基于WinHex的磁盘分区数据恢复技术分析与实现

基于ＷｉｎＨｅｘ的磁盘分区数据恢复技术分析与实现　袁海峰　（苏州科技学院网络与教育技术中心，江苏苏州２１５０１　１）　摘要：结合实例概括介绍了磁盘分区人为删除或病毒破坏，导致分区丢失，使用ＷｉｎＨｅｘ磁盘编辑软件恢复磁盘　分区数据的方法。　关键词：ＷｉｎＨｅｘ软件；磁盘分区；数据恢复　在信息化越来越集中的今天．计算机教学已成为现代教　育技术的主要技术手段，在教育教学中发挥着越来越重要的　作用。计算机中存储的教学资源数据，也越来越极其重要。　而人为删除、病毒破坏、存储介质质量缺陷等众多因素都在　威胁着教学资源数据的安全，给我们造成巨大的损失，这些　损失往往无法用金钱来衡量。因此。如何预防计算机中存储　的数据免遭破坏，如何在硬盘数据遭到破坏后迅速恢复，这　就是所要探讨的问题。　在这些数据丢失中，有一种常见的故障，就是分区丢失。有　的是因为重装系统误删了分区，有的是病毒篡改了分区，导致　硬盘分区消失，里面的资料找不到。这些分区丢失的情况，都　可以通过基于ＷｉｎＨｅｘ的磁盘分区数据恢复技术，手工计算和　调整分区参数，恢复分区信息，来实现数据恢复的目的，Ｗｉｎ．　Ｈｅｘ在硬盘扇区数据编辑上具有强大优势及其应用的便利性。　１　ＭＢＲ磁盘分区存储结构　作为目前最主流的操作系统Ｗｉｎｄｏｗｓ，它能够支持的分区　结构主要有ＭＢＲ磁盘分区和ＧＰＴ磁盘分区。但只有基于ＥＦＩ　主板的系统才能从ＧＰＴ启动。本文只讨论应用最广泛且最常　见的ＭＢＲ磁盘分区。　ＭＢＲ磁盘分区是目前使用最广泛的一种分区结构。Ｌｉｎｕｘ　系统、基于ｘ８６架构的ＵＮＩＸ系统也都能够支持ＭＢＲ磁盘分　区【ｌ１　ＭＢＲ磁盘分区主要分为基本分区和扩展分区两种，其中　扩展分区又可以划分出多个逻辑分区。　ＭＢＲ分区的分区表存储结构如图１所示。　ＭＢＲ主引导记录　和基本分区表　基本分区１　ｌ　ｌ基本分区２Ｉ　ｌ基本分区３ｌ　Ｉ扩展分区表１　逻辑分区１　ｌ　＿扩展分区表２　卣圆‘蠢团　匝固　囱　图１　ＭＢＲ分区的分区表存储结构　基本分区表只有４个表项．只能包括４个基本分区表　项或者３个基本分区表项和１个扩展分区表项。如果硬盘　划分的分区少于或等于４个，使用基本分区表就可以完整　标记４个磁盘分区信息。如果硬盘划分的分区大于４个，则　要使用基本分区表和扩展分区表一起来完整标记磁盘的分　区信息。　扩展分区表使用类似链表的结构来描述分区，每一个扩　展分区表包含一个逻辑分区信息和下一个扩展分区表信息。　直到最后一个扩展分区表只包含一个逻辑分区为止。磁盘管　理程序通过解析分区表链来完整识别整个磁盘的分区信息。　１．１　ＭＢＲ主引导扇区　硬盘的０扇区为ＭＢＲ扇区，又叫做主引导扇区。ＭＢＲ主　引导扇区包括ＭＢＲ主引导记录和基本分区表。其开头的４４６　字节内容为ＭＢＲ主引导记录，其后是４个１６字节的基本分　区表项，以及２字节的结束标志（０ｘ５５ＡＡ）ｔ２］。主引导扇区记　录着硬盘本身的相关信息以及硬盘各个分区的大小及位置信　息，是数据信息的重要入Ｉ：Ｉ。如果它受到破坏，硬盘上的基　本数据结构信息将会丢失。　通过一个实例分析ＭＢＲ主引导扇区。表１是一个磁盘　ＭＢＲ主引导扇区。　表１磁盘ＭＢＲ主引导扇区　ｏｆｆｓｅｔ　０　１　２　３　４　５　６　７　８　９　Ａ　Ｂ　Ｃ　Ｄ　Ｅ　Ｆ　０Ｏ００００ｏ００　３３　ＣＯ　８Ｅ　Ｄ０　ＢＣ　００　７Ｃ　８Ｅ　Ｃ０　８Ｅ　Ｄ８　ＢＥ　Ｏ０　７Ｃ　ＢＦ　ＯＯ　０Ｏ００００１Ｂ０　６５　６Ｄ　００　Ｏ０　００　６３　７Ｂ　９Ａ　ＥＦ　ＣＤ　７０Ｄ７　Ｏ０　００　８０　２０　０Ｏｏｏｏｏ１Ｃ０　２１　ＯＯ　０７　ＦＥ　ＦＦ　ＦＦ　ＯＯ　０８　００　００　００　Ｏ０　４０　Ｏ１　００　ＦＥ　０ＯＯ０ｏ０１ＤＯ　ＦＦ　ＦＦ　０７　ＦＥ　ＦＦ　ＦＦ　Ｏ０　０８　４０　０１　ＯＯ　ＯＯＡ０　００　００　ＦＥ　０Ｏｏｏｏｏ１Ｅ０　ＦＦ　ＦＦ　０７　ＦＥ　ＦＦ　ＦＦ　ＯＯ　０８　ＥＯ　０ｌ　ＯＯ　ＯＯＡ０　００　ｏｏ　ＦＥ　０Ｏ０ｏ００１Ｆ０　ＦＦ　ＦＦ　ＯＦ　ＦＥ　ＦＦ　ＦＦ　００　０８　８０　０２　００　ＦＯ　７Ｆ　０１　５５　ＡＡ　偏移地址Ｏｘ００００００００～０ｘ０００００１ＢＤ这４４６字节为引导代　码。主要作用是检查分区表是否正确，并且在系统硬件完成　自检以后将控制权交给硬盘上的引导程序。它不依赖任何操　作系统，而且引导代码也是可以改变的，从而能够实现多种　作者简介：袁海峰（１９７７一），男，本科，学士，工程师，研　究方向：高校网络建设。　收稿日期：２０１５—０３—１５　。　。　。　。　’　。‘　。。　实用第一　智慧密集　．．　．　。．．　．．．　．．　．　．　．．　。．．。　．　．。。。　。　。　。　操作系统引导。　接下来的０ｘ０ＯＯＯＯＩＢＥ一０ｘ００００１ＦＤ这６４个字节为基本分　区表项．可以对４个磁盘分区的信息进行描述。具体每个字　节的定义如表２所示。　表２　ＭＢＲ磁盘分区分区表项结构信息　偏移　长度（字节）　意义　００Ｈ　１　分区状态：０ｏ～＞非活动分区；８０一＞活动分区　Ｏ１Ｈ　１　分区起始磁头号（ＨＥＡＤ），用到全部８位　分区起始扇区号（ＳＥＣＴＯＲ），占据０２Ｈ的位０－５；该　Ｏ２Ｈ　２　分区的起始磁柱号（ＣＹＬＩＮＤＥＲ），占据０２Ｈ的位６—　７和０３Ｈ的全部８位　０４Ｈ　ｌ　文件系统类型：常见有ＯＢ（ＦＡＴ３２），０７（ＮＴＦＳ），　｝０Ｆ（扩展分区表），０５（扩展分区表）　０５Ｈ　１　分区结束磁头号（ＨＥＡＤ），用到全部８位　分区结束扇区号（ＳＥＣＴＯＲ），占据０６Ｈ的位０－５；该　Ｏ６Ｈ　２　分区的结束磁柱号（ＣＹＬＩＮＤＥＲ），占据０６Ｈ的位６—　７和０７Ｈ的全部８位　Ｏ８Ｈ　４　分区起始位置相对分区表位置的扇区数　０ＣＨ　４　分区总的扇区数　根据ＭＢＲ磁盘分区分区表项结构信息．我们可以分析出　这个ＭＢＲ主引导扇区里一共有４个分区表项。整个ＭＢＲ主　引导扇区中分区表项的信息如表３所示。　表３整个ＭＩｑＲ主引导扇区中分区表项的信息　分区序号　分区表项１　分区表项２　分区表项３　分区表项４　活动标志　８０　００　０ｏ　００　开始磁头号　３２　２５４　２５４　２５４　开始扇区号　３３　６３　６３　６３　开始柱面号　Ｏ　１０２３　１０２３　１０２３　文件系统类型　０７（ＮＴＦＳ）　０７　ｆＮ１１　ｓ１　∞ｆＮＴＰ３）　ＯＦ　展分区　结束磁头号　２５４　２５４　２５４　２５４　结束扇区号　６３　６３　６３　６３　结束柱面号　１０２３　１０２３　ｌ０２３　１０２３　起始位置相对扇区数　２Ｏ４８　２０９７３５６８　３１４５９３２８　４１９４５０８８　总扇区数　２０９７ｌ５２０　ｌｏ４８５７６Ｏ　１Ｏ４８５７６０　２５　１６１７２８　对于现在大容量的硬盘，磁头、扇区、柱面的表示方法　已经无效，通常设为ＦＥＦＦＦＦ，这部分值可以直接忽略掉。分　区表项４的文件系统类型为０Ｆ，说明该表项指向的位置是一　个扩展分区表。需要解析扩展分区表来分析逻辑分区信息。　１．２扩展分区表　由于ＭＢＲ主引导扇区仅仅为分区表保留了６４字节的存　储空间，而每个分区表项需要１６字节，因此，ＭＢＲ主引导扇　区最多只可以存人４个分区表项。在具体的应用中，４个分区　往往不能满足实际需要。为了建立出更多的磁盘分区．系统　弓１人了扩展分区。扩展分区在分区表项中的文件系统类型为　ＯＦ或０５。系统中有多少个逻辑分区，就有多少个扩展分区　表。扩展分区表的结构与ＭＢＲ的分区表结构一致，但是只使　用前２个表项。后两个表项参数全部为０。　根据ＭＢＲ磁盘分区分区表项结构信息，分析全部分区表　项后可知整个ＭＢＲ磁盘分区的各分区信息如表４所示。　表４整个ＭＢＲ磁盘分区的各分区信息　分区类型　分区起始扇区相对位置　分区总扇区数　分区起始扇区绝对位置　基本分区１　２０４８　２０９７１５２０　２０４８　基本分区２　２０９７３５６８　ｌＯ４８５７６０　２０９７３５６８　基本分区３　３１４５９３２８　ｌＯ４８５７６０　３１４５９３２８　扩展分区表１　４ｌ９４５０８８　２５１６１７２８　４ｌ９４５０８８　逻辑分区１　２Ｏ４８　ｌＯ４８５７６０　４１９４７１３６　扩展分区表２　１Ｏ４８７８Ｏ８　１４６７３９２０　５２４３２８９６　逻辑分区２　２Ｏ４８　１４６７１８７２　５２４３４９４４　１．３　Ｗｉｎｄｏｗｓ磁盘签名Ｏｘ５５ＡＡ标志　主引导扇区的最后两个字节一定是结束标志０ｘ５５ＡＡ．是　检验主引导记录是否有效的标志。也叫做Ｗｉｎｄｏｗｓ磁盘签名，　是Ｗｉｎｄｏｗｓ系统在对硬盘做初始化时写入的一个标签。如果　硬盘的签名丢失，Ｗｉｎｄｏｗｓ系统就会认为该硬盘没有初始化，　也不会继续解析分区表项。在扩展分区表所在扇区的最后２　个字节，最后两个字节也一定是结束标志Ｏｘ５５ＡＡ。　２数据恢复技术与实现　ＭＢＲ分区丢失常见的故障有分区误删除和ＭＢＲ主引导扇　区损坏两种情况。其中第一种情况会导致被误删除的分区数　据无法访问，其他分区正常，而第二种情况则导致磁盘所有　分区数据无法访问。以下两种数据恢复都是通过多次实例总　结的。　２．１分区误删除　一个容量为３２ＧＢ的ＭＢＲ磁盘分区的硬盘．一共有３个　分区，因误操作导致第二个分区被删除，分区丢失。使用　Ｗｉｎｈｅｘ查看该硬盘的ＭＢＲ，发现分区表项剩余２项，最后两　项全为０　ＭＢＲ主引导扇区数据如表５所示。　表５　ＭＢＲ主引导扇区数据　ｏｆｆｓｅｔ　０　ｌ　２　３　４　５　６　７　８　９　Ａ　Ｂ　Ｃ　Ｄ　Ｅ　Ｆ　５０ｏｌ００ｌＢ０　８０　２０　５ｏｏ１０ｏ１Ｃ０　２ｌ　００　０７　ＦＥ　ＦＦ　ＦＦ　００　０８　００　００　００　００　４０　Ｏ１　００　ＦＥ　ｌ５００ｌｏ０ｌＤ０　ＦＦ　ＦＦ　０７　ＦＥ　ＦＦ　ＦＦ　００　０８　Ｅ０　０１　００　Ｅ８　１Ｆ　０２　００　００　Ｉ５ｏ０１０ｏ１ＥＯ　００　００（３０　Ｏ０　Ｏ０　０ｏ　Ｏ０　００　００　Ｏ０　００　Ｏ０　Ｏ０　ｏｏ　Ｏ０　Ｏ０　Ｉ５００１ｏ０１ＦＤ　００　００　００　００　００　００　００　００　００　００　００　００　００　００　５５　ＡＡ　主引导扇区、扩展分区表和Ｗｉｎｄｏｗｓ文件系统的分区起　始扇区的结束引导标志均为５５ＡＡ，且在扇区最后２个字节。　虽然第二个分区并不知道它的具体文件系统．但知道它的文　件系统的分区起始扇区位于分区１的结束扇区２０９７３５６７和分　区３的开始扇区３１４５９３２８之间。在这个范围内，使用Ｗｉｎ　Ｈｅｘ软件强大的搜索功能，找到２０９７３５６８扇区是一个完好的　ＮＴＦＳ文件系统的分区起始扇区。