一 Winhex和相關概念簡單介紹
1 Winhex
是在Windows下執行的十六進制編輯軟件,此軟件功能很強大,有完好的分區管理功能和文件管理功能。能自己主動分析分區鏈和文件簇鏈。能對硬盤進行不同方式不同程度的備份。甚至克隆整個硬盤;它可以編輯不論什么一種文件類型的二進制內容(用十六進制顯示)其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的隨意扇區。是手工恢復數據的首選工具軟件。
2 數據恢復概念
數據恢復分類:硬恢復和軟恢復。所謂硬恢復就是硬盤出現物理性損傷。那么我們將它修好。同一時候又保留里面的數據或后來恢復里面的數據。所謂軟恢復。就是硬盤本身沒有物理損傷。而是因為人為或者病毒破壞所造成的數據丟失(比方誤格式化,誤分區),這種數據恢復就叫軟恢復。主要介紹軟恢復,硬恢復還須要購買一些工具設備(比方pc3000,電烙鐵。各種芯片、電路板)。
3 MBR和EBR
MBR,即主引導記錄,位於整個硬盤的0柱面0磁道1扇區,共占用了63個扇區,但實際僅僅使用了1個扇區(512字節)。在總共512字節的主引導記錄中,MBR又可分為三部分:第一部分:引導代碼,占用了446個字節;第二部分:分區表。占用了64字節;第三部分:55AA,結束標志,占用了兩個字節。后面我們要說的用winhex軟件來恢復誤分區。主要就是恢復第二部分:分區表。引導代碼的作用:就是讓硬盤具備能夠引導的功能。假設引導代碼丟失,分區表還在。那么這個硬盤作為從盤全部分區數據都還在。僅僅是這個硬盤自己不能夠用來啟動進系統了。假設要恢復引導代碼。能夠用DOS下的命令:FDISK /MBR;這個命令僅僅是用來恢復引導代碼,不會引起分區改變,丟失數據。另外,也能夠用工具軟件,比方DISKGEN、WINHEX等。
但分區表假設丟失。后果就是整個硬盤一個分區沒有。就好象剛買來一個新硬盤沒有分過區一樣。
是非常多病毒喜歡破壞的區域。
EBR
EBR。也叫做擴展MBR(Extended MBR)。由於主引導記錄MBR最多僅僅能描寫敘述4個分區項,假設想要在一個硬盤上分多於4個區,就要採用擴展MBR的辦法。
MBR、EBR是分區產生的。
每個分區又由DBR、FAT1、FAT2、DIR、DATA 5部分。
4 Winhex菜單和界面
最上面的是菜單條和工具欄,以下最大的窗體是工作區,如今看到的是硬盤的第一個扇區的內容。以十六進制進行顯示。並在右邊顯示對應的ASCII碼,右邊是具體資源面板。分為五個部分:狀態、容量、當前位置、窗體情況和剪貼板情況。這些情況對把握整個硬盤的情況很有幫助。另外。在其上單擊鼠標右鍵,能夠將具體資源面板與窗體對換位置。或關閉資源面板。(假設關閉了資源面板能夠通過“察看”菜單——“顯示”命令——“具體資源面板”來打開)。 最以下一欄是很實用的輔助信息。如當前扇區/總扇區數目……等向下拉拉滾動欄。能夠看到一個灰色的橫杠,每到一個橫杠為一個扇區,一個扇區共512字節,每兩個數字為一個字節,比方00。
5 中文菜單
選擇下圖中的Chinese,please!。可轉為中文菜單;只是下了個17.x版本號的,須要注冊才干轉為中文菜單;又下了個18.x版本號的。可轉為中文菜單;
二 使用入門
1 打開磁盤
菜單:工具-打開磁盤;
選擇要打開的磁盤;
2 界面
上方是文件夾和文件情況;下邊是打開磁盤的16進制數值。
3 找下MBR的結束標志
按前文所述,MBR占1個扇區,512字節,結束標志是55AA。可從Winhex直接打開計算器,10進制的512轉換為16進制是200;
找到偏移00000200,例如以下圖,每一個扇區結束有一個橫線標志;偏移從00000000開始,那么第二個扇區的起始偏移是00000200;看下下圖,Offset列值為000001F0所相應行的最后2個字節。為55 AA,正是MBR的結束標志。這樣就找到了MBR所在區域;
4 查看分區表
分區表位於結束標志之前的64個字節;每行16字節,4*16=64;那么第一扇區倒數第五行,倒數的第2個字節,就是分區表的起始;例如以下圖。其值為0D;
到此就出現故障了;
按網上資料,分區表第一字節是引導標志。若值為80H表示活動分區。若值第1字節 為00H表示非活動分區。那么我的0D是表示什么?
第五字節是分區類型;按網上資料,
00H——表示該分區未用
06H——FAT16基本分區
0BH——FAT32基本分區
05H——擴展分區
07H——NTFS分區
0FH——(LBA模式)擴展分區
83H—— Linux分區
數到第五個字節,我的為什么是4F?
剛才打開的C盤,再打開B盤。是一樣的。
到此就搞不下去。下次再說吧。
例如以下圖的箭頭button。能夠輸入偏移值,進行跳轉;
