刘生辉++吕爽++王忆慈++周慧

摘要：在信息化进程高速发展的现代社会，人们的日常衣食住行都是离不开电脑的。电子数据存储不同于纸质数据存储，它不论经过多少年其中的数据依然是完整可读的，但依然会因为诸多原因，例如存储介质损坏、误操作等导致数据丢失。数据恢复可以很好的帮我们找回我们丢失的数据。

关键词：数据恢复；Winhex；数据存储

中图分类号：TP309.3 文献标识码：A 文章编号：1007-9416（2017）10-0201-02

Winhex是一款功能十分强大的软件，占用内存小且对计算机的配置要求十分低。它以通用的 16 进制编辑器为核心。在计算机取证、数据恢复等方面作用十分显著。

信息技术高速发展的今天，信息安全越来越受到重视，社会对信息安全的需求也日益扩大。掌握一门数据恢复的技巧十分必要。

1 数据恢复原理

数据是存储于硬盘之上的。一块硬盘在其出厂的时候是完全空白的，将其分区、格式化后还需安装操作系统才可正常使用。

1.1 硬盘划分及存储

要明白数据存储及恢复的原理，就要先明白硬盘上数据存储的原理。硬盘一般划分为四部分。分别是主引导扇区MBR、文件分配表FAT、目录区DIR和数据区Data。

1.1.1 主引导扇区

主引导扇区在一个硬盘中是唯一的，它位于整个硬盘的第一个扇区。按照C/H/S地址描述，它位于0柱面0磁头1扇区；按照LBA地址描述，它位于0扇区。主引导扇区是一个特殊而重要的扇区，它分为硬盘主引导记录、windows磁盘签名、分区表。主引导扇区以55 AA为结束标志。

1.1.2 文件分配表

文件分配表是一个文件寻址系统。FAT文件系统包括保留扇区、FAT区域、根目录区域和数据区域。

保留扇区位于最开始的位置，第一个保留扇区是分区启动记录，包括输入输出参数块的区域。

FAT区域则是分区信息的映射表。通常情况下FAT区域用来指示簇的存储方式。

数据区域占据了分区的绝大部分，是文件和目录数据的实际存储区域。

1.1.3 目录区

根目录区DIR可以在分区中的任意位置，其起始位置是由引导扇区给出的。根目录区记录着每个文件的文件名、扩展名、起始单元等。操作系统在读写文件时，根据目录区中的内容，结合文件分配表可找出文件的具体位置，然后读取内容。

1.1.4 数据区

数据区DATA是数据存储区，占据硬盘的绝大部分空间。通常所说的格式化并没有清除数据区的内容，只是重写了文件分配表。分区则是修改主引导扇区和操作系统引导扇区，数据区的内容并没有被改变。

1.2 数据恢复原理

可以把我们的电脑看作一本书，那么文件分配表就是这本书的目录。当文件分配表损坏时，相当于这本书的目录被人撕下，但书真正的内容却是完好的。只是在没有目录指引的情况下我们无法直接的找到我们想找的内容的位置，只能依照记忆或手动去翻找。删除文件的操作是在文件分配表前做一个代表此文件已被删除的标志，则系统也会默认此文件已被损坏。格式化的操作与删除类似，也是在文件分配表中的该文件前加删除标志。区别只在于删除是针对单一文件的操作，而格式化针对的整个硬盘。这种操作并非不可逆，同样是可恢复的。

2 系统框架设计

（1）在WINHEX中打开需要恢复的文件所在的硬盘；（2）读取主引导区的信息，从分区表中获取需要恢复的文件的分区参数值；（3）根据该参数值转至需要恢复的文件所在的扇区，读取BPB参数值；（4）计算目录区位置，找出需要恢复的文件；（5）获取文件大小、起始簇；（6）填写FAT；（7）保存数据。

3 系统实现

原文件（如图1）。

恢复界面（如图2）。

恢复界面（如图3）。

4 结语

本文讲解了基于WINHEX的数据恢复技术的研究背景、研究目的和意义、研究内容、实验原理。经试验证明利用WINHEX进行数据恢复操作试验成功。

参考文献

[1]戴士剑，涂彦晖.数据恢复技术（经典重现版）[J].计算机安全，2014，（06）：44.

[2]马林.数据重现---文件系统原理精解与数据恢复最佳实践[M].北京：清华大学出版社，2009：133-134.

[3]劉伟.数据恢复技术深度揭秘[M].北京：电子工业出版社，2010.endprint