下载文档原格式
Winhex是X-Ways公司出品的一款十六进制编辑、磁盘编辑软件,其公司网站对其功能介绍如下:* 可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑* 支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统* 可支持重组RAID及动态磁盘* 附带数据恢复功能* 可以访问物理内存及虚拟内存* 内置数据解释器,可以识别解释20种数据类型* 可以用数据结构模板查看、编辑结构数据* 可以分割与合并文件* 可以对文件进行分析与对比* 具有灵活的搜索和替换功能* 可以对磁盘进行克隆* 可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理* 具有编程接口,支持脚本操作* 支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算* 支持对磁盘进行数据安全销毁* 包含ANSI ASCII, IBM ASCII, EBCDIC, Unicode字符集* 支持文件大小超过4GB4.2 软件的获取与安装读者可以在网络上搜索提供下载Winhex的网站,或直接到其公司网站下载试用版或购买正版。
Winhex的安装与普通软件安装没有区别,以在Windows XP下为例,双击Setup.exe程序即可开始安装过程。
如图 4.1所示。
图4.1程序默认的安装路径是C:\Program Files\WinHex,当然也可以自行选择安装到其他位置。
可以选择语言种类,不过用以选择中文的Chinese按钮处于灰色不可选状态,应该是尚不支持中文。
用户可以选择其它语言,默认语言是英文。
确定安装位置无误后,点击OK按钮,程序会弹出一个询问框,询问是否确定将程序安装到所选位置。
如图 4.2所示。
图4.2如果要对安装位置重新选择,可以按“否”按钮回到原界面进行设置。
否则按“是”按钮继续安装。
程序随即会弹出询问框询问是否要建立快捷方式。
如图 4.3所示。
点击按钮“是”,程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。
一、初步应用——双分区恢复实例及分析(一)、现场重现:提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。
对于移动硬盘,损坏往往发生于硬盘传输数据中断电。
现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。
(二)、手动修复:(阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解)1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。
2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。
现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。
操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块;接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。
将01fe,01ff填写为55AA,到这里一定保存。
点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。
打开如下图,并记录黄色方框的两个数值(63和63777986)63+63777986+1=63778050,跳转至63778050扇区。
稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。
接下来跳转至63778050+63=63778113扇区,我们又发现了一个EB开头的扇区再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。
目录乱码原因很多,但大多是由于病毒破坏或移动硬盘、u盘、sd卡的误操作。
文件或目录乱码修复方法也很多,首先恢复数据或找到目录乱码的原因在用手工修复好错误,从而恢复数据,是我们现在最为科学的方法。
用硬盘数据恢复软件先恢复数据的方法可以参考(r-studio数据恢复软件使用教程)链接地址:/Data-recovery/92/。
我们今天用winhex工具手工修复目录乱码原因来恢复数据来做一个教程。
正好有个u盘出现目录乱码和文件乱码的现象,并且打开文件夹目录时提示目录名、文件名或卷标出现语法不正确的提示。
首先,我们先做u盘镜像文件备份,以防操作失误。
winhex镜像文件方法这里我就不多说了,可以到这里学习一下:/Data-recovery/119/完成镜像备份后导入备份的文件进行目录乱码的分析。
先打看根目录看一下,看图很明显这并不是根目录下的数据内容,这说明DBR有问题。
我们来检查一下DBR的参数,打开DBR分析OEM是乱码,但影响不大。
我们来检测FAT1和FAT2是否正常。
分析:这是FAT32分区,FAT表正常下来再查看与他(地1024扇区)相邻的两个扇区,这时发现问题了:分析:第1023和1025扇区的数据,应该是一个FAT表中的一部分,感觉第1024扇区(FAT2的开始扇区)的数据好像插在一个FAT表中间了,且FAT2只有一个扇区,这说明FAT表有问题,现在要找正确的FAT表,然后恢复。
开始搜索FAT表:查找发现3个FAT表:分析:除原来看到的两个FAT表外,在第990扇区发现一个FAT表,如果这是正确的FAT2(不可能是fat1),那么数据区的开始扇区为:32加(990-32)乘2等于1948扇区,现在到第1948扇区去:分析:显然第1948扇区不是数据开始的扇区(DATA数据在FAT2后面,而FAT2最后一个扇区的时间一般是00),现在一直数据开始的扇区。
那么我们要找根目录区(DIR)或数据区的扇区。
扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
WinhexWinhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。
这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。
这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。
这些情况对把握整个硬盘的情况非常有帮助。
另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。
(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。
使用winhex来恢复数据的方法一、数据丢失的痛与恢复的希望。
1.1 数据丢失那可真是个让人头疼的事儿啊。
不管是误删了重要文件,还是硬盘出了故障,感觉就像丢了宝贝一样心急如焚。
不过呢,先别慌,咱还有winhex这个得力助手。
1.2 winhex就像是数据世界里的神奇小魔杖。
它功能强大,能在看似绝望的数据丢失状况下,给我们带来恢复数据的曙光。
二、winhex初了解。
2.1 winhex是啥呢?简单说,它就是一款专门用来处理十六进制数据的软件。
这听起来有点高大上,但实际操作起来也没那么难。
就像学骑自行车,一开始觉得难,上手了就顺溜了。
2.2 你得先把winhex安装好。
这就好比给战士配上武器,安装过程也不复杂,按照提示一步步来就行,别像没头苍蝇似的乱点。
三、开始用winhex恢复数据。
3.1 打开winhex后,首先要做的就是找到你丢失数据的存储设备。
这就如同在茫茫大海里寻找一艘沉船,得找准目标。
比如说你的数据在硬盘里丢了,那就找到对应的硬盘分区。
这一步可不能马虎,要是找错了地儿,那可就是竹篮打水一场空了。
3.2 接下来就是重头戏了。
winhex有个很厉害的功能叫磁盘克隆。
这就像做备份一样,把有问题的磁盘克隆一份。
这时候你得小心翼翼的,就像捧着个易碎的瓷器。
因为这个过程要是出了岔子,那恢复数据就更难了。
克隆完成后,就可以在克隆的副本上进行数据恢复操作。
3.3 查找丢失的数据片段。
这有点像大海捞针,但winhex有它的办法。
它可以通过分析十六进制数据的特征,找到那些可能是你丢失文件的部分。
这就要求你得有点耐心,心急吃不了热豆腐嘛。
有时候可能要花费一些时间去比对和查找,但只要坚持,往往就能找到那些“失踪”的数据。
3.4 恢复数据的时候,也要注意一些细节。
比如说数据的完整性,可不能只恢复个半拉子工程。
要确保恢复出来的数据是可用的,就像检查一件修好的东西是不是真的修好了一样。
四、数据恢复后的检查与预防。
4.1 数据恢复成功后,可别以为就万事大吉了。
winhex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
数据⽆价硬盘数据恢复⼀步⼀步⽤Winhex⼿动修复分区表以提取数据⼀、初步应⽤——双分区恢复实例及分析(⼀)、现场重现:提⽰,切勿随意使⽤⾃⼰的硬盘进⾏试验,切记试验前保存重要数据。
对于移动硬盘,损坏往往发⽣于硬盘传输数据中断电。
现在我将⼀个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘⼯具”中我们可以看到这个未被初始化的磁盘显⽰为⿊⾊(打开磁盘⼯具时它会提⽰你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。
对于新⼿,往往是这样⼏个表情吧其实俺也是这么过来滴~争取这篇⽂章之后让⼤家的表情都变成这样(⼆)、⼿动修复:(阅读有困难的朋友可以先读完第三节再回过头来看这⼀节,本节的另⼀个作⽤是让新⼿对Winhex界⾯有⼀个初步了解)1、打开Winhex-->菜单栏-->选择“⼯具”-->打开磁盘(F9)-->选择要修复的硬盘,这⾥是HD2。
2、打开之后图中显⽰从0000H-->01ffH(16进制)之间的数据全部为0。
现在我从⼀个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。
操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝⾊;复制选块;接下来在损坏硬盘中拉选相应区域,将光标定位⾄0000;右键-->编辑-->粘贴板数据-->写⼊。
将01fe,01ff填写为55AA,到这⾥⼀定保存。
点击黄⾊区域的图标并转移⾄63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。
打开如下图,并记录黄⾊⽅框内的两个数值(63和63777986)63+63777986+1=63778050,跳转⾄63778050扇区。
稍微向下滚动⼀点,看到那个粉⾊框标识出的55AA了嘛?往前找到黄⾊框内的部分,显⽰为3F 00 00 00,将其进⾏反向排列,变为00 00 00 3F于是3F(⼗六进制)=63(⼗进制)——我们称这个数为相对偏移量。
WinHex数据恢复图文教程WinHex 数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
WinHex教程WinHex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如Pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:WinHex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
WinHex数据恢复教程笔记WinHex是在Windows下运行的十六进制编辑软件,此软件功能非常强大。
有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
数据恢复的前提:数据不能被二次破坏、覆盖!数据恢复首选软件用十六进制编辑器:WinHexMBR、EBR是分区产生的。
MBR主引导记录大小是固定的,位于整个硬盘的0柱面0磁道1扇区。
共占用了63个扇区,实际只使用了1个扇区,即硬盘第一扇区中的512字节。
DBR是分区引导扇区,是由FORMAT高级格式化命令写到该扇区的内容,DBR是由硬盘的MBR装载的程序段。
DBR装入内存后,即开始执行该引导程序段,其主要功能是完成操作系统的自举并将控制权交给操作系统。
每个分区都有引导扇区,但只有被设为活动分区才会被MBR装的DBR入内存运行FAT16文件跳转指令EB 3C 90FAT16 没有备份DBRFAT32文件跳转指令EB 58 90DBR备份在第6扇区有第一扇区的备份。
FAT表32扇区NTFS文件跳转指令EB 52 90DBR备份在最后一个扇区ntfs格式没有FAT表。
04H 分区系统标志当该值为00H时,表示此分区为不可识别的系统;为04H时该分区为FAT16分区;为05H或0FH该分区为扩展分区;为0B时该分区为FAT32分区;F8H FFH FFH 0FH 开始的FAT表,(对于FAT16是以F8H FFH开始的),每个FAT项占32位(4个字节),FAT16的每个FAT项占16位(2个字节),也就是说FAT和簇是一一对应的关系,对于FAT32的FAT来说每4个字节为1个FAT项.(对于FAT16的FAT每2个字节为一个FAT项)512字节的MBR主引导记录又分为三部分:1.主引导扇区里的主引导程序代码(boot loader),占446个字节;2.硬盘分区表DPT(Disk Partition table),占64字节;主分区表项1占16字节,447-461每一个分区表项各占16个字节.硬盘中分区有多少以及每一分区的大小都记在其中。
3.硬盘55AA有效结束标志magic number,占两个字节。
MBR被清零的话,硬盘将不能引导。
如果0号扇区被清零,硬盘分区将不被系统识别。
提示未初始化。
备份MBR只要备份前512字节就可以了,包含分区表。
用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。
主引导程序代码(boot loader)的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。
也可以用工具软件,比如:DiskGenius、WinHex等。
EBR,也叫做扩展MBR(Extended MBR)。
占63个扇区。
因为主引导记录MBR最多只能描述4个分区项,如果一个硬盘上分多于4个区,就用EBR.EBR的结构和MBR的结构是一样的,所以在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0。
DBR的备份:分区格式是FAT32的话,备份在分区的6扇区。
NTFS分区格式的话,在分区的最后一个扇区。
而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成。
分区表:分区表64个字节,一共描述4个分区表项,每个分区表项可以描述一个主分区或一个扩展分区. (比如上面的分区表,第一个分区表项描述主分区C盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)每一个分区表项各占16个字节。
注意:真正的隐含扇区数应该反过来填写!主分区图:主分区表项1占16字节,447-46180 41 02 00 07 15 F5 FF 00 10 00 0000 10 B8 0580 激活标记表示活动分区41 02 0007 NTFS分区15 F5 FF 分区的结束物理地址位置9-12字节00 10 00 0000 00 10 00=4096 本分区之前已用了4096扇区13-16字节=C盘大小00 10 B8 05科学计算器16进制转换10进制,05 B8 10 00=95948800扇区*512=/1024/1024/1024=45.75G 扩展分区表00 4B C1 FF 0F 0E FF FF15 2D B8 05 2C 1F 80 3400非活动分区4B C1 FF0F (LBA模式)扩展分区0E FF FF9-12字节15 2D B8 0505 B8 2D 15=95956245扇区D盘起始扇区13-16字节2C 1F 80 34扩展分区的总扇区数34 80 1F 2C=880811820扇区=420GD盘起始扇区95956245*512扇区=49129597440字节D盘分区表0077D8FF079CFCFFEB0A00000008000500A5C1FF050EFFFFE6140005460A802F0077 D8 FF079C FC FFEB 0A 00 0000 00 0A EB=2795扇区00 08 00 0505 00 08 00=83888128*512=42950721536字节=40G D盘00A5 C1 FF05扩展分区0E FF FFE6 14 00 05=8389143046 0A 80 2F=796920390E盘:880811820-83888128=796923692扇区=380G总扇区数:976773168硬盘的第一分区表(即MBR)字节位置内容及含义第1字节引导标志。
若值为80H激活标记表示活动分区;若值为00H表示非活动分区。
第2、3、4字节本分区的起始磁头号、扇区号、柱面号。
填上:01或00。
填写01 01 00(通用的)第5字节分区类型符:00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区0C——大于8.4FAT32分区05H——扩展分区07H——NTFS分区0FH——(LBA模式)扩展分区83H—— Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号。
填上: FE FF FF(通用)或可以00,该分区的结束物理地址位置。
第9、10、11、9-12字节关键,系统隐含扇区。
本分区之前已用了的扇区数,是十六进制数12字节 LBA=0到DBR 之间的距离。
真正的隐含扇区数应该反过来填写!第13、14、15、16字节 本分区的总扇区数,就是C 盘的大小。
因为C 盘是从第63个扇区开始,而C 盘后面紧接着的是EBR ,所以用EBR 所在的第一个扇区数减去63就是C 盘的大小。
搜索EBR搜索文件夹MBR在定义分区的时候,将多余的容量定义为扩展分区,指定该扩展分区的起止位置,根据起始位置指向硬盘的某一个扇区,作为下一个分区表项,接着在该扇区继续定义分区,如果只有一个分区,就定义该分区,然后结束。
如果不止一个分区,就定义一个基本分区和一个扩展分区,扩展分区再指向下一个分区描述扇区,在该分区上按照上述原则继续定义分区,直至分区定义结束。
用来描述分区的扇区形成一个“分区链”,通过这个分区链,就可以描述所有的分区。
系统在启动时按照分区链的连接顺序查找分区,直至找出所有分区。
这个链显然是个开链结构,如果形成一个环,系统本身并不会去判断它,它只是按照这个链忠实的查找分区,而不进行任何额外的检测与处理。
所谓硬盘逻辑锁,就是让分区链形成一个环,这样系统在启动时就在分区表内循环,表现为系统无法引导,就是从软盘启动,也不能进入硬盘。
系统就是利用这种方法使一个硬盘分区后看起来象多个硬盘。
系统能够找到C盘以外的其他逻辑盘的唯一办法就是,沿着EBR所描述的分区链查找分区。
其实,通常情况下EBR是不会被破坏的,或者破坏的几率极低极低,通常情况下,都是只有MBR被破坏,那么这种情况下,我们只要把MBR的分区表64个字节复原,其他的分区顺着分区表所提供的链自然而然就出来了。
第13、14、15、16字节是本分区的总扇区数,就是C盘的大小,需要通过计算得到。
因为C盘是从第63个扇区开始,而C盘后面紧接着的是EBR,所以用EBR所在的第一个扇区数减去63就是C盘的大小。
EBR的结构和MBR是一样的,所以,EBR的结束标志也一定是55AA,找到这个结束标志,再看看这个扇区是不是EBR不就行了?单击“搜索”—“查找十六进制数值……”,然后出来一个对话框在文本框中输入“55AA”,搜索框中选“全部”,然后选中“条件”,把偏移量设置为“512=510”。
再单击“确定”。
技巧:要逐个扇区的查找55AA确实太慢了,有没有办法快点的呢?有,就是先问问客户C盘大概有多大,大多数客户还是知道的,比如C盘大概有10个G,那么就不要从头开始找了,10个G大概是2000万个扇区,那么可以用转到扇区命令直接到1900万扇区,从那个地方再开始找不就省事多了。
用1435392扇区减去63,得到1435329扇区,再转为16进制,就是15E6C1,将它倒转过来就是C1E61500,这就是C盘的大小。
