您好, 访客   登录/注册

基于Winhex的U盘文件碎片化的数据恢复研究

来源:用户上传      作者:

  摘要:用户使用U盘存储编辑文件时,因文件单元大小及存储次序等因素,导致在文件系统FAT32中的存储结构不是连续的,碎片化的保存方式又因U盘的反复插拔或者误操作导致数据的丢失。本文基于Winhex数据恢复软件,模拟仿真U盘中文件碎片化存储现象,深入分析其文件存储的基本原理,并研究其快速恢复其文件的方法。
  关键词:FAT32;Winhex;碎片化;數据恢复
  中图分类号:TP309.3 文献标识码:A 文章编号:1007-9416(2020)02-0058-02
  1 U盘FAT32文件系统简介
  目前,市面上U盘的文件系统包括FAT32\NTFS\ExFAT等文件系统,主要以16G\32G存储大小的FAT32文件系统为主,U盘因价格便宜、小巧美观、易于携带等优点被用户广泛用于文件的传输及保存[1]。FAT32文件系统在U盘的结构如图1所示。FAT32文件系统将逻辑U盘的空间划分为三部分,依次是引导区(BOOT区)、文件分配表区(FAT区)、数据区(DATA区),引导区和文件分配表区又合称为系统区。
  其中,DBR (DOS Boot Record )中文释义为DOS 引导记录,记录了U盘分区的 BPB 参数,如分区的系统文件标志、每簇扇区数、FAT表1分区起始位置、分区大小、FAT表大小等相关重要信息,如图2部分截取所示。
  FAT表即为文件分配表,是FAT32文件系统的一个重要组成部分,它由很多个FAT表项构成,每个FAT表项占4个字节即32位,其中0号和1号FAT表项具有专门的用途,0号FAT表项用于存放分区所在的介质类型,硬盘的为F8,1号FAT表项一般为FFFFFFFF[2]。其空U盘的FAT表如图3所示,2至5号FAT表项被文件所占,说明2到5号簇已被U盘系统结构空间置留,空间所分配的标志为FFFFFFOF。
  数据区记录数据,首先是文件根目录的记录情况,一个空U盘的根目录为2号簇,从数据可知,该U盘数据为空,仅包括SYSTEM置留分配的数据空间及子目录INDEXE置留分配的数据空间。
  2 U盘文件的碎片化模拟仿真
  由图2的DBR截取图可知,DBR的位置为0扇区,由③可知FAT表1的位置为8236扇区,由⑤可知FAT表大小为16362个扇区,从而推导出根目录的位置8236+16362*2=40960。由②可知一个簇的大小为16个扇区,一个扇区512个字节,一个簇管理8192个字节,其碎片化仿真如下:
  首先,新建两个空的word文档,其大小为9216个字节,分别命名为1.doc和2.doc,将其移植入U盘,截取根目录数据如图4所示,FAT表1的数据如图5所示。由图中⑥、⑧和⑨可知2.doc文档是连续存储,占用2个簇大小(8192<9216<16384)。
  其次,在2.doc文档中输入字符,使其文档的大小>16384个字节,本次模拟仿真的文件大小为32256个字节,将其再次移植到U盘,替换覆盖原2.doc文件,根据计算,新的2.doc文件所占簇数为4,再次截取FAT表1的新数据如图6所示。
  3 碎片化文件分析及数据恢复
  分析对比图5与图6的数据,发现⑨与⑩的数据发现了变化,由⑩可知新2.doc的数据的第2段被12号簇和13号簇管理,也就是说此刻U盘的2.doc在FAT32文件系统存储不是连续的,分两段进行存储。如果依旧6号簇41024的位置,提取32256个字节,那么文件恢复出来将是乱码或者打不开文件。那么,文件出现碎片化将如何进行正确的恢复呢?
  第一步,Winhex软件打开U盘后,跳转到根目录的位置,找到目标文件的目录项,查看0C-0F位置上4个字节的文件大小,0A-0B位置上2个字节的首簇位置号,如本例2.doc的大小为32256个字节,首簇号为6号簇。第二步,跳转到FAT表1,查看6号FAT表项。如本例2.doc所占簇数为3<32256/8192<4,应占4个簇,从6号FAT表项查看下一个簇连号是否为7号簇,是否连续存储。第三步,分析判断出目标文件所占的簇数号及碎片化的起始段。如本例2.doc所占簇号为6、7、12和13,提取6与7号簇连续满簇16384字节再跳转到12号簇,提取另一段数据15872个字节。最后,把两段提取的数据拼凑到一起即可恢复新的目标文件。
  4 结语
  熟悉掌握文件在U盘中FAT32文件系统的结构及存储的原理,利用好Winhex数据恢复软件工具,将能确保我们U盘中的数据的可靠性和还原性。本文详细阐述了文件的碎片化产生的过程及原理,同时总结归纳了如何恢复碎片化文件的方法及步骤。
  参考文献
  [1] 刘伟.数据恢复技术深度揭秘[M].北京:电子工业出版社,2010.
  [2] 苏神保,刘丹.基于Winhex的exFAT文件系统结构研究[J].办公自动化,2019(02):28-30.
  Research on Data Recovery of  U Disk File Fragmentation Based on Winhex
  LONG Tie-guang
  (Hunan Mechanical Electrical Polytechnic, Changsha  Hunan  410600)
  Abstract:When users use usb flash drive to store and edit files, the storage structure in file system FAT32 is not continuous due to file unit size, storage order and other factors, and the fragmentation of the storage method is due to the usb flash drive repeatedly inserted or mistakenly operated resulting in the loss of data. Based on Winhex data recovery software, this paper simulates the fragmented storage of usb flash disk files, deeply analyzes the basic principle of file storage, and studies the method of fast recovery of files.
  Key words:FAT32; WinHex; fragmentation; data recovery
转载注明来源:https://www.xzbu.com/8/view-15192368.htm