winhex使用教程
使用winhex手动合并与分离文件
机计算网络安全技术计算机使用winhex手动合并与分离文件面对一个合并文件的二进制流,如何找出哪里是前一个文件结尾,哪里是后一个文件的开头。
可以联想到文件头标志,这方面的知识,利用不同类型的文件头标志,做为分离的依据。
以word文档为例,word文档稍微复杂一点,这是因为word文档的文件头和压缩文件的文件头用Winhex打开合并后的文件,查找docx的文件头标志:壹MS Word/Excel(xlsx.or.docx),文件头:504B0304贰ZIP Archive(zip),文件头:504B0304zip格式的文件头和word的docx一样,这是为什么呢,因为DOCX和XLSX本质上就是一个压缩文件呀。
修改docx后缀为zip等压缩格式,然后用压缩工具解压查看,可以看到清晰的多个文件和目录结构。
过程提示:Array①将合并后的文件,根据文件头标志,手动搜索,找到另一个文件头,手动分离。
查看分离后的2个文件是否能正常查看。
查找菜单,“搜索”-“查找十六进制数值”保存为2.docx,打开后看到之前写入的flag。
1.1实验案例使用winhex手动分离,找到flagdfg-05D1.jpgdfg-05D2.jpg2.1实验案例①新建一个word文档,写下flag。
②找一张图片,用winhex打开,③新建一个word文档,写下flag,并保存,④用winhex打开此word文档,将word文档的二进制流复制到图片文件的尾部⑤使用图片查看器观察是否能正常浏览。
⑥使用binwalk工具扫描,然后分离,看是否能成功分离。
也可以使用copy命令,linux cat命令进行合并。
使用binwalk扫描,得知文档类型根据类型,使用dd从指定字节处分离出文件。
谢谢观看计算机。
winhex教程
winhex教程WinHex是一款功能强大的十六进制编辑器,主要用于处理二进制文件和磁盘。
它可以帮助用户查看和编辑十六进制数据,分析磁盘、文件系统和媒体等问题。
下面是一个简单的WinHex教程。
首先,下载和安装WinHex软件。
你可以从官方网站或其他可信的源下载WinHex的安装包。
下载完后,双击打开安装包并按照指示进行安装。
启动WinHex软件后,你会看到一个初始界面。
在菜单栏上,你可以看到一系列选项和功能。
现在,我们将介绍一些基本的操作:1. 打开文件:点击“文件”菜单,选择“打开”选项。
然后,浏览到你想要打开的文件,选择它并点击“确定”按钮。
这样,你就可以在WinHex中查看这个文件的十六进制数据了。
2. 编辑数据:在WinHex中,你可以直接在编辑窗口中修改数据。
选中你想要修改的字节或字节块,然后用键盘上的相应键输入新的数值。
当你完成修改后,记得保存你的更改。
3. 查找和替换:点击“搜索”菜单,选择“查找和替换”选项。
在弹出的对话框中,输入你要查找的十六进制值或文本,并选择搜索的模式(十六进制、文本等)。
你还可以选择是否只在选定区域内搜索,以及是否区分大小写等选项。
4. 分析文件:WinHex还可以帮助你分析文件的结构和特征。
通过点击“工具”菜单,你可以访问各种工具,如磁盘分析工具、文件浏览器和文件恢复工具等。
这些工具可以帮助你深入了解文件的组成和特点,并帮助你解决问题。
5. 导出数据:如果你想将WinHex中的数据导出到其他程序中使用,可以点击“文件”菜单,选择“导出”的选项。
在弹出的对话框中,选择数据导出的格式和目标路径,然后点击“确定”按钮。
以上就是一个简单的WinHex教程,介绍了一些基本的操作和功能。
WinHex拥有众多高级功能,如数据恢复、数据分析和数据安全等,可以帮助用户处理复杂的二进制数据和磁盘问题。
希望这篇教程能对你有所帮助。
winhex教程WinHex是一款十六进制编辑器和磁盘编辑器,它带有许多高级
winhex教程WinHex是一款十六进制编辑器和磁盘编辑器,它带有许多高级WinHex是一款十六进制编辑器和磁盘编辑器,它带有许多高级功能,也被广泛应用于数字证据分析、数据恢复和计算机取证等领域。
一些WinHex的基本使用教程:1. 打开文件:打开WinHex软件,选择File > Open,选择需要编辑的文件。
2. 显示文件内容:在菜单栏中,选择View > Data,即可显示文件内容。
可以在十六进制视图和ASCII视图之间切换。
3. 编辑文件:WinHex可以进行磁盘和文件的编辑和修复。
在编辑之前,可以选择Protect or Read-Only Mode以防止意外更改。
在编辑时,可以通过Insert特定字符、Overwrite字符以及Pasting ASCII or Unicode文本等方式进行文件修改,改动后可以选择Save选项。
4. 查找和替换:可以选择Search&Replace菜单项,然后输入搜索词并选择选项,如IgnoreCase、Whole Words Only等等。
可以通过Replace All/Replace One进行替换操作。
5. 分析文件:WinHex提供了许多分析文件的工具,如查找ASCII 串、统计字符、计算哈希值、数据恢复等等功能。
这些可以通过菜单栏的Analyze选项实现。
6. 磁盘操作:WinHex可以对磁盘进行读取、写入和恢复等操作。
在菜单栏中,选择Extras > Disk Tools,即可进行各种磁盘操作。
以上是WinHex的基本使用方法,需要注意的是,WinHex是一款功能强大的软件,需要谨慎使用防止意外操作。
同时,建议在使用前先阅读其使用手册,掌握更多信息。
WinHex使用教程
一、Winhex的使用二、用Winhex打开要修改的文件,显示如下界面:任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的,Winhex便是将这些文件以二进制形式打开。
不过显示的时候是十六进制,一位十六进制相当于四位二进制,两位十六进制相当于八位二进制即一个字节,每个字节即对应一个地址。
左边那一列是行标,上边那一行是列标,行标和列标便组成了地址。
如6BFA3003这个地址,其行标便是6BFA3000,列标为3。
想要修改数值,直接键盘输入即可。
一个基本常识:对于有多位的十六进制数值而言,存储方式是低位在前,高位在后。
如6e731f这么个值,存储方式便是1f 73 6e。
既然显示十六进制,那么自然存在一个十六进制和日常使用的十进制转化的问题。
通常可以靠Windows的计算器来完成,点击Winhex工具栏的图标即可打开。
在计算器的查看菜单里选择“科学型”,便有进制转换的功能。
其实Winhex自带的数据解释器也可以实现进制转换。
(看不到数据解释器的,单击视图——显示——数据解释器)把光标定在某一地址,数据解释器里便能显示对应的十进制数值。
在数据解释器里输入十进制值然后按回车,则那个地址的数值就会被改写成对应的十六进制。
在“选项——数据解释器”里还能对数据解释器的显示内容作设置,比如翻译无符号数、浮点数等,这个有兴趣的自己试试。
地址定位靠行标和列标来定位地址显然是愚蠢废力的。
Winhex的工具栏上有个图标,点击显示如下界面:此时直接在“新位置”里输入地址便可完成定位。
也可以定位相对地址。
比如此时位置在某ATK首地址,要往上移1000h到达MOV首地址,那么在“新位置”里输入1000,“相对于”选择“当前位置(P)(返回至)”就行了。
同理,到了MOV首地址后又要往下移960h到达一方地址,则可以在“新位置”里输入960,“相对于”选择“当前位置(C)”。
“位置”菜单里还有个很实用的功能:标记位置和转到标记,快捷键分别是Ctri+I和Ctrl+K。
winhex比较详细的图文使用教程
winhex⽐较详细的图⽂使⽤教程下⾯我们就来模仿分区表被病毒破坏的情况,将MBR全部填零。
我们⾸先将MBR所在的扇区选中。
⿏标指向第⼀个字节,单击右键,选择“选块开始”然后⿏标指向MBR的最后⼀个字节,单击右键,选择“选块结尾”然后我们在选区内部单击⿏标右键,选择“编辑”这样就有出来⼀个菜单然后我们选“填充选块”,这样就出来⼀个填充选块对话框在“⽤⼗六进制填充”的输⼊框中输⼊“00”,再点“确定”这样MBR所在扇区全部被我们填充为“00”如果想取消选区,那就⽤⿏标拖动随便选中⼀块区域,那么原来的选区就会取消。
注意,如果扇区数据被修改了⽽没有存盘就会变为别的颜⾊。
修改了扇区,这时候还没有存盘⽣效,如果你想存盘⽣效的话,就选择“⽂件”菜单“保存扇区”命令。
这时候就会出现⼀个提⽰,如果你不想存盘了就点取消,如果想存盘,就点确定,再点是。
好,这样就存盘了,扇区被修改的数据⼜变为⿊⾊。
这样我们就把分区表给删除了,这时候必须重新启动才能⽣效,如果你打开我的电脑,会发现三个分区(F 、G、 H)还在那⾥,并且⾥⾯的数据还能正常使⽤。
现在,我们关闭所有程序将电脑重新启动……经过不长时间的等待,电脑启动起来了,我们打开我的电脑看看,发现F 、G 、H三个分区不见了。
再打开Winhex发现MBR全部为零了,下⾯我们就着⼿开始⼿⼯恢复分区表⾸先恢复引导代码,这最简单了,只要⽤Winhex到别的系统盘把引导代码复制过来就⾏了。
我现在的机器上不是挂着两个硬盘吗?⼀个迈拓2G,⼀个西数40G,西数40G是我的系统盘,那就从这个盘上复制就⾏了。
单击“磁盘编辑器”按钮出现“编辑磁盘”对话框选择“HD0 WDC WD400EB---00CPF0”,点“确定”这样我们就把系统盘的分区表给打开了,注意,现在我们是打开了两个窗⼝,当前的窗⼝是“硬盘0”,在标题栏上有显⽰。
另外,打开窗⼝菜单也能看出来,当前窗⼝被打上⼀个勾,如果想切换回原来的窗⼝,就点击“硬盘1”。
超全WinHex教程
本教程是作者困惑的浪漫(高志鹏)耗费大量心血原创,拥有完全的著作权和知识产权,任何人未经同意不得擅自转载、抄录、或用于营利目的。
WINHEX 启动中心已经可以大致反映出它的强大功能,正上方有Open File、Open Disk、Open RAM、Open Folder 四个控件,可以对文件、磁盘、内存、文件夹进行十六机制或文字编码的编辑工作。
WINHEX 支持除加密文件外的所有已知文件格式,可以静态地编辑文件中的任意字节,改变文件结构,跟踪文件各部分在处理器中的协调过程和状态,或是对文件内容进行不可逆转的擦除工作。
WINHEX 支持除非标准硬盘(每扇区不是512 字节的特殊硬盘,一般为光纤接口)外的所有介质,可以静态地改变磁盘数据的排列、状态、属性等。
可以改变除ECC 区外任意扇区任意字节的内容。
WINHEX 还提供高访问级别的内存编辑功能,可以对当前操作系统进程进行在线、动态地编辑工作,可以更改内存变量在磁盘保留区的映射值。
WINHEX 可以对文件夹内部所有指定文件进行动态、同步的比较和集体修改工作。
从Recently opened 中可以看出WINHEX 对以往操作工程的智能记忆,Case/Projects 则为用户有选择地保留操作成果提供便利条件。
Scripts 是一个类似于流水程序模型的批处理脚本编辑系统,可以调用WINHEX 已经开发并集成的各种函数指令进行编程工作(已经有三个实验脚本),指令将不折不扣地按先后顺序依次执行,以后篇章中我们将详细介绍。
选择任意硬盘双击展开,我们就可以看到 WINHEX 的主编辑窗口,最上方的WINDOWS窗体显示当前任务对象为Hard disk 1,接下来是菜单栏,集成了文件操作、编辑、搜索查找、方位、视图、工具、特殊工具、设置、窗口和帮助等十大主菜单。
菜单栏下方为工具栏,提供了WINHEX 操作中使用率很高的各种功能键,依次是创建新文件、打开文件、保存文件、打印、文件属性、打开文件夹、撤消操作、拷贝扇区、剪切板操作、数据转换、修改数据、查找文本、查找16 进制编码、替换文本、替换16 进制编码、同步查找、转到偏移量、转到扇区、光标向回移动、光标向前移动、打开磁盘、复制磁盘、编辑内存、调用计算器、数据图像化分析、HEX 区减少一列、HEX 区增加一列、文件系统快照和目录浏览器选项、帮助调用等。
winhex教程(下)
然后在选区中单击鼠标右键,选“编辑”又出来一个菜单,然后我们选“复制选块”——“正常”然后我们切换回硬盘1窗口,在零扇区的第一个字节处单击鼠标右键,选“编辑”然后选“剪贴板数据”——“写入……”出现一个窗口提示,点“确定”这样,我们就把一个正常系统盘上的引导代码复制过来了。
下面,我们就开始恢复分区表(共64个字节,分为4个分区表项,每个分区表项占用16个字节,一般只使用前两个分区表项),我们首先来恢复第一个分区标项(也就是用来描述C盘的)。
首先,在第1个字节处(0扇区倒数第五行,倒数第二个字节)填上分区引导标志,因为C盘是活动分区,所以填上80。
接着是第2、3、4字节(本分区起始磁头号、扇区号、柱面号),填上:01 01 00。
第5字节是分区类型符,因为原先C盘是Fat32格式,所以填上:0B。
那么,如果你不知道C盘是什么格式怎么办呢?你会说问问客户呀,那么如果他也不知道呢?别着急,后面在说恢复DBR的时候我会教你怎么分辨分区的格式。
第6、7、8字节是本分区的结束磁头号、扇区号、柱面号,这怎么知道呢?别着急,现在的磁盘都是按照LBA方式寻址,并不按照C/H/S(及柱面、磁头、扇区)方式寻址,所以这个地方你填些什么一般关系不大,但是我要告诉你有一个通用的填法,那就是:FE FF FF。
第9、10、11、12字节,本分区之前已用了的扇区数,也就是MBR所占用的扇区数,那不是63吗?对,但是要将63转为十六进制数,再反过来倒着填写上。
还记得怎么用计算器吗?将63转为十六进制数是3F,不够四个字节前面加零,也就是00 00 00 3F,再将此数从右向左依次序反过来就是3F 00 00 00。
第13、14、15、16字节是本分区的总扇区数,也就是C盘的大小,这就要通过稍微一点点计算来得到了。
因为C盘是从第63个扇区开始,而C盘后面紧接着的是EBR,所以用EBR所在的第一个扇区数减去63就是C盘的大小。
那么如何才能找到EBR所在的第一个扇区呢?我们前面说过,EBR的结构和MBR是一样的,所以,EBR的结束标志也一定是55AA,那么,只要我们找到这个结束标志,再看看这个扇区是不是EBR不就行了?单击“搜索”——“查找十六进制数值……”,然后出来一个对话框在文本框中输入“55AA”,搜索框中选“全部”,然后选中“条件”,把偏移量设置为“512=510”。
winhex转换uuencode编码
winhex转换uuencode编码一、简介WinHex是一款强大的文件编辑器和磁盘工具,它提供了丰富的功能,包括对文件和数据的处理。
在处理需要加密或编码的数据时,UUencode编码是一种常用的方法。
本篇文章将介绍如何使用WinHex转换UUencode编码。
二、UUencode编码简介UUencode是一种基于文本的编码方法,它将文本数据转换为一种特殊格式的二进制数据。
这种编码方法可以将大量的文本数据压缩到较小的空间中,同时保持数据的可读性。
在需要保密或压缩数据的情况下,UUencode编码是一种常用的方法。
1. 打开WinHex应用程序,并打开需要转换的原始文件。
2. 在WinHex中,选择“文件”菜单,然后选择“UUencode”。
这将启动UUencode编码器。
3. 在UUencode编码器中,输入需要编码的数据,并选择输出文件的路径和名称。
4. 点击“开始”按钮,开始进行UUencode编码。
5. 完成编码后,打开输出文件,即可查看已转换为二进制数据的原始数据。
1. 打开WinHex应用程序,并打开需要解密的UUencode编码文件。
2. 在WinHex中,选择“文件”菜单,然后选择“UUdecode”。
这将启动UUdecode解码器。
3. 等待WinHex完成解码过程,即可查看原始数据。
五、注意事项1. 在进行UUencode或UUdecode操作时,请确保输入的数据是正确的,否则可能会导致数据丢失或损坏。
2. 在进行编码和解码操作时,请务必备份原始数据,以防意外情况发生。
3. 请根据实际需求选择合适的编码方法,以确保数据的安全性和可靠性。
总结:使用WinHex转换UUencode编码是一个简单而实用的方法,可以帮助您处理需要加密或压缩的数据。
通过了解UUencode编码的基本概念和WinHex的转换步骤,您可以轻松地进行数据转换和处理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
winhex使用教程WinHex教程WinHexWinHex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如电烙Pc3000,铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:(数据恢复首选软件)WinHex我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘 EBR D盘 EBR E盘,即主引导纪录,位于整个硬盘的柱面磁道扇区,共占用了个扇区,但实MBR00163际只使用了个扇区(字节)。
在总共字节的主引导记录中,又可分为三部分:1512512MBR第一部分:引导代码,占用了个字节;第二部分:分区表,占用了字节;第三部分:446645,结束标志,占用了两个字节。
后面我们要说的用软件来恢复误分区,主要就是恢5AAWinHex复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
如果要恢复引导代码,可以用下的命令:;这个命令只是用来恢复引导代码,不会DOSFDISK /MBR引起分区改变,丢失数据。
另外,也可以用工具软件,比如、等。
DISKGENWINHEX但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。
是很多病毒喜欢破坏的区域。
,也叫做扩展()。
因为主引导记录最多只能描述个分EBRMBRExtended MBRMBR4区项,如果想要在一个硬盘上分多于个区,就要采用扩展的办法。
4MBR 、是分区产生的。
MBREBR比如和各都占用个扇区,盘占用个扇区那么数据结构如下MBREBR63C1435329……表:63 1435329 63 1435329 63 1253889 MBR C盘 EBR D盘 EBR E盘扩展分区而每一个分区又由、、、、部分组成:比如盘的数据结构:DBRFAT1FAT2DIRDATA5CC 盘DBR FAT1 FAT2 DIR DATAWinHex是使用最多的一款工具软件,是在下运行的十六进制编辑软件,此软件WinHexWindows功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装,安装完了就可以启动了,启动画面如下:首先出现的是启WinHexWinHex动中心对话框。
这里我们要对磁盘进行操作,就选择打开磁盘,出现编辑磁盘对话框:“”“”在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,是我现在HD0正用的西部数据系统盘,是我们要分析的硬盘,迈拓。
这里我们就选择打开40GHD12GHD1整个硬盘,再点确定然后我们就看到了的整个工作界面。
.WinHex最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的码,右边是详细资源面板,分为五ASCII个部分:状态、容量、当前位置、窗口情况和剪贴板情况。
这些情况对把握整个硬盘的情况非常有帮助。
另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。
(如果关闭了资源面板可以通过察看菜单显示命令详细资源面板来打开)。
“”——“”——“” 最下面一栏是非常有用的辅助信息,如当前扇区总扇区数目等/……向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如。
00下面我们来分析一下,因为前面我们说过,前个字节为引导代码,对我们来说MBR446没有意义,这里我们只分析分区表中的个字节。
64分区表个字节,一共可以描述个分区表项,每一个分区表项可以描述一个主分区或644一个扩展分区(比如上面的分区表,第一个分区表项描述主分区盘,第二个分区表项描述扩C展分区,第三第四个分区表项填零未用)每一个分区表项各占个字节,各字节含义如下:(表示进制)16H16字节位置内容及含义第1字节引导标志。
若值为80H表示活动分区;若值为00H表示非活动分区。
第2、3、4字本分区的起始磁头号、扇区号、柱面号节第5字节分区类型符:00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区05H——扩展分区07H——NTFS分区0FH——(LBA模式)扩展分区83H—— Linux分区第6、7、8字本分区的结束磁头号、扇区号、柱面号节第9、10、11、本分区之前已用了的扇区数12字节第13、14、15、本分区的总扇区数16字节此硬盘的第一分区表(即)分析如下:MBR第一个分区表项(盘)C第字节:表示此分区为活动分区;180第字节:表示分区类型为;50BFat32第、、、字节系统隐含扇区:所谓系统隐含扇区就是本分区(9101112 3F 00 00 00C盘)之前已用了的扇区数,这是一个十六进制数,但要注意:真正的隐含扇区数应该反过来填写(比如:隐含扇区数为,则反过来就是,这才是实际的隐含扇区3E 4D 5A6F6F 5A 4D 3E数)。
那么,反过来写就是,也就是,将他转成十进制数我们才3F 00 00 0000 00 003F3F能知道实际的隐含扇区数是多大。
这可以使用计算器来算,单击工具栏上的计算器按钮,如下“”图:这样就启动了计算器计算器有两种型号,我们要进行进制转换,就要选择科学型“”比如我们要将十六进制转换为十进制,就要先选中十六进制,然后输入3F“”3F再选中十进制,十六进制转为十进制等于。
想一想我们前面所讲的,占用“”3F63MBR6个扇区,也就是盘之前已用了的扇区数为,第个扇区就是盘的第一个扇区,但要3C6364C注意的是,整个硬盘的地址是从零开始的,的扇区为。
LBA0~62MBR第、、、字节本分区总扇区数当然,这也就是盘的大小:,13141516(C)C1 E6 15 00同样,实际的十六进制数也要反过来才对,也就是,将它转换成十六进制数是00 15 E6 C11。
给你出个题,你知道盘的在哪个扇区吗?我们一起来算一下,还记得前面数435329DEBR据结构那个表吗?盘后面不就是盘的吗?盘的第一个扇区盘的大小,CDEBRDEBR=MBR+C也就是。
63+1435329=1435392我们来看看对不对,单击工具栏上的转到扇区按钮,出现一个转到扇区对话框“”“”然后输入,再点确定,就到了扇区了(你可以使用它再转回到扇区)1435392“”14353920这个就是盘的,也就是盘的分区表了,怎么知道的呢?因为和的结DEBRDMBREBR构是完全一样的,都是占用了个扇区,但只用了第一个扇区,其余个扇区填零不用。
第6362一个扇区前个字节都为引导代码,后个字节为分区表,最后个字节为结束标志。
44664255AA因为不是活动分区,不需要引导代码,所以前个字节为零。
EBR446还有另一种方法直接找到盘的,单击访问下拉按钮分区二分区表,DEBR“”——“”——“”直接就到扇区1435392.这样,分区表中的第一个分区表项共十六个字节分析完毕,下面我们再来看看第二个分区表项(扩展分区)。
第字节:表示非活动分区 100第字节:表示扩展分区 505第、、、字节:本分区之前的扇区数(扩展分区前面也就是和 910111200 E7 15 00MBRC盘,好像我们前面算过这个数?)同样,先将它反过来,就是,再转为十进制是00 15 E7 00,看来我们前面真的算过这个数。
1435392第、、、字节:本分区的总扇区数。
也就是扩展分区的总扇区数。
1314151640 09 29 00转为十进制应该是。
想一想,用这个数加上前面的,不正好是整个硬盘的总26893441435392扇区数吗?4124736这样,如果分区表被破坏,我们只要把这些数值都计算出来并填上,分区表不就恢复了?那么,这里我们为什么不分析第、、字节(本分区的起始磁头号、扇区号、柱面号)和第、2346、字节(本分区的结束磁头号、扇区号、柱面号)呢?这是因为柱面磁头扇区是老78C/H/S(//)式硬盘的寻址方式,这种寻址方式来管理硬盘效率很低;而现在几乎所有的硬盘都支持全LBA(称是,即扇区的逻辑块地址寻址方式,这种管理方式简单高效。
在Logic Block Address)LBA方式下,系统把所有的物理扇区都统一编号,按照从零到某个最大值排列,这样只用一个序数就确定了一个唯一的物理扇区。
小知识:具体一个硬盘有多少个扇区不需要我们去记忆,因为用各种工具软件(如 LBA()Mhdd等)都可以检测到。
我们只要知道个大概就行了:如的硬盘大概有万个扇WINHEX10G2000区;的硬盘大概有万个扇区;的硬盘大概有万个扇区那么,的硬20G400040G8000……2G盘大概有万个扇区。
400那么,你可能要问了:如果要恢复分区表,这个起始磁头号、扇区号、柱面号还有结束磁头号、扇区号、柱面号应该怎么填呢?简单得很,在后面恢复分区表的时候我会告诉你,直接填,都不用计算。
还有兴趣来分析一下盘的吗?DEBR其实盘的和E盘的我们不分析也罢,因为无非也是分区表,跟的结构是一DEBREBRMBR样的,但却很容易把我们绕晕,又因为一般不容易被破坏,所以我不建议分析。
EBREBR 但如果你一定要分析,那就分析吧。
单击访问下拉按钮分区二分区表,直接就到扇区,即盘的分区表“”——“”——“”1435392DEB。
R第一个分区表项(盘):D第个字节:表示非活动分区 100第个字节:表示分区 506FAT16第、、、字节:本分区之前已用了的扇区数,也就是的数目, 91011123F 00 00 00EBR63个。