NTFS文件系统中用WinHex手动恢复文件的研究

一、初步应用——双分区恢复实例及分析（一）、现场重现：提示，切勿随意使用自己的硬盘进行试验，切记试验前保存重要数据。

对于移动硬盘，损坏往往发生于硬盘传输数据中断电。

现在我将一个有问题的移动硬盘接到电脑上，在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色（打开磁盘工具时它会提示你要初始化，不理它，点“取消”），在“计算机”中也找不到这个磁盘。

（二）、手动修复：（阅读有困难的朋友可以先读完第三节再回过头来看这一节，本节的另一个作用是让新手对Winhex界面有一个初步了解）1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘（F9）-->选择要修复的硬盘，这里是HD2。

2、打开之后图中显示从0000H-->01ffH（16进制）之间的数据全部为0。

现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。

操作步骤为：在良好硬盘中拉选0000-->01bd之间的区块，被选中区块呈亮蓝色；复制选块；接下来在损坏硬盘中拉选相应区域，将光标定位至0000；右键-->编辑-->粘贴板数据-->写入。

将01fe，01ff填写为55AA，到这里一定保存。

点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理（Alt+F12）-->NTFS引导扇区。

打开如下图，并记录黄色方框的两个数值（63和63777986）63+63777986+1=63778050，跳转至63778050扇区。

稍微向下滚动一点，看到那个粉色框标识出的55AA了嘛？往前找到黄色框的部分，显示为3F 00 00 00，将其进行反向排列，变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。

接下来跳转至63778050+63=63778113扇区，我们又发现了一个EB开头的扇区再次选择菜单“视图”-->模板管理（Alt+F12）-->主引导记录NTFS引导扇区。

基于 Winhex 手动实现被删除文件的恢复
赖伟洪
【期刊名称】《计算机光盘软件与应用》
【年(卷),期】2012(000)014
【摘要】计算机硬盘内部结构可分为五部分：主引导区，引导区，文件分配表，目录区，数据区。

这五部分是存在一定的逻辑组织关系的。

通过对这种关系的深入分析和研究，就能熟知硬盘分区的相关参数和读写文件的工作原理。

通过这些参数值找到相应的目录区，修改文件目录项的删除标记，并从文件目录项中获取文件的大小和起始簇号，然后计算文件所用簇数，最后在文件分配表中将文件链接起来。

【总页数】2页(P37-38)
【作者】赖伟洪
【作者单位】广东白云学院电气与信息工程学院工程师,广州 510450
【正文语种】中文
【中图分类】TP399
【相关文献】
1.用WinHex实现NTFS文件系统的数据恢复 [J], 齐钦
2.基于WinHex的磁盘分区数据恢复技术分析与实现 [J], 袁海峰
3.WinHex软件手动恢复误覆盖的Word文档 [J], 许富强
4.NTFS文件系统中用WinHex手动恢复文件的研究 [J], 史春水;刘思磊
5.基于WinHex脚本技术的ExFAT校验扇区恢复研究 [J], 郭小光
因版权原因，仅展示原文概要，查看原文内容请购买。

探讨基于Winhex的NTFS文件提取方法
苏神保;刘丹
【期刊名称】《智能计算机与应用》
【年(卷),期】2018(008)006
【摘要】在日常生活中,人们经常会遇到因硬盘误操作或者误格式化造成的数据丢失现象,给工作和学习带来诸多不便.本文以NTFS文件系统为例借助十六进制底层数据编辑软件Winhex,详细分析NTFS文件系统文件存储的基本原理,并在此基础上通过实验的方法来提取研究所需要的文件.
【总页数】3页(P214-216)
【作者】苏神保;刘丹
【作者单位】湖南商务职业技术学院,长沙410205;湖南商务职业技术学院,长沙410205
【正文语种】中文
【中图分类】TP311.52
【相关文献】
1.用WinHex实现NTFS文件系统的数据恢复 [J], 齐钦
2.探讨基于WinHex的磁盘未格式化文件提取方法 [J], 陈平;李晖;
3.探讨基于WinHex的磁盘未格式化文件提取方法 [J], 陈平;李晖
4.探讨基于Winhex的NTFS文件提取方法 [J], 苏神保; 刘丹
5.NTFS文件系统中用WinHex手动恢复文件的研究 [J], 史春水;刘思磊
因版权原因，仅展示原文概要，查看原文内容请购买。

winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR字节位置内容及含义第1字节引导标志。

若值为80H表示活动分区；若值为00H表示非活动分区。

第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符：00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区05H——扩展分区07H——NTFS分区0FH——（LBA模式）扩展分区83H—— Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数1、什么是逻辑驱动？2、什么是物理驱动器？3、怎么搜索MBR、EBR、DBR?MBR、EBR、DBR他们都是以55AA结尾在winhex中搜索１６进制：55AA 偏移５１２＝５１０（１）搜索DBR的标志：FAT16的DBR:EB 3C 90 没有备份的DBRFAT32的DBR:EB 58 90 （备份的DBR）在该分区的第６扇区NTFS的DBR: EB 52 90 （备份的DBR）在该分区的最后一个扇区判别MBR的方法：MBR就在LBA第一个扇区，打开物理硬盘，第一个扇区就是了。

MBR的分区表在1BE 偏移往后到1FD，共64个字节，每项16个字节。

1FE-1FF就是“55 AA”判别EBR的方法：EBR的结构和MBR的结构是一样的，在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0（２）查找DBR　可以通过搜索本分区的EBR去找DBR.可以搜索EBR,定位DBR.DBR相对于EBR后６３号扇区。

(3)当某分区的DBR坏了，就提示：未格式化　这个时候用winhex打开逻辑盘，就打不开。

我们只有通过打开物理驱动器，然后跳转到该分区。

就可以查看DBR是否被破坏了。

可物理驱动器的模式是从"0"扇区开始描述系统而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).用winhex 做U盘免疫AUTO.INF用WinHex制作无法修改的AutoRun.inf文件 在我们日常工作中，经常需要使用闪存（也称为U盘或者优盘）主要是AutoRun.inf 文件在起作用，我们可以使用WinHex解决这一问题。

基于Winhex的数据恢复作者：吴晓清来源：《电脑知识与技术》2020年第29期摘要：当前社会已经进入了信息化时代，我们平时的工作和生活已经离不开计算机。

数据存储与之前相比也有了很大的不同，然而存储介质损坏等不当操作时有发生，极易造成数据丢失，基于Winhex的数据恢复能够使人们找回丢失的数据和文件，挽回因数据丢失而产生的各项损失。

关键词：Winhex;数据恢复;分区恢复中图分类号：TP3 文献标识码：A文章编号：1009-3044（2020）29-0042-02伴随着信息技术的快速发展，数据本身的重要性和安全问题越来越被人们所重视，数据恢复技术属于数据安全的最后一道防线，因此，了解和掌握数据恢复技术有着非常重要的作用和意义。

1 Winhex简介Winhex属于在Windows下运行的十六进制编辑软件，具备健全的文件管理功能与分区管理功能，可以对文件簇链与分区链进行自动分析，对硬盘实施不同程度、不同方式的备份，甚至可以对整体硬盘进行克隆;可以对任意一种文件类型的二进制内容（利用十六进制显示）进行编辑，该软件的磁盘编辑器能够对逻辑磁盘或者物理磁盘的任意扇区进行编辑，是一款对数据进行手工恢复的优秀软件。

2 数据恢复原理分析数据恢复指的是利用技术手段，把无法获取的或者无法访问的数据恢复到能够获取的或者能够访问的数据状态的过程。

硬盘数据丢失属于一个很复杂的问题，若想找回并且恢复文件系统误格式化、误删除、损坏和分区信息损坏或者丢失等原因丢失的数据，则需要先对硬盘结构进行分析，了解各种文件系统[1]。

一个新硬盘必须在格式化和分区以后，才可以安装操作系统并正常的使用。

硬盘的0磁道0柱面1扇区是分区以后的主引导记录（ MBR）所在位置。

硬盘的主引导记录总共有512个字节，引导程序为前面的446个字节，后面的64个字节是硬盘分区表（DPT），最后的两个字节是分区的结束标志“55AA”。

对MBR区的信息进行分析，可以对系统的文件类型、硬盘的起始位置、硬盘各个分区的大小、硬盘分区的数量等信息做出初始的判定。

winhex教程WinHex是一个专门用来对付各种日常紧急情况的小工具。

它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。

同时它还可以让你看到其他程序隐藏起来的文件和数据。

总体来说是一款非常不错的 16 进制编辑器。

得到ZDNetSoftwareLibrary 五星级最高评价，拥有强大的系统效用。

具体来说，WinHex 是一款以通用的16 进制编辑器为核心，专门用来对付计算机取证、数据恢复、低级数据处理、以及IT 安全性、各种日常紧急情况的高级工具: 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。

功能包括 (依照授权类型): - 硬盘, 软盘, CD-ROM 和DVD, ZIP, Smart Media, Compact Flash, 等磁盘编辑器...- 支持FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系统- 支持对磁盘阵列RAID 系统和动态磁盘的重组、分析和数据恢复- 多种数据恢复技术- 可分析RAW 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件- 数据解释器, 已知 20 种数据类型- 使用模板编辑数据结构 (例如: 修复分区表/引导扇区)- 连接和分割、以奇数偶数字节或字的方式合并、分解文件- 分析和比较文件- 搜索和替换功能尤其灵活- 磁盘克隆(可在 DOS 环境下使用X-Ways Replica)- 驱动器镜像和备份(可选压缩或分割成 650 MB 的档案)- 程序接口(API) 和脚本- 256 位AES 加密, 校验和, CRC32, 哈希算法(MD5, SHA-1, ...) - 数据擦除功能，可彻底清除存储介质中残留数据- 可导入剪贴板所有格式数据, 包括ASCII、16 进制数据- 可进行 2 进制、16 进制ASCII, Intel 16 进制, 和 Motorola S 转换- 字符集: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)- 立即窗口切换、打印、生成随机数字- 支持打开大于 4 GB 的文件，非常快速，容易使用。

一、初步应用——双分区恢复实例及分析（一）、现场重现：提示，切勿随意使用自己的硬盘进行试验，切记试验前保存重要数据。

对于移动硬盘，损坏往往发生于硬盘传输数据中断电。

现在我将一个有问题的移动硬盘接到电脑上，在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色（打开磁盘工具时它会提示你要初始化，不理它，点“取消”），在“计算机”中也找不到这个磁盘。

对于新手，往往是这样几个表情吧其实俺也是这么过来滴~争取这篇文章之后让大家的表情都变成这样（二）、手动修复：（阅读有困难的朋友可以先读完第三节再回过头来看这一节，本节的另一个作用是让新手对Winhex界面有一个初步了解）1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘（F9）-->选择要修复的硬盘，这里是HD2。

2、打开之后图中显示从0000H-->01ffH（16进制）之间的数据全部为0。

现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。

操作步骤为：在良好硬盘中拉选0000-->01bd之间的区块，被选中区块呈亮蓝色；复制选块；接下来在损坏硬盘中拉选相应区域，将光标定位至0000；右键-->编辑-->粘贴板数据-->写入。

将01fe，01ff填写为55AA，到这里一定保存。

点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理（Alt+F12）-->NTFS引导扇区。

打开如下图，并记录黄色方框内的两个数值（63和63777986）63+63777986+1=63778050，跳转至63778050扇区。

稍微向下滚动一点，看到那个粉色框标识出的55AA了嘛？往前找到黄色框内的部分，显示为3F 00 00 00，将其进行反向排列，变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。

用WinHex手工恢复硬盘分区表最近，PC机不能正常引导，将硬盘挂载到其它PC机上，显示硬盘未分区，结果如下图所示：原硬盘分为4个分区，但现在显示未分区，推测是硬盘的分区表丢失，计划用WinHex工具手工恢复硬盘分区表，通过用WinHex查看分区表，果真丢失了分区表，于是利用该工具进行了恢复，成功修复硬盘。

恢复期间，参考了网上的众多资料，这些资料虽然提供了很多帮助，但感觉理论性太强，没有充分利用工具本身的优势，因此作一总结，以为新手提供帮助。

为了更好的理解恢复方案，在文中增加了小知识点，如果对理论不感兴趣，可略过这些小知识点，直接参考恢复步骤即可。

在此也一并感谢在网上分享资料的各位大侠。

一、查看MBR（Master Boot Record）利用WINHEX打开硬盘的MBR，如下图所示：从图中可见，1、第1扇区的55AA前的64个字节全为0，表明分区表信息丢失。

2、在最上边的栏中的可以看到分区信息，包括分区名称、类型、大小、该分区的首扇区等信息，这些将帮助我们迅速地恢复硬盘分区。

小知识1：MBR（Master Boot Recorder）、DPT（Disk Partition Table）MBR位于磁盘的第一个扇区，CHS地址是0柱面，0磁头，1扇区，共占用63个扇区，实际上只使用1扇区；其布局如下：DPT中定义的分区包括主分区和扩展分区，主分区+扩展分区总共不能超过4个。

所谓主分区是指DPT中包含能够被系统的磁盘分区，一个硬盘主分区至少有1个，最多4个，它是可以设置为活动的，即可以引导操作系统。

一个硬盘只能有一个活动分区。

扩展分区并不能被系统直接使用，它的作用是突破DPT中只能定义四个分区限制的，可以没有，最多1个。

对于windows系统，一般分为一个主分区，一个扩展分区。

（本文介绍的方法也是针对这种情况，对硬盘分区表进行恢复）。

其做法：定义完主分区之后，将多余的容量定义为扩展分区，指定该分区的起始位置，根据起始位置指向硬盘的某一扇区，称作扩展MBR（EBR），在其中定义下一个分区表。

用WinHex手工恢复硬盘分区表最近，PC机不能正常引导，将硬盘挂载到其它PC机上，显示硬盘未分区，结果如下图所示：原硬盘分为4个分区，但现在显示未分区，推测是硬盘的分区表丢失，计划用WinHex工具手工恢复硬盘分区表，通过用WinHex查看分区表，果真丢失了分区表，于是利用该工具进行了恢复，成功修复硬盘。

恢复期间，参考了网上的众多资料，这些资料虽然提供了很多帮助，但感觉理论性太强，没有充分利用工具本身的优势，因此作一总结，以为新手提供帮助。

为了更好的理解恢复方案，在文中增加了小知识点，如果对理论不感兴趣，可略过这些小知识点，直接参考恢复步骤即可。

在此也一并感谢在网上分享资料的各位大侠。

一、查看MBR（Master Boot Record）利用WINHEX打开硬盘的MBR，如下图所示：从图中可见，1、第1扇区的55AA前的64个字节全为0，表明分区表信息丢失。

2、在最上边的栏中的可以看到分区信息，包括分区名称、类型、大小、该分区的首扇区等信息，这些将帮助我们迅速地恢复硬盘分区。

小知识1：MBR（Master Boot Recorder）、DPT（Disk Partition Table）MBR位于磁盘的第一个扇区，CHS地址是0柱面，0磁头，1扇区，共占用63个扇区，实际上只使用1扇区；其布局如下：DPT中定义的分区包括主分区和扩展分区，主分区+扩展分区总共不能超过4个。

所谓主分区是指DPT中包含能够被系统的磁盘分区，一个硬盘主分区至少有1个，最多4个，它是可以设置为活动的，即可以引导操作系统。

一个硬盘只能有一个活动分区。

扩展分区并不能被系统直接使用，它的作用是突破DPT中只能定义四个分区限制的，可以没有，最多1个。

对于windows系统，一般分为一个主分区，一个扩展分区。

（本文介绍的方法也是针对这种情况，对硬盘分区表进行恢复）。

其做法：定义完主分区之后，将多余的容量定义为扩展分区，指定该分区的起始位置，根据起始位置指向硬盘的某一扇区，称作扩展MBR（EBR），在其中定义下一个分区表。