田全红，达 虎，徐成俊，邓哲鹏，张生月，肖 珺

（甘肃省计算中心，甘肃 兰州 730030）

FAT32文件系统数据恢复技术浅析＊

田全红，达 虎△，徐成俊，邓哲鹏，张生月，肖 珺

（甘肃省计算中心，甘肃 兰州 730030）

FAT32文件作为Windows操作系统的主流文件被普遍使用。本文对Windows系统下FAT32文件系统的数据恢复进行了分析，介绍FAT32文件系统结构，详细阐述DBR和FAT表损坏时，利用WinHex软件结合自身条件进行快速数据恢复过程，。

数据恢复；FAT32；文件分配表

Windows操作系统常采用FAT32和NTFS这两种文件管理系统来对存储介质中的数据进行管理操作。伴随着网络的快速发展，计算机渗透到我们的日常生活中，尤其在学习和工作中发挥重要的作用。随着大数据时代的来临，政府、企事业，甚至我们个人更多的以电子数据的形式存储重要信息，如此庞大的数据一旦发生误删除、丢失、感染病毒或者存储介质损坏，将带来严重的损失。一方面尽可能的保护好数据和设备，另一方面要求在数据丢失时，尽可能的恢复数据，让损失降到最小。本文主要研究Windows系统下FAT32文件系统的数据恢复，重点阐述DBR和FAT表损坏时数据恢复过程。

1 FAT32文件介绍

FAT32文件作为Windows操作系统的主流文件，其文件系统主要由MBR、DBR及其保留扇区、FAT1、FAT2和DATA五部分组成[1]。其中MBR一般占用63个扇区，但实际只用1个扇区。DBR一般占用32个扇区，但实际只占用第1和第6扇区，第6扇区作为第1扇区的备份，只有第1扇区起作用。FAT1与FAT2的大小相同，FAT是可变长度的，其长度随着分区大小、每簇扇区数的变化而变化。在FAT32文件中，把目录当文件管理，所以没有独立的目录区，这也是FAT32与其它FAT文件的区别。DATA数据区中不仅包含数据部分，由于分区根目录下的文件及文件夹的目录项存放在根目录区中，分区子目录下的文件及文件夹的目录项存放在子目录区中，所以根目录区和子目录区都在数据区中。

1.1 主引导记录

硬盘的第 1个扇区叫 MBR （Master Boot Record）扇区，为主引导扇区记录，也即C/H/S地址为0柱面0磁头1扇区，占用512字节，MBR的引导程序占其中前446个字节，偏移0～偏移1BDH，后64个字节，偏移1BEH～偏移1FDH为硬盘分区表DPT，末尾两个字节 “55AA”，偏移1FEH～偏移1FFH是分区有效结束标志。引导标志位只能是00H和80H，80H位活动，00H位非活动，其余值系统默认非法。

1.2 操作系统引导记录

DBR（DOS Boot Record），操作系统引导记录。通常情形下，第一个分区的DBR位于硬盘0磁道1柱面1扇区，是操作系统可以访问的第1个扇区。其文件系统的DBR包括跳转指令、OEM代号、BPB、引导程序和结束标志。对FAT32进行数据恢复时，通常可由引导扇区BPB参数中的保留扇区数、FAT数、每个FAT32所占扇区数来定位根目录的起始位置。计算公式为：根目录起始位置=保留扇区数+FAT个数*每个FAT所占扇区数。

1.3 文件分配表

FAT（File Allocation Table），文件分配表。在FAT32文件中，由于FAT对文件管理的重要性，有两个相同的FAT，第一个称为主FAT，另一个是FAT1的备份，称为备份FAT。FAT是位于DBR之后，同一个文件的数据并不一定完整地存放在磁盘的一个连续区域内，往往分成若干段，像一条链子一样存放。文件的这个存储方式称为链式存储，硬盘上必须准确记录已被文件占用的簇，为每个已经占用的簇指明存储后续内容的下一个簇的簇号，每一个文件最后一个簇，还要指明本簇无后续簇，实现链式存储的记录都保存在FAT表中。

1.4 文件系统目录项

FAT32文件系统中，没有独立的根目录区，分区根目录下的文件及文件夹的目录项存放在根目录区中，分区子目录下的文件及文件夹的目录项存放在子目录区中，根目录区的和子目录区都在数据区中。文件目录项（FDT）占32字节，子目录项的长度为零，已删除目录项的首字节值为E5H。

1.5 数据区

FAT32的根目录、子目录及文件内容主要存放在数据区中，是真正意义上数据存储的地方，位于FAT2之后。对数据区中数据定位，首先通过分区表信息，定位相应的DBR扇区，读取出DBR扇区的OEH～OFH偏移信息，得到DBR保留扇区数值，进一步读取到DBR扇区的24H～27H，得到每个FAT扇区数，通过相应的计算公式得到分区的数据区起始扇区[2-4]。

2 FAT32文件数据恢复

2.1 数据删除时文件系统的变化

FAT32文件系统中，误删除的文件在回收站时，文件的FAT不发生任何变化，可直接从回收站中复原文件。但当使用“Delete+Shift”组合键彻底删除文件时，此时文件分配表和文件目录项均发生变化。FDT中的首字节改为删除标志“E5H”，所对应的FAT表项值改为空簇标志“00000000H”。当文件的起始簇号大于两个字节所表示的最大值时，文件目录项中偏移14H～15H处用来存储超出部分的值，在彻底删除的时候，起始簇号14H～15H处的两个高字节被清零，对文件起始簇号小于两个字节所能表示最大值时，不存在这样的情况。数据是以二进制的方式存储在磁盘上的，在彻底删除后，数据仍存在数据区中，只要未写入新数据，原数据未被覆盖，这就为数据恢复提供了可行性[5-6]。

2.2 DBR破坏后的恢复

在FAT32文件系统中，6号扇区作为DBR扇区的备份。当6号扇区没被损坏时，可直接复制6号扇区DBR的备份信息。当DBR扇区和备份DBR扇区都损坏时，则需要我们通过手动方式重新构建DBR扇区。找到一个完好的FAT32分区，复制DBR扇区到需要恢复的DBR扇区。重建的DBR扇区需要手动修改的关键参数包括：保留区扇区数、根目录簇号、每簇扇区数、FAT表个数及每个FAT表总扇区数等内容。具体操作过程中我们使用WinHex软件。

主要做法如下：

1）保留区扇区数的确定。从恢复文件系统的0扇区开始搜索“F8FFFF0F”，找到此位置后，读取出扇区数，此扇区数既是保留区扇区数，又是FAT1表的起始位置。

2）FAT表总扇区数的确定。接上一步操作，继续搜索“F8FFFF0F”，确定此位置后，读取出扇区数，此扇区数是FAT2表的起始位置。用FAT2表位置减去FAT1表位置就得到每个FAT表总扇区数。

3）每簇扇区数的确定。根据读取到总扇区数由公式（1）可以确定数据区的总扇区数，进一步可通过公式（2）可得到每簇扇区数。

4）当DBR中的BPB表参数确定好以后，复制当前DBR表，找到当前分区的第6扇区粘贴，完成DBR表的修复。

2.3 FAT损坏后的恢复

由于FAT1和FAT2完全相同，FAT32文件系统中FAT1损坏后，考虑通过FAT2进行恢复。主要做法如下：

1）查找两个子目录。分别查找第一个子目录和第二个子目录，记下对应的扇区号和所在簇号。

2）计算每簇扇区数。两个子目录所在硬盘开始扇区号之差除以两个子目录簇号之差就是每簇扇区数。

3）计算根目录开始扇区号。根据（2）得到每簇扇区数计算公式，反代入得到根目录开始扇区号，根目录开始扇区号减1就是FAT2表结束扇区号。

4）计算每个FAT表所占扇区数。搜索“F8FF FF0F”找到FAT2开始扇区号，确定每个FAT表所占扇区数。

5）复制当前FAT2表，通过每个FAT表所占扇区数确定FAT1起始扇区，并粘贴，完成FAT1表的修复。

2.4 特征码恢复文件

通过上述分析可知，一般的格式化、误删除或病毒感染等操作都只是针对文件分配表和文件目录项，并没有直接删除数据，因此可以通过搜索一些文件的特征码在数据区中定位文件，估算出相应大小，提取相对应的数据，放在一个完好的FAT32分区中恢复文件。常见文件格式的特征码如：扩展名为“.doc”以“DOCF11E0A1B11AE1”开头，扩展名为“.docx”以“0x504B030414”开头等。

3 结束语

数据安全越来越受到人们的重视，但在日常中会遇到存储设备损坏、病毒感染、误删除或者突然断电等一些不可控因素造成的数据丢失，通过上文分析，我们看到只要分析到位，采取合理的方法，数据就可以恢复。为了能更好的恢复数据，尽可能挽回最大损失，一旦发生数据丢失情况，使用者应当停止数据读写操作，避免数据被覆盖，造成二次损害。同时向专业维修人员详细描述问题，以便他们能做出恰当的决策。恢复数据时，防止破坏原文件，对原文件做好镜像，操作在镜像文件中进行。

[1] 戴士剑,涂彦辉.数据恢复技术[M].北京:电子工业出版社, 2005.

[2] 刘伟.数据恢复技术深度揭秘[M].北京:电子工业出版社, 2010.

[3] 蒋笑天.FAT32文件系统的DBR恢复研究与实践[J].软件导刊,2014,13(12):46-49.

[4] 张明旺.基于FAT32文件系统的数据恢复技术[J].电子科技,2012,25(11):112-113.

[5] 鲁恩铭,袁丁.WindowsFAT32下格式化数据恢复方案设计与实现[J].计算机应用与软件,2010,27(6):165-168.

表1 平衡系数分析

5 结论

本文对电梯的平衡系数的原理以及电梯的平衡系数的影响因素进行了研究，研究表明：影响电梯平衡系数的因素主要包括：曳引电动机的功率、轿厢的重量和对重的重量等，由于电梯的平衡系数对电梯的安全运行起着关键的重要作用。因此研究电梯平衡系数的影响因素具有重大的理论意义与工程意义，本文的研究为电梯平衡系数的设置提供了理论依据，能够有效的减少由于电梯平衡系数不合理导致的电梯事故的发生。

参考文献：

[1] 郑祥盘.福建省老旧电梯缺陷与故障统计分析[J].质量技术监督研究2014（5）.

[2] 李中兴平衡系数对电梯安全的影响及测试方法优化[J].中国安全科学学报2015（11）.

[3] 陈伟森平衡系数对电梯运行的影响及其测量方法探究[J].机电工程技术2013（5）.

[4] 刘德勇对电梯曳引力和平衡系数的研究及相关影响[J].机电工程技术2015（4）.

[5] 刘利文曳引电梯平衡系数的测量方法及其对电梯运行的影响分析[J].机电信息2016（9）.

[6] GB/T7588-2003.电梯制造与安装安全规范[S].

TP399

甘肃省科技支撑计划社会发展类（编号1504FKCA039）。

△ 通讯作者：达虎（1987-），男，甘肃皋兰人，甘肃省计算中心，硕士。Tel:18109445908。