WINHEX手动恢复NTFS分区数据

一、初步应用——双分区恢复实例及分析（一）、现场重现：提示，切勿随意使用自己的硬盘进行试验，切记试验前保存重要数据。

对于移动硬盘，损坏往往发生于硬盘传输数据中断电。

现在我将一个有问题的移动硬盘接到电脑上，在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色（打开磁盘工具时它会提示你要初始化，不理它，点“取消”），在“计算机”中也找不到这个磁盘。

（二）、手动修复：（阅读有困难的朋友可以先读完第三节再回过头来看这一节，本节的另一个作用是让新手对Winhex界面有一个初步了解）1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘（F9）-->选择要修复的硬盘，这里是HD2。

2、打开之后图中显示从0000H-->01ffH（16进制）之间的数据全部为0。

现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。

操作步骤为：在良好硬盘中拉选0000-->01bd之间的区块，被选中区块呈亮蓝色；复制选块；接下来在损坏硬盘中拉选相应区域，将光标定位至0000；右键-->编辑-->粘贴板数据-->写入。

将01fe，01ff填写为55AA，到这里一定保存。

点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理（Alt+F12）-->NTFS引导扇区。

打开如下图，并记录黄色方框的两个数值（63和63777986）63+63777986+1=63778050，跳转至63778050扇区。

稍微向下滚动一点，看到那个粉色框标识出的55AA了嘛？往前找到黄色框的部分，显示为3F 00 00 00，将其进行反向排列，变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。

接下来跳转至63778050+63=63778113扇区，我们又发现了一个EB开头的扇区再次选择菜单“视图”-->模板管理（Alt+F12）-->主引导记录NTFS引导扇区。

winhex磁盘提示初始化的恢复例题
在使用WinHex进行磁盘数据恢复时，有时会遇到磁盘提示需要初始化的情况。

这时候，我们需要进行以下步骤进行恢复：
1. 打开WinHex，选择“打开物理磁盘”，选中需要恢复的磁盘。

2. 在弹出的对话框中，选择“以只读方式打开磁盘”，然后点击“确定”按钮。

3. 在“工具”菜单中选择“磁盘工具”，然后选择“修复NTFS 引导扇区”。

4. 在弹出的对话框中，选择“启动选项”标签页，然后选择“NTFS”选项。

5. 在“操作”标签页中，选择“修复NTFS引导扇区”选项，然后点击“开始”按钮。

6. 等待修复完成后，重启计算机，重新打开WinHex进行数据恢复。

以上就是使用WinHex进行磁盘数据恢复时遇到磁盘提示需要初始化时的恢复例题。

需要注意的是，数据恢复可能会有一定风险，因此在进行操作时应先备份数据，以免造成不可逆的损失。

- 1 -。

Winhex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。

首先要安装Winhex，安装完了就可以启动winhex了，启动画面如下：首先出现的是启动中心对话框。

这里我们要对磁盘进行操作，就选择“打开磁盘”，出现“编辑磁盘”对话框：在这个对话框里，我们可以选择对单个分区打开，也可以对整个硬盘打开，HD0是我现在正用的西部数据40G系统盘，HD1是我们要分析的硬盘，迈拓2G。

这里我们就选择打开HD1整个硬盘，再点确定.然后我们就看到了Winhex 的整个工作界面。

最上面的是菜单栏和工具栏，下面最大的窗口是工作区，现在看到的是硬盘的第一个扇区的内容，以十六进制进行显示，并在右边显示相应的ASCII码，右边是详细资源面板，分为五个部分：状态、容量、当前位置、窗口情况和剪贴板情况。

这些情况对把握整个硬盘的情况非常有帮助。

另外，在其上单击鼠标右键，可以将详细资源面板与窗口对换位置，或关闭资源面板。

（如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开）。

最下面一栏是非常有用的辅助信息，如当前扇区/总扇区数目……等向下拉拉滚动条，可以看到一个灰色的横杠，每到一个横杠为一个扇区，一个扇区共512字节，每两个数字为一个字节，比如00。

下面我们来分析一下MBR，因为前面我们说过，前446个字节为引导代码，对我们来说没有意义，这里我们只分析分区表中的64个字节。

分区表64个字节，一共可以描述4个分区表项，每一个分区表项可以描述一个主分区或一个扩展分区（比如上面的分区表，第一个分区表项描述主分区C盘，第二个分区表项描述扩展分区，第三第四个分区表项填零未用）每一个分区表项各占16个字节，各字节含义如下：（H表示16进制）字节位置内容及含义第1字节引导标志。

NTFS文件系统中用WinHex手动恢复文件的研究【摘要】本文探讨了在NTFS文件系统中使用WinHex手动恢复文件的研究。

在介绍了研究背景、研究意义和研究目的。

接着在分别介绍了NTFS文件系统的概述、WinHex工具的介绍、文件删除与恢复原理、以及WinHex手动恢复文件的具体步骤。

在实验结果分析中，对实验数据进行了详细讨论。

结论部分总结了在NTFS文件系统中使用WinHex手动恢复文件的重要性，并展望了未来的研究方向。

本文的研究对于数据恢复领域具有一定的参考价值，有助于提高文件恢复的效率和准确性。

【关键词】NTFS文件系统、WinHex、文件恢复、手动恢复、实验结果分析、重要性、研究展望、结论总结。

1. 引言1.1 研究背景NTFS文件系统是Windows操作系统中常用的文件系统，它具有高效的磁盘空间管理和数据安全性保护等特点。

由于各种原因，用户在使用电脑时难免会误删文件或者遭遇文件丢失的情况。

在这种情况下，恢复被删除文件就显得尤为重要。

WinHex是一款功能强大的磁盘编辑工具，它支持NTFS文件系统的文件恢复操作。

通过使用WinHex，用户可以手动恢复被删除的文件，即使这些文件已经被删除或者文件表已经被覆盖。

研究如何在NTFS文件系统中利用WinHex手动恢复文件具有重要的实际意义。

本研究旨在探讨NTFS文件系统中使用WinHex手动恢复文件的方法和步骤，通过实验验证恢复效果，并对实验结果进行分析和总结。

通过这一研究，可以更好地了解NTFS文件系统中文件恢复的原理和方法，为用户提供更可靠的文件恢复解决方案，进一步提升数据的安全性和可靠性。

1.2 研究意义在当今数字化信息时代，文件丢失或损坏对个人和组织都可能造成严重的影响。

而NTFS文件系统作为Windows操作系统中常用的文件系统之一，其对文件的管理和存储有着独特的特点。

探究在NTFS文件系统中采用WinHex工具手动恢复文件的方法和技巧，对于提高文件恢复的效率和成功率具有重要的意义。

NTFS文件系统中用WinHex手动恢复文件的研究引言在日常使用电脑过程中，由于各种原因，我们经常会遇到文件被意外删除、格式化或者损坏的情况。

通常情况下，我们会通过一些数据恢复软件来尝试恢复丢失的文件。

但是有时候这些软件并不能完全满足我们的需求，特别是在某些复杂的情况下。

我们需要一种更加专业的手段来进行文件恢复。

本文将讨论在NTFS（新技术文件系统）文件系统中使用WinHex手动恢复文件的研究。

NTFS文件系统简介NTFS（New Technology File System，新技术文件系统）是Windows操作系统中的一种文件系统，被广泛应用于Windows NT及其后续版本。

NTFS在安全性、可靠性和性能方面都有很好的表现，因此得到了广泛的应用。

在NTFS文件系统中，文件的元数据（metadata）被存储在称为MFT（Master File Table）的地方。

MFT记录了文件的属性、索引以及文件数据的位置等信息。

当文件被删除或者发生损坏时，文件数据本身可能并没有真正的被删除，而是MFT中的一些标记被修改，使得文件“看起来”被删除。

这就为我们提供了一种可能，通过手动操作MFT来恢复被删除的文件。

WinHex介绍WinHex是一款功能强大的16进制编辑器，它可以用于查看和编辑任何文件、磁盘和内存。

除了16进制编辑器的功能外，WinHex还具备了文件恢复、数据恢复、数据分析等功能，因此非常适合我们在NTFS文件系统中进行文件恢复的需求。

使用WinHex手动恢复文件的步骤1. 打开被删除文件所在的分区我们需要在WinHex中打开文件所在的分区。

在打开分区之后，可以通过MFT条目列表来查看所有的文件和目录。

2. 找到被删除文件的MFT条目在MFT条目列表中，我们可以通过文件名或者其他属性来寻找被删除文件的MFT条目。

一旦找到了被删除文件的MFT条目，我们就可以开始操作它来恢复文件。

3. 恢复MFT条目在找到了被删除文件的MFT条目之后，我们需要将其恢复到正常状态。

使用winhex来恢复数据的方法一、数据丢失的痛与恢复的希望。

1.1 数据丢失那可真是个让人头疼的事儿啊。

不管是误删了重要文件，还是硬盘出了故障，感觉就像丢了宝贝一样心急如焚。

不过呢，先别慌，咱还有winhex这个得力助手。

1.2 winhex就像是数据世界里的神奇小魔杖。

它功能强大，能在看似绝望的数据丢失状况下，给我们带来恢复数据的曙光。

二、winhex初了解。

2.1 winhex是啥呢？简单说，它就是一款专门用来处理十六进制数据的软件。

这听起来有点高大上，但实际操作起来也没那么难。

就像学骑自行车，一开始觉得难，上手了就顺溜了。

2.2 你得先把winhex安装好。

这就好比给战士配上武器，安装过程也不复杂，按照提示一步步来就行，别像没头苍蝇似的乱点。

三、开始用winhex恢复数据。

3.1 打开winhex后，首先要做的就是找到你丢失数据的存储设备。

这就如同在茫茫大海里寻找一艘沉船，得找准目标。

比如说你的数据在硬盘里丢了，那就找到对应的硬盘分区。

这一步可不能马虎，要是找错了地儿，那可就是竹篮打水一场空了。

3.2 接下来就是重头戏了。

winhex有个很厉害的功能叫磁盘克隆。

这就像做备份一样，把有问题的磁盘克隆一份。

这时候你得小心翼翼的，就像捧着个易碎的瓷器。

因为这个过程要是出了岔子，那恢复数据就更难了。

克隆完成后，就可以在克隆的副本上进行数据恢复操作。

3.3 查找丢失的数据片段。

这有点像大海捞针，但winhex有它的办法。

它可以通过分析十六进制数据的特征，找到那些可能是你丢失文件的部分。

这就要求你得有点耐心，心急吃不了热豆腐嘛。

有时候可能要花费一些时间去比对和查找，但只要坚持，往往就能找到那些“失踪”的数据。

3.4 恢复数据的时候，也要注意一些细节。

比如说数据的完整性，可不能只恢复个半拉子工程。

要确保恢复出来的数据是可用的，就像检查一件修好的东西是不是真的修好了一样。

四、数据恢复后的检查与预防。

4.1 数据恢复成功后，可别以为就万事大吉了。

说明：需要大家注‎意的是故障‎磁盘分区以‎前必须是N‎T FS格式‎的（fat 和f‎a t32格‎式的还没试‎过不敢误人‎子弟）病状：一块移动硬‎盘有了3个‎n tfs分‎区，连接到电脑‎以后，其中一个区‎不管是点击‎左键还是右‎键打开，都是显示＂磁盘未被格‎式化，是否格式化‎＂，其他区能正‎常打开。

而以前都一‎直正常分析：这通常是由‎于该分区的‎引导程序出‎了问题导致‎的。

先来了解一‎下基础知识‎：mbr（硬盘主引导‎记录）和dbr（硬盘分区引‎导记录）硬盘MBR‎就是我们经‎常说的“硬盘主引导‎记录，它由主引导‎程序、硬盘分区表‎及扇区结束‎标志字（55AA）这3个部分‎组成硬盘MBR‎负责总管硬‎盘分区，只有分区工‎具才能对它‎进行读写（如FDIS‎K）；而DB R则‎负责管理某‎个具体的分‎区，它是用操作‎系统的高级‎格式化命令‎（如FORM‎A T）来写入硬盘‎的。

在系统启动‎时，最先读取的‎硬盘信息是‎M BR，然后由MB‎R内的主引‎导程序读出‎D BR，最后才由D‎B R内的D‎O S引导代‎码读取操作‎系统的引导‎程序，其中任何一‎个环节出了‎问题，操作系统都‎无法正常启‎动成功，如果是MB‎R部分出了‎问题,，通常都会出‎现“无效分区表‎“、逻辑盘丢失‎、启动死机等‎现象；而如果是D‎B R部分出‎了问题，通常会出现‎“未格式化的‎分区”的错误提示‎。

通俗来说（以我个人的‎理解）分区表就好‎比是一张记‎录了分区信‎息的纸，mbr记录‎了将这张纸‎划分为了多‎少大小不同‎的块，而dbr记‎录就是这些‎块各自在这‎张纸上的位‎置。

好了。

现在我们用‎w inhe‎x来回复分‎区中的数据‎。

1.打开win‎h ex，然后点击“工具”----“打开磁盘”，选择“物理磁盘”中的故障盘‎。

打开之后我‎们就可以可能‎到分区中的‎信息了。

2.点击右上方‎的黑色小箭‎头出现下拉‎菜单，可以看到有‎故障的分区和其他‎正常分区显‎示是不一样‎的。

NTFS文件系统中用WinHex手动恢复文件的研究概要在使用Windows操作系统的过程中，我们有时会遇到文件意外删除、磁盘损坏或者格式化等问题，导致重要文件丢失的情况。

虽然Windows系统提供了回收站和一些自带的恢复工具，但有些情况下，这些方法并不能完全满足我们的需求。

在这种情况下，我们可以使用数据恢复工具来尝试手动恢复丢失的文件。

本文将介绍如何使用WinHex手动恢复丢失的文件，以及在NTFS文件系统中进行这一操作的详细步骤和注意事项。

步骤步骤一：安装和打开WinHex我们需要下载并安装WinHex软件。

安装完成后，打开WinHex程序。

在打开程序后，我们将看到一个界面，该界面可以用于打开磁盘、映像文件或者逻辑驱动器。

步骤二：选择目标磁盘或映像文件在WinHex界面中，我们需要选择目标磁盘或映像文件，以便对其进行数据恢复。

在此步骤中，我们需要确保选择的是NTFS文件系统的磁盘或映像文件，以便在接下来的操作中进行文件恢复。

步骤三：搜索丢失的文件在选择了目标磁盘或映像文件后，我们可以使用WinHex的搜索功能来查找丢失的文件。

在搜索框中输入文件名或关键词，然后点击“搜索”按钮，WinHex将开始搜索目标磁盘或映像文件中与关键词匹配的文件。

在搜索到需要恢复的文件后，我们可以将其标记为需要恢复的文件，并保存到指定的位置。

步骤四：恢复文件在标记了需要恢复的文件后，我们可以点击“恢复”按钮来进行文件恢复操作。

在恢复文件的过程中，我们需要注意选择恢复文件的保存位置，并确保该位置具有足够的空间来保存恢复的文件。

注意事项在使用WinHex手动恢复NTFS文件系统中的文件时，我们需要注意以下几个问题：2. 小心操作：在使用WinHex手动恢复文件时，我们需要小心操作，避免对目标磁盘或映像文件造成进一步损坏。

结论在使用NTFS文件系统时，我们可能会遇到文件丢失的情况。

在这种情况下，我们可以使用WinHex手动恢复丢失的文件。

WINHEX修复“文件教程”WINHEX修复“文件或目录损坏且无法读取” 远程做的一个“文件或目录损坏且无法读取”的恢复。

23G的NTFS分区D，XP系统，每簇扇区数8，用winhex无法读取分区，提示错误，通过物理磁盘访问该分区，根目录下看不到任何文件，检查DBR，没有发现明显的异常。

由于是远程恢复，原盘未做截图，本教程是模拟了原始分区数据丢失时的情景，请参考恢复思路，如有不足，请各位指正～跳转到第分区E的EBR(虚拟MBR)位置的上一个扇区，找到损坏的分区的备份的DBR，通过winhex提供的计算hash功能，计算哈希值。

再与第一个DBR的hash 值对比。

完全一样。

(也可以通过winhex提供的同步和对比功能进行验证，winhex 会不同的字节上显示黑色)跳转到$MFT的开始位置，也即是$MFT自身的记录。

发现其起始特征本应该是ASCII码的“FILE”四个字节，现在变成了ASCII码“BAD,”。

这是造成提示“文件或目录损坏且无法读取”的关键问题所在。

跳转到偏移512=242位置，也就是这个MFT项的文件名起始位置。

文件名正常:UNICODE码的“$MFT”。

检查标准属性(10H)，文件名属性(30H)，数据流属性(8H)属性，到8属性的时候，发现从8属性开始的第三行开始，都被清零，其他的重要的四个元数据文件中，$Volume属性也出现了同样的错误。

找到备份的前四个元数据文件的记录。

覆写错误的记录。

根据DBR找到了MFT 前四个元数据文件的备份，备份的元数据文件几乎跟前面四个一摸一样的错误。

只能是手工修复$MFT。

在$MFT自身的记录当中，发现”结束VCN”并没有遭到破坏，这为后期的修复工作节省了很多时间，复制一个正常分区(分区E)的第一个扇区到损坏的$MFT中，修改其中的一些数值。

在8属性中，第三行字节的开始位置应该是描述的datarun的起始位置，根据起始VCN和结束VCN得出$MFT的大小，计算方法:起始 VCN+1=LCN，根据这个数值，写入datarun。

用WinHex手工恢复硬盘分区表最近，PC机不能正常引导，将硬盘挂载到其它PC机上，显示硬盘未分区，结果如下图所示：原硬盘分为4个分区，但现在显示未分区，推测是硬盘的分区表丢失，计划用WinHex工具手工恢复硬盘分区表，通过用WinHex查看分区表，果真丢失了分区表，于是利用该工具进行了恢复，成功修复硬盘。

恢复期间，参考了网上的众多资料，这些资料虽然提供了很多帮助，但感觉理论性太强，没有充分利用工具本身的优势，因此作一总结，以为新手提供帮助。

为了更好的理解恢复方案，在文中增加了小知识点，如果对理论不感兴趣，可略过这些小知识点，直接参考恢复步骤即可。

在此也一并感谢在网上分享资料的各位大侠。

一、查看MBR（Master Boot Record）利用WINHEX打开硬盘的MBR，如下图所示：从图中可见，1、第1扇区的55AA前的64个字节全为0，表明分区表信息丢失。

2、在最上边的栏中的可以看到分区信息，包括分区名称、类型、大小、该分区的首扇区等信息，这些将帮助我们迅速地恢复硬盘分区。

小知识1：MBR（Master Boot Recorder）、DPT（Disk Partition Table）MBR位于磁盘的第一个扇区，CHS地址是0柱面，0磁头，1扇区，共占用63DPT中定义的分区包括主分区和扩展分区，主分区+扩展分区总共不能超过4个。

所谓主分区是指DPT中包含能够被系统的磁盘分区，一个硬盘主分区至少有1个，最多4个，它是可以设置为活动的，即可以引导操作系统。

一个硬盘只能有一个活动分区。

扩展分区并不能被系统直接使用，它的作用是突破DPT中只能定义四个分区限制的，可以没有，最多1个。

对于windows系统，一般分为一个主分区，一个扩展分区。

（本文介绍的方法也是针对这种情况，对硬盘分区表进行恢复）。

其做法：定义完主分区之后，将多余的容量定义为扩展分区，指定该分区的起始位置，根据起始位置指向硬盘的某一扇区，称作扩展MBR（EBR），在其中定义下一个分区表。

用WinHex手工恢复硬盘分区表最近，PC机不能正常引导，将硬盘挂载到其它PC机上，显示硬盘未分区，结果如下图所示：原硬盘分为4个分区，但现在显示未分区，推测是硬盘的分区表丢失，计划用WinHex工具手工恢复硬盘分区表，通过用WinHex查看分区表，果真丢失了分区表，于是利用该工具进行了恢复，成功修复硬盘。

恢复期间，参考了网上的众多资料，这些资料虽然提供了很多帮助，但感觉理论性太强，没有充分利用工具本身的优势，因此作一总结，以为新手提供帮助。

为了更好的理解恢复方案，在文中增加了小知识点，如果对理论不感兴趣，可略过这些小知识点，直接参考恢复步骤即可。

在此也一并感谢在网上分享资料的各位大侠。

一、查看MBR（Master Boot Record）利用WINHEX打开硬盘的MBR，如下图所示：从图中可见，1、第1扇区的55AA前的64个字节全为0，表明分区表信息丢失。

2、在最上边的栏中的可以看到分区信息，包括分区名称、类型、大小、该分区的首扇区等信息，这些将帮助我们迅速地恢复硬盘分区。

小知识1：MBR（Master Boot Recorder）、DPT（Disk Partition Table）MBR位于磁盘的第一个扇区，CHS地址是0柱面，0磁头，1扇区，共占用63个扇区，实际上只使用1扇区；其布局如下：DPT中定义的分区包括主分区和扩展分区，主分区+扩展分区总共不能超过4个。

所谓主分区是指DPT中包含能够被系统的磁盘分区，一个硬盘主分区至少有1个，最多4个，它是可以设置为活动的，即可以引导操作系统。

一个硬盘只能有一个活动分区。

扩展分区并不能被系统直接使用，它的作用是突破DPT中只能定义四个分区限制的，可以没有，最多1个。

对于windows系统，一般分为一个主分区，一个扩展分区。

（本文介绍的方法也是针对这种情况，对硬盘分区表进行恢复）。

其做法：定义完主分区之后，将多余的容量定义为扩展分区，指定该分区的起始位置，根据起始位置指向硬盘的某一扇区，称作扩展MBR（EBR），在其中定义下一个分区表。

winhex恢复U盘分区Winhex恢复U盘分区你是否因为U盘提示格式化而为舍不得U盘里的重要数据感到舍不得呢？你是否因为没有正确使用U盘导致U盘数据丢失而后悔呢？你是否因为病毒如期U盘而烦恼呢？U盘在今天的非常普遍使用的，而使用的人群虽然很多，所以不会正确使用U盘的人群也越发多了起来。

不正确的使用U盘会导致U盘损坏以至于U盘里的重要数据文件丢失。

今天就来教大家怎样使用winhex 软件恢复U盘的分区。

1.首先插入损坏的U盘（提示需要格式化，这里我们不能格式化，否则将无法找回数据）2.使用winhex软件打开U盘的物理存储介质3.查看错误位置（此处为U盘的分区表被破坏了，所以导致U盘需要格式化才能用）5.根据引导扇区的模板看出此分区的起始扇区和结束扇区，然后通过计算器的程序员模式算出起始扇区和结束扇区的16进制数1.打开winhex软件自带的计算器2.点击查看》程序员3.点击十进制》输入起始扇区号4.点击十六进制》得出数值的十六进制数（NTFS格式需要在结束扇区上加一位数）5.填写十六进制数时需要倒着填写 [例如我们计算出的十六进制数为 80 0 ，那么填写到起始扇区的时候应填写为 00 08 00 00 (起始扇区和结束扇区的位置需填写四个字节) ]6.填写硬盘的分区表信息1.跳转到U盘的0扇区（每个字节两位数）2.0x01BE处写入803.0x01BF处写入004.0x01C0处写入005.0x01C1处写入006.0x01C2处写入硬盘的格式（NTFS:07FAT32：0B exFAT:07）7.0x01C3处写入FE8.0x01C4处写入FF9.0x01C5处写入FF10.0x01C6至0x01C9处写入分区的起始扇区的十六进制数11.0x01CA至0x01CD处写入分区的结束扇区的十六进制数12.CTEL+S保存修改，之后重新拔插U盘即可。

用winhex手动修复分区表以提取数据一、初步应用——双分区恢复实例及分析(一)、现场重现:提示，切勿随意使用自己的硬盘进行试验，切记试验前保存重要数据。

对于移动硬盘，损坏往往发生于硬盘传输数据中断电。

现在我将一个有问题的移动硬盘接到电脑上，在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化，不理它，点“取消”) ，在“计算机”中也找不到这个磁盘。

(二)、手动修复:(阅读有困难的朋友可以先读完第三节再回过头来看这一节，本节的另一个作用是让新手对Winhex界面有一个初步了解) 1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘，这里是HD2。

2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。

现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。

操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块，被选中区块呈亮蓝色; 复制选块;接下来在损坏硬盘中拉选相应区域，将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。

将01fe，01ff填写为55AA，到这里一定保存。

点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。

打开如下图，并记录黄色方框内的两个数值(63和63777986)63+63777986+1=63778050，跳转至63778050扇区。

稍微向下滚动一点，看到那个粉色框标识出的55AA了嘛,往前找到黄色框内的部分，显示为3F 00 00 00，将其进行反向排列，变为 00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。

接下来跳转至63778050+63=63778113扇区，我们又发现了一个EB开头的扇区再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。

这是我们这里的一同行转到我这里来的一个数据，据客户描述故障为：盘分了三个区在一次意外死机后重启电脑后客户继续死机前的工作打开最后一个区（前两个区是正常的）提示未格式化（其实大多数朋友知道这时的问题简单得多也许重建DBR后整个盘里面的数据都在，这里暂且就不谈这种问题的解决方法了），要命的是这时客户鬼使神差地点击了格式化了，结果大家当然就知道了，数据肯定是没有了。

据转到我这里的那同行说他用各种搜索软件对整个区搜了好几遍（这也是大多数所谓专业的数据恢复商所用的恢复方法了），当然也搜到了很多数据，尽管很乱但还能正常打开。

最后客户确认搜出来数据大部份正常，但客户最重要的的一个压缩文件损坏了，（据客户说那压缩文件是他多年搞设计购买的素材库的精华）。

大家知道压缩文件损坏了是很难很难修复的了。

首先我用WINHEX把他搜出来的那个压缩文件打开分析了下，文件头乱了，中间的数据也不正常。

无法修复，只好从原盘着手了。

竟然搜索软件搜出来的是损坏的，那就只有用手工来做了，当然用手工做这种格式化了的数据很费时，且计算量也很大，只能针对像这样的个别特重要的数据。

对原盘的那个格式化掉的分区做完镜像后，用WINHEX打开镜像，设置镜像文件为磁盘。

如下图所示：分区是NTFS格式的，整个分区大小为25.4G。

对NTFS 分区格式研究过的朋友会知道，在NTFS文件系统中，文件亦是按簇进行分配的，文件通过主文件表MFT （Master File Table）来确定其在磁盘上的存储位置、大小、属性等信息。

相当于FAT系统下的FAT+FDT的功能。

每文件都有一个文件记录。

其中第一个记录就是 MFT自己本身。

我们转到第一个文件记录也就是MFT了直接点可以看到如下图所示：通过第一个文件记录往下观察发现格式化了后对文件记录没有产生破坏。

那么这时我们就可以有一个恢复的思路了：找客记所说的那个压缩文件的在MFT中的记录，再通过对文件记录的分析来确定文件在磁盘中的位置及大小，就可以直接从中提出文件了。

winhex数据恢复教程
WinHex是一款功能强大的数据恢复工具，可以帮助用户恢复
误删除、格式化、损坏等原因导致的丢失数据。

下面是一份WinHex数据恢复的简单教程，帮助你快速恢复丢失的数据。

1. 首先，打开WinHex软件。

2. 在WinHex主界面中，点击菜单栏上的"打开"按钮，选择需
要恢复数据的驱动器或存储设备。

3. 在弹出的对话框中，选择"物理设备"选项，并点击"确定"按钮。

4. WinHex将扫描选定设备并显示其中的数据。

5. 在数据窗口中，可以看到被删除的文件或损坏的文件系统排列在一起。

6. 在右侧的导航窗口中，选择需要恢复的文件或文件夹，并将其拖放到一个新的位置，例如桌面。

7. WinHex将尝试恢复选定的文件或文件夹，并将其保存到目
标位置。

8. 等待恢复过程完成，恢复成功后将显示恢复的文件或文件夹。

注意：
- 在进行数据恢复操作前，请确保已选择正确的设备。

选择错误设备可能会导致数据丢失。

- WinHex提供了强大的数据恢复功能，但并不能恢复所有丢失的数据。

在某些情况下，数据可能已经被覆盖或损坏，无法完全恢复。

- 如果你对数据恢复操作不熟悉，建议先在副本上进行操作，以防止意外损坏原始数据。

希望这个简单的WinHex数据恢复教程对你有所帮助，祝你成功恢复丢失的数据！。

如何使用WINHEX进行数据恢复Winhex有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。

首先要安装Winhex，安装完了就可以启动winhex了，启动后，首先出现的是启动中心对话框。

这里我们要对磁盘进行操作，就选择“打开磁盘”，出现“编辑磁盘”对话框：在这个对话框里，我们可以选择对单个分区打开，也可以对整个硬盘打开，HD0是我现在正用的西部数据40G系统盘，HD1是我们要分析的硬盘，迈拓2G。

这里我们就选择打开HD1整个硬盘，再点确定.然后我们就看到了Winhex的整个工作界面。

最上面的是菜单栏和工具栏，下面最大的窗口是工作区，现在看到的是硬盘的第一个扇区的内容，以十六进制进行显示，并在右边显示相应的ASCII码，右边是详细资源面板，分为五个部分：状态、容量、当前位置、窗口情况和剪贴板情况。

这些情况对把握整个硬盘的情况非常有帮助。

另外，在其上单击鼠标右键，可以将详细资源面板与窗口对换位置，或关闭资源面板。

（如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开）。

最下面一栏是非常有用的辅助信息，如当前扇区/总扇区数目……等向下拉拉滚动条，可以看到一个灰色的横杠，每到一个横杠为一个扇区，一个扇区共512字节，每两个数字为一个字节，比如00。

下面我们来分析一下MBR，因为前面我们说过，前446个字节为引导代码，对我们来说没有意义，这里我们只分析分区表中的64个字节。

分区表64个字节，一共可以描述4个分区表项，每一个分区表项可以描述一个主分区或一个扩展分区（比如上面的分区表，第一个分区表项描述主分区C 盘，第二个分区表项描述扩展分区，第三第四个分区表项填零未用）每一个分区表项各占16个字节，各字节含义如下：（H表示16进制）字节位置内容及含义第1字节引导标志。

WINHEX手工修正分区文件系统结构法手工修正结构需要一定的数据恢复基础原理知识。

在这里我们只描述常用几种系统结构位的手工修正，包括DBR、FAT表头部、MFT头部。

欢迎阅读本文，这是我们的《走进科学--探索发现--硬盘分区信息丢失之谜》的第三篇《W inHex应用之奇怪的未格式化》这篇文章是三篇文章中最绕的一篇，充分认识硬盘数据结构的“C T”运行 WINHEX之后你会觉得，这个可以学，很好很强大。

在第一篇《寻找丢失的硬盘分区》文章里，我们恢复了客户故障硬盘的分区信息，但仍然有三个分区是未格式化状态，在这篇文章中我们利用非常强大的Winhex来进行手工修复文件系统。

第二篇《DiskGenius恢复提示格式化的数据》中使用硬盘数据恢复软件的新星DiskGenius恢复这三个分区的数据，使用的是扫描重组目录法，直接提取数据。

前面恢复的6个分区中，有3个48.8G的NTFS分区是提示“未格式化”的，我们在前面介绍的是使用磁盘精灵直接扫描恢复数据，除扫描方法恢复数据，我们还可以使用WINHEX磁盘编辑工具直接修改异常扇区，达到恢复数据的目的。

除了恢复结果原汁原味，而且恢复迅速，熟练后只需几分钟恢复这三个异常分区。

运行WINHEX，点取打开磁盘，选择我们要编辑恢复的硬盘，然后确定打开,这里选择物理驱动器，有的时候如果单一分区文件系统有问题，打开逻辑驱动器会出现问题，最好是打开物理驱动器后在对单一分区进行操作。

打开物理驱动器后，6个分区信息一目了然，其中2、3、4分区格式位置是未知的文件系统，显示？号，看来这三个分区引导信息扇区DBR肯定出问题了。

点击分区1，扇区内容栏将跳到分区1开始的地方，也就是分区的DBR位置。

我们看到分区1从63扇区开始，其DBR的开始字节为EB 58 90点击分区2，扇区内容栏将跳到分区2的DBR位置。

我们看到分区2在40965813扇区，其DBR的开始字节为7F EB 52 90点击分区3，扇区内容栏将跳到分区3的DBR位置。