【愚公系列】2022年06月 磁盘文件删除恢复-Winhex

一：相关知识点

硬盘存储原理

硬盘存储是指以硬盘为存储介质的存储方式，是一种采用磁介质的数据存储设备，数据存储在密封于洁净的硬盘驱动器内腔的若干个磁盘片上。这些盘片一般是在以铝为主要成分的片基表面涂上磁性介质所形成，在磁盘片的每一面上，以转动轴为轴心、以一定的磁密度为间隔的若干个同心圆就被划分成磁道（track），每个磁道又被划分为若干个扇区（sector），数据就按扇区存放在硬盘上。在每一面上都相应地有一个读写磁头（head），所以不同磁头的所有相同位置的磁道就构成了所谓的柱面（cylinder）。

传统的硬盘读写都是以柱面、磁头、扇区为寻址方式的（CHS寻址）。硬盘在上电后保持高速旋转（5400转/min以上），位于磁头臂上的磁头悬浮在磁盘表面，可以通过步进电机在不同柱面之间移动，对不同的柱面进行读写。所以在上电期间如果硬盘受到剧烈振荡，磁盘表面就容易被划伤，磁头也容易损坏，这都将给盘上存储的数据带来灾难性的后果。

硬盘的第一个扇区（0道0头1扇区）被保留为主引导扇区。在主引导区内主要有两项内容：主引导记录和硬盘分区表。主引导记录是一段程序代码，其作用主要是对硬盘上安装的操作系统进行引导；硬盘分区表则存储了硬盘的分区信息。计算机启动时将读取该扇区的数据，并对其合法性进行判断（扇区最后两个字节是否为0x55AA或0xAA55 ），如合法则跳转执行该扇区的第一条指令。所以硬盘的主引导区常常成为病毒攻击的对象，从而被篡改甚至被破坏。可引导标志：0x80为可引导分区类型标志；0表示未知；1为FAT12；4为FAT16；5为扩展分区等等。

winhex

是一款以通用的 16 进制编辑器为核心，专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具： 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。

二：用Winhex查看硬盘信息

1、使用winhex打开硬盘，分析硬盘信息

点击tools—>open disk，出现下图：

打开物理磁盘C盘，可以查看与编辑硬盘信息。

找到第一扇区末尾：000001F0处，查看末尾标志是否为55AA。

4、根据看到的信息，查找资料，分析硬盘的分区信息。

用Winhex找回被删除文件

1、建立反删除目标文件

关闭winhex，打开E盘（新建立的分区），建立一个文本文件，命名为：datarestore.txt，并添加内容。

保存之后，删除文件。删除后可以到E盘上查看，目标文件已经没有了。

2、找回文件

打开winhex，点击tools—>open disk，打开E盘：

点击Specialist—>refine volume snapshot 获取卷快照，也可以按快捷键F10

勾选“获取新快照”与“彻底搜索文件系统数据结构”，然后点击“确定”：

可以看到winhex自动查找硬盘文件系统，查找后找到被删除文件，被删除文件与存在的文件颜色不同：

右键该文件，点击恢复/复制

选择一个路径保存文件，打开恢复的文件，查看内容是否成功恢复。