劉生輝++呂爽++王憶慈++周慧

摘要：在信息化進(jìn)程高速發(fā)展的現(xiàn)代社會(huì)，人們的日常衣食住行都是離不開(kāi)電腦的。電子數(shù)據(jù)存儲(chǔ)不同于紙質(zhì)數(shù)據(jù)存儲(chǔ)，它不論經(jīng)過(guò)多少年其中的數(shù)據(jù)依然是完整可讀的，但依然會(huì)因?yàn)橹T多原因，例如存儲(chǔ)介質(zhì)損壞、誤操作等導(dǎo)致數(shù)據(jù)丟失。數(shù)據(jù)恢復(fù)可以很好的幫我們找回我們丟失的數(shù)據(jù)。

關(guān)鍵詞：數(shù)據(jù)恢復(fù)；Winhex；數(shù)據(jù)存儲(chǔ)

中圖分類(lèi)號(hào)：TP309.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）10-0201-02

Winhex是一款功能十分強(qiáng)大的軟件，占用內(nèi)存小且對(duì)計(jì)算機(jī)的配置要求十分低。它以通用的 16 進(jìn)制編輯器為核心。在計(jì)算機(jī)取證、數(shù)據(jù)恢復(fù)等方面作用十分顯著。

信息技術(shù)高速發(fā)展的今天，信息安全越來(lái)越受到重視，社會(huì)對(duì)信息安全的需求也日益擴(kuò)大。掌握一門(mén)數(shù)據(jù)恢復(fù)的技巧十分必要。

1 數(shù)據(jù)恢復(fù)原理

數(shù)據(jù)是存儲(chǔ)于硬盤(pán)之上的。一塊硬盤(pán)在其出廠(chǎng)的時(shí)候是完全空白的，將其分區(qū)、格式化后還需安裝操作系統(tǒng)才可正常使用。

1.1 硬盤(pán)劃分及存儲(chǔ)

要明白數(shù)據(jù)存儲(chǔ)及恢復(fù)的原理，就要先明白硬盤(pán)上數(shù)據(jù)存儲(chǔ)的原理。硬盤(pán)一般劃分為四部分。分別是主引導(dǎo)扇區(qū)MBR、文件分配表FAT、目錄區(qū)DIR和數(shù)據(jù)區(qū)Data。

1.1.1 主引導(dǎo)扇區(qū)

主引導(dǎo)扇區(qū)在一個(gè)硬盤(pán)中是唯一的，它位于整個(gè)硬盤(pán)的第一個(gè)扇區(qū)。按照C/H/S地址描述，它位于0柱面0磁頭1扇區(qū)；按照LBA地址描述，它位于0扇區(qū)。主引導(dǎo)扇區(qū)是一個(gè)特殊而重要的扇區(qū)，它分為硬盤(pán)主引導(dǎo)記錄、windows磁盤(pán)簽名、分區(qū)表。主引導(dǎo)扇區(qū)以55 AA為結(jié)束標(biāo)志。

1.1.2 文件分配表

文件分配表是一個(gè)文件尋址系統(tǒng)。FAT文件系統(tǒng)包括保留扇區(qū)、FAT區(qū)域、根目錄區(qū)域和數(shù)據(jù)區(qū)域。

保留扇區(qū)位于最開(kāi)始的位置，第一個(gè)保留扇區(qū)是分區(qū)啟動(dòng)記錄，包括輸入輸出參數(shù)塊的區(qū)域。

FAT區(qū)域則是分區(qū)信息的映射表。通常情況下FAT區(qū)域用來(lái)指示簇的存儲(chǔ)方式。

數(shù)據(jù)區(qū)域占據(jù)了分區(qū)的絕大部分，是文件和目錄數(shù)據(jù)的實(shí)際存儲(chǔ)區(qū)域。

1.1.3 目錄區(qū)

根目錄區(qū)DIR可以在分區(qū)中的任意位置，其起始位置是由引導(dǎo)扇區(qū)給出的。根目錄區(qū)記錄著每個(gè)文件的文件名、擴(kuò)展名、起始單元等。操作系統(tǒng)在讀寫(xiě)文件時(shí)，根據(jù)目錄區(qū)中的內(nèi)容，結(jié)合文件分配表可找出文件的具體位置，然后讀取內(nèi)容。

1.1.4 數(shù)據(jù)區(qū)

數(shù)據(jù)區(qū)DATA是數(shù)據(jù)存儲(chǔ)區(qū)，占據(jù)硬盤(pán)的絕大部分空間。通常所說(shuō)的格式化并沒(méi)有清除數(shù)據(jù)區(qū)的內(nèi)容，只是重寫(xiě)了文件分配表。分區(qū)則是修改主引導(dǎo)扇區(qū)和操作系統(tǒng)引導(dǎo)扇區(qū)，數(shù)據(jù)區(qū)的內(nèi)容并沒(méi)有被改變。

1.2 數(shù)據(jù)恢復(fù)原理

可以把我們的電腦看作一本書(shū)，那么文件分配表就是這本書(shū)的目錄。當(dāng)文件分配表?yè)p壞時(shí)，相當(dāng)于這本書(shū)的目錄被人撕下，但書(shū)真正的內(nèi)容卻是完好的。只是在沒(méi)有目錄指引的情況下我們無(wú)法直接的找到我們想找的內(nèi)容的位置，只能依照記憶或手動(dòng)去翻找。刪除文件的操作是在文件分配表前做一個(gè)代表此文件已被刪除的標(biāo)志，則系統(tǒng)也會(huì)默認(rèn)此文件已被損壞。格式化的操作與刪除類(lèi)似，也是在文件分配表中的該文件前加刪除標(biāo)志。區(qū)別只在于刪除是針對(duì)單一文件的操作，而格式化針對(duì)的整個(gè)硬盤(pán)。這種操作并非不可逆，同樣是可恢復(fù)的。

2 系統(tǒng)框架設(shè)計(jì)

（1）在WINHEX中打開(kāi)需要恢復(fù)的文件所在的硬盤(pán)；（2）讀取主引導(dǎo)區(qū)的信息，從分區(qū)表中獲取需要恢復(fù)的文件的分區(qū)參數(shù)值；（3）根據(jù)該參數(shù)值轉(zhuǎn)至需要恢復(fù)的文件所在的扇區(qū)，讀取BPB參數(shù)值；（4）計(jì)算目錄區(qū)位置，找出需要恢復(fù)的文件；（5）獲取文件大小、起始簇；（6）填寫(xiě)FAT；（7）保存數(shù)據(jù)。

3 系統(tǒng)實(shí)現(xiàn)

原文件（如圖1）。

恢復(fù)界面（如圖2）。

恢復(fù)界面（如圖3）。

4 結(jié)語(yǔ)

本文講解了基于WINHEX的數(shù)據(jù)恢復(fù)技術(shù)的研究背景、研究目的和意義、研究?jī)?nèi)容、實(shí)驗(yàn)原理。經(jīng)試驗(yàn)證明利用WINHEX進(jìn)行數(shù)據(jù)恢復(fù)操作試驗(yàn)成功。

參考文獻(xiàn)

[1]戴士劍，涂彥暉.數(shù)據(jù)恢復(fù)技術(shù)（經(jīng)典重現(xiàn)版）[J].計(jì)算機(jī)安全，2014，（06）：44.

[2]馬林.數(shù)據(jù)重現(xiàn)---文件系統(tǒng)原理精解與數(shù)據(jù)恢復(fù)最佳實(shí)踐[M].北京：清華大學(xué)出版社，2009：133-134.

[3]劉偉.數(shù)據(jù)恢復(fù)技術(shù)深度揭秘[M].北京：電子工業(yè)出版社，2010.endprint