摘要：當(dāng)前社會(huì)已經(jīng)進(jìn)入了信息化時(shí)代，我們平時(shí)的工作和生活已經(jīng)離不開(kāi)計(jì)算機(jī)。數(shù)據(jù)存儲(chǔ)與之前相比也有了很大的不同，然而存儲(chǔ)介質(zhì)損壞等不當(dāng)操作時(shí)有發(fā)生，極易造成數(shù)據(jù)丟失，基于Winhex的數(shù)據(jù)恢復(fù)能夠使人們找回丟失的數(shù)據(jù)和文件，挽回因數(shù)據(jù)丟失而產(chǎn)生的各項(xiàng)損失。

關(guān)鍵詞：Winhex;數(shù)據(jù)恢復(fù);分區(qū)恢復(fù)

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）29-0042-02

伴隨著信息技術(shù)的快速發(fā)展，數(shù)據(jù)本身的重要性和安全問(wèn)題越來(lái)越被人們所重視，數(shù)據(jù)恢復(fù)技術(shù)屬于數(shù)據(jù)安全的最后一道防線，因此，了解和掌握數(shù)據(jù)恢復(fù)技術(shù)有著非常重要的作用和意義。

1 Winhex簡(jiǎn)介

Winhex屬于在Windows下運(yùn)行的十六進(jìn)制編輯軟件，具備健全的文件管理功能與分區(qū)管理功能，可以對(duì)文件簇鏈與分區(qū)鏈進(jìn)行自動(dòng)分析，對(duì)硬盤(pán)實(shí)施不同程度、不同方式的備份，甚至可以對(duì)整體硬盤(pán)進(jìn)行克隆;可以對(duì)任意一種文件類型的二進(jìn)制內(nèi)容（利用十六進(jìn)制顯示）進(jìn)行編輯，該軟件的磁盤(pán)編輯器能夠?qū)壿嫶疟P(pán)或者物理磁盤(pán)的任意扇區(qū)進(jìn)行編輯，是一款對(duì)數(shù)據(jù)進(jìn)行手工恢復(fù)的優(yōu)秀軟件。

2 數(shù)據(jù)恢復(fù)原理分析

數(shù)據(jù)恢復(fù)指的是利用技術(shù)手段，把無(wú)法獲取的或者無(wú)法訪問(wèn)的數(shù)據(jù)恢復(fù)到能夠獲取的或者能夠訪問(wèn)的數(shù)據(jù)狀態(tài)的過(guò)程。硬盤(pán)數(shù)據(jù)丟失屬于一個(gè)很復(fù)雜的問(wèn)題，若想找回并且恢復(fù)文件系統(tǒng)誤格式化、誤刪除、損壞和分區(qū)信息損壞或者丟失等原因丟失的數(shù)據(jù)，則需要先對(duì)硬盤(pán)結(jié)構(gòu)進(jìn)行分析，了解各種文件系統(tǒng)[1]。

一個(gè)新硬盤(pán)必須在格式化和分區(qū)以后，才可以安裝操作系統(tǒng)并正常的使用。硬盤(pán)的0磁道0柱面1扇區(qū)是分區(qū)以后的主引導(dǎo)記錄（ MBR）所在位置。硬盤(pán)的主引導(dǎo)記錄總共有512個(gè)字節(jié)，引導(dǎo)程序?yàn)榍懊娴?46個(gè)字節(jié)，后面的64個(gè)字節(jié)是硬盤(pán)分區(qū)表（DPT），最后的兩個(gè)字節(jié)是分區(qū)的結(jié)束標(biāo)志“55AA”。對(duì)MBR區(qū)的信息進(jìn)行分析，可以對(duì)系統(tǒng)的文件類型、硬盤(pán)的起始位置、硬盤(pán)各個(gè)分區(qū)的大小、硬盤(pán)分區(qū)的數(shù)量等信息做出初始的判定。在主引導(dǎo)記錄遭受人為操作、病毒入侵等破壞以后，硬盤(pán)就不被操作系統(tǒng)識(shí)別，了解了主引導(dǎo)記錄MBR扇區(qū)結(jié)構(gòu)以后，依據(jù)數(shù)據(jù)信息的特點(diǎn)，對(duì)分區(qū)的位置和大小進(jìn)行再次推算，根據(jù)這個(gè)結(jié)構(gòu)，再次構(gòu)建一個(gè)MBR扇區(qū)，就可以恢復(fù)分區(qū)了。

在分區(qū)恢復(fù)、格式化以后就可以找到相對(duì)應(yīng)的文件系統(tǒng)。依據(jù)分區(qū)大小，通常把分區(qū)分成四個(gè)主要部分：數(shù)據(jù)區(qū)DATA、根目錄DIR、文件分配表FAT以及DBR扇區(qū)。如果DBR扇區(qū)被損壞，系統(tǒng)就沒(méi)有辦法提取相關(guān)文件系統(tǒng)的數(shù)據(jù)管理方式和各個(gè)參數(shù)，導(dǎo)致整體文件系統(tǒng)的數(shù)據(jù)沒(méi)有辦法被讀取[2]。FAT表用作對(duì)文件系統(tǒng)之中的各個(gè)簇的分配狀態(tài)進(jìn)行描述，除此之外，記錄各個(gè)文件夾或者文件分配的每一個(gè)簇之間的關(guān)系。一旦FAT表被破壞，數(shù)據(jù)就會(huì)遭遇很嚴(yán)重的破壞，因此，通常在對(duì)磁盤(pán)進(jìn)行分區(qū)的時(shí)候，會(huì)對(duì)FAT進(jìn)行備份。根目錄用作保存在根目錄下創(chuàng)建的文件和文件夾等目錄項(xiàng)，而文件和文件夾自身的數(shù)據(jù)保存于數(shù)據(jù)區(qū)之中。在文件系統(tǒng)分區(qū)中創(chuàng)建文件的時(shí)候，系統(tǒng)會(huì)先依據(jù)DBR扇區(qū)中的各個(gè)參數(shù)，對(duì)簇大小、根目錄的位置以及FAT表的大小等信息進(jìn)行確立的時(shí)候。在硬盤(pán)中寫(xiě)入文件的時(shí)候，系統(tǒng)會(huì)先在DIR空白區(qū)寫(xiě)入創(chuàng)建時(shí)間、文件大小以及文件名稱等信息以后，隨后，在數(shù)據(jù)空白區(qū)寫(xiě)入文件的實(shí)際內(nèi)容，最后，把DIR寫(xiě)人數(shù)據(jù)區(qū)初始位置。在DIR或者文件分配表遭遇破壞以后，系統(tǒng)就沒(méi)有辦法定位文件，即使各個(gè)文件的實(shí)際內(nèi)容仍然處于數(shù)據(jù)區(qū)中，系統(tǒng)依然會(huì)認(rèn)為不存在數(shù)據(jù)。在刪除文件的時(shí)候，實(shí)際保存文件內(nèi)容的簇空間并未產(chǎn)生任何改變，僅是其相對(duì)應(yīng)的目錄項(xiàng)與FAT表產(chǎn)生變化。格式化操作與刪除的操作類似，僅是對(duì)文件分配表進(jìn)行操作，格清空文件分配表或者把全部文件都加上刪除標(biāo)志，讓系統(tǒng)認(rèn)定硬盤(pán)分區(qū)中沒(méi)有任何內(nèi)容。格式化操作并未操作任何數(shù)據(jù)區(qū)，雖然目錄已經(jīng)不存在，然而，實(shí)際內(nèi)容還存在，因此，這樣就有可能恢復(fù)數(shù)據(jù)。在格式化系統(tǒng)分區(qū)以后，雖然有新內(nèi)容被拷貝，新數(shù)據(jù)僅是把分區(qū)以前的空間覆蓋掉，把新內(nèi)容所占用的空間去掉，而分區(qū)剩余空間數(shù)據(jù)區(qū)中的無(wú)序內(nèi)容依然可以被重新組織，讓數(shù)據(jù)得到恢復(fù)[3]。

3 使用Winhex恢復(fù)數(shù)據(jù)的方法

一般EBR（ Extended Boot Record）是一個(gè)與MBR（下文詳細(xì)介紹此概念）相對(duì)應(yīng)的一個(gè)概念。MBR里的DPT區(qū)有64字節(jié)，其中每16個(gè)字節(jié)是一個(gè)分區(qū)的表項(xiàng)，一共可以描述4個(gè)分區(qū)。然而很多時(shí)候?qū)嶋H情況分區(qū)多于4個(gè)，這時(shí)候MBR的DPT無(wú)法描述，這個(gè)時(shí)候就需要用和MBR這一結(jié)構(gòu)有些類似的分區(qū)結(jié)構(gòu)EBR來(lái)進(jìn)行說(shuō)明。EBR-般不會(huì)遭遇破壞，或是被破壞的概率比較低，所以，在實(shí)際情況中較為常見(jiàn)的是修復(fù)MBR（MasterBoot Record）是在一個(gè)物理硬盤(pán)里排在最前邊的一個(gè)，通常它會(huì)存放著包括用于啟動(dòng)硬盤(pán)的引導(dǎo)指令、分區(qū)表和硬盤(pán)正常的標(biāo)志55AA等三部分在內(nèi)的重要代碼，其作用是推動(dòng)硬盤(pán)的正常工作，在硬盤(pán)的512字節(jié)里，其中第一部分占據(jù)了446字節(jié)，這部分被稱為MBR。它表示硬盤(pán)引導(dǎo)記錄只有一個(gè)。一個(gè)物理硬盤(pán)，可以根據(jù)你的實(shí)際需要，劃分為多個(gè)邏輯分區(qū)，這些邏輯分區(qū)在功用上近乎一個(gè)個(gè)獨(dú)立的物理硬盤(pán)，它們構(gòu)成我們習(xí)慣里所說(shuō)的C盤(pán)、D盤(pán)、E盤(pán)、F盤(pán)……這些邏輯盤(pán)由不同的文件管理系統(tǒng)（如FAT32、NTFS、EXT3-）對(duì)文件進(jìn)行讀寫(xiě)管理。DBR（DOS Boot Record），就是每個(gè)邏輯盤(pán)的最邊前的一個(gè)扇區(qū)里，用于引導(dǎo)和加載相應(yīng)文件管理系統(tǒng)的一些系統(tǒng)代碼。每個(gè)邏輯盤(pán)上各有這樣的一套代碼系統(tǒng)。在MBR被破壞以后，通常僅損壞其中的分區(qū)信息，也就是主分區(qū)至擴(kuò)展分區(qū)的分區(qū)鏈被破壞，但是并不會(huì)影響到邏輯分區(qū)，所以，僅需要把MBR中的分區(qū)信息恢復(fù)，其余分區(qū)通過(guò)分區(qū)表所提供的鏈自然就可得出，即可成功的恢復(fù)數(shù)據(jù)[4]。比如，某硬盤(pán)（硬盤(pán)1）的MBR因?yàn)椴《颈粍h除或者被破壞。把受損硬盤(pán)當(dāng)作從盤(pán)掛載至正常運(yùn)轉(zhuǎn)的操作系統(tǒng)之中，恢復(fù)過(guò)程總體上分為兩部分。

3.1對(duì)主引導(dǎo)程序代碼進(jìn)行恢復(fù)

使硬盤(pán)具有可引導(dǎo)的功能，是主引導(dǎo)程序代碼的作用?；謴?fù)引導(dǎo)代碼較為簡(jiǎn)單，應(yīng)用Winhex復(fù)制出正在運(yùn)行的系統(tǒng)盤(pán)（硬盤(pán)0）之中的引導(dǎo)代碼。

1）應(yīng)用Winhex把系統(tǒng)盤(pán)的分區(qū)表打開(kāi)，把引導(dǎo)代碼選中，并且復(fù)制。

2）切換至受損壞的硬盤(pán)窗口，在零扇區(qū)的第1個(gè)字節(jié)開(kāi)始位置寫(xiě)入復(fù)制的引導(dǎo)代碼。

由此，就復(fù)制了一個(gè)正常系統(tǒng)盤(pán)中的引導(dǎo)代碼，成功恢復(fù)了MBR的前446字節(jié)。

3.2 把分區(qū)表恢復(fù)

在64b的分區(qū)信息之中，最為關(guān)鍵的就是起始扇區(qū)的分區(qū)大?。ㄕ?字節(jié)）與LBA地址（占4b），通常，硬盤(pán)具備1個(gè)擴(kuò)展分區(qū)與1個(gè)主分區(qū)，擴(kuò)展分區(qū)之中又包含了多個(gè)邏輯分區(qū)，硬盤(pán)分區(qū)軟件一般會(huì)為MBR留存63個(gè)（0- 62）扇區(qū)，所以，63是主分區(qū)起始扇區(qū)的LBA地址。必須找到首個(gè)EBR以后，才可以計(jì)算出主分區(qū)與擴(kuò)展分區(qū)的大小。

首個(gè)EBR的LBA地址-63=主分區(qū)大小

硬盤(pán)總大小首個(gè)EBR的LBA地址=擴(kuò)展分區(qū)大小

可搜索邏輯驅(qū)動(dòng)器的起始扇區(qū)DBR確立分區(qū)表之中的分區(qū)種類。DBR之中偏移量Ox03到OxOA位置是文件系統(tǒng)的標(biāo)志，通過(guò)它能夠?qū)Ψ謪^(qū)類型進(jìn)行確立（其中擴(kuò)展分區(qū)的分區(qū)種類是05）。

在對(duì)主分區(qū)與擴(kuò)展分區(qū)的基本信息進(jìn)行確立以后，可應(yīng)用WinHex在MBR中輸入計(jì)算出的分區(qū)信息。

4 結(jié)束語(yǔ)

應(yīng)用Winhex恢復(fù)硬盤(pán)數(shù)據(jù)，是一種手工恢復(fù)數(shù)據(jù)方法，有著較高的數(shù)據(jù)恢復(fù)率，能夠把利用某些軟件無(wú)法找回的數(shù)據(jù)找回。因?yàn)榇朔N恢復(fù)數(shù)據(jù)方法較為復(fù)雜，需要操作人員了解和掌握硬盤(pán)數(shù)據(jù)存儲(chǔ)等有關(guān)知識(shí)，并且要隨時(shí)清楚自己正在操作的內(nèi)容和操作以后的后果，特別是要小心某些破壞性操作對(duì)數(shù)據(jù)造成的不可逆損傷，因此建議在操作前對(duì)整個(gè)硬盤(pán)進(jìn)行備份。

參考文獻(xiàn)：

[1]危蓉，麥永浩，基于WinHex手機(jī)圖片信息的恢復(fù)與取證[J].信息安全研究，2016，7（4）：44-48.

[2]劉洋洋.Winhex在硬盤(pán)數(shù)據(jù)恢復(fù)中的應(yīng)用研究[J].沈陽(yáng)工程學(xué)院學(xué)報(bào)（自然科學(xué)版），2013，9（1）：74-77.

[3]蔣波，付尚樸，孫琛.用WinHex分析FAT32的磁盤(pán)存儲(chǔ)結(jié)構(gòu)[J].宜賓學(xué)院學(xué)報(bào)，2006（6）：81-82.

[4]劉生輝，呂爽，王憶慈.基于WINHEX的數(shù)據(jù)恢復(fù)[Jl.數(shù)字技術(shù)與應(yīng)用，2017（10）：211-212.

【通聯(lián)編輯：張薇】

作者簡(jiǎn)介：吳曉清（1983-），女，湖北隨州人，碩士，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)。