当前位置:首页 期刊杂志

基于Winhex的数据恢复

时间:2024-05-04

摘要:当前社会已经进入了信息化时代,我们平时的工作和生活已经离不开计算机。数据存储与之前相比也有了很大的不同,然而存储介质损坏等不当操作时有发生,极易造成数据丢失,基于Winhex的数据恢复能够使人们找回丢失的数据和文件,挽回因数据丢失而产生的各项损失。

关键词:Winhex;数据恢复;分区恢复

中图分类号:TP3 文献标识码:A

文章编号:1009-3044(2020)29-0042-02

伴随着信息技术的快速发展,数据本身的重要性和安全问题越来越被人们所重视,数据恢复技术属于数据安全的最后一道防线,因此,了解和掌握数据恢复技术有着非常重要的作用和意义。

1 Winhex简介

Winhex属于在Windows下运行的十六进制编辑软件,具备健全的文件管理功能与分区管理功能,可以对文件簇链与分区链进行自动分析,对硬盘实施不同程度、不同方式的备份,甚至可以对整体硬盘进行克隆;可以对任意一种文件类型的二进制内容(利用十六进制显示)进行编辑,该软件的磁盘编辑器能够对逻辑磁盘或者物理磁盘的任意扇区进行编辑,是一款对数据进行手工恢复的优秀软件。

2 数据恢复原理分析

数据恢复指的是利用技术手段,把无法获取的或者无法访问的数据恢复到能够获取的或者能够访问的数据状态的过程。硬盘数据丢失属于一个很复杂的问题,若想找回并且恢复文件系统误格式化、误删除、损坏和分区信息损坏或者丢失等原因丢失的数据,则需要先对硬盘结构进行分析,了解各种文件系统[1]。

一个新硬盘必须在格式化和分区以后,才可以安装操作系统并正常的使用。硬盘的0磁道0柱面1扇区是分区以后的主引导记录( MBR)所在位置。硬盘的主引导记录总共有512个字节,引导程序为前面的446个字节,后面的64个字节是硬盘分区表(DPT),最后的两个字节是分区的结束标志“55AA”。对MBR区的信息进行分析,可以对系统的文件类型、硬盘的起始位置、硬盘各个分区的大小、硬盘分区的数量等信息做出初始的判定。在主引导记录遭受人为操作、病毒入侵等破坏以后,硬盘就不被操作系统识别,了解了主引导记录MBR扇区结构以后,依据数据信息的特点,对分区的位置和大小进行再次推算,根据这个结构,再次构建一个MBR扇区,就可以恢复分区了。

在分区恢复、格式化以后就可以找到相对应的文件系统。依据分区大小,通常把分区分成四个主要部分:数据区DATA、根目录DIR、文件分配表FAT以及DBR扇区。如果DBR扇区被损坏,系统就没有办法提取相关文件系统的数据管理方式和各个参数,导致整体文件系统的数据没有办法被读取[2]。FAT表用作对文件系统之中的各个簇的分配状态进行描述,除此之外,记录各个文件夹或者文件分配的每一个簇之间的关系。一旦FAT表被破壞,数据就会遭遇很严重的破坏,因此,通常在对磁盘进行分区的时候,会对FAT进行备份。根目录用作保存在根目录下创建的文件和文件夹等目录项,而文件和文件夹自身的数据保存于数据区之中。在文件系统分区中创建文件的时候,系统会先依据DBR扇区中的各个参数,对簇大小、根目录的位置以及FAT表的大小等信息进行确立的时候。在硬盘中写入文件的时候,系统会先在DIR空白区写入创建时间、文件大小以及文件名称等信息以后,随后,在数据空白区写入文件的实际内容,最后,把DIR写人数据区初始位置。在DIR或者文件分配表遭遇破坏以后,系统就没有办法定位文件,即使各个文件的实际内容仍然处于数据区中,系统依然会认为不存在数据。在删除文件的时候,实际保存文件内容的簇空间并未产生任何改变,仅是其相对应的目录项与FAT表产生变化。格式化操作与删除的操作类似,仅是对文件分配表进行操作,格清空文件分配表或者把全部文件都加上删除标志,让系统认定硬盘分区中没有任何内容。格式化操作并未操作任何数据区,虽然目录已经不存在,然而,实际内容还存在,因此,这样就有可能恢复数据。在格式化系统分区以后,虽然有新内容被拷贝,新数据仅是把分区以前的空间覆盖掉,把新内容所占用的空间去掉,而分区剩余空间数据区中的无序内容依然可以被重新组织,让数据得到恢复[3]。

3 使用Winhex恢复数据的方法

一般EBR( Extended Boot Record)是一个与MBR(下文详细介绍此概念)相对应的一个概念。MBR里的DPT区有64字节,其中每16个字节是一个分区的表项,一共可以描述4个分区。然而很多时候实际情况分区多于4个,这时候MBR的DPT无法描述,这个时候就需要用和MBR这一结构有些类似的分区结构EBR来进行说明。EBR-般不会遭遇破坏,或是被破坏的概率比较低,所以,在实际情况中较为常见的是修复MBR(MasterBoot Record)是在一个物理硬盘里排在最前边的一个,通常它会存放着包括用于启动硬盘的引导指令、分区表和硬盘正常的标志55AA等三部分在内的重要代码,其作用是推动硬盘的正常工作,在硬盘的512字节里,其中第一部分占据了446字节,这部分被称为MBR。它表示硬盘引导记录只有一个。一个物理硬盘,可以根据你的实际需要,划分为多个逻辑分区,这些逻辑分区在功用上近乎一个个独立的物理硬盘,它们构成我们习惯里所说的C盘、D盘、E盘、F盘……这些逻辑盘由不同的文件管理系统(如FAT32、NTFS、EXT3-)对文件进行读写管理。DBR(DOS Boot Record),就是每个逻辑盘的最边前的一个扇区里,用于引导和加载相应文件管理系统的一些系统代码。每个逻辑盘上各有这样的一套代码系统。在MBR被破坏以后,通常仅损坏其中的分区信息,也就是主分区至扩展分区的分区链被破坏,但是并不会影响到逻辑分区,所以,仅需要把MBR中的分区信息恢复,其余分区通过分区表所提供的链自然就可得出,即可成功的恢复数据[4]。比如,某硬盘(硬盘1)的MBR因为病毒被删除或者被破坏。把受损硬盘当作从盘挂载至正常运转的操作系统之中,恢复过程总体上分为两部分。

3.1对主引导程序代码进行恢复

使硬盘具有可引导的功能,是主引导程序代码的作用。恢复引导代码较为简单,应用Winhex复制出正在运行的系统盘(硬盘0)之中的引导代码。

1)应用Winhex把系统盘的分区表打开,把引导代码选中,并且复制。

2)切换至受损坏的硬盘窗口,在零扇区的第1个字节开始位置写入复制的引导代码。

由此,就复制了一个正常系统盘中的引导代码,成功恢复了MBR的前446字节。

3.2 把分区表恢复

在64b的分区信息之中,最为关键的就是起始扇区的分区大小(占4字节)与LBA地址(占4b),通常,硬盘具备1个扩展分区与1个主分区,扩展分区之中又包含了多個逻辑分区,硬盘分区软件一般会为MBR留存63个(0- 62)扇区,所以,63是主分区起始扇区的LBA地址。必须找到首个EBR以后,才可以计算出主分区与扩展分区的大小。

首个EBR的LBA地址-63=主分区大小

硬盘总大小首个EBR的LBA地址=扩展分区大小

可搜索逻辑驱动器的起始扇区DBR确立分区表之中的分区种类。DBR之中偏移量Ox03到OxOA位置是文件系统的标志,通过它能够对分区类型进行确立(其中扩展分区的分区种类是05)。

在对主分区与扩展分区的基本信息进行确立以后,可应用WinHex在MBR中输入计算出的分区信息。

4 结束语

应用Winhex恢复硬盘数据,是一种手工恢复数据方法,有着较高的数据恢复率,能够把利用某些软件无法找回的数据找回。因为此种恢复数据方法较为复杂,需要操作人员了解和掌握硬盘数据存储等有关知识,并且要随时清楚自己正在操作的内容和操作以后的后果,特别是要小心某些破坏性操作对数据造成的不可逆损伤,因此建议在操作前对整个硬盘进行备份。

参考文献:

[1]危蓉,麦永浩,基于WinHex手机图片信息的恢复与取证[J].信息安全研究,2016,7(4):44-48.

[2]刘洋洋.Winhex在硬盘数据恢复中的应用研究[J].沈阳工程学院学报(自然科学版),2013,9(1):74-77.

[3]蒋波,付尚朴,孙琛.用WinHex分析FAT32的磁盘存储结构[J].宜宾学院学报,2006(6):81-82.

[4]刘生辉,吕爽,王忆慈.基于WINHEX的数据恢复[Jl.数字技术与应用,2017(10):211-212.

【通联编辑:张薇】

作者简介:吴晓清(1983-),女,湖北随州人,硕士,研究方向:计算机应用技术。

免责声明

我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!