用Winhex手工恢复MBR
用winhex手工恢复MBR
数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!
关于数码与码制:
关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)
我们先了解一下数据结构:
下面是一个分了三个区的整个硬盘的数据结构
MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。
但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。
EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。
MBR、EBR是分区产生的。
比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表:
而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构:
Winhex
Winhex 是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。
这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:
这样,分区表中的第一个分区表项共十六个字节分析完毕,下面我们再来看看第二个分区表项(扩展分区)。
第1字节00:表示非活动分区
第5字节05:表示扩展分区
第9、10、11、12字节00 E7 15 00:本分区之前的扇区数(扩展分区前面也就是MBR和C盘,好像我们前面算过这个数?)同样,先将它反过来,就是00 15 E7 00 ,再转为十进制是1435392,看来我们前面真的算过这个数。
第13、14、15、16字节40 09 29 00:本分区的总扇区数。也就是扩展分区的总扇区数。转为十进制应该是2689344。想一想,用这个数加上前面的1435392,不正好是整个硬盘的总扇区数4124736吗?
这样,如果分区表被破坏,我们只要把这些数值都计算出来并填上,分区表不就恢复了?那么,这里我们为什么不分析第2、3、4字节(本分区的起始磁头号、扇区号、柱面号)和第6、7、8字节(本分区的结束磁头号、扇区号、柱面号)呢?这是因为C/H/S(柱面/磁头/扇区)是老式硬盘的寻址方式,这种寻址方式来管理硬盘效率很低;而现在几乎所有的硬盘都支持LBA(全称是Logic Block Address,即扇区的逻辑块地址)寻址方式,这种管理方式简单高效。在LBA方式下,系统把所有的物理扇区都统一编号,按照从零到某个最大值排列,这样只用一个序数就确定了一个唯一的物理扇区。
小知识:具体一个硬盘有多少个 LBA(扇区)不需要我们去记忆,因为用各种工具软件(如MHDD WINHEX等)都可以检测到。我们只要知道个大概就行了:如10G的硬盘大概有2000万个扇区;20G的硬盘大概有4000万个扇区;40G的硬盘大概有8000万个扇区……那么,2G的硬盘大概有400万个扇区。
那么,你可能要问了:如果要恢复分区表,这个起始磁头号、扇区号、柱面号还有结束磁头号、扇区号、柱面号应该怎么填呢?简单得很,在后面恢复分区表的时候我会告诉你,直接填,都不用计算。
还有兴趣来分析一下D盘的EBR吗?
其实D盘的EBR和E盘的EBR我们不分析也罢,因为无非也是分区表,跟MBR的结构是一样的,但却很容易把我们绕晕,又因为EBR一般不容易被破坏,所以我不建议分析EBR。
但如果你一定要分析,那就分析吧。
单击“访问”下拉按钮——“分区二”——“分区表”,直接就到1435392扇区,即D盘的分区表EBR。
第一个分区表项(D盘):
第1个字节00:表示非活动分区
第5个字节06:表示FAT16分区
第9、10、11、12字节3F 00 00 00:本分区之前已用了的扇区数,也就是EBR的数目,63个。
第13、14、15、16字节C1 E6 15 00:本分区的总扇区数,也就是D盘的扇区数,先反过来排列就是00 15 E6 C1,转为十进制就是1435329。
第二个分区表项(D盘后面的):
第1个字节00:表示非活动分区
第5个字节05:表示扩展分区
第9、10、11、12字节00 E7 15 00:本分区之前已用了的扇区数,也就是D盘的EBR加D盘总共的大小, 63 1435329=1435392
第13、14、15、16字节40 22 13 00:本分区的总扇区数,1253952,也就是E盘的大小再加上一个EBR的数目。
单击“访问”下拉按钮——“分区三”——“分区表”,直接就到2870784扇区,即E
盘的分区表EBR。因为E盘后面没有分区了,所以没有第二个分区表项。这里我们就不再研究了,有兴趣的话可以自己多备一块硬盘作从盘,然后自己分分区研究研究。
通过以上的研究我们总结一下,MBR在定义分区的时候,将多余的容量定义为扩展分区,指定该扩展分区的起止位置,根据起始位置指向硬盘的某一个扇区,作为下一个分区表项,接着在该扇区继续定义分区,如果只有一个分区,就定义该分区,然后结束;如果不止一个分区,就定义一个基本分区和一个扩展分区,扩展分区再指向下一个分区描述扇区,在该分区上按照上述原则继续定义分区,直至分区定义结束。这些用来描述分区的扇区形成一个“分区链”,通过这个分区链,就可以描述所有的分区。系统在启动时按照分区链的连接顺序查找分区,直至找出所有分区。这个链显然是个开链结构,如果形成一个环,系统本身并不会去判断它,它只是按照这个链忠实的查找分区,而不进行任何额外的检测与处理。所谓硬盘逻辑锁,就是让分区链形成一个环,这样系统在启动时就在分区表内循环,表现为系统无法引导,就是从软盘启动,也不能进入硬盘。明白了其结构原理,解决这个问题就简单了,目前有很多种方法解决这个问题,后面我们还会讲到。系统就是利用这种方法使一个硬盘分区后看起来象多个硬盘。系统能够找到C盘以外的其他逻辑盘的唯一办法就是,沿着EBR所描述的分区链查找分区。
其实,通常情况下EBR是不会被破坏的,或者破坏的几率极低极低,通常情况下,都是只有MBR被破坏,那么这种情况下,我们只要把MBR的分区表64个字节复原,其他的分区顺着分区表所提供的链自然而然就出来了。那么,如何才能将分区表复原呢?这就要通过计算结合Winhex强大的功能来实现了。
下面我们就来模仿分区表被病毒破坏的情况,将MBR全部填零。我们首先将MBR所在的扇区选中。鼠标指向第一个字节,单击右键,选择“选块开始”
然后鼠标指向MBR的最后一个字节,单击右键,选择“选块结尾”
然后我们在选区内部单击鼠标右键,选择“编辑”
这样就有出来一个菜单
然后我们选“填充选块”,这样就出来一个填充选块对话框
在“用十六进制填充”的输入框中输入“00”,再点“确定”
这样MBR所在扇区全部被我们填充为“00”
如果想取消选区,那就用鼠标拖动随便选中一块区域,那么原来的选区就会取消。注意,如果扇区数据被修改了而没有存盘就会变为别的颜色。
修改了扇区,这时候还没有存盘生效,如果你想存盘生效的话,就选择“文件”菜单“保存扇区”命令。
这时候就会出现一个提示,如果你不想存盘了就点取消,如果想存盘,就点确定,再点是。
好,这样就存盘了,扇区被修改的数据又变为黑色。
这样我们就把分区表给删除了,这时候必须重新启动才能生效,如果你打开我的电脑,会发现三个分区(F 、G、 H)还在那里,并且里面的数据还能正常使用。
现在,我们关闭所有程序将电脑重新启动……
经过不长时间的等待,电脑启动起来了,我们打开我的电脑看看,发现F 、G 、H三个分区不见了。
再打开Winhex发现MBR全部为零了,下面我们就着手开始手工恢复分区表
首先恢复引导代码,这最简单了,只要用Winhex到别的系统盘把引导代码复制过来就行了。我现在的机器上不是挂着两个硬盘吗?一个迈拓2G,一个西数40G,西数40G是我的系统盘,那就从这个盘上复制就行了。
单击“磁盘编辑器”按钮
出现“编辑磁盘”对话框
选择“HD0 WDC WD400EB---00CPF0”,点“确定”
这样我们就把系统盘的分区表给打开了,注意,现在我们是打开了两个窗口,当前的窗口是“硬盘0”,在标题栏上有显示。另外,打开窗口菜单也能看出来,当前窗口被打上一个勾,如果想切换回原来的窗口,就点击“硬盘1”。
首先选中系统盘的引导代码
然后在选区中单击鼠标右键,选“编辑”
又出来一个菜单,然后我们选“复制选块”——“正常”
然后我们切换回硬盘1窗口,在零扇区的第一个字节处单击鼠标右键,选“编辑”
然后选“剪贴板数据”——“写入……”
出现一个窗口提示,点“确定”
这样,我们就把一个正常系统盘上的引导代码复制过来了。
下面,我们就开始恢复分区表(共64个字节,分为4个分区表项,每个分区表项占用16个字节,一般只使用前两个分区表项),我们首先来恢复第一个分区标项(也就是用来描述C盘的)。
首先,在第1个字节处(0扇区倒数第五行,倒数第二个字节)填上分区引导标志,因为C盘是活动分区,所以填上80。
接着是第2、3、4字节(本分区起始磁头号、扇区号、柱面号),填上:01 01 00。
第5字节是分区类型符,因为原先C盘是Fat32格式,所以填上:0B。那么,如果你不知道C盘是什么格式怎么办呢?你会说问问客户呀,那么如果他也不知道呢?别着急,后面在说恢复DBR的时候我会教你怎么分辨分区的格式。
第6、7、8字节是本分区的结束磁头号、扇区号、柱面号,这怎么知道呢?别着急,现在的磁盘都是按照LBA方式寻址,并不按照C/H/S(及柱面、磁头、扇区)方式寻址,所以这个地方你填些什么一般关系不大,但是我要告诉你有一个通用的填法,那就是:FE FF FF。
第 9、10、11、12字节,本分区之前已用了的扇区数,也就是MBR所占用的扇区数,那不是63吗?对,但是要将63转为十六进制数,再反过来倒着填写上。还记得怎么用计算器吗?将63转为十六进制数是3F,不够四个字节前面加零,也就是00 00 00 3F,再将此数从右向左依次序反过来就是3F 00 00 00。
第13、14、15、16字节是本分区的总扇区数,也就是C 盘的大小,这就要通过稍微一点点计算来得到了。因为C盘是从第63个扇区开始,而C盘后面紧接着的是EBR,所以用EBR所在的第一个扇区数减去63就是 C盘的大小。那么
如何才能找到EBR所在的第一个扇区呢?我们前面说过,EBR的结构和MBR是一样的,所以,EBR的结束标志也一定是55AA,那么,只要我们找到这个结束标志,再看看这个扇区是不是EBR不就行了?
单击“搜索”——“查找十六进制数值……”,然后出来一个对话框
在文本框中输入“55AA”,搜索框中选“全部”,然后选中“条件”,把偏移量设置为“512=510”。
再单击“确定”。画面如下:
首先找到第一个“55AA”,我们看到,个扇区在第63个扇区上,并不是我们要找的EBR,再按F3继续查找
又找到好几个扇区,都不是,那么下面这个扇区是不是?
前面我们说过,EBR的结构和MBR的结构是一样的,所以在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0,显然这也不是EBR,继续按F3查找……终于找到了真正的EBR,在1435392扇区。
小技巧:现在的硬盘都比较大,要逐个扇区的查找55AA确实太慢了,那么有没有办法快点呢?有,那就是先问问客户C盘大概有多大,大多数客户还是知道的,比如他说C盘大概有10个G,那么你就不要从头开始找了,因为那实在太慢了。10个G大概是2000万个扇区,那么你可以用转到扇区命令直接到1900万扇区,从那个地方再开始找不就省事多了。
用1435392减去63,得到1435329,再转为16进制,就是15E6C1,将他倒转过来就是C1E61500,这就是C盘的大小。这样,第一个分区表项填写完毕,我们保存一下,再接着填写第二个分区表项。
第二个分区表第1个字节:因为是非活动分区,所以写00
第2、3、4字节,填写01 01 00(通用的)
第5字节:因为是扩展分区,所以填写0F
第6、7、8字节:填写FE FF FF(通用)
第9、10、11、12字节是本分区之前已用了的扇区数,应该就是C盘大小加63,也就是1435392,前面刚计算出来的,转为十六进制数再反过来就是00 E7 15 00
第13、14、15、16字节是本分区的总扇区数,也就是扩展分区的总扇区数,也就是用整个硬盘的大小减去C盘的大小再减去63,即
4124736-1435329-63=2689344,转为十六进制就是290940,反过来就是40092900。
这样,第二个分区表项就填写完了。
不要忘了把最后的结束标志55AA填上,这样,MBR就全恢复完了,最后,保存,再重新启动……
启动完毕,迫不及待的打开我的电脑,发现三个分区全部又回来了,并且里面的数据完好无损。
再右击“我的电脑”,选“管理”
出现一个对话框,选“磁盘管理”,在右边可以看到磁盘一的三个分区(Fat32、Fat16、Ntfs)全部都回来了,至此,手工恢复分区表顺利完成。
手工恢复数据恢复成功率比较高,而且比较有趣味和挑战性,能找回许多傻瓜似的软件所找不回来的文件,但是要求工程师一定要有耐性,而且一定要保持清醒,清楚自己正在操作什么,操作完了会有什么后果,能不能退回到上一步状态。特别是对一些破坏性操作,一定要考虑周到,只要条件允许,就一定要在操作之前进行备份,否则会造成“血”的教训,切记!!!
下面我们会说到手工恢复DBR、 FAT(此教程被收录在付费教程中),这些比手工恢复分区表还要复杂,更需要大量的计算。再说完了使用Winhex手工恢复数据之后,我们会说到一些数据恢复软件,结合数据恢复软件会使数据恢复成功率大大提高,但有一些软件在扫描过程中会对原盘破坏数据,在使用中一定要谨慎!!!而且同一个软件,一个新手用和一个老手用数据恢复成功率绝对是不一样的,这些软件我们会免费赠送,绝对不会让你学习了资料却找不到软件的
在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等
向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。
分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C 盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)
每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)
使用winhex修复优盘的MBR数据
用winhex修复U盘的MBR 复习:进制转换;K\M\G的关系; 1、MBR界面如下 说明: MBR:即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但是实际上只使用了1个扇区(512字节),所谓的引导区病毒就是把这个扇区的数据搞乱而导致系统无法启动也无法使用。有一个简单的办法恢复引导扇区记录,在DOS模式下,输入命令: FDISK/MBR 这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据,此外,也可以用工具软件,例如DISKGEN,winhex等。 EBR:也叫扩展MBR。因为主引导记录最多只能描述4个分区,如果一个硬盘上多余4个分区,就要采用扩展MBR的办法。EBR的结果和MBR事一样的。 注意:1)编辑菜单中的“复制”、“黏贴”、“fill block”(填充块); 2)位置菜单中的“转到偏移”; 3)工具菜单中的“打开磁盘”,这里要注意一般打开“物理磁盘”即:physical media 2、Winhex软件是按照扇区分隔的,注意每一个扇区会有一个分割线,前446字节为引导 代码,可以不看,后64字节为分区信息,每个分区16个字节,共可以表示4个分区(含扩展分区),最后两个字节为“55 AA”,是分区结束标志。可以有一个简单办法记住分区信息:从55AA开始数,倒数第五行的倒数第二个数开始。
3、从55AA开始数,倒数第五行的倒数第二个数为“80”就意味着这个分区时可以启动的, 否则不可以启动。 4、从55AA开始数,倒数第四行的第三个数,是表示分区性质的。 5、从55AA开始数,倒数第四行的倒数第三个数开始有四个数,按照倒的顺序排列,是表 示这个分区的大小的,例如:B9 97 6C 03,实际上是:03 6C 97 B9,用“附件”中的“计算器”把他化为十进制,为57448377,这个表示扇区数目,一个扇区是512个字节,所以还要乘以512,即:57448377 X 521=29413569024字节,1G=1073741824字节,所以,29413569024字节=29.4G,也就是说这个分区大小是29.4G。 记住:1K=1024,1M=1024*1K, 1G=1024*1M 6、按照第五条,再往前数四个数,表示开始的扇区。可以看到前63个扇区没有用,除了 第一个扇区外,其他的扇区都是0,我们把第一个扇区的内容保存到第二个扇区(或者第三个。。。。。。。),然后再把第一个扇区的内容清空,然后保存,退出U盘,再插入U 盘,会发生什么情况呢? 7、提示:既可以把MBR信息的内容放到1-62号的任一扇区内,也可以把他作为一个文件 保存在另外的磁盘上(注意:不要有扩展名)。 8、现在把0号扇区的数据全部清零,保存,然后退出U盘,再插入U盘,会出现什么现 象? 9、如何把出现这个问题的U盘修复好呢? 10、思考:怎么找扩展分区呢? 11、将自己带的U盘的文件全部复制到D盘的一个文件夹中(这个文件夹是新建的, 专门用于保存U盘数据的。)然后尝试删除U盘的一个文件,用EASYRECOVER恢复,你能恢复吗? 12、胆子再大一点,把U盘格式化,再用EASYRECOVER恢复,你能恢复吗? 13、提示:在网上搜索数据恢复的软件,也许有比EASYRECOVER更好的数据恢复软 件,360就自带有数据恢复工具。
winhex数据手工恢复教程
winhex教程 winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex(数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK/MBR;
用Winhex手动修复分区表以提取数据
一、初步应用——双分区恢复实例及分析 (一)、现场重现: 提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。对于移动硬盘,损坏往往发生于硬盘传输数据中断电。现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。 (二)、手动修复: (阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解) 1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。
2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。 现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。
操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块; 接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。将01fe,01ff填写为55AA,到这里一定保存。 点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。
打开如下图,并记录黄色方框内的两个数值(63和63777986)
63+63777986+1=63778050,跳转至63778050扇区。 稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框内的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。 接下来跳转至63778050+63=63778113扇区,我们又发现了一个EB开头的扇区 再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。打开如下图,同样记录一下黄色方框中的数值(63和92518271)
winhex数据恢复完整图文教程
winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: Winhex Winhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。
WinHe 数据恢复图文教程
WinHex数据恢复图文教程 WinHex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
WINHEX-RAID0纯手工恢复加超详细讲解
WINHEX RAID修复 RAID0分析 关于RAID,大家可能有些陌生。在个人电脑上,RAID用的不多,但是windows XP支持跨区卷和带区卷。Windows server 2003支持跨区卷,带区卷,RAID-5等。对于RAID0的分析主要在于重组磁盘,重组磁盘就需要确定盘序,块大小,判断磁盘加入阵列的起始位置等。确定了上述参数后就可以重组阵列达到恢复数据的目的了。但是在具体的操作中,要如何确定上述参数呢?这个就要对文件系统有深入的了解,特别是NTFS文件系统,因为RAID基本都是采用NTFS文件系统,很少有采用FAT32文件系统的。看了马林老师的《数据重现》之后发现,马林老师给出的实验素材真是精心设计过的了。如果自己做一个RAID就会出现很多和马老师的素材不一样的结果。这里我就从如何组建一个RAID0开始然后逐步分析。马老师给出的方法具有通用性,但是有些时候会出现找不到符合马老师给出的素材的情况,那么就不能用马老师讲的方法了。我们就只能在对文件系统有深入的理解的前提下,分析RAID了。这就要求我们对文件系统有深入的理解,特别是NTFS文件系统。好的,下面我就从组建一个RAID0开始,分析一下RAID0。希望能给大家带来一些启示。 这个是我在windows XP下虚拟出的三块磁盘,每块磁盘的大小都是200M三块磁盘做了一个RAID0 ,采用NTFS格式化。上图显示的三块磁盘的0号扇区,这个扇区的主要作用是一个DOS分区结构。和基本磁盘的MBR有点类似。这个扇区也有一个分区表,但是只占用了一个分区表项。。大家看下图
分区类型是0x42 起始于63号扇区,大小是0x9A 20 06 00 也就是401562个扇区。而磁盘的总扇区数是409600个扇区。因为在windows系统中采用逻辑磁盘管理也就是LDM。LDM支持JBOD, RAID0, RAID1和RAID5。要组成这些阵列类型,我们需要把我们的磁盘转换成动态磁盘,而LDM就是管理动态磁盘的。动态磁盘有两个重要的部分,一个是LDM分区区域,它占用磁盘的绝大部分,另一个就是动态磁盘的最后1MB,分配给LDM 数据库。LDM数据库包含分区区域的分配情况。所以在把基本磁盘转换成动态磁盘时需要在磁盘最后有一定的剩余空间。我们上图显示的类似基本磁盘的分区表部分我们管它叫软分区,分区类型就是0x42 而基本磁盘的分区我们就叫硬分区吧。好了,现在我们对组成RAID的磁盘有了一个基本的了解了,我们来总结一下 1.成员盘都是动态磁盘,windows操作系统有个叫LDM的管理它们。 2.LDM会在每个成员盘的最后1MB建立一个数据库,记录一些动态盘的信息,而且这个 数据库还有一个作用,当我们的成员盘被卸载了加载到其他机器上去之后,如果那台机器采用的和原来的机器一样的RAID那么我们的成员盘又可以组建成原来的RAID了,而数据不会丢失,这就方便了移植。 3.LDM会在动态磁盘的0号扇区建立一个如上图所示的软分区表。 4.LDM数据库中包含四个区域,一个叫做LDM私有头,一个内容表区域,一个数据库 记录区和一个事物处理日志区。 5.软分区描述的扇区总数并没有包括最后那1MB的LDM数据库。 好的,我们先看看是不是磁盘的最后1MB是数据库,看看数据库都写了些什么。1MB就是2048个扇区,我们的磁盘有409600个扇区减去2048。那么我们的数据库的起始扇区就 是407553号扇区了。
(完整word版)WINHEX手工修复硬盘
手工修正结构需要一定的数据恢复基础原理知识。在这里我们只描述常用几种系统结构位的手工修正,包括DBR、FAT表头部、MFT头部。 欢迎阅读本文,这是我们的《走进科学--探索发现--硬盘分区信息丢失之谜》的第三篇《W inHex应用之奇怪的未格式化》这篇文章是三篇文章中最绕的一篇,充分认识硬盘数据结构的“C T”运行 WINHEX之后你会觉得,这个可以学,很好很强大。在第一篇《寻找丢失的硬盘分区》文章里,我们恢复了客户故障硬盘的分区信息,但仍然有三个分区是未格式化状态,在这篇文章中我们利用非常强大的Winhex来进行手工修复文件系统。第二篇《DiskGenius恢复提示格式化的数据》中使用硬盘数据恢复软件的新星DiskGenius恢复这三个分区的数据,使用的是扫描重组目录法,直接提取数据。 前面恢复的6个分区中,有3个48.8G的NTFS分区是提示“未格式化”的,我们在前面介绍的是使用磁盘精灵直接扫描恢复数据,除扫描方法恢复数据,我们还可以使用WINHEX磁盘编辑工具直接修改异常扇区,达到恢复数据的目的。除了恢复结果原汁原味,而且恢复迅速,熟练后只需几分钟恢复这三个异常分区。
运行WINHEX,点取打开磁盘,选择我们要编辑恢复的硬盘,然后确定打开,这里选择物理驱动器,有的时候如果单一分区文件系统有问题,打开逻辑驱动器会出现问题,最好是打开物理驱动器后在对单一分区进行操作。
打开物理驱动器后,6个分区信息一目了然,其中2、3、4分区格式位置是未知的文件系统,显示?号,看来这三个分区引导信息扇区DBR肯定出问题了。
点击分区1,扇区内容栏将跳到分区1开始的地方,也就是分区的DBR位置。我们看到分区1从63扇区开始,其DBR的开始字节为EB 58 90
winhex恢复mbr的方法
winhex恢复mbr的方法 恢复mbr实际就是恢复主引导扇区,在出现开机自检过后,系统提示“I/O错误”,即使是你重新安装操作系统也没用。或系统启动蓝屏,将硬盘挂到其他计算机上,检测到的硬盘容量异常;譬如:明明是大容量硬盘,突然变成很小的容量,而且只有一个分区。很多人都认为该硬盘没救了,里面的数据也完了;其实,还是可以修好的,除硬件故障外恢复mbr后就会和以前一样好用。 那么什么是MBR,怎样恢复mbr。先说一下mbr:即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。 我们使用Winhex硬盘数据恢复软件来恢复MBR,并恢复数据的具体步骤:(再恢复前要用Winhex镜像文件《Winhex镜像文件教程》,这样可保证数据完好)。 第一步:把好硬盘上的MBR的前446字节复制到要恢复的硬盘的0扇区前446 字节; 第二步:在倒数第二行倒数第二个字节,输入活动分区8001,再输入本分区的起始磁头柱面0100; 第三步:输入分区类型0B FF FF FF . 第四步:输入C盘前的扇区数,实际就是MBR,63个扇区转换16进制是3F,在此位置输入3F 00 00 00; 第五步:搜索EBR起始位置,16进制查找“55AA”加条件512=510,EBR倒数第五行倒数第二个字节是0001,找到后记下所在扇区,然后减去MBR所占的扇区数63,转换16进制,跳转0扇区,输入相应位置; 第六步:输入分本区的起始位置和非活动分区的起始位置0001和0100; 第七步:输入分区类型10G以上的硬盘0F FE FF FF,10G以下的硬盘输入05 FE FF FF; 第八步:输入扩展分区前的扇区数,刚找到的EBR的起始位置,转换16进制输入相应位置; 第九步:扩展分区的扇区数,左下角的总扇区数-ERR之前的扇区数,转换16进制输入相应位置; 第十步:以下全部填充0,结束必须为55AA保存退出,这样恢复mbr完成。
WinHex数据恢复教程笔记
WinHex数据恢复教程笔记 WinHex是在Windows下运行的十六进制编辑软件,此软件功能非常强大。 有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘; 它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 数据恢复的前提:数据不能被二次破坏、覆盖! 数据恢复首选软件用十六进制编辑器:WinHex MBR、EBR是分区产生的。 MBR主引导记录大小是固定的,位于整个硬盘的0柱面0磁道1扇区。共占用了63个扇区,实际只使用了1个扇区,即硬盘第一扇区中的512字节。 DBR是分区引导扇区,是由FORMAT高级格式化命令写到该扇区的内容,DBR是由硬盘的MBR装载的程序段。DBR装入内存后,即开始执行该引导程序段,其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区,但只有被设为活动分区才会被MBR装的DBR入内存运行 FAT16文件跳转指令EB 3C 90 FAT16 没有备份DBR FAT32文件跳转指令EB 58 90 DBR备份在第6扇区有第一扇区的备份。FAT表32扇区 NTFS文件跳转指令EB 52 90 DBR备份在最后一个扇区 ntfs格式没有FAT表。 04H 分区系统标志 当该值为00H时,表示此分区为不可识别的系统; 为04H时该分区为FAT16分区; 为05H或0FH该分区为扩展分区; 为0B时该分区为FAT32分区; F8H FFH FFH 0FH 开始的FAT表,(对于FAT16是以F8H FFH开始的),每个FAT项占32位(4个字节),FAT16的每个FAT项占16位(2个字节), 也就是说FAT和簇是一一对应的关系,对于FAT32的FAT来说每4个字节为1个FAT项. (对于FAT16的FAT每2个字节为一个FAT项) 512字节的MBR主引导记录又分为三部分: 1.主引导扇区里的主引导程序代码(boot loader),占446个字节; 2.硬盘分区表DPT(Disk Partition table),占64字节; 主分区表项1占16字节,447-461 每一个分区表项各占16个字节. 硬盘中分区有多少以及每一分区的大小都记在其中。 3.硬盘55AA有效结束标志magic number,占两个字节。 MBR被清零的话,硬盘将不能引导。 如果0号扇区被清零,硬盘分区将不被系统识别。提示未初始化。 备份MBR只要备份前512字节就可以了,包含分区表。 用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。 主引导程序代码(boot loader)的作用:就是让硬盘具备可以引导的功能。 如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。也可以用工具软件,比如:DiskGenius、WinHex等。 EBR,也叫做扩展MBR(Extended MBR)。占63个扇区。因为主引导记录MBR最多只能描述4个分区项,如果一个硬盘上分多于4个区,就用EBR. EBR的结构和MBR的结构是一样的,所以在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0。 DBR的备份: 分区格式是FAT32的话,备份在分区的6扇区。 NTFS分区格式的话,在分区的最后一个扇区。
U盘-WinHex数据恢复使用教程
WinHex数据恢复使用教程 WinHex教程 WinHex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如Pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:WinHex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构
MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、W INHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: WinHex WinHex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方
winhex 教程 +应用+数据恢复-Doc文件恢复-MBR、EBR、DBR
winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR 字节位置 内容及含义 第1字节 引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。 第2、3、4字节 本分区的起始磁头号、扇区号、柱面号 第5字节 分区类型符: 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——(LBA模式)扩展分区 83H——Linux分区 第6、7、8字节 本分区的结束磁头号、扇区号、柱面号 第9、10、11、12字节 本分区之前已用了的扇区数 第13、14、15、16字节 本分区的总扇区数
1、什么是逻辑驱动? 2、什么是物理驱动器? 3、怎么搜索MBR、EBR、DBR? MBR、EBR、DBR他们都是以55AA结尾 在winhex中搜索16进制:55AA 偏移512=510 (1)搜索DBR的标志: FAT16的DBR:EB 3C 90没有备份的DBR FAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区 NTFS的DBR: EB 52 90(备份的DBR)在该分区的最后一个扇区 判别MBR的方法: MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。1FE-1FF就是“55 AA” 判别EBR的方法: EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0 (2)查找DBR可以通过搜索本分区的EBR去找DBR. 可以搜索EBR,定位DBR. DBR相对于EBR后63号扇区。 (3)当某分区的DBR坏了,就提示:未格式化 这个时候用winhex打开逻辑盘,就打不开。 我们只有通过打开物理驱动器,然后跳转到该分区。 就可以查看DBR是否被破坏了。。。。
winhe数据恢复完整图文教程.doc
winhex 数据恢复分:硬恢复和恢复。所硬恢复就是硬出物理性,比如有体坏道、路板芯片、体异响,等故障,由此所致的普 通用不容易取出里面数据,那么我将它修好,同又保留里面的数据或后来恢复里面的数据,些都叫数据恢复,只不些故 障有容易的和困的之分;所恢复,就是硬本身没有物理,而是由于人或者病毒破坏所造成的数据失(比如格式化,分 区),那么的数据恢复就叫恢复。 里呢,我主要介恢复,因硬恢复需要一些工具(比如 pc3000, 烙,各种芯片、路板),而且需要懂一点点路基,我里所到 的所有的知,涉及面广,次深,既有数据构原理,我手工准确 恢复数据提供依据,又有各种数据恢复件的使用方法及技巧,我快速恢复数据提供便利,而且所有件均网上下,不需 要我投一分。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数与制: 关于二制、十六制、八制它之的我不想多,因他我数据恢复来帮助不大,而且很容易把我。如果你感趣想多了 解一些,可以到百度里面去搜一下,方面料已很多了,就不需要我再多了。数据恢复我主要用十六制器: Winhex (数 据恢复首件) 我先了解一下数据构: 下面是一个分了三个区的整个硬的数据构 MBR C EBR D EBR E MBR,即主引,位于整个硬的0 柱面 0 磁道 1 扇区,共占用了 63 个扇区,但只使用了 1 个扇区(512 字)。 在共 512 字的主引中,MBR又可分三部分:第一部分:引代,占用了446 个字;第二部分:分区表, 占用了64 字;第三部分:55AA,束志,占用了两个字。后面我要的用winhex 件来恢复分区,主要就 是恢复第二部分:分区表。 引代的作用:就是硬具可以引的功能。如果引代失,分区表在,那么个硬作从所有分区 数据都在,只是个硬自己不能用来启系了。如果要恢复引代,可以用DOS下的命令: FDISK /MBR; 个命令只是用来恢复引代,不会引起分区改,失数据。另外,也可以用工具件,比如DISKGEN、WINHEX等。但分区表如果失,后果就是整个硬一个分区没有,就好象来一个新硬没有分区一。是很多病毒喜破坏 的区域。 EBR,也叫做展MBR( Extended MBR)。因主引MBR最多只能描述4 个分区,如果想要在一个硬上分多于 4 个区,就要采用展MBR的法。 MBR、EBR是分区生的。 比如MBR 和EBR各都占 用 63 个扇区, C 占用1435329 个扇区??那么数据构如下表: 63 1435329 63 1435329 63 1253889 MBR C EBR D EBR E 展分区 而每一个分区又由DBR、 FAT1、 FAT2、 DIR、DATA5部分成:比如C?的数据构: C DBR FAT1FAT2DIR DATA Winhex Winhex 是使用最多的一款工具件,是在Windows下运行的十六制件,此件功能非常大,有完善的分区管 理功能和文件管理功能,能自分析分区和文件簇,能硬行不同方式不同程度的份,甚至克隆整个硬; 它能任何一种文件型的二制内容(用十六制示)其磁器可以物理磁或磁的任意扇区,是手工恢复数据的首工具件。
数据恢复软件Winhex使用说明书
目录 Winhex概述 (3) 1、软件的安装 (3) 2、软件使用及介绍 (4)
Winhex概述 WinHex是一个专门用来对付各种日常紧急情况的小工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。 具体功能如下: *可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑 *支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统 *可支持重组RAID及动态磁盘 *附带数据恢复功能 *可以访问物理内存及虚拟内存 *内置数据解释器,可以识别解释20种数据类型 *可以用数据结构模板查看、编辑结构数据 *可以分割与合并文件 *可以对文件进行分析与对比 *具有灵活的搜索和替换功能 *可以对磁盘进行克隆 *可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理 *具有编程接口,支持脚本操作 *支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算 *支持对磁盘进行数据安全销毁 *包含ANSI ASCII,IBM ASCII,EBCDIC,Unicode字符集 *支持文件大小超过4GB 1、软件的安装 Winhex的安装与普通软件安装没有区别,以在Windows XP下为例,双击Setup.exe程序即可开始安装过程。如图1.1所示。 图1.1
程序默认的安装路径是C:\Program Files\WinHex,当然也可以自行选择安装到其他位置。可以选择语言种类,不过用以选择中文的Chinese按钮处于灰色不可选状态,应该是尚不支持中文。用户可以选择其它语言,默认语言是英文。确定安装位置无误后,点击OK按钮,程序会弹出一个询问框,询问是否确定将程序安装到所选位置。如图1.2所示。 图1.2 如果要对安装位置重新选择,可以按“否”按钮回到原界面进行设置。否则按“是”按钮继续安装。程序随即会弹出询问框询问是否要建立快捷方式。如图1.3所示。点击按钮“是”,程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。 图1.3 最后,程序提示安装完毕,询问是否运行程序。如图1.4所示。 图1.4 点击“是”按钮,程序即开始运行。如果不想立即运行程序,可以点击“否”按钮,在使用程序时从开始菜单中启动程序。 2、软件使用及介绍 2.1启动软件 以Winhex15.1为例,第一次运行程序,程序会给出一个设置窗(如图2.1.1所示),有两个可选项: *Write protection by default:设置写保护,即只可以对打开的对象进行查看,不可以进行修改; *Computer forensics interface:如果要使用取证界面,则应该勾选项。 我们是要使用底层分析及数据恢复功能,所以不需要在这个设置窗中进行任何设置,直接点击OK按钮即可,这样运行的程序默认允许对打开的对象进行读写操作。
使用WinHex手工恢复MBR Word 文档
使用WinHex手工恢复MBR 分类:硬盘 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如 pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。
winhex修复分区表
据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。EBR,也叫做扩展MBR (Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。MBR、EBR是分区产生的。比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表:63 1435329 63 1435329 63 1253889 MBR C盘EBR D盘EBR E盘 扩展分区 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构:C 盘 DBR FAT1 FAT2 DIR DA TA WinhexWinhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。首先要安装Winhex,安装完了就可以启动winhex 了,启动画面如下:首先出现的是启动中心对话框。这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘
winhex数据恢复工具使用
Winhex工具使用 一、Winhex工具介绍 Winhex是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 二、数据恢复的分类 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),这样的数据恢复就叫软恢复。 在此主要介绍软恢复,硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板)。 三、MBR和EBR MBR,即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 每一个分区又由DBR、FAT1、FAT2、DIR、DATA 5部分。 四、Winhex菜单和界面 最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第