計算機數據恢復技術研究

林我建

關鍵詞：計算機；數據恢復技術；數據損壞

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2022）36-0082-03

隨著計算機科技的不斷發展，個人工作學習、企業生產制造甚至是國家政府機構政務服務中，計算機的使用頻率都得到了不小的提高，在給人們的日常工作生活帶來巨大便捷的同時，其數據存儲量過大造成的計算機數據丟失或損壞的頻次也越來越高，對數據保存、企業生產研究的負面影響不可忽視。因此，本文對計算機數據恢復技術的探討和研究，也就具備重要理論意義和現實價值。

1 數據存儲結構原理

在借助計算機恢復技術使計算機內部存儲的數據信息得到良好恢復前，我們首先應該準確科學地了解計算機數據的存儲結構模式及其工作原理。在計算機數據存儲結構過程中，未正式投入使用的硬盤設備往往需要先經過低級格式化、分區、高級格式化等工序后才能進一步儲存相關數據，其中，低級格式化主要是對硬盤的磁道和扇區等進行劃分，圖1為低級格式化過程中硬盤存儲結構劃分圖，從而更加方便數據的分區儲存。其次，分區主要是指對物理硬盤設備從邏輯角度進行一定劃分，將設備劃分為多個區域，實現計算機操作系統對硬盤設備的智能化管理和數字化管控，更加方便硬盤使用者對硬盤內部存儲數據信息進行控制與管理。高級格式化主要是將硬盤設備分區空間按照計算機存儲數據的具體類別，以一定的規則進行存儲。

FAT文件在硬盤分區空間系統中的存儲中，高級格式化主要是指將FAT文件系統地劃入并寫入設備的引導扇區文件分配表上，完成文件目錄表和數據區的形成，也就完成了硬盤設備五個部分的劃分，圖2即為高級格式化過程中硬盤設備的存儲結構圖。由圖2 可知，硬盤的第一個扇區作為設備數據存儲過程中的主引導扇區，主要包含主引導記錄部分和分區表部分兩大內容，主引導記錄部分主要是硬盤分區的程序代碼，承擔著硬盤中操作軟件引導的基本職責，而操作系統則進一步與引導區連接，同樣包含了操作系統引導部分和分區參數的記錄模塊部分，其中，操作系統的引導部分主要是負責硬盤設備中計算機存儲文件是否為引導文件的判斷，如果存儲進入的文件為引導文件，則進一步將文件讀入內存，并將其控制權和管理修改權賦予該文件，而分區參數模塊則主要是眾多的信息參數進行分區記錄，包括了分區的起始部分和結束部分，扇區進一步記錄著文件數據的存儲格式、根目錄大小甚至是FAT文件的個數等諸多內容。文件分配表是計算機操作系統中文件系統的重要內容，主要為冗余結構設置模式，一個為另一個的備份，便于實現數據恢復。盡管硬盤設備上的文件被分成多個小段，但文件與文件之間處于相互聯系和相互依存狀態，也就能夠有效保證計算機操作系統準確對各類文件進行高效率讀取和存儲。在FAT分區后，目錄區域模塊中存放文件名和文件實際存放的數據區域中第一個族的族號信息等，進而能夠通過多種技術的配合，實現計算機信息的儲存和提取。

2 計算機數據損壞分析

計算機數據損壞類型主要包括硬盤數據損害常見的硬件故障和硬盤數據損害常見的軟件故障兩大部分內容，其中，硬盤數據損壞常見的硬件故障原因是多元的，最常見是在外界環境條件處于嚴重震動狀況下的硬盤讀寫磁頭的損壞，該類型的磁頭損害往往使硬盤設備不能夠被識別。同時，硬盤接口故障、主板被燒甚至是芯片損毀、電源供應過程中出現故障等導致硬盤出現問題，都是硬盤中數據出現損害的重要硬件故障類型。此外，硬盤存儲數據過程中存在著緩存故障時，同樣也會進一步導致計算機處于死機狀態，或使計算機系統出現亂碼等諸多情況。硬盤數據損壞過程中，常見的軟件故障類型同樣多種多樣，既包含了人為對數據信息操作過程中的操作因素，也包含了計算機系統被外界病毒入侵甚至是被惡意程序侵占之后導致的諸多故障，該類故障都會進一步使計算機硬盤的數據處于損壞狀態。此外，最常見的計算機系統硬盤軟件故障即為計算機使用者誤刪除文件，或是將文件進行格式化。當出現該類故障時，往往表現為計算機系統中存儲的數據信息無法得到正常進入，也就不能對應相應文件進行讀取，或者是使文件處于丟失狀態或亂碼狀態。

3 數據損壞類型及相關恢復技術

根據計算機網絡信息存儲過程中數據的損壞類型，將數據損壞分為硬盤DBR區域的損害、文件的刪除及恢復損害以及硬盤重分區過程或者是分區表損壞而導致的數據損壞三大種方式。

以硬盤DBR損壞為例分析可知，計算機操作系統能夠直接訪問的硬盤扇區即為DBR區，該類扇區中主要包括了BPB部分和引導程序部分，BPB部分主要是對硬盤操作系統的扇區主要參數界面記錄，包括其起始扇區和結束扇區，也包括了儲存于該扇區中內部文件的儲存格式、根目錄參數信息等。引導程序部分則主要是對操作系統所訪問的MBR扇區中的文件進行判斷，當將計算機操作系統的權利交付給引導程序部分時，引導程序部分能夠借助取軟件運行實現本分區是不是引導分區的判斷，引導程序最終判別操作系統所進入的扇區為引導分區時，就可將相關數據讀入內存，并進一步將控制權交給該文件，進行文件數據操作。在該扇區運行過程中，DBR操作系統中的相關運行過程至關重要，當DBR操作系統遭到外界外力損害或是內部物軟件攻擊時，計算機信息系統將出現不能正常啟動的情況，因此，操作系統首先應該做好備份，保障計算機數據能夠在出現問題后利用備份實現數據恢復、硬盤重分區或者是分區損害而導致的數據恢復。

一般而言，儲存數據的硬盤重分區或分區表損壞，主要損害原因包括了人為因素和外界病毒入侵導致的硬盤邏輯零扇區被修改兩種情況，針對上述兩種情況下硬盤分區或分區表損害造成的數據恢復，可以使用針對底層數據恢復的專用WINHEX軟件。圖3 即為WINHEX數據恢復軟件啟動界面。

硬盤的第一個扇區包含著硬盤中最重要的數據

（1）主引導扇區介紹

主引導記錄（446字節）（0000 – 01BD）

分區表項1（16字節）（01BE – 01CD）

分區表項2（16字節）（01CE – 01DD）

分區表項3（16字節）（01DE – 01ED）

分區表項4（16字節）（01EE – 01FD）

結束標志（2字節“55 AA”）（01FE 01FF）

（2）主分區表（DPT） （3）針對上圖DPT的信息，判斷各分區的大小和

起始位置：

在WINHEX軟件中，信息以字節為單位，即兩位十六進制為一個數據。并且低位在前，高位在后。數據塊的信息是以反向的方式書寫。

由此，主分區（DPT）表信息，包含的分區信息表示如下：

第一個分區的起始位置：72 74 43 20 偏移量（決定分區大小）：6C 41 2B 6C

第二個分區的起始位置：73 65 72 20 偏移量（決定分區大小）：74 72 61 74

有了以上的基礎，我們就可以進一步學習使用WINHEX，恢復分區表的故障。

4 實際應用

就現階段而言，我國較為常用的數據恢復軟件主要分為兩種：

（1）圖形界面的數據恢復軟件

此類軟件圖形界面操作性較強，不需要專業的計算機知識。常見的有easy recovery，Final data，recover?my files 等不同類型的軟件工具，具備不同的恢復效果。

（2）基于底層數據恢復的軟件

此類軟件為專業性較強軟件，必須要有一定的計算機基礎才可以學習使用，有著強大的數據恢復功能。常用底層恢復數據軟件有R-Stiao、WINHEX。

其中，WINHEX是基于十六進制編輯器為核心的數據恢復軟件，具有強大的數據恢復功能，不僅能夠恢復數據信息，還能分區表出現損壞，電腦就識別不到硬盤，各種類型的文件打不開，都可以使用WIN?HEX進行恢復。

那么如何使用WINHEX恢復分區一個分區受損的硬盤呢？

我們拿一個直接分兩個區的硬盤（不用考慮EBR）為例操作。首先把DPT中兩個分區的起始位置與偏移量用0填充，此時硬盤無法使用。

打開WINHEX軟件，第一個分區標項（也就是用來描述C盤的）。首先，在第1個字節處（0扇區倒數第五行，倒數第二個字節）填上分區引導標志，因為C盤是活動分區，所以填上80。接著是第2、3、4字節（本分區起始磁頭號、扇區號、柱面號），填上：01 01 00。第5字節是分區類型符0B是FAT32，07是NTFS。第6、7、8字節填什么都可以。第9、10、11、12字節，本分區之前已用了的扇區數，也就是MBR所占用的扇區數是63。但是要將63轉為十六進制數是3F，不夠四個字節前面加零，也就是00 00 00 3F，再將此數從右向左依次序反過來就是3F 00 00 00。第13、14、15、16 字節是本分區的總扇區數，也就是C盤的大小，這就要通過稍微一點點計算來得到了。因為C盤是從第63個扇區開始，而C盤后面緊接著的是EBR，所以用EBR所在的第一個扇區數減去63就是C盤的大小。EBR的結束標志也一定是55AA，那么，只要找到這個結束標志，再看看這個扇區是不是EBR。單擊“搜索”——“查找十六進制數值……”，然后出來一個對話框，在文本框中輸入“55AA”，搜索框中選“全部”，然后選中“條件”，把偏移量設置為“512=510”。再單擊“確定”。首先找到第一個“55AA”，羸弱看到，個扇區在第63個扇區上，并不是要找的EBR，再按F3繼續查找，EBR的結構和MBR的結構是一樣的，所以在倒數第五行倒數第二個字節應該是0001，并且前446個字節應該是0，終于找到了真正的EBR，在1435392 扇區，用1435392減去63，得到1435329，再轉為16進制，就是15E6C1，將他倒轉過來就是C1E61500，這就是C 盤的大小。這樣，第一個分區表項填寫完畢。

5 結論

計算機恢復技術為保障人們的正常工作、生活提供助力。本文在探究數據存儲結構原理的基礎上，對計算機數據損害過程分析，進一步對計算機數據損害類型和對應的數據恢復技術進行研究，最后以實例研究分析方法論述了計算機數據回復的技術應用，為更好地利用計算機數據恢復技術造福企業和民眾提供更多思路。