任务1.3 了解数据恢复常用软件_数据恢复实用技术-QQ阅读男生轻小说网

上QQ阅读APP看书，第一时间看更新

任务1.3 了解数据恢复常用软件

数据恢复软件通过对存储介质底层的数据进行分析和编辑，可以对数据进行全方位的处理。目前市面上有很多简单易操作的数据恢复软件，在数据受到较大破坏的情况下底层编辑软件可能更实用，而这要求操作者对底层数据的理解程度也相对较高。下面介绍几款常用的数据恢复软件。

1.3.1 WinHex使用方法

WinHex是一款数据恢复底层编辑软件，该软件功能非常强大，它不仅可以用于恢复硬盘故障造成的数据丢失、检查和修复受损的文件、找回误删除的数据，还具有Hex（十六进制）和ASCII码的编辑、多文件搜索和替换、一般数学计算和逻辑运算、磁盘扇区编辑（支持FAT文件系统和NTFS文件系统）、自动搜索和编辑、比较和分析文件的数据内容、编辑内存数据等功能。

1.启动软件

打开WinHex后，按〈Enter〉键即可打开“Start Center（启动中心）”对话框，如图1-5所示。

图1-5 “Start Center”对话框

1.3.1 WinHex使用方法

WinHex能够根据用户的不同需要而选择“Open File（打开文件）”、“Open Disk（打开磁盘）”、打开RAM和打开系统中的文件夹。为了方便用户，WinHex还提供了最近打开项目的功能，这里包括方案和脚本选项，方案可以让用户有选择地保存自己的编辑操作；脚本是一个批量处理函数指令编辑系统，可以调用各种函数指令进行编程操作。

打开磁盘功能是数据恢复过程中最常用的一项，单击“Open Disk”按钮后，弹出如图1-6所示的“Select Disk（选择磁盘）”对话框。

图1-6 “Select Disk”对话框

2.主窗口界面

选择一个物理驱动器，将其打开，其主窗口界面如图1-7所示。

图1-7 主窗口界面

整个主窗口界面由详细资源面板、菜单栏、偏移量、工具栏、十六进制数据编辑区、文本区以及状态栏等部分构成。

（1）详细资源面板

WinHex主窗口的右边是详细资源面板，一共由6部分组成：硬盘参数、状态、容量、当前位置、窗口状态和剪切板。

（2）WinHex的偏移量

偏移量是地址相对于指定起始地址的位移，即距离。WinHex的偏移量由水平和垂直的十六进制坐标组成，它用于专门定位WinHex十六进制数据编辑区域中字节的位置。

（3）WinHex的十六进制数据编辑区

当使用WinHex打开一个数据文件进行编辑操作时，所编辑的文件数据都会在WinHex转换成十六进制编码，进一步在WinHex的数据编辑区中显示出来。在编辑区的右边有可以上下拖动的滚动条，以便能够完整地查看数据。

（4）文本区

文本区在数据编辑区的右边一栏，文本区的作用是将WinHex十六进制数据编辑区中的数据代码按照一定的编码规则翻译为ANSI ASCII、IBM ASCII以及Unicode等相应的字符。

（5）状态栏

状态栏位于主窗口的底部，包含一些辅助信息，如：当前扇区号和分区中的扇区总数。

（6）菜单栏

菜单栏位于主窗口上方，是数据恢复过程中最常用到的部分，包含常用的各种快捷功能。

1）编辑-修改数据。修改数据指的是对事先选择好的十六进制数据进行数据运算，如图1-8所示，包括加减、反转字节、反转位、左移位、右移位、位移、逻辑运算（与、或、异或）、左旋圆及ROT13等运算。

图1-8 编辑-修改数据

逻辑运算中的与（AND）、或（OR）运算，是不可逆转的，一旦运算后，原数据便无法恢复，请慎用。

2）搜索功能。搜索顾名思义就是搜索数据的具体位置，因为很多文件系统尤其是文件结构，大多都有固定的开头或者结尾，WinHex提供了多种搜索方式，可以“Find Text（搜索文件）”，也可以“Find Hex Values（搜索十六进制值）”，其菜单命令如图1-9所示。

图1-9 搜索

3）导航-跳转偏移量。文件系统的结构就像一条链，整条链的数据都可以根据前后关系通过计算而推导出来。WinHex的跳转偏移量功能使得数据的偏移量在确定时可以直接跳转到相应位置，其界面如图1-10所示。

图1-10 导航-跳转偏移量

跳转偏移量时可以相对于当前打开对象的开始、当前光标位置向下、当前光标位置向上、从尾部向上进行跳转偏移。跳转时的相对单位可以是字节、字、双字、扇区，注意是十进制还是十六进制。

4）导航-跳转扇区。跳转扇区功能，如图1-11所示，可在跳转偏移量中实现，在数据恢复过程中此功能被频繁使用。如果想从0扇区跳转到30 433 280扇区，只需要输入30 433 280，然后单击“OK”按钮，即可跳转至该扇区。

图1-11 导航-跳转扇区

5）工具。工具包含文件及磁盘工具等多种实用功能如图1-12所示。文件工具包含文件合并、分割、整合数据、比较等功能，可用来进行文件碎片的提取与修复。磁盘工具包含克隆磁盘、解析为磁盘分区起始、扫描丢失的分区等功能。

6）选项-常规设置。常规设置主要是一些用户习惯、字体以及基本设置，如图1-13所示。

图1-12 工具

图1-13 选项-常规设置

1.3.2 R-Studio使用方法

R-Studio是一款功能强大的数据恢复软件，与前面介绍的WinHex一样，不依赖于磁盘主引导扇区的“55AA”有效结束标志，就可以对分区表进行标识并列举出各个分区，利用这种特性进行数据恢复效率高。

1.R-Studio的特点

R-Studio的一些基本特点如下。

● 支持FAT、NTFS、UFS、ExtX、HFS等文件系统格式，范围更广。

● 参数设置比较灵活，可以根据具体情况进行设置，以便最大可能恢复数据。

1.3.2 R-Studio使用方法

● 支持远程恢复，可以通过网络的连接恢复远程计算机中的数据。

● 支持分区丢失、格式化、误删除等情况下的数据恢复。

● 不仅支持基本磁盘，还支持动态磁盘。

● 支持Raid阵列的数据恢复，包含跨区卷、Raid0、Raid1及Raid5的数据。

2.分区恢复的操作过程

扫描整个故障磁盘，利用软件自带的智能检索功能，根据搜索到的数据来确定现存的和曾经存在过的分区及其文件系统格式。下面以实例介绍利用R-Studio软件恢复分区的整个过程。

1）运行R-Studio后，程序可以自动识别硬盘，读取到磁盘现存的分区表，从而得知现有的分区现状，如图1-14所示。

图1-14 R-Studio主界面

通过软件可以看到，这个磁盘分为3个分区，第一个分区为NTFS，起始于1MB（2048号扇区）的位置，大小为100.51 GB；第二个分区为NTFS，起始于100.51 GB的位置，大小为311.00 GB；第三个分区为NTFS，起始于411.51 GB的位置，大小为520.00 GB。双击其中的一个分区，就可以遍历这个文件系统并以目录树的形式显示其目录及文件。如图1-15所示为所选的第一个分区中的目录及文件。

图1-15 第一个分区中的目录及文件

Root为根目录，单击Root后，可以在右侧的窗口中显示出根目录下所有的目录及文件。Metafiles为元数据文件目录，存放的是文件系统的管理数据。如果是FAT32文件系统的话，里面存放的就是DoS引导记录（DoS Boot Record，DBR）及FAT。

2）将硬盘中的分区删除，重新建立3个分区，模拟破坏分区完成。

3）利用R-Studio软件来进行分区的修复，从而恢复数据。

①扫描整个磁盘。如果要找到原来的分区，则需要对磁盘进行整盘扫描，而非单独的分区。

右击磁盘，在弹出的快捷菜单中选择“Scan（扫描）”命令，如图1-16所示。

图1-16 选择磁盘进行扫描

弹出“Scan（扫描设置）”对话框，如图1-17所示。在“Scan”对话框中，设置扫描的“Start（起始位置）”和“Size（大小）”。默认从磁盘的起始位置开始，同时单位也可以根据需求进行修改。整个磁盘从前到后全部进行扫描，在“Start”文本框和“Size”文本框中分别输入分区的位置和大小就可以确定扫描范围，提高扫描效率。

图1-17 “Scan”对话框

R-Studio软件可以支持ExtX文件系统、FAT和NTFS文件系统以及UFS文件系统。软件默认勾选所有的类型选项，但是在实际情况下只保留可能的文件系统类型，这样可以降低计算机的负载，提高扫描速度，从而减少扫描时间。此例中只有NTFS文件系统，那么就可以保留对NTFS文件系统类型的勾选。

默认勾选“Extra Search for Known File Types”复选框，使R-Studio在进行扫描的同时对已知文件类型的特征值进行扫描，并将扫描得到的同类型文件单独保存在一个目录下面。单击“Known File Types”按钮可以查看R-Studio所支持的文件类型种类，但是只有在文件系统破坏得十分严重、文件的元数据信息完全丢失的情况下才需要使用这种恢复方式，为了提高扫描速度不建议选择此项。

设置完成后开始扫描，如图1-18所示。

图1-18 扫描进行中

②查验扫描结果。扫描结束后，R-Studio将列出所有可能存在的分区，并给出每个分区的起始位置和大小。单击某个分区后，右侧的窗口中就会给出这个分区的逻辑参数，比如每个FAT项的大小、簇大小、根目录起始簇等，如图1-19所示。

从图1-19可见，程序共搜索到了4个NTFS类型分区，为什么会出现这种情况？

对磁盘原来的分区结构进行破坏并新建分区后，新建的第一个分区起始于2048扇区，而原来的第一个分区起始于63号扇区，而且DBR可能被破坏，这样原第一分区的DBR备份可能依然存在，其他结构可能完整。程序扫描时，首先在找到相应的$MFT及根目录，根据这些参数虛拟一个分区并解释其中的数据。这个分区就是图中显示的起始位置Recognized6。可想而知，这个分区正确地解释其中数据的可能性相对较小，所以用红色标识此分区。双击该逻辑磁盘后，R-Studio即开始根据该分区的参数遍历整个分区，然后在列表中显示找到的目录及文件，如图1-20所示。

图1-19 扫描结果

图1-20 扫描结果分区遍历分析

虽然列出了这个分区的目录和文件，目录名和文件名均正确，由于起始位置错误，导致目录区对应的数据区不符，从而根据分析结果并没有得到想要的文件内容，运用R-Studio中十六进制的编辑窗口打开文件数据区，根据文件结构判断这个文件的文件头或特征值是否正确。

选择需要打开查看的分区，右击，从弹出的快捷菜单中选择“View/Edit（查看/编辑）”命令，具体如图1-21所示。

图1-21 十六进制编辑查看器菜单栏

在十六进制编辑查看器中可以看到分区的起始数值为“EB 52 90”，如图1-22所示。

图1-22 打开分区的十六进制编辑查看器

查阅分析，确定是否是被破坏而丢失的分区，进行数据恢复时，通常利用WinHex与R-Studio两个数据恢复软件配合使用，协同工作；确定分区后，可单击分区中需要恢复的文件或目录，右击，在弹出的快捷菜单中选择“Recover（恢复）”命令，如图1-23所示。

图1-23 Recover恢复指定文件或目录

弹出“Recover（恢复选项）”对话框，可选择需要恢复文件的存放位置，也可进行其他恢复类型的选择，例如：恢复数据流、文件夹结构等，如图1-24所示。

图1-24 “Recover”对话框

1.3.3 DiskGenius使用方法

DiskGenius是一款磁盘管理及数据恢复软件，支持GPT磁盘类型（即采用GUID分区表）的分区操作，可以建立分区、格式化分区、删除分区等，同时提供了强大的数据恢复功能，如快速找回丢失的分区、误删除文件的恢复、分区被误格式化及分区被破坏后其分区内容的恢复、备份分区、还原分区、复制分区、复制硬盘、快速分区、检查与修复分区表错误、检测与修复坏道等功能。DiskGenius提供基本磁盘扇区的文件读写功能，支持VMWare虚拟磁盘的文件格式，支持各种类型的硬盘、U盘、存储卡。目前为止，DiskGenius支持Windows操作系统下的FAT16、FAT32、NTFS及EXFAT文件系统，支持Linux操作系统下的Ext3和Ext4文件系统。DiskGenius主界面示意图如图1-25所示。

图1-25 DiskGenius主界面

主界面主要分为3部分：磁盘分区、分区目录层次和分区参数。

DiskGenius的常用功能如下。

1.快速分区

使用DiskGenius软件的“快速分区”功能（操作系统下同样自带新建分区、格式化功能）可以对存储介质（硬盘、U盘、SD等）进行快速分区及格式化操作。

1.3.3 DiskGenius使用方法

选择需要快速分区的磁盘，右击，从弹出的快捷菜单中选择“快速分区”命令或者按〈F6〉键，打开“快速分区”对话框，如图1-26所示。

“快速分区”对话框包括各种选项，可采用默认设置，也可根据自身需求自定义。

● 分区表类型：可选择两种分区类型：MBR和GUID。

● 分区数目：可将磁盘分成一个分区或多个分区。

● 高级设置：在MBR分区类型中最多有4个主分区，如果超过4个分区，最多只能分3个主分区，具体在后面的章节再作解释。每个分区可以定义各自的配额、卷标名称、文件系统格式（FAT32、NTFS、EXFAT）、“对齐分区到此扇区数的整数倍”（可以选择2048扇区或者其他选项）选项如图1-27所示，单击“确定”按钮后完成快速分区。

图1-26 “快速分区”对话框

图1-27 “对齐分区到此扇区数的整数倍”选项

2.搜索分区（搜索丢失分区）

利用“搜索丢失分区”功能来搜索丢失的分区，可自定义选择搜索范围，也可利用磁盘的物理结构原理指定柱面范围进行搜索。软件不会向硬盘写入任何数据，也不会破坏用户的磁盘。利用高级搜索时可在窗口中查看结果，每搜索到一个分区都会向用户发出请求（请求对话框包括是否保留此分区、忽略、停止搜索），“搜索丢失分区”对话框如图1-28所示。

图1-28 “搜索丢失分区”对话框

3.恢复文件

当误删除了文件，在没有向此分区存入其他文件的前提下，可以通过DiskGenius恢复文件，也可以通过WinHex恢复文件。使用WinHex需要一定的基础知识和使用经验才可顺利找到需恢复的文件。DiskGenius则相对简单些，可利用其图形化界面，通过其自身功能算法自动查找需恢复的文件并恢复，而且查找更方便。下面简单介绍DiskGenius的使用方法。

（1）选择需要恢复文件所在磁盘

首先定位文件丢失所在的具体分区，选中后，单击工具栏“恢复文件”按钮，弹出“恢复文件”对话框，如图1-29所示。