数据恢复已成为当前数据恢复领域的重要组成部分,尤其是文件头故障最为常见。

e6c499f807f4431d95f95af6907c4da8.png

当然,不同版本的文件结构也不同,这段时间#technical实战#来源姐姐从具体的实际案例中,与大家分享一个手工修复损坏的复合文件的方法,希望大家有一定的参考价值!

I.案例细节

在案例调查中,案例处理程序需要恢复嫌疑人计算机中的文档文件并通过数据恢复工具恢复所需的文档文件,但某些office文件无法打开或出现乱码,如下图1和图2所示: p>

419503a640d24fbf9be6bfd441056e9e.jpeg

图1文件无法打开

93655462feee46148fd8b726cbd643da.jpeg

图2文件打开乱码

2.恢复想法

我们首先比较和分析损坏文档的文件头,如图3所示。用winhex打开后,将其转换为扇区进行分析。相比之下,判断复合文件头结构已损坏且文档无法打开。

c874a057e7754661b2de5cf22fe13997.jpeg

图3复合文件头结构比较

3.恢复方法

确认是由于头结构损坏而无法打开文件。然后,我们可以通过手动重建复合文件头来分析复合文档结构并修复损坏的复合文件。

要修复标题数据,只需计算以下项目:

部门分配表(SAT)占用的部门数量;

目录流的起始扇区数;

?短期部门分配表(SSAT)的起始扇区号和占用扇区数;

主扇区分配表(MSAT)的起始扇区号和占用扇区的数量;

扇区分配表的扇区号。

所有其他复合文档都是相同的,从普通文件中复制它。

4.具体的恢复步骤

1,打开复合文档

使用winhex工具打开损坏的复合文档和普通复合文档;

b59072f2919e442a86a3e7fbdaaefb49.jpeg

图4打开复合文档

2.将页面转换为扇区

打开winhex后,页面将转换为扇区进行分析;

9153e582719446bcbd02f5ec8c3c22f2.jpeg

图5将页面转换为扇区

3,复制文件头

复制普通复合文档的文件头以覆盖损坏的文件头,然后逐个修改相应的参数;

86ca9ec5e5fb4a909fa30466d33f735a.jpeg

图6复制文件头

4.找到目录流扇区的起始扇区

目”,十六进制搜索“52006F00”,偏移位置512=0,如图5所示,在扇区41中找到目录流开始扇区,并确定目录流的开始。扇区参数为41-1=40,以十六进制为28;

583eaa317c7544e29ffc9c4fff2a8862.jpeg

图7定位目录流的起始扇区

5.短流程起始位置和尺寸

目0x74处的4个字节表示短流的起始扇区,如图6所示,十六进制的2B000000值为43,这是短路的开始流。

起始扇区是43-1=42,十六进制值是2A,0x78的4个字节表示短流的大小。大小为十六进制800000,等于128/64=2,只有两个。该项目由一个扇区占用,大小为1;

34fa4822553c45d9b923a9e17fcaa8e3.jpeg

图8短流量开始位置和尺寸

6.确定扇区分配表(SAT)

通过以十六进制搜索“01000000”,偏移位置为512=0。如图9所示,标准扇区配置表位于40个扇区中。当扇区中存在“FDFFFFFF”时,可以确定SAT。

最后一个SAT配置表的值为FDFFFFFF,表示这是SAT配置表的结尾,并且有几个FDFFFFFF表示多个SAT配置表。在这种情况下只有一个FDFFFFFF,并且只有一个SAT配置表;

56f22fe101aa4fee8d16025ee1124f1b.jpeg

图9确定扇区分配表

7.确定主扇区分配表(MSAT)的起始扇区号

存储在主扇区分配表(MSAT)中的是扇区分配表(SAT)所在的扇区号。

在此示例中,只有一个扇区分配表(SAT)。根据复合文档的格式定义,109 SAT值可以存储在文件头中,也就是说,只要文件的文件分配表不超过109,就没有必要。主要部门分配表。 目时,其余值在指定的部门。要记录!)

根据定义,当没有附加的主要扇区分配表(MSAT)时,主要扇区分配表的起始扇区号为-2,十六进制为FEFFFFFF,它占用的扇区数为0;

8,修复文件头

计算键值后,汇总计算值,然后手动填写文件头信息。修复文件头后,如图10所示,保存文件,文件仍然无法打开;

95cc8617aef0416db568fe1f544646e9.jpeg

图10修复文件头

9,修复文件内容

确定上述参数后,最后一步是修复MSAT的内容。

在扇区0处定位于0X4C,此后的每个字节用SAT扇区号填充。该实验只有一个SAT,位置为39,转换为十六进制为27000000,其余为FFFFFFFF。保存文件,本手册文档手动修复工作顺利完成。

b204b007d3474e94a5eee3ef9fbf74de.jpeg

图11固定文件头

来源妹妹提示

复合文档头的大小为512字节,通常位于文档的头部。结构如图12所示:

f39a0464cb214e4585e4cc4ac5f712d7.jpeg

图12复合文档标题结构

看看更多