陈培德,吴建平,王丽清,殷莉芬

(1.云南大学 a.信息学院,b.图书馆,云南 昆明 650223;2.云南省高校数字媒体技术重点实验室,云南 昆明 650223)

格式化是指对磁盘或磁盘中的分区进行初始化的一种操作，这种操作通常会导致现有的磁盘或分区中所有的文件被清除[1]。格式化通常分为低级格式化和高级格式化[2]。如果没有特别指明，对硬盘的格式化通常是指高级格式化。

外存储器自厂商生产出来，一般要经过低级格式化、分区和高级格式操作后[2]才能用来存储数据。低级格式化一般由外存储器生产厂商来完成，而对外存储器的分区和高级格式化则由用户来完成。

对逻辑盘进行高级格式化后数据能否被恢复取决于格式化操作对原来文件系统中数据的破坏程度[3]。

本文对FAT32文件系统的逻辑盘格式化成NTFS文件系统后的数据恢复进行了大量的实验，在Windows XP平台下，FAT32文件系统的逻辑盘被格式化成NTFS文件系统后，除被NTFS文件系统中的元文件所覆盖后的数据无法恢复外，其他未被覆盖的数据均可被全部恢复。

1 实验环境及实验素材准备

1.1 实验环境

1) 操作系统：Windows XP；

2) 逻辑盘容量：2.48GB；

3) 数据恢复工具：WinHex 15.08。

1.2 制作实验素材

1) Windows XP操作系统下，将硬盘划分出一个分区来，该分区对应的盘符为F盘，大小为2.48 GB，将该分区进行格式化，文件系统选择FAT32，每个簇的扇区数选择“默认”。复制共计1.1 GB的文件和文件夹到F盘中，F盘的基本情况如下。

①文件系统：FAT32；

②总容量：2 673 266 688 Byte；

③已用空间：1 202 679 808 Byte；

④可用空间：1 470 586 880 Byte；

⑤每个簇的扇区数：8；

⑥保留扇区数：34；

⑦隐藏扇区数：63；

⑧总扇区数：5 231 457；

⑨每个FAT表所占扇区数：5 099；

⑩数据区范围：10 232～5 231 456号扇区(即2～652 654号簇)

格式化前，F盘总体布局如表1所示[4]。

表1格式化前，F盘总体布局情况

作 用扇区号数据区对应的簇号保留扇区0～33FAT134～5132FAT25133～10232已使用的数据区10233～23592152～293624未使用的数据区2359216～5231455293625～652654

2) 将F盘进行格式化，文件系统选择NTFS，每个簇的扇区数选择“默认配置大小”。格式化后F盘基本情况如下。

①文件系统：NTFS；

②总容量：2 678 505 472 Byte；

③已用空间：16 044 032 Byte；

④可用空间：2 662 461 440 Byte；

⑤每个簇的扇区数：8；

⑥保留扇区数：0；

⑦隐藏扇区数：63；

⑧总扇区数：5 231 456；

⑨元文件$MFT开始簇号：262 144；

⑩元文件$MFTMirr开始簇号：326 966；

格式化后，F盘总体布局如表2所示[5]。

表2格式化后，F盘总体布局情况

至此，在Windows XP 下，逻辑盘由FAT32文件系统被格式化NTFS文件系统素材已制作完成。

2 格式化对分区表和DBR的改变

格式化前，F盘所对应的MBR分区表为“00 EF FF FF 0B EF FF FF 3F 00 00 00 61 D3 4F 00”；F盘的文件系统由FAT32格式化成NTFS后，F盘所对应的MBR分区表为“00 EF FF FF 07 EF FF FF 3F 00 00 00 61 D3 4F 00”，即F盘所对应的MBR分区表的分区标志由“0B”变为“07”[6](注：FAT32文件系统的分区标志为“0B”，而NTFS文件系统的分区标志为“07”[7])。由于分区大小没有调整，所以，F盘所对应的MBR分区表的其他值没有变化。

格式化前，F盘的文件系统为FAT32，而格式化后F盘的文件系统为NTFS。所以，格式化后，F盘FAT32_DBR已被NTFS_DBR所取代。

3 格式化对FAT32的影响

格式化前，F盘的总体布局如表1所示；而格式化后，F盘的总体布局如表2所示。从表1和表2的对比可见，格式化后，F盘的0～15号扇区被NTFS的元文件$Boot所覆盖；而格式前FAT32文件系统的16～2 066 863号扇区均未被覆盖，即FAT32文件系统最重要FAT1和FAT2，以及2号簇(即根目录的开始簇号)均未被覆盖。被覆盖的已使用数据区为2 066 864～2 359 215，即存储在该区域的数据将无法恢复。

4 恢复数据的基本思路与方法

4.1 恢复格式化前数据的基本思路

从格式化操作对MBR分区表及FAT32文件系统的影响可知，要恢复格式前FAT32文件系统中的数据，关键在于恢复MBR分区表和FAT32_DBR[8]。要恢复FAT32_DBR，只要将同一版本的FAT32_DBR复制到F盘的0号扇区，并修改FAT32_DBR中每个簇的扇区数、保留扇区数、隐藏扇区数、总扇区数、每个FAT表所占扇区数5个BPB参数。

4.2 恢复格式化前F盘MBR分区表的基本方法

使用WinHex软件找到F盘的MBR分区表，将F盘的MBR分区表中的分区表标志由“07”[9]修改为“0B”[10]，即可恢复格式化前F盘所对应的分区表。

4.3 计算F盘FAT32_DBR的BPB参数

1)通过FAT1和FAT2开始特征值查找到FAT1和FAT2所在扇区号，并计算出每个FAT表所占扇区数和保留扇区数。

2)通过子目录开始特征值查找到两个子目录开始扇区号，并获得子目录开始簇号，通过两个子目录开始扇区号和开始簇号，计算出每个簇的扇区数。

3)通过F盘的MBR分区表获得总扇区数和隐藏扇区数。

5 恢复格式化前的数据基本步骤

1)恢复F盘MBR分区表，具体操作步骤如下：

①启动WinHex软件；

③将光标移动到F盘的MBR分区表所在扇区号，将扇区偏移0X1C2处的值“07”修改为“0B”[11]；

④单击“保存”按钮。

2)计算FAT32_DBR中每个FAT所占扇区数和保留扇区数。具体操作步骤如下：

①启动WinHex软件；

③按“F3”键继续向下查找，在5 133号扇区找到，即FAT2的开始扇区号为5 133。

每个FAT表所占扇区数=FAT2开始扇区号-FAT1开始扇区号=5 133-34=5 099

(注：在FAT32_DBR中的存储形式为“EB 13 00 00”)

保留扇区数=FAT1开始扇区号-FAT32_DBR所在扇区号=34-0=34

(注：在FAT32_DBR中的存储形式为“22 00”)

3)计算FAT32_DBR中每个簇的扇区数，具体操作步骤如下：

①启动WinHex软件。

图1 第1个子目录开始扇区前48字节

③按“F3”键继续查找，在245 320号扇区找到，如图2所示，从图2可知，第二个子目录开始扇区号为245 320，开始簇号为29 388。

图2 第二个子目录开始扇区前48字节

每个簇的扇区数=(第二个子目录的开始扇区号-第一个子目录的开始扇区号)/(第二个子目录的开始簇号-第一个子目录的开始簇号)=

(245 320-10 240)/(29 388-3)=8

(注：在FAT32_DBR中的存储形式为“08”)

4)获得FAT32_DBR中总扇区数和隐藏扇区数。从F盘的分区表可知，总扇区数为5 231 457，相对扇区为63，总扇区数在分区表和FAT32_DBR中的存储形式为“61 D3 4F 00”；分区表中的相对扇区即为FAT32_DBR中的隐藏扇区数；隐藏扇区数在FAT32_DBR中的存储形式为“3F 00 00 00”。

(注：该参数的正确性，FAT32文件系统不做校验)。

5)综合步骤2)～步骤4)，恢复格式化前FAT32_DBR中BPB参数如表3所示。

表3恢复格式化前FAT32_DBR中BPB参数

字节位移字节数含 义在DBR中的存储形式0X0D1扇区数/簇080X0E2保留扇区数22 000X1C4隐藏扇区数3F 00 00 000X204该分区总扇区数61D3 4F 000X244每FAT所占扇区数EB 13

6)将同一版本的FAT32_DBR复制到F盘的0号扇区，并将每个簇的扇区数、保留扇区数、隐藏扇区数、总扇区数、每个FAT表所占扇区数修改为表3中的数值。 如图3所示，然后存盘并退出WinHex软件。

图3 修改FAT32_DBR中的参数

7)重新启动Windows XP，到资源管理器中可以看到格式化前F盘FAT32文件系统中的所有文件和文件夹；但是除被格式化后NTFS文件系统的元文件覆盖的文件或文件夹无法恢复外，其他未被覆盖的文件或文件夹均全部恢复。

6 结束语

在Windows XP平台下，除对逻辑盘FAT32文件系统格式化成NTFS文件系统外，还对逻辑盘FAT32文件系统快速格式化成NTFS文件系统进行了实验，其数据恢复的思路、方法和步骤与格式化操作完全一样。

在Windows7 平台下，对逻辑盘FAT32文件系统被快速格式化成NTFS文件系统也做了实验。 实验结果表明，FAT32文件系统的FAT1、FAT2和2号簇均被NTFS文件系统的元文件覆盖，2号簇以后数据一般还会保留，此时，只能使用数据恢复软件(如Easy Recovery、Disk Genius、Final Recovery等)恢复。但是对逻辑盘FAT32文件系统被格式化成NTFS文件系统后，由于格式化后存储在原来磁盘上的数据已被填充为“00”，这种情况下，数据将不能被恢复。

通过实践证明，在Windows XP平台下，该方法具有方便快捷、简单实用的特点。并且用户在资源管理器中可以看到所恢复出来的全部数据，但被NTFS文件系统元文件覆盖的文件或文件夹将无法恢复。

[1]陈培德,吴建平,王丽清.NTFS被格式化成FAT32后数据恢复的研究[J].西安:计算机技术与发展,2016(26):399.

[2]杨倩.数据备份与恢复实训教程[M].北京:电子工业出版,2016.

[3]陈培德,吴建平,王丽清.NTFS文件系统实例详解[M].北京:国防工业出版社,2015.

[4]刘伟.数据恢复技术深度揭秘[M].北京:电子工业出版社,2010.

[5]马林.数据重现——文件系统原理精解与数据恢复最佳实践[M].北京:清华大学出版社.2009.

[6]陈培德,吴建平,王丽清.Ghost后数据恢复的研究与实现[J].计算机技术与发展,2017,27(1):112-116.

[7]陈培德,吴建平,王丽清.重建NTFS的DBR及分区表的研究与实现[J].实验科学与技术,2016,14(6):56-59.

[8]陈培德,吴建平,王丽清.重建分区表与FAT32_DBR的研究与实现[J].计算机技术与发展,2016,26(10):56-59.

[9]汪中夏,张京生,刘伟.RAID数据恢复技术揭秘[M].北京:清华大学出版社.2010.

[10]刘乃琦,郭建东,张可.系统与数据恢复技术[M].成都:电子科技大学出版社.2008.

[11]CARRIER B .File system forensic analysis[M].[S.l]:Addison-Wesley Professional.2005.