莊文學(xué) 馬昊

摘要：基于Winhex軟件，該文介紹了數(shù)據(jù)恢復(fù)的原理，針對(duì)FAT32系統(tǒng)誤刪除數(shù)據(jù)的操作，提出一種數(shù)據(jù)快速恢復(fù)的方法。通過(guò)實(shí)驗(yàn)證明可以有效解決誤刪除類數(shù)據(jù)恢復(fù)問(wèn)題，該方法可以提高數(shù)據(jù)恢復(fù)的速度和準(zhǔn)確度。

關(guān)鍵詞：數(shù)據(jù)恢復(fù);Winhex;誤刪除

中圖分類號(hào)：TP316 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）33-0069-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

1 引言

隨著信息化程度的不斷加深，人類對(duì)信息資源的依賴程度不斷增長(zhǎng)，用戶的核心數(shù)據(jù)無(wú)疑是最寶貴的。而信息設(shè)備的普及，淘汰，損壞設(shè)備的增多，導(dǎo)致信息損壞和丟失越發(fā)嚴(yán)重，數(shù)據(jù)恢復(fù)技術(shù)日益重要。數(shù)據(jù)損壞的原因有很多，主要分為軟件和硬件兩種。比如：人為誤操作造成數(shù)據(jù)丟失，病毒破壞引導(dǎo)扇區(qū)造成數(shù)據(jù)丟失，誤刪除文件或者誤格式化分區(qū)等，磁盤壞道，主板損壞等等。其中大部分可以通過(guò)專門的數(shù)據(jù)恢復(fù)軟件進(jìn)行修復(fù)。

目前數(shù)據(jù)恢復(fù)技術(shù)主要分為：軟恢復(fù)（文件系統(tǒng)問(wèn)題），硬恢復(fù)（硬件恢復(fù)），大型數(shù)據(jù)庫(kù)系統(tǒng)，異型系統(tǒng)數(shù)據(jù)恢復(fù)，數(shù)據(jù)覆蓋后的恢復(fù)等[1]。其中軟恢復(fù)指的是與文件系統(tǒng)有關(guān)的數(shù)據(jù)丟失。硬盤數(shù)據(jù)的寫(xiě)入和讀取都是通過(guò)文件系統(tǒng)來(lái)實(shí)現(xiàn)的。對(duì)于磁盤的文件系統(tǒng)被破壞，這方面的研究工作起步較早，國(guó)內(nèi)外研究的都比較深，主要的難點(diǎn)在于：文件碎片的處理，文件被覆蓋，高級(jí)加密口令遺失等，其他一般情況下都是可以通過(guò)數(shù)據(jù)恢復(fù)軟件找回的。如果保存數(shù)據(jù)的存儲(chǔ)介質(zhì)出現(xiàn)了物理故障，比如盤體有壞道，電路板芯片燒壞，盤體異響等故障，導(dǎo)致用戶取不出里面的數(shù)據(jù)，在這種情況下對(duì)該介質(zhì)中丟失的數(shù)據(jù)進(jìn)行恢復(fù)，就稱為硬恢復(fù);硬恢復(fù)難度較大，如果是內(nèi)部盤片數(shù)據(jù)區(qū)嚴(yán)重劃傷，會(huì)造成數(shù)據(jù)徹底丟失，而無(wú)法恢復(fù)數(shù)據(jù)，一般情況還是能恢復(fù)大部分?jǐn)?shù)據(jù)的[2]。

文中所介紹的數(shù)據(jù)恢復(fù)技術(shù)屬于軟恢復(fù)的范疇，針對(duì)FAT32系統(tǒng)誤刪除數(shù)據(jù)的情況，進(jìn)行數(shù)據(jù)恢復(fù)的研究，提出一種快速恢復(fù)數(shù)據(jù)的方法。

2 Winhex介紹

Winhex是一款功能十分強(qiáng)大的數(shù)據(jù)恢復(fù)軟件，占用內(nèi)存小，主要用來(lái)檢查和修復(fù)各種文件、恢復(fù)刪除文件、硬盤損壞造成的數(shù)據(jù)丟失等。同時(shí)還可以看到其他程序隱藏起來(lái)的文件和數(shù)據(jù)。它是一款十六進(jìn)制磁盤編輯軟件，用它來(lái)進(jìn)行數(shù)據(jù)恢復(fù)時(shí)，可以很方便地察看硬盤的數(shù)據(jù)，專門用于從底層檢查和修復(fù)文件，硬盤損壞等。Winhex還可以分類型地選擇恢復(fù)數(shù)據(jù)，可以極大地提高數(shù)據(jù)恢復(fù)的效率，節(jié)省時(shí)間[3]。

WinHex打開(kāi)磁盤，程序主界面如圖1所示，使用過(guò)程中要注意幾個(gè)常用的功能區(qū)，具體功能含義如下：

1）數(shù)據(jù)解釋器：將磁盤里的十六進(jìn)制字符轉(zhuǎn)換成習(xí)慣的十進(jìn)制數(shù)。對(duì)數(shù)據(jù)進(jìn)行修改時(shí)可以在數(shù)據(jù)解釋器的相應(yīng)位置填上正確十進(jìn)制值，然后回車進(jìn)行更改。

2）當(dāng)前所在扇區(qū)和總扇區(qū)：幫助快速確認(rèn)當(dāng)前位置，單擊此位置也可以完成跳轉(zhuǎn)扇區(qū)。

3）搜索指令：有些格式扇區(qū)存在規(guī)律特征，此指令可以幫助精確快速查找到重要的信息（快捷鍵按< Ctrl+Alt+X>組合鍵），如果第一個(gè)搜索到的不是，可以按F3進(jìn)行繼續(xù)搜索操作。

這里注意一點(diǎn)：利用Winhex軟件對(duì)硬盤數(shù)據(jù)進(jìn)行清零操作時(shí)，一定要慎用。因?yàn)榇瞬僮魇侵苯訉?duì)物理扇區(qū)的數(shù)據(jù)區(qū)直接進(jìn)行改寫(xiě)操作，當(dāng)用十六進(jìn)制00對(duì)所有字節(jié)空間進(jìn)行填寫(xiě)時(shí)，不需要保存就會(huì)直接對(duì)扇區(qū)進(jìn)行改寫(xiě)，即原磁盤的對(duì)應(yīng)扇區(qū)將會(huì)即時(shí)清除;另一方面，清零操作會(huì)對(duì)硬盤的每個(gè)扇區(qū)中的每個(gè)字節(jié)空間都要進(jìn)行數(shù)據(jù)的寫(xiě)入，耗時(shí)也比較多，依據(jù)機(jī)器速度的不同，一般情況下Imin大約會(huì)清除15GB的磁盤空間。

3 硬盤數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)原理

數(shù)據(jù)是存儲(chǔ)在硬盤上，一塊新盤在使用之前先進(jìn)行分區(qū)處理，將其劃分為大小不一的邏輯區(qū)域：一般分為四個(gè)部分，由主引導(dǎo)分區(qū)MBR、引導(dǎo)記錄扇區(qū)DBR，DIR目錄區(qū)和Data數(shù)據(jù)區(qū)四部分組成[3]。所有的分區(qū)都有唯一的起始位置，分區(qū)是連續(xù)扇區(qū)。

MBR也叫主引導(dǎo)記錄如圖2所示，一般位于硬盤的0柱面，0磁頭，1扇區(qū)，大小為512字節(jié)，常用來(lái)記錄每個(gè)分區(qū)的起始位置和大小。MBR中各組成部分大小是可變的，由不同的分區(qū)軟件決定，一般前三部分占用446字節(jié)是固定的，后面接64字節(jié)的分區(qū)表和2字節(jié)的結(jié)束標(biāo)志。

分區(qū)表位于0號(hào)扇區(qū)，分區(qū)表在扇區(qū)中的偏移量為1BEH-1FDH，共64個(gè)字節(jié)稱為DPT，它記錄著硬盤中各分區(qū)的文件系統(tǒng)類型、起始和大小等信息，一塊硬盤最多只可分為4個(gè)分區(qū)即3主l擴(kuò)或4主分區(qū)等。EH位為引導(dǎo)標(biāo)識(shí)，其中數(shù)值是00時(shí)表示非活動(dòng)分區(qū)，數(shù)值是80時(shí)表示活動(dòng)分區(qū);2H位為該分區(qū)的類型描述（數(shù)值07時(shí)該分區(qū)文件系統(tǒng)為NTFS，OB或OC時(shí)為FAT32，OF時(shí)為擴(kuò)展分區(qū)）;6H-9H位為分區(qū)的起始扇區(qū)（DBR或EBR所在位）;AH-DH位為分區(qū)大?。ㄒ话鉓BR上的分區(qū)大小比DBR中的多1）。如果該數(shù)據(jù)被清除，其他數(shù)據(jù)不變的情況下，當(dāng)重新掛載此磁盤時(shí)，顯示為“未分配”狀態(tài)。結(jié)束標(biāo)識(shí)在扇區(qū)的偏移位置為1FEH-IFFH，即最后兩個(gè)字節(jié)“55 AA”，標(biāo)志著扇區(qū)的結(jié)束。如果一塊MBR扇區(qū)其他數(shù)據(jù)都正常僅結(jié)束標(biāo)識(shí)“55 AA”被刪除被修改，該磁盤分區(qū)仍是無(wú)法讀取的，顯示“沒(méi)有初始化”狀態(tài)。

DBR和操作系統(tǒng)引導(dǎo)有關(guān)，如圖3所示，主要功能是引導(dǎo)系統(tǒng)和保存文件參數(shù)，一般位于硬盤的0磁道1柱面1扇區(qū)，DBR-旦被破壞，整個(gè)系統(tǒng)將無(wú)法正常運(yùn)行。DBR大小為1個(gè)扇區(qū)，占512字節(jié)，由跳轉(zhuǎn)指令、OEM代號(hào)、BPB、引導(dǎo)程序和結(jié)束標(biāo)識(shí)五部分組成。其中跳轉(zhuǎn)指令的作用是跳到自舉代碼執(zhí)行引導(dǎo)程序，DBR結(jié)束標(biāo)志為“55 AA”，與MBR的相同。操作系統(tǒng)管理分區(qū)文件所需的重要參數(shù)都存放在BIOS里，如扇區(qū)字節(jié)數(shù)，簇扇區(qū)數(shù)，磁道扇區(qū)數(shù)等，這些參數(shù)的作用范圍僅限于DBR所在的分區(qū)，因此各分區(qū)均用各自的DBR存放BIOS參數(shù)。

4 FAT32系統(tǒng)誤刪除數(shù)據(jù)的快速恢復(fù)

在日常生活中經(jīng)常性地會(huì)刪除一些不重要文件，以此來(lái)減少硬盤存儲(chǔ)壓力，增大磁盤的可用空間.但是往往會(huì)不小心誤刪除一些重要文件，引起不必要的損失。下面通過(guò)實(shí)際案例進(jìn)行數(shù)據(jù)恢復(fù)，解決FAT32系統(tǒng)文件誤刪除的問(wèn)題。

案例：誤刪除了FAT32系統(tǒng)一個(gè)文件夾里面的某BBB文檔，里面有著重要的數(shù)據(jù)需要被恢復(fù)。

FAT32文件系統(tǒng)主要是DBR、DBR備份、FAT1、FAT2和數(shù)據(jù)區(qū)這五大塊構(gòu)成[7]。在FAT文件系統(tǒng)中，通常相同文件的數(shù)據(jù)區(qū)都不是連續(xù)存在于相同的區(qū)域，而是劃分成若干份，由一條數(shù)據(jù)鏈聯(lián)系在一起，簇鏈中的每個(gè)FAT項(xiàng)記錄著接下來(lái)簇的簇位置，而FAT表就是記錄這些文件所占用簇大小及位置的存在。即一個(gè)文件所使用的空間由多個(gè)簇構(gòu)成。可以通過(guò)查找當(dāng)前文件所在的簇號(hào)，為實(shí)現(xiàn)數(shù)據(jù)恢復(fù)提供思路[8]。

步驟一：通過(guò)WinHex軟件打開(kāi)該磁盤，然后跳轉(zhuǎn)到誤刪除文件的上一級(jí)文件夾（目錄項(xiàng)）。如圖4所示，可以知道被刪除后的文件文件名第一位會(huì)被E5代替，其他內(nèi)容不變，這里看到不止一個(gè)E5出現(xiàn)，但是經(jīng)過(guò)觀察分析可以得出只有圖上第二個(gè)標(biāo)出的E5這一行才是真正想要找到的文件。

步驟二：讀出誤刪除文件數(shù)據(jù)所在的位置、大小和狀態(tài)。

從圖4可以得出，該文件的類型是TXT文檔，文件的起始是“0000000DH”（13）簇，大小是“00000154H”（340）bit。

步驟三：跳轉(zhuǎn)到文件所在數(shù)據(jù)區(qū)。

點(diǎn)擊WinHex的跳轉(zhuǎn)指令，跳轉(zhuǎn)到第13號(hào)簇，并且選中該扇區(qū)的前340個(gè)bit，即該文件的內(nèi)容數(shù)據(jù)，如圖5所示。

步驟四：復(fù)制數(shù)據(jù)完成恢復(fù)。

按組合鍵進(jìn)行數(shù)據(jù)另存為，選擇一個(gè)其他位置進(jìn)行保存，另存為文件名是“BBB.TXT”，這時(shí)就可完成刪除文件的找回。（這里要注意的是：文件保存時(shí)的后綴需要和原文件一致）

5 結(jié)語(yǔ)

掌握磁盤的分區(qū)結(jié)構(gòu)以及不同系統(tǒng)的文件存儲(chǔ)基本原理，再利用Winhex軟件工具，手動(dòng)操作可以快速恢復(fù)被誤刪除的文件。由于操作工具，操作過(guò)程，操作手段的特殊性，數(shù)據(jù)恢復(fù)技術(shù)的用途很廣，文中只探討了FAT32系統(tǒng)下的誤刪除快速恢復(fù)方法，針對(duì)其他系統(tǒng)下的文件快速恢復(fù)還有待進(jìn)一步研究。

參考文獻(xiàn)：

[1]劉偉，數(shù)據(jù)恢復(fù)技術(shù)深度揭秘[M].北京：電子工業(yè)出版社，2016.

[2]薄光明.計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)研究[J].科技創(chuàng)新與應(yīng)用，2018（24）：135-136.

[3]鮑麗春.計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)探討[J].情報(bào)理論與實(shí)踐，2012，35（1）：120-122.

[4]蘇神保，劉丹，基于Winhex的exFAT文件系統(tǒng)結(jié)構(gòu)研究[J].辦 公自動(dòng)化，2019，24（2）：28-30.

[5]史春水，劉思磊.NTFS文件系統(tǒng)中用WinHex手動(dòng)恢復(fù)文件的研究[J].電腦知識(shí)與技術(shù)，2020，16（9）：36-38.

[6]賴偉洪，基于Winhex手動(dòng)實(shí)現(xiàn)被刪除文件的恢復(fù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012，15（14）：37-38.

[7]張?jiān)?，淺談Winhex對(duì)FAT32文件系統(tǒng)數(shù)據(jù)恢復(fù)的幾種方法[J].數(shù)字化用戶，2017，23（44）：253.

[8]汪中夏，劉偉，數(shù)據(jù)恢復(fù)高級(jí)技術(shù)[M].北京：電子工業(yè)出版社，2006.

【通聯(lián)編輯：代影】

作者簡(jiǎn)介：莊文學(xué)（1980-），男，講師，碩士，主要研究方向：無(wú)線傳感網(wǎng)、數(shù)據(jù)恢復(fù)。