浅析Windows FAT32文件系统数据恢复
作者:邹柏林
来源:《数字技术与应用》2015年第07
        摘要:在计算机的使用过程中,经常会遇到由于病毒或用户的误操作而造成硬盘数据丢失的情况,给用户带来很大损失。通过对硬盘数据丢失原因的分析,指出了数据恢复的可行性前提条件,同时还进一步分析了几个常用数据恢复工具软件的主要功能,并简介了用Winhex软件手动恢复硬盘数据恢复的操作过程。
        关键词:数据丢失 数据恢复 数据恢复软件
        中图分类号:TP393 文献标识码:A 文章编号:1007-9416201507-0000-00
        1引言
        在信息时代的今天,计算机被广泛应用于商业,军事,政治中。计算机中的数据显得格外重要。所谓数据,从广义上说,位于计算机存储介质上的信息都是数据。任何使这些信息发生非主观意愿之外的变化都可视为破坏。数据恢复就是一个把异常数据还原为正常数据的过程。[1]即使数据被删除或硬盘出现故障,只要存储介质没有严重受损,数据还是有可能被完全恢复的。随着科技的进步,现在许多单位在日常管理中都需
要使用计算机,从而,渐渐地出现了一些利用计算机和网络进行犯罪的犯罪分子。他们进行网络,骇客攻击盗取商业机密,破坏企事业单位电脑中的重要数据等等。在司法取证,司法鉴定方面,数据恢复技术起着不容置疑的作用。如市面上出现了很多专业公司开发的数据恢复软件,为办案人员提供了方便。2012年刑诉法改写之后,电子数据又作为一个独立的证据出现。利用数据恢复软件,挖掘犯罪分子的作案证据,更好的为定罪量刑提供依据。
        2 常见数据丢失原因及数据可恢复前提
        在计算机使用过程中,数据丢失的原因最常见的就是病毒破坏。病毒的破坏可能造成资料被恶意删除,甚至硬盘被格式化。这种情况下,数据是可以被恢复的;有的时候,我们不小心将文件删除,并且清空了回收站,这样再回来就比较难了,但是这种误删除文件也是可以恢复的;我们常常可能误使用了格式化命令,造成分区上的数据丢失,这种情况下,只要保护好现场,不再对硬盘进行写的操作,数据就可以恢复;硬盘分区操作失误或硬盘分区表破坏也会造成数据丢失,这种情况下,通常是可以恢复的。当然,一些犯罪分子为了掩盖罪行,会人为的将数据删除,因此,数据恢复对于我们警察也是一个重要的技术。
        数据能够恢复的前提有以下几种:(1)丢失的数据没有被覆盖。在复制同名文件的时候,会有系统提示:是否要替换原同名文件。当我们选择是的时候,原来的文件讲被现有的文件替换,这个时候原来存储的
文件将被覆盖,所以这个时候的文件是不能回复的。被覆盖了的文件是不能恢复的。有的时候,即使不是同名替换,删除文件后,原来存储这些文件的数据区,会因为要存储新的数据而替换这些已经被标记删除的文件数据。这样的话,存储文件的数据区一旦被覆盖,该文件将不能被恢复。(2)硬盘没有被低级格式化过。所谓的低级格式化,就是将硬盘中的每一个扇区、磁道以及柱面的信息进行编排,由于之前硬盘上这些信息上都曾记录着数据,因此经过低级格式化后,原来硬盘上的数据将完全被损坏是不可恢复的。低级格式化主要是在DOS环境下使用的DM软件或使用format的低级格式化命令来完成低级格式化;除此之外还有一个清零操作,指的是用特殊的软件或特殊的设备向硬盘中填充0,这项填充工作后将使硬盘上所有数据变为0,所以这也相当于清除了硬盘上所有的数据,这样的填充0的方法将使数据无法恢复。它类似于低级格式化。(3)硬盘盘片没有被划伤。被划伤的地方数据不可恢复。这属于物理损坏,存储介质本身损坏了,自然数据会丢失,并且无法恢复。综上所述,可恢复的前提大概有三,一是数据没被覆盖,二是数据没有被清零被低级格式化,三是没有物理损伤。
        3硬盘的数据结构简介
        说到数据恢复,就不得不提到硬盘的数据结构,这是数据恢复的根本依据。一块新的硬盘再买回来之后,必须首先分区,再用Format对相应的分区实行格式化,这样我们才能在这个硬盘上存储数据。一般硬
盘主要分成主引导扇区(MBR)、操作系统引导扇区(OBR)、文件分配表(FAT)、目录区(DIR)和数据区(DATA)等五部分。通常所说的主引导扇区MBR在一个硬盘中是唯一的,MBR区只有在硬盘启动时才读取其内容,然后驻留内存。
        1)主引导扇区(MBR)。位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR和分区表DPT。主引导记录的作用就是检查分区表是否正确以及判别哪个分区为可引导分区,并在程序结束时把此分区的启动程序调入内存加以执行。分区表以80H00H为开始标志,每个分区占用16个字节,一个硬盘最多只能分成四个主分区,其中扩展分区也是一个主分区。[2]
        2)操作系统引导扇区(OBR)。通常位于硬盘的0磁道1柱面1扇区,是操作系统可直接访问的第一个扇区,包括一个引导程序和一个被称为 BPB 的本分区参数记录表。其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。
        引导程序的主要任务是在根目录中寻系统启动的文件,如果存在,就将其读入内存,并移交控制权给该文件。
        3)文件分配表(FAT)。是DOS/Windows系统的文件寻址系统。为了防止意外损坏,FAT一般做两
个,第二FAT为第一FAT的备份。FAT区紧接在OBR之后,其大小由这个分区的空间大小及文件分配单元的大小决定。FAT32采用4个字节来表示簇的位置,分区最大容量32GB,与FAT16相比,其有效的节约了硬盘空间。
        4)目录区(DIR)。Directory即根目录区的简写,在FAT12FAT16格式中,DIR紧接在第二FAT表之后,而在FAT32格式中,根目录区的位置可以在分区中的任意位置,其起始位置是由引导扇区给出的。单有FAT表还不能确定文件在硬盘中的具体位置,只有FAT表和DIR区配合使用,才能准确定位文件的确切位置。
        DIR记录着每个文件的文件名、扩展名、是否支持长文件名、起始单元、文件的属性、大小、创建日期、修改日期等内容。
        5)数据区(DATA)。在DIR区之后,才是真正意义上的数据存储区,即DATA区。 DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,对于我们来说,没有任何意义。
        4 利用数据恢复软件实现数据恢复
        4.1 FinalDataEasyRecovery数据恢复软件
        EasyRecovery能够快速恢复丢失的数据以及重建文件系统。EasyRecovery不会向原始驱动器写入任何数据,它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。可以从被病毒破坏或是已经格式化的硬盘中恢复数据。FinalData可恢复因删除、格式化等原因丢失的文件。在Windows环境下删除一个文件,只有目录信息从FAT或者MFT删除。这意味着文件数据仍然保留在硬盘上。FinalData就是通过这个机制来恢复丢失的数据的,在清空回收站以后也不例外。[3]
        这类软件恢复数据操作简单,可按软件提示一步一步操作,即可完成数据恢复。但是其只可以进行一些简单的恢复删除文件,如txt文本文档,word文档,ppt等文件。而且经常会出现恢复出来的已删除无法打开或打开后文件损坏的情况。经过实验验证,当像一个存储空间被占了三分之二以上的硬盘中存入文件后再删除,用该软件恢复后便会出现文件损坏的情况。这种情况下就应该采用Winhex软件来实现手动恢复。
        4.2 Winhex数据恢复软件
        Winhex主要用于电子数据分析与处理,功能很强,作数据恢复只是它的一小部分功能。主要功能包括:分析和数据恢复、多种数据恢复功能,可对特定文件类型进行恢复、数据擦除功能,可彻底清楚存储介质中的残留数据、可从硬盘或镜像文件中收集残留空间、空余空间、分区空隙中的信息等等。可进行文件的手动恢复。[4]
        打开Winhex软件,然后打开被删除文件的硬盘,接下来打开FDT表,FDT表中记录了文件的一些属性信息,其中也有文件存的起始簇号,即使文件被删除了,FDT中也仍会有文件的属性信息,首先要到该文件在FDT中的记录,采用搜索关键字的方法来在FDT中该记录,用Encase伴侣来查对应文件名文本的Unicode编码,用Winhex来查文件名的Unicode编码,这样就知道了该文件在硬盘中存的起始簇号。关闭FDT表,打开该硬盘,用转移到扇区的命令直接跳转到该簇。这时已到了该文件在硬盘中存储的起始块,选择起始块,再估计下被删除文件的大小,计算该文件占用了多少个扇区,然后再跳转到存该文件的最后一个扇区,选择结束块,右键鼠标,选择置入新文件,这样该文件就被手动恢复了。这里有个问题,Winhex的手动恢复文件,只能恢复连续存放的文件,对不连续存放的文件,目前为止还不能恢复。
        参考文献
        [1]戴士剑,涂彦晖 .《数字恢复技术》.电子工业出版社,2005年,第338.
        [2]华师傅资讯 .《数据备份与恢复实用宝典》.中国铁道出版社,2008年,第236-239.
        [3]旋动数据 .《数据存储、备份与恢复完全解析》.中国铁道出版社,2009年,第326.334页。
        [4]汤艳君 .《电子物证检验与分析》.清华大学出版社,2014年,第62.
        收稿日期:2015-06-28
        作者简介:邹柏林(1990—),男,吉林长春人,研究生在读,研究方向:计算机物证检验。
低级格式化