摘要：當前社會已經(jīng)進入了信息化時代，我們平時的工作和生活已經(jīng)離不開計算機。數(shù)據(jù)存儲與之前相比也有了很大的不同，然而存儲介質損壞等不當操作時有發(fā)生，極易造成數(shù)據(jù)丟失，基于Winhex的數(shù)據(jù)恢復能夠使人們找回丟失的數(shù)據(jù)和文件，挽回因數(shù)據(jù)丟失而產生的各項損失。

關鍵詞：Winhex;數(shù)據(jù)恢復;分區(qū)恢復

中圖分類號：TP3 文獻標識碼：A

文章編號：1009-3044（2020）29-0042-02

伴隨著信息技術的快速發(fā)展，數(shù)據(jù)本身的重要性和安全問題越來越被人們所重視，數(shù)據(jù)恢復技術屬于數(shù)據(jù)安全的最后一道防線，因此，了解和掌握數(shù)據(jù)恢復技術有著非常重要的作用和意義。

1 Winhex簡介

Winhex屬于在Windows下運行的十六進制編輯軟件，具備健全的文件管理功能與分區(qū)管理功能，可以對文件簇鏈與分區(qū)鏈進行自動分析，對硬盤實施不同程度、不同方式的備份，甚至可以對整體硬盤進行克隆;可以對任意一種文件類型的二進制內容（利用十六進制顯示）進行編輯，該軟件的磁盤編輯器能夠對邏輯磁盤或者物理磁盤的任意扇區(qū)進行編輯，是一款對數(shù)據(jù)進行手工恢復的優(yōu)秀軟件。

2 數(shù)據(jù)恢復原理分析

數(shù)據(jù)恢復指的是利用技術手段，把無法獲取的或者無法訪問的數(shù)據(jù)恢復到能夠獲取的或者能夠訪問的數(shù)據(jù)狀態(tài)的過程。硬盤數(shù)據(jù)丟失屬于一個很復雜的問題，若想找回并且恢復文件系統(tǒng)誤格式化、誤刪除、損壞和分區(qū)信息損壞或者丟失等原因丟失的數(shù)據(jù)，則需要先對硬盤結構進行分析，了解各種文件系統(tǒng)[1]。

一個新硬盤必須在格式化和分區(qū)以后，才可以安裝操作系統(tǒng)并正常的使用。硬盤的0磁道0柱面1扇區(qū)是分區(qū)以后的主引導記錄（ MBR）所在位置。硬盤的主引導記錄總共有512個字節(jié)，引導程序為前面的446個字節(jié)，后面的64個字節(jié)是硬盤分區(qū)表（DPT），最后的兩個字節(jié)是分區(qū)的結束標志“55AA”。對MBR區(qū)的信息進行分析，可以對系統(tǒng)的文件類型、硬盤的起始位置、硬盤各個分區(qū)的大小、硬盤分區(qū)的數(shù)量等信息做出初始的判定。在主引導記錄遭受人為操作、病毒入侵等破壞以后，硬盤就不被操作系統(tǒng)識別，了解了主引導記錄MBR扇區(qū)結構以后，依據(jù)數(shù)據(jù)信息的特點，對分區(qū)的位置和大小進行再次推算，根據(jù)這個結構，再次構建一個MBR扇區(qū)，就可以恢復分區(qū)了。

在分區(qū)恢復、格式化以后就可以找到相對應的文件系統(tǒng)。依據(jù)分區(qū)大小，通常把分區(qū)分成四個主要部分：數(shù)據(jù)區(qū)DATA、根目錄DIR、文件分配表FAT以及DBR扇區(qū)。如果DBR扇區(qū)被損壞，系統(tǒng)就沒有辦法提取相關文件系統(tǒng)的數(shù)據(jù)管理方式和各個參數(shù)，導致整體文件系統(tǒng)的數(shù)據(jù)沒有辦法被讀取[2]。FAT表用作對文件系統(tǒng)之中的各個簇的分配狀態(tài)進行描述，除此之外，記錄各個文件夾或者文件分配的每一個簇之間的關系。一旦FAT表被破壞，數(shù)據(jù)就會遭遇很嚴重的破壞，因此，通常在對磁盤進行分區(qū)的時候，會對FAT進行備份。根目錄用作保存在根目錄下創(chuàng)建的文件和文件夾等目錄項，而文件和文件夾自身的數(shù)據(jù)保存于數(shù)據(jù)區(qū)之中。在文件系統(tǒng)分區(qū)中創(chuàng)建文件的時候，系統(tǒng)會先依據(jù)DBR扇區(qū)中的各個參數(shù)，對簇大小、根目錄的位置以及FAT表的大小等信息進行確立的時候。在硬盤中寫入文件的時候，系統(tǒng)會先在DIR空白區(qū)寫入創(chuàng)建時間、文件大小以及文件名稱等信息以后，隨后，在數(shù)據(jù)空白區(qū)寫入文件的實際內容，最后，把DIR寫人數(shù)據(jù)區(qū)初始位置。在DIR或者文件分配表遭遇破壞以后，系統(tǒng)就沒有辦法定位文件，即使各個文件的實際內容仍然處于數(shù)據(jù)區(qū)中，系統(tǒng)依然會認為不存在數(shù)據(jù)。在刪除文件的時候，實際保存文件內容的簇空間并未產生任何改變，僅是其相對應的目錄項與FAT表產生變化。格式化操作與刪除的操作類似，僅是對文件分配表進行操作，格清空文件分配表或者把全部文件都加上刪除標志，讓系統(tǒng)認定硬盤分區(qū)中沒有任何內容。格式化操作并未操作任何數(shù)據(jù)區(qū)，雖然目錄已經(jīng)不存在，然而，實際內容還存在，因此，這樣就有可能恢復數(shù)據(jù)。在格式化系統(tǒng)分區(qū)以后，雖然有新內容被拷貝，新數(shù)據(jù)僅是把分區(qū)以前的空間覆蓋掉，把新內容所占用的空間去掉，而分區(qū)剩余空間數(shù)據(jù)區(qū)中的無序內容依然可以被重新組織，讓數(shù)據(jù)得到恢復[3]。

3 使用Winhex恢復數(shù)據(jù)的方法

一般EBR（ Extended Boot Record）是一個與MBR（下文詳細介紹此概念）相對應的一個概念。MBR里的DPT區(qū)有64字節(jié)，其中每16個字節(jié)是一個分區(qū)的表項，一共可以描述4個分區(qū)。然而很多時候實際情況分區(qū)多于4個，這時候MBR的DPT無法描述，這個時候就需要用和MBR這一結構有些類似的分區(qū)結構EBR來進行說明。EBR-般不會遭遇破壞，或是被破壞的概率比較低，所以，在實際情況中較為常見的是修復MBR（MasterBoot Record）是在一個物理硬盤里排在最前邊的一個，通常它會存放著包括用于啟動硬盤的引導指令、分區(qū)表和硬盤正常的標志55AA等三部分在內的重要代碼，其作用是推動硬盤的正常工作，在硬盤的512字節(jié)里，其中第一部分占據(jù)了446字節(jié)，這部分被稱為MBR。它表示硬盤引導記錄只有一個。一個物理硬盤，可以根據(jù)你的實際需要，劃分為多個邏輯分區(qū)，這些邏輯分區(qū)在功用上近乎一個個獨立的物理硬盤，它們構成我們習慣里所說的C盤、D盤、E盤、F盤……這些邏輯盤由不同的文件管理系統(tǒng)（如FAT32、NTFS、EXT3-）對文件進行讀寫管理。DBR（DOS Boot Record），就是每個邏輯盤的最邊前的一個扇區(qū)里，用于引導和加載相應文件管理系統(tǒng)的一些系統(tǒng)代碼。每個邏輯盤上各有這樣的一套代碼系統(tǒng)。在MBR被破壞以后，通常僅損壞其中的分區(qū)信息，也就是主分區(qū)至擴展分區(qū)的分區(qū)鏈被破壞，但是并不會影響到邏輯分區(qū)，所以，僅需要把MBR中的分區(qū)信息恢復，其余分區(qū)通過分區(qū)表所提供的鏈自然就可得出，即可成功的恢復數(shù)據(jù)[4]。比如，某硬盤（硬盤1）的MBR因為病毒被刪除或者被破壞。把受損硬盤當作從盤掛載至正常運轉的操作系統(tǒng)之中，恢復過程總體上分為兩部分。

3.1對主引導程序代碼進行恢復

使硬盤具有可引導的功能，是主引導程序代碼的作用。恢復引導代碼較為簡單，應用Winhex復制出正在運行的系統(tǒng)盤（硬盤0）之中的引導代碼。

1）應用Winhex把系統(tǒng)盤的分區(qū)表打開，把引導代碼選中，并且復制。

2）切換至受損壞的硬盤窗口，在零扇區(qū)的第1個字節(jié)開始位置寫入復制的引導代碼。

由此，就復制了一個正常系統(tǒng)盤中的引導代碼，成功恢復了MBR的前446字節(jié)。

3.2 把分區(qū)表恢復

在64b的分區(qū)信息之中，最為關鍵的就是起始扇區(qū)的分區(qū)大小（占4字節(jié)）與LBA地址（占4b），通常，硬盤具備1個擴展分區(qū)與1個主分區(qū)，擴展分區(qū)之中又包含了多個邏輯分區(qū)，硬盤分區(qū)軟件一般會為MBR留存63個（0- 62）扇區(qū)，所以，63是主分區(qū)起始扇區(qū)的LBA地址。必須找到首個EBR以后，才可以計算出主分區(qū)與擴展分區(qū)的大小。

首個EBR的LBA地址-63=主分區(qū)大小

硬盤總大小首個EBR的LBA地址=擴展分區(qū)大小

可搜索邏輯驅動器的起始扇區(qū)DBR確立分區(qū)表之中的分區(qū)種類。DBR之中偏移量Ox03到OxOA位置是文件系統(tǒng)的標志，通過它能夠對分區(qū)類型進行確立（其中擴展分區(qū)的分區(qū)種類是05）。

在對主分區(qū)與擴展分區(qū)的基本信息進行確立以后，可應用WinHex在MBR中輸入計算出的分區(qū)信息。

4 結束語

應用Winhex恢復硬盤數(shù)據(jù)，是一種手工恢復數(shù)據(jù)方法，有著較高的數(shù)據(jù)恢復率，能夠把利用某些軟件無法找回的數(shù)據(jù)找回。因為此種恢復數(shù)據(jù)方法較為復雜，需要操作人員了解和掌握硬盤數(shù)據(jù)存儲等有關知識，并且要隨時清楚自己正在操作的內容和操作以后的后果，特別是要小心某些破壞性操作對數(shù)據(jù)造成的不可逆損傷，因此建議在操作前對整個硬盤進行備份。

參考文獻：

[1]危蓉，麥永浩，基于WinHex手機圖片信息的恢復與取證[J].信息安全研究，2016，7（4）：44-48.

[2]劉洋洋.Winhex在硬盤數(shù)據(jù)恢復中的應用研究[J].沈陽工程學院學報（自然科學版），2013，9（1）：74-77.

[3]蔣波，付尚樸，孫琛.用WinHex分析FAT32的磁盤存儲結構[J].宜賓學院學報，2006（6）：81-82.

[4]劉生輝，呂爽，王憶慈.基于WINHEX的數(shù)據(jù)恢復[Jl.數(shù)字技術與應用，2017（10）：211-212.

【通聯(lián)編輯：張薇】

作者簡介：吳曉清（1983-），女，湖北隨州人，碩士，研究方向：計算機應用技術。