U盘数据恢复笔记(3)谁解其中味

天堂雨

U盘数据恢复笔记(3)谁解其中味

U盘没有物理性损坏,R-Sdudio可找到大部分数据,下面用winhex结合R-Sdudio手工恢复根目录被破坏的数据.

天堂雨

基础知识

EXFAT是微软开发设计的文件系统,详细见

https://learn.microsoft.com/zh-cn/windows/win32/fileio/exfat-specification

此文件是机器翻译的,读起来有些难理解.

可查看对应的英文原版

https://learn.microsoft.com/en-us/windows/win32/fileio/exfat-specification

天堂雨

修订分区引导记录DBR

因为EXFAT分区前24扇区保留分区重要信息,现需手工重建.

其中第0扇区记录分区的基本信息,用WINHEX的模板查看和修改,

第1扇区至第8扇区仅在最后有55AA结束标记

第9扇区至第10扇区全0填充

第11扇区为校验码扇区,是4字节的前11扇区的校验码,其中分区参数的6AH(106)、6BH(107)两字节为分区卷标记，70H(112)分区卷不参与计算校验码。

使用WINHEX的脚本计算校验码

扇区	Offset	内容
0	0000H	DBR
1	0200H	仅55AA结束标记
2	0400H	仅55AA结束标记
3	0600H	仅55AA结束标记
4	0800H	仅55AA结束标记
5	0A00H	仅55AA结束标记
6	0C00H	仅55AA结束标记
7	0E00H	仅55AA结束标记
8	1000	仅55AA结束标记
9	1200H	全0填充
10	1400H	全0填充
11	1600H	校验码扇区
12	1800H	DBR备份
13	1A00H	仅55AA结束标记
14	1C00H	仅55AA结束标记
15	1E00H	仅55AA结束标记
16	2000H	仅55AA结束标记
17	2200H	仅55AA结束标记
18	2400H	仅55AA结束标记
19	2600H	仅55AA结束标记
20	2800H	仅55AA结束标记
21	2A00H	全0填充
22	2C00H	全0填充
23	2E00H	校验码扇区

1. // 此文件用于计算 EXFAT  前11个扇区除106-106（磁盘标记2字节）和112磁盘使用百分比1字节之外的校验和
   
2. //指定打开的驱动器，要选择正确的EXFAT所在分区的盘符驱动器!!!!
   
3. Open :?
   
4. Assign Checksum 0
   
5. Assign BytesPerSector (512)
   
6. Assign NumberOfBytes (BytesPerSector*11)
   
7. MessageBox NumberOfBytes
   
8. Assign Index 0
   
9. Assign one_byte 0
   
10. {
    
11.    IfEqual 106 Index
    
12.        Inc Index
    
13.    EndIf
    
14.    IfEqual 107 Index
    
15.        Inc Index
    
16.    EndIf
    
17.    IfEqual 112 Index
    
18.        Inc Index
    
19.    EndIf
    
20.    Assign hight_bit 0
    
21.    IfEqual (Checksum&1) 1
    
22.        Assign hight_bit 0x00000080
    
23.    EndIf
    
24.    Goto Index
    
25.    Read one_byte 1
    
26.    Assign Checksum (hight_bit+Checksum/2+one_byte)
    
27.    IfEqual (NumberOfBytes-1) Index  
    
28.        ExitLoop
    
29.    EndIf
    
30.    Inc Index
    
31. }[unlimited]
    
32. MessageBox Checksum
    
33. //将校验和写入第11个扇区，校验和4字节，共计写512/4次
    
34. Assign START_POS (512*11)
    
35. Assign nums (512/4)
    
36. Goto START_POS
    
37. {
    
38.     Write Checksum
    
39. }[nums]
    
40. //将校验和写入第23个扇区，校验和4字节，共计写512/4次
    
41. Assign START_POS (512*23)
    
42. Assign nums (512/4)
    
43. Goto START_POS
    
44. {
    
45.     Write Checksum
    
46. }[nums]
    
47. //记得保存，修改才能生效
    
48. //Save
    

复制代码

代码见上文,愿意友情支持积分的请付费下载.
将上述代码保存为DBR_boot_sector_checksum.whs放到winhex所在目录也是可以的

天堂雨

修订根目录特殊项

大写字符表$UpCase也需要在根目录项填写校验码,此处直接复制一个新格式化的U盘的$UpCase到第4扇区,修订根目录项82H的校验码

修订目录项82H的$Bitmap簇位图数据

根据需要根目录下的卷标目录项83H,也可以不要卷标目录项

天堂雨

修订根目录文件夹等

根据R-STUDIO显示所在扇区,记录到excel表格中,转换计算出簇号

用winhex的85H等项目修订起始簇号,然后再计算校验码,并写入文件名校验码.

1. // 此文件用于计算 EXFAT 文件目录的SetChecksum 字段校验和
   
2. // 默认取SecondaryCount=2，即文件共计有32X(2+1)=96字节组成
   
3. // 如文件名较长，应根据实际情况修改SecondaryCount值
   
4. // 计算出结果后将数据填入目录条目的第2、3字节
   
5. //根目录区域修改前
   
6. //Offset           00  01  02  03  04  05  06  07    08  09  0A  0B  0C  0D  0E  0F
   
7. //9830400(960000H):03  00  00  00  00  00  00  00    00  00  00  00  00  00  00  00
   
8. //9830416(960010H):00  00  00  00  00  00  00  00    00  00  00  00  00  00  00  00
   
9. //9830432(960020H):81  00  00  00  00  00  00  00    00  00  00  00  00  00  00  00
   
10. //9830448(960030H):00  00  00  00  02  00  00  00    77  A9  03  00  00  00  00  00
    
11. //9830464(960040H):82  00  00  00  0D  D3  19  E6    00  00  00  00  00  00  00  00
    
12. //9830480(960050H):00  00  00  00  04  00  00  00    CC  16  00  00  00  00  00  00
    
13. //9830496(960060H):85  02  F5  1F  20  00  00  00    3D  68  F1  56  72  03  F3  56
    
14. //9830512(960070H):72  03  F3  56  98  00  A0  A0    A0  00  00  00  00  00  00  00
    
15. //9830528(960080H):C0  03  00  0B  34  41  00  00    1D  00  00  00  00  00  00  00
    
16. //9830544(960090H):00  00  00  00  08  00  00  00    1D  00  00  00  00  00  00  00
    
17. //9830560(9600A0H):C1  00  61  00  75  00  74  00    6F  00  72  00  75  00  6E  00
    
18. //9830576(9600B0H):2E  00  69  00  6E  00  66  00    00  00  00  00  00  00  00  00
    
19. //根目录区域修改后
    
20. //Offset           00  01  02  03  04  05  06  07    08  09  0A  0B  0C  0D  0E  0F
    
21. //9830400(960000H):03  00  00  00  00  00  00  00    00  00  00  00  00  00  00  00
    
22. //9830416(960010H):00  00  00  00  00  00  00  00    00  00  00  00  00  00  00  00
    
23. //9830432(960020H):81  00  00  00  00  00  00  00    00  00  00  00  00  00  00  00
    
24. //9830448(960030H):00  00  00  00  02  00  00  00    77  A9  03  00  00  00  00  00
    
25. //9830464(960040H):82  00  00  00  0D  D3  19  E6    00  00  00  00  00  00  00  00
    
26. //9830480(960050H):00  00  00  00  04  00  00  00    CC  16  00  00  00  00  00  00
    
27. //9830496(960060H):85  02  F5  09  20  00  00  00    3D  68  F1  56  72  03  F3  56
    
28. //9830512(960070H):72  03  F3  56  98  00  A0  A0    A0  00  00  00  00  00  00  00
    
29. //9830528(960080H):C0  03  00  0B  34  41  00  00    1D  00  00  00  00  00  00  00
    
30. //9830544(960090H):00  00  00  00  08  00  00  00    1D  00  00  00  00  00  00  00
    
31. //9830560(9600A0H):C1  00  61  00  75  00  74  00    6F  00  72  00  75  00  6E  00
    
32. //9830576(9600B0H):2E  00  69  00  6E  00  66  00    00  00  00  00  00  00  00  00
    
33. //示例计算出来的校验和为2549，转换为16进制为 09 F5,小头在前 F5 09，
    
34. //因此在9830498、9830499处两字节修改为 09 F5
    
35. //GetUserInputI cur_position "请输入文件条目起始位置(如 9830496):"
    
36. //CurrentPos 不能放到表达式中参与运算
    
37. //数字可以用常规10进制,或者形式如0x3E之类的16进制
    
38. 
    
39. MessageBox "请将光标放在0x85H开头的行上面"
    
40. Assign cur_position CurrentPos
    
41. Assign move_offset 0
    
42. IfGreater (cur_position%16) 0
    
43.     Assign move_offset (0-(cur_position%16))
    
44. EndIf
    
45. //Assign SecondaryCount 3
    
46. //Assign Checksum 0
    
47. Assign one_byte 0
    
48. Assign Index 0
    
49. Move move_offset
    
50. //读入首字节=0x85
    
51. Read one_byte 1
    
52. //输入第1字节辅助项目数量=SecondaryCount
    
53. Read SecondaryCount 1
    
54. //读入第2,3字节校验码
    
55. Read Checksum 2
    
56. Assign OriginalChecksum Checksum
    
57. Assign Checksum 0
    
58. Move -4
    
59. //回退到首字节位置
    
60. Assign one_bytestr "1111"
    
61. Assign dir_enrty_offset CurrentPos
    
62. //如果首字节不是0x85,终止程序
    
63. IfGreater one_byte 0x85
    
64.     MessageBox "首字节不是0x85退出"
    
65.     JumpTo ContinueHere
    
66. EndIf
    
67. IfGreater 0x85 one_byte
    
68.     MessageBox "首字节不是0x85退出"
    
69.     JumpTo ContinueHere
    
70. EndIf
    
71. //如果首字节是0x85,开始计算校验和
    
72. //第2,3字节是校验和,不参与计算
    
73. Assign NumberOfBytes ((SecondaryCount+1)*32)
    
74. {
    
75.    IfEqual 2 Index
    
76.        Inc Index
    
77.    EndIf
    
78.    IfEqual 3 Index
    
79.        Inc Index
    
80.    EndIf
    
81.    Assign hight_bit 0
    
82.    IfEqual (Checksum&1) 1
    
83.        Assign hight_bit 0x0080
    
84.    EndIf
    
85.    Goto (Index+dir_enrty_offset)
    
86.    Read one_byte 1
    
87.    Assign Checksum (hight_bit+Checksum/2+one_byte)
    
88.    IfEqual (NumberOfBytes-1) Index  
    
89.        ExitLoop
    
90.    EndIf
    
91.    Inc Index
    
92. }[unlimited]
    
93. IntToStr StrChecksum Checksum
    
94. IntToStr strOriginalChecksum OriginalChecksum
    
95. Assign move_offset (0-NumberOfBytes+2)
    
96. Move move_offset
    
97. Write Checksum
    
98. Assign toshowMsg  "原始校验和:"
    
99. StrCat toshowMsg strOriginalChecksum
    
100. StrCat toshowMsg "  计算的校验和:"
     
101. StrCat toshowMsg StrChecksum
     
102. MessageBox toshowMsg
     
103. Label ContinueHere
     

复制代码

代码见上文,愿意友情支持积分的请付费下载.
将上述代码保存为EntrySetChecksum_general.whs放到winhex所在目录也是可以的

天堂雨

用OSFMount加载故障备份故障U盘

NMR

感谢分享           

天堂雨

NMR 发表于 2023-7-28 22:50
感谢分享

感谢阅读和关注