张生月，肖 珺，肖 静，达 虎，李葆光

（甘肃省计算中心，甘肃 兰州 730000）

浅析基于文件定位的数据恢复＊

张生月，肖 珺，肖 静，达 虎，李葆光

（甘肃省计算中心，甘肃 兰州 730000）

主引导记录(MBR)磁盘分区是大家现如今运用最为普遍的一种分区结构,它主要的功能就是确认分区表是否正确,当确认准确后就会找到哪个分区是引导分区,并且它还在程序结束的时候把这个分区的启动程序调入内存然后就开始执行。所以本文主要根据MBR的工作原理和功能来对磁盘分区进行文件定位进而对误删除或误操作导致丢失了的数据进行数据恢复操作。

主引导记录；分区结构；文件定位；数据恢复

随着现代计算机技术、通讯技术和网络技术的快速发展,计算机在人们的各行各业的应用已经非常普遍。通过对计算机的使用会产生越来越多的数据,而这些数据对工作的重要已不言而喻,也已经成为重要的保护对象。但是在人们使用和存储这些数据时,数据会被错误地删除或操作,这样就会使数据丢失成为常见的问题。而基于文件定位的数据恢复技术,就可以正确还原这些被删除的文件和数据,在NTFS文件系统中,不论文件是不是连续存放,文件或者是目录在被删除后都可以通过该文件记录找到文件存放具体位置如起始簇号从而进行数据恢复,但是当误删除的文件或者数据比较多时,需要逐个恢复,工作效率可能会比较低。

1 主引导记录(MBR)相关理论

硬盘的内部结构经常专门指的是盘体的内部构造。盘体是一个密封的空间,里面主要存在着磁头、磁头控制器、盘片、主轴、控制电机、数据转换器、接口、缓存等部件。当我们经过操作系统对文件进行访问的时候,操作系统就会通过查找硬盘相应位置来调用要求访问的文件,而这些文件的分布则都是通过盘片上的逻辑参数所决定的。操作系统在划分硬盘所有区域时,一般划分的区域会被称为磁道、扇区、柱面,而当硬盘在寻找文件存放的地址时则是通过这几个逻辑参数进行的。在对硬盘分区之后,操作系统则会在硬盘的0柱面、0磁道、1扇区处创建硬盘分区表,这个分区表就是被我们称为主引导扇区的分区表,简称MBR。主引导扇区的功能则是在操作系统之前进行工作,依据主分区表中的信息来管理硬盘,然后再将硬盘控制权交给属于活动分区的操作系统。而主引导记录磁盘的分区模式一般有主分区、扩展分区、非DOS分区这3类。而第一个分区表一直是位于硬盘的0柱面、0磁头、1扇区,其余的分区表位置则都可以通过主分区表进行回推计算。从磁盘分区结构我们可以清楚明白，操作系统主要通过主引导记录MBR和扩展引导记录EBR来管理磁盘分区。在主引导记录磁盘分区中，分区表占了64字节，而每个分区表项占了16字节，分区的分区表项是从1BEH偏移处开始到55AAH结束，这样就共有4个分区表项，操作系统一般只是使用前面的两个分区表项来定义和描述本分区结构和下一分区结构。如果硬盘的存储容量比较大时，并且需要有更多的磁盘分区时，就必须使用扩展分区，这样便可以用扩展引导记录（EBR）表示和定义，主引导记录磁盘分区的整体结构［1］如图1所示。

图1 MBR分区结构

通过图1可以知道主磁盘分区是通过主引导记录中的分区表进行定位，而扩展分区之间则经由指针结构从而形成一个单向链表来实现定位。在FAT16文件系统的每个分区表中包含着操作系统引导记录DBR，FAT1/2,FDT和DATA，但在FAT32文件系统的FDT则是在数据区。在NTFS文件系统中的操作系统引导记录DBR包含在$BOOT文件中，和文件有关的信息在NTFS文件系统中被称为属性，而这些属性则以文件记录的形式在$MFT中存放，NTFS文件系统位置结构［2］如图2所示。

图2 NTFS文件系统结构

2 误删除数据的文件定位恢复

由图1看到FAT表与FDA表对数据是链式存储和管理的，这样就可以通过链式搜索查找相关数据。而只有将FAT表和FDT表联结起来，才可以管理整个磁盘内的相关文件，也同样可以准确找到被删除文件的具体位置。通过阅读资料［3］了解到，在Windows操作系统下删除普通的文件，则是将FDT表中该文件的第一个特征字符改为“E5”来操作，同时对引导扇区的第二个扇区中信息进行改写，该操作是修改删除文件分区点占用空间大小的相应信息［4］。这样根据文件的存储结构，在恢复文件的时候，主要就是查找“E5”删除标志，而后对被删除文件采用回溯递推方法寻找数据链并进行数据块的反向恢复。

通过图2了解到，对于NTFS分区，主要由主文件表MFT来管理数据。在对NTFS文件系统下执行删除文件操作或者格式化文件的时候，操作系统则只是将文件头部中的数据属性体DATARUNS中的16-17H处标志字节设置为00/02H，还有其他微小的变化，如日志序列号发生变化（增1，使用次数发生变化），而对文件的其他如基本属性10属性、文件名30属性没有其他任何操作；对于正在运行的文件，则释放该文件所占用的空间，不改变该文件占用数据区的数据，只将运行所占用的簇信息在文件$Bitmap中所相对应的位置处设置为0［5］操作。因此针对它的恢复软件只要修改属性体DATARUNS中的标志字节，即可恢复数据了。

3 结语

当前信息的爆炸式增长，针对数据的丢失和破坏现象愈演愈烈，如何保护好重要数据信息，在数据被破坏或丢失的情况下，怎们尽可能的挽救回这些信息，将是长期而艰巨的话题。

本文简单介绍了文件系统被删除数据恢复相关理论知识，并相应地介绍了针对删除操作引起的数据丢失所需要进行的恢复步骤，但是用户的计算机系统发生重要数据被损坏或丢失的情况不只误删除一种，所以数据恢复的研究范围十分广泛，而如何实现不同数据丢失情形下的最大化恢复则成为当前研究的主要问题，因此对于数据恢复技术需要更进一步地研究与探讨。

［1］ 刘伟.数据恢复技术深度揭秘［M］.北京：电子工业出版社，2010.

［2］ 马国富,马胜利,王子贤,等.数据恢复在电子数据取证与司法鉴定中的应用［J］.河北大学学报（自然科学版）,2015, 35(5):538-545

［3］ 傅禄,霍永.电子物证中数据恢复技术浅析［J］.电脑编程技巧与维护.2016，46-47.

［4］ 王强.Windows平台下磁盘数据恢复技术的研究与实现［D］.四川：四川师范大学，2008.

［5］ 赵双峰，费金龙，刘楠，武东英.Windows NTFS下数据恢复的研究与实现［J］.计算机工程与设计,2008,(29):306-308.

TP29

甘肃省科技支撑计划项目编号：1504FKCA039。