文件内容被替换为 0xFF(和一些 0x7F)

文件内容被替换为 0xFF(和一些 0x7F)

我有一个损坏的 Word 文档,我想恢复其中的数据。它来自一个疑似有病毒活动的拇指驱动器;这不是唯一受到影响的文件。用二进制编辑器打开它,整个文件都充满了,0xFF偶尔会出现0x7F。所以看起来病毒控制了它并摧毁了它。问题是

  1. 我是不是理解错了——是不是有一些信息被隐藏了起来,我只是没有看到,比如超出了正常的文件边界
  2. 这是什么病毒?我好像没遇到过这种病毒
  3. 这到底是病毒吗,还是只是一些常见的文件损坏故障模式?

欢迎任何见解。

答案1

如果文件充满了像 FF FF FF 这样的字节模式,那么您将无法从该文件中恢复任何内容。

但是,由于这是在 USB 闪存驱动器上发生的,因此我想添加以下内容:

NAND 内存会丢失数据,在廉价闪存驱动器上多次出现过以下情况。

  • 文件本身损坏。也就是说,存储文件数据的扇区已损坏。
  • 然而,我也看到过由于文件系统损坏而导致的文件损坏。

在第一种情况下,你什么也做不了。但是,如果文件内容完好无损,但引用不正确,文件可能会出现损坏。我必须补充一点,全部的文件包含无意义的数据,这让我倾向于认为文件本身已损坏。

您可以尝试“雕刻”驱动器以获取文件内容。您可以使用几乎任何文件恢复工具来执行此操作,PhotoRec 是一种选择,我个人首选工具是 DMDE。

在此处输入图片描述

从磁盘映像开始操作而不是直接扫描驱动器是明智的,例如:https://youtu.be/32GJr39O744

相关内容