MBR、EBR、DBR他们都是以55AA结尾
在winhex中搜索16进制:55AA 偏移512=510
(1)搜索DBR的标志:
FAT16的DBR:EB 3C 90没有备份的DBR
FAT32的DBR:EB 58 90(备份的DBR)在该分区的第6扇区
NTFS的DBR: EB 52 90(备份的DBR)在该分区的最后一个扇区
判别MBR的方法:
MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。1FE-1FF就是“55 AA”
Abc[/hide]判别EBR的方法:
EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0[/hide]
(2)查找DBR可以通过搜索本分区的EBR去找DBR.
可以搜索EBR,定位DBR.
DBR相对于EBR后63号扇区。
(3)当某分区的DBR坏了,就提示:未格式化
这个时候用winhex打开逻辑盘,就打不开。
我们只有通过打开物理驱动器,然后跳转到该分区。
就可以查看DBR是否被破坏了。。。。
可物理驱动器的模式是从"0"扇区开始描述系统
而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).
(1)搜索DBR的标志:
FAT16的DBR:EB 3C 90没有备份的DBR
FAT32的DBR:EB 58 90(备份的DBR)在该分区的第6扇区NTFS的DBR: EB 52 90(备份的DBR)在该分区的最后一个扇区
判别MBR的方法:
MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR 的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。
1FE-1FF就是“55 AA”
判别EBR的方法:
EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0
(2)查找DBR可以通过搜索本分区的EBR去找DBR.
可以搜索EBR,定位DBR.
DBR相对于EBR后63号扇区。
(3)当某分区的DBR坏了,就提示:未格式化
这个时候用winhex打开逻辑盘,就打不开。
我们只有通过打开物理驱动器,然后跳转到该分区。
就可以查看DBR是否被破坏了。。。。
可物理驱动器的模式是从"0"扇区开始描述系统
而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).
用winhex 做U盘免疫AUTO.INF
用WinHex制作无法修改的AutoRun.inf文件
在我们日常工作中,经常需要使用闪存(也称为U盘或者优盘)主要是AutoRun.inf文件在起作用,我们可以使用WinHex解决这一问题。首先格式化闪存,文件系统选择默认的FAT32格式即可(由于格式的通用性比较好,所以最好选择FAT32)。然后在闪存根目录下手工新建一个名为AutoRun.inf的文件(可以新建任何一个文件,然后改名为Autorun.inf就可以了。),接着打开WinHex,按下F9功能键,或者从“工具”菜单下选择“磁盘编辑器”,打开需要处理的闪存(如果你插了多个,请确定那个闪存的盘符),定位到AutoRun.inf文件,可以看到文件名中间有一个空格,文件名的后面也有一个空格,现在请将后面的空格(20)直接修改为“E5”,确认后保存再退出就可以了。
看起来AutoRun.inf的文件名没有发生任何变化,但这个时候,任何人都不能再打开它或者修改它了。或者,也可以将“20”更改为“E2”,这样可以将AutoRun.inf文件隐藏起来,使你不会每次都看见它而纳闷。
用winhex修复U盘的MBR 复习:进制转换;K\M\G的关系; 1、MBR界面如下 说明: MBR:即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但是实际上只使用了1个扇区(512字节),所谓的引导区病毒就是把这个扇区的数据搞乱而导致系统无法启动也无法使用。有一个简单的办法恢复引导扇区记录,在DOS模式下,输入命令: FDISK/MBR 这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据,此外,也可以用工具软件,例如DISKGEN,winhex等。 EBR:也叫扩展MBR。因为主引导记录最多只能描述4个分区,如果一个硬盘上多余4个分区,就要采用扩展MBR的办法。EBR的结果和MBR事一样的。 注意:1)编辑菜单中的“复制”、“黏贴”、“fill block”(填充块); 2)位置菜单中的“转到偏移”; 3)工具菜单中的“打开磁盘”,这里要注意一般打开“物理磁盘”即:physical media 2、Winhex软件是按照扇区分隔的,注意每一个扇区会有一个分割线,前446字节为引导 代码,可以不看,后64字节为分区信息,每个分区16个字节,共可以表示4个分区(含扩展分区),最后两个字节为“55 AA”,是分区结束标志。可以有一个简单办法记住分区信息:从55AA开始数,倒数第五行的倒数第二个数开始。
3、从55AA开始数,倒数第五行的倒数第二个数为“80”就意味着这个分区时可以启动的, 否则不可以启动。 4、从55AA开始数,倒数第四行的第三个数,是表示分区性质的。 5、从55AA开始数,倒数第四行的倒数第三个数开始有四个数,按照倒的顺序排列,是表 示这个分区的大小的,例如:B9 97 6C 03,实际上是:03 6C 97 B9,用“附件”中的“计算器”把他化为十进制,为57448377,这个表示扇区数目,一个扇区是512个字节,所以还要乘以512,即:57448377 X 521=29413569024字节,1G=1073741824字节,所以,29413569024字节=29.4G,也就是说这个分区大小是29.4G。 记住:1K=1024,1M=1024*1K, 1G=1024*1M 6、按照第五条,再往前数四个数,表示开始的扇区。可以看到前63个扇区没有用,除了 第一个扇区外,其他的扇区都是0,我们把第一个扇区的内容保存到第二个扇区(或者第三个。。。。。。。),然后再把第一个扇区的内容清空,然后保存,退出U盘,再插入U 盘,会发生什么情况呢? 7、提示:既可以把MBR信息的内容放到1-62号的任一扇区内,也可以把他作为一个文件 保存在另外的磁盘上(注意:不要有扩展名)。 8、现在把0号扇区的数据全部清零,保存,然后退出U盘,再插入U盘,会出现什么现 象? 9、如何把出现这个问题的U盘修复好呢? 10、思考:怎么找扩展分区呢? 11、将自己带的U盘的文件全部复制到D盘的一个文件夹中(这个文件夹是新建的, 专门用于保存U盘数据的。)然后尝试删除U盘的一个文件,用EASYRECOVER恢复,你能恢复吗? 12、胆子再大一点,把U盘格式化,再用EASYRECOVER恢复,你能恢复吗? 13、提示:在网上搜索数据恢复的软件,也许有比EASYRECOVER更好的数据恢复软 件,360就自带有数据恢复工具。
winhex教程 winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构
MB R C 盘 EB R D 盘 EB R E 盘 MBR,即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR 的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 63 1435329 63 1435329 63 1253889 MBR C盘EBR D盘EBR E盘 扩展分区
winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: Winhex Winhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。
一、初步应用——双分区恢复实例及分析 (一)、现场重现: 提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。对于移动硬盘,损坏往往发生于硬盘传输数据中断电。现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。 (二)、手动修复: (阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解) 1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。
2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。 现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。
操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块; 接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。将01fe,01ff填写为55AA,到这里一定保存。 点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。
打开如下图,并记录黄色方框内的两个数值(63和63777986)
63+63777986+1=63778050,跳转至63778050扇区。 稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框内的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。 接下来跳转至63778050+63=63778113扇区,我们又发现了一个EB开头的扇区 再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。打开如下图,同样记录一下黄色方框中的数值(63和92518271)
例1:运用WinHex破解软件图解教程 一、首先安装软件!! 二、注册软件!!先添入假的注册信息!!点击注册! 三、出现“系统注册失败”对话框!! 四、不要关掉“系统注册失败”对话框,运行WinHex软件[WinHex 13.6 绿色破解版],下面有此软件的汉化版下载!
六、找到列表中的你安装的软件名称,然后点击进入,安装的软件下又出现一个列表,选择[整个内存],点击进入,稍等一下程序读取目前的动态内存中的数据,数据出来了。 七、选则[搜索]调出菜单,选择其中的第一项[搜索],在最上面的空白处输入先前添入假的注册信息!!
八、点OK开始搜索,搜到第一组同样的不要理会,按F3继续往下搜第二组,看能用的注册码就在这组号的下面。
九、复制找到的注册信息,填入到注册框内,点击注册,注册成功!! 大功告成,如果在熟练的情况下你很快就能完成这个过程!
例2:WINHEX内存真实注册码教程 【软件名称】秘书 【软件大小】2.66MB 【软件限制】这是一个共享软件 【注册类型】机器码+注册码 【破解工具】WINHEX 主程序:Insure.exe 【破解过程】 1.Winrar双击打开(不要解开一定要在winrar在打开Insure.exe) 关于壳这里就不需要了 2.出现注册对话框:我这里是5位机器码。也许有的机器是6位,机器码是不一样的。 这里我输入5位假码:88888 点击注册出现错误提示切记不要关闭对话框,因为下面是我们的WINHEX要登场了. 3.不关闭对话框的情况下,我们运行winhex: 选择“ tools--Open ram"出现的对话框就是让我们选择打开哪个程序的内存我们打开的是Insure.exe所以我们在这里就要选择Insure! 然后选择“Entire Memory” 4.选择“Entire Memory”出现的界面就是有关Insure这个线程的内存情况了.在这个界面我们看到上面一个“望远镜”的图标(也就是查看)我们点击它--出现的对话框中输入刚才的假码。(我的是88888)点击OK 5.出现的第一个不要理它,按现F3键(下一个)在这个假码的旁边也是这个假码,不要理它还是F3。在这里出现了数字78414这就是这个软件的真码,把它记下来,放到注册对话框试一下哈哈,果然成功了 6.如果你想使用这个软件那就可以把它解压出来,进行运行记住你的注册码。输入就可以了! 7.在WINHEX找真码的时候一定要有耐心,不过我相信都会成功的。这是我以前迈向解密软件的第一步。记得那是一个装柜的软件 图片附件: 1.JPG (2007-4-19 10:40, 82.99 K)
WINHEX RAID修复 RAID0分析 关于RAID,大家可能有些陌生。在个人电脑上,RAID用的不多,但是windows XP支持跨区卷和带区卷。Windows server 2003支持跨区卷,带区卷,RAID-5等。对于RAID0的分析主要在于重组磁盘,重组磁盘就需要确定盘序,块大小,判断磁盘加入阵列的起始位置等。确定了上述参数后就可以重组阵列达到恢复数据的目的了。但是在具体的操作中,要如何确定上述参数呢?这个就要对文件系统有深入的了解,特别是NTFS文件系统,因为RAID基本都是采用NTFS文件系统,很少有采用FAT32文件系统的。看了马林老师的《数据重现》之后发现,马林老师给出的实验素材真是精心设计过的了。如果自己做一个RAID就会出现很多和马老师的素材不一样的结果。这里我就从如何组建一个RAID0开始然后逐步分析。马老师给出的方法具有通用性,但是有些时候会出现找不到符合马老师给出的素材的情况,那么就不能用马老师讲的方法了。我们就只能在对文件系统有深入的理解的前提下,分析RAID了。这就要求我们对文件系统有深入的理解,特别是NTFS文件系统。好的,下面我就从组建一个RAID0开始,分析一下RAID0。希望能给大家带来一些启示。 这个是我在windows XP下虚拟出的三块磁盘,每块磁盘的大小都是200M三块磁盘做了一个RAID0 ,采用NTFS格式化。上图显示的三块磁盘的0号扇区,这个扇区的主要作用是一个DOS分区结构。和基本磁盘的MBR有点类似。这个扇区也有一个分区表,但是只占用了一个分区表项。。大家看下图
分区类型是0x42 起始于63号扇区,大小是0x9A 20 06 00 也就是401562个扇区。而磁盘的总扇区数是409600个扇区。因为在windows系统中采用逻辑磁盘管理也就是LDM。LDM支持JBOD, RAID0, RAID1和RAID5。要组成这些阵列类型,我们需要把我们的磁盘转换成动态磁盘,而LDM就是管理动态磁盘的。动态磁盘有两个重要的部分,一个是LDM分区区域,它占用磁盘的绝大部分,另一个就是动态磁盘的最后1MB,分配给LDM 数据库。LDM数据库包含分区区域的分配情况。所以在把基本磁盘转换成动态磁盘时需要在磁盘最后有一定的剩余空间。我们上图显示的类似基本磁盘的分区表部分我们管它叫软分区,分区类型就是0x42 而基本磁盘的分区我们就叫硬分区吧。好了,现在我们对组成RAID的磁盘有了一个基本的了解了,我们来总结一下 1.成员盘都是动态磁盘,windows操作系统有个叫LDM的管理它们。 2.LDM会在每个成员盘的最后1MB建立一个数据库,记录一些动态盘的信息,而且这个 数据库还有一个作用,当我们的成员盘被卸载了加载到其他机器上去之后,如果那台机器采用的和原来的机器一样的RAID那么我们的成员盘又可以组建成原来的RAID了,而数据不会丢失,这就方便了移植。 3.LDM会在动态磁盘的0号扇区建立一个如上图所示的软分区表。 4.LDM数据库中包含四个区域,一个叫做LDM私有头,一个内容表区域,一个数据库 记录区和一个事物处理日志区。 5.软分区描述的扇区总数并没有包括最后那1MB的LDM数据库。 好的,我们先看看是不是磁盘的最后1MB是数据库,看看数据库都写了些什么。1MB就是2048个扇区,我们的磁盘有409600个扇区减去2048。那么我们的数据库的起始扇区就 是407553号扇区了。
UltraEdit和WinHex使用简介及十六进制转换说明 UltraEdit 简介 如果你经常进行一些文本文件的编辑,那你一定不太满意Windows自带的文本编辑器NotePad和WordPad。这两个编辑器只提供了一些最基本、最简单的功能,用起来总是有些不太方便。目前比较流行的文本编辑器有UltraEdit、TextPad、Turbro-Edit、Yeah Write等,下面我们主要介绍一下UltraEdit-32 1120a。 UltraEdit是一套功能强大的文本编辑器,可以编辑文字、Hex、ASCII 码,可以取代记事本,内建英文单字检查、C++ 及 VB 指令突显,可同时编辑多个文件,而且即使开启很大的文件速度也不会慢。软件附有 HTML Tag 颜色显示、搜寻替换以及无限制的还原功能,一般大家喜欢用其来修改EXE 或 DLL 文件,众多的游戏玩家喜欢用它来修改存盘文件或是可执行文件。 怎么样不错吧,下面我们就从菜单和工具栏开始我们的UltraEdit之旅。 菜单及工具栏 UltraEdit的启动很简单,可以选择要编辑的文件,然后在右键菜单中选择“UltraEdit-32”即可,使用起来简单、方便。 这就是UltraEdit的主界面,上面是标题栏、菜单和工具栏,下部左侧为驱动器文件列表,方便文件的查看;右侧为文本编辑区,我们打开的文件就显示在这里。 我们看一下UltraEdit工具条上的这些按钮,里面包含了UltraEdit的常用命令。
用于新建一个文件,可以是一个Txt文件,也可以是十六进制文件,C、HTML等格式的文件; 用于打开一个文件; 关闭已打开文件; 保存正在编辑的文件; 打印文件; 打印预览; 插入一个分页符; 设置是否自动折行; 这个按钮上写个H,作用就是将文件转为十六进制文件; 剪切; 复制;
winhex使用教程 WinHex 教程WinHex WinHex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、 电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将 它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所 造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如电烙Pc3000,铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及 面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投 资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制:
关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这 方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:(数据恢复首选软件)WinHex 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘 EBR D盘 EBR E盘 ,即主引导纪录,位于整个硬盘的柱面磁道扇区,共占用了个扇区,但实MBR00163际只使用了个扇区(字节)。在总共字节的主引导记录中,又可分为三部分:1512512MBR第一部分:引导代码,占用了个字节;第二部分:分区表,占用了字节;第三部分:446645 ,结束标志,占用了两个字节。后面我们要说的用软件来恢复误分区,主要就是恢5AAWinHex 复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那 么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要 恢复引导代码,可以用下的命令:;这个命令只是用来恢复引导代码,不会DOSFDISK /MBR 引起分区改变,丢失数据。另外,也可以用工具软件,比如、等。DISKGENWINHEX
winhex恢复mbr的方法 恢复mbr实际就是恢复主引导扇区,在出现开机自检过后,系统提示“I/O错误”,即使是你重新安装操作系统也没用。或系统启动蓝屏,将硬盘挂到其他计算机上,检测到的硬盘容量异常;譬如:明明是大容量硬盘,突然变成很小的容量,而且只有一个分区。很多人都认为该硬盘没救了,里面的数据也完了;其实,还是可以修好的,除硬件故障外恢复mbr后就会和以前一样好用。 那么什么是MBR,怎样恢复mbr。先说一下mbr:即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。 我们使用Winhex硬盘数据恢复软件来恢复MBR,并恢复数据的具体步骤:(再恢复前要用Winhex镜像文件《Winhex镜像文件教程》,这样可保证数据完好)。 第一步:把好硬盘上的MBR的前446字节复制到要恢复的硬盘的0扇区前446 字节; 第二步:在倒数第二行倒数第二个字节,输入活动分区8001,再输入本分区的起始磁头柱面0100; 第三步:输入分区类型0B FF FF FF . 第四步:输入C盘前的扇区数,实际就是MBR,63个扇区转换16进制是3F,在此位置输入3F 00 00 00; 第五步:搜索EBR起始位置,16进制查找“55AA”加条件512=510,EBR倒数第五行倒数第二个字节是0001,找到后记下所在扇区,然后减去MBR所占的扇区数63,转换16进制,跳转0扇区,输入相应位置; 第六步:输入分本区的起始位置和非活动分区的起始位置0001和0100; 第七步:输入分区类型10G以上的硬盘0F FE FF FF,10G以下的硬盘输入05 FE FF FF; 第八步:输入扩展分区前的扇区数,刚找到的EBR的起始位置,转换16进制输入相应位置; 第九步:扩展分区的扇区数,左下角的总扇区数-ERR之前的扇区数,转换16进制输入相应位置; 第十步:以下全部填充0,结束必须为55AA保存退出,这样恢复mbr完成。
一、Winhex的使用 二、用Winhex打开要修改的文件,显示如下界面: 任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的,Winhex便是将这些文件以二进制形式打开。不过显示的时候是十六进制,一位十六进制相当于四位二进制,两位十六进制相当于八位二进制即一个字节,每个字节即对应一个地址。 左边那一列是行标,上边那一行是列标,行标和列标便组成了地址。如6BFA3003这个地址,其行标便是6BFA3000,列标为3。 想要修改数值,直接键盘输入即可。 一个基本常识:对于有多位的十六进制数值而言,存储方式是低位在前,高位在后。如6e731f这么个值,存储方式便是1f 73 6e。 既然显示十六进制,那么自然存在一个十六进制和日常使用的十进制转化的问题。通常可以靠Windows的计算器来完成,点击Winhex工具栏的图标即可打开。在计算器的查看菜单里选择“科学型”,便有进制转换的功能。 其实Winhex自带的数据解释器也可以实现进制转换。(看不到数据解释器的,单击视图——显示——数据解释器)把光标定在某一地址,数据解释器里便能显示对应的十进制数值。在数据解释器里输入十进制值然后按回车,则那个地址的数值就会被改写成对应的十六进制。在“选项——数据解释器”里还能对数据解释器的显示内容作设置,比如翻译无符号数、浮点数等,这个有兴趣的自己试试。 地址定位 靠行标和列标来定位地址显然是愚蠢废力的。Winhex的工具栏上有个图标,点击显示如下界面:
此时直接在“新位置”里输入地址便可完成定位。 也可以定位相对地址。比如此时位置在某ATK首地址,要往上移1000h到达MOV首地址,那么在“新位置”里输入1000,“相对于”选择“当前位置(P)(返回至)”就行了。 同理,到了MOV首地址后又要往下移960h到达一方地址,则可以在“新位置”里输入960,“相对于”选择“当前位置(C)”。 “位置”菜单里还有个很实用的功能:标记位置和转到标记,快捷键分别是Ctri+I和Ctrl+K。这个功能就不用多解释了吧,我是经常用的。 定义选块 定义选块主要是用来导出特定数据或缩小搜索范围,定义完成之后可以在“位置”菜单里快速定位到选块头和选块尾。 这个操作很简单。在选块头右键点击,选择“选块开始”,选块尾右键点击,选择“选块结尾”就完成了。
WinHex数据恢复教程笔记 WinHex是在Windows下运行的十六进制编辑软件,此软件功能非常强大。 有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘; 它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 数据恢复的前提:数据不能被二次破坏、覆盖! 数据恢复首选软件用十六进制编辑器:WinHex MBR、EBR是分区产生的。 MBR主引导记录大小是固定的,位于整个硬盘的0柱面0磁道1扇区。共占用了63个扇区,实际只使用了1个扇区,即硬盘第一扇区中的512字节。 DBR是分区引导扇区,是由FORMAT高级格式化命令写到该扇区的内容,DBR是由硬盘的MBR装载的程序段。DBR装入内存后,即开始执行该引导程序段,其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区,但只有被设为活动分区才会被MBR装的DBR入内存运行 FAT16文件跳转指令EB 3C 90 FAT16 没有备份DBR FAT32文件跳转指令EB 58 90 DBR备份在第6扇区有第一扇区的备份。FAT表32扇区 NTFS文件跳转指令EB 52 90 DBR备份在最后一个扇区 ntfs格式没有FAT表。 04H 分区系统标志 当该值为00H时,表示此分区为不可识别的系统; 为04H时该分区为FAT16分区; 为05H或0FH该分区为扩展分区; 为0B时该分区为FAT32分区; F8H FFH FFH 0FH 开始的FAT表,(对于FAT16是以F8H FFH开始的),每个FAT项占32位(4个字节),FAT16的每个FAT项占16位(2个字节), 也就是说FAT和簇是一一对应的关系,对于FAT32的FAT来说每4个字节为1个FAT项. (对于FAT16的FAT每2个字节为一个FAT项) 512字节的MBR主引导记录又分为三部分: 1.主引导扇区里的主引导程序代码(boot loader),占446个字节; 2.硬盘分区表DPT(Disk Partition table),占64字节; 主分区表项1占16字节,447-461 每一个分区表项各占16个字节. 硬盘中分区有多少以及每一分区的大小都记在其中。 3.硬盘55AA有效结束标志magic number,占两个字节。 MBR被清零的话,硬盘将不能引导。 如果0号扇区被清零,硬盘分区将不被系统识别。提示未初始化。 备份MBR只要备份前512字节就可以了,包含分区表。 用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。 主引导程序代码(boot loader)的作用:就是让硬盘具备可以引导的功能。 如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。也可以用工具软件,比如:DiskGenius、WinHex等。 EBR,也叫做扩展MBR(Extended MBR)。占63个扇区。因为主引导记录MBR最多只能描述4个分区项,如果一个硬盘上分多于4个区,就用EBR. EBR的结构和MBR的结构是一样的,所以在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0。 DBR的备份: 分区格式是FAT32的话,备份在分区的6扇区。 NTFS分区格式的话,在分区的最后一个扇区。
winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR 字节位置 内容及含义 第1字节 引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。 第2、3、4字节 本分区的起始磁头号、扇区号、柱面号 第5字节 分区类型符: 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——(LBA模式)扩展分区 83H——Linux分区 第6、7、8字节 本分区的结束磁头号、扇区号、柱面号 第9、10、11、12字节 本分区之前已用了的扇区数 第13、14、15、16字节 本分区的总扇区数
1、什么是逻辑驱动? 2、什么是物理驱动器? 3、怎么搜索MBR、EBR、DBR? MBR、EBR、DBR他们都是以55AA结尾 在winhex中搜索16进制:55AA 偏移512=510 (1)搜索DBR的标志: FAT16的DBR:EB 3C 90没有备份的DBR FAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区 NTFS的DBR: EB 52 90(备份的DBR)在该分区的最后一个扇区 判别MBR的方法: MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。1FE-1FF就是“55 AA” 判别EBR的方法: EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0 (2)查找DBR可以通过搜索本分区的EBR去找DBR. 可以搜索EBR,定位DBR. DBR相对于EBR后63号扇区。 (3)当某分区的DBR坏了,就提示:未格式化 这个时候用winhex打开逻辑盘,就打不开。 我们只有通过打开物理驱动器,然后跳转到该分区。 就可以查看DBR是否被破坏了。。。。
winhex脚本命令教程--中文版<转> 2009-06-09 18:09 脚本命令适用的环境比较多。脚本文件中的注释以为双斜杠开头。脚本支持的最长255方是十六进制,文本字符串(甚至10进制数值)都可以作为参数,你可以使用引号强数。如果文本或者变量名中存在空格,则引号是必须的,在引号中的所有字符都被被识 当在winhex中使用数学表达式的时候,可以引用数学表达式,但是必须用括号括起来空格。同样可以在数学表达式中应用数字变量。 支持的操作有,加法(+),减法(-),乘法(*),整除(/),模除(%),逻辑运算以及XOR(^)。 以下是有效的数学表达式:(5*2+1), (MyVar1/(MyVar2+4)), or (-MyVar)。 以下是目前支持的脚本命令的详细描述以及使用实例。 Create "D:\My File.txt" 1000 创建一个1000字节的新文件,如果已经存在同名文件,则将其覆盖。 Open "D:\My File.txt" Open "D:\*.txt" 打开指定格式的文件,如果通配符为“?”则winhex会让用户选择要打开的文件。 Open C: Open D: 打开指定的逻辑驱动器。如果通配符为“:?”则winhex会让用户选择要打开的逻辑驱动器
Open 80h Open 81h Open 9Eh 打开指定的物理介质。软盘的为00h,硬盘与u盘为80h,光盘为9Eh。 可以增加第二个参数来设定文件或者介质的编辑模式(“in-place”或者“read-only”)CreateBackup 为活动文件的当前状态创建WHX备份。 CreateBackupEx 0 100000 650 true "F:\My backup.whx" 备份当前活动磁盘中从0扇区到100000扇区的数据。备份文件将自动分割成650M大输出文件的路径以及名称作为最后的参数写入。 如果备份文件不需要分割,则第三个参数的数值该为0即可。如果不启动压缩功能则将要自动分配文件名以及文件路径则最后的参数表示为“""”即可。 Goto 0x128 Goto MyVariable 将光标的位置移动到偏移量0x128位置(16进制表示)。同样也可以用数字变量(最动的位置。Move -100 将当前光标的位置向后移动100字节(16进制)。 Write "Test" Write 0x0D0A Write MyVariable
WinHex数据恢复使用教程 WinHex教程 WinHex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如Pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:WinHex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构
MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、W INHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: WinHex WinHex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方
WinHEX磁盘工具使用教程 【关键字】winhex ghost 误克隆数据恢复数据恢复工具误操作 【简介】WinHex以文件小、速度快,功能不输其它的Hex十六进位编辑器工具得到了ZDNetSoftwareLibrary五颗星最高评价,可做Hex与ASCII码编辑修改,多文件寻替换功能,一般运算及逻辑运算,磁盘磁区编辑(支持FA T16、FA T32和NTFS)自动搜寻编辑,文件比对和析等功能,另外8.3版新增了RAM编辑功能! Winhex是一个很不错的16进制文件编辑与磁盘编辑软件。 WinHex以文件小、速度快,功能不输其它的Hex十六进位编辑器工具得到了ZDNetSoftwareLibrary五颗星最高评价,可做Hex与ASCII码编辑修改,多文件寻替换功能,一般运算及逻辑运算,磁盘磁区编辑(支持FA T16、FA T32和NTFS)自动搜寻编辑,文件比对和析等功能,另外8.3版新增了RAM编辑功能! 下面我们来看看该软件的使用。 标题栏:与一般的应用软件一样,标题栏中显示软件名称和当前打开的文件名称; 菜单栏:Winhex的菜单栏由八个菜单项组成-文件菜单、编辑菜单、搜索、定位、工具、选项菜单、文件管理、窗口和帮助菜单。 在文件菜单中,除了常规的新建、打开文件和保存以及退出命令以外,还有备份管理、创建备份和载入备份功能。选择文件菜单中的属性项,弹出文件属性窗口,包括文件路径、名称、大小、创建时间和修改日期等内容。在编辑菜单中,除了常规的复制、粘贴和剪切功能外,还有数据格式转换和修改的功能。在搜索菜单中,你可以查找或替换文本内容和十六进制文件,搜索整数值和浮点数值。在定位菜单中,你可以根据偏移地址和区块的位置快速定位。在工具菜单中,包括磁盘编辑工具、文本编辑工具、计算器、模板管理工具和Hex 转换器,使用十分方便。在选项菜单中,包括常规选项设置、安全性设置和还原选项设置。在文件管理菜单中,你可以对文件进行分割、比较、复制和剖析,功能十分强大。 在Winhex的工具栏中,包括文件新建、打开、保存、打印、属性工具;剪切、粘贴和复制编辑工具;查找文本和Hex值,替换文本和Hex值;文件定位工具、RAM编辑器、计算器、区块分析和磁盘编辑工具;选项设置工具和帮助工具按钮。通过使用工具栏中的快捷按钮可以更方便的进行操作,这些和菜单中相应的命令是一样的。 在使用Winhex之前需要进行相应的选项设置,点击工具栏中的选项设置快捷图标按钮,弹出选项设置对话框.它包括是否将WinHex作为默认关联,是否添加WinHex到上下文菜单,是否不更新文件名,是否快速打开文件以及是否显示文件图标和工具栏。而且你还可以设置最近打开的文件列表中文件的数目,选择是否用TAB键产生标记,设置临时文件夹、备份文件夹和文本编辑的路径。在常规设置中,你可以选择是否选择显示双光标和页分隔符,是否逐行滚动,是否显示Windows进度条,此外你还可以设置字体类型和颜色,相信你很快就学会了。执行选项菜单中的安全项,弹出安全保护选项设置窗口,你可以选择是否限制驱动控制,是否计算标准检查和扇区读入缓存以及是否确认更新文件。另外你可以选择是否自动检查磁簇,是否总显示恢复报告,是否对下个会话保持驱动映像,是否隐蔽输入加密关键码(*****)以及检查虚拟内存变换和在RAM中是否保留密匙。在所有设置完成后,点击保存按钮,然后按确定按钮返回主窗口。 在使用Winhex时首先打开一个需要处理的文件,窗口中显示十六进制HEX格式的数值和地址。在旁边的区域显示文件名称、大小、创建时间、最后修改日期,窗口属性以及相关信息。利用鼠标拖放功能你可以选择一块数值进行修改编辑。按Ctrl+T,弹出数据修改对话框,选择数据类型和字节变换方式,可以方便的修改区块中的数据。执行文件菜单中的创建备份命令,弹出备份对话框,你可以指定备份的文件名和路径、备份说明,还可以选择是否
一、Winhex的使用 353时代的主流修改工具是UE,可惜UE在打开linkdata.bin这种超大文件时的速度令人难以忍受,于是狂派都投入了Winhex的怀抱。 用Winhex打开要修改的文件,显示如下界面: 任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的,Winhex 便是将这些文件以二进制形式打开。不过显示的时候是十六进制,一位十六进制相当于四位二进制,两位十六进制相当于八位二进制即一个字节,每个字节即对应一个地址。 左边那一列是行标,上边那一行是列标,行标和列标便组成了地址。如6BFA3003这个地址,其行标便是6BFA3000,列标为3。 想要修改数值,直接键盘输入即可。 一个基本常识:对于有多位的十六进制数值而言,存储方式是低位在前,高位在后。如6e731f这么个值,存储方式便是1f 73 6e。 既然显示十六进制,那么自然存在一个十六进制和日常使用的十进制转化的问题。通常可以靠Windows的计算器来完成,点击Winhex工具栏的图标即可打开。在计算器的查看菜单里选择“科学型”,便有进制转换的功能。 其实Winhex自带的数据解释器也可以实现进制转换。(看不到数据解释器的,单击视图——显示——数据解释器)把光标定在某一地址,数据解释器里便能显示对应的十进制数值。在数据解释器里输入十进制值然后按回车,则那个地址的数值就会被改写成对应的十六进制。在“选项——数据解释器”里还能对数据解释器的显示内容作设置,比如翻译无符号数、浮点数等,这个有兴趣的自己试试。
地址定位 靠行标和列标来定位地址显然是愚蠢废力的。Winhex的工具栏上有个图标,点击显示如下界面: 此时直接在“新位置”里输入地址便可完成定位。 也可以定位相对地址。比如此时位置在某ATK首地址,要往上移1000h到达MOV 首地址,那么在“新位置”里输入1000,“相对于”选择“当前位置(P)(返回至)”就行了。 同理,到了MOV首地址后又要往下移960h到达一方地址,则可以在“新位置”里输入960,“相对于”选择“当前位置(C)”。 “位置”菜单里还有个很实用的功能:标记位置和转到标记,快捷键分别是Ctri+I和Ctrl+K。这个功能就不用多解释了吧,我是经常用的。 定义选块 定义选块主要是用来导出特定数据或缩小搜索范围,定义完成之后可以在“位置”菜单里快速定位到选块头和选块尾。 这个操作很简单。在选块头右键点击,选择“选块开始”,选块尾右键点击,选择“选块结尾”就完成了。