徐杰 占邵旻

摘    要： 本文对硬盘的结构和文件存储机制进行了分析，探究了硬盘的文件删除和数据恢复的原理，并介绍了常用的数据恢复软件。

关键词： 文件目录表    文件分配表    数据恢复    删除标记

硬盘具有容量大、价格便宜的特点，是我们存储数据的主要设备，但是硬盘中存储的数据在一些情况下可能被损坏，如果没有对数据进行备份，给个人和社会会造成很大的损失，因此硬盘数据的恢复很重要。本文针对其数据恢复原理进行了深入的探讨。

1.物理结构

硬盘主要由盘片和磁盘驱动器两部分组成，其中盘片是用来存储数据的，磁盘驱动器负责读取其中的数据。硬盘由多张盘片构成的，盘片由涂有磁性材料的铝合金构成的，一个盘片有上下两个面，从上至下的顺序自0开始编号，每个盘面对应一个读写磁头，磁头数等于盘面数。硬盘在使用之前要进行低级格式化，格式化后形成磁道，磁道从外向内自0开始编号，盘面上的同一磁道就构成一个圆柱，称为柱面。一个磁道被划分为许多大小相同的圆弧，每一段圆弧就是一个扇区，扇区是硬盘的最小物理存储单元，一个扇区是521字节。操作系统无法对数量众多的扇区进行寻址，对相邻的扇区组成一个簇，对簇进行寻址，簇由2n个连续的扇区构成，硬盘的容量是盘面数、磁道数、扇区数和512字节的乘积。磁盘驱动器[1][2]主要由读写磁头、主轴系统和定位驱动系统三部分组成，磁头负责读写盘面上的数据信息，主轴系统是固定多张盘片，并驱动它们以额定速度旋转，定位驱动系统驱动磁头运动沿盘面径向运动寻找目标磁道。

2.数据存储方法

硬盘在使用之前，进行分区和高级格式化，在硬盘上建立相应的数据存储结构。数据存储结构[3]包括主引导扇区（MBR）、DOS引导扇区（DBR）、文件分配表区（FAT）、文件目录表区（FDT）和数据区（DATA），实现对数据的存储与管理。主引导扇区位于整个硬盘的0磁头0柱面1扇区，包括主引导程序、分区表和结束标志字，由分区程序产生，它的主要作用是检查硬盘分区表是否正确及确定哪个分区为引导分区，并把该分区的启动程序调入内存加以执行。DOS引导扇区位于硬盘各分区的第一逻辑扇区，是操作系统可直接访问的第一个扇区，包括一个引导程序和一个本分区参数记录表（BPB）。DOS引导扇区由高级格式化程序产生，其作用是判断本分区根目录前两个文件是否为操作系统的引导文件。如果就把第一个文件读入内存，并把控制权交予该文件。文件分配表是用于文件索引和定位的一种链式结构，它记录了在数据区中全部簇的分配和使用情况，前两项是保留项，第三项开始记录簇的占用和使用情况，把分布硬盘不同位置上文件的占用簇连接起来，形成一个簇链。文件分配表有两个，文件分配表2是文件分配表1的备份。目录表位于文件分配表2之后，记录着每个文件的起始单元、文件的属性等，它的主要作用向操作系统提供文件的起始单元，操作系统再结合文件分配表确定位文件的位置。数据区主要负责硬盘中数据的存放，当数据复制到硬盘时，数据就存储在这个区中。

3.文件操作

在硬盘中对文件的存储是以簇为单位进行的，同一个文件的数据不一定完整地存放在一片连续的簇中。数据访问首先磁头主动寻找目标磁道，然后目标簇主动迎合磁头。磁头从当前磁道移动到目标磁道的时间称为寻道时间，磁头等待盘片从目标簇旋转到磁头下方所花的时间称为延迟时间，寻道时间、延迟时间和数据访问时间三者之和就是数据访问时间，数据访问时间越短，说明硬盘的性能越好。对硬盘上存储文件的主要操作有读文件、写文件和删除文件三种。

3.1读文件

读文件时，操作系统首先从FDT中读取该文件的文件名和首簇号，然后根据首簇号访问FAT，在FAT中获取文件占用其余簇的信息，两者相配合在DATA中读取文件的数据，直到遇到文件结束标志FFFFH，将目录项中的文件长度和实际读取的数据长度进行比较，两者一致，表明读取正确，该文件的读操作完成。

3.2写文件

写文件就是把文件存放到硬盘中相应的物理位置。保存文件时操作系统首先在FDT中找到空位置写入文件名、大小和创建时间等信息，然后在DATA中找到空闲位置来写入文件，接着将文件占用的第一个簇的首簇号和文件大小等信息写入FDT中，最后将文件占用其他簇的信息写入FAT中。

3.3删除文件

文件的删除是把FDT中该文件的第一个字符改成成E5H，就是对该文件目录项的文件名做了改写。E5H是一个删除标记，表示该文件的位置可以写入新的文件。文件在删除时，同时改写引导扇区的第二个扇区中表示该分区占用空间大小的相应信息，并对文件分配表中的相关项进行清零操作，这样簇链被剪断，但是文件中的数据还保存在数据区。以HELLO.TXT文件的删除为例，利用数据恢复软件WinHex查看删除前后该文件的数据存储结构。删除前后数据区的数据没有发生变化。这说明删除操作没有把数据真正删除掉，除非写入新的数据把原来的数据覆盖掉。

4.数据恢复策略

硬盘上数据丢失的原因与它的数据存储结构和数据相关操作原理有关，主要包括两个方面的原因：硬故障和软故障。只要真正存储数据的数据区没有被新的数据彻底覆盖，就可使采用相应的技术手段加以恢复。对于硬件故障，可以采用专用数据恢复硬件设备读取盘片上的数字信号，然后用相应的软件分析工具进行修复。对于软故障可以采用专业数据恢复工具来进行数据恢复。由于删除操作的第一步是给文件名加了一个删除标记E5H，第二步断开簇链，因此恢复对应也做两步工作。首先把文件名的删除标记修改成正常值，第二步把簇链给接上。簇链接上的过程非常复杂，可以利用数据恢复软件来自动实现。常用的数据恢复软件有EasyRecovery、WinHex、FinalData，其中EasyRecovery是利用Ontrack公司复杂的模式识别技术，找回分布在硬盘上不同区域的文件碎片，并根据统计信息对这些文件碎片进行重整，并在内存中建立一个虚拟文件系统，并列出文件和目录，进而找回文件。该软件还可以对分区和高级格式化后硬盘进行数据恢复。原理是FDISK分区操作只修改MBR和DBR，没有把数据从DATA中直接删除，而FORMAT操作：仅仅把FAT表清零，没有对DATA中的数据清零。由此可以得知，文件删除、分区和格式化操作，都不能把文件从硬盘上彻底地清除掉，原来的数据是可能被恢复的。

5.结语

当遇到硬盘数据被误删或者丢失的情况，要立即关机，不要在硬盘上进行任何操作，避免原数据被新写入的数据覆盖，导致无法恢复的现象发生。利用软件恢复数据，要深入了解各种文件系统和文件的数据存储结构，并熟练掌握数据恢复软件的原理和操作方法，从而有效地恢复数据，把损失降到最低。

参考文献：

[1]张尧学，史美林，张高.计算机操作系统教程[M].第三版.北京：清华大学出版社，2006（3）：52-58.

[2]朱亚飞.确保珍贵数据，移动硬盘存储安全解密[J].网络与信息，2010（1）：34-36.

[3]沈丹丹.计算机恢复数据解析[J].网络与信息，2013（4）：78-80.