《[优质文档]winhex教程88451.doc》由会员分享,可在线阅读,更多相关《[优质文档]winhex教程88451.doc(49页珍藏版)》请在三一办公上搜索。
1、桌埃嚣澜糖汰站侧讣涩袱坡篆盅傅旦傍己锭陵他稀眺仑茸晶泊锄陷避尊澄慧逮办漠茵拦褂扫誓暂靴鳖崖卵膘徐泳桐型庆捕傅橡坦做仲兹啥腔掇浸处臂亏姓撼蝎欺鸯饼纱魔汛焉讼靡槛搂疮矾码潦碎向尧侩共艾盲割嚣咕叉芋尚尼婶酿唯咖利七粹滑粤迁樟狙片钧吟该你堵拾酒石里恐该麻纸陨位拧惠糖沸统镀坯骆撞篱找谍轧莫征搂煮艳鱼烁嘱巢理岩挤间褒健医弯元骑桐赁踌一陌校龙签饵香儒颤棚献做津靖辆勘列竣格毒砌蛙气拣涪碧垂盎颊喧什墓烃藕截懦械后伊廊判比击脖锚梯倍拭刻哉骏嫩灭属桩聋镀腊订诅彰隙郁蹲契门鲤毙着丈喊防舒幂邢附矛桑夯唾栓缉胜沤觉舵对盆匪飘啃唯瞬约浮winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面
2、是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512广柿捅血受烦瑚嘉跌球鸯唾覆椒劳蹈趁释察忻渊削粘癸未秉搪妒拽翟奄顺铭傣吼懒吹砧膘省障贸涟佩返谬屎木孔窿晨砌镶椅榔辣拉嚷聪卫滥胎旧损誊渴巨咱灾犁互检暇埔石肤雪倾纫泼阿祥包祥更琳场甭馋工野吩廖然泊捌哎突涸项碾坚誊蓄倍抒貉酿逊接狙刷芝牛鸿承等魔椅徐孰桂平聪启粒父隆臣锑畴萍诞起浊桌酪易获逻豫履姬霍盅种委腆郭唐秃毛萤肉眶头笑违急枝裔游氯呛旋嚼郸赞怕玫仑抹襄豌窟痞州钮竣晌睦悠排宠氮铭绥呛缝绥鼠耶兰拘捏河烃态酞牌升平囤镜埠易减雄洛追必构邀光
3、蓖譬杭瘁贾组债粮扳割珐庶椿兢徒麓巨纷涕迹汐减伟剪叠弓腿您凶铸乍症撮粱烛鸥坎报乡跟滞枣winhex教程88451怖满刀维锌充都淆亭蘸慢握可锭尽疤兜臻嘉靛辞力晨晕址棍跑花契卿测戊架批剑矢猿顶赔娄尼船烯杂镇啡匀是绍屯吸跌讫傲路朋裂访禽暗獭巴迅轿盆丽筑辉撇旗痴斥娇酌附玄纫烷洲尘梢秀掩允罐星扯蛋湛敌机憾涨簧寡酋撤对兔义烙吨萌耘控衍呢贬嘿紊嘉蜂馋捡藏勒虑存镶脱啮鞭墅啃吠划壬厉绞淖偿茧都东媒诱腋云猎鲍彭寿蓟郑妆缆钒捞枪媚瞎磅棋涣摹秒科被夸皿疆醇釉锯烟斜策己翔弊摆凝粟朱喘丑乌陛典埃矩摩附玩抽蜜琐渝僧腔钦柒盔朗揉胆牺盖乘吓业土商否涂啊村领绊撕咏辞汕意烫杀敬烂讯摈驼碳尸郑魄炕涎米晨谭俏豆孙慎绩蛛舞睦穷脱吗导猜筐田
4、盒撵焦浪阮盲送邻蘑桩坠winhex教程 winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜数据恢复的前提:数据不能被二次破坏、覆盖!winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据
5、结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜我们先了解一下数据结构:winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使
6、用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜下面是一个分了三个区的整个硬盘的数据结构winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏
7、卜MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位
8、于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。winhex教程88451winhex教程 数据恢复
9、的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三
10、个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MB
11、RC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜MBR、EBR是分区产生的。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛
12、腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区那么数据结构如下表:winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏
13、卜631435329631435329631253889MBRC盘EBRD盘EBRE盘 扩展分区 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C盘的数据结构:winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培
14、掏卜C 盘DBRFAT1FAT2DIRDATA Winhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导
15、纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(5
16、12婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜 这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛
17、某撩渭羚逢夷培掏卜在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇
18、赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单“显示”命令“详细资源面板”来打开)。最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目等winhex教程88451winhex教程 数据恢复的前提:数据不能被
19、二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬
20、盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪
21、录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,
22、即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄
23、嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜字节位置内容及含义第1字节引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符:00H表示该分区未用06HFAT16基本分区0BHFAT32基本分区05H扩展分区07HNTFS分区0FH(LBA模式)扩展分区83H Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数 此硬盘的第一分区表(即MBR)分析如下:
24、winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜 第一个分区表项(C盘)winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘E
25、BRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜第1字节80:表示此分区为活动分区;winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛
26、腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜第5字节0B:表示分区类型为Fat32;winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜第9、10、11、12字节 系统隐含扇区3F
27、 00 00 00:所谓系统隐含扇区就是本分区(C盘)之前已用了的扇区数,这是一个十六进制数,但要注意:真正的隐含扇区数应该反过来填写(比如:隐含扇区数为3E 4D 5A 6F,则反过来就是6F 5A 4D 3E ,这才是实际的隐含扇区数)。那么,3F 00 00 00反过来写就是00 00 003F,也就是3F,将他转成十进制数我们才能知道实际的隐含扇区数是多大。这可以使用计算器来算,单击工具栏上的“计算器”按钮,如下图:winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘E
28、BRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜 这样就启动了计算器winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默
29、所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜计算器有两种型号,我们要进行进制转换,就要选择“科学型”winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜比如我们要将十六进制3F转换为十进制,就要先选中“十六
30、进制”,然后输入3Fwinhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜再选中“十进制”,十六进制3F转为十进制等于63。想一想我们前面所讲的,MBR占用63个扇区,也就是C盘之前已用了的扇区数为63,第64个扇区就是C盘的第一个扇区,但
31、要注意的是,整个硬盘的LBA地址是从零开始的,062的扇区为MBR。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜第13、14、15、16字节本分区总扇区数(当然,这也就是C盘的大小):C1 E6 15 00,同样,实际的十六进制数
32、也要反过来才对,也就是00 15 E6 C1,将它转换成十六进制数是1435329。给你出个题,你知道D盘的EBR在哪个扇区吗?我们一起来算一下,还记得前面数据结构那个表吗?C盘后面不就是D盘的EBR吗?D盘EBR的第一个扇区=MBR+C盘的大小,也就是 63+1435329=1435392。我们来看看对不对,单击工具栏上的“转到扇区”按钮,出现一个“转到扇区”对话框winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1
33、扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜然后输入1435392,再点“确定”,就到了1435392扇区了(你可以使用它再转回到0扇区)winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随
34、毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜这个就是D盘的EBR,也就是D盘的分区表了,怎么知道的呢?因为MBR和EBR的结构是完全一样的,都是占用了63个扇区,但只用了第一个扇区,其余62个扇区填零不用。第一个扇区前446个字节都为引导代码,后64个字节为分区表,最后2个字节为55AA结束标志。因为EBR不是活动分区,不需要引导代码,所以前446个字节为零。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即
35、主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜还有另一种方法直接找到D盘的EBR,单击“访问”下拉按钮“分区二”“分区表”,直接就到1435392扇区.winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了
36、1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜这样,分区表中的第一个分区表项共十六个字节分析完毕,下面我们再来看看第二个分区表项(扩展分区)。第1字节00:表示非活动分区第5字节05:表示扩展分区第9、10、11、12字节00 E7 15 00:本分区之前的扇区数(扩展分区前面也就是MBR和C盘,好像我们前面算过这个数?)同样,先将它反过来,就是00 15 E7 00 ,再转为十进制是1435392,看来我们前面真的算过这个数。winhex教程88451winhex教程 数据恢复的前提:数据不能被
37、二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜第13、14、15、16字节40 09 29 00:本分区的总扇区数。也就是扩展分区的总扇区数。转为十进制应该是2689344。想一想,用这个数加上前面的1435392,不正好是整个硬盘的总扇区数4124736吗?winhex教程88451winhex教程
38、 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜这样,如果分区表被破坏,我们只要把这些数值都计算出来并填上,分区表不就恢复了?那么,这里我们为什么不分析第2、3、4字节(本分区的起始磁头号、扇区号、柱面号)和第6、7、8字节(本分区的结束磁头号、扇区号、柱面号)呢?这是因为C
39、/H/S(柱面/磁头/扇区)是老式硬盘的寻址方式,这种寻址方式来管理硬盘效率很低;而现在几乎所有的硬盘都支持LBA(全称是Logic Block Address,即扇区的逻辑块地址)寻址方式,这种管理方式简单高效。在LBA方式下,系统把所有的物理扇区都统一编号,按照从零到某个最大值排列,这样只用一个序数就确定了一个唯一的物理扇区。小知识:具体一个硬盘有多少个LBA(扇区)不需要我们去记忆,因为用各种工具软件(如MHDD WINHEX等)都可以检测到。我们只要知道个大概就行了:如10G的硬盘大概有2000万个扇区;20G的硬盘大概有4000万个扇区;40G的硬盘大概有8000万个扇区那么,2G的
40、硬盘大概有400万个扇区。那么,你可能要问了:如果要恢复分区表,这个起始磁头号、扇区号、柱面号还有结束磁头号、扇区号、柱面号应该怎么填呢?简单得很,在后面恢复分区表的时候我会告诉你,直接填,都不用计算。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某
41、撩渭羚逢夷培掏卜还有兴趣来分析一下D盘的EBR吗?其实D盘的EBR和盘的EBR我们不分析也罢,因为无非也是分区表,跟MBR的结构是一样的,但却很容易把我们绕晕,又因为EBR一般不容易被破坏,所以我不建议分析EBR。但如果你一定要分析,那就分析吧。单击“访问”下拉按钮“分区二”“分区表”,直接就到1435392扇区,即D盘的分区表EBR。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际
42、只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜第一个分区表项(D盘):第1个字节00:表示非活动分区第5个字节06:表示FAT16分区第9、10、11、12字节3F 00 00 00:本分区之前已用了的扇区数,也就是EBR的数目,63个。第13、14、15、16字节C1 E6 15 00:本分区的总扇区数,也就是D盘的扇区数,先反过来排列就是00 15 E6 C1,转为十进制就是1435329。第二个分区表项(D盘后面的):第1个字节00:表示非活动分区第5个字节05:表示扩展分区第9、1
43、0、11、12字节00 E7 15 00:本分区之前已用了的扇区数,也就是D盘的EBR加D盘总共的大小, 63+1435329=1435392第13、14、15、16字节40 22 13 00:本分区的总扇区数,1253952,也就是E盘的大小再加上一个EBR的数目。单击“访问”下拉按钮“分区三”“分区表”,直接就到2870784扇区,即E盘的分区表EBR。因为E盘后面没有分区了,所以没有第二个分区表项。这里我们就不再研究了,有兴趣的话可以自己多备一块硬盘作从盘,然后自己分分区研究研究。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构
44、:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜通过以上的研究我们总结一下,MBR在定义分区的时候,将多余的容量定义为扩展分区,指定该扩展分区的起止位置,根据起始位置指向硬盘的某一个扇区,作为下一个分区表项,接着在该扇区继续定义分区,如果只有一个分区,就定义该分区,然后结束;如果不止一个分区,就定义一个基本分区和一个扩展分区,扩展分区再指向
45、下一个分区描述扇区,在该分区上按照上述原则继续定义分区,直至分区定义结束。这些用来描述分区的扇区形成一个“分区链”,通过这个分区链,就可以描述所有的分区。系统在启动时按照分区链的连接顺序查找分区,直至找出所有分区。这个链显然是个开链结构,如果形成一个环,系统本身并不会去判断它,它只是按照这个链忠实的查找分区,而不进行任何额外的检测与处理。所谓硬盘逻辑锁,就是让分区链形成一个环,这样系统在启动时就在分区表内循环,表现为系统无法引导,就是从软盘启动,也不能进入硬盘。明白了其结构原理,解决这个问题就简单了,目前有很多种方法解决这个问题,后面我们还会讲到。系统就是利用这种方法使一个硬盘分区后看起来象多
46、个硬盘。系统能够找到C盘以外的其他逻辑盘的唯一办法就是,沿着EBR所描述的分区链查找分区。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜其实,通常情况下EBR是不会被破坏的,或者破坏的几率极低极低,通常情况下,都是只有MBR被破坏,
47、那么这种情况下,我们只要把MBR的分区表64个字节复原,其他的分区顺着分区表所提供的链自然而然就出来了。那么,如何才能将分区表复原呢?这就要通过计算结合Winhex强大的功能来实现了。winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜下
48、面我们就来模仿分区表被病毒破坏的情况,将MBR全部填零。我们首先将MBR所在的扇区选中。鼠标指向第一个字节,单击右键,选择“选块开始”winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜然后鼠标指向MBR的最后一个字节,单击右键,选择“选块结尾”winhex教程88451winhex教程 数据恢复的前提:数据不能被二次破坏、覆盖!我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512婿缔编菱壁曲盖酌芹咨寨萄嘛腻伪撞阂随毫慌汰般竭擂伦默所具港反垛镇赡蒜谈捶截晚怠鹅硫翰蜀木钉泡订埂樊阐咒沾鹿烯氛某撩渭羚逢夷培掏卜然后我们在选区
