Outils : hexedit, fdisk
Les opérations suivantes sont toutes effectuées dans l'environnement racine.
hexedit:
Sous Linux, hexedit est souvent utilisé pour modifier le code hexadécimal du programme. Fdisk ne sera pas présenté ici.
Entrons maintenant dans le monde des disques et voyons ce que le disque fait aux données.
Tout d'abord, utilisez les privilèges root dans le terminal pour exécuter la commande suivante :
Command : fdisk -l
#🎜🎜 #/dev/sdb1 est le protagoniste d'aujourd'hui. Sur l'image, vous pouvez clairement voir certaines données associées, telles que la taille du disque, le secteur, la taille des E/S, etc.
Le format du disque est ext4, pas vfat32 et NTFS sur MS Collez une image de FAT32 à la fin de l'article.
Step***:
Exécutez fdisk et utilisez le mode expert pour sauvegarder la table de partition.
La table de partition d'ext4 est très simple. La table de partition de sauvegarde générale est ext4.img. Des sauvegardes sont effectuées pour éviter la corruption des données lors de la récupération.
La deuxième étape :
Exécutez d'abord l'opération de commande cut sur la cible sdb1 et déplacez les fichiers sur sdb1 vers le disque dur de l'ordinateur. Une fois l'exécution terminée, utilisez hexedit. pour ouvrir sdb1.
Nom du fichier coupé : usb.png
Commande : hexedit -s /dev/sdb1
#🎜🎜 ##🎜 🎜#Vous pouvez voir le nom du fichier et le secteur dans lequel il se trouve dans l'image. Avez-vous constaté que le périphérique de l'image est sdc1 ? En raison du montage automatique du disque, le développeur a changé et les données seront modifiées ? ne change pas avec le développement du disque. Le nom du fichier a été trouvé ici. Ensuite, nous devons trouver l'en-tête du fichier. 
Comment trouver l'en-tête du fichier ? Vous pouvez utiliser hexedit pour effectuer une recherche hexadécimale. Si vous voulez de l'ASCII, vous pouvez appuyer sur TAB pour passer à la zone ASCII.
La taille du fichier détermine le nombre de secteurs occupés par le fichier sur le disque, 1 secteur==512 octets. Dans la figure, le décalage et le secteur de l'en-tête du fichier sont affichés. 
Extrayez la valeur hexadécimale et écrivez-la dans le fichier.
La photo restaurée : 
a l'air très simple Eh bien, c'est juste une opération de découpe de fichier unique et une récupération de données. Voici un rappel : les données enregistrées sur le disque ne peuvent pas être récupérées après avoir été supprimées, mais les données qui ont été coupées peuvent également être récupérées. 
Voyons comment opérer après avoir supprimé des données du disque ?
Exécutez la commande de suppression sur le disque pour supprimer un fichier nommé 1.gif Opération comme suit. :
Vous pouvez voir la photo Le passage de l'en-tête du fichier au secteur de fin du fichier, secteur d'en-tête : 264056, secteur de fin : 264057, la taille du fichier est de 1 Ko et l'image est très petite. 
Créez un nouveau fichier, puis effectuez l'opération de suppression pour voir les modifications des données du disque. #🎜🎜 ##### 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#file en-tête secteur : 264056, fin secteur : 26406 1, secteur d'en-tête du fichier supprimé pour la première fois : 264056, secteur de fin : 264057. De cette façon, vous pouvez voir que les données supprimées pour la première fois sont écrasées, tandis que les données supprimées pour la deuxième fois sont conservées.
L'opération ici consiste à effectuer une récupération de données sur un seul fichier du disque et à démontrer les modifications des données sur le disque. Jetons ensuite un coup d'œil au fonctionnement des fichiers doubles.
Il existe deux types de fichiers différents sur le disque.
Nom du fichier : partition.zip
Nom du fichier : cab.ico
Le secteur d'en-tête du premier fichier est 264056, secteur de fin : 264058. On constate que le secteur de fin du premier fichier est différent du secteur d'en-tête du deuxième fichier de plusieurs secteurs, alors quelle est la différence au milieu 
Vous pouvez voir que la différence au milieu est toute ? rempli de 00. Nous résumons ici l'opération pratique sous Linux :
Système de fichiers ext4
Effectuer un copier-coller
nom du fichier : usb.png secteur 67120
en-tête du fichier : secteur 264064 fin du fichier : secteur 264076
Exécuter la suppression
nom du fichier : 1.gif secteur 67112 (écraser)
en-tête du fichier : début : secteur 264056 fin : secteur 264057 (écraser)
nom du fichier : 56.jpg secteur 67112en-tête du fichier : début : secteur 264056 fin : secteur 264061 Lors de la suppression d'un seul fichier, les dernières données supprimées seront écrasées. Enregistrer le fichier(1) nom du fichier : partition.zip secteur 67112en-tête du fichier : début du secteur 264056 fin du secteur 264058(2) nom du fichier : cab.ico secteur 67112en-tête du fichier : début du secteur 264064 fin secteur : 264068Zone de coupe : secteur 264064Zone de suppression : secteur 264056Zone de stockage : Coexiste avec la zone de suppressionZone de stockage : Lorsqu'un seul fichier est utilisé, le fichier de stockage écrase les données de la zone supprimée. Récupération de données : lorsque plusieurs fichiers sont supprimés, l'hexagone de données supprimé est conservé dans la zone supprimée. Si de nouvelles données de fichier sont créées, l'hexagone de données supprimées sera écrasé. Photo ci-jointe : Photo au format de disque FAT32 :
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
