FAT32系统误删除数据的快速恢复方法研究

2020-12-28庄文学马昊

电脑知识与技术 2020年33期

关键词：数据恢复

庄文学马昊

摘要：基于Winhex软件，该文介绍了数据恢复的原理，针对FAT32系统误删除数据的操作，提出一种数据快速恢复的方法。通过实验证明可以有效解决误删除类数据恢复问题，该方法可以提高数据恢复的速度和准确度。

关键词：数据恢复;Winhex;误删除

中图分类号：TP316 文献标识码：A

文章编号：1009-3044（2020）33-0069-02

开放科学（资源服务）标识码（OSID）：

1 引言

随着信息化程度的不断加深，人类对信息资源的依赖程度不断增长，用户的核心数据无疑是最宝贵的。而信息设备的普及，淘汰，损坏设备的增多，导致信息损坏和丢失越发严重，数据恢复技术日益重要。数据损坏的原因有很多，主要分为软件和硬件两种。比如：人为误操作造成数据丢失，病毒破坏引导扇区造成数据丢失，误删除文件或者误格式化分区等，磁盘坏道，主板损坏等等。其中大部分可以通过专门的数据恢复软件进行修复。

目前数据恢复技术主要分为：软恢复（文件系统问题），硬恢复（硬件恢复），大型数据库系统，异型系统数据恢复，数据覆盖后的恢复等[1]。其中软恢复指的是与文件系统有关的数据丢失。硬盘数据的写入和读取都是通过文件系统来实现的。对于磁盘的文件系统被破坏，这方面的研究工作起步较早，国内外研究的都比较深，主要的难点在于：文件碎片的处理，文件被覆盖，高级加密口令遗失等，其他一般情况下都是可以通过数据恢复软件找回的。如果保存数据的存储介质出现了物理故障，比如盘体有坏道，电路板芯片烧坏，盘体异响等故障，导致用户取不出里面的数据，在这种情况下对该介质中丢失的数据进行恢复，就称为硬恢复;硬恢复难度较大，如果是内部盘片数据区严重划伤，会造成数据彻底丢失，而无法恢复数据，一般情况还是能恢复大部分数据的[2]。

文中所介绍的数据恢复技术属于软恢复的范畴，针对FAT32系统误删除数据的情况，进行数据恢复的研究，提出一种快速恢复数据的方法。

2 Winhex介绍

Winhex是一款功能十分强大的数据恢复软件，占用内存小，主要用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时还可以看到其他程序隐藏起来的文件和数据。它是一款十六进制磁盘编辑软件，用它来进行数据恢复时，可以很方便地察看硬盘的数据，专门用于从底层检查和修复文件，硬盘损坏等。Winhex还可以分类型地选择恢复数据，可以极大地提高数据恢复的效率，节省时间[3]。

WinHex打开磁盘，程序主界面如图1所示，使用过程中要注意几个常用的功能区，具体功能含义如下：

1）数据解释器：将磁盘里的十六进制字符转换成习惯的十进制数。对数据进行修改时可以在数据解释器的相应位置填上正确十进制值，然后回车进行更改。

2）当前所在扇区和总扇区：帮助快速确认当前位置，单击此位置也可以完成跳转扇区。

3）搜索指令：有些格式扇区存在规律特征，此指令可以帮助精确快速查找到重要的信息（快捷键按< Ctrl+Alt+X>组合键），如果第一个搜索到的不是，可以按F3进行继续搜索操作。

这里注意一点：利用Winhex软件对硬盘数据进行清零操作时，一定要慎用。因为此操作是直接对物理扇区的数据区直接进行改写操作，当用十六进制00对所有字节空间进行填写时，不需要保存就会直接对扇区进行改写，即原磁盘的对应扇区将会即时清除;另一方面，清零操作会对硬盘的每个扇区中的每个字节空间都要进行数据的写入，耗时也比较多，依据机器速度的不同，一般情况下Imin大约会清除15GB的磁盘空间。

3 硬盘数据结构存储原理

数据是存储在硬盘上，一块新盘在使用之前先进行分区处理，将其划分为大小不一的逻辑区域：一般分为四个部分，由主引导分区MBR、引导记录扇区DBR，DIR目录区和Data数据区四部分组成[3]。所有的分区都有唯一的起始位置，分区是连续扇区。

MBR也叫主引导记录如图2所示，一般位于硬盘的0柱面，0磁头，1扇区，大小为512字节，常用来记录每个分区的起始位置和大小。MBR中各组成部分大小是可变的，由不同的分区软件决定，一般前三部分占用446字节是固定的，后面接64字节的分区表和2字节的结束标志。

分区表位于0号扇区，分区表在扇区中的偏移量为1BEH-1FDH，共64个字节称为DPT，它记录着硬盘中各分区的文件系统类型、起始和大小等信息，一块硬盘最多只可分为4个分区即3主l扩或4主分区等。EH位为引导标识，其中数值是00时表示非活动分区，数值是80时表示活动分区;2H位为该分区的类型描述（数值07时该分区文件系统为NTFS，OB或OC时为FAT32，OF时为扩展分区）;6H-9H位为分区的起始扇区（DBR或EBR所在位）;AH-DH位为分区大小（一般MBR上的分区大小比DBR中的多1）。如果该数据被清除，其他数据不变的情况下，当重新挂载此磁盘时，显示为“未分配”状态。结束标识在扇区的偏移位置为1FEH-IFFH，即最后两个字节“55 AA”，标志着扇区的结束。如果一块MBR扇区其他数据都正常仅结束标识“55 AA”被删除被修改，该磁盘分区仍是无法读取的，显示“没有初始化”状态。

DBR和操作系统引导有关，如图3所示，主要功能是引导系统和保存文件参数，一般位于硬盘的0磁道1柱面1扇区，DBR-旦被破坏，整个系统将无法正常运行。DBR大小为1個扇区，占512字节，由跳转指令、OEM代号、BPB、引导程序和结束标识五部分组成。其中跳转指令的作用是跳到自举代码执行引导程序，DBR结束标志为“55 AA”，与MBR的相同。操作系统管理分区文件所需的重要参数都存放在BIOS里，如扇区字节数，簇扇区数，磁道扇区数等，这些参数的作用范围仅限于DBR所在的分区，因此各分区均用各自的DBR存放BIOS参数。

4 FAT32系统误删除数据的快速恢复

在日常生活中经常性地会删除一些不重要文件，以此来减少硬盘存储压力，增大磁盘的可用空间.但是往往会不小心误删除一些重要文件，引起不必要的损失。下面通过实际案例进行数据恢复，解决FAT32系统文件误删除的问题。

案例：误删除了FAT32系统一个文件夹里面的某BBB文档，里面有着重要的数据需要被恢复。

FAT32文件系统主要是DBR、DBR备份、FAT1、FAT2和数据区这五大块构成[7]。在FAT文件系统中，通常相同文件的数据区都不是连续存在于相同的区域，而是划分成若干份，由一条数据链联系在一起，簇链中的每个FAT项记录着接下来簇的簇位置，而FAT表就是记录这些文件所占用簇大小及位置的存在。即一个文件所使用的空间由多个簇构成。可以通过查找当前文件所在的簇号，为实现数据恢复提供思路[8]。

步骤一：通过WinHex软件打开该磁盘，然后跳转到误删除文件的上一级文件夹（目录项）。如图4所示，可以知道被删除后的文件文件名第一位会被E5代替，其他内容不变，这里看到不止一个E5出现，但是经过观察分析可以得出只有图上第二个标出的E5这一行才是真正想要找到的文件。

步骤二：读出误删除文件数据所在的位置、大小和状态。

从图4可以得出，该文件的类型是TXT文档，文件的起始是“0000000DH”（13）簇，大小是“00000154H”（340）bit。

步骤三：跳转到文件所在数据区。

点击WinHex的跳转指令，跳转到第13号簇，并且选中该扇区的前340个bit，即该文件的内容数据，如图5所示。

步骤四：复制数据完成恢复。

按组合键进行数据另存为，选择一个其他位置进行保存，另存为文件名是“BBB.TXT”，这时就可完成删除文件的找回。（这里要注意的是：文件保存时的后缀需要和原文件一致）

5 结语

掌握磁盘的分区结构以及不同系统的文件存储基本原理，再利用Winhex軟件工具，手动操作可以快速恢复被误删除的文件。由于操作工具，操作过程，操作手段的特殊性，数据恢复技术的用途很广，文中只探讨了FAT32系统下的误删除快速恢复方法，针对其他系统下的文件快速恢复还有待进一步研究。

参考文献：

[1]刘伟，数据恢复技术深度揭秘[M].北京：电子工业出版社，2016.

[2]薄光明.计算机数据恢复技术研究[J].科技创新与应用，2018（24）：135-136.