Winhex 恢復三個分區

通過之前的博客WinHex恢復分區,我們知道

在MBR中，一共有四行是我們分區的引導，所以，我們手動只能創建三個主分區，通過工具軟件，我們最多可以創建四個主分區

那么測試：如何創建四個主分區?
首先，我們創建三個主分區

在創建第四個分區的時候，觀察會發現自動變成了一個擴展分區就是綠框框，綠框框里面才是我們創建的分區，被稱為邏輯分區

我們使用Winhex打開創建的虛擬磁盤
通過之前講的07代表NTFS的分區格式，那么0F代表擴展分區的格式

我們手動把0F改為07，ctrl + s保存


回到磁盤管理重新掃描查看


發現我們的擴展分區和邏輯分區變為了主分區，而且會提示我們格式化，當我們格式化后，就擁有了四個主分區

恢復三個主分區

由於三個以后就會自動生成擴展和邏輯分區，這里我們先學習如何恢復三個主分區

上節我們知道MBR引導扇區通過四行分區表來定位到創建的分區2-5這幾列控制分區類型

6-9列控制分區的開始

A-D列控制分區的大小

當我們手動刪除分區的時候，其實並沒有刪除分區的數據其實還存儲在扇區中，我們手動刪除的只是MBR索引，那么只需要將MBR四行分區表中填入分區的開始和大小即可恢復
首先手動創建三個分區並將三個分區刪除,進入WinHex打開我們創建的虛擬磁盤，在之前有介紹


這四行沒有任何數據，正式我們想要的

尋找第一個分區

使用16進制搜索，在1扇區往下搜索55AA,條件偏移為512=510


我們的扇區跳轉到了2048扇區

這里磁盤開頭為EB 52 90，是NTFS的標識,4E 54 46 53,代表ASCII值NTFS
這些都是固定格式，當然還有很多的固定格式
上節我們知道1C-1F為磁盤的開始，28-2B為磁盤的大小
那么我們就得到的分區一的MBR引導

1c為2048

28為6,143,999
我們使用記事本記錄下來

尋找第二個分區

我們並不知道哦分區二的開始在哪里
分區一的開始 + 分區一的大小 = 分區一的結束，這個是肯定的，我們加上去看一看

6,146,047扇區，我們跳轉到這個扇區去看一看,跳轉分區快捷鍵ctrl + g
跳轉到這個分區會發現這個扇區的1C和28和2048扇區_分區一的開始扇區的內容還是一模一樣的，這個我們稱為dbr1備份，分區一的備份

我們手動滾到下一個扇區，6146048扇區

觀察1C的值為6,146,048和當前磁盤一樣，我們磁盤字節1C為磁盤的開始，所以我們當前的扇區就是dbr2的開始
觀察28的值為7,167,999.

我們將這兩個值記錄下來

由此我們可以得到一個結論:
1C + 28 + 1 = 下一個分區的開始
1C + 28 = 分區的備份
分區一的開始 + 分區一的大小 + 1 = 分區二的開始
加一是因為剛剛我們手動滾了一個分區

尋找三個分區

根據我們剛剛的方法，那么第三個分區的開始就是分區二的開始 + 分區二的大小 + 1 = 分區三個開始

通過計算得出，分區三的開始為13,314,048,跳轉到該扇區

1C值為13,314,048和當前扇區一樣，確實就是第三個分區的開始
28值為3,071,999，記錄下來

現在我們得到了三個分區的開始和結束，只需要在MBR分區表填寫即可恢復我們的分區

回到0扇區 MBR填寫分區表

填寫后保存，在磁盤管理里查看

成功將我們的分區恢復