具體來說,WinHex是(shi)一款以通用(yong)的(de) 16 進制(zhi)編(bian)輯器為核心,專門(men)用(yong)來對付(fu)計算(suan)機取證、數(shu)據恢復、低(di)級數(shu)據處理(li)、以及 IT 安全(quan)性(xing)、各(ge)種日(ri)常緊急情況的(de)高級工具:用(yong)來檢查和(he)修復各(ge)種文件(jian)、恢復刪除文件(jian)、硬(ying)盤損(sun)壞、數(shu)碼相(xiang)機卡(ka)損(sun)壞造成(cheng)的(de)數(shu)據丟失等。功能包括(依照授權類型(xing)):
* 查(cha)看,編輯(ji)和修復磁盤(pan)(pan)(pan),可用于硬(ying)盤(pan)(pan)(pan),軟盤(pan)(pan)(pan),以及(ji)許(xu)多其它(ta)可存儲介質類型(xing)。
*支持 FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3, CDFS, UDF
* 內置(zhi)RAID和動(dong)態磁盤分析(xi)器
* RAM 編(bian)輯(ji)器,可(ke)直接(jie)查看/編(bian)輯(ji)被調試(shi)程(cheng)序的虛擬內(nei)存
* 數據解釋器,精通 20 種數據類型
* 使用模板編輯數據結構
* 連接,分(fen)割,合(he)并,分(fen)析和比較文件
* 智能搜索(suo)和替換功(gong)能,進行替換時,如(ru)果(guo)替換字符大于或小于原始字符時可進行選擇(ze)性操作
* 不同驅(qu)動(dong)器克隆以及驅(qu)動(dong)器鏡像(xiang)解釋
* 腳本和應用程(cheng)序接口(API)
* 用于(yu)文件和(he)磁(ci)盤的(de)成熟的(de)撤消和(he)備份機制
* 加密和解密數據,Hash計算(校驗(yan)和,CRC32,MD5,SHA-1,...)
* 粉碎文件和磁(ci)盤數據,粉碎后的文件和磁(ci)盤數據任何人都(dou)不可能進(jin)行恢復
* 支持(chi)所有剪(jian)貼板格(ge)式的導入
* 數據格(ge)式轉換(huan),支持二(er)進(jin)(jin)制,16 進(jin)(jin)制 ASCII,Intel 16 進(jin)(jin)制,及(ji) Motorola-S 等數據之間的相(xiang)互轉換(huan);
* 隱藏(zang)數(shu)據和查找隱藏(zang)數(shu)據
*支(zhi)持打開超過(guo)4GB的文件(jian),而(er)且速(su)度很快
* 用于計算機進程的眾多顯著有效的高級功能
在(zai)Winhex中集成了(le)(le)強大的(de)(de)工(gong)(gong)具,包括磁盤(pan)編(bian)輯器,Hex轉(zhuan)換器和(he)RAM編(bian)輯工(gong)(gong)具,并能夠(gou)方便的(de)(de)調用系統(tong)常用工(gong)(gong)具如:計算(suan)器,記(ji)事本,瀏覽(lan)器等。在(zai)未(wei)登(deng)記(ji)注冊的(de)(de)版本中,可(ke)(ke)以編(bian)輯,但不(bu)能保存大小超過512K的(de)(de)文(wen)件且只能瀏覽(lan)而不(bu)能修改編(bian)輯RAM區域。按F8,彈出(chu)十(shi)六(liu)進(jin)(jin)制(zhi)(zhi)和(he)十(shi)進(jin)(jin)制(zhi)(zhi)轉(zhuan)換器,左邊(bian)(bian)欄(lan)顯(xian)(xian)示十(shi)六(liu)進(jin)(jin)制(zhi)(zhi)數(shu)字,右(you)邊(bian)(bian)欄(lan)顯(xian)(xian)示十(shi)進(jin)(jin)制(zhi)(zhi)數(shu)字。如果你在(zai)左邊(bian)(bian)輸入十(shi)六(liu)進(jin)(jin)制(zhi)(zhi)數(shu),按Enter其十(shi)進(jin)(jin)制(zhi)(zhi)結果就出(chu)現在(zai)右(you)邊(bian)(bian)的(de)(de)矩形框中了(le)(le),反之亦然。如果你按組合鍵Alt+F8,可(ke)(ke)調用系統(tong)計算(suan)器。
Winhex使(shi)用簡單,功能強大,可以方(fang)便你程序的調試、文本編輯(ji)、科學計算和系統管理(li),相(xiang)信你會喜歡的。如(ru)果你想(xiang)刪(shan)除Winhex軟件,簡單,把整(zheng)個目錄干掉就行了
在DOS時代,我們(men)編輯(ji)(ji)文件(jian)(jian)代碼用(yong)的一(yi)般都是(shi)PCTOOLS5.0,可是(shi)自從(cong)FAT32出現以來,PCTOOLS5.0不(bu)能(neng)用(yong)了,就很少優秀的文件(jian)(jian)編輯(ji)(ji)器(qi)出現過,不(bu)過現在筆者向大(da)家(jia)介紹的這一(yi)款winhex可以說是(shi)繼前者之后的最優秀的文件(jian)(jian)編輯(ji)(ji)器(qi)了。
作為(wei)一個16進制文(wen)件(jian)編輯(ji)(ji)(ji)(ji)與(yu)磁盤編輯(ji)(ji)(ji)(ji)軟(ruan)件(jian)。WinHex以(yi)文(wen)件(jian)小、速度(du)快,功(gong)能強大而著稱,連ZDNetSoftwareLibrary也給(gei)了他5星的(de)最(zui)高(gao)評價(jia)。它可(ke)以(yi)勝任Hex和(he)ASCII碼編輯(ji)(ji)(ji)(ji)修改,多文(wen)件(jian)尋(xun)替換功(gong)能,一般運算及邏(luo)輯(ji)(ji)(ji)(ji)運算,磁盤磁區編輯(ji)(ji)(ji)(ji)(支持FAT16、FAT32和(he)NTFS)自(zi)動搜(sou)尋(xun)編輯(ji)(ji)(ji)(ji),文(wen)件(jian)比對和(he)分析,編輯(ji)(ji)(ji)(ji)內存里面的(de)資料等功(gong)能.
首先我們(men)(men)到這(zhe)里去(qu)下(xia)載一(yi)個814KB大(da)小的中文漢(han)化版(ban)本(ben)的WINHEX,漢(han)化版(ban)本(ben)更加容易使用嘛,值得一(yi)提的是(shi)WINHEX是(shi)免(mian)費軟件,你可以(yi)在(zai)所有(you)的WINDOWS平臺上面(mian)運行。安(an)裝過程非常簡單,成功安(an)裝之(zhi)后,程序(xu)圖標(biao)就會(hui)出(chu)現(xian)在(zai)“開始→程序(xu)”菜單和桌面(mian)上。其界面(mian)由標(biao)題欄、工具欄、菜單欄、圖片瀏覽區(qu)和狀態欄組(zu)成。下(xia)面(mian)我們(men)(men)來簡要介紹一(yi)下(xia):
◇功(gong)(gong)(gong)能(neng)(neng)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan):WINHEX的(de)(de)(de)(de)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)欄由八個菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)組(zu)成(cheng),分別是(shi):文(wen)件(jian)、編輯、查(cha)找、位(wei)置、工(gong)(gong)具(ju)(ju)(ju)(ju)、選(xuan)項(xiang)(xiang)、文(wen)件(jian)管理器(qi)、窗口和(he)幫(bang)助。所(suo)有(you)的(de)(de)(de)(de)功(gong)(gong)(gong)能(neng)(neng)都已經(jing)包含在(zai)(zai)里(li)(li)(li)(li)面(mian)(mian)了。在(zai)(zai)文(wen)件(jian)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)(li)(li)面(mian)(mian)包含的(de)(de)(de)(de)是(shi)新(xin)建、打(da)開(kai)文(wen)件(jian)和(he)保存以及(ji)退(tui)出命令(ling),另外(wai)還有(you)備份(fen)(fen)管理、創建備份(fen)(fen)和(he)載入備份(fen)(fen)功(gong)(gong)(gong)能(neng)(neng)。在(zai)(zai)編輯菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)(li)(li)面(mian)(mian)除(chu)了復(fu)制(zhi)(zhi)(zhi)粘貼之類(lei)的(de)(de)(de)(de)常見命令(ling)之外(wai)還有(you)對(dui)數(shu)(shu)據(ju)(ju)格(ge)式進(jin)(jin)行轉(zhuan)換(huan)和(he)修改的(de)(de)(de)(de)功(gong)(gong)(gong)能(neng)(neng)。查(cha)找功(gong)(gong)(gong)能(neng)(neng)是(shi)方便您在(zai)(zai)文(wen)件(jian)里(li)(li)(li)(li)面(mian)(mian)查(cha)找特定(ding)(ding)的(de)(de)(de)(de)文(wen)本(ben)內容或(huo)者(zhe)是(shi)十(shi)(shi)六進(jin)(jin)制(zhi)(zhi)(zhi)代碼的(de)(de)(de)(de),支持整(zheng)數(shu)(shu)值(zhi)(zhi)(zhi)和(he)浮點數(shu)(shu)值(zhi)(zhi)(zhi)。位(wei)置菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)(li)(li)面(mian)(mian)的(de)(de)(de)(de)命令(ling)就(jiu)是(shi)讓你在(zai)(zai)編輯大體(ti)積的(de)(de)(de)(de)文(wen)件(jian)的(de)(de)(de)(de)時候(hou)能(neng)(neng)夠方便地進(jin)(jin)行定(ding)(ding)位(wei),你可以根據(ju)(ju)其(qi)中的(de)(de)(de)(de)偏(pian)移地址或(huo)者(zhe)是(shi)區(qu)(qu)塊(kuai)的(de)(de)(de)(de)位(wei)置來快速定(ding)(ding)位(wei)。工(gong)(gong)具(ju)(ju)(ju)(ju)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)(li)(li)面(mian)(mian)包括的(de)(de)(de)(de)都是(shi)一些十(shi)(shi)分實用的(de)(de)(de)(de)功(gong)(gong)(gong)能(neng)(neng),譬(pi)如磁盤(pan)編輯工(gong)(gong)具(ju)(ju)(ju)(ju)(類(lei)似(si)PCTOOLS里(li)(li)(li)(li)面(mian)(mian)的(de)(de)(de)(de)DISKEDIT)、文(wen)本(ben)編輯工(gong)(gong)具(ju)(ju)(ju)(ju)(類(lei)似(si)記事本(ben))、計算器(qi)、模板管理工(gong)(gong)具(ju)(ju)(ju)(ju)和(he)十(shi)(shi)進(jin)(jin)制(zhi)(zhi)(zhi)、十(shi)(shi)六進(jin)(jin)制(zhi)(zhi)(zhi)轉(zhuan)換(huan)器(qi)等(deng)(deng)等(deng)(deng)。如果你要(yao)對(dui)WINHEX的(de)(de)(de)(de)功(gong)(gong)(gong)能(neng)(neng)進(jin)(jin)行設(she)置,那么就(jiu)必須(xu)進(jin)(jin)入選(xuan)項(xiang)(xiang)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)了,里(li)(li)(li)(li)面(mian)(mian)除(chu)了常規選(xuan)項(xiang)(xiang)的(de)(de)(de)(de)設(she)置,還有(you)安全性設(she)置和(he)還原選(xuan)項(xiang)(xiang)設(she)置。在(zai)(zai)文(wen)件(jian)管理菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)中,你可以對(dui)文(wen)件(jian)進(jin)(jin)行分割(ge)、比較(jiao)、復(fu)制(zhi)(zhi)(zhi)和(he)剖(pou)析(xi),功(gong)(gong)(gong)能(neng)(neng)十(shi)(shi)分強大。“工(gong)(gong)具(ju)(ju)(ju)(ju)”選(xuan)項(xiang)(xiang)里(li)(li)(li)(li)面(mian)(mian)包含的(de)(de)(de)(de)是(shi)文(wen)件(jian)新(xin)建、打(da)開(kai)、保存、打(da)印、屬性工(gong)(gong)具(ju)(ju)(ju)(ju);剪切、粘貼和(he)復(fu)制(zhi)(zhi)(zhi)編輯工(gong)(gong)具(ju)(ju)(ju)(ju);查(cha)找文(wen)本(ben)和(he)Hex值(zhi)(zhi)(zhi),替(ti)換(huan)文(wen)本(ben)和(he)Hex值(zhi)(zhi)(zhi);文(wen)件(jian)定(ding)(ding)位(wei)工(gong)(gong)具(ju)(ju)(ju)(ju)、RAM編輯器(qi)、計算器(qi)、區(qu)(qu)塊(kuai)分析(xi)和(he)磁盤(pan)編輯工(gong)(gong)具(ju)(ju)(ju)(ju)等(deng)(deng)等(deng)(deng)。這些功(gong)(gong)(gong)能(neng)(neng)除(chu)了在(zai)(zai)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)(li)(li)面(mian)(mian)進(jin)(jin)行選(xuan)擇(ze)之外(wai),還可以通過菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)下面(mian)(mian)的(de)(de)(de)(de)一列快捷(jie)按鈕(niu)來執行。
◇在(zai)使用Winhex時(shi)首先打(da)開一(yi)個需要處(chu)理(li)的(de)(de)文件(jian),窗口中顯示(shi)十(shi)六進(jin)制(zhi)HEX格(ge)式的(de)(de)數值和(he)地址。在(zai)旁邊(bian)的(de)(de)區域顯示(shi)文件(jian)名稱(cheng)、大小、創建時(shi)間、最后修改(gai)(gai)日期,窗口屬性以(yi)(yi)及相關(guan)信息。利用鼠標拖放功能你可(ke)(ke)(ke)以(yi)(yi)選擇一(yi)塊(kuai)數值進(jin)行(xing)修改(gai)(gai)編輯。按Ctrl+T,彈(dan)(dan)出數據修改(gai)(gai)對話(hua)框,選擇數據類型和(he)字節(jie)變換(huan)方(fang)式,可(ke)(ke)(ke)以(yi)(yi)方(fang)便的(de)(de)修改(gai)(gai)區塊(kuai)中的(de)(de)數據。執行(xing)文件(jian)菜(cai)單中的(de)(de)創建備(bei)(bei)(bei)(bei)份(fen)(fen)(fen)命(ming)令,彈(dan)(dan)出備(bei)(bei)(bei)(bei)份(fen)(fen)(fen)對話(hua)框,你可(ke)(ke)(ke)以(yi)(yi)指定備(bei)(bei)(bei)(bei)份(fen)(fen)(fen)的(de)(de)文件(jian)名和(he)路(lu)徑、備(bei)(bei)(bei)(bei)份(fen)(fen)(fen)說明,還可(ke)(ke)(ke)以(yi)(yi)選擇是(shi)否自(zi)動由備(bei)(bei)(bei)(bei)份(fen)(fen)(fen)管(guan)理(li)指定文件(jian)夾,是(shi)否保(bao)存檢查(cha)和(he)摘(zhai)要,是(shi)否壓縮備(bei)(bei)(bei)(bei)份(fen)(fen)(fen)和(he)加密備(bei)(bei)(bei)(bei)份(fen)(fen)(fen),這(zhe)樣你可(ke)(ke)(ke)以(yi)(yi)方(fang)便的(de)(de)將(jiang)你的(de)(de)文件(jian)進(jin)行(xing)備(bei)(bei)(bei)(bei)份(fen)(fen)(fen),下次(ci)執行(xing)文件(jian)菜(cai)單中的(de)(de)裝(zhuang)載備(bei)(bei)(bei)(bei)份(fen)(fen)(fen)就可(ke)(ke)(ke)以(yi)(yi)打(da)開備(bei)(bei)(bei)(bei)份(fen)(fen)(fen)文件(jian)了,十(shi)分方(fang)便
◇強(qiang)大(da)的(de)(de)(de)查找功(gong)能(neng)(neng):Winhex具有(you)強(qiang)大(da)的(de)(de)(de)查找搜(sou)(sou)(sou)索(suo)功(gong)能(neng)(neng),可(ke)以(yi)(yi)查找和替換文(wen)本或(huo)Hex值(zhi)。選(xuan)擇(ze)(ze)搜(sou)(sou)(sou)索(suo)菜單(dan)中(zhong)(zhong)的(de)(de)(de)聯合(he)搜(sou)(sou)(sou)索(suo)項,彈出(chu)搜(sou)(sou)(sou)索(suo)對話框,先輸入(ru)該文(wen)件要(yao)搜(sou)(sou)(sou)索(suo)的(de)(de)(de)十六進(jin)制值(zhi)選(xuan)擇(ze)(ze)通配符和搜(sou)(sou)(sou)索(suo)的(de)(de)(de)范圍就可(ke)以(yi)(yi)開始搜(sou)(sou)(sou)索(suo)了(le)。你(ni)(ni)可(ke)以(yi)(yi)選(xuan)擇(ze)(ze)在(zai)整個文(wen)件中(zhong)(zhong)搜(sou)(sou)(sou)索(suo),也可(ke)選(xuan)擇(ze)(ze)僅(jin)在(zai)區塊中(zhong)(zhong)進(jin)行有(you)條件的(de)(de)(de)搜(sou)(sou)(sou)索(suo)。而且在(zai)Winhex中(zhong)(zhong)可(ke)以(yi)(yi)方便(bian)的(de)(de)(de)進(jin)行定位(wei)操作,快(kuai)(kuai)速轉道(dao)新的(de)(de)(de)位(wei)置(zhi)(zhi)。執(zhi)行定位(wei)菜單(dan)中(zhong)(zhong)的(de)(de)(de)標(biao)記(ji)(ji)定位(wei)命(ming)令,或(huo)按Ctrl+L,將鼠(shu)標(biao)指(zhi)向需要(yao)定位(wei)的(de)(de)(de)位(wei)置(zhi)(zhi),就可(ke)以(yi)(yi)在(zai)當(dang)前鼠(shu)標(biao)所(suo)在(zai)的(de)(de)(de)位(wei)置(zhi)(zhi)作上標(biao)記(ji)(ji),不管你(ni)(ni)操作到什么(me)地方,按組合(he)鍵(jian)Ctrl+k,就可(ke)以(yi)(yi)返回到標(biao)記(ji)(ji)所(suo)在(zai)的(de)(de)(de)位(wei)置(zhi)(zhi)。執(zhi)行定位(wei)菜單(dan)中(zhong)(zhong)的(de)(de)(de)刪除(chu)標(biao)記(ji)(ji)命(ming)令,可(ke)以(yi)(yi)將所(suo)作的(de)(de)(de)標(biao)記(ji)(ji)刪除(chu)。除(chu)了(le)利用(yong)標(biao)記(ji)(ji)定位(wei)以(yi)(yi)外,你(ni)(ni)還(huan)可(ke)以(yi)(yi)方便(bian)的(de)(de)(de)轉到文(wen)件的(de)(de)(de)開始和結尾(wei)(wei),區塊的(de)(de)(de)開始和結尾(wei)(wei),行首和行尾(wei)(wei)以(yi)(yi)及頁首和頁尾(wei)(wei)。你(ni)(ni)可(ke)以(yi)(yi)自(zi)己試一(yi)試,相信(xin)你(ni)(ni)很快(kuai)(kuai)就知道(dao)了(le)。
◇Winhex集成了(le)(le)強大的(de)工具(ju)(ju),包括磁盤(pan)編(bian)(bian)輯器(qi),計算器(qi),Hex轉(zhuan)換器(qi)和RAM編(bian)(bian)輯工具(ju)(ju),使用(yong)十分方便。按F9,彈出磁盤(pan)編(bian)(bian)輯器(qi)對(dui)(dui)話框,首先選擇磁盤(pan)分區,然后(hou)按確(que)定按鈕就可以方便的(de)對(dui)(dui)磁盤(pan)的(de)空(kong)余空(kong)間進行清(qing)理。點擊工具(ju)(ju)欄中的(de)RAM編(bian)(bian)輯工具(ju)(ju)按鈕,彈出RAM編(bian)(bian)輯器(qi),選擇需要瀏覽或(huo)編(bian)(bian)輯修(xiu)改的(de)RAM區,選擇確(que)定就可以了(le)(le),RAM的(de)內(nei)容就顯示在主窗口了(le)(le)。
如果您在PCTOOLS之(zhi)后再也沒有碰到(dao)過稱心的十六進制編輯器(qi),那么我推薦你使用(yong)WINHEX。
功能包括:
- 硬(ying)盤(pan), 軟盤(pan), CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盤(pan)編輯(ji)器(qi)。
- 支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件(jian)系統。
- 支(zhi)持對磁(ci)(ci)盤陣(zhen)列 RAID 系統和(he)動態磁(ci)(ci)盤的重組、分析和(he)數據恢復。
- 多種數據(ju)恢復技術。
- 可分析 RAW 格式原(yuan)始數據鏡像文件中的完整目(mu)錄結(jie)構,支持分段保存的鏡像文件。
- 數據(ju)解釋器, 已知 20 種數據(ju)類型。
- 使用模板編(bian)輯數(shu)據結構 (例(li)如: 修復(fu)分區表/引導扇區)。
- 連接(jie)和(he)分割、以奇(qi)數偶數字(zi)節或(huo)字(zi)的方式合并、分解文件。
- 分析(xi)和(he)比較(jiao)文件。
- 搜索(suo)和(he)替換功能尤其靈活(huo)。
- 磁盤(pan)克隆 (可在 DOS 環(huan)境下(xia)使用 X-Ways Replica)。
- 驅(qu)動器鏡像和(he)備份 (可選壓縮(suo)或分割(ge)成 650 MB 的(de)檔案)。
- 程序接(jie)口 (API) 和腳本。
- 256 位 AES 加密, 校驗和, CRC32, 哈(ha)希算(suan)法 (MD5, SHA-1, ...)。
- 數據(ju)擦除功能,可徹(che)底清(qing)除存(cun)儲(chu)介(jie)質(zhi)中殘留數據(ju)。
- 可(ke)導入(ru)剪貼板所有格式數據, 包(bao)括 ASCII、16 進(jin)制(zhi)數據。
- 可進行 2 進制、16 進制 ASCII, Intel 16 進制, 和 Motorola S 轉換。
- 字符集(ji): ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)。
- 立(li)即(ji)窗口切換、打印、生成隨機(ji)數字(zi)。
- 支(zhi)持(chi)打開大于(yu) 4 GB 的文件,非常快速,容易使用(yong)。
- 廣泛的聯機幫(bang)助(zhu)。
WinHex 計算(suan)機(ji)法證版(ban)
X-Ways Forensics- 它能讓計算機上所有的位和字節(jie)都在您(nin)的指尖下變(bian)成現實(shi)。購買(mai)前可(ke)免費試用。
X-Ways Forensics 13.9 以后(hou)的(de)版本(ben)只有正式用戶才可下(xia)載 (下(xia)載地(di)址在購買后(hou)提供)。
特別注意
盡(jin)量不要解壓至中文(wen)名文(wen)件夾下,否(fou)則運行(xing)出錯(cuo)!
V16.8更新內容(rong):
WinHex可(ke)以(yi)用(yong)來檢查和修復各種文(wen)件(jian)、恢復刪除(chu)文(wen)件(jian)、硬盤(pan)損壞(huai)造(zao)成的數據丟失等。
12.8 sr-2更新內容:
* 現在可(ke)以在容器根層遞(di)歸探(tan)索證據對(dui)象概況,在基于(yu)動態填充設置上(shang),可(ke)以在一個方便的平面(mian)視圖中列(lie)出(chu)所有子目(mu)錄(lu)中的所有文件。
* X-Ways Forensics 現在可以在內部重新匯編硬(ying)件 RAID5 系統到級別0,并且支持奇偶(ou)校(xiao)驗。
* 如果一個(ge) RAID 系(xi)統添加到一個(ge)容器作為證據對象,當名稱或位(wei)置改變(bian)時現(xian)在可以很容易替換(huan) RAID 系(xi)統的一部分。
* 一(yi)些在 RAM 編輯器中被隱藏(zang)的進程現在能夠列出。
* 現在(zai)可以間(jian)接填充證據文件內容。
* 可以選(xuan)取報(bao)告表中某幾列到(dao)容器(qi)報(bao)名中。(查(cha)看容器(qi)屬性)
* 更(geng)進(jin)一步改進(jin)文件(jian)路徑太長的(de)兼容(rong)性。
* 修正 12.7 版本自動檢(jian)測(ce)物理磁盤 RAW 映(ying)象為(wei)單獨的分(fen)區映(ying)象。
* 幾個其它局部(bu)改進和錯(cuo)誤修正
* 針對(dui) UFS 在線(xian)提供不(bu)同的模板。
* 更多更新內容請到網站時事(shi)通訊(xun)中(zhong)查看
設置中文的方法
點擊菜單(dan)欄最后的“help”-“setup”-“Chinese,please!”
軟件使用說明
下(xia)面(mian)我們來看看該軟件的使(shi)用。
標(biao)題欄:與一般的應(ying)用軟件一樣,標(biao)題欄中顯示軟件名稱和當前打(da)開的文件名稱;
菜(cai)(cai)(cai)單(dan)欄:Winhex的菜(cai)(cai)(cai)單(dan)欄由八個菜(cai)(cai)(cai)單(dan)項組成-文件菜(cai)(cai)(cai)單(dan)、編輯菜(cai)(cai)(cai)單(dan)、搜索(suo)、定(ding)位、工具、選項菜(cai)(cai)(cai)單(dan)、文件管理、窗口(kou)和幫助菜(cai)(cai)(cai)單(dan)。
在(zai)文(wen)件菜(cai)(cai)單(dan)中(zhong),除了常規的(de)新建、打開文(wen)件和(he)(he)(he)(he)(he)保存以及退出命令以外(wai),還有(you)備(bei)(bei)份管理、創(chuang)建備(bei)(bei)份和(he)(he)(he)(he)(he)載入備(bei)(bei)份功能(neng)。選(xuan)(xuan)擇文(wen)件菜(cai)(cai)單(dan)中(zhong)的(de)屬(shu)性項(xiang)(xiang),彈出文(wen)件屬(shu)性窗(chuang)口,包(bao)(bao)括文(wen)件路徑、名(ming)稱、大小(xiao)、創(chuang)建時間和(he)(he)(he)(he)(he)修改日期等內(nei)容。在(zai)編(bian)輯菜(cai)(cai)單(dan)中(zhong),除了常規的(de)復(fu)制、粘貼和(he)(he)(he)(he)(he)剪切功能(neng)外(wai),還有(you)數(shu)(shu)據(ju)格式轉換(huan)和(he)(he)(he)(he)(he)修改的(de)功能(neng)。在(zai)搜索菜(cai)(cai)單(dan)中(zhong),你(ni)可以查找或替換(huan)文(wen)本內(nei)容和(he)(he)(he)(he)(he)十六進(jin)制文(wen)件,搜索整(zheng)數(shu)(shu)值(zhi)和(he)(he)(he)(he)(he)浮點數(shu)(shu)值(zhi)。在(zai)定位(wei)菜(cai)(cai)單(dan)中(zhong),你(ni)可以根(gen)據(ju)偏移地址和(he)(he)(he)(he)(he)區塊(kuai)的(de)位(wei)置快速定位(wei)。在(zai)工(gong)(gong)具(ju)菜(cai)(cai)單(dan)中(zhong),包(bao)(bao)括磁盤編(bian)輯工(gong)(gong)具(ju)、文(wen)本編(bian)輯工(gong)(gong)具(ju)、計算器、模板管理工(gong)(gong)具(ju)和(he)(he)(he)(he)(he)Hex轉換(huan)器,使用十分方便。在(zai)選(xuan)(xuan)項(xiang)(xiang)菜(cai)(cai)單(dan)中(zhong),包(bao)(bao)括常規選(xuan)(xuan)項(xiang)(xiang)設置、安全性設置和(he)(he)(he)(he)(he)還原(yuan)選(xuan)(xuan)項(xiang)(xiang)設置。
在Winhex的工(gong)(gong)(gong)(gong)具(ju)欄中(zhong),包括(kuo)文(wen)件新(xin)建、打開、保(bao)存、打印、屬(shu)性工(gong)(gong)(gong)(gong)具(ju);剪切、粘(zhan)貼和(he)復制編輯(ji)工(gong)(gong)(gong)(gong)具(ju);查找文(wen)本和(he)Hex值,替換文(wen)本和(he)Hex值;文(wen)件定位工(gong)(gong)(gong)(gong)具(ju)、RAM編輯(ji)器、計算器、區(qu)塊分析(xi)和(he)磁盤編輯(ji)工(gong)(gong)(gong)(gong)具(ju);選項設置工(gong)(gong)(gong)(gong)具(ju)和(he)幫助(zhu)工(gong)(gong)(gong)(gong)具(ju)按鈕(niu)。通過使用工(gong)(gong)(gong)(gong)具(ju)欄中(zhong)的快捷按鈕(niu)可以(yi)更方便的進(jin)行操作(zuo),這些和(he)菜(cai)單中(zhong)相應的命令是一樣的。
在(zai)使用(yong)(yong)Winhex之(zhi)前需要進行(xing)相應的(de)選(xuan)(xuan)(xuan)項設(she)置(zhi)(zhi),點擊工具欄中(zhong)(zhong)的(de)選(xuan)(xuan)(xuan)項設(she)置(zhi)(zhi)快(kuai)捷圖標(biao)按鈕,彈出(chu)選(xuan)(xuan)(xuan)項設(she)置(zhi)(zhi)對(dui)話(hua)框.它(ta)包括是(shi)(shi)否(fou)(fou)(fou)將WinHex作為(wei)默(mo)認關聯,是(shi)(shi)否(fou)(fou)(fou)添(tian)加(jia)WinHex到上下文(wen)(wen)(wen)(wen)菜(cai)單,是(shi)(shi)否(fou)(fou)(fou)不更新文(wen)(wen)(wen)(wen)件(jian)(jian)名(ming),是(shi)(shi)否(fou)(fou)(fou)快(kuai)速打開(kai)文(wen)(wen)(wen)(wen)件(jian)(jian)以(yi)及是(shi)(shi)否(fou)(fou)(fou)顯示(shi)(shi)文(wen)(wen)(wen)(wen)件(jian)(jian)圖標(biao)和(he)工具欄。而且你還可(ke)以(yi)設(she)置(zhi)(zhi)最近打開(kai)的(de)文(wen)(wen)(wen)(wen)件(jian)(jian)列表中(zhong)(zhong)文(wen)(wen)(wen)(wen)件(jian)(jian)的(de)數目,選(xuan)(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)用(yong)(yong)TAB鍵產生(sheng)標(biao)記(ji),設(she)置(zhi)(zhi)臨時(shi)文(wen)(wen)(wen)(wen)件(jian)(jian)夾、備份文(wen)(wen)(wen)(wen)件(jian)(jian)夾和(he)文(wen)(wen)(wen)(wen)本編(bian)輯的(de)路徑。在(zai)常(chang)規設(she)置(zhi)(zhi)中(zhong)(zhong),你可(ke)以(yi)選(xuan)(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)選(xuan)(xuan)(xuan)擇(ze)顯示(shi)(shi)雙光標(biao)和(he)頁分(fen)隔符,是(shi)(shi)否(fou)(fou)(fou)逐行(xing)滾動(dong)(dong),是(shi)(shi)否(fou)(fou)(fou)顯示(shi)(shi)Windows進度條,此外(wai)你還可(ke)以(yi)設(she)置(zhi)(zhi)字體類型(xing)和(he)顏色,相信你很(hen)快(kuai)就學(xue)會(hui)了。執行(xing)選(xuan)(xuan)(xuan)項菜(cai)單中(zhong)(zhong)的(de)安全項,彈出(chu)安全保護選(xuan)(xuan)(xuan)項設(she)置(zhi)(zhi)窗(chuang)口,你可(ke)以(yi)選(xuan)(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)限制驅(qu)動(dong)(dong)控(kong)制,是(shi)(shi)否(fou)(fou)(fou)計算(suan)標(biao)準檢查(cha)和(he)扇(shan)區讀入(ru)緩存以(yi)及是(shi)(shi)否(fou)(fou)(fou)確(que)認更新文(wen)(wen)(wen)(wen)件(jian)(jian)。另外(wai)你可(ke)以(yi)選(xuan)(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)自動(dong)(dong)檢查(cha)磁(ci)簇,是(shi)(shi)否(fou)(fou)(fou)總(zong)顯示(shi)(shi)恢(hui)復報告,是(shi)(shi)否(fou)(fou)(fou)對(dui)下個會(hui)話(hua)保持驅(qu)動(dong)(dong)映像,是(shi)(shi)否(fou)(fou)(fou)隱(yin)蔽輸入(ru)加(jia)密關鍵碼(*****)以(yi)及檢查(cha)虛擬內存變換和(he)在(zai)RAM中(zhong)(zhong)是(shi)(shi)否(fou)(fou)(fou)保留(liu)密匙(chi)。在(zai)所(suo)有設(she)置(zhi)(zhi)完成后(hou),點擊保存按鈕,然后(hou)按確(que)定按鈕返(fan)回主窗(chuang)口。
數據恢復分類
硬恢(hui)(hui)復(fu)和軟(ruan)恢(hui)(hui)復(fu)。所謂硬恢(hui)(hui)復(fu)就(jiu)是硬盤(pan)(pan)出(chu)現(xian)物理性損傷,比(bi)(bi)如(ru)有(you)盤(pan)(pan)體(ti)壞(huai)(huai)道(dao)、電路板(ban)芯(xin)片(pian)燒毀、盤(pan)(pan)體(ti)異響,等故障,由此所導(dao)致的(de)普通用戶(hu)不容易(yi)取(qu)出(chu)里面(mian)數(shu)(shu)據,那么我們將它修好,同(tong)時又(you)保留里面(mian)的(de)數(shu)(shu)據或(huo)后來(lai)恢(hui)(hui)復(fu)里面(mian)的(de)數(shu)(shu)據,這些(xie)都叫數(shu)(shu)據恢(hui)(hui)復(fu),只不過這些(xie)故障有(you)容易(yi)的(de)和困難(nan)的(de)之分;所謂軟(ruan)恢(hui)(hui)復(fu),就(jiu)是硬盤(pan)(pan)本身沒(mei)有(you)物理損傷,而是由于人為或(huo)者病(bing)毒破壞(huai)(huai)所造(zao)成的(de)數(shu)(shu)據丟失(比(bi)(bi)如(ru)誤格式化,誤分區),那么這樣的(de)數(shu)(shu)據恢(hui)(hui)復(fu)就(jiu)叫軟(ruan)恢(hui)(hui)復(fu)。因為硬恢(hui)(hui)復(fu)還(huan)需要(yao)購(gou)買一些(xie)工具設(she)備(比(bi)(bi)如(ru)pc3000,電烙鐵,各種芯(xin)片(pian)、電路板(ban)),而且還(huan)需要(yao)懂一點點電路基礎,我們主要(yao)使(shi)用軟(ruan)恢(hui)(hui)復(fu)。
數據恢復的前提
數據不能(neng)被二次破(po)壞、覆蓋(gai)!
硬盤數據結構
下(xia)面(mian)是一個分了三個區(qu)的整個硬盤的數據結(jie)構
MBR C盤(pan)EBRD盤(pan) EBR E盤(pan)
MBR,即主引導(dao)(dao)紀(ji)錄,位(wei)于整個硬盤的0柱(zhu)面0磁(ci)道1扇區(qu),共占(zhan)用(yong)了(le)63個扇區(qu),但(dan)實(shi)際只使用(yong)了(le)1個扇區(qu)(512字(zi)節)。在總共512字(zi)節的主引導(dao)(dao)記錄中,MBR又可(ke)分(fen)(fen)為三部(bu)分(fen)(fen):第(di)(di)一部(bu)分(fen)(fen):引導(dao)(dao)代碼,占(zhan)用(yong)了(le)446個字(zi)節;第(di)(di)二(er)部(bu)分(fen)(fen):分(fen)(fen)區(qu)表(biao),占(zhan)用(yong)了(le)64字(zi)節;第(di)(di)三部(bu)分(fen)(fen):55AA,結束(shu)標志,占(zhan)用(yong)了(le)兩個字(zi)節。后面我們(men)要(yao)(yao)說的用(yong)winhex軟(ruan)件來恢復(fu)誤(wu)分(fen)(fen)區(qu),主要(yao)(yao)就是恢復(fu)第(di)(di)二(er)部(bu)分(fen)(fen):分(fen)(fen)區(qu)表(biao)。
引導代碼的作用
就是讓硬(ying)(ying)盤具(ju)(ju)備可(ke)(ke)以(yi)引導的(de)功能。如(ru)果引導代(dai)碼丟失(shi),分(fen)區(qu)(qu)表還在,那么這(zhe)個(ge)硬(ying)(ying)盤作為從盤所有分(fen)區(qu)(qu)數據(ju)都還在,只(zhi)是這(zhe)個(ge)硬(ying)(ying)盤自己(ji)不能夠用(yong)來(lai)啟動(dong)進系統了(le)。如(ru)果要恢復引導代(dai)碼,可(ke)(ke)以(yi)用(yong)DOS下的(de)命令:FDISK /MBR;這(zhe)個(ge)命令只(zhi)是用(yong)來(lai)恢復引導代(dai)碼,不會引起分(fen)區(qu)(qu)改變,丟失(shi)數據(ju)。另(ling)外,也可(ke)(ke)以(yi)用(yong)工具(ju)(ju)軟件,比如(ru)DISKGEN、WINHEX等(deng)。
但分區表如果丟失,后果就是(shi)整(zheng)個(ge)硬盤一(yi)個(ge)分區沒有(you),就好像剛買(mai)來一(yi)個(ge)新硬盤沒有(you)分過區一(yi)樣。是(shi)很多病(bing)毒(du)喜(xi)歡(huan)破壞的(de)區域。
EBR,也(ye)叫(jiao)做擴展MBR(Extended MBR)。因為(wei)主引導記(ji)錄MBR最多只能描述4個分區項,如果想要在一個硬盤上分多于4個區,就要采用擴展MBR的辦法。
MBR、EBR是(shi)分區產生(sheng)的。
比如(ru)MBR和(he)EBR各都占(zhan)(zhan)用63個(ge)扇區(qu),C盤(pan)占(zhan)(zhan)用1435329個(ge)扇區(qu)……那么(me)數據結構(gou)如(ru)下表:
63 1435329 63 1435329 63 1253889
MBR C盤(pan)(pan) EBR D盤(pan)(pan) EBR E盤(pan)(pan)
擴展分區
而每一個分區又(you)由DBR、FAT1、FAT2、DIR、DATA5部分組成:比如C盤的(de)數據結構:
C 盤
DBR FAT1 FAT2 DIR DATA
恢復教程
Winhex有完善(shan)的(de)分區管理(li)功能和(he)文件管理(li)功能,能自動分析分區鏈(lian)和(he)文件簇鏈(lian),能對硬(ying)盤(pan)進(jin)行不同方式(shi)不同程度(du)的(de)備份,甚至克(ke)隆(long)整(zheng)個硬(ying)盤(pan);它能夠編(bian)(bian)輯(ji)任何(he)一種文件類型(xing)的(de)二進(jin)制內容(用(yong)十六進(jin)制顯示)其磁盤(pan)編(bian)(bian)輯(ji)器可以編(bian)(bian)輯(ji)物理(li)磁盤(pan)或邏輯(ji)磁盤(pan)的(de)任意扇區,是手(shou)工恢復數據的(de)首(shou)選工具軟(ruan)件。
首先要安裝Winhex,安裝完了就(jiu)可以(yi)啟(qi)動winhex了,啟(qi)動后,首先出現的是(shi)啟(qi)動中心對話(hua)框。
這里我們要對磁(ci)盤(pan)進行操(cao)作,就選擇“打(da)開磁(ci)盤(pan)”,出現“編輯磁(ci)盤(pan)”對話框:
在這(zhe)個(ge)(ge)對(dui)話框里,我(wo)們(men)(men)可以(yi)(yi)選(xuan)(xuan)擇對(dui)單(dan)個(ge)(ge)分(fen)區(qu)打開,也可以(yi)(yi)對(dui)整(zheng)個(ge)(ge)硬(ying)盤(pan)打開,HD0是(shi)我(wo)現(xian)在正用的西(xi)部數據40G系統(tong)盤(pan),HD1是(shi)我(wo)們(men)(men)要分(fen)析的硬(ying)盤(pan),邁拓2G。這(zhe)里我(wo)們(men)(men)就(jiu)選(xuan)(xuan)擇打開HD1整(zheng)個(ge)(ge)硬(ying)盤(pan),再點確定(ding).然后我(wo)們(men)(men)就(jiu)看(kan)到了Winhex的整(zheng)個(ge)(ge)工作(zuo)界面(mian)。
最上面(mian)(mian)(mian)的是(shi)菜單(dan)欄和(he)工(gong)(gong)具欄,下面(mian)(mian)(mian)最大(da)的窗(chuang)(chuang)口(kou)是(shi)工(gong)(gong)作區(qu),現在(zai)看到的是(shi)硬盤(pan)的第一(yi)個(ge)扇區(qu)的內容(rong),以十六(liu)進(jin)制進(jin)行顯示,并(bing)在(zai)右邊(bian)顯示相應(ying)的ASCII碼,右邊(bian)是(shi)詳細(xi)(xi)資(zi)源(yuan)(yuan)面(mian)(mian)(mian)板(ban)(ban),分(fen)為五個(ge)部(bu)分(fen):狀態、容(rong)量、當(dang)前位(wei)置、窗(chuang)(chuang)口(kou)情(qing)況和(he)剪貼板(ban)(ban)情(qing)況。這些(xie)情(qing)況對把握整個(ge)硬盤(pan)的情(qing)況非常有(you)幫(bang)助(zhu)。另外,在(zai)其上單(dan)擊鼠標右鍵,可以將詳細(xi)(xi)資(zi)源(yuan)(yuan)面(mian)(mian)(mian)板(ban)(ban)與(yu)窗(chuang)(chuang)口(kou)對換位(wei)置,或關閉資(zi)源(yuan)(yuan)面(mian)(mian)(mian)板(ban)(ban)。(如果(guo)關閉了資(zi)源(yuan)(yuan)面(mian)(mian)(mian)板(ban)(ban)可以通過(guo)“察(cha)看”菜單(dan)——“顯示”命令——“詳細(xi)(xi)資(zi)源(yuan)(yuan)面(mian)(mian)(mian)板(ban)(ban)”來打開)。
最下面一欄是非常有用的輔(fu)助(zhu)信息,如當前扇(shan)區(qu)/總扇(shan)區(qu)數目(mu)……等(deng)
向(xiang)下拉拉滾動(dong)條,可以看到一個(ge)灰(hui)色的(de)橫杠,每到一個(ge)橫杠為一個(ge)扇區,一個(ge)扇區共512字(zi)節(jie),每兩(liang)個(ge)數字(zi)為一個(ge)字(zi)節(jie),比如00。
下面我(wo)(wo)們(men)來分析一下MBR,因為前(qian)(qian)面我(wo)(wo)們(men)說過(guo),前(qian)(qian)446個字節為引導代碼,對我(wo)(wo)們(men)來說沒有(you)意義,這里我(wo)(wo)們(men)只分析分區表(biao)中(zhong)的(de)64個字節。
分(fen)區(qu)(qu)(qu)表(biao)(biao)64個(ge)(ge)字節,一(yi)共可(ke)(ke)以描述(shu)4個(ge)(ge)分(fen)區(qu)(qu)(qu)表(biao)(biao)項,每一(yi)個(ge)(ge)分(fen)區(qu)(qu)(qu)表(biao)(biao)項可(ke)(ke)以描述(shu)一(yi)個(ge)(ge)主分(fen)區(qu)(qu)(qu)或一(yi)個(ge)(ge)擴(kuo)展分(fen)區(qu)(qu)(qu)(比如上(shang)面的分(fen)區(qu)(qu)(qu)表(biao)(biao),第(di)一(yi)個(ge)(ge)分(fen)區(qu)(qu)(qu)表(biao)(biao)項描述(shu)主分(fen)區(qu)(qu)(qu)C盤,第(di)二個(ge)(ge)分(fen)區(qu)(qu)(qu)表(biao)(biao)項描述(shu)擴(kuo)展分(fen)區(qu)(qu)(qu),第(di)三第(di)四個(ge)(ge)分(fen)區(qu)(qu)(qu)表(biao)(biao)項填零(ling)未用)
每一個(ge)分區表項各占16個(ge)字(zi)節,各字(zi)節含義如下:(H表示16進制)
字(zi)節位置 內容及含義
第(di)1字節 引導標(biao)志。若(ruo)值為(wei)80H表(biao)(biao)示活動(dong)分區(qu);若(ruo)值為(wei)00H表(biao)(biao)示非活動(dong)分區(qu)。
第2、3、4字節 本分(fen)區(qu)的起始磁頭號(hao)、扇(shan)區(qu)號(hao)、柱面號(hao)
第5字節 分(fen)區類(lei)型符:
00H——表示該分(fen)區未用
06H——FAT16基本分區
0BH——FAT32基本分(fen)區(qu)
05H——擴展分區
07H——NTFS分區
0FH——(LBA模式)擴展分(fen)區
83H—— Linux分區
第6、7、8字節 本分區(qu)的結束磁(ci)頭號、扇區(qu)號、柱(zhu)面(mian)號
第(di)9、10、11、12字節 本分(fen)區之前(qian)已用了的扇區數
第13、14、15、16字(zi)節 本分區(qu)(qu)的總(zong)扇區(qu)(qu)數
此硬盤的第一分區(qu)表(即MBR)分析如下:
第一個(ge)分(fen)區表(biao)項(C盤)
第1字節(jie)80:表示此分區為活動分區;
第5字節(jie)0B:表示分區類型為Fat32;
第(di)9、10、11、12字節 系(xi)統隱(yin)含(han)(han)(han)扇(shan)(shan)區(qu)3F 00 00 00:所謂系(xi)統隱(yin)含(han)(han)(han)扇(shan)(shan)區(qu)就是(shi)(shi)本分區(qu)(C盤)之前已用(yong)了的(de)(de)扇(shan)(shan)區(qu)數(shu)(shu),這(zhe)(zhe)是(shi)(shi)一個十六進制(zhi)數(shu)(shu),但要注意:真正(zheng)的(de)(de)隱(yin)含(han)(han)(han)扇(shan)(shan)區(qu)數(shu)(shu)應該(gai)反(fan)過(guo)來(lai)(lai)填寫(xie)(比如:隱(yin)含(han)(han)(han)扇(shan)(shan)區(qu)數(shu)(shu)為3E 4D 5A 6F,則反(fan)過(guo)來(lai)(lai)就是(shi)(shi)6F 5A 4D 3E ,這(zhe)(zhe)才(cai)是(shi)(shi)實際(ji)的(de)(de)隱(yin)含(han)(han)(han)扇(shan)(shan)區(qu)數(shu)(shu))。那么,3F 00 00 00反(fan)過(guo)來(lai)(lai)寫(xie)就是(shi)(shi)00 00 003F,也就是(shi)(shi)3F,將他(ta)轉成(cheng)十進制(zhi)數(shu)(shu)我們才(cai)能知道實際(ji)的(de)(de)隱(yin)含(han)(han)(han)扇(shan)(shan)區(qu)數(shu)(shu)是(shi)(shi)多大。這(zhe)(zhe)可以使(shi)用(yong)計(ji)算器來(lai)(lai)算,單擊工(gong)具欄上(shang)的(de)(de)“計(ji)算器”按鈕(niu)。
這樣就啟動(dong)了計算器(qi)
計算器有兩種型(xing)(xing)號,我們要進行進制轉換,就要選(xuan)擇(ze)“科(ke)學(xue)型(xing)(xing)”
比(bi)如我們要將十六(liu)進(jin)(jin)制3F轉換為十進(jin)(jin)制,就(jiu)要先(xian)選(xuan)中(zhong)“十六(liu)進(jin)(jin)制”,然(ran)后輸(shu)入3F
再選中“十(shi)進(jin)制”,十(shi)六進(jin)制3F轉為(wei)(wei)(wei)十(shi)進(jin)制等于63。想(xiang)一(yi)想(xiang)我們(men)前面所講的,MBR占用63個扇(shan)區(qu),也就(jiu)是(shi)C盤之前已用了的扇(shan)區(qu)數為(wei)(wei)(wei)63,第(di)64個扇(shan)區(qu)就(jiu)是(shi)C盤的第(di)一(yi)個扇(shan)區(qu),但(dan)要注意的是(shi),整個硬盤的LBA地址是(shi)從零開始(shi)的,0~62的扇(shan)區(qu)為(wei)(wei)(wei)MBR。
第13、14、15、16字節本分(fen)區總扇(shan)區數(shu)(當然,這也就(jiu)是C盤的(de)大小):C1 E6 15 00,同樣(yang),實(shi)際的(de)十六進(jin)制數(shu)也要反過來(lai)才對,也就(jiu)是00 15 E6 C1,將它轉換成十六進(jin)制數(shu)是1435329。給你出個(ge)題,你知道D盤的(de)EBR在(zai)哪(na)個(ge)扇(shan)區嗎(ma)?我們一(yi)起來(lai)算一(yi)下,還記得前面數(shu)據結構那個(ge)表嗎(ma)?C盤后面不就(jiu)是D盤的(de)EBR嗎(ma)?D盤EBR的(de)第一(yi)個(ge)扇(shan)區=MBR+C盤的(de)大小,也就(jiu)是 63+1435329=1435392。
我(wo)們來(lai)看(kan)(kan)看(kan)(kan)對不(bu)對,單(dan)擊工具欄(lan)上的“轉到(dao)扇區(qu)”按鈕,出現一個“轉到(dao)扇區(qu)”對話框
然后輸(shu)入1435392,再(zai)點“確定”,就到了1435392扇(shan)區了(你(ni)可以使用它再(zai)轉(zhuan)回到0扇(shan)區)
這(zhe)個就(jiu)是(shi)D盤的(de)EBR,也就(jiu)是(shi)D盤的(de)分(fen)區(qu)表了(le),怎么(me)知道的(de)呢(ni)?因為(wei)MBR和EBR的(de)結構是(shi)完(wan)全一(yi)(yi)樣的(de),都是(shi)占用了(le)63個扇(shan)區(qu),但只用了(le)第(di)一(yi)(yi)個扇(shan)區(qu),其(qi)余(yu)62個扇(shan)區(qu)填零(ling)不(bu)用。第(di)一(yi)(yi)個扇(shan)區(qu)前446個字(zi)節(jie)(jie)(jie)都為(wei)引導代碼,后64個字(zi)節(jie)(jie)(jie)為(wei)分(fen)區(qu)表,最后2個字(zi)節(jie)(jie)(jie)為(wei)55AA結束標志。因為(wei)EBR不(bu)是(shi)活動分(fen)區(qu),不(bu)需(xu)要引導代碼,所(suo)以前446個字(zi)節(jie)(jie)(jie)為(wei)零(ling)。
還(huan)有另一種方法直(zhi)接找到D盤的EBR,扇區.
這樣(yang),分區(qu)表(biao)(biao)中的第一(yi)個分區(qu)表(biao)(biao)項共十六個字節(jie)分析完(wan)畢,下面我們(men)再來(lai)看(kan)看(kan)第二個分區(qu)表(biao)(biao)項(擴展分區(qu))。
第1字(zi)節00:表(biao)示非(fei)活動分區
第5字節05:表(biao)示擴展(zhan)分區(qu)
第(di)9、10、11、12字節00 E7 15 00:本分區之前(qian)的扇區數(shu)(擴(kuo)展分區前(qian)面(mian)也就是MBR和C盤,好像我(wo)們(men)(men)前(qian)面(mian)算過這(zhe)個數(shu)?)同(tong)樣,先將它(ta)反過來,就是00 15 E7 00 ,再(zai)轉為十進制是1435392,看來我(wo)們(men)(men)前(qian)面(mian)真的算過這(zhe)個數(shu)。
第13、14、15、16字(zi)節40 09 29 00:本分區(qu)的(de)總扇區(qu)數(shu)。也就是擴(kuo)展(zhan)分區(qu)的(de)總扇區(qu)數(shu)。轉為十進(jin)制應該是2689344。想(xiang)一(yi)想(xiang),用這(zhe)個數(shu)加上前面(mian)的(de)1435392,不正好是整個硬盤的(de)總扇區(qu)數(shu)4124736嗎?
這(zhe)(zhe)樣,如果分區表(biao)被破(po)壞,我(wo)們(men)只(zhi)要把(ba)這(zhe)(zhe)些數值都(dou)計(ji)算(suan)出(chu)來并填上(shang),分區表(biao)不就恢復了?那(nei)么,這(zhe)(zhe)里我(wo)們(men)為(wei)什么不分析第2、3、4字節(本分區的(de)(de)起始(shi)磁頭號(hao)(hao)(hao)、扇區號(hao)(hao)(hao)、柱(zhu)面號(hao)(hao)(hao))和(he)第6、7、8字節(本分區的(de)(de)結束磁頭號(hao)(hao)(hao)、扇區號(hao)(hao)(hao)、柱(zhu)面號(hao)(hao)(hao))呢?這(zhe)(zhe)是(shi)因為(wei)C/H/S(柱(zhu)面/磁頭/扇區)是(shi)老式(shi)(shi)硬盤的(de)(de)尋(xun)址(zhi)方(fang)式(shi)(shi),這(zhe)(zhe)種(zhong)尋(xun)址(zhi)方(fang)式(shi)(shi)來管(guan)理硬盤效率很低;而現在幾乎所有(you)的(de)(de)硬盤都(dou)支(zhi)持(chi)LBA(全(quan)稱是(shi)Logic Block Address,即(ji)扇區的(de)(de)邏輯塊地(di)址(zhi))尋(xun)址(zhi)方(fang)式(shi)(shi),這(zhe)(zhe)種(zhong)管(guan)理方(fang)式(shi)(shi)簡(jian)單高效。在LBA方(fang)式(shi)(shi)下(xia),系統(tong)把(ba)所有(you)的(de)(de)物理扇區都(dou)統(tong)一(yi)編號(hao)(hao)(hao),按(an)照從零到某個(ge)最大值排列,這(zhe)(zhe)樣只(zhi)用(yong)一(yi)個(ge)序(xu)數就確定了一(yi)個(ge)唯一(yi)的(de)(de)物理扇區。
小(xiao)知識(shi):具(ju)體一個(ge)(ge)硬(ying)盤有(you)多少個(ge)(ge)LBA(扇(shan)區(qu)(qu))不需要(yao)(yao)我(wo)們去(qu)記憶,因(yin)為(wei)用各(ge)種(zhong)工具(ju)軟(ruan)件(如MHDD WINHEX等)都可以(yi)檢測到。我(wo)們只(zhi)要(yao)(yao)知道個(ge)(ge)大概(gai)(gai)(gai)就行(xing)了:如10G的硬(ying)盤大概(gai)(gai)(gai)有(you)2000萬(wan)(wan)個(ge)(ge)扇(shan)區(qu)(qu);20G的硬(ying)盤大概(gai)(gai)(gai)有(you)4000萬(wan)(wan)個(ge)(ge)扇(shan)區(qu)(qu);40G的硬(ying)盤大概(gai)(gai)(gai)有(you)8000萬(wan)(wan)個(ge)(ge)扇(shan)區(qu)(qu)……那么,2G的硬(ying)盤大概(gai)(gai)(gai)有(you)400萬(wan)(wan)個(ge)(ge)扇(shan)區(qu)(qu)。
那么(me),你(ni)可能要(yao)(yao)問(wen)了(le):如果要(yao)(yao)恢復分區(qu)表,這(zhe)個起始磁頭號(hao)、扇區(qu)號(hao)、柱面(mian)號(hao)還(huan)有結(jie)束磁頭號(hao)、扇區(qu)號(hao)、柱面(mian)號(hao)應該怎么(me)填呢?簡單得很,在后(hou)面(mian)恢復分區(qu)表的時(shi)候我會告(gao)訴你(ni),直(zhi)接填,都不用(yong)計(ji)算(suan)。
還有興(xing)趣來分(fen)析(xi)一下D盤的EBR嗎?
其實(shi)D盤的EBR和E盤的EBR我們不(bu)分(fen)析也(ye)(ye)罷,因為(wei)無(wu)非也(ye)(ye)是分(fen)區(qu)表,跟MBR的結構是一(yi)樣的,但(dan)卻很容易(yi)把我們繞暈,又因為(wei)EBR一(yi)般不(bu)容易(yi)被破壞,所以(yi)我不(bu)建議分(fen)析EBR。
但如果你一定(ding)要(yao)分析(xi),那(nei)就分析(xi)吧。
單擊“訪問”下拉按鈕——“分區(qu)二”——“分區(qu)表”,直接就到(dao)1435392扇區(qu),即D盤的(de)分區(qu)表EBR。
第一個分區表項(D盤):
第1個(ge)字節00:表示(shi)非活動分區
第5個字節(jie)06:表示FAT16分區
第(di)9、10、11、12字(zi)節3F 00 00 00:本分(fen)區之前已(yi)用(yong)了的扇區數,也就是EBR的數目,63個。
第13、14、15、16字節C1 E6 15 00:本(ben)分區的總扇(shan)區數,也就是(shi)D盤的扇(shan)區數,先反過來排列就是(shi)00 15 E6 C1,轉為十進制就是(shi)1435329。
第二個分區表項(D盤后面(mian)的(de)):
第1個字節00:表示非活動分區
第5個字節05:表示擴展分區
第9、10、11、12字節00 E7 15 00:本分區(qu)之前已用了(le)的(de)扇區(qu)數(shu),也就是D盤的(de)EBR加D盤總共的(de)大(da)小, 63+1435329=1435392
第13、14、15、16字節40 22 13 00:本(ben)分區的(de)總扇區數(shu),1253952,也就(jiu)是(shi)E盤(pan)的(de)大小再加(jia)上一個EBR的(de)數(shu)目(mu)。
單(dan)擊“訪問”下拉按鈕——“分區(qu)三”——“分區(qu)表”,直(zhi)接就到(dao)2870784扇區(qu),即E
盤的分區表EBR。因為E盤后面沒有分區了,所以(yi)沒有第二個分區表項。這(zhe)里我們就不再(zai)研(yan)究(jiu)(jiu)了,有興趣(qu)的話可以(yi)自己(ji)多備一(yi)塊硬(ying)盤作從盤,然后自己(ji)分分區研(yan)究(jiu)(jiu)研(yan)究(jiu)(jiu)。
通過以上的(de)(de)研究我(wo)們總結(jie)一(yi)(yi)下(xia),MBR在定(ding)義(yi)(yi)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)時(shi)候,將多余的(de)(de)容量(liang)定(ding)義(yi)(yi)為(wei)擴展分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),指定(ding)該擴展分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)起止位置(zhi),根據起始位置(zhi)指向(xiang)(xiang)硬(ying)盤(pan)(pan)的(de)(de)某一(yi)(yi)個(ge)(ge)(ge)(ge)扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),作為(wei)下(xia)一(yi)(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)表(biao)(biao)項,接著(zhu)在該扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)繼續定(ding)義(yi)(yi)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),如果只(zhi)有(you)一(yi)(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)(jiu)定(ding)義(yi)(yi)該分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),然后結(jie)束;如果不止一(yi)(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)(jiu)定(ding)義(yi)(yi)一(yi)(yi)個(ge)(ge)(ge)(ge)基本(ben)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)和一(yi)(yi)個(ge)(ge)(ge)(ge)擴展分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),擴展分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)再指向(xiang)(xiang)下(xia)一(yi)(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)描述(shu)(shu)扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),在該分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)上按照(zhao)上述(shu)(shu)原則(ze)繼續定(ding)義(yi)(yi)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),直至分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)定(ding)義(yi)(yi)結(jie)束。這(zhe)(zhe)些用來描述(shu)(shu)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)形成(cheng)一(yi)(yi)個(ge)(ge)(ge)(ge)“分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)”,通過這(zhe)(zhe)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian),就(jiu)(jiu)可以描述(shu)(shu)所有(you)的(de)(de)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。系(xi)(xi)統(tong)在啟(qi)動時(shi)按照(zhao)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)的(de)(de)連(lian)接順序查(cha)找分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),直至找出(chu)所有(you)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。這(zhe)(zhe)個(ge)(ge)(ge)(ge)鏈(lian)顯然是(shi)個(ge)(ge)(ge)(ge)開(kai)鏈(lian)結(jie)構,如果形成(cheng)一(yi)(yi)個(ge)(ge)(ge)(ge)環(huan),系(xi)(xi)統(tong)本(ben)身并不會去判斷它,它只(zhi)是(shi)按照(zhao)這(zhe)(zhe)個(ge)(ge)(ge)(ge)鏈(lian)忠(zhong)實的(de)(de)查(cha)找分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),而不進(jin)行任何額外的(de)(de)檢測與(yu)處理(li)。所謂硬(ying)盤(pan)(pan)邏輯鎖,就(jiu)(jiu)是(shi)讓(rang)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)形成(cheng)一(yi)(yi)個(ge)(ge)(ge)(ge)環(huan),這(zhe)(zhe)樣系(xi)(xi)統(tong)在啟(qi)動時(shi)就(jiu)(jiu)在分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)表(biao)(biao)內循環(huan),表(biao)(biao)現為(wei)系(xi)(xi)統(tong)無法(fa)(fa)引(yin)導,就(jiu)(jiu)是(shi)從軟(ruan)盤(pan)(pan)啟(qi)動,也不能進(jin)入硬(ying)盤(pan)(pan)。明(ming)白了(le)其(qi)結(jie)構原理(li),解決這(zhe)(zhe)個(ge)(ge)(ge)(ge)問(wen)題就(jiu)(jiu)簡單了(le),目(mu)前(qian)有(you)很多種方(fang)法(fa)(fa)解決這(zhe)(zhe)個(ge)(ge)(ge)(ge)問(wen)題,后面我(wo)們還會講到(dao)。系(xi)(xi)統(tong)就(jiu)(jiu)是(shi)利用這(zhe)(zhe)種方(fang)法(fa)(fa)使一(yi)(yi)個(ge)(ge)(ge)(ge)硬(ying)盤(pan)(pan)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)后看(kan)起來象多個(ge)(ge)(ge)(ge)硬(ying)盤(pan)(pan)。系(xi)(xi)統(tong)能夠(gou)找到(dao)C盤(pan)(pan)以外的(de)(de)其(qi)他邏輯盤(pan)(pan)的(de)(de)唯一(yi)(yi)辦法(fa)(fa)就(jiu)(jiu)是(shi),沿著(zhu)EBR所描述(shu)(shu)的(de)(de)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)查(cha)找分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。
其實,通常情(qing)(qing)況下EBR是不(bu)會被(bei)破(po)壞的(de)(de),或者破(po)壞的(de)(de)幾率極低極低,通常情(qing)(qing)況下,都是只有MBR被(bei)破(po)壞,那么這種情(qing)(qing)況下,我們只要把MBR的(de)(de)分(fen)區(qu)(qu)表(biao)64個(ge)字節復(fu)原,其他(ta)的(de)(de)分(fen)區(qu)(qu)順(shun)著分(fen)區(qu)(qu)表(biao)所提(ti)供(gong)的(de)(de)鏈(lian)自然(ran)而然(ran)就出來了。那么,如何(he)才能(neng)將分(fen)區(qu)(qu)表(biao)復(fu)原呢?這就要通過(guo)計算(suan)結合(he)Winhex強大的(de)(de)功(gong)能(neng)來實現了。
下面(mian)我們就來模(mo)仿分(fen)區(qu)表(biao)被(bei)病毒破壞的情況,將MBR全部填(tian)零。我們首先將MBR所在的扇區(qu)選(xuan)(xuan)中。鼠標指向第一個字節,單(dan)擊右鍵,選(xuan)(xuan)擇“選(xuan)(xuan)塊開始(shi)”
然后鼠標指(zhi)向MBR的最后一個字節,單擊右鍵,選擇(ze)“選塊(kuai)結尾”
然后我(wo)們在(zai)選區內部單擊(ji)鼠標右鍵,選擇“編輯(ji)”
這樣就有出來一個菜(cai)單
然后我們選“填(tian)充選塊(kuai)”,這樣就出來一個填(tian)充選塊(kuai)對話框
在(zai)“用十六進制填充”的輸(shu)入框(kuang)中輸(shu)入“00”,再點(dian)“確定”
這樣MBR所在扇區(qu)全部(bu)被我(wo)們填充為(wei)“00”
如(ru)果想取消(xiao)選(xuan)區(qu)(qu)(qu),那(nei)就(jiu)用(yong)鼠標(biao)拖動(dong)隨便(bian)選(xuan)中一塊區(qu)(qu)(qu)域,那(nei)么原來的(de)選(xuan)區(qu)(qu)(qu)就(jiu)會(hui)取消(xiao)。注意,如(ru)果扇區(qu)(qu)(qu)數(shu)據(ju)被修改(gai)了而(er)沒(mei)有存盤就(jiu)會(hui)變為別(bie)的(de)顏色。
修改了(le)扇(shan)區,這(zhe)時(shi)候還沒(mei)有存(cun)盤(pan)生(sheng)效(xiao)(xiao),如(ru)果你想存(cun)盤(pan)生(sheng)效(xiao)(xiao)的話,就選擇“文件(jian)”菜單“保存(cun)扇(shan)區”命(ming)令。
這時候(hou)就會出(chu)現一(yi)個提示(shi),如果(guo)你不想存盤(pan)了就點(dian)取消,如果(guo)想存盤(pan),就點(dian)確(que)定,再(zai)點(dian)是。
好,這樣(yang)就存(cun)盤了,扇區被修(xiu)改(gai)的數據(ju)又變為黑(hei)色。
這(zhe)樣(yang)我(wo)們就把分區表(biao)給刪(shan)除(chu)了,這(zhe)時(shi)候必須重新(xin)啟動才能生效,如果你打開我(wo)的(de)電腦,會發現三個分區(F、G、H)還(huan)在(zai)那里(li),并(bing)且里(li)面的(de)數據還(huan)能正(zheng)常使(shi)用(yong)。
現(xian)在,我們關閉(bi)所有(you)程序將電腦重新(xin)啟動……
經過(guo)不(bu)(bu)長時間的等待,電腦啟動(dong)起來了,我(wo)們打開我(wo)的電腦看看,發現F、G、H三個分區(qu)不(bu)(bu)見了。
再打(da)開Winhex發現(xian)MBR全部為零了(le),下面(mian)我們就著(zhu)手開始手工恢復分區表
首先恢(hui)復(fu)(fu)(fu)引導代碼(ma),這最簡單(dan)了,只(zhi)要用Winhex到別的(de)系統(tong)盤(pan)把引導代碼(ma)復(fu)(fu)(fu)制(zhi)過來就行(xing)了。我現在的(de)機(ji)器上不是(shi)掛著兩(liang)個(ge)硬盤(pan)嗎?一個(ge)邁拓2G,一個(ge)西(xi)數(shu)40G,西(xi)數(shu)40G是(shi)我的(de)系統(tong)盤(pan),那(nei)就從這個(ge)盤(pan)上復(fu)(fu)(fu)制(zhi)就行(xing)了。
單擊“磁(ci)盤(pan)編(bian)輯器”按鈕
出(chu)現“編輯(ji)磁盤”對(dui)話框
選擇“HD0WDC WD400EB---00CPF0”,點“確定(ding)”
這樣我(wo)們(men)就(jiu)把系統盤的分區表給(gei)打(da)(da)(da)開(kai)了,注意(yi),現在(zai)我(wo)們(men)是(shi)打(da)(da)(da)開(kai)了兩個窗(chuang)口,當(dang)前的窗(chuang)口是(shi)“硬(ying)盤0”,在(zai)標題欄上有顯示。另(ling)外,打(da)(da)(da)開(kai)窗(chuang)口菜(cai)單(dan)也能看出來(lai),當(dang)前窗(chuang)口被(bei)打(da)(da)(da)上一(yi)個勾,如果想切換回原(yuan)來(lai)的窗(chuang)口,就(jiu)點擊“硬(ying)盤1”。
首先選(xuan)中系統盤的引導代碼
然后在選區中單擊鼠標右鍵,選“編輯”
又出來一(yi)個菜單,然后(hou)我(wo)們選“復制(zhi)選塊”——“正(zheng)常(chang)”
然后(hou)我們(men)切換回硬(ying)盤1窗口,在零扇區(qu)的第一個字節(jie)處(chu)單擊鼠標(biao)右鍵,選“編輯”
然后選“剪貼板數據”——“寫入……”
出現一(yi)個窗口提(ti)示,點(dian)“確定”
這樣,我們就把一個正(zheng)常系(xi)統盤上的引導代(dai)碼(ma)復制過來了。
下面,我們(men)就(jiu)開始恢復分(fen)區(qu)表(biao)(共64個(ge)字節(jie),分(fen)為4個(ge)分(fen)區(qu)表(biao)項(xiang),每個(ge)分(fen)區(qu)表(biao)項(xiang)占用(yong)16個(ge)字節(jie),一般(ban)只使用(yong)前兩個(ge)分(fen)區(qu)表(biao)項(xiang)),我們(men)首先來(lai)恢復第一個(ge)分(fen)區(qu)標項(xiang)(也就(jiu)是用(yong)來(lai)描述C盤的)。
首先(xian),在第1個字節(jie)處(0扇(shan)區(qu)(qu)倒(dao)數第五行,倒(dao)數第二個字節(jie))填(tian)(tian)上分區(qu)(qu)引(yin)導標志(zhi),因為C盤(pan)是活動(dong)分區(qu)(qu),所以填(tian)(tian)上80。
接著是第2、3、4字節(本分區起始磁頭號(hao)(hao)、扇(shan)區號(hao)(hao)、柱面號(hao)(hao)),填上(shang):01 01 00。
第5字節是分區(qu)類(lei)型符,因為(wei)原先C盤是Fat32格式,所以(yi)填上:0B。那么(me),如果(guo)你(ni)不(bu)知道C盤是什么(me)格式怎么(me)辦呢?你(ni)會(hui)說(shuo)問(wen)問(wen)客戶呀,那么(me)如果(guo)他也不(bu)知道呢?別著(zhu)急(ji),后面在說(shuo)恢(hui)復DBR的(de)時候我會(hui)教(jiao)你(ni)怎么(me)分辨分區(qu)的(de)格式。
第(di)6、7、8字節是(shi)本分區(qu)(qu)的結束磁(ci)頭號(hao)、扇(shan)區(qu)(qu)號(hao)、柱面(mian)號(hao),這(zhe)怎么(me)知道呢?別著急,現在的磁(ci)盤(pan)都是(shi)按照LBA方式(shi)尋址,并不按照C/H/S(及柱面(mian)、磁(ci)頭、扇(shan)區(qu)(qu))方式(shi)尋址,所以(yi)這(zhe)個地方你(ni)填(tian)(tian)些什么(me)一般關(guan)系不大,但(dan)是(shi)我要告訴你(ni)有一個通(tong)用的填(tian)(tian)法,那就是(shi):FE FF FF。
第9、10、11、12字節,本(ben)分區之前已用(yong)了的(de)扇區數(shu),也就(jiu)(jiu)是MBR所占用(yong)的(de)扇區數(shu),那不(bu)是63嗎(ma)(ma)?對(dui),但是要將(jiang)63轉(zhuan)為十六(liu)進(jin)制(zhi)數(shu),再反(fan)過(guo)來倒著(zhu)填寫上。還記得怎么用(yong)計算器嗎(ma)(ma)?將(jiang)63轉(zhuan)為十六(liu)進(jin)制(zhi)數(shu)是3F,不(bu)夠(gou)四個(ge)字節前面加零,也就(jiu)(jiu)是00 00 00 3F,再將(jiang)此數(shu)從右向左(zuo)依(yi)次序反(fan)過(guo)來就(jiu)(jiu)是3F 00 00 00。
第(di)(di)13、14、15、16字節是(shi)本分區(qu)(qu)的(de)(de)總扇(shan)區(qu)(qu)數(shu),也就是(shi)C盤(pan)(pan)的(de)(de)大小,這(zhe)就要通過稍(shao)微一(yi)點(dian)點(dian)計(ji)算來得到(dao)了(le)。因為(wei)C盤(pan)(pan)是(shi)從第(di)(di)63個扇(shan)區(qu)(qu)開始,而C盤(pan)(pan)后面緊接著的(de)(de)是(shi)EBR,所以(yi)用EBR所在(zai)的(de)(de)第(di)(di)一(yi)個扇(shan)區(qu)(qu)數(shu)減(jian)去(qu)63就是(shi)C盤(pan)(pan)的(de)(de)大小。那么如何才能(neng)找(zhao)到(dao)EBR所在(zai)的(de)(de)第(di)(di)一(yi)個扇(shan)區(qu)(qu)呢?我們(men)前面說(shuo)過,EBR的(de)(de)結構(gou)和MBR是(shi)一(yi)樣的(de)(de),所以(yi),EBR的(de)(de)結束標志(zhi)也一(yi)定(ding)是(shi)55AA,那么,只要我們(men)找(zhao)到(dao)這(zhe)個結束標志(zhi),再看看這(zhe)個扇(shan)區(qu)(qu)是(shi)不是(shi)EBR不就行(xing)了(le)?
單擊“搜索”——“查找十六進制(zhi)數值(zhi)……”,然后出來一(yi)個對話(hua)框
在文本框(kuang)中(zhong)輸入“55AA”,搜索框(kuang)中(zhong)選(xuan)“全(quan)部”,然后選(xuan)中(zhong)“條件”,把偏移量設置為“512=510”。
再單擊“確定”。畫(hua)面如(ru)下:
首先找到第(di)一個(ge)“55AA”,我們看到,個(ge)扇區在第(di)63個(ge)扇區上,并不是(shi)我們要找的EBR,再按F3繼(ji)續(xu)查找
又找到好幾個(ge)扇區,都不是(shi),那么下(xia)面這個(ge)扇區是(shi)不是(shi)?
前面我們(men)說(shuo)過(guo),EBR的結構和(he)MBR的結構是(shi)一樣的,所(suo)以在倒數第五行倒數第二個(ge)字(zi)節(jie)應該是(shi)00 01,并且前446個(ge)字(zi)節(jie)應該是(shi)0,顯(xian)然這也(ye)不是(shi)EBR,繼續按F3查找……終于找到(dao)了真正的EBR,在1435392扇區。
小技巧:現在(zai)的(de)硬盤都比較大,要逐個扇(shan)區的(de)查找(zhao)(zhao)55AA確(que)實太慢(man)了,那(nei)么有沒有辦法快點呢?有,那(nei)就(jiu)是(shi)先問問客戶C盤大概(gai)(gai)有多大,大多數客戶還是(shi)知道的(de),比如他說(shuo)C盤大概(gai)(gai)有10個G,那(nei)么你就(jiu)不要從頭(tou)開(kai)始(shi)找(zhao)(zhao)了,因為(wei)那(nei)實在(zai)太慢(man)了。10個G大概(gai)(gai)是(shi)2000萬(wan)個扇(shan)區,那(nei)么你可以(yi)用轉到(dao)扇(shan)區命(ming)令直接到(dao)1900萬(wan)扇(shan)區,從那(nei)個地方再(zai)開(kai)始(shi)找(zhao)(zhao)不就(jiu)省事多了。
用1435392減(jian)去63,得到1435329,再轉為16進制,就(jiu)是15E6C1,將(jiang)他倒(dao)轉過來就(jiu)是C1E61500,這就(jiu)是C盤的大小。這樣(yang),第一個分(fen)區表項(xiang)填(tian)寫完畢,我(wo)們保(bao)存一下,再接(jie)著(zhu)填(tian)寫第二個分(fen)區表項(xiang)。
第(di)二個分(fen)(fen)區表第(di)1個字節(jie):因為是非(fei)活動分(fen)(fen)區,所以(yi)寫00
第2、3、4字節,填(tian)寫01 01 00(通用的(de))
第5字節:因為是擴(kuo)展分(fen)區(qu),所以(yi)填(tian)寫0F
第6、7、8字節:填寫FE FF FF(通用(yong))
第9、10、11、12字(zi)節是本分區(qu)之(zhi)前(qian)已用了的扇區(qu)數,應(ying)該就是C盤大小加(jia)63,也(ye)就是1435392,前(qian)面(mian)剛計算出(chu)來(lai)的,轉為十六進制數再(zai)反過(guo)來(lai)就是00 E7 15 00
第13、14、15、16字(zi)節是(shi)本(ben)分(fen)區的總(zong)扇區數,也就是(shi)擴展分(fen)區的總(zong)扇區數,也就是(shi)用整個硬(ying)盤(pan)的大(da)小減(jian)去C盤(pan)的大(da)小再減(jian)去63,即4124736-1435329-63=2689344,轉(zhuan)為(wei)十六進制就是(shi)290940,反過來(lai)就是(shi)40092900。
這(zhe)樣,第二個分區表項就填寫完(wan)了。
不要忘(wang)了(le)把最后的結束標志55AA填上(shang),這樣,MBR就(jiu)全恢復完(wan)了(le),最后,保存(cun),再重新啟動……
啟動完畢,迫(po)不(bu)及待的打開(kai)我的電腦,發現(xian)三個(ge)分區全部又回來了,并且里面(mian)的數據完好無損。
再右擊“我的電腦”,選“管(guan)理(li)”
出現一個對話框,選“磁盤管理”,在右邊可(ke)以看到(dao)磁盤一的三個分區(qu)(Fat32、Fat16、Ntfs)全部(bu)都回來了,至此,手工恢復分區(qu)表(biao)順利完成。
手工恢復(fu)數(shu)據恢復(fu)成(cheng)功率比較(jiao)(jiao)高,而(er)且(qie)比較(jiao)(jiao)有(you)趣味和(he)挑戰性(xing),能(neng)找(zhao)回(hui)許多傻瓜似的軟件(jian)所找(zhao)不回(hui)來的文件(jian),但(dan)是要(yao)(yao)求工程師一(yi)(yi)定(ding)(ding)要(yao)(yao)有(you)耐性(xing),而(er)且(qie)一(yi)(yi)定(ding)(ding)要(yao)(yao)保持清醒,清楚自己正在操(cao)(cao)作(zuo)(zuo)什么(me),操(cao)(cao)作(zuo)(zuo)完了會有(you)什么(me)后果(guo),能(neng)不能(neng)退回(hui)到(dao)上一(yi)(yi)步狀態。特別是對一(yi)(yi)些(xie)破(po)壞性(xing)操(cao)(cao)作(zuo)(zuo),一(yi)(yi)定(ding)(ding)要(yao)(yao)考(kao)慮周到(dao),只要(yao)(yao)條件(jian)允許,就(jiu)一(yi)(yi)定(ding)(ding)要(yao)(yao)在操(cao)(cao)作(zuo)(zuo)之前(qian)進行備(bei)份,否則(ze)會造成(cheng)“血”的教訓,切記!
歲月靜好
】編(bian)輯上傳提供,詞條(tiao)(tiao)屬(shu)于(yu)開(kai)放詞條(tiao)(tiao),當前頁(ye)面(mian)所展(zhan)示的(de)詞條(tiao)(tiao)介(jie)紹涉及宣傳內(nei)容屬(shu)于(yu)注冊(ce)用戶個人(ren)編(bian)輯行為,與(yu)【WinHex】的(de)所屬(shu)企業/所有人(ren)/主體無關,網(wang)站(zhan)不(bu)完全保證內(nei)容信息的(de)準(zhun)確性(xing)、真(zhen)實(shi)(shi)性(xing),也不(bu)代表(biao)本(ben)站(zhan)立場,各項數據信息存(cun)在更(geng)新不(bu)及時的(de)情(qing)況(kuang),僅供參考(kao),請以官(guan)方(fang)發布為準(zhun)。如果(guo)頁(ye)面(mian)內(nei)容與(yu)實(shi)(shi)際情(qing)況(kuang)不(bu)符,可點擊“反(fan)饋”在線(xian)向網(wang)站(zhan)提出修改,網(wang)站(zhan)將核實(shi)(shi)后進行更(geng)正。
