最完整的winhex教程

共 46页 第 1页 winhex 教程 人力资源管理pdf成真迷上我教程下载西门子数控教程protel99se入门教程fi6130z安装使用教程 winhex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就 是硬盘出现物理性损伤，比如有盘体坏道、电路板芯 片烧毁、盘体异响，等故障，由此所导致的普通用户 不容易取出里面数据，那么我们将它修好，同时又保 留里面的数据或后来恢复里面的数据，这些都叫数据 恢复，只不过这些故障有容易的和困难的之分；所谓 软恢复，就是硬盘本身没有物理损伤，而是由于人为 或者病毒破坏所造成的数据丢失（比如误 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 化，误 分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需 要购买一些工具设备（比如 pc3000,电烙铁，各种芯片、 电路板），而且还需要懂一点点电路基础，我们这里 所讲到的所有的知识，涉及面广，层次深，既有数据 结构原理，为我们手工准确恢复数据提供依据，又有 各种数据恢复软件的使用方法及技巧，为我们快速恢 复数据提供便利，而且所有软件均为网上下载，不需 要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换 我不想多说，因为他对我们数据恢复来说帮助不大， 而且很容易把我们绕晕。如果你感兴趣想多了解一些， 可以到百度里面去搜一下，这方面资料已经很多了， 就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构 www.plcworld.cn 共 46页 第 2页 MB R C 盘 EB R D 盘 EB R E 盘 MBR，即主引导记录，位于整个硬盘的 0柱面 0 磁道 1扇区，共占用了 63个扇区，但实际只使用了 1 个扇区（512 字节）。在总共 512 字节的主引导记录 中，MBR又可分为三部分：第一部分：引导代码，占 用了 446个字节；第二部分：分区 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf ，占用了 64字节； 第三部分：55AA，结束标志，占用了两个字节。后面 我们要说的用 winhex软件来恢复误分区，主要就是恢 复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功 能。如果引导代码丢失，分区表还在，那么这个硬盘 作为从盘所有分区数据都还在，只是这个硬盘自己不 能够用来启动进系统了。如果要恢复引导代码，可以 用 DOS下的命令：FDISK /MBR；这个命令只是用来 恢复引导代码，不会引起分区改变，丢失数据。另外， 也可以用工具软件，比如 DISKGEN、WINHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区 没有，就好象刚买来一个新硬盘没有分过区一样。是 很多病毒喜欢破坏的区域。 EBR，也叫做扩展 MBR（Extended MBR）。因 为主引导记录 MBR 最多只能描述 4 个分区项，如果 想要在一个硬盘上分多于 4个区，就要采用扩展MBR 的办法。 MBR、EBR是分区产生的。 比如MBR和 EBR各都占用 63个扇区，C盘占用 1435329个扇区……那么数据结构如下表： 63 1435329 63 1435329 63 1253889 MBR C盘 EBR D盘 EBR E盘 扩展分区 www.plcworld.cn 共 46页 第 3页 而每一个分区又由 DBR、FAT1、FAT2、DIR、 DATA 5部分组成：比如 C 盘的数据结构： C 盘 DBR FAT1 FAT2 DIR DATA Winhex Winhex 是使用最多的一款工具软件，是在 Windows下运行的十六进制编辑软件，此软件功能非 常强大，有完善的分区管理功能和文件管理功能，能 自动分析分区链和文件簇链，能对硬盘进行不同方式 不同程度的备份，甚至克隆整个硬盘；它能够编辑任 何一种文件类型的二进制内容（用十六进制显示）其 磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇 区，是手工恢复数据的首选工具软件。 首先要安装Winhex，安装完了就可以启动 winhex 了，启动画面如下：首先出现的是启动中心对话框。 这里我们要对磁盘进行操作，就选择“打开磁 盘”，出现“编辑磁盘”对话框： www.plcworld.cn 共 46页 第 4页 在这个对话框里，我们可以选择对单个分区打开， 也可以对整个硬盘打开，HD0是我现在正用的西部数 据 40G系统盘，HD1是我们要分析的硬盘，迈拓 2G。 这里我们就选择打开 HD1 整个硬盘，再点确定.然后 我们就看到了Winhex的整个工作界面。 www.plcworld.cn 共 46页 第 5页 最上面的是菜单栏和工具栏，下面最大的窗口是 工作区，现在看到的是硬盘的第一个扇区的内容，以 十六进制进行显示，并在右边显示相应的 ASCII码， 右边是详细资源面板，分为五个部分：状态、容量、 当前位置、窗口情况和剪贴板情况。这些情况对把握 整个硬盘的情况非常有帮助。另外，在其上单击鼠标 右键，可以将详细资源面板与窗口对换位置，或关闭 资源面板。（如果关闭了资源面板可以通过“察看”菜 单——“显示”命令——“详细资源面板”来打开）。 最下面一栏是非常有用的辅助信息，如当前扇区/总扇 区数目……等 向下拉拉滚动条，可以看到一个灰色的横杠，每 到一个横杠为一个扇区，一个扇区共 512 字节，每两 个数字为一个字节，比如 00。 下面我们来分析一下MBR，因为前面我们说过， 前 446个字节为引导代码，对我们来说没有意义，这 里我们只分析分区表中的 64个字节。 www.plcworld.cn 共 46页 第 6页 分区表 64个字节，一共可以描述 4个分区表项， 每一个分区表项可以描述一个主分区或一个扩展分区 （比如上面的分区表，第一个分区表项描述主分区 C 盘，第二个分区表项描述扩展分区，第三第四个分区 表项填零未用） 每一个分区表项各占 16 个字节，各字节含义如 下：（H表示 16进制） 字节位置 内容及含义 第 1字节 引导标志。若值为 80H表示活动分区；若值为 00H表示非活动分区。 第 2、3、4 字节 本分区的起始磁头号、扇区号、柱面号 第 5字节 分区类型符： 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——（LBA模式）扩展分区 83H—— Linux分区 第 6、7、8 字节 本分区的结束磁头号、扇区号、柱面号 第 9、10、 11、12字 节 本分区之前已用了的扇区数 第 13、14、 15、16字 节 本分区的总扇区数 www.plcworld.cn 共 46页 第 7页 此硬盘的第一分区表（即MBR）分析如下： 第一个分区表项（C盘） 第 1字节 80：表示此分区为活动分区； 第 5字节 0B：表示分区类型为 Fat32； 第 9、10、11、12字节 系统隐含扇区 3F 00 00 00： 所谓系统隐含扇区就是本分区（C 盘）之前已用了的 扇区数，这是一个十六进制数，但要注意：真正的隐 含扇区数应该反过来填写（比如：隐含扇区数为 3E 4D 5A 6F，则反过来就是 6F 5A 4D 3E ，这才是实际的 隐含扇区数）。那么，3F 00 00 00反过来写就是 00 00 003F，也就是 3F，将他转成十进制数我们才能知道实 际的隐含扇区数是多大。这可以使用计算器来算，单 击工具栏上的“计算器”按钮，如下图： 这样就启动了计算器 计算器有两种型号，我们要进行进制转换，就要 选择“科学型” www.plcworld.cn 共 46页 第 8页 比如我们要将十六进制 3F 转换为十进制，就要 先选中“十六进制”，然后输入 3F www.plcworld.cn 共 46页 第 9页 再选中“十进制”，十六进制 3F 转为十进制等于 63。想一想我们前面所讲的，MBR占用 63个扇区， 也就是 C盘之前已用了的扇区数为 63，第 64个扇区 就是 C盘的第一个扇区，但要注意的是，整个硬盘的 LBA（注：LBA(Logical Block Addressing)逻辑块寻址 模式。在 LBA 模式下，我们知道硬盘上的一个数据 区域由它所在的磁头、柱面（也就是磁道）和扇区所 唯一确定。早期系统就是直接使用磁头柱面和扇区来 对硬盘进行寻址（这称为 CHS寻址），这需要分别存 www.plcworld.cn 共 46页 第 10页 储每个区域的三个参数（这称为 3D 参数），使用时 再分别读取三个参数，然后再在送到磁盘控制器去执 行。由于系统用 8b来存储磁头地址，用 10b来存储柱 面地址，用6b来存储扇区地址，而一个扇区共有512B， 这样使用 CHS寻址一块硬盘最大容量为 256 * 1024 * 63 * 512B = 8064 MB(1MB = 1048576B)（若按 1MB=1000000B 来算就是 8.4GB）。随着硬盘技术的 进步，硬盘容量越来越大，CHS 模式无法管理超过 8064 MB 的硬盘，因此工程师们发明了更加简便的 LBA 寻址方式。在 LBA 地址中，地址不再表示实际 硬盘的实际物理地址（柱面、磁头和扇区）。LBA编 址方式将 CHS 这种三维寻址方式转变为一维的线性 寻址，它把硬盘所有的物理扇区的 C/H/S编号通过一 定的规则转变为一线性的编号，系统效率得到大大提 高，避免了烦琐的磁头/柱面/扇区的寻址方式。在访问 硬盘时，由硬盘控制器再将这种逻辑地址转换为实际 硬盘的物理地址。）地址是从零开始的，0~62的扇区 为MBR。 第 13、14、15、16 字节本分区总扇区数(当然， 这也就是 C盘的大小)：C1 E6 15 00，同样，实际的十 六进制数也要反过来才对，也就是 00 15 E6 C1，将它 www.plcworld.cn 共 46页 第 11页 转换成十六进制数是 1435329。给你出个题，你知道 D盘的 EBR在哪个扇区吗？我们一起来算一下，还记 得前面数据结构那个表吗？C 盘后面不就是 D 盘的 EBR吗？D盘 EBR的第一个扇区=MBR+C盘的大小， 也就是 63+1435329=1435392。 我们来看看对不对，单击工具栏上的“转到扇区” 按钮，出现一个“转到扇区”对话框 然后输入 1435392，再点“确定”，就到了 1435392 扇区了（你可以使用它再转回到 0扇区） 这个就是 D盘的 EBR，也就是 D盘的分区表了， 怎么知道的呢？因为MBR和 EBR的结构是完全一样 的，都是占用了 63个扇区，但只用了第一个扇区，其 余 62个扇区填零不用。第一个扇区前 446个字节都为 引导代码，后 64 个字节为分区表，最后 2 个字节为 55AA结束标志。因为 EBR不是活动分区，不需要引 导代码，所以前 446个字节为零。 还有另一种方法直接找到 D 盘的 EBR，单击“访 问”下拉按钮——“分区二”——“分区表”，直接就到 1435392扇区. www.plcworld.cn 共 46页 第 12页 这样，分区表中的第一个分区表项共十六个字节 分析完毕，下面我们再来看看第二个分区表项（扩展 分区）。 第 1字节 00：表示非活动分区 第 5字节 05：表示扩展分区 第 9、10、11、12字节 00 E7 15 00：本分区之前 的扇区数（扩展分区前面也就是 MBR 和 C 盘，好像 我们前面算过这个数？）同样，先将它反过来，就是 00 15 E7 00 ，再转为十进制是 1435392，看来我们前 面真的算过这个数。 第 13、14、15、16字节 40 09 29 00：本分区的总 扇区数。也就是扩展分区的总扇区数。转为十进制应 该是 2689344。想一想，用这个数加上前面的 1435392， 不正好是整个硬盘的总扇区数 4124736吗？ 这样，如果分区表被破坏，我们只要把这些数值 都计算出来并填上，分区表不就恢复了？那么，这里 我们为什么不分析第 2、3、4字节（本分区的起始磁 头号、扇区号、柱面号）和第 6、7、8字节（本分区 的结束磁头号、扇区号、柱面号）呢？这是因为 C/H/S(柱面/磁头/扇区)是老式硬盘的寻址方式，这种 寻址方式来管理硬盘效率很低；而现在几乎所有的硬 盘都支持 LBA(全称是 Logic Block Address，即扇区的 逻辑块地址)寻址方式，这种管理方式简单高效。在 www.plcworld.cn 共 46页 第 13页 LBA方式下，系统把所有的物理扇区都统一编号，按 照从零到某个最大值排列，这样只用一个序数就确定 了一个唯一的物理扇区。 小知识：具体一个硬盘有多少个 LBA(扇区)不需 要我们去记忆，因为用各种工具软件（如 MHDD WINHEX等）都可以检测到。我们只要知道个大概就 行了：如 10G 的硬盘大概有 2000 万个扇区；20G 的 硬盘大概有 4000 万个扇区；40G 的硬盘大概有 8000 万个扇区……那么，2G的硬盘大概有 400万个扇区。 那么，你可能要问了：如果要恢复分区表，这个 起始磁头号、扇区号、柱面号还有结束磁头号、扇区 号、柱面号应该怎么填呢？简单得很，在后面恢复分 区表的时候我会告诉你，直接填，都不用计算。 还有兴趣来分析一下 D盘的 EBR吗？ 其实D盘的EBR和Ｅ盘的EBR我们不分析也罢， 因为无非也是分区表，跟 MBR 的结构是一样的，但 却很容易把我们绕晕，又因为 EBR 一般不容易被破 坏，所以我不建议分析 EBR。 但如果你一定要分析，那就分析吧。 单击“访问”下拉按钮——“分区二”——“分区 表”，直接就到 1435392扇区，即 D盘的分区表 EBR。 第一个分区表项（D盘）： 第 1个字节 00：表示非活动分区 第 5个字节 06：表示 FAT16分区 第 9、10、11、12字节 3F 00 00 00：本分区之前 已用了的扇区数，也就是 EBR的数目，63个。 第 13、14、15、16字节 C1 E6 15 00：本分区的 www.plcworld.cn 共 46页 第 14页 总扇区数，也就是 D盘的扇区数，先反过来排列就是 00 15 E6 C1，转为十进制就是 1435329。 第二个分区表项（D盘后面的）： 第 1个字节 00：表示非活动分区 第 5个字节 05：表示扩展分区 第 9、10、11、12字节 00 E7 15 00：本分区之前 已用了的扇区数，也就是 D盘的 EBR加 D盘总共的 大小， 63+1435329=1435392 第 13、14、15、16字节 40 22 13 00：本分区的总 扇区数，1253952,也就是 E盘的大小再加上一个 EBR 的数目。 单击“访问”下拉按钮——“分区三”——“分区 表”，直接就到 2870784扇区，即 E盘的分区表 EBR。 因为 E盘后面没有分区了，所以没有第二个分区表项。 这里我们就不再研究了，有兴趣的话可以自己多备一 块硬盘作从盘，然后自己分分区研究研究。 通过以上的研究我们 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 一下，MBR在定义分区 的时候，将多余的容量定义为扩展分区，指定该扩展 分区的起止位置，根据起始位置指向硬盘的某一个扇 区，作为下一个分区表项，接着在该扇区继续定义分 区，如果只有一个分区，就定义该分区，然后结束； www.plcworld.cn 共 46页 第 15页 如果不止一个分区，就定义一个基本分区和一个扩展 分区，扩展分区再指向下一个分区描述扇区，在该分 区上按照上述原则继续定义分区，直至分区定义结束。 这些用来描述分区的扇区形成一个“分区链”，通过这 个分区链，就可以描述所有的分区。系统在启动时按 照分区链的连接顺序查找分区，直至找出所有分区。 这个链显然是个开链结构，如果形成一个环，系统本 身并不会去判断它，它只是按照这个链忠实的查找分 区，而不进行任何额外的检测与处理。所谓硬盘逻辑 锁，就是让分区链形成一个环，这样系统在启动时就 在分区表内循环，表现为系统无法引导，就是从软盘 启动，也不能进入硬盘。明白了其结构原理，解决这 个问题就简单了，目前有很多种方法解决这个问题， 后面我们还会讲到。系统就是利用这种方法使一个硬 盘分区后看起来象多个硬盘。系统能够找到 C盘以外 的其他逻辑盘的唯一办法就是，沿着 EBR所描述的分 区链查找分区。 其实，通常情况下 EBR是不会被破坏的，或者破 坏的几率极低极低，通常情况下，都是只有 MBR 被 破坏，那么这种情况下，我们只要把 MBR 的分区表 64个字节复原，其他的分区顺着分区表所提供的链自 然而然就出来了。那么，如何才能将分区表复原呢？ 这就要通过计算结合Winhex强大的功能来实现了。 下面我们就来模仿分区表被病毒破坏的情况，将 MBR全部填零。我们首先将MBR所在的扇区选中。 鼠标指向第一个字节，单击右键，选择“选块开始” www.plcworld.cn 共 46页 第 16页 然后鼠标指向MBR的最后一个字节，单击右键， 选择“选块结尾” www.plcworld.cn 共 46页 第 17页 然后我们在选区内部单击鼠标右键，选择“编辑” www.plcworld.cn 共 46页 第 18页 这样就有出来一个菜单 然后我们选“填充选块”，这样就出来一个填充选 块对话框 www.plcworld.cn 共 46页 第 19页 在“用十六进制填充”的输入框中输入“00”，再点 “确定” 这样MBR所在扇区全部被我们填充为“00” 如果想取消选区，那就用鼠标拖动随便选中一块 区域，那么原来的选区就会取消。注意，如果扇区数 据被修改了而没有存盘就会变为别的颜色。 www.plcworld.cn 共 46页 第 20页 修改了扇区，这时候还没有存盘生效，如果你想 存盘生效的话，就选择“文件”菜单“保存扇区”命令。 这时候就会出现一个提示，如果你不想存盘了就 点取消，如果想存盘，就点确定，再点是。 www.plcworld.cn 共 46页 第 21页 好，这样就存盘了，扇区被修改的数据又变为黑 色。 这样我们就把分区表给删除了，这时候必须重新启 动才能生效，如果你打开我的电脑，会发现三个分区 （F 、G、 H）还在那里，并且里面的数据还能正常 使用。 www.plcworld.cn 共 46页 第 22页 现在，我们关闭所有程序将电脑重新启动…… 经过不长时间的等待，电脑启动起来了，我们打 开我的电脑看看，发现 F 、G 、H三个分区不见了。 www.plcworld.cn 共 46页 第 23页 再打开Winhex发现MBR全部为零了，下面我们 就着手开始手工恢复分区表首先恢复引导代码，这最 简单了，只要用 Winhex 到别的系统盘把引导代码复 制过来就行了。我现在的机器上不是挂着两个硬盘 吗？一个迈拓 2G，一个西数 40G，西数 40G 是我的 系统盘，那就从这个盘上复制就行了。 单击“磁盘编辑器”按钮 出现“编辑磁盘”对话框 www.plcworld.cn 共 46页 第 24页 选择“HD0 WDC WD400EB---00CPF0”,点“确定” 这样我们就把系统盘的分区表给打开了，注意， 现在我们是打开了两个窗口，当前的窗口是“硬盘 0”， 在标题栏上有显示。另外，打开窗口菜单也能看出来， 当前窗口被打上一个勾，如果想切换回原来的窗口， 就点击“硬盘 1”。 首先选中系统盘的引导代码 www.plcworld.cn 共 46页 第 25页 然后在选区中单击鼠标右键，选“编辑” 又出来一个菜单，然后我们选“复制选块”——“正 常” www.plcworld.cn 共 46页 第 26页 然后我们切换回硬盘 1窗口，在零扇区的第一个 字节处单击鼠标右键，选“编辑” 然后选“剪贴板数据”——“写入……” www.plcworld.cn 共 46页 第 27页 出现一个窗口提示，点“确定” 这样，我们就把一个正常系统盘上的引导代码复 制过来了。 www.plcworld.cn 共 46页 第 28页 下面，我们就开始恢复分区表（共 64个字节，分 为 4个分区表项，每个分区表项占用 16个字节，一般 只使用前两个分区表项），我们首先来恢复第一个分 区标项（也就是用来描述 C盘的）。 首先，在第 1 个字节处（0 扇区倒数第五行，倒 数第二个字节）填上分区引导标志，因为 C盘是活动 分区，所以填上 80。 接着是第 2、3、4字节（本分区起始磁头号、扇区号、 柱面号），填上：01 01 00。 第 5 字节是分区类型符，因为原先 C 盘是 Fat32 格式，所以填上：0B。那么，如果你不知道 C盘是什 么格式怎么办呢？你会说问问客户呀，那么如果他也 不知道呢？别着急，后面在说恢复 DBR的时候我会教 你怎么分辨分区的格式。 第 6、7、8字节是本分区的结束磁头号、扇区号、 柱面号，这怎么知道呢？别着急，现在的磁盘都是按 照 LBA方式寻址，并不按照 C/H/S(及柱面、磁头、扇 区)方式寻址，所以这个地方你填些什么一般关系不 大，但是我要告诉你有一个通用的填法，那就是：FE FF FF。 第 9、10、11、12字节，本分区之前已用了的扇 区数，也就是MBR所占用的扇区数，那不是 63吗？ 对，但是要将 63转为十六进制数，再反过来倒着填写 上。还记得怎么用计算器吗？将 63转为十六进制数是 3F，不够四个字节前面加零，也就是 00 00 00 3F，再 将此数从右向左依次序反过来就是 3F 00 00 00。 www.plcworld.cn 共 46页 第 29页 第 13、14、15、16字节是本分区的总扇区数，也 就是 C盘的大小，这就要通过稍微一点点计算来得到 了。因为 C盘是从第 63个扇区开始，而 C盘后面紧 接着的是 EBR，所以用 EBR 所在的第一个扇区数减 去 63就是 C盘的大小。那么如何才能找到 EBR所在 的第一个扇区呢？我们前面说过，EBR的结构和MBR 是一样的，所以，EBR 的结束标志也一定是 55AA， www.plcworld.cn 共 46页 第 30页 那么，只要我们找到这个结束标志，再看看这个扇区 是不是 EBR不就行了？ 单击“搜索”——“查找十六进制数值……”，然后 出来一个对话框 在文本框中输入“55AA”，搜索框中选“全部”，然 后选中“条件”，把偏移量设置为“512=510”。 www.plcworld.cn 共 46页 第 31页 再单击“确定”。画面如下： 首先找到第一个“55AA”，我们看到，这个扇 区在第 63 个扇区上，并不是我们要找的 EBR，再按 F3继续查找 又找到好几个扇区，都不是，那么下面这个扇区 是不是？ www.plcworld.cn 共 46页 第 32页 前面我们说过，EBR的结构和 MBR的结构是一 样的，所以在倒数第五行倒数第二个字节应该是 00 01，并且前 446个字节应该是 0，显然这也不是 EBR， 继续按 F3 查找……终于找到了真正的 EBR，在 1435392扇区。 小技巧：现在的硬盘都比较大，要逐个扇区的查 找 55AA 确实太慢了，那么有没有办法快点呢？有， 那就是先问问客户 C盘大概有多大，大多数客户还是 知道的，比如他说 C 盘大概有 10 个 G，那么你就不 要从头开始找了，因为那实在太慢了。10个 G大概是 2000 万个扇区，那么你可以用转到扇区命令直接到 1900万扇区，从那个地方再开始找不就省事多了。 www.plcworld.cn 共 46页 第 33页 用 1435392 减去 63，得到 1435329，再转为 16 进制，就是 15E6C1，将他倒转过来就是 C1E61500， 这就是 C盘的大小。这样，第一个分区表项填写完毕， 我们保存一下，再接着填写第二个分区表项。 第二个分区表 第 1个字节：因为是非活动分区，所以写 00 第 2、3、4字节，填写 01 01 00（通用的） www.plcworld.cn 共 46页 第 34页 第 5字节：因为是扩展分区，所以填写 0F 第 6、7、8字节：填写 FE FF FF(通用) 第 9、10、11、12字节是本分区之前已用了的扇 区数，应该就是 C盘大小加 63，也就是 1435392，前 面刚计算出来的，转为十六进制数再反过来就是 00 E7 15 00 第 13、14、15、16字节是本分区的总扇区数，也 就是扩展分区的总扇区数，也就是用整个硬盘的大小 www.plcworld.cn 共 46页 第 35页 减 去 C 盘 的 大 小 再 减 去 63 ， 即 4124736-1435329-63=2689344，转为十六进制就是 290940，反过来就是 40092900。 www.plcworld.cn 共 46页 第 36页 这样，第二个分区表项就填写完了。 不要忘了把最后的结束标志 55AA填上，这样， MBR就全恢复完了，最后，保存，再重新启动…… 启动完毕，迫不及待的打开我的电脑，发现三个 分区全部又回来了，并且里面的数据完好无损。 www.plcworld.cn 共 46页 第 37页 再右击“我的电脑”，选“管理” 出现一个对话框，选“磁盘管理”，在右边可以看 到磁盘一的三个分区(Fat32、Fat16、Ntfs)全部都回来 了，至此，手工恢复分区表顺利完成。 www.plcworld.cn 共 46页 第 38页 手工恢复数据恢复成功率比较高，而且比较有趣 味和挑战性，能找回许多傻瓜似的软件所找不回来的 文件，但是要求工程师一定要有耐性，而且一定要保 持清醒，清楚自己正在操作什么，操作完了会有什么 后果，能不能退回到上一步状态。特别是对一些破坏 性操作，一定要考虑周到，只要条件允许，就一定要 在操作之前进行备份，否则会造成“血”的教训，切 记！！！ 下面我们会说到手工恢复 DBR、FAT（此教程被 收录在付费教程中），这些比手工恢复分区表还要复 杂，更需要大量的计算。再说完了使用 Winhex 手工 恢复数据之后，我们会说到一些数据恢复软件，结合 数据恢复软件会使数据恢复成功率大大提高，但有一 些软件在扫描过程中会对原盘破坏数据，在使用中一 定要谨慎！！！而且同一个软件，一个新手用和一个 老手用数据恢复成功率绝对是不一样的，这些软件我 们会免费赠送，绝对不会让你学习了资料却找不到软 件的。 www.plcworld.cn 共 46页 第 39页 FAT文件系统下的手工数据恢复案例 关键词：数据恢复，数据恢复资料，数据恢复技 术 本文针对 FAT分区。使用工具：winhex（非数据 恢复专用） 磁盘的具体存储原理，这里我解释一下： 1、剩余扇区是什么：剩余扇区有分区内的剩余扇 区和整个磁盘的剩余扇区。 先说分区内的扇区：描述磁盘容量的单位是扇区， 分区内部又是采用簇来管理的。通常情况下，扇区的 容量是 512b,簇的单位容量大于等于扇区的容量。以具 体事例来讲，一个 7gb 的 fat32 分区，其簇的大小是 4k,相当于 8 个扇区，而分区内的存储单位是 4k,分区 的扇区总数如果不是 8的倍数，那余下来的扇区便是 剩余扇区了。 整个磁盘的剩余扇区与上述原理相似，不同的是， 每个分区的结束必须以 254头，63扇为结束（也应该 是老的磁盘管理模式留下的弊端吧！虽然分区内是以 线性逻辑扇区为首要参数的）也就是说，如果磁盘的 总 容 量 正 好 分 不 净 一 个 柱 面 的 容 量 (1*254*63*512b=8193024b),那么，剩下的容量便是整 个磁盘的剩余扇区了，其最大也就是大约 7.8m。这也 是通常情况下，分区的最小容量是 7.8m，分区容量是 8193024b倍数的原因。（简图并未画出整个磁盘的剩 余扇区，大家理解吧!) 2、对于 fat32的保留扇区的数目，一般来说是 32 个，但也不肯定是，有时候可能会是 38个或其他数目， 当然也可以在 dbr中的 bpb（bios parameter block）参 数表中更改，后面要讲到在数据恢复中了解他的重要 性。（dbr的参数说明到数据恢复网 找找） 3、在小容量的磁盘分区中也存在 fat16的分区格 www.plcworld.cn 共 46页 第 40页 式，原理吗？和软盘的存储原理相，见数据恢复网 “反 黑行动之数据恢复”。 下面我们进入实战： 第一种情况，分区被格式化。如果格式化以后， 当然可以用现成的数据恢复软件来恢复，但软件毕竟 是软件，并不能应对多变的复杂的情况。而手工不同， 如果对磁盘结构了解，是可以最大程度的恢复的。我 们抛开数据恢复软件来看和通过手工来恢复被格式化 的磁盘分区。 对于 fat格式的分区（包括 fat16)，format命令会 重建 dbr扇区，清空两个 fat表，清空分区的第一个簇 （存放原根目录）。不管是快速格式化还是完全格式 化（快速格式化和完全格式化的区别在于他们是否对 所涉及到的磁盘扇区进行检测扫描，清除上面的数据 事都要做得)。对于 dbr，分区只要正确格式化就会生 成正确的 dbr,故而重点是 fat表和原根目录（如果原根 目录大于一个簇，这仅仅是第一个簇，为了方便，以 后就以原根目录称）的问题。如果你格式花前备份了 此分区的 fat表和根目录。那么，只要将 dbr初始化， 恢复 fat表和根目录即可完全恢复数据。不过，既然是 被格式化，那一定没有 fat 表和根目录的备份（废 话！！！）。继续： 先说根目录，跟目录的第一扇一但清空，别无法 找回了。所以，格式化前存储在根目录的文件就会因 其在第一扇存储的文件特征描述表丢失而很难找回 了，除非你知道文件中包含的特征字符串，根据其在 整个分区内查找，又确定文件的大小，而恰好要恢复 的文件又是在磁盘内连续存储的。 再说 fat 表，fat 表的丢失对交叉存储的文件来说 是几乎毁灭的灾难。原则上如果丢失，就只能恢复从 文件第一簇开始的连续几簇了。但一般如要恢复的文 www.plcworld.cn 共 46页 第 41页 件较小或分区并未经过频繁的文件删增的话， 还是有 希望的。 手动填写 fat表是不现实的，我们只好先让原来的 目录结构重现，再想办法。windows 的磁盘文件格式 是 tree型的，格式化只是将 tree的根折，在根折断以 后，其实就象生成了多颗 tree（想想数据结构）。如 果我们要恢复的文件全部位于一个子目录当中。那好 了，我们只要将这颗子树的树根放入原 tree 的根位置 上，即可生成一颗新树。推介使用 winhex,下面以 winhex为例具体而言，首先，若磁盘未格式化或格式 化格式不太正确，先格式化，以生成可参照的 dbr 和 fat表。接着我们在分区中寻找相关的字符串来确定此 子树的'根'位置。，如记得原目录中有 sjhfnet.txt 的文 件（选择其他目录没有或很少有此文件名的文件）， 可在整个分区内查找 'sjhfnet txt',再根据相关特征确 定。这时候注意一下，我们需要目录中提供的'.'目录 来推测原分区的一些特性，主要是 dbr中的 bpb参数， 如保留扇区的数目。（一般是不不会错的，但如果有 那怕一个扇区的出入，整个分区中目录的映射将不能 套用，还是看看吧！），是不是要问，'.'目录是什么？ 学过 dos 的人都知道，目录'.' 表当前所在目录，'..'表 上级目录，在 32个子节的目录项中，包含有和其他目 录项相同的特征，我们关心目录的位置（在原分区格 式的第几个簇中），他应该是等于他所在的簇号的！ 也就是看一下偏移量为 15h 14h 1bh 1ah的数值是否等 于现在簇号。在 winhex中格式化后的磁盘可清楚的列 出当前簇的簇号，可比较一下（可能需要 16 进制与 10进制的转换）。 相同不说了，如果不相同，也应该相差不多。计 算一下相差的簇的数目，然后在本分区 dbr 扇区的 0eh~0fh作相应增减，是保留扇区的数目回到原来的数 www.plcworld.cn 共 46页 第 42页 目。重起一下计算机，是新的 dbr 生效，清空现 fat 表（根目录簇可以不清空，因后边讲到会覆盖的）。 文件目录项的映射与实际地址便正确的结合了。（不 明白吗？想想原理，努力消化一下）接着将找到的簇 复制----〉定位到现在的根目录----〉写入。 打开“资源管理器“，浏览，出来了吗？ 慢！还没完，现在的目录结构是出来了，但还不 能访问，因为 fat表所记录的簇还是空闲的。怎么办？ 手动写，算一下，可能写完得 30年吧！呵呵！哪。。。。， 其实，如果要恢复的文件大小都在 1簇范围内，可在 win98 下运行磁盘扫描程序，在出现修复的提示时选 相应的选象修复即可（别选“删除涉及到的文件”选 项，另外，win2000 下不行，扫描程序会直接删除文 件的）。这样，大小在 1簇范围的文件别完全恢复了 （包括文件）。那如何在这种情况下恢复大于 1个簇 的文件呢？一是你可以写一个小的程序来实现涉及到 的簇的连续。如果你不会，那么也不难，得一个一个 文件的来。打开 winhex,使用它的目录 模板 个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载 跳转到文件 的存储区，从当前簇复制大小为文件大小的一块连续 数据，写入新文件中（记得写在其他分区中），即可！ 当然，如果簇数较少，可直接在 fat1中改动。 另外，这样恢复的文件也不一定正确。要看当初 文件的存储是否连续了？如果恢复后的文件不能用， 那。。。。听天由命吧！！！（要么你在磁盘中在查 找，分析，自己把它连接起来。不过，工作量吗？。。。） 这样恢复的是以前一个子目录的数据。如果有多 个目录的数据要恢复，可用同样的方法替换根目录（第 一个数据簇），也可以采用手动建立根目录的方法， 不过，别在资源管理器中进行，手动在 winhex中做吧！ 还有，要是恢复的目录中有多个簇，再用同样的方法， 查找，作为根目录。 www.plcworld.cn 共 46页 第 43页 这是分区格式为 fat32的情况，如 fat16则不需考 虑保留扇区的数目情况，fat16无保留扇区。 这是有目录项的情况。 再来说一下在无目录项参照的情况： 以下默认为欲恢复文件是存储在 FAT32 文件格 式当中的文件。 假如你的磁盘已经被 xxx破坏的一塌糊涂。或者 已经经过了 N位高手二次处理"加工"过了，什么工具 软件都用过了！结果仍然没有看到你需要的数据的影 子。或者你要恢复的数据本来就很少（若干源代码， 或是若干论文，若干小的数据库，或是确认在数据丢 失前正好做了磁盘碎片整理），不值得采用我上面采 用的方法。你可以采用在磁盘内通过查找的方法，总 结来找回数据（不要笑，有技巧的，况且，也许这是 唯一的方法！） 可以通过磁盘文件的存储特征和文件固有的类型 特征来考虑。看过《反黑行动之数据恢复》（风般的 男人著）应该可以知道，文件在磁盘内至少是以扇区 为单位的，也就是说，每个文件在磁盘内实际存储的 开始，一定是某扇区的开始。这是其一，其二是每种 类型的文件都有其特定的文件标志，可根据文件的特 定标志（通常还是在文件的开头）与其在磁盘的位置 来圈定。 如果是文本文件，可通过在磁盘内查找特征字串 的方法来找到。不过，稍有知识的人是都知道的，不 说了。（还是使用 winhex吧！硬盘速度可以的话，应 该查找 1G的空间不超过 1分钟) 我们来通过具体的例子看一看已加密或无明显特 征字串的情况（这是最通常的情况）。以一 Office文 档的恢复为例。 www.plcworld.cn 共 46页 第 44页 Office文档的实际构成总是以 “00000000 D0 CF 11 E0 A1 B1 1A E1 00 00 00 00 00 00 00 00 邢.唷??.......” 开头，以下列二进制特征为尾： --------------------------------------------------------------- ------------------ 00148940 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00148950 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00148960 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00148970 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00148980 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00148990 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 001489A0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 001489B0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 001489C0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 001489D0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 001489E0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 001489F0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00148A00 01 00 FE FF 03 0A 00 00 FF FF FF FF www.plcworld.cn 共 46页 第 45页 06 09 02 00 ..?....????.... 00148A10 00 00 00 00 C0 00 00 00 00 00 00 46 18 00 00 00 ....?.....F.... 00148A20 4D 69 63 72 6F 73 6F 66 74 20 57 6F 72 64 20 44 Microsoft Word D 00148A30 6F 63 75 6D 65 6E 74 00 0A 00 00 00 4D 53 57 6F ocument.....MSWo 00148A40 72 64 44 6F 63 00 10 00 00 00 57 6F 72 64 2E 44 rdDoc.....Word.D 00148A50 6F 63 75 6D 65 6E 74 2E 38 00 F4 39 B2 71 00 00 ocument.8.?瞦.. --------------------------------------------------------------- ------------------ (这是在 winhex 中显示的情况，此部分内容是最 后扇区的中间部分的内容＃ 既然文件头尾标志已确定，即可在磁盘中搜索了。 可搜索所有的“D0 CF 11 E0 A1 B1 1A E1 ”，保存其 位置。在搜索特定的尾标志，保存其位置。观看在 winhex“位置管理器”中的所保存位置。删除位置不 是以"000H"，"002H"， "004H"，"006H"，"008H"结 尾的文件头标志（因为扇区容量 512B=200HB)。删除 不合位置特征的尾标志（通过对 200H取余的结果看）。 再删除多出来的头或尾标志。（应该成对出现） 此例以Word 2000文档为例。通常情况下，word 文档的大小不可能太大。在 winhex 的位置管理器当 中，所有的位置是以地址来排序的。所以，看一下成 对的头尾标志其偏移是否合逻辑。如不合，删了！ 那么，剩下来的便是最有可能的了。剩下的，不 用说了吧！将每一对头尾地址之间的数据保存即可。 （成不成功看命吧！） 这是以 Office文件为例说明。其实大多数文件都 www.plcworld.cn 共 46页 第 46页 有特征标志，可参看相关资料或自己研究。对于没有 特定尾标志的文件，它的结构也有特征，结合头标志 和结构看吧！(不过可能稍难点!) 还有，恢复的文件当 中可能有你删除了的文件，没有办法。只好一视同仁 了。不过一般情况下，已删除文件的开头是最先被系 统的其他文件覆盖的，可能也能降低工作量吧！ www.plcworld.cn