具體來說,WinHex是(shi)一款以通(tong)用(yong)的(de) 16 進(jin)制(zhi)編輯器為核心(xin),專門用(yong)來對付計(ji)算機取證(zheng)、數(shu)(shu)據恢(hui)復、低級數(shu)(shu)據處理、以及 IT 安全(quan)性、各(ge)種(zhong)日常緊急(ji)情況(kuang)的(de)高級工具:用(yong)來檢查和修復各(ge)種(zhong)文(wen)(wen)件、恢(hui)復刪(shan)除文(wen)(wen)件、硬(ying)盤損(sun)壞、數(shu)(shu)碼相機卡損(sun)壞造成的(de)數(shu)(shu)據丟失等。功能包括(依照(zhao)授權類(lei)型):
* 查看,編輯和(he)修復磁盤,可用于硬盤,軟盤,以及許多其它可存儲介質類(lei)型。
*支持 FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3, CDFS, UDF
* 內(nei)置RAID和動(dong)態(tai)磁盤分析器
* RAM 編(bian)(bian)輯器(qi),可直(zhi)接查看/編(bian)(bian)輯被調試程(cheng)序的虛(xu)擬內存
* 數據解釋器,精通 20 種數據類型
* 使用模板編輯數據結構
* 連接,分割,合并,分析和比較文件(jian)
* 智能(neng)搜索和替(ti)換(huan)(huan)功(gong)能(neng),進行替(ti)換(huan)(huan)時,如(ru)果替(ti)換(huan)(huan)字(zi)符(fu)(fu)大(da)于(yu)或小于(yu)原(yuan)始字(zi)符(fu)(fu)時可進行選擇性(xing)操(cao)作
* 不(bu)同(tong)驅(qu)動(dong)器克隆以及驅(qu)動(dong)器鏡像解釋
* 腳本和應用程(cheng)序接口(kou)(API)
* 用于(yu)文件和磁盤的成(cheng)熟的撤消(xiao)和備份機制
* 加密和(he)(he)解密數據,Hash計算(suan)(校驗和(he)(he),CRC32,MD5,SHA-1,...)
* 粉(fen)碎文件(jian)和磁盤數據(ju),粉(fen)碎后的文件(jian)和磁盤數據(ju)任何人都不可能進行恢復
* 支持所(suo)有剪(jian)貼板格(ge)式的導入(ru)
* 數(shu)據(ju)格式轉換,支持二(er)進制(zhi)(zhi),16 進制(zhi)(zhi) ASCII,Intel 16 進制(zhi)(zhi),及 Motorola-S 等數(shu)據(ju)之間的相互轉換;
* 隱藏數據(ju)和查找隱藏數據(ju)
*支持打開(kai)超過4GB的文(wen)件,而(er)且速度很快(kuai)
* 用于(yu)計算機(ji)進程的眾多顯著有(you)效的高(gao)級(ji)功能(neng)
在(zai)Winhex中(zhong)集成了強大的工(gong)(gong)具,包括磁盤編(bian)輯器,Hex轉換器和(he)(he)RAM編(bian)輯工(gong)(gong)具,并能(neng)(neng)夠方便的調(diao)用系統常用工(gong)(gong)具如:計算(suan)器,記(ji)事(shi)本,瀏(liu)覽器等。在(zai)未登記(ji)注冊的版本中(zhong),可以(yi)編(bian)輯,但不(bu)能(neng)(neng)保存大小(xiao)超(chao)過512K的文件(jian)且只能(neng)(neng)瀏(liu)覽而不(bu)能(neng)(neng)修(xiu)改編(bian)輯RAM區域。按(an)(an)F8,彈(dan)出十(shi)六進(jin)制(zhi)和(he)(he)十(shi)進(jin)制(zhi)轉換器,左邊(bian)欄顯示(shi)十(shi)六進(jin)制(zhi)數字,右(you)邊(bian)欄顯示(shi)十(shi)進(jin)制(zhi)數字。如果你(ni)在(zai)左邊(bian)輸(shu)入十(shi)六進(jin)制(zhi)數,按(an)(an)Enter其十(shi)進(jin)制(zhi)結果就出現在(zai)右(you)邊(bian)的矩形框中(zhong)了,反之(zhi)亦然。如果你(ni)按(an)(an)組(zu)合鍵Alt+F8,可調(diao)用系統計算(suan)器。
Winhex使(shi)用簡單(dan),功(gong)能強(qiang)大,可以方便你程序的(de)(de)調試、文本編(bian)輯、科學計算和(he)系統管理,相信你會喜歡的(de)(de)。如果你想刪除Winhex軟件,簡單(dan),把整個目(mu)錄干掉就行了
在DOS時代,我們編輯文(wen)件代碼(ma)用的一般都是PCTOOLS5.0,可是自從(cong)FAT32出現(xian)以(yi)來,PCTOOLS5.0不能用了,就很少優秀(xiu)(xiu)的文(wen)件編輯器(qi)出現(xian)過(guo),不過(guo)現(xian)在筆(bi)者(zhe)(zhe)向(xiang)大家(jia)介(jie)紹的這一款winhex可以(yi)說是繼前(qian)者(zhe)(zhe)之后的最優秀(xiu)(xiu)的文(wen)件編輯器(qi)了。
作為一個16進制(zhi)文件(jian)(jian)編輯與磁盤編輯軟件(jian)(jian)。WinHex以文件(jian)(jian)小、速度快,功能(neng)(neng)強(qiang)大而著稱,連ZDNetSoftwareLibrary也給(gei)了他5星的最高評價。它可以勝(sheng)任Hex和ASCII碼編輯修改,多文件(jian)(jian)尋(xun)替換功能(neng)(neng),一般運(yun)算及邏(luo)輯運(yun)算,磁盤磁區(qu)編輯(支(zhi)持(chi)FAT16、FAT32和NTFS)自(zi)動搜尋(xun)編輯,文件(jian)(jian)比對和分析,編輯內存里面(mian)的資(zi)料(liao)等功能(neng)(neng).
首先我們到這里(li)去下(xia)載一(yi)(yi)個814KB大小的(de)(de)中(zhong)文漢(han)化版(ban)本的(de)(de)WINHEX,漢(han)化版(ban)本更加容易使(shi)用嘛,值得一(yi)(yi)提的(de)(de)是WINHEX是免費軟件,你(ni)可以(yi)在所(suo)有的(de)(de)WINDOWS平(ping)臺上面運行(xing)。安裝(zhuang)過程(cheng)(cheng)非(fei)常簡(jian)(jian)單(dan),成功(gong)安裝(zhuang)之后,程(cheng)(cheng)序圖標(biao)就(jiu)會出現在“開始→程(cheng)(cheng)序”菜單(dan)和桌面上。其界面由標(biao)題欄、工具欄、菜單(dan)欄、圖片(pian)瀏覽區和狀態欄組成。下(xia)面我們來簡(jian)(jian)要介(jie)紹一(yi)(yi)下(xia):
◇功(gong)能(neng)菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan):WINHEX的(de)(de)(de)菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan)欄(lan)由八(ba)個(ge)菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan)組成(cheng),分別(bie)是:文(wen)(wen)(wen)件(jian)(jian)(jian)、編(bian)(bian)輯(ji)、查(cha)(cha)找、位置(zhi)(zhi)、工具(ju)、選項、文(wen)(wen)(wen)件(jian)(jian)(jian)管(guan)理(li)器(qi)、窗(chuang)口和(he)(he)(he)(he)(he)幫(bang)助。所有(you)的(de)(de)(de)功(gong)能(neng)都已經包含在(zai)里(li)(li)(li)(li)面(mian)(mian)(mian)了。在(zai)文(wen)(wen)(wen)件(jian)(jian)(jian)菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan)里(li)(li)(li)(li)面(mian)(mian)(mian)包含的(de)(de)(de)是新建、打(da)開文(wen)(wen)(wen)件(jian)(jian)(jian)和(he)(he)(he)(he)(he)保存以及退出命令,另外還有(you)備(bei)份管(guan)理(li)、創建備(bei)份和(he)(he)(he)(he)(he)載入(ru)備(bei)份功(gong)能(neng)。在(zai)編(bian)(bian)輯(ji)菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan)里(li)(li)(li)(li)面(mian)(mian)(mian)除了復制(zhi)粘貼(tie)之(zhi)類的(de)(de)(de)常(chang)見(jian)命令之(zhi)外還有(you)對(dui)數據格式進(jin)行(xing)(xing)轉換(huan)(huan)和(he)(he)(he)(he)(he)修改(gai)的(de)(de)(de)功(gong)能(neng)。查(cha)(cha)找功(gong)能(neng)是方便您在(zai)文(wen)(wen)(wen)件(jian)(jian)(jian)里(li)(li)(li)(li)面(mian)(mian)(mian)查(cha)(cha)找特定的(de)(de)(de)文(wen)(wen)(wen)本(ben)內容(rong)或者是十(shi)六進(jin)制(zhi)代(dai)碼的(de)(de)(de),支(zhi)持整數值(zhi)(zhi)(zhi)和(he)(he)(he)(he)(he)浮(fu)點數值(zhi)(zhi)(zhi)。位置(zhi)(zhi)菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan)里(li)(li)(li)(li)面(mian)(mian)(mian)的(de)(de)(de)命令就(jiu)是讓(rang)你(ni)在(zai)編(bian)(bian)輯(ji)大(da)體積的(de)(de)(de)文(wen)(wen)(wen)件(jian)(jian)(jian)的(de)(de)(de)時候(hou)能(neng)夠方便地(di)進(jin)行(xing)(xing)定位,你(ni)可(ke)(ke)以根據其(qi)中的(de)(de)(de)偏移地(di)址或者是區(qu)塊的(de)(de)(de)位置(zhi)(zhi)來(lai)快速(su)定位。工具(ju)菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan)里(li)(li)(li)(li)面(mian)(mian)(mian)包括的(de)(de)(de)都是一(yi)些十(shi)分實用(yong)的(de)(de)(de)功(gong)能(neng),譬(pi)如磁盤編(bian)(bian)輯(ji)工具(ju)(類似(si)PCTOOLS里(li)(li)(li)(li)面(mian)(mian)(mian)的(de)(de)(de)DISKEDIT)、文(wen)(wen)(wen)本(ben)編(bian)(bian)輯(ji)工具(ju)(類似(si)記事(shi)本(ben))、計算(suan)器(qi)、模板管(guan)理(li)工具(ju)和(he)(he)(he)(he)(he)十(shi)進(jin)制(zhi)、十(shi)六進(jin)制(zhi)轉換(huan)(huan)器(qi)等等。如果你(ni)要(yao)對(dui)WINHEX的(de)(de)(de)功(gong)能(neng)進(jin)行(xing)(xing)設(she)(she)置(zhi)(zhi),那(nei)么就(jiu)必(bi)須進(jin)入(ru)選項菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan)了,里(li)(li)(li)(li)面(mian)(mian)(mian)除了常(chang)規選項的(de)(de)(de)設(she)(she)置(zhi)(zhi),還有(you)安全(quan)性(xing)設(she)(she)置(zhi)(zhi)和(he)(he)(he)(he)(he)還原選項設(she)(she)置(zhi)(zhi)。在(zai)文(wen)(wen)(wen)件(jian)(jian)(jian)管(guan)理(li)菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan)中,你(ni)可(ke)(ke)以對(dui)文(wen)(wen)(wen)件(jian)(jian)(jian)進(jin)行(xing)(xing)分割、比較、復制(zhi)和(he)(he)(he)(he)(he)剖(pou)析,功(gong)能(neng)十(shi)分強大(da)。“工具(ju)”選項里(li)(li)(li)(li)面(mian)(mian)(mian)包含的(de)(de)(de)是文(wen)(wen)(wen)件(jian)(jian)(jian)新建、打(da)開、保存、打(da)印、屬性(xing)工具(ju);剪切(qie)、粘貼(tie)和(he)(he)(he)(he)(he)復制(zhi)編(bian)(bian)輯(ji)工具(ju);查(cha)(cha)找文(wen)(wen)(wen)本(ben)和(he)(he)(he)(he)(he)Hex值(zhi)(zhi)(zhi),替換(huan)(huan)文(wen)(wen)(wen)本(ben)和(he)(he)(he)(he)(he)Hex值(zhi)(zhi)(zhi);文(wen)(wen)(wen)件(jian)(jian)(jian)定位工具(ju)、RAM編(bian)(bian)輯(ji)器(qi)、計算(suan)器(qi)、區(qu)塊分析和(he)(he)(he)(he)(he)磁盤編(bian)(bian)輯(ji)工具(ju)等等。這些功(gong)能(neng)除了在(zai)菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan)里(li)(li)(li)(li)面(mian)(mian)(mian)進(jin)行(xing)(xing)選擇之(zhi)外,還可(ke)(ke)以通(tong)過菜(cai)(cai)(cai)(cai)單(dan)(dan)(dan)下面(mian)(mian)(mian)的(de)(de)(de)一(yi)列快捷按鈕(niu)來(lai)執行(xing)(xing)。
◇在使(shi)用Winhex時(shi)(shi)首先打開(kai)一個需要(yao)處(chu)理的(de)文(wen)(wen)(wen)(wen)件(jian)(jian),窗口中(zhong)(zhong)顯示(shi)十(shi)(shi)六進(jin)制HEX格式(shi)的(de)數值和地址。在旁邊的(de)區域顯示(shi)文(wen)(wen)(wen)(wen)件(jian)(jian)名稱、大小、創建時(shi)(shi)間、最后修(xiu)改日期,窗口屬性以及相關信息。利用鼠標拖放(fang)功能你(ni)(ni)可(ke)(ke)以選擇一塊數值進(jin)行(xing)(xing)修(xiu)改編輯。按Ctrl+T,彈出(chu)數據修(xiu)改對(dui)話(hua)框,選擇數據類(lei)型和字(zi)節變換方(fang)(fang)式(shi),可(ke)(ke)以方(fang)(fang)便的(de)修(xiu)改區塊中(zhong)(zhong)的(de)數據。執行(xing)(xing)文(wen)(wen)(wen)(wen)件(jian)(jian)菜單中(zhong)(zhong)的(de)創建備(bei)(bei)(bei)份(fen)(fen)(fen)(fen)命令(ling),彈出(chu)備(bei)(bei)(bei)份(fen)(fen)(fen)(fen)對(dui)話(hua)框,你(ni)(ni)可(ke)(ke)以指定(ding)備(bei)(bei)(bei)份(fen)(fen)(fen)(fen)的(de)文(wen)(wen)(wen)(wen)件(jian)(jian)名和路徑、備(bei)(bei)(bei)份(fen)(fen)(fen)(fen)說明(ming),還可(ke)(ke)以選擇是(shi)(shi)否自動由備(bei)(bei)(bei)份(fen)(fen)(fen)(fen)管(guan)理指定(ding)文(wen)(wen)(wen)(wen)件(jian)(jian)夾(jia),是(shi)(shi)否保存檢查和摘要(yao),是(shi)(shi)否壓縮備(bei)(bei)(bei)份(fen)(fen)(fen)(fen)和加密備(bei)(bei)(bei)份(fen)(fen)(fen)(fen),這樣你(ni)(ni)可(ke)(ke)以方(fang)(fang)便的(de)將你(ni)(ni)的(de)文(wen)(wen)(wen)(wen)件(jian)(jian)進(jin)行(xing)(xing)備(bei)(bei)(bei)份(fen)(fen)(fen)(fen),下次執行(xing)(xing)文(wen)(wen)(wen)(wen)件(jian)(jian)菜單中(zhong)(zhong)的(de)裝載備(bei)(bei)(bei)份(fen)(fen)(fen)(fen)就可(ke)(ke)以打開(kai)備(bei)(bei)(bei)份(fen)(fen)(fen)(fen)文(wen)(wen)(wen)(wen)件(jian)(jian)了,十(shi)(shi)分(fen)方(fang)(fang)便
◇強大(da)的查(cha)找(zhao)功能(neng):Winhex具有強大(da)的查(cha)找(zhao)搜(sou)(sou)(sou)索(suo)功能(neng),可(ke)(ke)(ke)以(yi)查(cha)找(zhao)和(he)替換文(wen)本(ben)或(huo)(huo)Hex值(zhi)。選擇(ze)搜(sou)(sou)(sou)索(suo)菜單中(zhong)的聯合(he)搜(sou)(sou)(sou)索(suo)項(xiang),彈出搜(sou)(sou)(sou)索(suo)對話框(kuang),先輸入該文(wen)件(jian)(jian)要搜(sou)(sou)(sou)索(suo)的十六進(jin)制值(zhi)選擇(ze)通配符和(he)搜(sou)(sou)(sou)索(suo)的范圍就(jiu)可(ke)(ke)(ke)以(yi)開(kai)始搜(sou)(sou)(sou)索(suo)了。你(ni)(ni)(ni)可(ke)(ke)(ke)以(yi)選擇(ze)在(zai)(zai)整(zheng)個文(wen)件(jian)(jian)中(zhong)搜(sou)(sou)(sou)索(suo),也可(ke)(ke)(ke)選擇(ze)僅在(zai)(zai)區塊中(zhong)進(jin)行有條件(jian)(jian)的搜(sou)(sou)(sou)索(suo)。而且(qie)在(zai)(zai)Winhex中(zhong)可(ke)(ke)(ke)以(yi)方便(bian)(bian)的進(jin)行定(ding)位(wei)(wei)操作(zuo),快速轉道新的位(wei)(wei)置(zhi)。執行定(ding)位(wei)(wei)菜單中(zhong)的標(biao)記(ji)(ji)定(ding)位(wei)(wei)命令(ling)(ling),或(huo)(huo)按Ctrl+L,將(jiang)鼠(shu)標(biao)指向(xiang)需要定(ding)位(wei)(wei)的位(wei)(wei)置(zhi),就(jiu)可(ke)(ke)(ke)以(yi)在(zai)(zai)當前鼠(shu)標(biao)所(suo)在(zai)(zai)的位(wei)(wei)置(zhi)作(zuo)上標(biao)記(ji)(ji),不管你(ni)(ni)(ni)操作(zuo)到(dao)什么地方,按組(zu)合(he)鍵(jian)Ctrl+k,就(jiu)可(ke)(ke)(ke)以(yi)返回(hui)到(dao)標(biao)記(ji)(ji)所(suo)在(zai)(zai)的位(wei)(wei)置(zhi)。執行定(ding)位(wei)(wei)菜單中(zhong)的刪除(chu)標(biao)記(ji)(ji)命令(ling)(ling),可(ke)(ke)(ke)以(yi)將(jiang)所(suo)作(zuo)的標(biao)記(ji)(ji)刪除(chu)。除(chu)了利用標(biao)記(ji)(ji)定(ding)位(wei)(wei)以(yi)外(wai),你(ni)(ni)(ni)還可(ke)(ke)(ke)以(yi)方便(bian)(bian)的轉到(dao)文(wen)件(jian)(jian)的開(kai)始和(he)結尾,區塊的開(kai)始和(he)結尾,行首(shou)和(he)行尾以(yi)及頁(ye)首(shou)和(he)頁(ye)尾。你(ni)(ni)(ni)可(ke)(ke)(ke)以(yi)自(zi)己試(shi)一試(shi),相信你(ni)(ni)(ni)很(hen)快就(jiu)知道了。
◇Winhex集(ji)成了強大(da)的(de)(de)工(gong)(gong)(gong)具(ju)(ju),包括磁(ci)(ci)盤(pan)編(bian)(bian)輯(ji)器(qi),計算(suan)器(qi),Hex轉(zhuan)換(huan)器(qi)和RAM編(bian)(bian)輯(ji)工(gong)(gong)(gong)具(ju)(ju),使(shi)用(yong)十分(fen)方便。按(an)F9,彈出磁(ci)(ci)盤(pan)編(bian)(bian)輯(ji)器(qi)對話框(kuang),首先選(xuan)擇磁(ci)(ci)盤(pan)分(fen)區,然后按(an)確(que)定按(an)鈕就可以方便的(de)(de)對磁(ci)(ci)盤(pan)的(de)(de)空(kong)余空(kong)間(jian)進行清理。點擊工(gong)(gong)(gong)具(ju)(ju)欄中的(de)(de)RAM編(bian)(bian)輯(ji)工(gong)(gong)(gong)具(ju)(ju)按(an)鈕,彈出RAM編(bian)(bian)輯(ji)器(qi),選(xuan)擇需要瀏覽或編(bian)(bian)輯(ji)修改的(de)(de)RAM區,選(xuan)擇確(que)定就可以了,RAM的(de)(de)內容就顯示在主窗口了。
如果(guo)您在PCTOOLS之(zhi)后再也沒有碰(peng)到過稱(cheng)心(xin)的十六進制編(bian)輯器,那么我推薦你使用WINHEX。
功能包括:
- 硬盤, 軟盤, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盤編輯器。
- 支(zhi)持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系統。
- 支持對(dui)磁(ci)盤(pan)(pan)陣列 RAID 系統和動態磁(ci)盤(pan)(pan)的重組、分析和數據恢復。
- 多種(zhong)數據恢復(fu)技術。
- 可分析 RAW 格(ge)式原始數據鏡像文件中的(de)完整目錄結(jie)構(gou),支持分段保(bao)存的(de)鏡像文件。
- 數(shu)據(ju)(ju)解釋器, 已知 20 種數(shu)據(ju)(ju)類型。
- 使用模板編輯數據結構 (例如: 修(xiu)復分(fen)區表/引導扇區)。
- 連(lian)接(jie)和分(fen)割、以奇數(shu)(shu)偶(ou)數(shu)(shu)字節或字的(de)方式合并、分(fen)解(jie)文(wen)件。
- 分析(xi)和比較(jiao)文件。
- 搜索和(he)替換功能尤其靈活。
- 磁(ci)盤克隆 (可(ke)在 DOS 環(huan)境下使用 X-Ways Replica)。
- 驅動器鏡(jing)像和備份 (可選(xuan)壓縮或分(fen)割成 650 MB 的檔案)。
- 程序接口(kou) (API) 和(he)腳本。
- 256 位 AES 加(jia)密(mi), 校驗和(he), CRC32, 哈希算(suan)法 (MD5, SHA-1, ...)。
- 數據擦除(chu)功能,可徹(che)底清除(chu)存儲介(jie)質中殘留(liu)數據。
- 可導入剪貼(tie)板所有格式(shi)數據, 包(bao)括 ASCII、16 進制數據。
- 可進(jin)(jin)行 2 進(jin)(jin)制(zhi)、16 進(jin)(jin)制(zhi) ASCII, Intel 16 進(jin)(jin)制(zhi), 和 Motorola S 轉換。
- 字符集: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)。
- 立即窗口切換、打印(yin)、生成隨機數字(zi)。
- 支持打開大于 4 GB 的文(wen)件,非常(chang)快速,容易使用。
- 廣泛的聯機幫助。
WinHex 計算(suan)機法證版
X-Ways Forensics- 它能讓計(ji)算機(ji)上所有的位和字節都(dou)在您的指尖下變成現實。購買(mai)前(qian)可免費試用。
X-Ways Forensics 13.9 以后的版本只有正(zheng)式用(yong)戶才可下載(zai) (下載(zai)地址在購(gou)買后提供)。
特別注意
盡(jin)量不要解壓至中文名文件夾下,否則(ze)運行出(chu)錯(cuo)!
V16.8更新(xin)內容(rong):
WinHex可以(yi)用(yong)來檢(jian)查和修復(fu)各種文(wen)件、恢復(fu)刪除文(wen)件、硬盤損壞造成的數(shu)據丟失等。
12.8 sr-2更(geng)新內容(rong):
* 現在(zai)(zai)可(ke)(ke)以在(zai)(zai)容器根(gen)層遞(di)歸(gui)探索證據對象概況,在(zai)(zai)基于(yu)動態填充(chong)設置上,可(ke)(ke)以在(zai)(zai)一個方便的平面(mian)視圖中(zhong)列出所(suo)有子目錄中(zhong)的所(suo)有文(wen)件。
* X-Ways Forensics 現(xian)在(zai)(zai)可以在(zai)(zai)內部(bu)重新匯編硬件 RAID5 系統到級(ji)別0,并且支持奇偶校驗(yan)。
* 如果(guo)一個 RAID 系(xi)統(tong)添加到一個容(rong)(rong)器作為證(zheng)據對象(xiang),當(dang)名稱或(huo)位置改變(bian)時現(xian)在可以很容(rong)(rong)易(yi)替換(huan) RAID 系(xi)統(tong)的一部分。
* 一些在(zai) RAM 編輯器中被(bei)隱藏的進程現在(zai)能(neng)夠(gou)列出。
* 現在可以(yi)間接填(tian)充證據文件內容。
* 可以選取報(bao)告表中某(mou)幾列到容器(qi)報(bao)名(ming)中。(查看容器(qi)屬性)
* 更進一(yi)步(bu)改進文件路徑太長的兼容性。
* 修正(zheng) 12.7 版本自(zi)動檢測物(wu)理磁盤 RAW 映象為單(dan)獨(du)的分區(qu)映象。
* 幾(ji)個其它局部改進(jin)和錯誤修正(zheng)
* 針對 UFS 在(zai)線提供不同(tong)的模板。
* 更(geng)多更(geng)新內容請到網站(zhan)時事通訊中查看
設置中文的方法
點擊(ji)菜單欄最后的“help”-“setup”-“Chinese,please!”
軟件使用說明
下面我們來看(kan)看(kan)該(gai)軟件(jian)的(de)使用。
標(biao)題欄(lan):與(yu)一般(ban)的應用軟件(jian)(jian)一樣(yang),標(biao)題欄(lan)中(zhong)顯(xian)示軟件(jian)(jian)名稱(cheng)和(he)當前打開的文件(jian)(jian)名稱(cheng);
菜(cai)(cai)單(dan)欄(lan):Winhex的菜(cai)(cai)單(dan)欄(lan)由(you)八(ba)個菜(cai)(cai)單(dan)項(xiang)組成-文件(jian)菜(cai)(cai)單(dan)、編輯菜(cai)(cai)單(dan)、搜(sou)索(suo)、定位(wei)、工具、選項(xiang)菜(cai)(cai)單(dan)、文件(jian)管理、窗(chuang)口和幫助菜(cai)(cai)單(dan)。
在(zai)(zai)文(wen)(wen)(wen)件菜(cai)(cai)單中,除了常(chang)規(gui)的(de)(de)新建(jian)(jian)、打(da)開(kai)文(wen)(wen)(wen)件和(he)(he)(he)保存以及(ji)退出命令以外,還(huan)(huan)(huan)有備份管(guan)理、創建(jian)(jian)備份和(he)(he)(he)載入備份功(gong)(gong)能。選擇文(wen)(wen)(wen)件菜(cai)(cai)單中的(de)(de)屬性(xing)項,彈出文(wen)(wen)(wen)件屬性(xing)窗口(kou),包(bao)(bao)(bao)括文(wen)(wen)(wen)件路徑(jing)、名稱、大小、創建(jian)(jian)時間和(he)(he)(he)修改日(ri)期等內(nei)(nei)容。在(zai)(zai)編(bian)輯(ji)菜(cai)(cai)單中,除了常(chang)規(gui)的(de)(de)復(fu)制、粘貼和(he)(he)(he)剪切功(gong)(gong)能外,還(huan)(huan)(huan)有數(shu)(shu)據格(ge)式(shi)轉換和(he)(he)(he)修改的(de)(de)功(gong)(gong)能。在(zai)(zai)搜(sou)索(suo)菜(cai)(cai)單中,你可以查(cha)找或替換文(wen)(wen)(wen)本內(nei)(nei)容和(he)(he)(he)十六進制文(wen)(wen)(wen)件,搜(sou)索(suo)整(zheng)數(shu)(shu)值和(he)(he)(he)浮(fu)點數(shu)(shu)值。在(zai)(zai)定位(wei)(wei)(wei)菜(cai)(cai)單中,你可以根(gen)據偏移地址和(he)(he)(he)區塊的(de)(de)位(wei)(wei)(wei)置(zhi)快速定位(wei)(wei)(wei)。在(zai)(zai)工具(ju)(ju)(ju)菜(cai)(cai)單中,包(bao)(bao)(bao)括磁盤編(bian)輯(ji)工具(ju)(ju)(ju)、文(wen)(wen)(wen)本編(bian)輯(ji)工具(ju)(ju)(ju)、計算器、模板管(guan)理工具(ju)(ju)(ju)和(he)(he)(he)Hex轉換器,使用十分方便。在(zai)(zai)選項菜(cai)(cai)單中,包(bao)(bao)(bao)括常(chang)規(gui)選項設置(zhi)、安全性(xing)設置(zhi)和(he)(he)(he)還(huan)(huan)(huan)原選項設置(zhi)。
在Winhex的工(gong)(gong)具欄(lan)中,包括文(wen)(wen)件(jian)(jian)新建、打(da)開、保存、打(da)印(yin)、屬性工(gong)(gong)具;剪(jian)切、粘貼和復制編(bian)輯(ji)工(gong)(gong)具;查找文(wen)(wen)本(ben)和Hex值,替換文(wen)(wen)本(ben)和Hex值;文(wen)(wen)件(jian)(jian)定位工(gong)(gong)具、RAM編(bian)輯(ji)器(qi)、計算器(qi)、區(qu)塊(kuai)分析和磁盤編(bian)輯(ji)工(gong)(gong)具;選項設置工(gong)(gong)具和幫(bang)助工(gong)(gong)具按鈕。通過使用工(gong)(gong)具欄(lan)中的快捷按鈕可以更方(fang)便(bian)的進行操作,這些和菜單中相應的命令是一樣的。
在(zai)使用(yong)Winhex之前(qian)需(xu)要進行相應的(de)(de)選(xuan)(xuan)項設(she)(she)(she)置(zhi)(zhi)(zhi),點擊工具欄中的(de)(de)選(xuan)(xuan)項設(she)(she)(she)置(zhi)(zhi)(zhi)快(kuai)捷圖標按鈕(niu),彈出選(xuan)(xuan)項設(she)(she)(she)置(zhi)(zhi)(zhi)對話(hua)框.它包(bao)括(kuo)是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)將(jiang)WinHex作為默認(ren)關(guan)聯,是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)添加WinHex到上下(xia)文(wen)(wen)菜單,是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)不更新(xin)文(wen)(wen)件(jian)(jian)名,是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)快(kuai)速打開(kai)文(wen)(wen)件(jian)(jian)以(yi)(yi)及是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)顯示(shi)文(wen)(wen)件(jian)(jian)圖標和(he)(he)工具欄。而且你(ni)(ni)還可以(yi)(yi)設(she)(she)(she)置(zhi)(zhi)(zhi)最近打開(kai)的(de)(de)文(wen)(wen)件(jian)(jian)列表(biao)中文(wen)(wen)件(jian)(jian)的(de)(de)數(shu)目,選(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)用(yong)TAB鍵(jian)產(chan)生標記,設(she)(she)(she)置(zhi)(zhi)(zhi)臨時文(wen)(wen)件(jian)(jian)夾、備份文(wen)(wen)件(jian)(jian)夾和(he)(he)文(wen)(wen)本編輯(ji)的(de)(de)路徑。在(zai)常規設(she)(she)(she)置(zhi)(zhi)(zhi)中,你(ni)(ni)可以(yi)(yi)選(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)選(xuan)(xuan)擇(ze)顯示(shi)雙光標和(he)(he)頁(ye)分隔符,是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)逐行滾動(dong)(dong),是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)顯示(shi)Windows進度條,此(ci)外你(ni)(ni)還可以(yi)(yi)設(she)(she)(she)置(zhi)(zhi)(zhi)字體類型和(he)(he)顏色(se),相信你(ni)(ni)很快(kuai)就(jiu)學會了(le)。執行選(xuan)(xuan)項菜單中的(de)(de)安全項,彈出安全保(bao)護選(xuan)(xuan)項設(she)(she)(she)置(zhi)(zhi)(zhi)窗口,你(ni)(ni)可以(yi)(yi)選(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)限制驅(qu)動(dong)(dong)控制,是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)計算標準檢(jian)查(cha)和(he)(he)扇區讀入(ru)緩存(cun)(cun)(cun)以(yi)(yi)及是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)確(que)認(ren)更新(xin)文(wen)(wen)件(jian)(jian)。另外你(ni)(ni)可以(yi)(yi)選(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)自動(dong)(dong)檢(jian)查(cha)磁簇,是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)總顯示(shi)恢復報告,是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)對下(xia)個會話(hua)保(bao)持驅(qu)動(dong)(dong)映像(xiang),是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)隱蔽輸(shu)入(ru)加密關(guan)鍵(jian)碼(*****)以(yi)(yi)及檢(jian)查(cha)虛(xu)擬內存(cun)(cun)(cun)變換和(he)(he)在(zai)RAM中是(shi)(shi)否(fou)(fou)(fou)(fou)(fou)(fou)(fou)保(bao)留密匙。在(zai)所有設(she)(she)(she)置(zhi)(zhi)(zhi)完成后(hou)(hou),點擊保(bao)存(cun)(cun)(cun)按鈕(niu),然后(hou)(hou)按確(que)定按鈕(niu)返回主窗口。
數據恢復分類
硬恢(hui)(hui)(hui)復(fu)(fu)和(he)軟(ruan)(ruan)恢(hui)(hui)(hui)復(fu)(fu)。所(suo)謂硬恢(hui)(hui)(hui)復(fu)(fu)就(jiu)是硬盤(pan)出現物理性(xing)損傷,比如有盤(pan)體(ti)壞道(dao)、電路板(ban)芯片燒毀、盤(pan)體(ti)異響,等故障(zhang),由(you)此所(suo)導致的(de)普通用戶不(bu)(bu)容易取(qu)出里(li)面(mian)數(shu)據,那(nei)(nei)么我們將它修好,同時又保(bao)留里(li)面(mian)的(de)數(shu)據或(huo)(huo)后來(lai)恢(hui)(hui)(hui)復(fu)(fu)里(li)面(mian)的(de)數(shu)據,這些(xie)(xie)都(dou)叫數(shu)據恢(hui)(hui)(hui)復(fu)(fu),只不(bu)(bu)過這些(xie)(xie)故障(zhang)有容易的(de)和(he)困難(nan)的(de)之(zhi)分(fen);所(suo)謂軟(ruan)(ruan)恢(hui)(hui)(hui)復(fu)(fu),就(jiu)是硬盤(pan)本(ben)身沒有物理損傷,而(er)(er)是由(you)于人為(wei)或(huo)(huo)者病(bing)毒破壞所(suo)造成的(de)數(shu)據丟失(比如誤(wu)格式化,誤(wu)分(fen)區(qu)),那(nei)(nei)么這樣的(de)數(shu)據恢(hui)(hui)(hui)復(fu)(fu)就(jiu)叫軟(ruan)(ruan)恢(hui)(hui)(hui)復(fu)(fu)。因為(wei)硬恢(hui)(hui)(hui)復(fu)(fu)還(huan)需要購買(mai)一(yi)些(xie)(xie)工具設(she)備(比如pc3000,電烙鐵,各種芯片、電路板(ban)),而(er)(er)且還(huan)需要懂一(yi)點(dian)點(dian)電路基(ji)礎,我們主要使用軟(ruan)(ruan)恢(hui)(hui)(hui)復(fu)(fu)。
數據恢復的前提
數據不能被二次破(po)壞、覆蓋!
硬盤數據結構
下面是一個分了三個區的(de)整個硬盤(pan)的(de)數據(ju)結構
MBR C盤(pan)EBRD盤(pan) EBR E盤(pan)
MBR,即(ji)主引導紀錄,位于整個(ge)硬盤的(de)0柱面(mian)0磁道1扇(shan)區(qu),共占用(yong)(yong)了(le)(le)63個(ge)扇(shan)區(qu),但實(shi)際(ji)只使用(yong)(yong)了(le)(le)1個(ge)扇(shan)區(qu)(512字(zi)(zi)節(jie))。在總(zong)共512字(zi)(zi)節(jie)的(de)主引導記錄中,MBR又可分(fen)(fen)(fen)為(wei)三部(bu)分(fen)(fen)(fen):第(di)一部(bu)分(fen)(fen)(fen):引導代碼,占用(yong)(yong)了(le)(le)446個(ge)字(zi)(zi)節(jie);第(di)二部(bu)分(fen)(fen)(fen):分(fen)(fen)(fen)區(qu)表(biao),占用(yong)(yong)了(le)(le)64字(zi)(zi)節(jie);第(di)三部(bu)分(fen)(fen)(fen):55AA,結束標志(zhi),占用(yong)(yong)了(le)(le)兩個(ge)字(zi)(zi)節(jie)。后面(mian)我們要說的(de)用(yong)(yong)winhex軟件來恢復誤分(fen)(fen)(fen)區(qu),主要就是(shi)恢復第(di)二部(bu)分(fen)(fen)(fen):分(fen)(fen)(fen)區(qu)表(biao)。
引導代碼的作用
就是(shi)讓硬盤(pan)(pan)具備可(ke)以引(yin)導的功(gong)能。如果引(yin)導代碼丟失,分區(qu)表還在(zai),那么這(zhe)個硬盤(pan)(pan)作(zuo)為從盤(pan)(pan)所有分區(qu)數(shu)據(ju)都還在(zai),只是(shi)這(zhe)個硬盤(pan)(pan)自(zi)己不能夠用(yong)(yong)來啟動進(jin)系統了(le)。如果要(yao)恢復(fu)引(yin)導代碼,可(ke)以用(yong)(yong)DOS下的命令(ling):FDISK /MBR;這(zhe)個命令(ling)只是(shi)用(yong)(yong)來恢復(fu)引(yin)導代碼,不會(hui)引(yin)起分區(qu)改變(bian),丟失數(shu)據(ju)。另外(wai),也可(ke)以用(yong)(yong)工具軟件(jian),比如DISKGEN、WINHEX等。
但分區(qu)表如果丟失,后(hou)果就(jiu)是(shi)整個(ge)硬盤(pan)一(yi)個(ge)分區(qu)沒有(you),就(jiu)好(hao)像(xiang)剛買來(lai)一(yi)個(ge)新硬盤(pan)沒有(you)分過區(qu)一(yi)樣。是(shi)很多(duo)病毒喜歡破壞(huai)的區(qu)域(yu)。
EBR,也叫做擴展(zhan)(zhan)MBR(Extended MBR)。因(yin)為(wei)主引導記錄MBR最多(duo)只能(neng)描(miao)述4個分(fen)區項,如果(guo)想(xiang)要在一個硬(ying)盤上分(fen)多(duo)于4個區,就要采用擴展(zhan)(zhan)MBR的辦法。
MBR、EBR是(shi)分(fen)區(qu)產生的。
比如(ru)MBR和EBR各都占用63個扇區,C盤占用1435329個扇區……那么數據結構(gou)如(ru)下表:
63 1435329 63 1435329 63 1253889
MBR C盤 EBR D盤 EBR E盤
擴展分區
而每一個分區又由DBR、FAT1、FAT2、DIR、DATA5部分組(zu)成:比如C盤的數據結構:
C 盤
DBR FAT1 FAT2 DIR DATA
恢復教程
Winhex有完善(shan)的(de)(de)分區管理功能(neng)(neng)和文件管理功能(neng)(neng),能(neng)(neng)自(zi)動分析分區鏈和文件簇(cu)鏈,能(neng)(neng)對(dui)硬盤(pan)(pan)進行不(bu)(bu)同(tong)方式不(bu)(bu)同(tong)程度(du)的(de)(de)備(bei)份,甚(shen)至克隆(long)整個硬盤(pan)(pan);它能(neng)(neng)夠編輯(ji)任何一種文件類型的(de)(de)二(er)進制內容(用(yong)十六進制顯示)其磁(ci)盤(pan)(pan)編輯(ji)器可以(yi)編輯(ji)物理磁(ci)盤(pan)(pan)或邏輯(ji)磁(ci)盤(pan)(pan)的(de)(de)任意扇區,是手(shou)工恢復數據的(de)(de)首選工具軟件。
首先要安裝Winhex,安裝完了就可以啟動winhex了,啟動后,首先出(chu)現的是啟動中心對(dui)話框。
這里(li)我們要對磁盤(pan)進行操作(zuo),就選擇(ze)“打(da)開磁盤(pan)”,出現“編輯磁盤(pan)”對話框:
在這(zhe)(zhe)個(ge)對話框里,我(wo)們可(ke)以(yi)選擇對單個(ge)分區打開,也(ye)可(ke)以(yi)對整(zheng)個(ge)硬(ying)盤(pan)打開,HD0是(shi)我(wo)現在正用的西(xi)部數據40G系統(tong)盤(pan),HD1是(shi)我(wo)們要(yao)分析的硬(ying)盤(pan),邁(mai)拓2G。這(zhe)(zhe)里我(wo)們就選擇打開HD1整(zheng)個(ge)硬(ying)盤(pan),再點確定(ding).然后我(wo)們就看到(dao)了Winhex的整(zheng)個(ge)工作界面。
最上面(mian)(mian)的(de)是菜單(dan)欄(lan)和工具欄(lan),下面(mian)(mian)最大的(de)窗口是工作區(qu),現在(zai)看(kan)到的(de)是硬(ying)(ying)盤的(de)第一個(ge)扇區(qu)的(de)內容,以十六進制進行顯示(shi)(shi)(shi),并(bing)在(zai)右(you)邊(bian)顯示(shi)(shi)(shi)相(xiang)應的(de)ASCII碼,右(you)邊(bian)是詳(xiang)細(xi)資(zi)源(yuan)(yuan)面(mian)(mian)板(ban)(ban),分(fen)為五個(ge)部分(fen):狀態、容量、當前位置、窗口情(qing)況和剪貼板(ban)(ban)情(qing)況。這(zhe)些情(qing)況對把(ba)握整個(ge)硬(ying)(ying)盤的(de)情(qing)況非常有幫助(zhu)。另外,在(zai)其上單(dan)擊鼠(shu)標(biao)右(you)鍵(jian),可以將詳(xiang)細(xi)資(zi)源(yuan)(yuan)面(mian)(mian)板(ban)(ban)與窗口對換位置,或關閉(bi)資(zi)源(yuan)(yuan)面(mian)(mian)板(ban)(ban)。(如果(guo)關閉(bi)了資(zi)源(yuan)(yuan)面(mian)(mian)板(ban)(ban)可以通過“察看(kan)”菜單(dan)——“顯示(shi)(shi)(shi)”命令——“詳(xiang)細(xi)資(zi)源(yuan)(yuan)面(mian)(mian)板(ban)(ban)”來(lai)打(da)開)。
最(zui)下面(mian)一欄(lan)是非常(chang)有用(yong)的輔助(zhu)信息,如當前扇區(qu)/總扇區(qu)數目……等
向下(xia)拉拉滾動條(tiao),可以看到一個灰色(se)的橫杠,每到一個橫杠為一個扇區,一個扇區共512字節(jie),每兩個數字為一個字節(jie),比(bi)如00。
下面我們(men)(men)來分析一(yi)下MBR,因為(wei)前(qian)面我們(men)(men)說過,前(qian)446個(ge)字節為(wei)引(yin)導(dao)代碼,對我們(men)(men)來說沒有意義(yi),這里我們(men)(men)只分析分區表中的64個(ge)字節。
分(fen)(fen)區(qu)(qu)表(biao)64個(ge)(ge)字節,一(yi)(yi)共可以描述(shu)4個(ge)(ge)分(fen)(fen)區(qu)(qu)表(biao)項,每一(yi)(yi)個(ge)(ge)分(fen)(fen)區(qu)(qu)表(biao)項可以描述(shu)一(yi)(yi)個(ge)(ge)主分(fen)(fen)區(qu)(qu)或一(yi)(yi)個(ge)(ge)擴展(zhan)分(fen)(fen)區(qu)(qu)(比如上面(mian)的分(fen)(fen)區(qu)(qu)表(biao),第一(yi)(yi)個(ge)(ge)分(fen)(fen)區(qu)(qu)表(biao)項描述(shu)主分(fen)(fen)區(qu)(qu)C盤,第二(er)個(ge)(ge)分(fen)(fen)區(qu)(qu)表(biao)項描述(shu)擴展(zhan)分(fen)(fen)區(qu)(qu),第三(san)第四個(ge)(ge)分(fen)(fen)區(qu)(qu)表(biao)項填零未用)
每一(yi)個分(fen)區(qu)表項各(ge)占(zhan)16個字節,各(ge)字節含義如(ru)下:(H表示16進制)
字節位置(zhi) 內容(rong)及含義(yi)
第(di)1字節 引導標志。若(ruo)值(zhi)為80H表示活動分區(qu);若(ruo)值(zhi)為00H表示非活動分區(qu)。
第2、3、4字節 本分區的(de)起始(shi)磁頭號(hao)、扇區號(hao)、柱(zhu)面號(hao)
第5字(zi)節 分區類(lei)型符(fu):
00H——表示該分區未用(yong)
06H——FAT16基本分區
0BH——FAT32基本分區
05H——擴(kuo)展分區(qu)
07H——NTFS分區
0FH——(LBA模式)擴(kuo)展分區
83H—— Linux分區
第6、7、8字(zi)節 本(ben)分區的結束(shu)磁頭號、扇區號、柱面號
第(di)9、10、11、12字節 本分區(qu)之(zhi)前已(yi)用了的扇(shan)區(qu)數
第13、14、15、16字(zi)節 本分區的總扇區數
此硬盤的(de)第(di)一分(fen)區表(即MBR)分(fen)析如下:
第一個分區表項(C盤)
第1字節80:表(biao)示此(ci)分區(qu)為活動(dong)分區(qu);
第5字節0B:表示(shi)分區類型為Fat32;
第9、10、11、12字節 系統(tong)隱(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)3F 00 00 00:所謂(wei)系統(tong)隱(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)就是本分區(qu)(C盤)之前已用(yong)了(le)的(de)(de)(de)扇(shan)(shan)(shan)區(qu)數(shu)(shu),這是一個十六進(jin)制(zhi)數(shu)(shu),但要注意:真正的(de)(de)(de)隱(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)數(shu)(shu)應該反(fan)過(guo)來填寫(比(bi)如:隱(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)數(shu)(shu)為3E 4D 5A 6F,則反(fan)過(guo)來就是6F 5A 4D 3E ,這才是實(shi)際的(de)(de)(de)隱(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)數(shu)(shu))。那么,3F 00 00 00反(fan)過(guo)來寫就是00 00 003F,也就是3F,將他(ta)轉成十進(jin)制(zhi)數(shu)(shu)我(wo)們才能知(zhi)道(dao)實(shi)際的(de)(de)(de)隱(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)數(shu)(shu)是多大。這可(ke)以使用(yong)計算器來算,單擊(ji)工具欄上的(de)(de)(de)“計算器”按鈕(niu)。
這樣就(jiu)啟(qi)動了(le)計算器(qi)
計算器有兩種(zhong)型號,我們要(yao)進行進制轉換,就要(yao)選(xuan)擇“科(ke)學型”
比如我(wo)們要將十(shi)六進(jin)制3F轉換為十(shi)進(jin)制,就要先選(xuan)中“十(shi)六進(jin)制”,然(ran)后輸入3F
再選中“十(shi)進制”,十(shi)六(liu)進制3F轉為(wei)十(shi)進制等于63。想(xiang)(xiang)一想(xiang)(xiang)我們前(qian)面所(suo)講的(de),MBR占(zhan)用63個(ge)(ge)扇區,也就是(shi)(shi)C盤(pan)之前(qian)已(yi)用了的(de)扇區數為(wei)63,第64個(ge)(ge)扇區就是(shi)(shi)C盤(pan)的(de)第一個(ge)(ge)扇區,但要注意的(de)是(shi)(shi),整(zheng)個(ge)(ge)硬盤(pan)的(de)LBA地址是(shi)(shi)從零開始的(de),0~62的(de)扇區為(wei)MBR。
第13、14、15、16字節本分(fen)區(qu)總扇(shan)區(qu)數(當然(ran),這也(ye)就(jiu)是(shi)C盤(pan)的(de)大(da)小(xiao)):C1 E6 15 00,同樣,實際的(de)十六(liu)進制數也(ye)要反過來才(cai)對(dui),也(ye)就(jiu)是(shi)00 15 E6 C1,將它轉換成十六(liu)進制數是(shi)1435329。給你(ni)出個題,你(ni)知道D盤(pan)的(de)EBR在哪個扇(shan)區(qu)嗎?我們一起來算(suan)一下,還記得前面(mian)數據結構那個表(biao)嗎?C盤(pan)后面(mian)不就(jiu)是(shi)D盤(pan)的(de)EBR嗎?D盤(pan)EBR的(de)第一個扇(shan)區(qu)=MBR+C盤(pan)的(de)大(da)小(xiao),也(ye)就(jiu)是(shi) 63+1435329=1435392。
我們來看(kan)看(kan)對(dui)不對(dui),單擊工具欄上的“轉到扇區(qu)”按鈕,出現一個“轉到扇區(qu)”對(dui)話框
然后輸入1435392,再(zai)點(dian)“確定”,就到了(le)1435392扇區了(le)(你可(ke)以使用它再(zai)轉回到0扇區)
這個(ge)(ge)(ge)就是D盤(pan)的EBR,也就是D盤(pan)的分(fen)區(qu)表了(le),怎(zen)么知道(dao)的呢?因為(wei)MBR和EBR的結構是完全一(yi)樣(yang)的,都(dou)是占用了(le)63個(ge)(ge)(ge)扇區(qu),但只用了(le)第(di)一(yi)個(ge)(ge)(ge)扇區(qu),其余62個(ge)(ge)(ge)扇區(qu)填零不(bu)用。第(di)一(yi)個(ge)(ge)(ge)扇區(qu)前446個(ge)(ge)(ge)字節都(dou)為(wei)引(yin)導代碼,后(hou)64個(ge)(ge)(ge)字節為(wei)分(fen)區(qu)表,最后(hou)2個(ge)(ge)(ge)字節為(wei)55AA結束標志。因為(wei)EBR不(bu)是活動分(fen)區(qu),不(bu)需(xu)要(yao)引(yin)導代碼,所以(yi)前446個(ge)(ge)(ge)字節為(wei)零。
還有另一種方法直接找到D盤的EBR,扇區.
這樣,分(fen)區(qu)表中的(de)第(di)一(yi)個分(fen)區(qu)表項共十六個字節分(fen)析(xi)完畢,下面我們再(zai)來看看第(di)二個分(fen)區(qu)表項(擴展分(fen)區(qu))。
第1字節00:表示非活(huo)動分區(qu)
第5字節05:表(biao)示擴展分區
第(di)9、10、11、12字(zi)節00 E7 15 00:本(ben)分(fen)區之(zhi)前(qian)(qian)(qian)的扇區數(擴展(zhan)分(fen)區前(qian)(qian)(qian)面(mian)也(ye)就是(shi)MBR和C盤(pan),好(hao)像我(wo)們(men)前(qian)(qian)(qian)面(mian)算過(guo)這(zhe)(zhe)個(ge)數?)同樣,先將它反過(guo)來,就是(shi)00 15 E7 00 ,再轉為十進制是(shi)1435392,看來我(wo)們(men)前(qian)(qian)(qian)面(mian)真的算過(guo)這(zhe)(zhe)個(ge)數。
第13、14、15、16字節40 09 29 00:本分區(qu)的(de)總扇(shan)區(qu)數(shu)。也就是擴展分區(qu)的(de)總扇(shan)區(qu)數(shu)。轉為十進制(zhi)應該是2689344。想(xiang)一(yi)想(xiang),用(yong)這(zhe)個數(shu)加上(shang)前面(mian)的(de)1435392,不正好是整個硬盤的(de)總扇(shan)區(qu)數(shu)4124736嗎?
這(zhe)樣(yang),如(ru)果分(fen)區(qu)(qu)表(biao)被破壞,我(wo)(wo)們只(zhi)要把(ba)(ba)這(zhe)些數值(zhi)都(dou)計(ji)算出來并填上,分(fen)區(qu)(qu)表(biao)不就恢復了(le)?那么,這(zhe)里(li)我(wo)(wo)們為什么不分(fen)析(xi)第2、3、4字節(本分(fen)區(qu)(qu)的(de)起(qi)始磁(ci)頭號、扇(shan)(shan)(shan)區(qu)(qu)號、柱(zhu)面號)和第6、7、8字節(本分(fen)區(qu)(qu)的(de)結束磁(ci)頭號、扇(shan)(shan)(shan)區(qu)(qu)號、柱(zhu)面號)呢?這(zhe)是(shi)因為C/H/S(柱(zhu)面/磁(ci)頭/扇(shan)(shan)(shan)區(qu)(qu))是(shi)老式硬盤(pan)的(de)尋址(zhi)方(fang)式,這(zhe)種尋址(zhi)方(fang)式來管理硬盤(pan)效率(lv)很低;而現在(zai)幾乎所有(you)(you)的(de)硬盤(pan)都(dou)支持LBA(全稱是(shi)Logic Block Address,即扇(shan)(shan)(shan)區(qu)(qu)的(de)邏輯塊地址(zhi))尋址(zhi)方(fang)式,這(zhe)種管理方(fang)式簡單高效。在(zai)LBA方(fang)式下,系統(tong)把(ba)(ba)所有(you)(you)的(de)物理扇(shan)(shan)(shan)區(qu)(qu)都(dou)統(tong)一(yi)(yi)編號,按照從零到某個最大值(zhi)排(pai)列,這(zhe)樣(yang)只(zhi)用一(yi)(yi)個序數就確定了(le)一(yi)(yi)個唯一(yi)(yi)的(de)物理扇(shan)(shan)(shan)區(qu)(qu)。
小知識:具(ju)體一個(ge)(ge)(ge)硬盤有(you)多少(shao)個(ge)(ge)(ge)LBA(扇(shan)區(qu))不需(xu)要我們去記憶,因(yin)為用各種工具(ju)軟件(如MHDD WINHEX等(deng))都可以檢測到(dao)。我們只(zhi)要知道(dao)個(ge)(ge)(ge)大(da)(da)(da)概(gai)就(jiu)行了:如10G的(de)硬盤大(da)(da)(da)概(gai)有(you)2000萬個(ge)(ge)(ge)扇(shan)區(qu);20G的(de)硬盤大(da)(da)(da)概(gai)有(you)4000萬個(ge)(ge)(ge)扇(shan)區(qu);40G的(de)硬盤大(da)(da)(da)概(gai)有(you)8000萬個(ge)(ge)(ge)扇(shan)區(qu)……那么,2G的(de)硬盤大(da)(da)(da)概(gai)有(you)400萬個(ge)(ge)(ge)扇(shan)區(qu)。
那(nei)么(me),你可能(neng)要問(wen)了:如果要恢復分區(qu)(qu)表(biao)(biao),這個起始磁頭號(hao)、扇(shan)區(qu)(qu)號(hao)、柱面(mian)號(hao)還(huan)有結束磁頭號(hao)、扇(shan)區(qu)(qu)號(hao)、柱面(mian)號(hao)應該怎么(me)填(tian)(tian)呢(ni)?簡單得很,在后(hou)面(mian)恢復分區(qu)(qu)表(biao)(biao)的時候(hou)我會告訴你,直(zhi)接填(tian)(tian),都不用計(ji)算。
還有興趣來分析一下D盤的(de)EBR嗎?
其實D盤的(de)(de)EBR和E盤的(de)(de)EBR我們不分析(xi)也罷,因(yin)(yin)為無非也是(shi)分區(qu)表(biao),跟MBR的(de)(de)結構是(shi)一(yi)(yi)樣的(de)(de),但卻很容易(yi)把我們繞暈,又(you)因(yin)(yin)為EBR一(yi)(yi)般不容易(yi)被破(po)壞,所以我不建議分析(xi)EBR。
但(dan)如果你(ni)一定要分析(xi),那就分析(xi)吧。
單擊“訪(fang)問”下拉按鈕——“分(fen)(fen)區(qu)二”——“分(fen)(fen)區(qu)表”,直接就到1435392扇區(qu),即D盤(pan)的分(fen)(fen)區(qu)表EBR。
第一個分(fen)區表項(D盤):
第1個字節00:表(biao)示非活(huo)動分區
第5個字(zi)節(jie)06:表示FAT16分(fen)區
第(di)9、10、11、12字節3F 00 00 00:本分區(qu)之前已用了的(de)扇(shan)區(qu)數,也就是EBR的(de)數目,63個(ge)。
第13、14、15、16字節(jie)C1 E6 15 00:本分區的(de)總扇(shan)區數,也就(jiu)是D盤的(de)扇(shan)區數,先反過來排列就(jiu)是00 15 E6 C1,轉為十進制就(jiu)是1435329。
第二個分區(qu)表項(D盤后(hou)面的):
第1個字(zi)節00:表(biao)示(shi)非活動分區
第5個字節05:表示擴展分區
第9、10、11、12字節00 E7 15 00:本(ben)分(fen)區之前已用(yong)了的(de)扇區數(shu),也(ye)就是D盤的(de)EBR加(jia)D盤總共的(de)大小, 63+1435329=1435392
第13、14、15、16字(zi)節40 22 13 00:本(ben)分區(qu)的總扇區(qu)數,1253952,也就是E盤的大小再加(jia)上一個EBR的數目。
單(dan)擊“訪問”下(xia)拉按鈕——“分區三”——“分區表”,直(zhi)接就到2870784扇區,即E
盤(pan)(pan)的(de)分區(qu)(qu)表EBR。因為E盤(pan)(pan)后面沒有分區(qu)(qu)了(le),所(suo)以沒有第二(er)個分區(qu)(qu)表項。這里(li)我們就(jiu)不再(zai)研(yan)究了(le),有興趣的(de)話可以自己多備一塊硬盤(pan)(pan)作(zuo)從盤(pan)(pan),然后自己分分區(qu)(qu)研(yan)究研(yan)究。
通(tong)過以(yi)上的(de)(de)(de)(de)研究我(wo)們總結(jie)一(yi)(yi)(yi)(yi)(yi)下,MBR在定(ding)(ding)(ding)義分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)(de)(de)時(shi)(shi)候(hou),將多(duo)余的(de)(de)(de)(de)容量定(ding)(ding)(ding)義為擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),指定(ding)(ding)(ding)該(gai)擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)(de)(de)起止位(wei)置(zhi),根據起始位(wei)置(zhi)指向硬(ying)盤(pan)的(de)(de)(de)(de)某一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu),作為下一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)表項,接(jie)著在該(gai)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)繼(ji)續(xu)(xu)定(ding)(ding)(ding)義分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),如果(guo)只有一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)定(ding)(ding)(ding)義該(gai)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),然(ran)后結(jie)束;如果(guo)不(bu)止一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)定(ding)(ding)(ding)義一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)基本分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)和一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)再指向下一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)描(miao)述扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu),在該(gai)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)上按(an)照上述原則繼(ji)續(xu)(xu)定(ding)(ding)(ding)義分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),直至(zhi)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)定(ding)(ding)(ding)義結(jie)束。這(zhe)(zhe)(zhe)(zhe)些(xie)用來(lai)描(miao)述分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)(de)(de)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)形成一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)“分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)”,通(tong)過這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian),就(jiu)可以(yi)描(miao)述所(suo)有的(de)(de)(de)(de)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)。系統(tong)(tong)在啟動時(shi)(shi)按(an)照分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)的(de)(de)(de)(de)連(lian)接(jie)順序查(cha)找(zhao)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),直至(zhi)找(zhao)出所(suo)有分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)。這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)鏈(lian)顯然(ran)是(shi)(shi)個(ge)(ge)(ge)(ge)開(kai)鏈(lian)結(jie)構(gou),如果(guo)形成一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)環,系統(tong)(tong)本身并不(bu)會(hui)去(qu)判斷它(ta),它(ta)只是(shi)(shi)按(an)照這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)鏈(lian)忠實的(de)(de)(de)(de)查(cha)找(zhao)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),而(er)不(bu)進行任何(he)額外(wai)的(de)(de)(de)(de)檢測與處(chu)理(li)。所(suo)謂硬(ying)盤(pan)邏輯(ji)鎖,就(jiu)是(shi)(shi)讓分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)形成一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)環,這(zhe)(zhe)(zhe)(zhe)樣(yang)系統(tong)(tong)在啟動時(shi)(shi)就(jiu)在分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)表內(nei)循環,表現為系統(tong)(tong)無法引導,就(jiu)是(shi)(shi)從軟盤(pan)啟動,也不(bu)能進入硬(ying)盤(pan)。明白了其結(jie)構(gou)原理(li),解決這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)問題就(jiu)簡單了,目前有很多(duo)種方法解決這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)問題,后面我(wo)們還會(hui)講到。系統(tong)(tong)就(jiu)是(shi)(shi)利用這(zhe)(zhe)(zhe)(zhe)種方法使一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)硬(ying)盤(pan)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)后看起來(lai)象(xiang)多(duo)個(ge)(ge)(ge)(ge)硬(ying)盤(pan)。系統(tong)(tong)能夠找(zhao)到C盤(pan)以(yi)外(wai)的(de)(de)(de)(de)其他(ta)邏輯(ji)盤(pan)的(de)(de)(de)(de)唯一(yi)(yi)(yi)(yi)(yi)辦(ban)法就(jiu)是(shi)(shi),沿(yan)著EBR所(suo)描(miao)述的(de)(de)(de)(de)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)查(cha)找(zhao)分(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)。
其實(shi),通常情(qing)況(kuang)(kuang)下EBR是不會被(bei)破(po)壞(huai)的(de)(de),或者破(po)壞(huai)的(de)(de)幾率極(ji)低(di)(di)極(ji)低(di)(di),通常情(qing)況(kuang)(kuang)下,都是只(zhi)有MBR被(bei)破(po)壞(huai),那么這種情(qing)況(kuang)(kuang)下,我(wo)們只(zhi)要把MBR的(de)(de)分區(qu)(qu)表(biao)64個字(zi)節(jie)復(fu)原,其他的(de)(de)分區(qu)(qu)順著分區(qu)(qu)表(biao)所提供的(de)(de)鏈自然(ran)而(er)然(ran)就出來了。那么,如何才能將分區(qu)(qu)表(biao)復(fu)原呢?這就要通過(guo)計算(suan)結合Winhex強(qiang)大的(de)(de)功(gong)能來實(shi)現(xian)了。
下面我們(men)就來模仿分區表被病毒破壞的情況,將(jiang)MBR全部填零。我們(men)首先將(jiang)MBR所在的扇(shan)區選(xuan)中。鼠標指向(xiang)第一個字節,單擊右鍵,選(xuan)擇“選(xuan)塊開始”
然后鼠標指向MBR的最后一(yi)個字節,單擊右鍵,選(xuan)擇(ze)“選(xuan)塊結尾”
然后(hou)我們在選(xuan)區內部單(dan)擊(ji)鼠標右鍵,選(xuan)擇“編輯”
這樣(yang)就(jiu)有出來一個菜單
然后(hou)我們選“填充(chong)選塊(kuai)”,這樣就出來(lai)一個填充(chong)選塊(kuai)對話框(kuang)
在“用十六進(jin)制填充”的輸(shu)入框中(zhong)輸(shu)入“00”,再點“確定”
這樣MBR所在扇區全部被我們填充為“00”
如(ru)果想(xiang)取消(xiao)選(xuan)區(qu)(qu),那(nei)就(jiu)用鼠標拖動(dong)隨便(bian)選(xuan)中(zhong)一塊區(qu)(qu)域,那(nei)么原來的選(xuan)區(qu)(qu)就(jiu)會取消(xiao)。注意,如(ru)果扇區(qu)(qu)數據被(bei)修改了而沒有存(cun)盤就(jiu)會變為別的顏色。
修改了(le)扇區,這(zhe)時候還沒(mei)有(you)存盤生效(xiao),如果你想存盤生效(xiao)的話(hua),就選擇“文件”菜單(dan)“保(bao)存扇區”命令。
這時候就會出現一個(ge)提示,如(ru)果你不想存盤(pan)了(le)就點取消,如(ru)果想存盤(pan),就點確(que)定,再點是。
好,這(zhe)樣(yang)就存盤了,扇區被修改(gai)的數據又變為黑色(se)。
這(zhe)樣我們就把分區表給刪(shan)除了,這(zhe)時候必須重新(xin)啟動(dong)才能生效,如果(guo)你打開我的電腦,會發現三個(ge)分區(F、G、H)還在那里(li),并且里(li)面的數據(ju)還能正常(chang)使用。
現在,我們(men)關閉所有程(cheng)序將電(dian)腦重新啟動……
經過不長時間(jian)的(de)(de)等待(dai),電(dian)腦(nao)啟動起來了(le),我(wo)們(men)打開我(wo)的(de)(de)電(dian)腦(nao)看(kan)看(kan),發(fa)現F、G、H三個(ge)分區不見了(le)。
再打開Winhex發現MBR全部為零了,下面我們就(jiu)著手(shou)開始手(shou)工恢復分區表(biao)
首先恢復引導代碼,這(zhe)(zhe)最簡單了(le),只(zhi)要用Winhex到別的(de)系統盤把引導代碼復制過來(lai)就行了(le)。我現在的(de)機器上不是掛著兩個(ge)硬盤嗎?一(yi)個(ge)邁拓2G,一(yi)個(ge)西數(shu)40G,西數(shu)40G是我的(de)系統盤,那就從這(zhe)(zhe)個(ge)盤上復制就行了(le)。
單(dan)擊“磁(ci)盤編輯器”按鈕
出現“編(bian)輯(ji)磁盤(pan)”對話框
選(xuan)擇“HD0WDC WD400EB---00CPF0”,點(dian)“確定”
這(zhe)樣我們(men)就把系(xi)統(tong)盤的(de)分區表(biao)給打開(kai)了(le),注意,現在我們(men)是打開(kai)了(le)兩個(ge)窗(chuang)(chuang)口(kou)(kou),當前(qian)的(de)窗(chuang)(chuang)口(kou)(kou)是“硬(ying)盤0”,在標題欄上(shang)有顯示。另外,打開(kai)窗(chuang)(chuang)口(kou)(kou)菜單也能看出來(lai),當前(qian)窗(chuang)(chuang)口(kou)(kou)被打上(shang)一個(ge)勾,如果(guo)想(xiang)切換回原來(lai)的(de)窗(chuang)(chuang)口(kou)(kou),就點擊“硬(ying)盤1”。
首(shou)先選中系統(tong)盤的引導代碼
然后在選區中(zhong)單擊鼠標右鍵,選“編輯”
又出來一個菜單(dan),然后我(wo)們選“復制選塊”——“正(zheng)常(chang)”
然后我們切換回(hui)硬盤1窗(chuang)口,在零扇區的第一個字節處單(dan)擊鼠標(biao)右鍵,選“編輯”
然后選“剪貼板(ban)數據”——“寫入……”
出現一(yi)個(ge)窗口提示,點“確定”
這(zhe)樣(yang),我們就把(ba)一(yi)個正常系統(tong)盤(pan)上的(de)引導(dao)代碼(ma)復(fu)制過來(lai)了。
下面(mian),我們就開始恢復分(fen)(fen)區(qu)(qu)表(biao)(共64個(ge)字(zi)(zi)節(jie)(jie),分(fen)(fen)為4個(ge)分(fen)(fen)區(qu)(qu)表(biao)項(xiang),每個(ge)分(fen)(fen)區(qu)(qu)表(biao)項(xiang)占用16個(ge)字(zi)(zi)節(jie)(jie),一般只使(shi)用前兩個(ge)分(fen)(fen)區(qu)(qu)表(biao)項(xiang)),我們首先(xian)來恢復第一個(ge)分(fen)(fen)區(qu)(qu)標項(xiang)(也就是用來描(miao)述C盤的)。
首先,在(zai)第1個字節處(0扇區(qu)倒數第五行(xing),倒數第二個字節)填(tian)上分區(qu)引(yin)導標志,因為(wei)C盤(pan)是活動分區(qu),所以(yi)填(tian)上80。
接著是(shi)第2、3、4字節(本分(fen)區起始(shi)磁頭號、扇區號、柱面號),填(tian)上:01 01 00。
第(di)5字節是分(fen)區類(lei)型(xing)符,因為(wei)原先C盤是Fat32格式(shi),所以填上:0B。那(nei)么(me),如果你不知道C盤是什么(me)格式(shi)怎么(me)辦呢?你會(hui)說問問客戶呀,那(nei)么(me)如果他也不知道呢?別著急,后面(mian)在說恢復DBR的時(shi)候我會(hui)教你怎么(me)分(fen)辨分(fen)區的格式(shi)。
第6、7、8字節是本(ben)分區的結(jie)束磁頭(tou)號(hao)(hao)、扇區號(hao)(hao)、柱面號(hao)(hao),這怎(zen)么知道(dao)呢?別著急,現在(zai)的磁盤都是按照(zhao)(zhao)LBA方(fang)式(shi)尋(xun)址,并不按照(zhao)(zhao)C/H/S(及柱面、磁頭(tou)、扇區)方(fang)式(shi)尋(xun)址,所以這個地方(fang)你填(tian)(tian)些(xie)什么一般關系不大,但是我要(yao)告訴(su)你有一個通用的填(tian)(tian)法,那就是:FE FF FF。
第9、10、11、12字(zi)節,本分區(qu)之前已用了的扇(shan)區(qu)數,也就(jiu)是MBR所占用的扇(shan)區(qu)數,那不(bu)是63嗎?對,但(dan)是要將(jiang)63轉為十六進制(zhi)(zhi)數,再(zai)反(fan)過(guo)來(lai)倒著填寫(xie)上。還(huan)記得怎么用計算器(qi)嗎?將(jiang)63轉為十六進制(zhi)(zhi)數是3F,不(bu)夠四個字(zi)節前面(mian)加零(ling),也就(jiu)是00 00 00 3F,再(zai)將(jiang)此數從右向左(zuo)依次序反(fan)過(guo)來(lai)就(jiu)是3F 00 00 00。
第(di)(di)13、14、15、16字節是(shi)本分(fen)區(qu)的(de)(de)(de)總扇(shan)(shan)區(qu)數,也就(jiu)是(shi)C盤的(de)(de)(de)大(da)小(xiao),這(zhe)就(jiu)要通(tong)過稍微一(yi)點點計算來(lai)得到(dao)(dao)了。因為C盤是(shi)從第(di)(di)63個(ge)(ge)扇(shan)(shan)區(qu)開始(shi),而C盤后(hou)面緊(jin)接著的(de)(de)(de)是(shi)EBR,所(suo)(suo)以用EBR所(suo)(suo)在的(de)(de)(de)第(di)(di)一(yi)個(ge)(ge)扇(shan)(shan)區(qu)數減去(qu)63就(jiu)是(shi)C盤的(de)(de)(de)大(da)小(xiao)。那么如何才能找到(dao)(dao)EBR所(suo)(suo)在的(de)(de)(de)第(di)(di)一(yi)個(ge)(ge)扇(shan)(shan)區(qu)呢(ni)?我們(men)前面說過,EBR的(de)(de)(de)結構和(he)MBR是(shi)一(yi)樣的(de)(de)(de),所(suo)(suo)以,EBR的(de)(de)(de)結束標志(zhi)也一(yi)定是(shi)55AA,那么,只要我們(men)找到(dao)(dao)這(zhe)個(ge)(ge)結束標志(zhi),再看看這(zhe)個(ge)(ge)扇(shan)(shan)區(qu)是(shi)不是(shi)EBR不就(jiu)行了?
單擊(ji)“搜索”——“查找十六進(jin)制(zhi)數值(zhi)……”,然后出來一個(ge)對話框
在文本(ben)框(kuang)中輸入(ru)“55AA”,搜索框(kuang)中選“全(quan)部(bu)”,然后選中“條件”,把偏(pian)移量設(she)置為“512=510”。
再(zai)單擊“確定”。畫面如下:
首(shou)先(xian)找到(dao)第一個(ge)“55AA”,我(wo)們看到(dao),個(ge)扇區在(zai)第63個(ge)扇區上,并不是(shi)我(wo)們要找的(de)EBR,再按F3繼續查找
又找到好幾個扇區(qu)(qu),都不(bu)是,那么下(xia)面這個扇區(qu)(qu)是不(bu)是?
前(qian)(qian)面我們說過,EBR的(de)(de)結構和MBR的(de)(de)結構是(shi)一樣的(de)(de),所以在倒數第五行倒數第二個字節應該(gai)是(shi)00 01,并(bing)且前(qian)(qian)446個字節應該(gai)是(shi)0,顯然這也不(bu)是(shi)EBR,繼續按F3查找……終于(yu)找到了真正(zheng)的(de)(de)EBR,在1435392扇區。
小技(ji)巧:現在的(de)(de)硬(ying)盤都比(bi)較大(da),要(yao)逐個(ge)扇區的(de)(de)查找(zhao)55AA確實太慢了(le),那(nei)(nei)么(me)有沒有辦法快點呢?有,那(nei)(nei)就(jiu)是(shi)先問問客(ke)戶C盤大(da)概有多大(da),大(da)多數客(ke)戶還是(shi)知(zhi)道的(de)(de),比(bi)如他說C盤大(da)概有10個(ge)G,那(nei)(nei)么(me)你(ni)就(jiu)不要(yao)從頭開(kai)始找(zhao)了(le),因為那(nei)(nei)實在太慢了(le)。10個(ge)G大(da)概是(shi)2000萬個(ge)扇區,那(nei)(nei)么(me)你(ni)可以用轉到(dao)扇區命令直接(jie)到(dao)1900萬扇區,從那(nei)(nei)個(ge)地方再開(kai)始找(zhao)不就(jiu)省事多了(le)。
用1435392減去63,得(de)到(dao)1435329,再轉(zhuan)為(wei)16進(jin)制(zhi),就是15E6C1,將他倒轉(zhuan)過來(lai)就是C1E61500,這就是C盤的大(da)小。這樣,第一(yi)個(ge)分(fen)區表項(xiang)填寫完畢(bi),我們(men)保(bao)存一(yi)下,再接著填寫第二個(ge)分(fen)區表項(xiang)。
第(di)二個分(fen)區(qu)表第(di)1個字節(jie):因為是非活動分(fen)區(qu),所以寫00
第2、3、4字節,填寫01 01 00(通(tong)用的(de))
第(di)5字節:因為(wei)是擴展分區,所以填寫(xie)0F
第(di)6、7、8字(zi)節(jie):填(tian)寫FE FF FF(通用)
第9、10、11、12字節(jie)是(shi)本(ben)分區(qu)之前已用了的扇區(qu)數(shu),應該(gai)就(jiu)(jiu)是(shi)C盤大小加(jia)63,也就(jiu)(jiu)是(shi)1435392,前面剛計算出來(lai)的,轉為(wei)十六進制數(shu)再反過(guo)來(lai)就(jiu)(jiu)是(shi)00 E7 15 00
第13、14、15、16字(zi)節是(shi)本分區(qu)的(de)總扇(shan)區(qu)數(shu)(shu),也就(jiu)是(shi)擴展分區(qu)的(de)總扇(shan)區(qu)數(shu)(shu),也就(jiu)是(shi)用整(zheng)個硬盤的(de)大(da)小減去(qu)C盤的(de)大(da)小再(zai)減去(qu)63,即4124736-1435329-63=2689344,轉為十六(liu)進制就(jiu)是(shi)290940,反過來就(jiu)是(shi)40092900。
這樣(yang),第二個分區(qu)表項就填寫完了(le)。
不要忘了把最后的結束(shu)標志55AA填上,這(zhe)樣,MBR就(jiu)全恢復完了,最后,保存,再(zai)重新啟動……
啟動完畢,迫不及(ji)待的打開我的電(dian)腦,發現(xian)三個分區全部又回來了,并且里面的數據完好(hao)無損。
再右擊(ji)“我(wo)的電腦”,選“管(guan)理”
出現一(yi)個(ge)對話框(kuang),選(xuan)“磁盤管理”,在右邊(bian)可以看到磁盤一(yi)的(de)三個(ge)分區(Fat32、Fat16、Ntfs)全部(bu)都回(hui)來了,至此,手工恢復(fu)分區表順利(li)完成。
手工(gong)恢(hui)復數(shu)據恢(hui)復成功率比(bi)較高,而(er)且比(bi)較有(you)趣味和挑戰(zhan)性,能(neng)找(zhao)回許(xu)多傻瓜似的(de)(de)軟件所找(zhao)不回來的(de)(de)文件,但(dan)是要(yao)(yao)(yao)求工(gong)程師(shi)一(yi)定要(yao)(yao)(yao)有(you)耐性,而(er)且一(yi)定要(yao)(yao)(yao)保持清醒,清楚自(zi)己(ji)正在(zai)操作(zuo)什么(me),操作(zuo)完了(le)會有(you)什么(me)后果,能(neng)不能(neng)退回到上一(yi)步狀(zhuang)態。特別(bie)是對(dui)一(yi)些破壞性操作(zuo),一(yi)定要(yao)(yao)(yao)考(kao)慮(lv)周到,只要(yao)(yao)(yao)條件允(yun)許(xu),就一(yi)定要(yao)(yao)(yao)在(zai)操作(zuo)之前(qian)進行備份,否則會造(zao)成“血”的(de)(de)教訓,切記!
歲月靜好
】編輯(ji)上傳(chuan)提(ti)供,詞(ci)條屬于開放詞(ci)條,當前頁面(mian)所展示的(de)詞(ci)條介紹涉及(ji)宣(xuan)傳(chuan)內容屬于注冊用戶個人編輯(ji)行為,與【WinHex】的(de)所屬企業/所有人/主體無(wu)關,網(wang)站(zhan)不(bu)(bu)完(wan)全(quan)保證內容信息(xi)的(de)準確(que)性、真(zhen)實(shi)性,也(ye)不(bu)(bu)代表本站(zhan)立場,各項數據信息(xi)存(cun)在更新不(bu)(bu)及(ji)時的(de)情況,僅(jin)供參考,請(qing)以官方發布為準。如果(guo)頁面(mian)內容與實(shi)際情況不(bu)(bu)符,可點擊“反饋(kui)”在線向網(wang)站(zhan)提(ti)出修改,網(wang)站(zhan)將核實(shi)后(hou)進行更正。
