具體來說,WinHex是(shi)一款以通用(yong)的(de) 16 進制編輯器為核心,專門用(yong)來對付計(ji)算機取(qu)證(zheng)、數(shu)據恢復(fu)、低級數(shu)據處理、以及(ji) IT 安全性、各種(zhong)日(ri)常緊(jin)急情況的(de)高級工具:用(yong)來檢查和修復(fu)各種(zhong)文件(jian)(jian)、恢復(fu)刪除文件(jian)(jian)、硬盤損壞(huai)、數(shu)碼相機卡損壞(huai)造(zao)成的(de)數(shu)據丟失(shi)等。功能包括(依照授權類型):
* 查看(kan),編輯和(he)修(xiu)復磁(ci)盤(pan),可(ke)用(yong)于硬(ying)盤(pan),軟盤(pan),以及(ji)許多(duo)其它可(ke)存儲(chu)介質類(lei)型。
*支持 FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3, CDFS, UDF
* 內置RAID和動態磁盤分析器
* RAM 編輯(ji)器,可直接查看/編輯(ji)被調(diao)試程序的虛擬內存
* 數據(ju)解釋器,精通 20 種數據(ju)類型
* 使(shi)用模板編輯數據結構
* 連(lian)接,分割,合(he)并,分析和(he)比較文件
* 智能搜(sou)索和替(ti)換(huan)(huan)功能,進(jin)行替(ti)換(huan)(huan)時(shi)(shi),如果替(ti)換(huan)(huan)字(zi)符大(da)于或(huo)小于原始字(zi)符時(shi)(shi)可進(jin)行選擇性(xing)操作
* 不同驅動(dong)(dong)器克隆以及驅動(dong)(dong)器鏡像解釋
* 腳本(ben)和應用程序接口(API)
* 用于文件和磁盤(pan)的成(cheng)熟的撤(che)消和備份機制
* 加(jia)密(mi)(mi)和解密(mi)(mi)數據(ju),Hash計算(校驗(yan)和,CRC32,MD5,SHA-1,...)
* 粉(fen)碎(sui)文件(jian)和磁(ci)盤(pan)數據,粉(fen)碎(sui)后的文件(jian)和磁(ci)盤(pan)數據任何人都不(bu)可能進(jin)行恢復
* 支持所有剪(jian)貼板格(ge)式(shi)的導(dao)入
* 數(shu)據(ju)格(ge)式轉換,支持二進(jin)(jin)制,16 進(jin)(jin)制 ASCII,Intel 16 進(jin)(jin)制,及 Motorola-S 等數(shu)據(ju)之間的相互轉換;
* 隱藏數據(ju)和查找隱藏數據(ju)
*支(zhi)持打開超(chao)過4GB的文件,而且速(su)度很快(kuai)
* 用于計算機進程的眾多顯著有效的高級功(gong)能
在(zai)Winhex中(zhong)集成(cheng)了強(qiang)大的工具,包括磁盤編(bian)輯(ji)器(qi)(qi),Hex轉(zhuan)換(huan)器(qi)(qi)和(he)RAM編(bian)輯(ji)工具,并能夠方便的調用系統(tong)常用工具如:計(ji)算器(qi)(qi),記(ji)事本,瀏覽(lan)器(qi)(qi)等。在(zai)未(wei)登記(ji)注(zhu)冊的版本中(zhong),可以編(bian)輯(ji),但不能保存大小超(chao)過512K的文件且只(zhi)能瀏覽(lan)而不能修改(gai)編(bian)輯(ji)RAM區域。按F8,彈出十(shi)(shi)六(liu)(liu)進制(zhi)和(he)十(shi)(shi)進制(zhi)轉(zhuan)換(huan)器(qi)(qi),左邊欄顯示十(shi)(shi)六(liu)(liu)進制(zhi)數(shu)字(zi),右邊欄顯示十(shi)(shi)進制(zhi)數(shu)字(zi)。如果(guo)你在(zai)左邊輸入十(shi)(shi)六(liu)(liu)進制(zhi)數(shu),按Enter其十(shi)(shi)進制(zhi)結果(guo)就出現(xian)在(zai)右邊的矩形框中(zhong)了,反(fan)之亦然。如果(guo)你按組合鍵Alt+F8,可調用系統(tong)計(ji)算器(qi)(qi)。
Winhex使(shi)用簡單,功能強大,可以方便(bian)你程(cheng)序的調(diao)試(shi)、文本編輯、科學計算和系統管理,相信(xin)你會喜歡的。如果你想刪(shan)除Winhex軟件,簡單,把(ba)整個目錄干掉就行了
在DOS時代(dai),我們編(bian)輯(ji)(ji)文件代(dai)碼用的(de)(de)一般都是PCTOOLS5.0,可是自從FAT32出(chu)現以來,PCTOOLS5.0不(bu)能用了(le),就(jiu)很少優秀的(de)(de)文件編(bian)輯(ji)(ji)器出(chu)現過,不(bu)過現在筆者向大家介紹的(de)(de)這一款winhex可以說是繼前者之后的(de)(de)最優秀的(de)(de)文件編(bian)輯(ji)(ji)器了(le)。
作為一個16進制文件(jian)編輯(ji)與磁盤編輯(ji)軟件(jian)。WinHex以文件(jian)小、速(su)度快,功(gong)(gong)能強大而著(zhu)稱,連(lian)ZDNetSoftwareLibrary也給(gei)了(le)他5星的(de)最(zui)高評(ping)價。它可以勝任(ren)Hex和ASCII碼編輯(ji)修改,多文件(jian)尋(xun)替換功(gong)(gong)能,一般運算及邏輯(ji)運算,磁盤磁區編輯(ji)(支持FAT16、FAT32和NTFS)自動(dong)搜尋(xun)編輯(ji),文件(jian)比(bi)對和分(fen)析,編輯(ji)內存(cun)里面(mian)的(de)資(zi)料等功(gong)(gong)能.
首(shou)先我們(men)到這里去下載一個814KB大小的(de)中文(wen)漢(han)化版本的(de)WINHEX,漢(han)化版本更加容易使(shi)用(yong)嘛,值得一提的(de)是(shi)WINHEX是(shi)免(mian)費(fei)軟件,你(ni)可以在所(suo)有的(de)WINDOWS平臺上面(mian)運(yun)行。安(an)裝過程非(fei)常(chang)簡單,成(cheng)功(gong)安(an)裝之后(hou),程序圖標就會出現在“開始→程序”菜單和桌面(mian)上。其界(jie)面(mian)由標題(ti)欄、工具欄、菜單欄、圖片(pian)瀏(liu)覽區和狀態欄組成(cheng)。下面(mian)我們(men)來(lai)簡要介紹一下:
◇功(gong)(gong)(gong)(gong)能(neng)(neng)菜(cai)(cai)(cai)單(dan)(dan):WINHEX的(de)(de)(de)菜(cai)(cai)(cai)單(dan)(dan)欄(lan)由(you)八(ba)個菜(cai)(cai)(cai)單(dan)(dan)組成,分別(bie)是(shi)(shi)(shi):文件(jian)(jian)(jian)(jian)、編(bian)輯(ji)、查(cha)找、位(wei)(wei)(wei)(wei)置(zhi)、工具、選(xuan)(xuan)項(xiang)、文件(jian)(jian)(jian)(jian)管理(li)器(qi)、窗口和(he)(he)幫助。所有(you)的(de)(de)(de)功(gong)(gong)(gong)(gong)能(neng)(neng)都已經包含在里(li)(li)(li)面(mian)(mian)(mian)了(le)。在文件(jian)(jian)(jian)(jian)菜(cai)(cai)(cai)單(dan)(dan)里(li)(li)(li)面(mian)(mian)(mian)包含的(de)(de)(de)是(shi)(shi)(shi)新建(jian)、打開(kai)文件(jian)(jian)(jian)(jian)和(he)(he)保存(cun)以(yi)及(ji)退出(chu)命令(ling),另(ling)外還(huan)(huan)有(you)備份(fen)(fen)管理(li)、創建(jian)備份(fen)(fen)和(he)(he)載入(ru)備份(fen)(fen)功(gong)(gong)(gong)(gong)能(neng)(neng)。在編(bian)輯(ji)菜(cai)(cai)(cai)單(dan)(dan)里(li)(li)(li)面(mian)(mian)(mian)除了(le)復(fu)制粘(zhan)貼(tie)之類的(de)(de)(de)常見命令(ling)之外還(huan)(huan)有(you)對(dui)數據格式進(jin)(jin)(jin)行轉(zhuan)(zhuan)換和(he)(he)修改的(de)(de)(de)功(gong)(gong)(gong)(gong)能(neng)(neng)。查(cha)找功(gong)(gong)(gong)(gong)能(neng)(neng)是(shi)(shi)(shi)方便您在文件(jian)(jian)(jian)(jian)里(li)(li)(li)面(mian)(mian)(mian)查(cha)找特定的(de)(de)(de)文本內(nei)容或者是(shi)(shi)(shi)十六(liu)進(jin)(jin)(jin)制代碼的(de)(de)(de),支持整數值和(he)(he)浮點數值。位(wei)(wei)(wei)(wei)置(zhi)菜(cai)(cai)(cai)單(dan)(dan)里(li)(li)(li)面(mian)(mian)(mian)的(de)(de)(de)命令(ling)就是(shi)(shi)(shi)讓你(ni)(ni)在編(bian)輯(ji)大(da)體積的(de)(de)(de)文件(jian)(jian)(jian)(jian)的(de)(de)(de)時候能(neng)(neng)夠方便地進(jin)(jin)(jin)行定位(wei)(wei)(wei)(wei),你(ni)(ni)可(ke)(ke)以(yi)根據其中的(de)(de)(de)偏移地址或者是(shi)(shi)(shi)區塊(kuai)的(de)(de)(de)位(wei)(wei)(wei)(wei)置(zhi)來(lai)快(kuai)速定位(wei)(wei)(wei)(wei)。工具菜(cai)(cai)(cai)單(dan)(dan)里(li)(li)(li)面(mian)(mian)(mian)包括的(de)(de)(de)都是(shi)(shi)(shi)一些十分實用的(de)(de)(de)功(gong)(gong)(gong)(gong)能(neng)(neng),譬如(ru)磁盤編(bian)輯(ji)工具(類似PCTOOLS里(li)(li)(li)面(mian)(mian)(mian)的(de)(de)(de)DISKEDIT)、文本編(bian)輯(ji)工具(類似記事本)、計(ji)算器(qi)、模板管理(li)工具和(he)(he)十進(jin)(jin)(jin)制、十六(liu)進(jin)(jin)(jin)制轉(zhuan)(zhuan)換器(qi)等(deng)(deng)(deng)等(deng)(deng)(deng)。如(ru)果你(ni)(ni)要(yao)對(dui)WINHEX的(de)(de)(de)功(gong)(gong)(gong)(gong)能(neng)(neng)進(jin)(jin)(jin)行設(she)置(zhi),那么(me)就必須進(jin)(jin)(jin)入(ru)選(xuan)(xuan)項(xiang)菜(cai)(cai)(cai)單(dan)(dan)了(le),里(li)(li)(li)面(mian)(mian)(mian)除了(le)常規(gui)選(xuan)(xuan)項(xiang)的(de)(de)(de)設(she)置(zhi),還(huan)(huan)有(you)安全性設(she)置(zhi)和(he)(he)還(huan)(huan)原選(xuan)(xuan)項(xiang)設(she)置(zhi)。在文件(jian)(jian)(jian)(jian)管理(li)菜(cai)(cai)(cai)單(dan)(dan)中,你(ni)(ni)可(ke)(ke)以(yi)對(dui)文件(jian)(jian)(jian)(jian)進(jin)(jin)(jin)行分割、比(bi)較、復(fu)制和(he)(he)剖析(xi),功(gong)(gong)(gong)(gong)能(neng)(neng)十分強大(da)。“工具”選(xuan)(xuan)項(xiang)里(li)(li)(li)面(mian)(mian)(mian)包含的(de)(de)(de)是(shi)(shi)(shi)文件(jian)(jian)(jian)(jian)新建(jian)、打開(kai)、保存(cun)、打印、屬(shu)性工具;剪切、粘(zhan)貼(tie)和(he)(he)復(fu)制編(bian)輯(ji)工具;查(cha)找文本和(he)(he)Hex值,替換文本和(he)(he)Hex值;文件(jian)(jian)(jian)(jian)定位(wei)(wei)(wei)(wei)工具、RAM編(bian)輯(ji)器(qi)、計(ji)算器(qi)、區塊(kuai)分析(xi)和(he)(he)磁盤編(bian)輯(ji)工具等(deng)(deng)(deng)等(deng)(deng)(deng)。這些功(gong)(gong)(gong)(gong)能(neng)(neng)除了(le)在菜(cai)(cai)(cai)單(dan)(dan)里(li)(li)(li)面(mian)(mian)(mian)進(jin)(jin)(jin)行選(xuan)(xuan)擇之外,還(huan)(huan)可(ke)(ke)以(yi)通過菜(cai)(cai)(cai)單(dan)(dan)下面(mian)(mian)(mian)的(de)(de)(de)一列快(kuai)捷(jie)按(an)鈕來(lai)執行。
◇在使用Winhex時(shi)首先(xian)打開一(yi)個需要處理的(de)(de)(de)文(wen)(wen)件(jian)(jian)(jian)(jian),窗口中(zhong)顯(xian)示(shi)十(shi)六進制(zhi)HEX格式的(de)(de)(de)數(shu)值和地(di)址。在旁邊的(de)(de)(de)區域顯(xian)示(shi)文(wen)(wen)件(jian)(jian)(jian)(jian)名(ming)稱(cheng)、大(da)小、創建(jian)時(shi)間、最后修改(gai)(gai)日期,窗口屬性以(yi)(yi)及相(xiang)關信息。利用鼠標拖(tuo)放功能你可(ke)(ke)(ke)以(yi)(yi)選擇(ze)一(yi)塊(kuai)數(shu)值進行修改(gai)(gai)編輯。按(an)Ctrl+T,彈出(chu)數(shu)據修改(gai)(gai)對(dui)(dui)話(hua)框,選擇(ze)數(shu)據類(lei)型和字節變(bian)換方(fang)(fang)式,可(ke)(ke)(ke)以(yi)(yi)方(fang)(fang)便的(de)(de)(de)修改(gai)(gai)區塊(kuai)中(zhong)的(de)(de)(de)數(shu)據。執(zhi)(zhi)行文(wen)(wen)件(jian)(jian)(jian)(jian)菜(cai)單(dan)中(zhong)的(de)(de)(de)創建(jian)備(bei)(bei)份(fen)命令(ling),彈出(chu)備(bei)(bei)份(fen)對(dui)(dui)話(hua)框,你可(ke)(ke)(ke)以(yi)(yi)指(zhi)定(ding)備(bei)(bei)份(fen)的(de)(de)(de)文(wen)(wen)件(jian)(jian)(jian)(jian)名(ming)和路(lu)徑、備(bei)(bei)份(fen)說(shuo)明,還可(ke)(ke)(ke)以(yi)(yi)選擇(ze)是否(fou)自動由備(bei)(bei)份(fen)管理指(zhi)定(ding)文(wen)(wen)件(jian)(jian)(jian)(jian)夾,是否(fou)保存檢(jian)查和摘要,是否(fou)壓(ya)縮備(bei)(bei)份(fen)和加密備(bei)(bei)份(fen),這樣你可(ke)(ke)(ke)以(yi)(yi)方(fang)(fang)便的(de)(de)(de)將你的(de)(de)(de)文(wen)(wen)件(jian)(jian)(jian)(jian)進行備(bei)(bei)份(fen),下次執(zhi)(zhi)行文(wen)(wen)件(jian)(jian)(jian)(jian)菜(cai)單(dan)中(zhong)的(de)(de)(de)裝載備(bei)(bei)份(fen)就(jiu)可(ke)(ke)(ke)以(yi)(yi)打開備(bei)(bei)份(fen)文(wen)(wen)件(jian)(jian)(jian)(jian)了(le),十(shi)分(fen)方(fang)(fang)便
◇強(qiang)大的(de)(de)(de)(de)(de)(de)查(cha)找功(gong)能:Winhex具(ju)有(you)強(qiang)大的(de)(de)(de)(de)(de)(de)查(cha)找搜(sou)(sou)(sou)索(suo)(suo)(suo)功(gong)能,可(ke)以(yi)(yi)(yi)(yi)(yi)(yi)查(cha)找和(he)(he)替換文(wen)本或Hex值(zhi)。選(xuan)(xuan)擇搜(sou)(sou)(sou)索(suo)(suo)(suo)菜(cai)單中(zhong)的(de)(de)(de)(de)(de)(de)聯(lian)合搜(sou)(sou)(sou)索(suo)(suo)(suo)項,彈出搜(sou)(sou)(sou)索(suo)(suo)(suo)對話框(kuang),先(xian)輸入該文(wen)件(jian)要搜(sou)(sou)(sou)索(suo)(suo)(suo)的(de)(de)(de)(de)(de)(de)十六進(jin)制值(zhi)選(xuan)(xuan)擇通配符和(he)(he)搜(sou)(sou)(sou)索(suo)(suo)(suo)的(de)(de)(de)(de)(de)(de)范圍就可(ke)以(yi)(yi)(yi)(yi)(yi)(yi)開始(shi)(shi)搜(sou)(sou)(sou)索(suo)(suo)(suo)了。你可(ke)以(yi)(yi)(yi)(yi)(yi)(yi)選(xuan)(xuan)擇在(zai)(zai)整(zheng)個文(wen)件(jian)中(zhong)搜(sou)(sou)(sou)索(suo)(suo)(suo),也可(ke)選(xuan)(xuan)擇僅(jin)在(zai)(zai)區塊(kuai)中(zhong)進(jin)行有(you)條件(jian)的(de)(de)(de)(de)(de)(de)搜(sou)(sou)(sou)索(suo)(suo)(suo)。而且在(zai)(zai)Winhex中(zhong)可(ke)以(yi)(yi)(yi)(yi)(yi)(yi)方(fang)(fang)便(bian)的(de)(de)(de)(de)(de)(de)進(jin)行定(ding)(ding)(ding)(ding)位(wei)(wei)(wei)(wei)操(cao)作,快速轉道(dao)新的(de)(de)(de)(de)(de)(de)位(wei)(wei)(wei)(wei)置。執行定(ding)(ding)(ding)(ding)位(wei)(wei)(wei)(wei)菜(cai)單中(zhong)的(de)(de)(de)(de)(de)(de)標記(ji)定(ding)(ding)(ding)(ding)位(wei)(wei)(wei)(wei)命(ming)令(ling),或按Ctrl+L,將鼠標指向需(xu)要定(ding)(ding)(ding)(ding)位(wei)(wei)(wei)(wei)的(de)(de)(de)(de)(de)(de)位(wei)(wei)(wei)(wei)置,就可(ke)以(yi)(yi)(yi)(yi)(yi)(yi)在(zai)(zai)當前鼠標所(suo)(suo)在(zai)(zai)的(de)(de)(de)(de)(de)(de)位(wei)(wei)(wei)(wei)置作上標記(ji),不管你操(cao)作到(dao)什(shen)么地方(fang)(fang),按組合鍵Ctrl+k,就可(ke)以(yi)(yi)(yi)(yi)(yi)(yi)返回到(dao)標記(ji)所(suo)(suo)在(zai)(zai)的(de)(de)(de)(de)(de)(de)位(wei)(wei)(wei)(wei)置。執行定(ding)(ding)(ding)(ding)位(wei)(wei)(wei)(wei)菜(cai)單中(zhong)的(de)(de)(de)(de)(de)(de)刪(shan)除(chu)標記(ji)命(ming)令(ling),可(ke)以(yi)(yi)(yi)(yi)(yi)(yi)將所(suo)(suo)作的(de)(de)(de)(de)(de)(de)標記(ji)刪(shan)除(chu)。除(chu)了利用(yong)標記(ji)定(ding)(ding)(ding)(ding)位(wei)(wei)(wei)(wei)以(yi)(yi)(yi)(yi)(yi)(yi)外,你還可(ke)以(yi)(yi)(yi)(yi)(yi)(yi)方(fang)(fang)便(bian)的(de)(de)(de)(de)(de)(de)轉到(dao)文(wen)件(jian)的(de)(de)(de)(de)(de)(de)開始(shi)(shi)和(he)(he)結尾(wei),區塊(kuai)的(de)(de)(de)(de)(de)(de)開始(shi)(shi)和(he)(he)結尾(wei),行首(shou)和(he)(he)行尾(wei)以(yi)(yi)(yi)(yi)(yi)(yi)及頁首(shou)和(he)(he)頁尾(wei)。你可(ke)以(yi)(yi)(yi)(yi)(yi)(yi)自(zi)己試(shi)一(yi)試(shi),相信(xin)你很(hen)快就知(zhi)道(dao)了。
◇Winhex集成了強大的(de)(de)工具,包(bao)括(kuo)磁盤(pan)編輯(ji)(ji)器,計算器,Hex轉(zhuan)換器和RAM編輯(ji)(ji)工具,使用十分方(fang)便。按F9,彈(dan)(dan)出磁盤(pan)編輯(ji)(ji)器對話框,首先選(xuan)擇(ze)磁盤(pan)分區,然后(hou)按確定按鈕就可(ke)以方(fang)便的(de)(de)對磁盤(pan)的(de)(de)空(kong)余空(kong)間進行清(qing)理。點(dian)擊(ji)工具欄中的(de)(de)RAM編輯(ji)(ji)工具按鈕,彈(dan)(dan)出RAM編輯(ji)(ji)器,選(xuan)擇(ze)需要瀏(liu)覽(lan)或編輯(ji)(ji)修改的(de)(de)RAM區,選(xuan)擇(ze)確定就可(ke)以了,RAM的(de)(de)內容就顯示在主(zhu)窗(chuang)口(kou)了。
如果您(nin)在PCTOOLS之后再(zai)也沒有碰到(dao)過稱心的(de)十六進制(zhi)編輯器(qi),那么我推薦你使(shi)用WINHEX。
功能包括:
- 硬盤(pan), 軟盤(pan), CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盤(pan)編(bian)輯器。
- 支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文(wen)件系(xi)統(tong)。
- 支持對磁盤陣列(lie) RAID 系統和動態磁盤的重組、分析和數(shu)據恢復。
- 多種數據恢(hui)復技(ji)術。
- 可分(fen)析(xi) RAW 格(ge)式原(yuan)始數據(ju)鏡(jing)像(xiang)文件(jian)中的完(wan)整目錄結構,支持分(fen)段保存的鏡(jing)像(xiang)文件(jian)。
- 數據(ju)解釋器, 已知 20 種數據(ju)類型。
- 使用模板編(bian)輯數據結構 (例如: 修復(fu)分區(qu)(qu)表/引(yin)導(dao)扇區(qu)(qu))。
- 連(lian)接和分(fen)割、以奇數偶(ou)數字節(jie)或字的方式合并、分(fen)解文件。
- 分析(xi)和比較文件。
- 搜索和替換(huan)功能(neng)尤其(qi)靈活(huo)。
- 磁盤克隆 (可在 DOS 環境下使用 X-Ways Replica)。
- 驅動器鏡像和備(bei)份 (可選(xuan)壓縮或分割成 650 MB 的檔案)。
- 程序接口 (API) 和(he)腳本。
- 256 位(wei) AES 加密, 校驗(yan)和, CRC32, 哈希(xi)算法(fa) (MD5, SHA-1, ...)。
- 數據擦除功能(neng),可徹(che)底清除存儲介質中殘(can)留數據。
- 可導(dao)入剪貼板所有格式數據, 包括 ASCII、16 進(jin)制(zhi)數據。
- 可進(jin)行(xing) 2 進(jin)制(zhi)、16 進(jin)制(zhi) ASCII, Intel 16 進(jin)制(zhi), 和 Motorola S 轉(zhuan)換。
- 字符集: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)。
- 立即(ji)窗口切換、打印、生(sheng)成(cheng)隨(sui)機數字。
- 支持打開大(da)于 4 GB 的文件,非常快速,容易使用。
- 廣泛的聯(lian)機幫助。
WinHex 計(ji)算機法證版
X-Ways Forensics- 它能讓(rang)計算(suan)機(ji)上所有的位和字節都(dou)在您的指(zhi)尖下變成現實。購買前(qian)可免費(fei)試用。
X-Ways Forensics 13.9 以后的版本(ben)只有正(zheng)式用戶才可下載(zai) (下載(zai)地址(zhi)在購(gou)買后提供)。
特別注意
盡量不要(yao)解(jie)壓至中文(wen)名(ming)文(wen)件(jian)夾下(xia),否(fou)則運行出錯(cuo)!
V16.8更新內容:
WinHex可以(yi)用(yong)來(lai)檢(jian)查和(he)修復各種文件、恢復刪除文件、硬盤(pan)損壞造成的數據丟失等。
12.8 sr-2更新內容:
* 現在(zai)(zai)可(ke)以在(zai)(zai)容器根層遞歸探(tan)索證據(ju)對象概況,在(zai)(zai)基于動態填(tian)充設置上,可(ke)以在(zai)(zai)一個方便的平面視圖中(zhong)列出(chu)所(suo)有(you)子目錄中(zhong)的所(suo)有(you)文(wen)件。
* X-Ways Forensics 現在(zai)可以在(zai)內部重新匯編硬件 RAID5 系統到級別0,并且(qie)支(zhi)持奇偶校驗(yan)。
* 如果一個 RAID 系統(tong)(tong)添加(jia)到一個容(rong)器作(zuo)為(wei)證據對象,當名稱或(huo)位置改變時(shi)現(xian)在(zai)可以(yi)很(hen)容(rong)易替(ti)換 RAID 系統(tong)(tong)的一部分。
* 一些在(zai)(zai) RAM 編輯器中被(bei)隱藏的進程(cheng)現在(zai)(zai)能夠列出。
* 現在可以(yi)間(jian)接填充證據文件(jian)內容。
* 可以選取報告表(biao)中某(mou)幾列到(dao)容(rong)器報名中。(查(cha)看容(rong)器屬性)
* 更(geng)進(jin)一步改進(jin)文件路徑太長的兼容(rong)性(xing)。
* 修正 12.7 版本自動檢測(ce)物理磁盤 RAW 映(ying)(ying)象(xiang)為單獨的(de)分區(qu)映(ying)(ying)象(xiang)。
* 幾(ji)個其它局部改進和(he)錯誤修(xiu)正(zheng)
* 針對 UFS 在線提供不同的模板(ban)。
* 更(geng)多更(geng)新內(nei)容請(qing)到網(wang)站時事(shi)通(tong)訊(xun)中查(cha)看(kan)
設置中文的方法
點擊菜單欄(lan)最后的“help”-“setup”-“Chinese,please!”
軟件使用說明
下面我們來看看該軟件的使用(yong)。
標(biao)題欄:與一(yi)(yi)般的應用軟件一(yi)(yi)樣,標(biao)題欄中(zhong)顯(xian)示軟件名(ming)稱和當(dang)前打開(kai)的文件名(ming)稱;
菜單欄:Winhex的菜單欄由八(ba)個(ge)菜單項組成-文(wen)件菜單、編(bian)輯菜單、搜(sou)索、定位、工具、選(xuan)項菜單、文(wen)件管(guan)理、窗口和(he)幫助菜單。
在(zai)文(wen)(wen)件菜(cai)單中,除(chu)了常(chang)規的(de)新(xin)建(jian)、打開文(wen)(wen)件和(he)保存以(yi)及(ji)退出命令以(yi)外(wai),還有(you)備(bei)份(fen)管理(li)、創(chuang)建(jian)備(bei)份(fen)和(he)載入備(bei)份(fen)功能。選擇文(wen)(wen)件菜(cai)單中的(de)屬性(xing)項(xiang)(xiang),彈出文(wen)(wen)件屬性(xing)窗(chuang)口,包(bao)(bao)括文(wen)(wen)件路徑、名稱、大小、創(chuang)建(jian)時間和(he)修改日期等內容。在(zai)編輯(ji)(ji)菜(cai)單中,除(chu)了常(chang)規的(de)復制、粘貼和(he)剪切功能外(wai),還有(you)數據格式轉換和(he)修改的(de)功能。在(zai)搜(sou)索(suo)菜(cai)單中,你可以(yi)查(cha)找(zhao)或(huo)替換文(wen)(wen)本(ben)內容和(he)十(shi)六進(jin)制文(wen)(wen)件,搜(sou)索(suo)整數值和(he)浮點數值。在(zai)定(ding)(ding)位(wei)(wei)菜(cai)單中,你可以(yi)根據偏移地(di)址和(he)區塊的(de)位(wei)(wei)置快速定(ding)(ding)位(wei)(wei)。在(zai)工具菜(cai)單中,包(bao)(bao)括磁盤編輯(ji)(ji)工具、文(wen)(wen)本(ben)編輯(ji)(ji)工具、計算(suan)器、模板管理(li)工具和(he)Hex轉換器,使用十(shi)分方便。在(zai)選項(xiang)(xiang)菜(cai)單中,包(bao)(bao)括常(chang)規選項(xiang)(xiang)設(she)置、安全性(xing)設(she)置和(he)還原選項(xiang)(xiang)設(she)置。
在Winhex的(de)(de)工(gong)(gong)(gong)(gong)具(ju)(ju)(ju)欄中,包括(kuo)文(wen)(wen)件(jian)新建(jian)、打(da)開(kai)、保存(cun)、打(da)印、屬性工(gong)(gong)(gong)(gong)具(ju)(ju)(ju);剪切、粘貼和(he)(he)(he)(he)復制編(bian)輯(ji)工(gong)(gong)(gong)(gong)具(ju)(ju)(ju);查找文(wen)(wen)本(ben)和(he)(he)(he)(he)Hex值,替換文(wen)(wen)本(ben)和(he)(he)(he)(he)Hex值;文(wen)(wen)件(jian)定位工(gong)(gong)(gong)(gong)具(ju)(ju)(ju)、RAM編(bian)輯(ji)器、計算器、區塊分(fen)析(xi)和(he)(he)(he)(he)磁盤(pan)編(bian)輯(ji)工(gong)(gong)(gong)(gong)具(ju)(ju)(ju);選項設置工(gong)(gong)(gong)(gong)具(ju)(ju)(ju)和(he)(he)(he)(he)幫(bang)助工(gong)(gong)(gong)(gong)具(ju)(ju)(ju)按(an)鈕。通(tong)過使用工(gong)(gong)(gong)(gong)具(ju)(ju)(ju)欄中的(de)(de)快捷按(an)鈕可(ke)以更方(fang)便(bian)的(de)(de)進行操作,這(zhe)些和(he)(he)(he)(he)菜(cai)單中相(xiang)應(ying)的(de)(de)命令是(shi)一樣的(de)(de)。
在使(shi)用(yong)Winhex之前需要進行相應的(de)(de)選(xuan)(xuan)(xuan)(xuan)項設(she)(she)(she)置(zhi)(zhi)(zhi)(zhi)(zhi),點(dian)擊工具欄中的(de)(de)選(xuan)(xuan)(xuan)(xuan)項設(she)(she)(she)置(zhi)(zhi)(zhi)(zhi)(zhi)快(kuai)捷圖(tu)標(biao)(biao)(biao)按鈕(niu),彈(dan)出(chu)選(xuan)(xuan)(xuan)(xuan)項設(she)(she)(she)置(zhi)(zhi)(zhi)(zhi)(zhi)對(dui)話(hua)框.它包括是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)將WinHex作為默認(ren)關聯,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)添加(jia)WinHex到上下(xia)文(wen)(wen)菜單(dan),是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)不更(geng)新(xin)(xin)文(wen)(wen)件名(ming),是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)快(kuai)速打(da)開文(wen)(wen)件以(yi)及(ji)是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)顯(xian)示文(wen)(wen)件圖(tu)標(biao)(biao)(biao)和(he)工具欄。而且你還(huan)可(ke)以(yi)設(she)(she)(she)置(zhi)(zhi)(zhi)(zhi)(zhi)最近打(da)開的(de)(de)文(wen)(wen)件列表中文(wen)(wen)件的(de)(de)數目,選(xuan)(xuan)(xuan)(xuan)擇是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)用(yong)TAB鍵產生標(biao)(biao)(biao)記,設(she)(she)(she)置(zhi)(zhi)(zhi)(zhi)(zhi)臨(lin)時文(wen)(wen)件夾、備份文(wen)(wen)件夾和(he)文(wen)(wen)本編輯的(de)(de)路徑。在常規設(she)(she)(she)置(zhi)(zhi)(zhi)(zhi)(zhi)中,你可(ke)以(yi)選(xuan)(xuan)(xuan)(xuan)擇是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)選(xuan)(xuan)(xuan)(xuan)擇顯(xian)示雙(shuang)光標(biao)(biao)(biao)和(he)頁(ye)分隔符,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)逐行滾動(dong)(dong),是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)顯(xian)示Windows進度條,此外你還(huan)可(ke)以(yi)設(she)(she)(she)置(zhi)(zhi)(zhi)(zhi)(zhi)字體類型和(he)顏色(se),相信你很快(kuai)就學會(hui)了。執(zhi)行選(xuan)(xuan)(xuan)(xuan)項菜單(dan)中的(de)(de)安全項,彈(dan)出(chu)安全保護選(xuan)(xuan)(xuan)(xuan)項設(she)(she)(she)置(zhi)(zhi)(zhi)(zhi)(zhi)窗口,你可(ke)以(yi)選(xuan)(xuan)(xuan)(xuan)擇是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)限(xian)制驅動(dong)(dong)控制,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)計(ji)算標(biao)(biao)(biao)準(zhun)檢查和(he)扇區讀入緩存以(yi)及(ji)是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)確認(ren)更(geng)新(xin)(xin)文(wen)(wen)件。另外你可(ke)以(yi)選(xuan)(xuan)(xuan)(xuan)擇是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)自(zi)動(dong)(dong)檢查磁簇,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)總顯(xian)示恢(hui)復報告,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)對(dui)下(xia)個會(hui)話(hua)保持驅動(dong)(dong)映像,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)隱蔽輸入加(jia)密(mi)關鍵碼(*****)以(yi)及(ji)檢查虛擬內存變換和(he)在RAM中是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)保留密(mi)匙。在所(suo)有設(she)(she)(she)置(zhi)(zhi)(zhi)(zhi)(zhi)完成后(hou),點(dian)擊保存按鈕(niu),然后(hou)按確定(ding)按鈕(niu)返回主窗口。
數據恢復分類
硬(ying)(ying)恢(hui)復(fu)(fu)(fu)和軟恢(hui)復(fu)(fu)(fu)。所謂硬(ying)(ying)恢(hui)復(fu)(fu)(fu)就是硬(ying)(ying)盤出現物理性損(sun)(sun)傷,比(bi)如(ru)有(you)盤體(ti)壞(huai)道、電(dian)路板(ban)(ban)芯(xin)片(pian)燒毀(hui)、盤體(ti)異響,等故障(zhang),由此所導致的普通(tong)用戶(hu)不容易取(qu)出里面(mian)數(shu)據(ju),那(nei)么我們將(jiang)它修(xiu)好,同時又保(bao)留里面(mian)的數(shu)據(ju)或后來恢(hui)復(fu)(fu)(fu)里面(mian)的數(shu)據(ju),這(zhe)(zhe)些都叫數(shu)據(ju)恢(hui)復(fu)(fu)(fu),只(zhi)不過這(zhe)(zhe)些故障(zhang)有(you)容易的和困難的之分(fen);所謂軟恢(hui)復(fu)(fu)(fu),就是硬(ying)(ying)盤本身沒(mei)有(you)物理損(sun)(sun)傷,而是由于人為或者病毒(du)破壞(huai)所造成的數(shu)據(ju)丟失(比(bi)如(ru)誤格(ge)式化,誤分(fen)區(qu)),那(nei)么這(zhe)(zhe)樣的數(shu)據(ju)恢(hui)復(fu)(fu)(fu)就叫軟恢(hui)復(fu)(fu)(fu)。因為硬(ying)(ying)恢(hui)復(fu)(fu)(fu)還需要購買一(yi)(yi)些工(gong)具設(she)備(比(bi)如(ru)pc3000,電(dian)烙鐵,各種芯(xin)片(pian)、電(dian)路板(ban)(ban)),而且還需要懂一(yi)(yi)點點電(dian)路基礎,我們主要使(shi)用軟恢(hui)復(fu)(fu)(fu)。
數據恢復的前提
數據不能被二次破壞、覆蓋!
硬盤數據結構
下面是一個分了三(san)個區的整個硬盤的數據結構
MBR C盤EBRD盤 EBR E盤
MBR,即主引導(dao)(dao)紀錄,位于整個硬盤的0柱面0磁道1扇(shan)區(qu),共占用(yong)(yong)了63個扇(shan)區(qu),但實際(ji)只使用(yong)(yong)了1個扇(shan)區(qu)(512字(zi)節)。在總共512字(zi)節的主引導(dao)(dao)記(ji)錄中,MBR又可分為三(san)部(bu)(bu)(bu)分:第(di)(di)一部(bu)(bu)(bu)分:引導(dao)(dao)代碼,占用(yong)(yong)了446個字(zi)節;第(di)(di)二(er)部(bu)(bu)(bu)分:分區(qu)表(biao),占用(yong)(yong)了64字(zi)節;第(di)(di)三(san)部(bu)(bu)(bu)分:55AA,結束標(biao)志,占用(yong)(yong)了兩個字(zi)節。后面我們(men)要(yao)(yao)說的用(yong)(yong)winhex軟件(jian)來恢復誤分區(qu),主要(yao)(yao)就(jiu)是恢復第(di)(di)二(er)部(bu)(bu)(bu)分:分區(qu)表(biao)。
引導代碼的作用
就是讓硬(ying)盤(pan)(pan)具(ju)備可以引(yin)(yin)導(dao)的功(gong)能。如(ru)(ru)果引(yin)(yin)導(dao)代碼(ma)丟失,分(fen)(fen)區表(biao)還在(zai),那(nei)么這個(ge)硬(ying)盤(pan)(pan)作(zuo)為從(cong)盤(pan)(pan)所有分(fen)(fen)區數(shu)據(ju)都(dou)還在(zai),只是這個(ge)硬(ying)盤(pan)(pan)自己不能夠用來(lai)啟動進系統了。如(ru)(ru)果要恢復引(yin)(yin)導(dao)代碼(ma),可以用DOS下的命(ming)令(ling):FDISK /MBR;這個(ge)命(ming)令(ling)只是用來(lai)恢復引(yin)(yin)導(dao)代碼(ma),不會引(yin)(yin)起分(fen)(fen)區改變,丟失數(shu)據(ju)。另外,也可以用工(gong)具(ju)軟件(jian),比(bi)如(ru)(ru)DISKGEN、WINHEX等。
但分區(qu)(qu)(qu)表如果(guo)丟失,后果(guo)就(jiu)是整個硬盤一個分區(qu)(qu)(qu)沒(mei)有,就(jiu)好(hao)像剛買來一個新(xin)硬盤沒(mei)有分過區(qu)(qu)(qu)一樣。是很多病毒喜歡破壞的區(qu)(qu)(qu)域。
EBR,也叫做擴(kuo)展MBR(Extended MBR)。因為主(zhu)引導(dao)記錄MBR最多只能描述4個分區項,如果想(xiang)要在一個硬盤上(shang)分多于4個區,就要采用(yong)擴(kuo)展MBR的辦法。
MBR、EBR是(shi)分區產生的(de)。
比如MBR和EBR各都占(zhan)用(yong)63個扇(shan)區,C盤占(zhan)用(yong)1435329個扇(shan)區……那(nei)么數據結構如下表:
63 1435329 63 1435329 63 1253889
MBR C盤 EBR D盤 EBR E盤
擴展分區
而每一個分區又由DBR、FAT1、FAT2、DIR、DATA5部分組成:比如(ru)C盤(pan)的數(shu)據結構(gou):
C 盤
DBR FAT1 FAT2 DIR DATA
恢復教程
Winhex有完善的分區(qu)管(guan)理功能(neng)和文(wen)(wen)件管(guan)理功能(neng),能(neng)自動分析(xi)分區(qu)鏈(lian)和文(wen)(wen)件簇(cu)鏈(lian),能(neng)對硬盤(pan)進(jin)行(xing)不(bu)同方式不(bu)同程(cheng)度(du)的備份(fen),甚至(zhi)克隆整個(ge)硬盤(pan);它能(neng)夠編輯任何(he)一種文(wen)(wen)件類型的二進(jin)制(zhi)內容(用十六進(jin)制(zhi)顯(xian)示(shi))其磁(ci)盤(pan)編輯器可(ke)以編輯物理磁(ci)盤(pan)或邏輯磁(ci)盤(pan)的任意扇區(qu),是(shi)手工(gong)恢復數據的首選工(gong)具軟(ruan)件。
首先要安裝(zhuang)Winhex,安裝(zhuang)完(wan)了(le)就(jiu)可以啟(qi)動(dong)winhex了(le),啟(qi)動(dong)后,首先出現的是啟(qi)動(dong)中心對(dui)話框。
這(zhe)里我們要對(dui)磁(ci)盤(pan)進行(xing)操作,就選擇(ze)“打開磁(ci)盤(pan)”,出現(xian)“編輯磁(ci)盤(pan)”對(dui)話框(kuang):
在(zai)這(zhe)個對(dui)話(hua)框里(li),我們(men)可(ke)以選擇(ze)對(dui)單個分區打開(kai),也可(ke)以對(dui)整個硬(ying)盤(pan)打開(kai),HD0是我現在(zai)正(zheng)用(yong)的西(xi)部數據(ju)40G系統盤(pan),HD1是我們(men)要分析的硬(ying)盤(pan),邁拓2G。這(zhe)里(li)我們(men)就選擇(ze)打開(kai)HD1整個硬(ying)盤(pan),再(zai)點(dian)確定.然后我們(men)就看到了(le)Winhex的整個工作(zuo)界面。
最(zui)上(shang)面(mian)(mian)(mian)的(de)(de)(de)是(shi)(shi)菜單欄(lan)和工具(ju)欄(lan),下面(mian)(mian)(mian)最(zui)大的(de)(de)(de)窗口(kou)是(shi)(shi)工作區,現(xian)在看到的(de)(de)(de)是(shi)(shi)硬盤的(de)(de)(de)第一個扇區的(de)(de)(de)內容,以十六進制進行顯(xian)示,并在右(you)邊顯(xian)示相應的(de)(de)(de)ASCII碼,右(you)邊是(shi)(shi)詳細(xi)資(zi)(zi)源(yuan)(yuan)面(mian)(mian)(mian)板(ban),分為(wei)五個部分:狀態(tai)、容量、當前(qian)位(wei)置、窗口(kou)情況和剪(jian)貼板(ban)情況。這些(xie)情況對(dui)把握整個硬盤的(de)(de)(de)情況非(fei)常有幫助。另(ling)外,在其上(shang)單擊鼠標右(you)鍵,可以將詳細(xi)資(zi)(zi)源(yuan)(yuan)面(mian)(mian)(mian)板(ban)與窗口(kou)對(dui)換位(wei)置,或(huo)關閉(bi)資(zi)(zi)源(yuan)(yuan)面(mian)(mian)(mian)板(ban)。(如(ru)果關閉(bi)了資(zi)(zi)源(yuan)(yuan)面(mian)(mian)(mian)板(ban)可以通過“察看”菜單——“顯(xian)示”命令——“詳細(xi)資(zi)(zi)源(yuan)(yuan)面(mian)(mian)(mian)板(ban)”來打開)。
最(zui)下面一欄是(shi)非(fei)常有用的輔助(zhu)信息,如當前扇(shan)區(qu)/總扇(shan)區(qu)數(shu)目(mu)……等
向(xiang)下拉(la)拉(la)滾(gun)動條,可以看到(dao)一個(ge)(ge)灰色(se)的橫(heng)(heng)杠(gang),每(mei)到(dao)一個(ge)(ge)橫(heng)(heng)杠(gang)為一個(ge)(ge)扇區(qu),一個(ge)(ge)扇區(qu)共512字(zi)(zi)節,每(mei)兩個(ge)(ge)數字(zi)(zi)為一個(ge)(ge)字(zi)(zi)節,比如00。
下(xia)面我們來(lai)分(fen)(fen)析(xi)一下(xia)MBR,因(yin)為前面我們說過,前446個字節為引導代碼,對我們來(lai)說沒有意義,這里我們只分(fen)(fen)析(xi)分(fen)(fen)區表(biao)中的64個字節。
分(fen)(fen)(fen)(fen)(fen)區表(biao)(biao)64個(ge)字節,一共可以(yi)描(miao)(miao)述4個(ge)分(fen)(fen)(fen)(fen)(fen)區表(biao)(biao)項(xiang),每一個(ge)分(fen)(fen)(fen)(fen)(fen)區表(biao)(biao)項(xiang)可以(yi)描(miao)(miao)述一個(ge)主分(fen)(fen)(fen)(fen)(fen)區或一個(ge)擴展分(fen)(fen)(fen)(fen)(fen)區(比如上面的(de)分(fen)(fen)(fen)(fen)(fen)區表(biao)(biao),第一個(ge)分(fen)(fen)(fen)(fen)(fen)區表(biao)(biao)項(xiang)描(miao)(miao)述主分(fen)(fen)(fen)(fen)(fen)區C盤,第二個(ge)分(fen)(fen)(fen)(fen)(fen)區表(biao)(biao)項(xiang)描(miao)(miao)述擴展分(fen)(fen)(fen)(fen)(fen)區,第三(san)第四個(ge)分(fen)(fen)(fen)(fen)(fen)區表(biao)(biao)項(xiang)填(tian)零未(wei)用)
每一個分區表項各(ge)占(zhan)16個字節(jie),各(ge)字節(jie)含(han)義如下:(H表示16進(jin)制)
字節(jie)位置(zhi) 內(nei)容及含義
第1字節(jie) 引導(dao)標(biao)志。若(ruo)(ruo)值(zhi)為80H表(biao)示活(huo)動分區(qu);若(ruo)(ruo)值(zhi)為00H表(biao)示非活(huo)動分區(qu)。
第2、3、4字節 本分區的(de)起始磁頭號(hao)、扇(shan)區號(hao)、柱面號(hao)
第5字節 分區類型符:
00H——表示該分區未(wei)用
06H——FAT16基本分區
0BH——FAT32基本分區
05H——擴(kuo)展分(fen)區
07H——NTFS分區(qu)
0FH——(LBA模式(shi))擴(kuo)展(zhan)分(fen)區(qu)
83H—— Linux分區
第6、7、8字節 本分區的結束(shu)磁頭號、扇(shan)區號、柱(zhu)面號
第9、10、11、12字節 本分區(qu)之前(qian)已(yi)用了的扇區(qu)數(shu)
第13、14、15、16字節 本分區的總扇區數
此硬(ying)盤(pan)的第一分區表(即MBR)分析(xi)如下:
第一個分區表項(C盤)
第1字節(jie)80:表示此(ci)分區(qu)(qu)為活動(dong)分區(qu)(qu);
第(di)5字(zi)節0B:表(biao)示分區類型為Fat32;
第9、10、11、12字節 系(xi)統隱含(han)扇(shan)(shan)區(qu)(qu)3F 00 00 00:所謂系(xi)統隱含(han)扇(shan)(shan)區(qu)(qu)就是(shi)本分區(qu)(qu)(C盤)之前(qian)已用了的扇(shan)(shan)區(qu)(qu)數(shu)(shu)(shu),這是(shi)一個(ge)十(shi)六進制數(shu)(shu)(shu),但要注意:真正的隱含(han)扇(shan)(shan)區(qu)(qu)數(shu)(shu)(shu)應該反過來(lai)填寫(比(bi)如(ru):隱含(han)扇(shan)(shan)區(qu)(qu)數(shu)(shu)(shu)為3E 4D 5A 6F,則反過來(lai)就是(shi)6F 5A 4D 3E ,這才(cai)是(shi)實(shi)際的隱含(han)扇(shan)(shan)區(qu)(qu)數(shu)(shu)(shu))。那么(me),3F 00 00 00反過來(lai)寫就是(shi)00 00 003F,也就是(shi)3F,將(jiang)他轉成十(shi)進制數(shu)(shu)(shu)我們(men)才(cai)能知道實(shi)際的隱含(han)扇(shan)(shan)區(qu)(qu)數(shu)(shu)(shu)是(shi)多大。這可(ke)以(yi)使用計算器來(lai)算,單擊工(gong)具欄上的“計算器”按鈕(niu)。
這樣就啟動了計算器
計算器有兩種型(xing)(xing)號,我們(men)要(yao)進行進制轉換,就要(yao)選擇“科學型(xing)(xing)”
比如我們(men)要(yao)將(jiang)十六進制3F轉換為十進制,就要(yao)先選中“十六進制”,然后(hou)輸入3F
再選中“十(shi)進制(zhi)(zhi)”,十(shi)六進制(zhi)(zhi)3F轉(zhuan)為(wei)十(shi)進制(zhi)(zhi)等于(yu)63。想一想我們前面(mian)所(suo)講的(de),MBR占用63個(ge)扇(shan)(shan)區(qu)(qu)(qu),也就是(shi)C盤之前已用了的(de)扇(shan)(shan)區(qu)(qu)(qu)數為(wei)63,第64個(ge)扇(shan)(shan)區(qu)(qu)(qu)就是(shi)C盤的(de)第一個(ge)扇(shan)(shan)區(qu)(qu)(qu),但要注意的(de)是(shi),整個(ge)硬盤的(de)LBA地址(zhi)是(shi)從零(ling)開始(shi)的(de),0~62的(de)扇(shan)(shan)區(qu)(qu)(qu)為(wei)MBR。
第(di)13、14、15、16字節本分區總(zong)扇(shan)區數(shu)(shu)(當然,這也就(jiu)(jiu)是C盤(pan)(pan)(pan)的(de)(de)大小):C1 E6 15 00,同樣(yang),實際的(de)(de)十(shi)六進制數(shu)(shu)也要反過來才對,也就(jiu)(jiu)是00 15 E6 C1,將它轉換成十(shi)六進制數(shu)(shu)是1435329。給你(ni)出個(ge)(ge)(ge)題,你(ni)知道D盤(pan)(pan)(pan)的(de)(de)EBR在哪個(ge)(ge)(ge)扇(shan)區嗎?我們一起(qi)來算一下,還記得(de)前面數(shu)(shu)據結(jie)構那(nei)個(ge)(ge)(ge)表嗎?C盤(pan)(pan)(pan)后面不就(jiu)(jiu)是D盤(pan)(pan)(pan)的(de)(de)EBR嗎?D盤(pan)(pan)(pan)EBR的(de)(de)第(di)一個(ge)(ge)(ge)扇(shan)區=MBR+C盤(pan)(pan)(pan)的(de)(de)大小,也就(jiu)(jiu)是 63+1435329=1435392。
我們來看(kan)看(kan)對(dui)不對(dui),單擊工具欄上(shang)的“轉(zhuan)到(dao)扇區”按(an)鈕,出現一個(ge)“轉(zhuan)到(dao)扇區”對(dui)話框
然后輸(shu)入1435392,再點“確定”,就到(dao)了(le)1435392扇區(qu)了(le)(你可以使用它(ta)再轉回(hui)到(dao)0扇區(qu))
這個(ge)就是D盤的(de)EBR,也就是D盤的(de)分區(qu)(qu)表了,怎(zen)么知道的(de)呢?因為(wei)MBR和EBR的(de)結構是完全(quan)一樣的(de),都(dou)是占用(yong)了63個(ge)扇(shan)區(qu)(qu),但只(zhi)用(yong)了第(di)一個(ge)扇(shan)區(qu)(qu),其余62個(ge)扇(shan)區(qu)(qu)填(tian)零(ling)不用(yong)。第(di)一個(ge)扇(shan)區(qu)(qu)前(qian)446個(ge)字(zi)(zi)節(jie)都(dou)為(wei)引(yin)(yin)導代碼(ma),后64個(ge)字(zi)(zi)節(jie)為(wei)分區(qu)(qu)表,最(zui)后2個(ge)字(zi)(zi)節(jie)為(wei)55AA結束(shu)標志。因為(wei)EBR不是活動分區(qu)(qu),不需要引(yin)(yin)導代碼(ma),所以前(qian)446個(ge)字(zi)(zi)節(jie)為(wei)零(ling)。
還有另一種(zhong)方法直接找到D盤的EBR,扇區.
這樣,分(fen)區(qu)表中的第(di)一個(ge)分(fen)區(qu)表項共十六個(ge)字節分(fen)析完畢,下面我們(men)再(zai)來看(kan)看(kan)第(di)二個(ge)分(fen)區(qu)表項(擴展分(fen)區(qu))。
第1字(zi)節00:表(biao)示(shi)非(fei)活動分(fen)區
第5字節05:表(biao)示擴展分區
第(di)9、10、11、12字節00 E7 15 00:本分區之前的(de)扇區數(擴(kuo)展分區前面也就是(shi)MBR和C盤,好像我們前面算(suan)過(guo)這(zhe)(zhe)個數?)同樣(yang),先將它(ta)反過(guo)來(lai),就是(shi)00 15 E7 00 ,再轉為十進制是(shi)1435392,看(kan)來(lai)我們前面真的(de)算(suan)過(guo)這(zhe)(zhe)個數。
第13、14、15、16字節40 09 29 00:本分(fen)區(qu)的(de)(de)(de)總扇區(qu)數。也(ye)就是(shi)(shi)擴展分(fen)區(qu)的(de)(de)(de)總扇區(qu)數。轉為十進制應該是(shi)(shi)2689344。想(xiang)一想(xiang),用這個(ge)數加上前面的(de)(de)(de)1435392,不正好是(shi)(shi)整個(ge)硬盤的(de)(de)(de)總扇區(qu)數4124736嗎?
這(zhe)樣(yang)(yang),如果分區(qu)(qu)(qu)表被破(po)壞,我們只要把(ba)這(zhe)些數值(zhi)都(dou)計算(suan)出來并填上,分區(qu)(qu)(qu)表不就恢復(fu)了(le)?那么,這(zhe)里我們為什么不分析第2、3、4字節(本分區(qu)(qu)(qu)的(de)起始(shi)磁(ci)頭(tou)號(hao)、扇(shan)區(qu)(qu)(qu)號(hao)、柱面(mian)號(hao))和第6、7、8字節(本分區(qu)(qu)(qu)的(de)結束(shu)磁(ci)頭(tou)號(hao)、扇(shan)區(qu)(qu)(qu)號(hao)、柱面(mian)號(hao))呢?這(zhe)是因為C/H/S(柱面(mian)/磁(ci)頭(tou)/扇(shan)區(qu)(qu)(qu))是老式(shi)硬盤的(de)尋址方(fang)(fang)式(shi),這(zhe)種尋址方(fang)(fang)式(shi)來管理硬盤效率很(hen)低;而現在(zai)幾(ji)乎所有的(de)硬盤都(dou)支持LBA(全稱是Logic Block Address,即扇(shan)區(qu)(qu)(qu)的(de)邏輯塊地址)尋址方(fang)(fang)式(shi),這(zhe)種管理方(fang)(fang)式(shi)簡單高效。在(zai)LBA方(fang)(fang)式(shi)下,系統(tong)把(ba)所有的(de)物(wu)理扇(shan)區(qu)(qu)(qu)都(dou)統(tong)一(yi)編號(hao),按照從零到某個(ge)最大(da)值(zhi)排列,這(zhe)樣(yang)(yang)只用一(yi)個(ge)序數就確定了(le)一(yi)個(ge)唯(wei)一(yi)的(de)物(wu)理扇(shan)區(qu)(qu)(qu)。
小知(zhi)識:具體一(yi)個(ge)(ge)(ge)硬(ying)(ying)盤(pan)有(you)(you)多少個(ge)(ge)(ge)LBA(扇區(qu))不需(xu)要(yao)我們去(qu)記憶,因為用各種工具軟件(如(ru)MHDD WINHEX等(deng))都可以檢測到(dao)。我們只要(yao)知(zhi)道個(ge)(ge)(ge)大(da)概(gai)(gai)就(jiu)行了(le):如(ru)10G的(de)硬(ying)(ying)盤(pan)大(da)概(gai)(gai)有(you)(you)2000萬(wan)(wan)(wan)個(ge)(ge)(ge)扇區(qu);20G的(de)硬(ying)(ying)盤(pan)大(da)概(gai)(gai)有(you)(you)4000萬(wan)(wan)(wan)個(ge)(ge)(ge)扇區(qu);40G的(de)硬(ying)(ying)盤(pan)大(da)概(gai)(gai)有(you)(you)8000萬(wan)(wan)(wan)個(ge)(ge)(ge)扇區(qu)……那(nei)么,2G的(de)硬(ying)(ying)盤(pan)大(da)概(gai)(gai)有(you)(you)400萬(wan)(wan)(wan)個(ge)(ge)(ge)扇區(qu)。
那(nei)么,你可(ke)能(neng)要問了:如果(guo)要恢復分(fen)區(qu)表(biao),這(zhe)個起始磁頭號(hao)、扇(shan)區(qu)號(hao)、柱面(mian)號(hao)還有結(jie)束磁頭號(hao)、扇(shan)區(qu)號(hao)、柱面(mian)號(hao)應該(gai)怎么填(tian)呢?簡單(dan)得很,在后面(mian)恢復分(fen)區(qu)表(biao)的時候(hou)我會告訴(su)你,直接填(tian),都不用計(ji)算。
還有興(xing)趣來(lai)分析(xi)一下(xia)D盤的EBR嗎?
其(qi)實(shi)D盤的(de)(de)EBR和E盤的(de)(de)EBR我們不(bu)(bu)分析也罷,因(yin)為(wei)無(wu)非也是(shi)(shi)分區表,跟(gen)MBR的(de)(de)結構是(shi)(shi)一樣的(de)(de),但卻(que)很容(rong)(rong)易把我們繞暈,又因(yin)為(wei)EBR一般不(bu)(bu)容(rong)(rong)易被破壞,所以我不(bu)(bu)建議(yi)分析EBR。
但如(ru)果你一定要分(fen)析,那就分(fen)析吧。
單擊“訪問”下拉按鈕——“分(fen)(fen)區(qu)二(er)”——“分(fen)(fen)區(qu)表”,直接(jie)就到(dao)1435392扇(shan)區(qu),即(ji)D盤的(de)分(fen)(fen)區(qu)表EBR。
第一個分區(qu)表項(xiang)(D盤):
第1個(ge)字節(jie)00:表示非(fei)活(huo)動(dong)分(fen)區
第5個字(zi)節06:表示FAT16分區(qu)
第9、10、11、12字節3F 00 00 00:本分(fen)區(qu)之(zhi)前已用了的扇區(qu)數,也就是EBR的數目,63個。
第13、14、15、16字(zi)節C1 E6 15 00:本(ben)分區的總扇區數,也(ye)就是(shi)D盤(pan)的扇區數,先反過來排列就是(shi)00 15 E6 C1,轉為十(shi)進制(zhi)就是(shi)1435329。
第二個分(fen)區表項(D盤后面的):
第1個字(zi)節00:表示非活(huo)動(dong)分區(qu)
第5個字節(jie)05:表(biao)示擴展分區
第9、10、11、12字節00 E7 15 00:本分區之前已用了的(de)扇(shan)區數(shu),也就是D盤的(de)EBR加(jia)D盤總共的(de)大小(xiao), 63+1435329=1435392
第13、14、15、16字(zi)節(jie)40 22 13 00:本分區的(de)總扇區數,1253952,也就是E盤的(de)大小再(zai)加上一(yi)個EBR的(de)數目。
單(dan)擊(ji)“訪(fang)問”下拉按(an)鈕——“分區三”——“分區表”,直接就到(dao)2870784扇區,即(ji)E
盤(pan)(pan)的分區表EBR。因(yin)為E盤(pan)(pan)后(hou)面沒有(you)分區了(le),所以沒有(you)第二個分區表項(xiang)。這里我們就不再研(yan)究了(le),有(you)興趣的話可以自己多(duo)備(bei)一塊硬(ying)盤(pan)(pan)作從盤(pan)(pan),然后(hou)自己分分區研(yan)究研(yan)究。
通過以上(shang)的(de)研(yan)究(jiu)我們總結(jie)(jie)(jie)(jie)一(yi)(yi)(yi)(yi)(yi)下,MBR在定義(yi)(yi)(yi)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)時候(hou),將多余的(de)容量定義(yi)(yi)(yi)為(wei)(wei)擴(kuo)(kuo)展(zhan)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),指(zhi)(zhi)定該(gai)擴(kuo)(kuo)展(zhan)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)起(qi)止位(wei)置(zhi),根(gen)據(ju)起(qi)始位(wei)置(zhi)指(zhi)(zhi)向(xiang)硬(ying)(ying)盤(pan)的(de)某一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),作為(wei)(wei)下一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)表項,接著在該(gai)扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)繼續(xu)定義(yi)(yi)(yi)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),如(ru)果(guo)只有(you)(you)(you)(you)一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)(jiu)定義(yi)(yi)(yi)該(gai)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),然(ran)后(hou)結(jie)(jie)(jie)(jie)束;如(ru)果(guo)不(bu)(bu)止一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)(jiu)定義(yi)(yi)(yi)一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)基本分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)和一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)擴(kuo)(kuo)展(zhan)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),擴(kuo)(kuo)展(zhan)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)再指(zhi)(zhi)向(xiang)下一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)描(miao)述扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),在該(gai)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)上(shang)按照上(shang)述原(yuan)則繼續(xu)定義(yi)(yi)(yi)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),直(zhi)至分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)定義(yi)(yi)(yi)結(jie)(jie)(jie)(jie)束。這些(xie)用來(lai)描(miao)述分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)形成(cheng)一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)“分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)”,通過這個(ge)(ge)(ge)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian),就(jiu)(jiu)可以描(miao)述所有(you)(you)(you)(you)的(de)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。系統在啟動(dong)時按照分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)的(de)連接順序查(cha)找(zhao)(zhao)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),直(zhi)至找(zhao)(zhao)出(chu)所有(you)(you)(you)(you)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。這個(ge)(ge)(ge)鏈(lian)顯然(ran)是(shi)個(ge)(ge)(ge)開鏈(lian)結(jie)(jie)(jie)(jie)構,如(ru)果(guo)形成(cheng)一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)環,系統本身(shen)并不(bu)(bu)會(hui)去(qu)判斷它,它只是(shi)按照這個(ge)(ge)(ge)鏈(lian)忠實的(de)查(cha)找(zhao)(zhao)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),而(er)不(bu)(bu)進行任何(he)額外的(de)檢測(ce)與處理。所謂(wei)硬(ying)(ying)盤(pan)邏(luo)(luo)輯鎖,就(jiu)(jiu)是(shi)讓分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)形成(cheng)一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)環,這樣(yang)系統在啟動(dong)時就(jiu)(jiu)在分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)表內(nei)循環,表現為(wei)(wei)系統無(wu)法引導,就(jiu)(jiu)是(shi)從軟盤(pan)啟動(dong),也不(bu)(bu)能進入硬(ying)(ying)盤(pan)。明白了其結(jie)(jie)(jie)(jie)構原(yuan)理,解決(jue)這個(ge)(ge)(ge)問(wen)題就(jiu)(jiu)簡單了,目(mu)前有(you)(you)(you)(you)很多種(zhong)(zhong)方(fang)法解決(jue)這個(ge)(ge)(ge)問(wen)題,后(hou)面我們還會(hui)講(jiang)到(dao)。系統就(jiu)(jiu)是(shi)利(li)用這種(zhong)(zhong)方(fang)法使(shi)一(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)硬(ying)(ying)盤(pan)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)后(hou)看起(qi)來(lai)象多個(ge)(ge)(ge)硬(ying)(ying)盤(pan)。系統能夠找(zhao)(zhao)到(dao)C盤(pan)以外的(de)其他邏(luo)(luo)輯盤(pan)的(de)唯一(yi)(yi)(yi)(yi)(yi)辦法就(jiu)(jiu)是(shi),沿著EBR所描(miao)述的(de)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)查(cha)找(zhao)(zhao)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。
其(qi)實,通常情(qing)(qing)況下EBR是不會被破壞的(de)(de),或者破壞的(de)(de)幾率極低極低,通常情(qing)(qing)況下,都是只有(you)MBR被破壞,那(nei)么這種情(qing)(qing)況下,我們只要(yao)把MBR的(de)(de)分(fen)區(qu)(qu)表64個(ge)字節復原(yuan),其(qi)他的(de)(de)分(fen)區(qu)(qu)順著分(fen)區(qu)(qu)表所提供的(de)(de)鏈自(zi)然(ran)而然(ran)就(jiu)出來了。那(nei)么,如(ru)何才能將(jiang)分(fen)區(qu)(qu)表復原(yuan)呢?這就(jiu)要(yao)通過計算結(jie)合Winhex強大(da)的(de)(de)功能來實現了。
下面(mian)我們(men)就來模(mo)仿(fang)分區(qu)表被病毒破壞的情(qing)況(kuang),將(jiang)MBR全部填零。我們(men)首(shou)先將(jiang)MBR所在(zai)的扇區(qu)選(xuan)(xuan)中。鼠標(biao)指向第一個字節,單擊右鍵,選(xuan)(xuan)擇“選(xuan)(xuan)塊開始”
然后鼠(shu)標(biao)指向MBR的最后一個字節,單擊右鍵,選擇“選塊結(jie)尾”
然后我們在選(xuan)區內部單擊鼠標右鍵,選(xuan)擇“編輯(ji)”
這樣就有出來一個(ge)菜單
然后我(wo)們選(xuan)“填充(chong)選(xuan)塊”,這樣就出來(lai)一個填充(chong)選(xuan)塊對話(hua)框
在(zai)“用十(shi)六進(jin)制填(tian)充”的輸入(ru)框中(zhong)輸入(ru)“00”,再點“確定”
這樣MBR所在扇區全部被我們填充為“00”
如果想取消(xiao)選(xuan)(xuan)區,那就用鼠標拖動隨便(bian)選(xuan)(xuan)中一塊區域(yu),那么原來的選(xuan)(xuan)區就會(hui)取消(xiao)。注(zhu)意,如果扇(shan)區數據(ju)被(bei)修改了而沒有存盤就會(hui)變為(wei)別的顏色。
修改了扇區,這時候(hou)還(huan)沒有(you)存(cun)(cun)盤(pan)(pan)生(sheng)(sheng)效(xiao),如果你想存(cun)(cun)盤(pan)(pan)生(sheng)(sheng)效(xiao)的(de)話,就選(xuan)擇“文(wen)件”菜(cai)單“保存(cun)(cun)扇區”命令。
這(zhe)時(shi)候就會出現一個(ge)提(ti)示(shi),如果你不想(xiang)存盤(pan)了就點取消,如果想(xiang)存盤(pan),就點確定,再(zai)點是。
好(hao),這樣就存盤了,扇區被修改的數據又變為黑色。
這樣我們就把(ba)分區表給刪除(chu)了,這時(shi)候必須(xu)重(zhong)新啟動才能生(sheng)效(xiao),如(ru)果你打(da)開(kai)我的(de)電腦,會發現三個分區(F、G、H)還(huan)在那里,并且里面的(de)數據還(huan)能正常使用。
現在,我(wo)們關(guan)閉所(suo)有(you)程序將電腦(nao)重(zhong)新啟動(dong)……
經過不(bu)長時間的等待,電(dian)腦啟動起(qi)來了,我們打開我的電(dian)腦看看,發現F、G、H三(san)個分區不(bu)見了。
再打開Winhex發現(xian)MBR全部為零(ling)了,下面我們就(jiu)著手開始手工恢(hui)復分區表
首先恢復引導代(dai)碼(ma),這最(zui)簡(jian)單了(le),只(zhi)要用Winhex到(dao)別的系(xi)統(tong)盤把引導代(dai)碼(ma)復制(zhi)過來就(jiu)(jiu)行了(le)。我現(xian)在的機器上不是掛(gua)著兩(liang)個(ge)硬(ying)盤嗎?一(yi)個(ge)邁拓2G,一(yi)個(ge)西數40G,西數40G是我的系(xi)統(tong)盤,那就(jiu)(jiu)從這個(ge)盤上復制(zhi)就(jiu)(jiu)行了(le)。
單擊“磁盤(pan)編(bian)輯器”按鈕
出現“編輯磁盤”對話(hua)框
選擇“HD0WDC WD400EB---00CPF0”,點“確定”
這樣(yang)我(wo)們(men)就把(ba)系統盤(pan)的(de)分區(qu)表(biao)給(gei)打開(kai)(kai)了,注意,現在我(wo)們(men)是(shi)打開(kai)(kai)了兩個窗(chuang)(chuang)(chuang)口(kou),當(dang)前的(de)窗(chuang)(chuang)(chuang)口(kou)是(shi)“硬盤(pan)0”,在標(biao)題(ti)欄上有顯示。另外,打開(kai)(kai)窗(chuang)(chuang)(chuang)口(kou)菜(cai)單(dan)也能看出來,當(dang)前窗(chuang)(chuang)(chuang)口(kou)被打上一個勾,如果想(xiang)切換回原來的(de)窗(chuang)(chuang)(chuang)口(kou),就點(dian)擊(ji)“硬盤(pan)1”。
首先選(xuan)中系統盤的引(yin)導代(dai)碼(ma)
然后在選區(qu)中(zhong)單擊鼠標(biao)右鍵,選“編輯”
又出(chu)來一(yi)個(ge)菜(cai)單,然后(hou)我們選“復(fu)制選塊”——“正常”
然后我們(men)切換回(hui)硬盤1窗(chuang)口,在(zai)零扇區的(de)第一(yi)個(ge)字節(jie)處單擊鼠標右鍵,選“編輯(ji)”
然后選(xuan)“剪(jian)貼板(ban)數據”——“寫入(ru)……”
出現一個窗(chuang)口提示,點(dian)“確(que)定”
這樣,我們就(jiu)把一(yi)個正常系統盤(pan)上的引導代(dai)碼復制過來了。
下面,我(wo)們就開始恢復(fu)分(fen)(fen)區表(biao)(共64個字節,分(fen)(fen)為4個分(fen)(fen)區表(biao)項(xiang),每個分(fen)(fen)區表(biao)項(xiang)占用(yong)16個字節,一般只使用(yong)前(qian)兩(liang)個分(fen)(fen)區表(biao)項(xiang)),我(wo)們首先來(lai)恢復(fu)第(di)一個分(fen)(fen)區標項(xiang)(也就是用(yong)來(lai)描述C盤的)。
首先,在第1個字節處(chu)(0扇區倒數(shu)第五(wu)行,倒數(shu)第二個字節)填(tian)上分區引導標志,因為C盤是活動分區,所以填(tian)上80。
接著是(shi)第2、3、4字(zi)節(本(ben)分區起始磁頭(tou)號(hao)、扇區號(hao)、柱(zhu)面號(hao)),填上:01 01 00。
第(di)5字節(jie)是(shi)分區類型符(fu),因為原先C盤(pan)是(shi)Fat32格式,所以填上:0B。那么(me),如果你不(bu)知(zhi)道(dao)C盤(pan)是(shi)什么(me)格式怎么(me)辦呢?你會說(shuo)(shuo)問問客(ke)戶呀(ya),那么(me)如果他也不(bu)知(zhi)道(dao)呢?別著(zhu)急(ji),后面在說(shuo)(shuo)恢復DBR的(de)時候我(wo)會教(jiao)你怎么(me)分辨分區的(de)格式。
第6、7、8字節是(shi)本分區的結束磁(ci)頭(tou)號(hao)、扇區號(hao)、柱(zhu)面號(hao),這怎么(me)(me)知道呢?別著急(ji),現在的磁(ci)盤都(dou)是(shi)按(an)(an)照LBA方(fang)式(shi)尋址,并不按(an)(an)照C/H/S(及柱(zhu)面、磁(ci)頭(tou)、扇區)方(fang)式(shi)尋址,所以這個(ge)地方(fang)你填些什么(me)(me)一般關系不大,但是(shi)我要告訴你有一個(ge)通用的填法,那就(jiu)是(shi):FE FF FF。
第(di)9、10、11、12字(zi)節(jie),本分區之前已用了的扇(shan)區數,也(ye)就(jiu)是(shi)(shi)MBR所占用的扇(shan)區數,那不(bu)是(shi)(shi)63嗎?對,但是(shi)(shi)要將(jiang)63轉為十六(liu)進制數,再反過來(lai)倒著填寫(xie)上。還記得怎么(me)用計(ji)算器嗎?將(jiang)63轉為十六(liu)進制數是(shi)(shi)3F,不(bu)夠四個字(zi)節(jie)前面(mian)加零(ling),也(ye)就(jiu)是(shi)(shi)00 00 00 3F,再將(jiang)此數從右向(xiang)左(zuo)依次序反過來(lai)就(jiu)是(shi)(shi)3F 00 00 00。
第13、14、15、16字節(jie)是(shi)(shi)本分區(qu)的(de)(de)(de)總扇(shan)(shan)區(qu)數,也就是(shi)(shi)C盤(pan)的(de)(de)(de)大(da)小,這(zhe)(zhe)就要通過稍微(wei)一點點計算來得到了。因為C盤(pan)是(shi)(shi)從第63個(ge)(ge)扇(shan)(shan)區(qu)開(kai)始,而C盤(pan)后面緊接著的(de)(de)(de)是(shi)(shi)EBR,所(suo)(suo)以(yi)用EBR所(suo)(suo)在(zai)的(de)(de)(de)第一個(ge)(ge)扇(shan)(shan)區(qu)數減去63就是(shi)(shi)C盤(pan)的(de)(de)(de)大(da)小。那(nei)么(me)如何才能找到EBR所(suo)(suo)在(zai)的(de)(de)(de)第一個(ge)(ge)扇(shan)(shan)區(qu)呢?我們前面說過,EBR的(de)(de)(de)結構和MBR是(shi)(shi)一樣的(de)(de)(de),所(suo)(suo)以(yi),EBR的(de)(de)(de)結束標志也一定是(shi)(shi)55AA,那(nei)么(me),只要我們找到這(zhe)(zhe)個(ge)(ge)結束標志,再看看這(zhe)(zhe)個(ge)(ge)扇(shan)(shan)區(qu)是(shi)(shi)不是(shi)(shi)EBR不就行了?
單擊(ji)“搜索”——“查找十六進(jin)制數值……”,然后(hou)出來一個對(dui)話(hua)框
在文本框中(zhong)輸入“55AA”,搜索框中(zhong)選(xuan)“全部”,然后選(xuan)中(zhong)“條件(jian)”,把(ba)偏移量設置為“512=510”。
再單擊“確(que)定”。畫面如下:
首先找(zhao)到第一(yi)個“55AA”,我(wo)們看到,個扇區在(zai)第63個扇區上,并不(bu)是(shi)我(wo)們要找(zhao)的EBR,再按F3繼續查找(zhao)
又(you)找到好(hao)幾個(ge)(ge)扇區,都不(bu)是(shi),那(nei)么下面這個(ge)(ge)扇區是(shi)不(bu)是(shi)?
前面我們說過(guo),EBR的(de)結構和MBR的(de)結構是(shi)(shi)一樣(yang)的(de),所以在倒數(shu)第五行倒數(shu)第二(er)個字節(jie)應該是(shi)(shi)00 01,并且前446個字節(jie)應該是(shi)(shi)0,顯然(ran)這也不是(shi)(shi)EBR,繼(ji)續按F3查找……終于找到了(le)真(zhen)正的(de)EBR,在1435392扇區。
小技巧:現在的(de)(de)硬盤都比較大(da)(da),要逐個(ge)(ge)扇(shan)區(qu)的(de)(de)查找(zhao)55AA確實太慢(man)了,那么有沒有辦法快(kuai)點呢?有,那就是(shi)先問問客(ke)戶C盤大(da)(da)概有多(duo)大(da)(da),大(da)(da)多(duo)數(shu)客(ke)戶還是(shi)知道(dao)的(de)(de),比如他說C盤大(da)(da)概有10個(ge)(ge)G,那么你就不(bu)要從頭開(kai)始找(zhao)了,因為那實在太慢(man)了。10個(ge)(ge)G大(da)(da)概是(shi)2000萬個(ge)(ge)扇(shan)區(qu),那么你可以用轉到(dao)扇(shan)區(qu)命令直接到(dao)1900萬扇(shan)區(qu),從那個(ge)(ge)地(di)方再開(kai)始找(zhao)不(bu)就省事多(duo)了。
用1435392減去63,得(de)到1435329,再(zai)(zai)轉為(wei)16進制(zhi),就是15E6C1,將他倒(dao)轉過(guo)來就是C1E61500,這(zhe)就是C盤的大小。這(zhe)樣,第一(yi)個分區(qu)表項填(tian)寫完(wan)畢,我們保存一(yi)下,再(zai)(zai)接著填(tian)寫第二個分區(qu)表項。
第二個分區(qu)表第1個字節:因為(wei)是非活動分區(qu),所(suo)以寫(xie)00
第2、3、4字(zi)節,填寫01 01 00(通(tong)用的)
第5字節:因(yin)為是擴展(zhan)分區,所以(yi)填寫(xie)0F
第6、7、8字節:填寫(xie)FE FF FF(通(tong)用(yong))
第9、10、11、12字(zi)節是(shi)(shi)本分(fen)區之前(qian)已用了的扇區數,應(ying)該就(jiu)(jiu)是(shi)(shi)C盤(pan)大小加63,也就(jiu)(jiu)是(shi)(shi)1435392,前(qian)面剛計(ji)算出來的,轉(zhuan)為十六進制(zhi)數再反(fan)過(guo)來就(jiu)(jiu)是(shi)(shi)00 E7 15 00
第13、14、15、16字(zi)節是(shi)本分(fen)區(qu)的總扇區(qu)數(shu),也(ye)就是(shi)擴展(zhan)分(fen)區(qu)的總扇區(qu)數(shu),也(ye)就是(shi)用整個硬盤的大(da)小(xiao)減去C盤的大(da)小(xiao)再減去63,即4124736-1435329-63=2689344,轉為(wei)十六進制就是(shi)290940,反過來(lai)就是(shi)40092900。
這(zhe)樣,第二個分區(qu)表項就(jiu)填(tian)寫完(wan)了(le)。
不要(yao)忘了把最后的結束標志(zhi)55AA填上,這樣,MBR就(jiu)全恢復(fu)完了,最后,保存(cun),再(zai)重新啟(qi)動……
啟動完(wan)畢,迫不及待的打開我的電腦,發現三個(ge)分(fen)區全部(bu)又回來了,并且里面的數據完(wan)好無損。
再右擊(ji)“我的電腦”,選“管理(li)”
出現一個對話(hua)框,選“磁(ci)(ci)盤(pan)管理”,在右邊可以看到磁(ci)(ci)盤(pan)一的(de)三個分區(Fat32、Fat16、Ntfs)全部都回來了,至此(ci),手(shou)工恢復分區表順利完成。
手(shou)工恢復數據(ju)恢復成(cheng)功(gong)率比(bi)較高,而且比(bi)較有(you)(you)趣(qu)味和挑(tiao)戰性(xing)(xing),能(neng)找回許(xu)多傻瓜似的(de)軟件(jian)(jian)所(suo)找不回來的(de)文件(jian)(jian),但是要(yao)(yao)求工程師一(yi)(yi)(yi)(yi)定要(yao)(yao)有(you)(you)耐性(xing)(xing),而且一(yi)(yi)(yi)(yi)定要(yao)(yao)保持清醒,清楚(chu)自己正在(zai)操作(zuo)什么,操作(zuo)完了(le)會有(you)(you)什么后果,能(neng)不能(neng)退回到上一(yi)(yi)(yi)(yi)步狀態。特(te)別是對(dui)一(yi)(yi)(yi)(yi)些破壞性(xing)(xing)操作(zuo),一(yi)(yi)(yi)(yi)定要(yao)(yao)考(kao)慮(lv)周到,只要(yao)(yao)條件(jian)(jian)允許(xu),就一(yi)(yi)(yi)(yi)定要(yao)(yao)在(zai)操作(zuo)之前(qian)進行備(bei)份,否(fou)則會造成(cheng)“血(xue)”的(de)教訓,切記!
歲月靜好(hao)
】編輯上傳提供,詞條(tiao)屬(shu)于(yu)開放詞條(tiao),當前頁面所展示的詞條(tiao)介紹(shao)涉(she)及宣傳內容屬(shu)于(yu)注冊用戶個人編輯行為(wei),與【WinHex】的所屬(shu)企(qi)業/所有人/主體無關,網(wang)(wang)站不(bu)完全保證內容信息(xi)的準確性、真實(shi)性,也(ye)不(bu)代表本站立(li)場,各項(xiang)數(shu)據信息(xi)存在更(geng)新不(bu)及時(shi)的情(qing)況(kuang),僅供參考,請以(yi)官方(fang)發布(bu)為(wei)準。如(ru)果頁面內容與實(shi)際情(qing)況(kuang)不(bu)符,可點擊“反饋(kui)”在線(xian)向(xiang)網(wang)(wang)站提出修改,網(wang)(wang)站將(jiang)核實(shi)后進行更(geng)正。
