乔楠 河南省交通高级技工学校
随着存储设备的容量增长迅速,以往的应用在容量叫嚣的存储器中已经不能满足要求,急需对文件系统进行扩充和增强,FAT32文件格式的出现解决了以前存储空间小等问题,FAT32分区格式拥有一个32位的文件分区分配表,该类型的分区格式不但能很好高效的存储数据,还会减少许多磁盘空间的浪费。
图1:FAT32扇区分布图(一主一扩多逻辑)
从图1中可以看出FAT32分区格式的主分区是在零扇区,DBR1和其备份之间相差6个扇区,DBR1备份之后是两个FAT表,FAT表之后是根目录,根目录后是数据区,所有的文件都是在根目录下的数据区存储着,所以在文件恢复过程中首先得找到根目录,通过根目录再在数据区中寻找文件的开始位置和结束位置,最终找到代表文件的数据,进行文件恢复。
在10G的U盘中存储一个文件,命名为毕业论文.doc,建完之后由于操作不善,误将其删除,然后通过WinHex软件对该进行恢复。在恢复该文件之前,首先要明白,文件所存的位置是在根目录下的数据区,所以,要想找到文件,先要找到根目录,由图1 可以知道,根目录(DIR)=DBR+保留扇区数+FAT表大小*2,然后找到数据区,最后找到文件的大小以及其所在的位置。
首先用WinHex软件加载这个虚拟磁盘打开之后,0扇区为该磁盘的主分区:(1)倒数五行描述了该磁盘的详细信息,如下图所示:总共64个十六进制字符代表了整个磁盘的分布情况,其中十六进制数20 21 00 代表了通过磁头扇区,可以填写也可以不填写,但如果该磁盘为U启动盘的话必须要填写,可以填写为十六进制数:01 01 00 ;十六进制数0B 或者0C代表了FATA32格式;07则代表了NTFS格式;十六进制数FE FF FF分别表示磁头、扇区和柱面信息,可以不填写;十六进制数00 08 00 00表示隐藏扇区数;十六进制数00 E8 3F 01代表扇区大小。
图2:磁盘分布图
(2)要想找到文件首先要找到DBR1,因为在DBR1扇区中有许多重要信息,如何真正搜索到DBR1呢?我们通过WinHex软件定位到0扇区的下一个扇区,也即是第一扇区,开始向下搜索55AA,如下图所示:其中55AA是DBR1磁盘扇区结束的部分为55AA,一定是选择向下搜索,并且偏移条件为:512=510,512是一个磁盘扇区的大小为512个字节,512=510则就代表了最后两个字节,通过跳转到DBR1。
图3:DBR搜索图
(3)以下所有数字都是十六进制数,其中00-02 EB 58 90 代表DBR的开头,DBR的结尾为55AA,0B-0C 代表扇区大小为512字节,0E-0F代表保留扇区数,0D代表一簇等于多少个扇区,10是固定字节为02,15固定字节为F8,1C-1F为隐藏扇区数,20-23代表磁盘大小,24-27代表FAT表大小,30-32为固定值01 00 06,其中06代表data的备份,如果不填写的话则打不开分区,52-56代表FAT32固定字节46 41 54 33 。
(4)由图1 FAT32分布扇区图可以知道,在DBR后搜索:“F8 FF FF 0F”,找到FAT表,查看其构成;其次根据DBR+保留扇区数+FAT表大小*2,得到根目录的扇区位置;其次再根据根目录找到要恢复文件对应的2行重要数据,且保证该2行数据的第二行的X4-X5 为“00 00”,则XA-XB的数值为该文件的起始簇号,XC-XF为文件的大小文件大小用字节数表示;然后可以找到该文件所在的扇区号,根目录的扇区号+(A-)*簇的大小,也就是说在根目录中找到的文件的簇号是相对于根目录来说的;最后把数据导出形成文件,这也就是所要恢复的文件。
数据恢复对于当今社会非常的重要,为我们的误删,误操作等做出了很多的贡献,但是并不是所有的数据恢复都是能成功的,在日常生活中一定要重视数据的保管,经常做到备份,最好的数据恢复就是备份;“硬件有价,数据无价”,所以说养成良好的备份习惯非常重要的。