莊文學 馬昊

摘要：基于Winhex軟件，該文介紹了數(shù)據(jù)恢復的原理，針對FAT32系統(tǒng)誤刪除數(shù)據(jù)的操作，提出一種數(shù)據(jù)快速恢復的方法。通過實驗證明可以有效解決誤刪除類數(shù)據(jù)恢復問題，該方法可以提高數(shù)據(jù)恢復的速度和準確度。

關鍵詞：數(shù)據(jù)恢復;Winhex;誤刪除

中圖分類號：TP316 文獻標識碼：A

文章編號：1009-3044（2020）33-0069-02

開放科學（資源服務）標識碼（OSID）：

1 引言

隨著信息化程度的不斷加深，人類對信息資源的依賴程度不斷增長，用戶的核心數(shù)據(jù)無疑是最寶貴的。而信息設備的普及，淘汰，損壞設備的增多，導致信息損壞和丟失越發(fā)嚴重，數(shù)據(jù)恢復技術日益重要。數(shù)據(jù)損壞的原因有很多，主要分為軟件和硬件兩種。比如：人為誤操作造成數(shù)據(jù)丟失，病毒破壞引導扇區(qū)造成數(shù)據(jù)丟失，誤刪除文件或者誤格式化分區(qū)等，磁盤壞道，主板損壞等等。其中大部分可以通過專門的數(shù)據(jù)恢復軟件進行修復。

目前數(shù)據(jù)恢復技術主要分為：軟恢復（文件系統(tǒng)問題），硬恢復（硬件恢復），大型數(shù)據(jù)庫系統(tǒng)，異型系統(tǒng)數(shù)據(jù)恢復，數(shù)據(jù)覆蓋后的恢復等[1]。其中軟恢復指的是與文件系統(tǒng)有關的數(shù)據(jù)丟失。硬盤數(shù)據(jù)的寫入和讀取都是通過文件系統(tǒng)來實現(xiàn)的。對于磁盤的文件系統(tǒng)被破壞，這方面的研究工作起步較早，國內外研究的都比較深，主要的難點在于：文件碎片的處理，文件被覆蓋，高級加密口令遺失等，其他一般情況下都是可以通過數(shù)據(jù)恢復軟件找回的。如果保存數(shù)據(jù)的存儲介質出現(xiàn)了物理故障，比如盤體有壞道，電路板芯片燒壞，盤體異響等故障，導致用戶取不出里面的數(shù)據(jù)，在這種情況下對該介質中丟失的數(shù)據(jù)進行恢復，就稱為硬恢復;硬恢復難度較大，如果是內部盤片數(shù)據(jù)區(qū)嚴重劃傷，會造成數(shù)據(jù)徹底丟失，而無法恢復數(shù)據(jù)，一般情況還是能恢復大部分數(shù)據(jù)的[2]。

文中所介紹的數(shù)據(jù)恢復技術屬于軟恢復的范疇，針對FAT32系統(tǒng)誤刪除數(shù)據(jù)的情況，進行數(shù)據(jù)恢復的研究，提出一種快速恢復數(shù)據(jù)的方法。

2 Winhex介紹

Winhex是一款功能十分強大的數(shù)據(jù)恢復軟件，占用內存小，主要用來檢查和修復各種文件、恢復刪除文件、硬盤損壞造成的數(shù)據(jù)丟失等。同時還可以看到其他程序隱藏起來的文件和數(shù)據(jù)。它是一款十六進制磁盤編輯軟件，用它來進行數(shù)據(jù)恢復時，可以很方便地察看硬盤的數(shù)據(jù)，專門用于從底層檢查和修復文件，硬盤損壞等。Winhex還可以分類型地選擇恢復數(shù)據(jù)，可以極大地提高數(shù)據(jù)恢復的效率，節(jié)省時間[3]。

WinHex打開磁盤，程序主界面如圖1所示，使用過程中要注意幾個常用的功能區(qū)，具體功能含義如下：

1）數(shù)據(jù)解釋器：將磁盤里的十六進制字符轉換成習慣的十進制數(shù)。對數(shù)據(jù)進行修改時可以在數(shù)據(jù)解釋器的相應位置填上正確十進制值，然后回車進行更改。

2）當前所在扇區(qū)和總扇區(qū)：幫助快速確認當前位置，單擊此位置也可以完成跳轉扇區(qū)。

3）搜索指令：有些格式扇區(qū)存在規(guī)律特征，此指令可以幫助精確快速查找到重要的信息（快捷鍵按< Ctrl+Alt+X>組合鍵），如果第一個搜索到的不是，可以按F3進行繼續(xù)搜索操作。

這里注意一點：利用Winhex軟件對硬盤數(shù)據(jù)進行清零操作時，一定要慎用。因為此操作是直接對物理扇區(qū)的數(shù)據(jù)區(qū)直接進行改寫操作，當用十六進制00對所有字節(jié)空間進行填寫時，不需要保存就會直接對扇區(qū)進行改寫，即原磁盤的對應扇區(qū)將會即時清除;另一方面，清零操作會對硬盤的每個扇區(qū)中的每個字節(jié)空間都要進行數(shù)據(jù)的寫入，耗時也比較多，依據(jù)機器速度的不同，一般情況下Imin大約會清除15GB的磁盤空間。

3 硬盤數(shù)據(jù)結構存儲原理

數(shù)據(jù)是存儲在硬盤上，一塊新盤在使用之前先進行分區(qū)處理，將其劃分為大小不一的邏輯區(qū)域：一般分為四個部分，由主引導分區(qū)MBR、引導記錄扇區(qū)DBR，DIR目錄區(qū)和Data數(shù)據(jù)區(qū)四部分組成[3]。所有的分區(qū)都有唯一的起始位置，分區(qū)是連續(xù)扇區(qū)。

MBR也叫主引導記錄如圖2所示，一般位于硬盤的0柱面，0磁頭，1扇區(qū)，大小為512字節(jié)，常用來記錄每個分區(qū)的起始位置和大小。MBR中各組成部分大小是可變的，由不同的分區(qū)軟件決定，一般前三部分占用446字節(jié)是固定的，后面接64字節(jié)的分區(qū)表和2字節(jié)的結束標志。

分區(qū)表位于0號扇區(qū)，分區(qū)表在扇區(qū)中的偏移量為1BEH-1FDH，共64個字節(jié)稱為DPT，它記錄著硬盤中各分區(qū)的文件系統(tǒng)類型、起始和大小等信息，一塊硬盤最多只可分為4個分區(qū)即3主l擴或4主分區(qū)等。EH位為引導標識，其中數(shù)值是00時表示非活動分區(qū)，數(shù)值是80時表示活動分區(qū);2H位為該分區(qū)的類型描述（數(shù)值07時該分區(qū)文件系統(tǒng)為NTFS，OB或OC時為FAT32，OF時為擴展分區(qū)）;6H-9H位為分區(qū)的起始扇區(qū)（DBR或EBR所在位）;AH-DH位為分區(qū)大?。ㄒ话鉓BR上的分區(qū)大小比DBR中的多1）。如果該數(shù)據(jù)被清除，其他數(shù)據(jù)不變的情況下，當重新掛載此磁盤時，顯示為“未分配”狀態(tài)。結束標識在扇區(qū)的偏移位置為1FEH-IFFH，即最后兩個字節(jié)“55 AA”，標志著扇區(qū)的結束。如果一塊MBR扇區(qū)其他數(shù)據(jù)都正常僅結束標識“55 AA”被刪除被修改，該磁盤分區(qū)仍是無法讀取的，顯示“沒有初始化”狀態(tài)。

DBR和操作系統(tǒng)引導有關，如圖3所示，主要功能是引導系統(tǒng)和保存文件參數(shù)，一般位于硬盤的0磁道1柱面1扇區(qū)，DBR-旦被破壞，整個系統(tǒng)將無法正常運行。DBR大小為1個扇區(qū)，占512字節(jié)，由跳轉指令、OEM代號、BPB、引導程序和結束標識五部分組成。其中跳轉指令的作用是跳到自舉代碼執(zhí)行引導程序，DBR結束標志為“55 AA”，與MBR的相同。操作系統(tǒng)管理分區(qū)文件所需的重要參數(shù)都存放在BIOS里，如扇區(qū)字節(jié)數(shù)，簇扇區(qū)數(shù)，磁道扇區(qū)數(shù)等，這些參數(shù)的作用范圍僅限于DBR所在的分區(qū)，因此各分區(qū)均用各自的DBR存放BIOS參數(shù)。

4 FAT32系統(tǒng)誤刪除數(shù)據(jù)的快速恢復

在日常生活中經常性地會刪除一些不重要文件，以此來減少硬盤存儲壓力，增大磁盤的可用空間.但是往往會不小心誤刪除一些重要文件，引起不必要的損失。下面通過實際案例進行數(shù)據(jù)恢復，解決FAT32系統(tǒng)文件誤刪除的問題。

案例：誤刪除了FAT32系統(tǒng)一個文件夾里面的某BBB文檔，里面有著重要的數(shù)據(jù)需要被恢復。

FAT32文件系統(tǒng)主要是DBR、DBR備份、FAT1、FAT2和數(shù)據(jù)區(qū)這五大塊構成[7]。在FAT文件系統(tǒng)中，通常相同文件的數(shù)據(jù)區(qū)都不是連續(xù)存在于相同的區(qū)域，而是劃分成若干份，由一條數(shù)據(jù)鏈聯(lián)系在一起，簇鏈中的每個FAT項記錄著接下來簇的簇位置，而FAT表就是記錄這些文件所占用簇大小及位置的存在。即一個文件所使用的空間由多個簇構成。可以通過查找當前文件所在的簇號，為實現(xiàn)數(shù)據(jù)恢復提供思路[8]。

步驟一：通過WinHex軟件打開該磁盤，然后跳轉到誤刪除文件的上一級文件夾（目錄項）。如圖4所示，可以知道被刪除后的文件文件名第一位會被E5代替，其他內容不變，這里看到不止一個E5出現(xiàn)，但是經過觀察分析可以得出只有圖上第二個標出的E5這一行才是真正想要找到的文件。

步驟二：讀出誤刪除文件數(shù)據(jù)所在的位置、大小和狀態(tài)。

從圖4可以得出，該文件的類型是TXT文檔，文件的起始是“0000000DH”（13）簇，大小是“00000154H”（340）bit。

步驟三：跳轉到文件所在數(shù)據(jù)區(qū)。

點擊WinHex的跳轉指令，跳轉到第13號簇，并且選中該扇區(qū)的前340個bit，即該文件的內容數(shù)據(jù)，如圖5所示。

步驟四：復制數(shù)據(jù)完成恢復。

按組合鍵進行數(shù)據(jù)另存為，選擇一個其他位置進行保存，另存為文件名是“BBB.TXT”，這時就可完成刪除文件的找回。（這里要注意的是：文件保存時的后綴需要和原文件一致）

5 結語

掌握磁盤的分區(qū)結構以及不同系統(tǒng)的文件存儲基本原理，再利用Winhex軟件工具，手動操作可以快速恢復被誤刪除的文件。由于操作工具，操作過程，操作手段的特殊性，數(shù)據(jù)恢復技術的用途很廣，文中只探討了FAT32系統(tǒng)下的誤刪除快速恢復方法，針對其他系統(tǒng)下的文件快速恢復還有待進一步研究。

參考文獻：

[1]劉偉，數(shù)據(jù)恢復技術深度揭秘[M].北京：電子工業(yè)出版社，2016.

[2]薄光明.計算機數(shù)據(jù)恢復技術研究[J].科技創(chuàng)新與應用，2018（24）：135-136.

[3]鮑麗春.計算機數(shù)據(jù)恢復技術探討[J].情報理論與實踐，2012，35（1）：120-122.

[4]蘇神保，劉丹，基于Winhex的exFAT文件系統(tǒng)結構研究[J].辦 公自動化，2019，24（2）：28-30.

[5]史春水，劉思磊.NTFS文件系統(tǒng)中用WinHex手動恢復文件的研究[J].電腦知識與技術，2020，16（9）：36-38.

[6]賴偉洪，基于Winhex手動實現(xiàn)被刪除文件的恢復[J].計算機光盤軟件與應用，2012，15（14）：37-38.

[7]張越，淺談Winhex對FAT32文件系統(tǒng)數(shù)據(jù)恢復的幾種方法[J].數(shù)字化用戶，2017，23（44）：253.

[8]汪中夏，劉偉，數(shù)據(jù)恢復高級技術[M].北京：電子工業(yè)出版社，2006.

【通聯(lián)編輯：代影】

作者簡介：莊文學（1980-），男，講師，碩士，主要研究方向：無線傳感網(wǎng)、數(shù)據(jù)恢復。