摘? 要：為應(yīng)對數(shù)據(jù)安全問題，數(shù)據(jù)恢復(fù)技術(shù)越來越受到各行業(yè)的重視，市場對這方面人才的需求越來越大，據(jù)調(diào)查，目前對數(shù)據(jù)恢復(fù)軟件的研究還很匱乏，為了讓技術(shù)人員了解數(shù)據(jù)恢復(fù)的基本知識和相關(guān)的工具軟件，文章主要介紹了幾個目前常用的數(shù)據(jù)恢復(fù)工具軟件如DiskGenius、R-STUDIO、WinHex等及其使用方法，希望能為數(shù)據(jù)恢復(fù)相關(guān)知識和技術(shù)工具的普及帶來幫助。

關(guān)鍵詞：資料恢復(fù) ;DiskGenius;R-STUDIO;WinHex

中圖分類號：TP309.3? ? ? 文獻標(biāo)識碼：A 文章編號：2096-4706（2020）17-0142-03

Abstract：In response to data security issues，data recovery technology has received more and more attention from various industries，and the market has more and more talents in this area. According to the authors survey，the current research on data recovery software is still scarce. The personnel understand the basic knowledge of data recovery and related tools and software. The paper mainly introduces several commonly used data recovery tools such as DiskGenius，R-STUDIO，WinHex，etc. and their use methods，hoping to be able to bring help to the popularization of data recovery related knowledge and technical tools.

Keywords：data recovery;DiskGenius;R-STUDIO;WinHex

0? 引? 言

隨著信息技術(shù)的飛速發(fā)展，計算機數(shù)據(jù)量也急劇膨脹，數(shù)據(jù)安全成為一大問題。資料恢復(fù)技術(shù)近年也越來越受到各行業(yè)的重視，由數(shù)據(jù)恢復(fù)引發(fā)的一個新的計算機技術(shù)行業(yè)正在逐步形成，市場對數(shù)據(jù)恢復(fù)人才的需求也越來越大。筆者在單位有帶領(lǐng)學(xué)生參加專業(yè)技能大賽的經(jīng)歷，因此對數(shù)據(jù)恢復(fù)知識和技術(shù)有過研究。筆者通過文獻搜索發(fā)現(xiàn)，目前資料恢復(fù)技術(shù)的相關(guān)文獻相對較少，對數(shù)據(jù)恢復(fù)技術(shù)軟件的研究也相對匱乏。但市場上很多軟件可以用來做數(shù)據(jù)恢復(fù)，例如Diskgenius、R-STUDIO、WinHex、PC-3000等。本文闡述了當(dāng)前主要的數(shù)據(jù)恢復(fù)的工具軟件，旨在對當(dāng)前數(shù)據(jù)恢復(fù)軟件技術(shù)做一個小結(jié)，吸引更多的研究者關(guān)注資料恢復(fù)技術(shù)。

1? Diskgenius使用方法

Diskgenius功能其實非常多，此處只介紹用戶如何用它進行數(shù)據(jù)恢復(fù)。Diskgenius恢復(fù)數(shù)據(jù)的前提是它能夠識別出用戶要恢復(fù)數(shù)據(jù)的存儲硬件，一般為硬盤、U盤、存儲卡等。如果存儲設(shè)備連接后不能被DiskGenius識別，即在DiskGenius主界面左側(cè)的窗口中不顯示，那么僅僅依靠軟件不能恢復(fù)數(shù)據(jù)，必須先進行硬件恢復(fù)。

如果用戶能確定需要恢復(fù)的數(shù)據(jù)存在于硬盤的哪個分區(qū)上，那么直接在如圖1所示的DiskGenius界面上方的硬盤分區(qū)中選中分區(qū)，點擊鼠標(biāo)右鍵，然后在彈出的快捷菜單中選擇菜單項“已刪除或格式化后的文件恢復(fù)（U）”。

隨后的界面可以看到三個選項，有“恢復(fù)已刪除的檔”“完整恢復(fù)”“額外掃描已知文件類型”，這三個選項其實是恢復(fù)數(shù)據(jù)時掃描硬盤、分區(qū)等存儲介質(zhì)的三種方式。選擇一種方式，按照其操作方法可以恢復(fù)用戶誤刪除的文件，達到恢復(fù)數(shù)據(jù)的目的。

2? R-STUDIO

R-STUDIO是一款功能非常強大的數(shù)據(jù)恢復(fù)工具，支持的文件系統(tǒng)類型較多，主要包括FAT、ExFAT、NTFS、Ext等文件系統(tǒng);目前Mac OS系統(tǒng)、UNIX、Linux和Windows等操作系統(tǒng)能支持該軟件。R-STUDIO主界面如圖2所示。

R-STUDIO的常見的幾個操作步驟如下。

2.1? 創(chuàng)建磁盤鏡像

恢復(fù)數(shù)據(jù)前要創(chuàng)建磁盤鏡像，數(shù)據(jù)恢復(fù)是對鏡像進行操作，這與操作真實的磁盤的效果是一樣的，這樣做能很好地保護源磁盤，保證不會對源磁盤進行任何寫操作。因此，會做磁盤鏡像是數(shù)據(jù)恢復(fù)人員的必備能力。

2.2? 恢復(fù)數(shù)據(jù)文件

恢復(fù)數(shù)據(jù)文件包含以下幾種典型情形：一是恢復(fù)誤刪除的檔;二是誤格式化的檔的恢復(fù)，還有誤Ghost分區(qū)丟失的恢復(fù)。誤刪除分區(qū)的恢復(fù)首先要確定誤刪除檔的磁盤分區(qū)，打開分區(qū)后回看到刪除的檔上有紅色的叉標(biāo)，紅色的叉標(biāo)表示檔被刪除了，從中選擇要恢復(fù)文件夾或文檔，直接存儲到一個新的分區(qū)。誤格式化的分區(qū)文件的恢復(fù)需要使用掃描命令進行全盤掃描，找到要恢復(fù)的檔。需要特別注意的兩點：一是由于在硬盤上曾經(jīng)格式化過不同分區(qū)，以前分區(qū)的結(jié)構(gòu)依然存在，R-STUDIO在恢復(fù)數(shù)據(jù)時會識別到這些結(jié)構(gòu)，所以檢測結(jié)果會出現(xiàn)很多沒有意義的分區(qū)，R-STUDIO會根據(jù)分區(qū)的重要性進行排序，排名越靠前，說明要恢復(fù)的數(shù)據(jù)極有可能出現(xiàn)在此分區(qū)上;二是格式化之后原來根目錄的結(jié)構(gòu)被損壞，使得根目錄文件夾和文件名字也被破壞，這種情況在FAT32文件系統(tǒng)中最為常見，此時只需找到目標(biāo)文件，進行恢復(fù)操作即可。

2.3? 重組RAID

R-STUDIO也能重組服務(wù)器上的RAID數(shù)組，從而達到恢復(fù)服務(wù)器數(shù)據(jù)的目的。要恢復(fù)RAID數(shù)據(jù)，需要靈活利用R-STUDIO提供的創(chuàng)建虛擬RAID功能，現(xiàn)以一個由4塊磁盤組成的RAID5磁盤陣列為例簡單說明一下重組RAID。在磁盤沒有壞掉的情況下，利用RAID“創(chuàng)建虛擬數(shù)組”命令創(chuàng)建鏡像，不會對磁盤進行任何寫操作。打開剛剛創(chuàng)建的鏡像，選擇RAID類型為“RAID5虛擬塊”，在塊大小中選擇分析塊大小，如64 kB;在“塊順序”和“行數(shù)量”下拉列表框分別選擇塊順序和行數(shù)量。RAID5塊順序共有4種類型：左同步，左異步，右同步，右異步。在缺少一塊磁盤的情況下，RAID5依然可以進行重組，此時只要不選擇相應(yīng)的勾選框就能完成。如果在RAID5中存在1個壞盤導(dǎo)致無法鏡像，也就是說這塊磁盤已經(jīng)缺失，此時可用軟件R-STUDIO中“添加缺失硬盤”這項功能來添加磁盤以達到修復(fù)的目的;但如果損壞的是2塊或2塊以上磁盤，則R-STUDIO是無法恢復(fù)這些磁盤的。

在成功重組后，就可以像對待單塊盤一樣進行操作了。重組RAID0、RAID4和RAID6的方法與此類似，需注意的是R-STUDIO可以自定義RAID的數(shù)據(jù)排列順序。

3? WinHex

WinHex是一款常用的磁盤編輯與恢復(fù)軟件，磁盤中的每一個扇區(qū)數(shù)據(jù)都是以十六進制元的方式來顯示，WinHex的界面如圖3所示。WinHex是通過編輯底層數(shù)據(jù)來進行數(shù)據(jù)恢復(fù)的，其能顯示磁盤中每個扇區(qū)的數(shù)據(jù)，這對于磁盤文件系統(tǒng)中的邏輯結(jié)構(gòu)分析以及數(shù)據(jù)恢復(fù)非常重要。所以對于一個數(shù)據(jù)恢復(fù)工程師來說，熟練掌握和使用WinHex軟件是非常必要的。WinHex常用的操作方法如下。

3.1? 打開磁盤

需要用WinHex恢復(fù)數(shù)據(jù)，首先要找到文件的位置，要打開磁盤只需在“工具”菜單欄選擇“打開磁盤”命令，或者使用快捷鍵“F9”找到文件所在的磁盤并打開。WinHex既可以打開整個磁盤，也可以以分區(qū)的形式打開。

3.2? 利用WinHex做磁盤鏡像

每一個數(shù)據(jù)恢復(fù)工程師必須掌握的技能之一是給要恢復(fù)的磁盤做鏡像，WinHex也有給磁盤做鏡像的功能。選擇“工具”菜單欄，找到“磁盤工具”，選擇“克隆硬盤”命令，或者使用快捷鍵“Ctrl”+“D”都可以實現(xiàn)該操作。

3.3? 定位具體扇區(qū)

這個功能進行定位的單位是扇區(qū)，其中一扇區(qū)等于512字節(jié)，每次跳轉(zhuǎn)只能跳轉(zhuǎn)512字節(jié)的整數(shù)倍。跳轉(zhuǎn)扇區(qū)的方法：選擇菜單欄中的“位置”命令，選擇“轉(zhuǎn)到扇區(qū)”命令，或者按快捷鍵“Ctrl”+“G”。

3.4? 安全清除磁盤上的數(shù)據(jù)

之所以存在可恢復(fù)的被刪檔以及格式化之后的分區(qū)，是因為這些數(shù)據(jù)沒有被徹底清除，文件系統(tǒng)只是標(biāo)記了這些文件的元數(shù)據(jù)結(jié)構(gòu)。雖然這些數(shù)據(jù)在操作系統(tǒng)上無法顯示，但它們實際上并未真正被刪除，只要利用專業(yè)的數(shù)據(jù)恢復(fù)軟件如WinHex就能進行恢復(fù)，不過這種操作很容易造成數(shù)據(jù)泄密。使用WinHex的填充數(shù)據(jù)模塊可以從底層徹底清除數(shù)據(jù)且無從恢復(fù)，避免數(shù)據(jù)泄密的風(fēng)險。

3.5? 查找數(shù)據(jù)

如果需要查找特定的數(shù)據(jù)，WinHex也具備數(shù)據(jù)查找功能，其可通過兩種方式進行查找：一種是以十六進制的形式進行查找;另一種是以文本的形式進行查找。

3.6? 使用模板

在WinHex中數(shù)據(jù)都是以十六進制的形式顯示的，面對底層十六進制的數(shù)值，其含義讓人困惑。為克服此不足，WinHex內(nèi)置了很多常見的數(shù)據(jù)結(jié)構(gòu)模板，如DBR For FAT32、MBR、NTFS File Record、DBR For NTFS等，利用這些模板，數(shù)據(jù)恢復(fù)人員可以輕松地理解每一個十六進制數(shù)值所代表的含義。

以上是對WinHex常用功能的基本介紹，其他功能可以通過現(xiàn)有的知識觸類旁通。

4? PC-3000

PC-3000是由俄羅斯著名硬盤實驗室——ACE Laboratory研究開發(fā)的一款硬盤修復(fù)的綜合性商用專業(yè)軟件，它用硬盤自帶的軟件來操作硬盤，通過改變和修復(fù)硬盤的原始數(shù)據(jù)來達到修復(fù)的目的。其工作原理是通過收集并破譯各種型號的硬盤的盤程序模塊來修復(fù)硬盤。

5? 結(jié)? 論

目前，隨著計算機技術(shù)的發(fā)展，數(shù)據(jù)恢復(fù)技術(shù)也發(fā)展得非常迅速，本文僅闡述了常見的幾款數(shù)據(jù)恢復(fù)軟件，旨在拋磚引玉，還有很多數(shù)據(jù)恢復(fù)的技術(shù)和知識，限于篇幅和筆者的認知不能一一列出，有待其他研究者進行更深入的研究。

參考文獻：

[1] 劉偉.數(shù)據(jù)恢復(fù)技術(shù)深度揭秘：第2版 [M].北京：電子工業(yè)出版社，2016.

[2] 張明旺.基于NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)技術(shù) [J].福建電腦，2012，28（5）：81-82+86.

[3] 郭力，徐玲，謝光良，等.試析計算機硬盤的故障數(shù)據(jù)恢復(fù)技術(shù) [J].武漢電力職業(yè)技術(shù)學(xué)院學(xué)報，2018，16（3）：43-44.

[4] 王建東.基于FPGA的高速串行數(shù)據(jù)采集及恢復(fù)技術(shù)研究 [D].成都：電子科技大學(xué)，2017.

[5] 吳剛，阿卜杜熱西提·熱合曼，李梁，等.NUMA架構(gòu)下數(shù)據(jù)熱度的內(nèi)存數(shù)據(jù)庫日志恢復(fù)技術(shù) [J].計算機科學(xué)與探索，2019，13（6）：941-949.

[6] 董寧，顧天一.淺析數(shù)據(jù)恢復(fù)技術(shù) [J].現(xiàn)代信息科技，2018，2（7）：101-102.

作者簡介：文劍平（1975—），男，漢族，江西蓮花人，高級工程師，碩士研究生，研究方向：計算機技術(shù)與數(shù)據(jù)恢復(fù)。