下载文档原格式
⽤WinHex直接修改磁盘分区表找回丢失的分区(另附分区表知识)MicrosoftWord⽂档⽤WinHex直接修改磁盘分区表找回丢失的分区(另附分区表知识)⽤WinHex直接修改磁盘分区表找回丢失的分区(另附分区表知识)1. MBR(主引导记录)and Partition Table(分区表)MBR是磁盘第⼀个扇区,CHS地址是0柱⾯,0磁头,1扇区;LBA地址是0。
布局如下:[1] 0x01FE是55,0x01FF是AA。
3. 修复过程理解了MBR和Partition Table,修复思路就很清晰了。
我的数据分区⼤概是占⽤250G硬盘的后180G,所以从硬盘头六分之⼀的位置开始,搜索分区表的明显标志0x55AA。
WinHex的⽅便的搜索功能还可以设置只搜索存在于整数倍于512字节块的末尾的0x55AA,速度快很多。
每找到⼀个最后两字节为0x55AA 的扇区,就分析4个分区表项是不是合理的,以及它所描述的分区⼤⼩,终于找到⼀个扇区,含有⼀个分区表项,⼤⼩180G,哈哈,肯定就是它了。
这个扇区肯定就是扩展分区的起始扇区,它含有的那个分区表项肯定就是它唯⼀包含的⼀个逻辑分区了。
在MBR中创建⼀条属性为扩展分区(05)的分区表项,填⼊其他相关位置信息,以描述刚才找到的这个扩展分区:CHS起始位置:⼀般是逻辑分区表项中的CHS起始位置,把磁头数改为0。
CHS结束位置:照抄逻辑分区表项中的CHS结束位置。
LBA偏移量,写⼊那个扩展分区相对磁盘起始位置的扇区偏移量。
分区⼤⼩:应该是逻辑分区表项中逻辑分区⼤⼩加上63个扇区。
存盘,运⾏Windows管理⼯具,查看磁盘信息,数据分区赫然在⽬。
:)4. 备份MBR终于找回我的电影和mp3了,激动啊。
赶紧做个备份。
MBR本来没有第⼆份拷贝,不像FAT,所以⽤winhex把MBR复制⼀份到磁盘最后⼀个扇区,这个扇区⼀般不可能被⽤到。
好了,再也不怕你硬盘掉电了。
相信听说过硬盘MBR、硬盘分区表、DBR的朋友⼀定都不少。
一、初步应用——双分区恢复实例及分析(一)、现场重现:提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。
对于移动硬盘,损坏往往发生于硬盘传输数据中断电。
现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。
(二)、手动修复:(阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解)1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。
2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。
现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。
操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块;接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。
将01fe,01ff填写为55AA,到这里一定保存。
点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。
打开如下图,并记录黄色方框的两个数值(63和63777986)63+63777986+1=63778050,跳转至63778050扇区。
稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。
接下来跳转至63778050+63=63778113扇区,我们又发现了一个EB开头的扇区再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。
WinHex数据恢复使用教程WinHex教程WinHex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如Pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:WinHex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
数据恢复之硬盘分区误删除后,教你如何起死回生!如果你误删除了硬盘的分区,而里面有你很重要的数据,你是否为此感到着急万分!莫着急,莫着急!今天给您介绍两种方法来使你的硬盘起死回生!第一种方法是用Winhex,第二种是用Diskgen。
当然第二种比较简单,速度也比较快,是没有数据恢复基础的人是很理想的软件。
好了,先介绍一下我的实验环境,这是从老师那拿的一块虚拟硬盘,我也不知道有几个分区?分区是什么类型的?只知道里面有数据。
而现在要把数据恢复出来。
先说第一种winhex把要恢复的硬盘挂到另外一台计算机上,磁盘1就是要目标硬盘,现在它变成了未指派,我们要把它的分区恢复原状。
打开winhex选择工具----磁盘编辑器打开硬盘1现在开始分析:因为每个硬盘的前63(0-62号)个扇区是保留给系统用的,所以我们应该从63开始进行搜索,转到63扇区按照常理现在的硬盘分区类型大多是NTFS分区,那么先观察ch28位置,发现是00 00 00 00,说明判断错误,应该是FAT分区。
则在CH20位置,发现有一组数据00 82 3E 00 ,这就告诉我们第一个分区是FAT分区,分区大小是3E8200。
注:如果是NTFS,那么在偏移CH28后的几个字节到排列加一就是NTFS分区的扇区大小.既然知道了第一个分区的大小,那么就能知道它的结束位置,以及下一个分区的开始位置。
将大小+起始-1就是第一个分区的结束位置。
即将3E8200转换成十进制加上63减去1等于4096574那么第一个分区就是从63-----4096574扇区,知道第一个的结束那么将结束加一(4096574+1=4096475)就是下一个的分区的开始。
但是,下一个分区是主分区还是扩展的分区呢?不确定,如果是下一个是扩展分区那么在55AA的前64个字节应该有一个分区表。
如果不是一个分区表,那么就是主分区。
就应该看CH28或者是CH20位置来判断是什么分区类型。
按照常理应该是个扩展的分区。
winhex数据恢复分:硬恢复和恢复。
所硬恢复就是硬出物理性,比如有体坏道、路板芯片、体异响,等故障,由此所致的普通用不容易取出里面数据,那么我将它修好,同又保留里面的数据或后来恢复里面的数据,些都叫数据恢复,只不些故障有容易的和困的之分;所恢复,就是硬本身没有物理,而是由于人或者病毒破坏所造成的数据失(比如格式化,分区),那么的数据恢复就叫恢复。
里呢,我主要介恢复,因硬恢复需要一些工具(比如 pc3000, 烙,各种芯片、路板),而且需要懂一点点路基,我里所到的所有的知,涉及面广,次深,既有数据构原理,我手工准确恢复数据提供依据,又有各种数据恢复件的使用方法及技巧,我快速恢复数据提供便利,而且所有件均网上下,不需要我投一分。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数与制:关于二制、十六制、八制它之的我不想多,因他我数据恢复来帮助不大,而且很容易把我。
如果你感趣想多了解一些,可以到百度里面去搜一下,方面料已很多了,就不需要我再多了。
数据恢复我主要用十六制器: Winhex (数据恢复首件)我先了解一下数据构:下面是一个分了三个区的整个硬的数据构MBR C EBR D EBR EMBR,即主引,位于整个硬的0 柱面 0 磁道 1 扇区,共占用了 63 个扇区,但只使用了 1 个扇区(512 字)。
在共 512 字的主引中,MBR又可分三部分:第一部分:引代,占用了446 个字;第二部分:分区表,占用了64 字;第三部分:55AA,束志,占用了两个字。
后面我要的用winhex 件来恢复分区,主要就是恢复第二部分:分区表。
引代的作用:就是硬具可以引的功能。
如果引代失,分区表在,那么个硬作从所有分区数据都在,只是个硬自己不能用来启系了。
如果要恢复引代,可以用DOS下的命令: FDISK /MBR;个命令只是用来恢复引代,不会引起分区改,失数据。
另外,也可以用工具件,比如DISKGEN、WINHEX等。
使用winhex来恢复数据的方法一、数据丢失的痛与恢复的希望。
1.1 数据丢失那可真是个让人头疼的事儿啊。
不管是误删了重要文件,还是硬盘出了故障,感觉就像丢了宝贝一样心急如焚。
不过呢,先别慌,咱还有winhex这个得力助手。
1.2 winhex就像是数据世界里的神奇小魔杖。
它功能强大,能在看似绝望的数据丢失状况下,给我们带来恢复数据的曙光。
二、winhex初了解。
2.1 winhex是啥呢?简单说,它就是一款专门用来处理十六进制数据的软件。
这听起来有点高大上,但实际操作起来也没那么难。
就像学骑自行车,一开始觉得难,上手了就顺溜了。
2.2 你得先把winhex安装好。
这就好比给战士配上武器,安装过程也不复杂,按照提示一步步来就行,别像没头苍蝇似的乱点。
三、开始用winhex恢复数据。
3.1 打开winhex后,首先要做的就是找到你丢失数据的存储设备。
这就如同在茫茫大海里寻找一艘沉船,得找准目标。
比如说你的数据在硬盘里丢了,那就找到对应的硬盘分区。
这一步可不能马虎,要是找错了地儿,那可就是竹篮打水一场空了。
3.2 接下来就是重头戏了。
winhex有个很厉害的功能叫磁盘克隆。
这就像做备份一样,把有问题的磁盘克隆一份。
这时候你得小心翼翼的,就像捧着个易碎的瓷器。
因为这个过程要是出了岔子,那恢复数据就更难了。
克隆完成后,就可以在克隆的副本上进行数据恢复操作。
3.3 查找丢失的数据片段。
这有点像大海捞针,但winhex有它的办法。
它可以通过分析十六进制数据的特征,找到那些可能是你丢失文件的部分。
这就要求你得有点耐心,心急吃不了热豆腐嘛。
有时候可能要花费一些时间去比对和查找,但只要坚持,往往就能找到那些“失踪”的数据。
3.4 恢复数据的时候,也要注意一些细节。
比如说数据的完整性,可不能只恢复个半拉子工程。
要确保恢复出来的数据是可用的,就像检查一件修好的东西是不是真的修好了一样。
四、数据恢复后的检查与预防。
4.1 数据恢复成功后,可别以为就万事大吉了。
easyrecovery及winhex恢复数据的方法1. 引言1.1 概述在现代科技时代,数据的丢失或损坏成为一个普遍存在的问题。
不论是个人用户还是企业组织,都可能面临着数据被意外删除、格式化、病毒感染或设备故障等情况。
因此,数据恢复工具的重要性日益突出。
本文将介绍两种常见的数据恢复软件——EasyRecovery和WinHex,并详细阐述它们的工作原理以及在实际应用中的使用方法。
1.2 文章结构本文分为五个主要部分来介绍EasyRecovery和WinHex两款数据恢复工具及其使用方法。
首先,在引言部分将概述文章内容和结构,明确文章目标。
然后,在第二部分将全面介绍EasyRecovery的概述、数据扫描和恢复步骤以及一些相关技巧和注意事项。
接下来,在第三部分将同样对WinHex进行详细阐述,包括其概述、数据分析和修复步骤以及高级功能。
在第四部分,我们将通过实例案例与EasyRecovery和WinHex进行比较分析,展示它们在不同情况下的表现差异。
最后,在结论部分,我们将总结EasyRecovery和WinHex的优点和缺点,并给出适用场景的建议。
1.3 目的本文旨在提供EasyRecovery和WinHex两款数据恢复工具的详细介绍和使用方法,帮助读者了解并掌握这些工具在数据恢复过程中的应用技巧。
通过对比分析实例案例,读者可以更好地选择和利用合适的工具来解决不同类型、不同程度数据丢失问题。
希望本文能够为读者在面对数据损失时提供有效的参考和帮助。
2. EasyRecovery恢复数据方法:2.1 EasyRecovery概述:EasyRecovery是一款功能强大的数据恢复软件,它可以帮助用户从各种存储介质中恢复丢失、删除或损坏的数据。
其主要特点包括简单易用、支持多种文件系统、提供全面的扫描和恢复功能。
2.2 数据扫描和恢复步骤:(1) 打开EasyRecovery软件并选择需要进行数据恢复的存储介质。
winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR字节位置内容及含义第1字节引导标志。
若值为80H表示活动分区;若值为00H表示非活动分区。
第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符:00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区05H——扩展分区07H——NTFS分区0FH——(LBA模式)扩展分区83H—— Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数1、什么是逻辑驱动?2、什么是物理驱动器?3、怎么搜索MBR、EBR、DBR?MBR、EBR、DBR他们都是以55AA结尾在winhex中搜索16进制:55AA 偏移512=510(1)搜索DBR的标志:FAT16的DBR:EB 3C 90 没有备份的DBRFAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区NTFS的DBR: EB 52 90 (备份的DBR)在该分区的最后一个扇区判别MBR的方法:MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。
MBR的分区表在1BE 偏移往后到1FD,共64个字节,每项16个字节。
1FE-1FF就是“55 AA”判别EBR的方法:EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0(2)查找DBR 可以通过搜索本分区的EBR去找DBR.可以搜索EBR,定位DBR.DBR相对于EBR后63号扇区。
(3)当某分区的DBR坏了,就提示:未格式化 这个时候用winhex打开逻辑盘,就打不开。
我们只有通过打开物理驱动器,然后跳转到该分区。
就可以查看DBR是否被破坏了。
可物理驱动器的模式是从"0"扇区开始描述系统而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).用winhex 做U盘免疫AUTO.INF用WinHex制作无法修改的AutoRun.inf文件 在我们日常工作中,经常需要使用闪存(也称为U盘或者优盘)主要是AutoRun.inf 文件在起作用,我们可以使用WinHex解决这一问题。
用WinHex手工恢复硬盘分区表最近,PC机不能正常引导,将硬盘挂载到其它PC机上,显示硬盘未分区,结果如下图所示:原硬盘分为4个分区,但现在显示未分区,推测是硬盘的分区表丢失,计划用WinHex工具手工恢复硬盘分区表,通过用WinHex查看分区表,果真丢失了分区表,于是利用该工具进行了恢复,成功修复硬盘。
恢复期间,参考了网上的众多资料,这些资料虽然提供了很多帮助,但感觉理论性太强,没有充分利用工具本身的优势,因此作一总结,以为新手提供帮助。
为了更好的理解恢复方案,在文中增加了小知识点,如果对理论不感兴趣,可略过这些小知识点,直接参考恢复步骤即可。
在此也一并感谢在网上分享资料的各位大侠。
一、查看MBR(Master Boot Record)利用WINHEX打开硬盘的MBR,如下图所示:从图中可见,1、第1扇区的55AA前的64个字节全为0,表明分区表信息丢失。
2、在最上边的栏中的可以看到分区信息,包括分区名称、类型、大小、该分区的首扇区等信息,这些将帮助我们迅速地恢复硬盘分区。
小知识1:MBR(Master Boot Recorder)、DPT(Disk Partition Table)MBR位于磁盘的第一个扇区,CHS地址是0柱面,0磁头,1扇区,共占用63DPT中定义的分区包括主分区和扩展分区,主分区+扩展分区总共不能超过4个。
所谓主分区是指DPT中包含能够被系统的磁盘分区,一个硬盘主分区至少有1个,最多4个,它是可以设置为活动的,即可以引导操作系统。
一个硬盘只能有一个活动分区。
扩展分区并不能被系统直接使用,它的作用是突破DPT中只能定义四个分区限制的,可以没有,最多1个。
对于windows系统,一般分为一个主分区,一个扩展分区。
(本文介绍的方法也是针对这种情况,对硬盘分区表进行恢复)。
其做法:定义完主分区之后,将多余的容量定义为扩展分区,指定该分区的起始位置,根据起始位置指向硬盘的某一扇区,称作扩展MBR(EBR),在其中定义下一个分区表。
在这篇教程中,我想以一个最简单的例子来说明如何使用winhex来恢复NTFS分区中被删除的文件的,为了使这上篇的文章的知识尽量的简单,我这里所恢复的条件有这么几个:1、我格式化了一个分区,所以这个分区中是没有任何文件的。
2、我使用的文件大小小于1K,所以这个文件在NTFS分区的文件记录中的数据属性中是个常驻属性。
所以这里不涉及到运行计算的问题,应该最简单的文件恢复了,以这个恢复例子的过程,可以建立一个数据恢复的大体原理了。
希望大家喜欢:)下面开始。
第一:建立一个文本文件我格式化了我的分区G,分区类型是NTFS,使用快速格式化,正常格式化只在检查磁盘坏道时才有用。
之后,我在这个分区建了一个文本文件,如下图所示:这个文件很简单,内容也很少,我保存这个文件后,然后然后我们来看看这个文件大小信息,如下图所示:我们看到,这个文件大小是224个字节,记住了哦,等下恢复这个文件的时候就可以对比一下了咯嘻嘻。
之后我就删除了这个文件,现在,我们看看怎么恢复这个文件!第二:用winhex打开分区我们运行winhex,然后点击菜单:工具-->打开磁盘,来打开G盘。
如下图所示:我们可以找到$MFT这个文件,然后右击它,然后点击打开,之后就会打开这个文件MFT。
如下面两个图所示:这里为什么要这么做呢?因为,我们只需要在MFT找到我们丢失的文件,如果我们在整个分区里搜索并且这个分区很大的话,会要很多时间的,而MFT文件就小得多了,最大也就1G左右,这是我人为弄出来的,一般系统是很难见到这么大的MFT文件的,除非你是做服务器,有很多磁盘碎片和小文件。
之后,我们可以点击菜单中的:搜索-->查找文本。
如下图所示:我们输入我们想要恢复的文件名HelloWorld,而且注意,要选择Unicode。
因为MFT的文件名是Unicode形式的,之后就是查找了!一会我们就找到了这个文件,如下图所示:为了能使用WinHex的颜色,我们转到分区去看这个文件记录!首先,我们看到这个文件记录在MFT的偏移地址是7450H,然后我们在winhex中转到我们分区的视图,然后点击MFT 文件,这样就偏移到了我们MFT文件的位置,然后选择菜单中的:位置-->转到偏移位置。
