【干货】查看windows文件系统中的数据—利用簇号查看文件与恢复文件

前面我们使用这个软件发现了很多删除掉的数据，今天来看看簇。FAT文件系统中，存在一个簇的链接，我知道了簇1在哪里就可以顺藤摸瓜恢复所有的信息。

这里使用FAT 12为例子，FAT其他万变不离其宗，甚至其他文件系统都有相似处。有了这次体验，你就可以大胆去尝试和猜测，点击与判断。感受一下吧。

文章中比如，簇，第一簇，红色簇，蓝色簇，绿色簇都有它的伏笔。甚至所有的笔记都有伏笔。对哪里有疑惑，就应该生出危机意识，笔记或者文档只是用来备份，而不是用来学习的地方。

如果是学习，就不能忽略掉我给的来源。文章也已翻译好，虽然不怎么修正术语，但是玩一玩大家来找茬，还是可以发现英文对应的正确术语叫什么的。

演示工具Encase

查看大量的引导记录。前面的文章中出现过这个工具的演示，是在说boot引导的地方。

这里打开的文件系统是FAT 12。注意windows7的NTFS系统也可以用此工具。Windows8以及windows 2012的文件系统是一个新的系统，这以为着需要更先进的工具来支持。很遗憾，这里不关注它们。如果你很想掌握，去SANS社区收集信息即可。

这是第一个扇区，这是引导记录

你点击一个，它自己全部选择上1，这是FAT文件系统表 2是这个表的备份

绿色的是根目录，蓝色的是当前分配的数据区。灰色的是目前没有使用的，里面是历史数据，垃圾数据

现在重点关注这个根目录的内容，选到它的第一个扇区，使用十六进制数查看

大小端伏笔：第一个簇的信息驻留在第二行的26-27字节中02 00这是小端的顺序，需要把它反过来，变成00 02，做一个交换。因为人的阅读是从左到右，而计算机的阅读是比特为最小单位，01011110这个肯定是最右边最小，如果计算机从最右边开始操作就是小端。从左边开始操作就是大端。

举例：内地地址为十六进制的0002，拿出的是02，显示的02又在前面就变成了02 00这跟内存地址是个反的，交换一下变成0002就跟内存地址表示得一样了，这样才不会错。至于怎么拿，到底是大端还是小端，搞不清楚没关系。关键的地方就在于，内地地址是多少，你丫的显示的时候不要搞反。

一旦找到第一个簇，它将使用FAT表来找其他簇。如果你看到文件名以E5开头比如File1，这就被删除了。E5在FAT 12文件系统（dos系统的时代，在windows 98以前）中表示删除，这是一个固定的标志。看见一眼，就能100%肯定

回过头去看看删除的目录，文件夹的开头内容有点和点点。

前面我们看见第一个簇它是00 02 ，右边内容发现这第一个簇对应的是file4文件的内容。

点开文件4，发现是一张图片，最底下的 PS33 LS33 CL 2，这个CL 2 表示的就是簇2.

巴特西