找回加密文件,数据恢复软件有奇效(2)

二、次战平手

　　笔者注意到加密后的文件夹体积非常小，只有10几个字节，极有可能是把加密了的文件转移到其它地方去了，但到底在哪里呢?笔者忽然想到WinHex具有“创建磁盘内容表”的功能，可以直接从簇和扇区读出磁盘上的文件，说不定它能帮上忙。

　　于是笔者下载了WinHex 11.2 SR-1汉化版，解压后运行WinHex.exe。当出现“启动中心”对话框时(如图3)，单击“打开磁盘”，在出现的驱动器列表中选择F盘，然后执行“专用→创建磁盘内容表”，打开如图4所示的对话框。为了让搜索更彻底，笔者把“存在的”、“删除的”和“特别地彻底搜索”三个选项全部选中，再单击“确定”，等待片刻后就出现了磁盘文件列表(如图5)。虽然能正确无误地显示出扩展名，但主文件名却仍是一片乱码，但从文件体积和时间戳上看，有些文件似乎就是被加密的那几个。

　　笔者在某“疑似”加密文件上单击右键，选择“恢复/复制”，再依次单击“是→确定”，在弹出的保存文件对话框中输入包括扩展名在内的完整文件名，提取出了这个文件，打开后发现它的确就是被加密文件之一。但是当笔者重复上述操作时却发现，WinHex屡屡出现错误提示，大多数文件都无法保存。看来WinHex虽然能解决一些问题，但效果还不完美。

三、三战全胜

　　看到终于找回了几个文件，同事已经非常满意了，但笔者却不愿意只成功一半。通过WinHex我们可以了解到，被加密的文件其实仍然保存在F盘上，只是由于某种原因无法直接看到，那么怎样才能让它们现出原形呢?随手在网上搜索，发现其中介绍了一个叫Handy Recovery的数据恢复软件，忽然灵机一动，干吗不试试用它搜索一下F盘呢?既然连删除的文件都能找出来，更别说物理存在，只是无法看到的文件了。

　　从光盘上找到并安装上该软件，立刻分析了一下F盘，在根目录上一无所获，但笔者发现Recycled目录(即Windows回收站目录)前有个“+”号，这说明其下保存着文件，打开后发现其中果然有个名为“pagefiles.sys.{21EC2020-3AEA-1069-A2DD-08002B30309D}”的文件夹，进入后终于找到了被加密的全部文件(如图6)，剩下的操作相信不用多说大家都应该知道。

　　四、后记

　　同事的感谢自不必多说，回到办公室，笔者在自己的电脑上安装并研究了一下“E-神加密文件夹”，发现只有执行过加密操作的分区的Recycled目录中包含“pagefiles.sys.{21EC2020-3AEA-1069-A2DD-08002B30309D}”文件夹，而这个文件夹里，就存储着我们所有加密的文件。另外笔者还发现了一个有趣的现象:高手们都知道，WinRAR可以直接查看Recycled目录，并且能够显示其中所保存文件的真正的文件名，但在安装了“E-神加密文件夹”之后，只要WinRAR一切换到Recycled目录，就会被自动关闭。看来，软件的作者已经对此进行了提防，想直接用WInRAR找回被加密的文件是不可能的。