屠浩毓

摘 要 文章针对数据恢复技术教学中，实训设备配置昂贵，硬件耗损过高，教学灵活度不足等问题，通过实例阐述了可以运用VMware虚拟机技术，让用户在自定义配置的虚拟系统中运行相关数据恢复工具软件，模拟数据恢复的过程，使数据恢复技术在教学上达到理论与实践相结合，提高教学效率和效果的观点。

关键词 数据恢复 VMware虚拟机 WinHex DiskGenius 文件系统。

中图分类号：G633.67 文献标识码：A 文章编号：1002-7661（2016）20-0009-02

在数据恢复技术中，Windows系统的MBR磁盘主引导记录结构与作用，硬盘主分区表和扩展分区表的结构，FAT16、FAT32、NTFS文件系统的结构与工作原理等内容是进行数据恢复技术学习和操作必备的知识点。

在数据恢复学习过程中，除了要掌握理论知识以外，还需要大量的实践操作练习。这样的实操练习会对计算机硬盘进行大量的读取、修改、保存的操作，操作过程中稍有不慎，将会对计算机系统造成破坏性的影响，甚至引起计算机硬件的损坏。

现在不少学校的教学机房为了防止网络病毒的攻击或避免学生在使用的过程中因为误操作而造成的系统崩溃等问题，都在计算机中安装了系统还原软件，这些系统还原软件时常会与教学专用系统或软件出现不兼容的现象，导致实验无法进行。有时因教学所需，要使用新的操作系统或软件，机房管理员在安装维护时也因为系统还原软件的存在而降低了效率。从而影响到教学的整体效率。这一缺陷在数据恢复教学中显得尤为突出。

因此，可以引入VMware虚拟机软件来改善这一现象，使用VMware虚拟机搭建所需的教学和实验环境，在功能上与真实系统并无差别，并且在使用中不会影响到承载该虚拟机的宿主主机，同时可以减少学校的硬件投入、减轻机房管理员的工作强度，为数据恢复教学提供一个灵活、高效的实训平台。

一、VMware简介

VMware Workstation是一款桌面计算机虚拟软件，它功能强大，能够在一台真实计算机的操作系统中虚拟出多个虚拟计算机环境，这台真实的计算机一般称为宿主主机，在VMware Workstation中运行的虚拟计算机和系统一般称为客户机，其实质就是宿主机中的一系列文件。VMware Workstation的计算机虚拟能力、性能以及与宿主机之间的隔离效果非常突出，通过虚拟化技术，它能够模拟出一个标准的x86计算机环境。这个虚拟的环境与真实的计算机一样，都拥有CPU、芯片组、内存、网卡、声卡、外存储器、串/并口、USB控制器等设备，如图1。VMware Workstation的窗口即为虚拟主机的显示器，如图2。

当然，这些硬件都不是真实的设备，是通过VMware Workstation虚拟出来的。VMware虚拟化的工作原理是：在计算机硬件或宿主机操作系统上面插入一个精简的软件层。该软件层包含一个以动态和透明方式分配硬件资源的虚拟机监视器（或称“管理程序”）。在使用过程中，这台虚拟主机与真正的计算机没有太多区别，可以进行硬件设备添加与移除、硬盘分区与格式化、安装操作系统和各种应用软件等，在使用的感觉上与真实的计算机无异。

二、基于虚拟机环境下的数据恢复实验

在虚拟环境中安装了Windows XP操作系统，以此为例，结合Windows PE预装环境，在该环境下进行几个数据恢复的实验，通过实验，可以了解和学习数据恢复技术的一些基本方法和过程。

（一）主引导记录（MBR）损坏的修复

MBR类型的磁盘分区都有一个引导扇区，称为主引导记录MBR，它位于整个硬盘的第一个扇区，按照C/H/S地址描述即0磁道0柱面1扇区，按照LBA地址描述即为0号扇区。该扇区容量为512字节，其中引导程序占用了前446个字节，随后的64个字节则用于记录硬盘分区表信息，最后的两个字节为结束标志，通常记为“55AA”。MBR扇区在计算机启动过程中有着重要的作用，当MBR被破坏，计算机系统便无法正常引导系统。

在模拟MBR恢复实验时，虚拟机安装的是Windows XP系统。通过VMware虚拟机中的虚拟光驱加载Win PE预装环境启动ISO文件，在Win PE预装环境中利用WinHex软件，在虚拟系统硬盘中的MBR扇区随机填入一些无意义或空白数据，人为模拟MBR扇区被破坏的过程，完成这一过程后，退出Win PE预装环境。接下来启动虚拟机，此时学生可以观察到WindowsXP系统无法正常启动。为了使系统能恢复启动，此时需要将被破坏的MBR进行修复，再次通过虚拟机加载Win PE预装环境，在预装环境中使用DiskGenius工具软件中的“重建主引导记录”命令进行MBR修复，或者利用WinHex软件手动将完整的MBR引导程序正确覆盖至MBR扇区后进行保存，完成了MBR修复操作后退出预装环境，再次启动虚拟机，此时可以看到系统可以正常启动Windows XP系统。

（二） 分区表的修复

硬盘分区表也存放在硬盘MBR扇区中，它位于该扇区偏移1BEH至偏移1FDH之间，用占用64个字节的存储空间。分区表是用来管理硬盘分区的，如果分区表因某种原因遭到破坏或清除，那么磁盘的分区将会丢失，使得分区中存储的数据信息难以访问。当遇到这样的故障，如果掌握了硬盘逻辑结构方面的知识，可以在Win PE预装环境中使用WINHEX软件分析故障硬盘的逻辑结构，通过对硬盘中特殊扇区如主分区DBR，扩展分区及其逻辑驱动器的EBR、DBR等扇区中的分区参数进行分析和推算，判断出硬盘的分区状况，并利用该软件的磁盘编辑功能进行手动恢复分区表的操作。当然，还可以直接使用DiskGenius这样的磁盘管理软件来进行分区表半自动恢复的操作。

在虚拟实验中，可以让学生采取使用DiskGenius磁盘管理软件的方法来进行分区表恢复的模拟操作练习。首先人为模拟破坏硬盘的分区表，方法与MBR恢复实验的类似，之后在虚拟机中进入Win PE预装环境，启动DiskGenius软件，使用“工具”菜单中的“搜索已丢失分区（重建分区表）”命令，按照弹出对话框中的提示搜索并保存硬盘分区，当所有分区都保存完毕后，再次通过虚拟硬盘启动，此时操作系统已能够正常引导。

（三）基于文件系统下的数据恢复

为了能够高效的使用和管理硬盘中存储的数据，操作系统会通过文件系统将这些数据以文件的形式存储在硬盘里，例如Windows系列操作系统中的文件系统主要有FAT、NTFS和ExFAT。这些文件系统有着各自不同的逻辑组织方式。如要对硬盘进行高级管理和对数据进行有效恢复，这就需要用户了解并掌握文件在硬盘上存储的相关原理和机制，利用虚拟机可以帮助我们进行相关知识的学习。例如可以在虚拟系统中利用WinHex软件，通过人工模拟文件系统存储和管理文件的过程，来使学生掌握相关的数据恢复知识和技能。

以FAT32文件系统的教学为例，FAT32文件系统由DBR及其保留扇区、文件分配表FAT1、文件分配表备份FAT2以及数据区（包含目录区）DATA四部分组成。在虚拟实验中，可以进行FAT32分区根目录文件丢失后恢复的实验。

首先，启动虚拟Windows XP系统，在系统中FAT32分区的根目录中存入一命名为tupian.jpg的文件，随后打开文件查看并确认其内容。关闭文件后，将此文件放入回收站并彻底删除。此时，该FAT32分区中已经无法看到此文件。

其次，打开WinHex软件，利用“MBR模板工具”分析该分区所在磁盘的逻辑结构，在确定分区DBR所在的扇区号后，使用软件的扇区跳转功能，跳转至DBR所在扇区，利用“DBR模板工具”查看BPB参数，根据相关的参数计算出该分区FAT1，FAT2，及DATA区等部分的起始扇区号，由于此时文件已经删除，在文件分配表FAT中该文件的簇链已经清零，因此可以直接跳转至DATA区查找其文件目录项，因为分区中存储的文件不多，所以能够较容易的找到该文件的文件目录项。通过观察，可以发现此文件目录项的首字节已经变为“E5H”，表示此文件已经被删除。

接下来，应用短目录项模板查看该文件数据的存储位置的起始簇号，并计算其数据存储位置的结束簇号。最后跳转至该文件的起始位置，将所有数据内容复制并另存为123.jpg文件，存放于系统桌面。返回系统桌面后，便能看见名为123.jpg的文件，打开这个文件，查看其内容，可以发现与之前删除的tupian.jpg文件一致。至此，文件恢复完毕。

当FAT32分区中存储的文件较多时，文件数据恢复的步骤会更为繁琐。此外，NTFS文件系统作为另一种常用的文件系统，其逻辑结构和工作原理相比FAT而言也要复杂得多，这些情形下的数据恢复实践教学同样也能在虚拟环境中进行模拟操作和练习，具体方法和步骤在此不再一一赘述。

三、结束语

虚拟机技术在数据恢复教学中的应用不仅降低了教学成本，缓解了教学资源紧缺的问题，更为重要的是它为教学实验平台的搭建提供了一种高效、便捷的方式，在很大程度上克服了数据恢复课程教学中实验环境难以设计，教学过程不够直观等难点。另外，在实践课程中还可以灵活模拟数据恢复工作的各种故障场景，使得学生能够在大量的模拟练习中逐步掌握数据恢复技术。因此，虚拟机技术在数据恢复教学中的应用是值得推广的，它定会为数据恢复技术的教学过程和教学效果等方面带来积极的影响。

参考文献：

[1]刘伟.数据恢复技术深度揭秘[M].北京：电子工业出版社，2013.

[2]马林.数据重现——文件系统原理精解与数据恢复最佳实践[M].北京：清华大学出版社，2009.

（责任编辑 陈 利）