WinHex恢复数据实例

为什么写这篇blog

上个星期SATA开始不停地出问题，经常性的在使用中分区信息丢失。开始只是C盘信息丢失，也就忍了，每次用Ghost还原。最后一次居然整个扩展分区没了，所有电影音乐游戏一概报销。只好临时把系统又装回老硬盘。虽然丢失的没有重要资料，毕竟是一大堆攒下来的东西，很不爽，决定找回来。在网上搜硬盘工具没找到理想的，倒是顺便又温习了一遍分区表知识，于是决定自己动手，丰衣足食。装上WinHex，直接开干。

2. MBR（主引导记录）and Partition Table（分区表）

MBR是磁盘第一个扇区，CHS地址是0柱面，0磁头，1扇区；LBA地址是0。布局如下：

[1] 0x01FE是55，0x01FF是AA。

3. 修复过程

理解了MBR和Partition Table，修复思路就很清晰了。我的数据分区大概是占用250G硬盘的后180G，所以从硬盘头六分之一的位置开始，搜索分区表的明显标志0x55AA。WinHex的方便的搜索功能还可以设置只搜索存在于整数倍于512字节块的末尾的0x55AA，速度快很多。每找到一个最后两字节为0x55AA的扇区，就分析4个分区表项是不是合理的，以及它所描述的分区大小，终于找到一个扇区，含有一个分区表项，大小180G，哈哈，肯定就是它了。这个扇区肯

定就是扩展分区的起始扇区，它含有的那个分区表项肯定就是它唯一包含的一个逻辑分区了。

在MBR中创建一条属性为扩展分区（05）的分区表项，填入其他相关位置信息，以描述刚才找到的这个扩展分区：

CHS起始位置：一般是逻辑分区表项中的CHS起始位置，把磁头数改为0。

CHS结束位置：照抄逻辑分区表项中的CHS结束位置。

LBA偏移量，写入那个扩展分区相对磁盘起始位置的扇区偏移量。

分区大小：应该是逻辑分区表项中逻辑分区大小加上63个扇区。

存盘，运行Windows管理工具，查看磁盘信息，数据分区赫然在目。：）

4. 备份MBR

终于找回我的电影和mp3了，激动啊。赶紧做个备份。MBR本来没有第二份拷贝，不像FAT，所以用winhex把MBR复制一份到磁盘最后一个扇区，这个扇区一般不可能被用到。好了，再也不怕你硬盘掉电了。

相信听说过硬盘MBR、硬盘分区表、DBR的朋友一定都不少。可是，你清楚它们分别起什么作用吗？它们的具体位置又在哪里呢？硬盘上的MBR只有一份吗？什么是硬盘逻辑锁？如何制造和破解它呢？？别急，让我们一步步来搞清楚吧！

==必备基础知识：==

以下先介绍一下有关扇区编号的基本知识：介绍一下有关硬盘扇区编号规则的3个易混淆的术语“物理扇区编号”、“绝对扇区编号”和“逻辑扇区编号”。

我们都知道硬盘扇区的定位有两种办法：

1、直接按柱面、磁头、扇区3者的组合来定位（按这种编号方式得到的扇区编号称为物理扇区编号）；

2、按扇区编号来定位（又分“绝对扇区编号“和“逻辑扇区编号“两种）。这两种定位办法的换算关系如下图：（设图中所示硬盘每道扇区数均为63）

如图所示，由于目前大多数硬盘采用的是一种“垂直分区结构“，故左图一磁头数为2、盘片数为1的硬盘，图中0磁头所对扇区的表示方法就有2种，即：0柱面0磁头1扇区=绝对0扇区，而1磁头所对扇区的表示方法也有2种，即：1柱面0磁头1扇区=绝对63扇区。如果是如右图所示磁头数为4、盘片数为2的硬盘，那么则顺着垂直于盘片的箭头线方向进行如图的绝对扇区的编号。

以上，我们说了物理扇区、绝对扇区的编号方式，而逻辑扇区编号由于是操作系统采用的扇区编号方式，而操作系统只能读取分区内部的数据内容，故逻辑扇区是从各分区内的第一个扇区开始编号，如我们下文对mbr的说明可以知道：mbr这个扇区所在硬盘磁道是不属于分区范围内的，紧接着它后面的才是分区的内容,因此一般来说绝对63扇区= c:分区逻辑1扇区。以下让我们总结一下3种编号方式的不同：

编号方式表示方法采用该种方式编号的对

象起始编号

物理扇区编号 0柱面0磁头1扇区 BIOS内置中断服务程序 0柱面0磁头1扇区

绝对扇区编号绝对X扇区人们为方便所采用的办法绝对0扇区

逻辑扇区编号逻辑X扇区操作系统逻辑1扇区

需要说明的是：本文假设所使用的硬盘每道扇区数都为63。各位手头上所使用的硬盘具体的每道扇区数则可以在BIOS设置内有关硬盘参数的设置内查到。

==有关MBR、分区表、DBR的基本知识：==

硬盘MBR(硬盘主引导记录)及硬盘分区表介绍

硬盘MBR就是我们经常说的“硬盘主引导记录”，简单地说，它是由FDISK 等磁盘分区命令写在硬盘绝对0扇区的一段数据，它由主引导程序、硬盘分区表及扇区结束标志字（55AA）这3个部分组成，如下：

组成部分所占字节数内容、功能详述

主引导程序区 446 负责检查硬盘分区表、寻找可引导分区并负责将可引导分

区的引导扇区（DBR）装入内存；

硬盘分区表区 16X4=64 每份16字节的4份硬盘分区表,里面记载了每个分区的类

型、大小和分区开始、结束的位置等重要内容；结束标志字区 2 内容总为”55AA”。

结束标志字区 2 内容总为”55AA”

这3部分的大小加起来正好是512字节=1个扇区（硬盘每扇区固定为512个字节），因此，人们又形象地把MBR称为“硬盘主引导扇区”。这个扇区所在硬盘磁道上的其它扇区一般均空出，且这个扇区所在硬盘磁道是不属于分区范围内的，紧接着它后面的才是分区的内容（也就是说假如该盘每磁道扇区数为63，那么从绝对63扇区开始才是分区的内容）。

硬盘DBR(硬盘分区引导记录)介绍

DBR是各个分区自己的引导记录,又称“分区引导记录”,它是由FORMAT高级格式化命令写在各个分区开始处第一个扇区(比如说:主分区C:从1磁头0柱面1扇区=逻辑1扇区=绝对63扇区）开始,那么C:区逻辑1扇区就是DBR所存放的位置)的一段数据.这段数据主要由以下几个部分组成:

1、占3个字节的跳转指令；

2、占8个字节的操作系统厂商标识及版本号;

3、占19个字节的分区参数表(又称BPB),里面存放着对该分区进行读写操作时所必备的参数 (如该分区内每扇区所包含的字节数、每簇扇区数、每个磁道的扇区数、该分区FAT份数等)；

4、占480个字节的DOS引导代码,它负责把DOS引导文件IO.SYS、MSDOS.SYS

装入内存；

5、占2个字节的结束标志字”55AA”.

以上5个部分也正好占1个扇区；和MBR有所不同的是：DBR扇区后面一般就紧接着存放该分区的FAT（文件分配表，共2份）。

综上所述，我们知道硬盘MBR负责总管硬盘分区，只有分区工具才能对它进行读写（如FDISK）；而DBR则负责管理某个具体的分区，它是用操作系统的高级格式化命令（如FORMAT）来写入硬盘的。在系统启动时，最先读取的硬盘信息是MBR，然后由MBR内的主引导程序读出DBR，最后才由DBR内的DOS引导代码读取操作系统的引导程序，其中任何一个环节出了问题，操作系统都无法正常启动成功，如果是MBR部分出了问题,即使只是”55AA”标志字丢失或被改为其他值，通常都会出现“无效分区表“、逻辑盘丢失、启动死机等现象；而如果是DBR部分出了问题，通常会出现“未格式化的分区”的错误提示。

实际上，在每一个分区的前面，都有一份MBR,在每一个分区的开始处，都有一份DBR。通常我们把存放在绝对0扇区的那份MBR称为主MBR或C分区MBR。这样我们就能画出如下的MBR、DBR的存放位置表：市面上很多分区表保存软件（如KV3000的分区表保存功能）实际上保存的就是表中各个分区前MBR区的数据。

在中篇里，我们将来看看怎样实际操作，观察我们硬盘上的MBR、DBR。

动手观察MBR、DBR：

近距离观察MBR、DBR：

口说无凭，眼见为实。还是让我们用工具来具体观察一下吧：）我们要观察的盘全部分作DOS区，在DOS区内共分C：、D：、E：三个盘。

1、观察主MBR：

首先得准备工具,这里我们推荐DISKEDIT兼容FAT32的版本,可以到https://www.360docs.net/doc/ea7134318.html,搜索DISKEDIT并下载。该程序启动后界面如下：

选“PHYSICAL DEVICE”按OK进入。这时候，DISKEDIT首先显示的就是硬盘绝对0扇区的MBR信息，如下图：

从图中我们可以看到MBR的0~01BD字节为主引导程序；01BE~01FD这64字节为硬盘分区表信息，每项分区表占16字节；最后是结束标志字55AA。下面我们详细分析一下分区表各个字节所表示的意思：

注1：此处第一个字节存放磁头号（01、0B），第二字节低六位存放扇区号01=00（00 0001）=00（01）、FE=11（11 1110）=11（3F），第二字节高2位+第三字节为柱面号00（00）=000、11（7F）=37F。还需要说明的是01BF—01C1

这3个字节在分区表里面，视后面01C2字节所示分区类型的不同而代表不同的含义。如果01C2是代表主分区的01、04、06或0B，那么01BF—01C1所表示的就是该分区DBR所在的位置，如果01C2是代表扩展分区的05或0F，那么

01BF—01C1所表示的就是该分区MBR所在的位置。

看完上面我们给出的第一份MBR，不知道大家注意到没有，在硬盘分区表数据区里面只有两个分区表项，而我们的盘明明是分成C：、D：、E：三个盘的，怎么回事呢？再仔细观察一下分区表，我们还会发现在这份MBR里，第一个分区表项（01BE—01CD）描述的是C：盘的信息，第二个分区表项（01CE—01DD）描述的是整个扩展分区的信息，它把剩下的D：、E：全部包含在里面了！未免太笼统了点吧。那么，如果我们要查看D：、E：各自详细的分区情况怎么办呢？参考上一段我们给出的01BF—01C1这3个字节所代表的不同含义，我们发现，第二个分区表项的分区类型符为0F，也就是说是扩展分区，那么分区类型符前面3个字节所代表的应该是扩展分区MBR所在的位置。可见不光是全盘最前面的0磁头0柱面1扇区有一份主MBR，扩展分区的最前面也有一份MBR！

还是让我们顺着系统启动的顺序先到1磁头 0柱面1扇区去看看主分区DBR，然后再看扩展分区的MBR是什么样的吧！

2、观察C分区DBR：

在DISKEDIT界面输入“ALT+S”，在出现的菜单内选“GOTO。。。”，如下图：

接下来，按表1内01BF—01C1字节所示的主分区DBR位置，在出现的菜单内依次输入DBR所在的柱面数（CYLINDER）=0，磁头数（HEAD）=1，扇区数（SECTOR）=1，如下图：

哈哈，第一份DBR的数据就调出来啦：）

3、观察D分区MBR：

按照表1扩展分区01CF—01D1字节所示分区MBR位置，进入图4的菜单内输入281（119h）柱面、0磁头、1扇区；D分区MBR就出来了：）

哈哈，正如大家所看到的，这第二份MBR其实只是一个分区表而已。同第一份MBR一样，也只是描述了当前主盘（D：盘）和剩余空间的分区状况。按照和第3步中同样的办法，我们同样能够定位出D：盘的DBR和E分区MBR（最后一份MBR）所在的位置并用DISKEDIT进行观察。

在下篇内将对以上知识进行总结，并对逻辑锁进行一个详细的分析。

前两篇文章中我们了解了硬盘逻辑分区的概念也实际看到了分区的情况，下面是对前问的总结，附带逻辑锁的详解。==

通过观察，我们证实了每一个硬盘分区，都有各自的MBR和DBR；操作系统启动时，不论是从硬盘还是从软盘启动，都需要先由BIOS读绝对0扇区的主MBR,找到标志为80的可引导分区，然后由MBR负责读出该分区内的DBR,再由DBR 负责读出存在该分区的系统启动程序（IO.SYS等），最后在DOS系统程序IO.SYS 的指挥下遍历所有的MBR和DBR，从而获知完整的硬盘分区结构。使用FDISK分区时也需要进行同样的过程。而IO.SYS遍历所有的MBR和DBR的时候，是按照如下表的顺序进行：

==分区表知识实际应用==

我是无聊的小锁匠。。。

看了这么多图表文字，读者老爷们是不是烦了？那么我们来折磨一下自己的硬盘，制作一个硬盘逻辑锁玩玩如何：）（好象谁。。。谁在骂：“变态！”）

观察上面我们给出的遍历流程表，参考一中关于01C2字节的说明，如果我们在描述D分区MBR位置的01CF—01D1字节处作点手脚，把这里本来存放D：盘MBR位置的字节改成00 01 00（就是C分区MBR所在的位置）那么遍历流程不就变成下表所示了吗：

哈哈，表面上看，应该这样就可以做成一个逻辑锁了吧。可是实际情况一定会让你失望，98根本一点反应也没有，居然给我一切正常！！

哎，再试试动动其它歪脑筋好了。咦。。。总觉得01D2字节表示D：盘分区类型的0F怪怪的，把它改成05看看！！哈哈，这下硬盘总算在出现98欢迎画面的时候陷入上表所示的死循环了：）好，现在我们换软盘启动看看。。。，咦。。。怎么出现一大堆E文后居然还能引导成功！

天哪！这什么破游戏，一点也不好玩！！！走走，搓雷神去了，（落雨：竟敢在我面前说要撮雷神？？！）不玩了！嗯。。。如果把表示C：盘分区类型的01C2字节的0B改成其它数会怎样？？？把它改成0A吧！

嘿嘿嘿，终于大功告成了，无论是软盘或者是硬盘启动，统统给我死翘翘了：）下面就给出一种完美的硬盘逻辑锁主MBR样本：（图中黄色字体的为改动的部分，只需要改区区4个字节哦！）

好了，我们来总结一下制作逻辑锁的必要步骤吧！

1、先把C:盘MBR的01CF—01D1字节处表示的D:盘MBR位置改成00 01 00;

2、然后把紧接着的表示D:盘分区类型的01D2字节改成05;

3、最后改C:盘MBR中表示C:盘分区类型的01C2字节,把它改成0A、0

4、03、02或者00这5种字节都可以。

这样一来,不论是从软盘或者硬盘用DOS7.0版本启动,甚至加挂正常的可引导硬盘,都难逃死机的恶运了，至于为什么还要改两个盘的分区类型,这个本鸟也还没有完全想通L不过有一点可以肯定的是：即使不改分区类型,在使用FDISK 时也是必死无疑的.

哎呀,差点忘了说了,中了锁怎么解呢??

别急,前面我们不是说到:”不论是从硬盘还是从软盘启动，都需要在DOS 系统程序IO.SYS的指挥下遍历所有的MBR和DBR”吗,既然如此不如在IO.SYS 上动动脑筋好了.

破解硬盘逻辑锁的三种办法:

1、原来,IO.SYS在指挥系统遍历所有的MBR和DBR的时候,首先要检查MBR或者DBR扇区结尾的

结束标志字是否是“55AA”.如果不是,那么将退出遍历并报分区表错.幸运的是报错之前我们运行DISKEDIT改回原来的MBR所需要的系统核心部分已经载入了内存,否则….

知道了上面的原理,我们不妨反其道而行之,编辑IO.SYS,让它在指挥系统遍历所有的MBR和DBR时检查MBR或者DBR扇区结尾的结束标志字是否是除了“55AA”外的其它值.这样一来,就能跳出死循环而执行DISKEDIT了.具体步骤如下:

先制作一张启动软盘,并用ATTRIB –R –H –S A：\IO.SYS命令去掉IO.SYS 的系统、只读及隐藏属性;

用ULTRAEDIT之类的编辑工具搜索刚做好的启动软盘上的IO.SYS,找到数个”55AA”,把它们改成其它数值;

保存IO.SYS,并用ATTRIB +R +H +S A:\IO.SYS命令改回文件的属性.

不怕逻辑锁的启动盘就做好啦!启动后不要理会出现的错误信息,赶快运行DISKEDIT改回原来的MBR吧!

2、如果你嫌麻烦,也可以用硬盘厂家提供的硬盘修复工具制作修复软盘,这种修复软盘由于使用了不同的启动办法,所以一般都不怕逻辑锁. 硬盘修复工具可以到驱动之家

winhex数据手工恢复教程

winhex教程 winhex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：Winhex（数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK/MBR；

winhex数据恢复完整图文教程

winhex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构 MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、WINHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区，C盘占用1435329个扇区……那么数据结构如下表： 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成：比如C 盘的数据结构： Winhex Winhex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。 首先要安装Winhex，安装完了就可以启动winhex了，启动画面如下：首先出现的是启动中心对话框。

WinHe 数据恢复图文教程

WinHex数据恢复图文教程 WinHex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。

(完整word版)WINHEX手工修复硬盘

手工修正结构需要一定的数据恢复基础原理知识。在这里我们只描述常用几种系统结构位的手工修正，包括DBR、FAT表头部、MFT头部。 欢迎阅读本文，这是我们的《走进科学--探索发现--硬盘分区信息丢失之谜》的第三篇《W inHex应用之奇怪的未格式化》这篇文章是三篇文章中最绕的一篇，充分认识硬盘数据结构的“C T”运行 WINHEX之后你会觉得，这个可以学，很好很强大。在第一篇《寻找丢失的硬盘分区》文章里，我们恢复了客户故障硬盘的分区信息，但仍然有三个分区是未格式化状态，在这篇文章中我们利用非常强大的Winhex来进行手工修复文件系统。第二篇《DiskGenius恢复提示格式化的数据》中使用硬盘数据恢复软件的新星DiskGenius恢复这三个分区的数据，使用的是扫描重组目录法，直接提取数据。 前面恢复的6个分区中，有3个48.8G的NTFS分区是提示“未格式化”的，我们在前面介绍的是使用磁盘精灵直接扫描恢复数据，除扫描方法恢复数据，我们还可以使用WINHEX磁盘编辑工具直接修改异常扇区，达到恢复数据的目的。除了恢复结果原汁原味，而且恢复迅速，熟练后只需几分钟恢复这三个异常分区。

运行WINHEX，点取打开磁盘，选择我们要编辑恢复的硬盘，然后确定打开,这里选择物理驱动器，有的时候如果单一分区文件系统有问题，打开逻辑驱动器会出现问题，最好是打开物理驱动器后在对单一分区进行操作。

打开物理驱动器后，6个分区信息一目了然，其中2、3、4分区格式位置是未知的文件系统，显示？号，看来这三个分区引导信息扇区DBR肯定出问题了。

点击分区1，扇区内容栏将跳到分区1开始的地方，也就是分区的DBR位置。我们看到分区1从63扇区开始，其DBR的开始字节为EB 58 90

WinHex数据恢复教程笔记

WinHex数据恢复教程笔记 WinHex是在Windows下运行的十六进制编辑软件，此软件功能非常强大。 有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘； 它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。 数据恢复的前提:数据不能被二次破坏、覆盖！ 数据恢复首选软件用十六进制编辑器:WinHex MBR、EBR是分区产生的。 MBR主引导记录大小是固定的，位于整个硬盘的0柱面0磁道1扇区。共占用了63个扇区，实际只使用了1个扇区，即硬盘第一扇区中的512字节。 DBR是分区引导扇区，是由FORMAT高级格式化命令写到该扇区的内容，DBR是由硬盘的MBR装载的程序段。DBR装入内存后，即开始执行该引导程序段，其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区，但只有被设为活动分区才会被MBR装的DBR入内存运行 FAT16文件跳转指令EB 3C 90 FAT16 没有备份DBR FAT32文件跳转指令EB 58 90 DBR备份在第6扇区有第一扇区的备份。FAT表32扇区 NTFS文件跳转指令EB 52 90 DBR备份在最后一个扇区 ntfs格式没有FAT表。 04H 分区系统标志 当该值为00H时，表示此分区为不可识别的系统； 为04H时该分区为FAT16分区； 为05H或0FH该分区为扩展分区； 为0B时该分区为FAT32分区; F8H FFH FFH 0FH 开始的FAT表，（对于FAT16是以F8H FFH开始的），每个FAT项占32位（4个字节），FAT16的每个FAT项占16位（2个字节）， 也就是说FAT和簇是一一对应的关系，对于FAT32的FAT来说每4个字节为1个FAT项. （对于FAT16的FAT每2个字节为一个FAT项） 512字节的MBR主引导记录又分为三部分: 1.主引导扇区里的主引导程序代码（boot loader），占446个字节； 2.硬盘分区表DPT（Disk Partition table），占64字节； 主分区表项1占16字节，447-461 每一个分区表项各占16个字节. 硬盘中分区有多少以及每一分区的大小都记在其中。 3.硬盘55AA有效结束标志magic number，占两个字节。 MBR被清零的话，硬盘将不能引导。 如果0号扇区被清零，硬盘分区将不被系统识别。提示未初始化。 备份MBR只要备份前512字节就可以了，包含分区表。 用WinHex软件来恢复误分区，主要就是恢复第二部分:分区表。 主引导程序代码（boot loader）的作用:就是让硬盘具备可以引导的功能。 如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码，可以用DOS下的命令:FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。也可以用工具软件,比如:DiskGenius、WinHex等。 EBR，也叫做扩展MBR（Extended MBR）。占63个扇区。因为主引导记录MBR最多只能描述4个分区项，如果一个硬盘上分多于4个区，就用EBR. EBR的结构和MBR的结构是一样的，所以在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0。 DBR的备份: 分区格式是FAT32的话，备份在分区的6扇区。 NTFS分区格式的话，在分区的最后一个扇区。

U盘-WinHex数据恢复使用教程

WinHex数据恢复使用教程 WinHex教程 WinHex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如Pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：WinHex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构

MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用WinHex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、W INHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区，C盘占用1435329个扇区……那么数据结构如下表： 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成：比如C 盘的数据结构： WinHex WinHex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方

winhe数据恢复完整图文教程.doc

winhex 数据恢复分：硬恢复和恢复。所硬恢复就是硬出物理性，比如有体坏道、路板芯片、体异响，等故障，由此所致的普 通用不容易取出里面数据，那么我将它修好，同又保留里面的数据或后来恢复里面的数据，些都叫数据恢复，只不些故 障有容易的和困的之分；所恢复，就是硬本身没有物理，而是由于人或者病毒破坏所造成的数据失（比如格式化，分 区），那么的数据恢复就叫恢复。 里呢，我主要介恢复，因硬恢复需要一些工具（比如 pc3000, 烙，各种芯片、路板），而且需要懂一点点路基，我里所到 的所有的知，涉及面广，次深，既有数据构原理，我手工准确 恢复数据提供依据，又有各种数据恢复件的使用方法及技巧，我快速恢复数据提供便利，而且所有件均网上下，不需 要我投一分。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数与制： 关于二制、十六制、八制它之的我不想多，因他我数据恢复来帮助不大，而且很容易把我。如果你感趣想多了 解一些，可以到百度里面去搜一下，方面料已很多了，就不需要我再多了。数据恢复我主要用十六制器： Winhex （数 据恢复首件） 我先了解一下数据构： 下面是一个分了三个区的整个硬的数据构 MBR C EBR D EBR E MBR，即主引，位于整个硬的0 柱面 0 磁道 1 扇区，共占用了 63 个扇区，但只使用了 1 个扇区（512 字）。 在共 512 字的主引中，MBR又可分三部分：第一部分：引代，占用了446 个字；第二部分：分区表， 占用了64 字；第三部分：55AA，束志，占用了两个字。后面我要的用winhex 件来恢复分区，主要就 是恢复第二部分：分区表。 引代的作用：就是硬具可以引的功能。如果引代失，分区表在，那么个硬作从所有分区 数据都在，只是个硬自己不能用来启系了。如果要恢复引代，可以用DOS下的命令： FDISK /MBR； 个命令只是用来恢复引代，不会引起分区改，失数据。另外，也可以用工具件，比如DISKGEN、WINHEX等。但分区表如果失，后果就是整个硬一个分区没有，就好象来一个新硬没有分区一。是很多病毒喜破坏 的区域。 EBR，也叫做展MBR（ Extended MBR）。因主引MBR最多只能描述4 个分区，如果想要在一个硬上分多于 4 个区，就要采用展MBR的法。 MBR、EBR是分区生的。 比如MBR 和EBR各都占 用 63 个扇区， C 占用1435329 个扇区??那么数据构如下表： 63 1435329 63 1435329 63 1253889 MBR C EBR D EBR E 展分区 而每一个分区又由DBR、 FAT1、 FAT2、 DIR、DATA5部分成：比如C?的数据构： C DBR FAT1FAT2DIR DATA Winhex Winhex 是使用最多的一款工具件，是在Windows下运行的十六制件，此件功能非常大，有完善的分区管 理功能和文件管理功能，能自分析分区和文件簇，能硬行不同方式不同程度的份，甚至克隆整个硬； 它能任何一种文件型的二制内容（用十六制示）其磁器可以物理磁或磁的任意扇区，是手工恢复数据的首工具件。

数据恢复软件Winhex使用说明书

目录 Winhex概述 (3) 1、软件的安装 (3) 2、软件使用及介绍 (4)

Winhex概述 WinHex是一个专门用来对付各种日常紧急情况的小工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。 具体功能如下： *可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑 *支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统 *可支持重组RAID及动态磁盘 *附带数据恢复功能 *可以访问物理内存及虚拟内存 *内置数据解释器，可以识别解释20种数据类型 *可以用数据结构模板查看、编辑结构数据 *可以分割与合并文件 *可以对文件进行分析与对比 *具有灵活的搜索和替换功能 *可以对磁盘进行克隆 *可对磁盘进行压缩镜像备份，支持对备份文件进行分卷处理 *具有编程接口，支持脚本操作 *支持256位加密、校验和、CRC32、hash（MD5，SHA-1）计算 *支持对磁盘进行数据安全销毁 *包含ANSI ASCII,IBM ASCII,EBCDIC,Unicode字符集 *支持文件大小超过4GB 1、软件的安装 Winhex的安装与普通软件安装没有区别，以在Windows XP下为例，双击Setup.exe程序即可开始安装过程。如图1.1所示。 图1.1

程序默认的安装路径是C:\Program Files\WinHex，当然也可以自行选择安装到其他位置。可以选择语言种类，不过用以选择中文的Chinese按钮处于灰色不可选状态，应该是尚不支持中文。用户可以选择其它语言，默认语言是英文。确定安装位置无误后，点击OK按钮，程序会弹出一个询问框，询问是否确定将程序安装到所选位置。如图1.2所示。 图1.2 如果要对安装位置重新选择，可以按“否”按钮回到原界面进行设置。否则按“是”按钮继续安装。程序随即会弹出询问框询问是否要建立快捷方式。如图1.3所示。点击按钮“是”，程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。 图1.3 最后，程序提示安装完毕，询问是否运行程序。如图1.4所示。 图1.4 点击“是”按钮，程序即开始运行。如果不想立即运行程序，可以点击“否”按钮，在使用程序时从开始菜单中启动程序。 2、软件使用及介绍 2.1启动软件 以Winhex15.1为例，第一次运行程序，程序会给出一个设置窗(如图2.1.1所示)，有两个可选项： *Write protection by default：设置写保护，即只可以对打开的对象进行查看，不可以进行修改； *Computer forensics interface：如果要使用取证界面，则应该勾选项。 我们是要使用底层分析及数据恢复功能，所以不需要在这个设置窗中进行任何设置，直接点击OK按钮即可，这样运行的程序默认允许对打开的对象进行读写操作。

winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR

winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR 字节位置 内容及含义 第1字节 引导标志。若值为80H表示活动分区；若值为00H表示非活动分区。 第2、3、4字节 本分区的起始磁头号、扇区号、柱面号 第5字节 分区类型符： 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——（LBA模式）扩展分区 83H—— Linux分区 第6、7、8字节 本分区的结束磁头号、扇区号、柱面号 第9、10、11、12字节 本分区之前已用了的扇区数 第13、14、15、16字节 本分区的总扇区数 1、什么是逻辑驱动 2、什么是物理驱动器 3、怎么搜索MBR、 EBR、DBR MBR、 EBR、DBR他们都是以55AA结尾 在winhex中搜索１６进制：55AA 偏移５１２＝５１０ （１）搜索DBR的标志： FAT16的DBR:EB 3C 90 没有备份的DBR FAT32的DBR:EB 58 90 （备份的DBR）在该分区的第６扇区 NTFS的DBR: EB 52 90 （备份的DBR）在该分区的最后一个扇区 判别MBR的方法： MBR就在LBA第一个扇区，打开物理硬盘，第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD，共64个字节，每项16个字节。1FE-1FF就是“55 AA” 判别EBR的方法： EBR的结构和MBR的结构是一样的，在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0 （２）查找DBR 可以通过搜索本分区的EBR去找DBR. 可以搜索EBR,定位DBR. DBR相对于EBR后６３号扇区。 (3)当某分区的DBR坏了，就提示：未格式化 这个时候用winhex打开逻辑盘，就打不开。 我们只有通过打开物理驱动器，然后跳转到该分区。 就可以查看DBR是否被破坏了。。。。

winhex数据恢复工具使用

Winhex工具使用 一、Winhex工具介绍 Winhex是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。 二、数据恢复的分类 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），这样的数据恢复就叫软恢复。 在此主要介绍软恢复，硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板）。 三、MBR和EBR MBR，即主引导记录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、WINHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 每一个分区又由DBR、FAT1、FAT2、DIR、DATA 5部分。 四、Winhex菜单和界面 最上面的是菜单栏和工具栏，下面最大的窗口是工作区，现在看到的是硬盘的第

winhex数据恢复教程

在这篇教程中，我想以一个最简单的例子来说明如何使用winhex来恢复NTFS分区中被删除的文件的，为了使这上篇的文章的知识尽量的简单，我这里所恢复的条件有这么几个： 1、我格式化了一个分区，所以这个分区中是没有任何文件的。 2、我使用的文件大小小于1K，所以这个文件在NTFS分区的文件记录中的数据属性中是个常驻属性。所以这里不涉及到运行计算的问题，应该 最简单的文件恢复了，以这个恢复例子的过程，可以建立一个数据恢复的大体原理了。 希望大家喜欢：） 下面开始。 第一：建立一个文本文件 我格式化了我的分区G，分区类型是NTFS，使用快速格式化，正常格式化只在检查磁盘坏道时才有用。。。 之后，我在这个分区建了一个文本文件，如下图所示：

这个文件很简单，内容也很少，我保存这个文件后，然后然后我们来看看这个文件大小信息，如下图所示：

我们看到，这个文件大小是224个字节，记住了哦，等下恢复这个文件的时候就可以对比一下了咯嘻嘻。。。 之后我就删除了这个文件，现在，我们看看怎么恢复这个文件！ 第二：用winhex打开分区 我们运行winhex，然后点击菜单：工具-->打开磁盘，来打开G盘。如下图所示：

我们可以找到$MFT这个文件，然后右击它，然后点击打开，之后就会打开这个文件MFT。如下面两个图所示：

这里为什么要这么做呢？ 因为，我们只需要在MFT找到我们丢失的文件，如果我们在整个分区里搜索并且这个分区很大的话，会要很多时间的，而MFT文件就小得多了，最大也就1G左右，这是我人为弄出来的，一般系统是很难见到这么大的MFT文件的，除非你是做服务器，有很多磁盘碎片和小文件。。。 之后，我们可以点击菜单中的：搜索-->查找文本。如下图所示：

(完整版)WinHex数据恢复教程笔记

WinHex 数据恢复教程笔记 WinHex 是在 Windows 下运行的十六进制编辑软件，此软件功能非常强大。 有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘； 它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。 数据恢复的前提:数据不能被二次破坏、覆盖！ 数据恢复首选软件用十六进制编辑器:WinHex MBR 、EBR 是分区产生的。 MBR 主引导记录大小是固定的，位于整个硬盘的 0 柱面 0 磁道 1 扇区。共占用了 63 个扇区，实际只使用了 1 个扇区，即硬盘第一扇区中的 512 字节。 DBR 是分区引导扇区，是由 FORMAT 高级格式化命令写到该扇区的内容，DBR 是由硬盘的 MBR 装载的程序段。DBR 装入内存后，即开始执行该引导程序段，其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区，但只有被设为活动分区才会被 MBR 装的 DBR 入内存运行 表 32 扇区 04H 分区系统标志 当该值为 00H 时，表示此分区为不可识别的系统； 为 04H 时该分区为 FAT16 分区； 为 05H 或 0FH 该分区为扩展分区； 为 0B 时该分区为 FAT32 分区; F8H FFH FFH 0FH 开始的 FAT 表，（对于 FAT16 是以 F8H FFH 开始的），每个 FAT 项占 32 位（4 个字节）， FAT16 的每个 FAT 项占 16 位（2 个字节）， 也就是说 FAT 和簇是一一对应的关系，对于 FAT32 的 FAT 来说每 4 个字节为 1 个 FAT 项. （对于 FAT16 的 FAT 每 2 个字节为一个 FAT 项） 512 字节的 MBR 主引导记录又分为三部分: 1.主引导扇区里的主引导程序代码（boot loader ），占 446 个字节； 2.硬盘分区表 DPT （Disk Partition table ），占 64 字节； 主分区表项 1 占 16 字节，447-461 每一个分区表项各占 16 个字节. 硬盘中分区有多少以及每一分区的大小都记在其中。 3.硬盘 55AA 有效结束标志 magic number ，占两个字节。 MBR 被清零的话，硬盘将不能引导。 如果 0 号扇区被清零，硬盘分区将不被系统识别。提示未初始化。 备份 MBR 只要备份前 512 字节就可以了，包含分区表。 用 WinHex 软件来恢复误分区，主要就是恢复第二部分:分区表。 主引导程序代码（boot loader ）的作用:就是让硬盘具备可以引导的功能。 如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码，可以用 DOS 下的命令:FDISK /MBR ；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。也可以用工具软件,比如: DiskGenius 、WinHex 等。 EBR ，也叫做扩展 MBR （Extended MBR ）。占 63 个扇区。因为主引导记录 MBR 最多只能描述 4 个分区 项，如果一个硬盘上分多于 4 个区，就用 EBR. EBR 的结构和 MBR 的结构是一样的，所以在倒数第五行倒数第二个字节应该是 00 01，并且前 446 个字节应该是 0。 DBR 的备份: 分区格式是 FAT32 的话，备份在分区的 6 扇区。 NTFS 分区格式的话，在分区的最后一个扇区。 DBR FAT16 没有备份 文件跳转指令 EB 3C 90 FAT16 FAT32 文件跳转指令 EB 58 90 DBR 备份在第 6 扇区 有第一扇区的备份。FAT NTFS 文件跳转指令 EB 52 90 DBR 备份在最后一个扇区 ntfs 格式没有 FAT 表。

WinHex恢复数据实例

为什么写这篇blog 上个星期SATA开始不停地出问题，经常性的在使用中分区信息丢失。开始只是C盘信息丢失，也就忍了，每次用Ghost还原。最后一次居然整个扩展分区没了，所有电影音乐游戏一概报销。只好临时把系统又装回老硬盘。虽然丢失的没有重要资料，毕竟是一大堆攒下来的东西，很不爽，决定找回来。在网上搜硬盘工具没找到理想的，倒是顺便又温习了一遍分区表知识，于是决定自己动手，丰衣足食。装上WinHex，直接开干。 2. MBR（主引导记录）and Partition Table（分区表） MBR是磁盘第一个扇区，CHS地址是0柱面，0磁头，1扇区；LBA地址是0。布局如下： [1] 0x01FE是55，0x01FF是AA。 3. 修复过程 理解了MBR和Partition Table，修复思路就很清晰了。我的数据分区大概是占用250G硬盘的后180G，所以从硬盘头六分之一的位置开始，搜索分区表的明显标志0x55AA。WinHex的方便的搜索功能还可以设置只搜索存在于整数倍于512字节块的末尾的0x55AA，速度快很多。每找到一个最后两字节为0x55AA的扇区，就分析4个分区表项是不是合理的，以及它所描述的分区大小，终于找到一个扇区，含有一个分区表项，大小180G，哈哈，肯定就是它了。这个扇区肯

定就是扩展分区的起始扇区，它含有的那个分区表项肯定就是它唯一包含的一个逻辑分区了。 在MBR中创建一条属性为扩展分区（05）的分区表项，填入其他相关位置信息，以描述刚才找到的这个扩展分区： CHS起始位置：一般是逻辑分区表项中的CHS起始位置，把磁头数改为0。 CHS结束位置：照抄逻辑分区表项中的CHS结束位置。 LBA偏移量，写入那个扩展分区相对磁盘起始位置的扇区偏移量。 分区大小：应该是逻辑分区表项中逻辑分区大小加上63个扇区。 存盘，运行Windows管理工具，查看磁盘信息，数据分区赫然在目。：） 4. 备份MBR 终于找回我的电影和mp3了，激动啊。赶紧做个备份。MBR本来没有第二份拷贝，不像FAT，所以用winhex把MBR复制一份到磁盘最后一个扇区，这个扇区一般不可能被用到。好了，再也不怕你硬盘掉电了。 相信听说过硬盘MBR、硬盘分区表、DBR的朋友一定都不少。可是，你清楚它们分别起什么作用吗？它们的具体位置又在哪里呢？硬盘上的MBR只有一份吗？什么是硬盘逻辑锁？如何制造和破解它呢？？别急，让我们一步步来搞清楚吧！ ==必备基础知识：== 以下先介绍一下有关扇区编号的基本知识：介绍一下有关硬盘扇区编号规则的3个易混淆的术语“物理扇区编号”、“绝对扇区编号”和“逻辑扇区编号”。 我们都知道硬盘扇区的定位有两种办法： 1、直接按柱面、磁头、扇区3者的组合来定位（按这种编号方式得到的扇区编号称为物理扇区编号）； 2、按扇区编号来定位（又分“绝对扇区编号“和“逻辑扇区编号“两种）。这两种定位办法的换算关系如下图：（设图中所示硬盘每道扇区数均为63）

用WINHEX手工提取恢复已删除数据一例

这是我们这里的一同行转到我这里来的一个数据，据客户描述故障为：盘分了三个区在一次意外死机后重启电脑后客户继续死机前的工作打开最后一个区（前两个区是正常的）提示未格式化（其实大多数朋友知道这时的问题简单得多也许重建DBR后整个盘里面的数据都在，这里暂且就不谈这种问题的解决方法了），要命的是这时客户鬼使神差地点击了格式化了，结果大家当然就知道了，数据肯定是没有了。据转到我这里的那同行说他用各种搜索软件对整个区搜了好几遍（这也是大多数所谓专业的数据恢复商所用的恢复方法了），当然也搜到了很多数据，尽管很乱但还能正常打开。最后客户确认搜出来数据大部份正常，但客户最重要的的一个压缩文件损坏了，（据客户说那压缩文件是他多年搞设计购买的素材库的精华）。大家知道压缩文件损坏了是很难很难修复的了。首先我用WINHEX把他搜出来的那个压缩文件打开分析了下，文件头乱了，中间的数据也不正常。无法修复，只好从原盘着手了。竟然搜索软件搜出来的是损坏的，那就只有用手工来做了，当然用手工做这种格式化了的数据很费时，且计算量也很大，只能针对像这样的个别特重要的数据。 对原盘的那个格式化掉的分区做完镜像后，用WINHEX打开镜像，设置镜像文件为磁盘。如下图所示： 1.jpg 分区是NTFS格式的，整个分区大小为25.4G。对NTFS分区格式研究过的朋友会知道，在NTFS文件系统中，文件亦是按簇进行分配的，文件通过主文件表MFT（Master File Table）来确定其在磁盘上的存储

位置、大小、属性等信息。相当于FAT系统下的FAT+FDT的功能。每文件都有一个文件记录。其中第一个记录就是MFT自己本身。我们转到第一个文件记录也就是MFT了直接点可以看到如下图所示： 2.jpg 通过第一个文件记录往下观察发现格式化了后对文件记录没有产生破坏。那么这时我们就可以有一个恢复的思路了：找客记所说的那个压缩文件的在MFT中的记录，再通过对文件记录的分析来确定文件在磁盘中的位置及大小，就可以直接从中提出文件了。想到做到，据客户告之，压缩文件名为：源文件与素材。那好，我们可以新建一个文本记事本只输入压缩文件名―――源文件与素材！保存，再用WINHEX打开可以看到如下图： 3.jpg 然后再转回来，直接从第一个文件记录往下开始搜索十六进制数值90 6E 87 65 F6 4E 0E 4E 20 7D 50 67搜索到了一个地方停下来了，看看是不是那个压缩文件的记录呢看下图：

winhex恢复U盘数据案例

存储一个文件的时候，操作系统首先在记录所有空间使用情况的文件分配表(FAT)中找到足够容纳文件的空间，然后把文件内容写到相对应的硬盘扇区上，并在文件分配表中标出该空间已经被占用。删除文件的时候，一般并不对文件所占用的扇区进行操作，而仅仅是在文件分配表中指明哪些空间可以分配给别的文件使用。 这个时候，被删除文件的实际内容仍然存在，可以被恢复。如果删除文件后又创建了新文件，那么被删文件所占用的扇区就有可能被新文件所使用，这时候就无法恢复被删文件的数据了。所以一旦误删除了文件，就不要再对该文件所在的分区进行写操作了，否则有可能 覆盖原有数据，造成文件无法恢复。 小知识：恢复文件的三个阶段 1．使用自动化恢复软件 恢复软件(如Finaldata或EasyRecovery等)使用很简单，根据向导的指示操作就可以 了。 2．手工恢复被删除数据 手工恢复的原理是直接在存储设备上寻找被删除文件的关键内容。这种方法适合恢复有明显特征而且结构简单的文件，如文本文件。如果文件很大，且分散于磁盘的不同位置，还需要根据文档的内部结构重新组织文档，才能彻底恢复数据。 3．找专业的数据恢复公司 备份数据 由于数据很重要，所以首先要进行备份，万一出现误操作，还可以把U盘恢复到最初的状态。这一步很重要，并且U盘容量不大，备份不会占用太大磁盘空间。进行扇区级别的磁盘数据备份有很多工具，如Ghost、WinHex和DiskExplorer，下面主要介绍WinHex。WinHex 是一个16进制文件编辑工具，可以跳过操作系统的文件系统直接读取磁盘和U盘等设备， 从而进行数据恢复。 使用WinHex的“Tools”菜单下面的“Open Disk”命令，打开物理U盘。

如何使用WINHEX进行数据恢复

如何使用WINHEX进行数据恢复 Winhex有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。 首先要安装Winhex，安装完了就可以启动winhex了，启动后，首先出现的是启动中心对话框。 这里我们要对磁盘进行操作，就选择“打开磁盘”，出现“编辑磁盘”对话框：在这个对话框里，我们可以选择对单个分区打开，也可以对整个硬盘打开，HD0是我现在正用的西部数据40G系统盘，HD1是我们要分析的硬盘，迈拓2G。这里我们就选择打开HD1整个硬盘，再点确定.然后我们就看到了Winhex的整个工作界面。 最上面的是菜单栏和工具栏，下面最大的窗口是工作区，现在看到的是硬盘的第一个扇区的内容，以十六进制进行显示，并在右边显示相应的ASCII码，右边是详细资源面板，分为五个部分：状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外，在其上单击鼠标右键，可以将详细资源面板与窗口对换位置，或关闭资源面板。（如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开）。 最下面一栏是非常有用的辅助信息，如当前扇区/总扇区数目……等 向下拉拉滚动条，可以看到一个灰色的横杠，每到一个横杠为一个扇区，一个扇区共512字节，每两个数字为一个字节，比如00。 下面我们来分析一下MBR，因为前面我们说过，前446个字节为引导代码，对我们来说没有意义，这里我们只分析分区表中的64个字节。 分区表64个字节，一共可以描述4个分区表项，每一个分区表项可以描述一个主分区或一个扩展分区（比如上面的分区表，第一个分区表项描述主分区C 盘，第二个分区表项描述扩展分区，第三第四个分区表项填零未用）每一个分区表项各占16个字节，各字节含义如下：（H表示16进制）