基于WINHEX的數據恢復

劉生輝++呂爽++王憶慈++周慧

摘要：在信息化進程高速發展的現代社會，人們的日常衣食住行都是離不開電腦的。電子數據存儲不同于紙質數據存儲，它不論經過多少年其中的數據依然是完整可讀的，但依然會因為諸多原因，例如存儲介質損壞、誤操作等導致數據丟失。數據恢復可以很好的幫我們找回我們丟失的數據。

關鍵詞：數據恢復；Winhex；數據存儲

中圖分類號：TP309.3 文獻標識碼：A 文章編號：1007-9416（2017）10-0201-02

Winhex是一款功能十分強大的軟件，占用內存小且對計算機的配置要求十分低。它以通用的 16 進制編輯器為核心。在計算機取證、數據恢復等方面作用十分顯著。

信息技術高速發展的今天，信息安全越來越受到重視，社會對信息安全的需求也日益擴大。掌握一門數據恢復的技巧十分必要。

1 數據恢復原理

數據是存儲于硬盤之上的。一塊硬盤在其出廠的時候是完全空白的，將其分區、格式化后還需安裝操作系統才可正常使用。

1.1 硬盤劃分及存儲

要明白數據存儲及恢復的原理，就要先明白硬盤上數據存儲的原理。硬盤一般劃分為四部分。分別是主引導扇區MBR、文件分配表FAT、目錄區DIR和數據區Data。

1.1.1 主引導扇區

主引導扇區在一個硬盤中是唯一的，它位于整個硬盤的第一個扇區。按照C/H/S地址描述，它位于0柱面0磁頭1扇區；按照LBA地址描述，它位于0扇區。主引導扇區是一個特殊而重要的扇區，它分為硬盤主引導記錄、windows磁盤簽名、分區表。主引導扇區以55 AA為結束標志。

1.1.2 文件分配表

文件分配表是一個文件尋址系統。FAT文件系統包括保留扇區、FAT區域、根目錄區域和數據區域。

保留扇區位于最開始的位置，第一個保留扇區是分區啟動記錄，包括輸入輸出參數塊的區域。

FAT區域則是分區信息的映射表。通常情況下FAT區域用來指示簇的存儲方式。

數據區域占據了分區的絕大部分，是文件和目錄數據的實際存儲區域。

1.1.3 目錄區

根目錄區DIR可以在分區中的任意位置，其起始位置是由引導扇區給出的。根目錄區記錄著每個文件的文件名、擴展名、起始單元等。操作系統在讀寫文件時，根據目錄區中的內容，結合文件分配表可找出文件的具體位置，然后讀取內容。

1.1.4 數據區

數據區DATA是數據存儲區，占據硬盤的絕大部分空間。通常所說的格式化并沒有清除數據區的內容，只是重寫了文件分配表。分區則是修改主引導扇區和操作系統引導扇區，數據區的內容并沒有被改變。

1.2 數據恢復原理

可以把我們的電腦看作一本書，那么文件分配表就是這本書的目錄。當文件分配表損壞時，相當于這本書的目錄被人撕下，但書真正的內容卻是完好的。只是在沒有目錄指引的情況下我們無法直接的找到我們想找的內容的位置，只能依照記憶或手動去翻找。刪除文件的操作是在文件分配表前做一個代表此文件已被刪除的標志，則系統也會默認此文件已被損壞。格式化的操作與刪除類似，也是在文件分配表中的該文件前加刪除標志。區別只在于刪除是針對單一文件的操作，而格式化針對的整個硬盤。這種操作并非不可逆，同樣是可恢復的。

2 系統框架設計

（1）在WINHEX中打開需要恢復的文件所在的硬盤；（2）讀取主引導區的信息，從分區表中獲取需要恢復的文件的分區參數值；（3）根據該參數值轉至需要恢復的文件所在的扇區，讀取BPB參數值；（4）計算目錄區位置，找出需要恢復的文件；（5）獲取文件大小、起始簇；（6）填寫FAT；（7）保存數據。

3 系統實現

原文件（如圖1）。

恢復界面（如圖2）。

恢復界面（如圖3）。

4 結語

本文講解了基于WINHEX的數據恢復技術的研究背景、研究目的和意義、研究內容、實驗原理。經試驗證明利用WINHEX進行數據恢復操作試驗成功。

參考文獻

[1]戴士劍，涂彥暉.數據恢復技術（經典重現版）[J].計算機安全，2014，（06）：44.

[2]馬林.數據重現---文件系統原理精解與數據恢復最佳實踐[M].北京：清華大學出版社，2009：133-134.

[3]劉偉.數據恢復技術深度揭秘[M].北京：電子工業出版社，2010.endprint