具體來說(shuo),WinHex是一款(kuan)以通用的 16 進(jin)制編輯器(qi)為核心,專門(men)用來對付計(ji)算機取證(zheng)、數據恢復(fu)(fu)、低級(ji)數據處理、以及 IT 安(an)全(quan)性(xing)、各(ge)(ge)種日(ri)常緊急情(qing)況的高級(ji)工具:用來檢查(cha)和修復(fu)(fu)各(ge)(ge)種文(wen)件、恢復(fu)(fu)刪(shan)除文(wen)件、硬盤損壞(huai)、數碼相機卡損壞(huai)造成(cheng)的數據丟失等。功(gong)能包括(依(yi)照(zhao)授權類型):
* 查(cha)看,編輯(ji)和修復磁(ci)盤,可用(yong)于硬盤,軟盤,以及許多其它可存儲(chu)介質類型(xing)。
*支持 FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3, CDFS, UDF
* 內置RAID和動態磁盤分析器(qi)
* RAM 編(bian)輯器(qi),可直接(jie)查看/編(bian)輯被調(diao)試(shi)程序的虛擬內(nei)存
* 數(shu)據(ju)(ju)解釋器,精(jing)通 20 種數(shu)據(ju)(ju)類型
* 使用模(mo)板編輯數據結(jie)構
* 連接,分(fen)割,合并,分(fen)析(xi)和比較文件
* 智(zhi)能(neng)(neng)搜索和替換功能(neng)(neng),進行替換時,如果(guo)替換字(zi)符(fu)大于(yu)或小于(yu)原始字(zi)符(fu)時可進行選擇(ze)性操作(zuo)
* 不(bu)同(tong)驅(qu)動(dong)器克隆以(yi)及驅(qu)動(dong)器鏡像解釋(shi)
* 腳本(ben)和應用程序接口(API)
* 用于文件和磁盤的(de)成熟的(de)撤消和備份機制(zhi)
* 加密(mi)和(he)解(jie)密(mi)數(shu)據,Hash計算(校驗和(he),CRC32,MD5,SHA-1,...)
* 粉碎文(wen)(wen)件和磁盤數據,粉碎后的(de)文(wen)(wen)件和磁盤數據任何人都不可能進行恢復
* 支持所有剪貼板格式的導入
* 數據格式(shi)轉(zhuan)換,支持二進(jin)(jin)制(zhi),16 進(jin)(jin)制(zhi) ASCII,Intel 16 進(jin)(jin)制(zhi),及 Motorola-S 等(deng)數據之間的相互轉(zhuan)換;
* 隱(yin)(yin)藏數據和查找(zhao)隱(yin)(yin)藏數據
*支(zhi)持打開超過(guo)4GB的文件,而且速度(du)很快
* 用于計算(suan)機進程的眾多(duo)顯著有效的高(gao)級功能
在Winhex中(zhong)集(ji)成了強大的工(gong)具,包括(kuo)磁盤編(bian)(bian)輯器(qi)(qi),Hex轉換器(qi)(qi)和RAM編(bian)(bian)輯工(gong)具,并能夠方便的調(diao)用(yong)系統常(chang)用(yong)工(gong)具如(ru):計算(suan)器(qi)(qi),記事(shi)本(ben),瀏(liu)覽器(qi)(qi)等。在未登記注冊的版(ban)本(ben)中(zhong),可(ke)以編(bian)(bian)輯,但不能保(bao)存大小超過512K的文件且只能瀏(liu)覽而(er)不能修改(gai)編(bian)(bian)輯RAM區域。按(an)F8,彈出十(shi)六(liu)(liu)進(jin)(jin)制(zhi)(zhi)(zhi)(zhi)(zhi)和十(shi)進(jin)(jin)制(zhi)(zhi)(zhi)(zhi)(zhi)轉換器(qi)(qi),左邊(bian)(bian)欄顯示十(shi)六(liu)(liu)進(jin)(jin)制(zhi)(zhi)(zhi)(zhi)(zhi)數(shu)字,右(you)邊(bian)(bian)欄顯示十(shi)進(jin)(jin)制(zhi)(zhi)(zhi)(zhi)(zhi)數(shu)字。如(ru)果你在左邊(bian)(bian)輸入十(shi)六(liu)(liu)進(jin)(jin)制(zhi)(zhi)(zhi)(zhi)(zhi)數(shu),按(an)Enter其十(shi)進(jin)(jin)制(zhi)(zhi)(zhi)(zhi)(zhi)結果就出現(xian)在右(you)邊(bian)(bian)的矩形框中(zhong)了,反(fan)之亦然。如(ru)果你按(an)組合鍵Alt+F8,可(ke)調(diao)用(yong)系統計算(suan)器(qi)(qi)。
Winhex使用簡單(dan),功能強大,可(ke)以方便你程序的(de)調試、文本(ben)編輯、科學(xue)計算和(he)系統管理(li),相(xiang)信(xin)你會喜(xi)歡的(de)。如(ru)果你想刪除Winhex軟件,簡單(dan),把整個目錄干掉就(jiu)行了
在DOS時代,我(wo)們(men)編輯文(wen)件(jian)代碼用的(de)一般都是PCTOOLS5.0,可(ke)是自從FAT32出現(xian)以來,PCTOOLS5.0不能用了(le),就很(hen)少(shao)優秀的(de)文(wen)件(jian)編輯器(qi)出現(xian)過,不過現(xian)在筆(bi)者向(xiang)大家介紹的(de)這一款winhex可(ke)以說是繼前者之后(hou)的(de)最優秀的(de)文(wen)件(jian)編輯器(qi)了(le)。
作(zuo)為一(yi)個16進制(zhi)文(wen)(wen)件(jian)編(bian)輯(ji)(ji)(ji)(ji)與磁盤(pan)編(bian)輯(ji)(ji)(ji)(ji)軟(ruan)件(jian)。WinHex以文(wen)(wen)件(jian)小、速度快,功能強(qiang)大而著稱(cheng),連(lian)ZDNetSoftwareLibrary也(ye)給了他(ta)5星的(de)最(zui)高(gao)評價。它可以勝任Hex和(he)ASCII碼編(bian)輯(ji)(ji)(ji)(ji)修改,多文(wen)(wen)件(jian)尋(xun)替換功能,一(yi)般運(yun)算(suan)及邏輯(ji)(ji)(ji)(ji)運(yun)算(suan),磁盤(pan)磁區編(bian)輯(ji)(ji)(ji)(ji)(支持FAT16、FAT32和(he)NTFS)自(zi)動搜尋(xun)編(bian)輯(ji)(ji)(ji)(ji),文(wen)(wen)件(jian)比對和(he)分(fen)析,編(bian)輯(ji)(ji)(ji)(ji)內(nei)存里面的(de)資料(liao)等功能.
首先(xian)我(wo)(wo)們(men)到這里(li)去下(xia)載一(yi)個(ge)814KB大小的(de)(de)(de)(de)中文漢(han)化版本(ben)的(de)(de)(de)(de)WINHEX,漢(han)化版本(ben)更加容(rong)易(yi)使(shi)用嘛(ma),值(zhi)得(de)一(yi)提的(de)(de)(de)(de)是WINHEX是免費軟件,你可(ke)以在所有的(de)(de)(de)(de)WINDOWS平臺上面(mian)運(yun)行。安裝過程(cheng)(cheng)非常簡單(dan),成功安裝之后,程(cheng)(cheng)序圖標就會出(chu)現在“開始(shi)→程(cheng)(cheng)序”菜(cai)單(dan)和桌面(mian)上。其界(jie)面(mian)由標題欄、工(gong)具(ju)欄、菜(cai)單(dan)欄、圖片瀏覽區和狀態欄組成。下(xia)面(mian)我(wo)(wo)們(men)來簡要(yao)介紹一(yi)下(xia):
◇功(gong)能(neng)菜(cai)單(dan):WINHEX的(de)(de)(de)(de)菜(cai)單(dan)欄(lan)由八個菜(cai)單(dan)組(zu)成(cheng),分別是:文(wen)(wen)(wen)件、編(bian)(bian)輯、查(cha)找、位置(zhi)(zhi)、工(gong)具(ju)(ju)(ju)(ju)、選(xuan)項、文(wen)(wen)(wen)件管(guan)(guan)理器(qi)(qi)、窗口和(he)(he)幫助(zhu)。所有的(de)(de)(de)(de)功(gong)能(neng)都(dou)已經包(bao)含(han)(han)在里(li)(li)面(mian)(mian)了(le)(le)(le)(le)。在文(wen)(wen)(wen)件菜(cai)單(dan)里(li)(li)面(mian)(mian)包(bao)含(han)(han)的(de)(de)(de)(de)是新(xin)(xin)建(jian)(jian)、打開(kai)文(wen)(wen)(wen)件和(he)(he)保(bao)存以(yi)及退出命令(ling),另外(wai)(wai)還(huan)有備份(fen)管(guan)(guan)理、創(chuang)建(jian)(jian)備份(fen)和(he)(he)載入(ru)備份(fen)功(gong)能(neng)。在編(bian)(bian)輯菜(cai)單(dan)里(li)(li)面(mian)(mian)除了(le)(le)(le)(le)復制(zhi)粘(zhan)貼之類的(de)(de)(de)(de)常見(jian)命令(ling)之外(wai)(wai)還(huan)有對數據格(ge)式進(jin)行(xing)轉換(huan)和(he)(he)修(xiu)改的(de)(de)(de)(de)功(gong)能(neng)。查(cha)找功(gong)能(neng)是方便(bian)(bian)您在文(wen)(wen)(wen)件里(li)(li)面(mian)(mian)查(cha)找特定(ding)(ding)的(de)(de)(de)(de)文(wen)(wen)(wen)本(ben)(ben)(ben)(ben)內容或者(zhe)是十六進(jin)制(zhi)代碼的(de)(de)(de)(de),支持(chi)整(zheng)數值(zhi)和(he)(he)浮點數值(zhi)。位置(zhi)(zhi)菜(cai)單(dan)里(li)(li)面(mian)(mian)的(de)(de)(de)(de)命令(ling)就是讓你(ni)在編(bian)(bian)輯大體積的(de)(de)(de)(de)文(wen)(wen)(wen)件的(de)(de)(de)(de)時候能(neng)夠方便(bian)(bian)地(di)進(jin)行(xing)定(ding)(ding)位,你(ni)可以(yi)根據其中的(de)(de)(de)(de)偏移地(di)址或者(zhe)是區(qu)塊的(de)(de)(de)(de)位置(zhi)(zhi)來快(kuai)速定(ding)(ding)位。工(gong)具(ju)(ju)(ju)(ju)菜(cai)單(dan)里(li)(li)面(mian)(mian)包(bao)括的(de)(de)(de)(de)都(dou)是一(yi)些(xie)十分實用(yong)的(de)(de)(de)(de)功(gong)能(neng),譬(pi)如磁盤(pan)編(bian)(bian)輯工(gong)具(ju)(ju)(ju)(ju)(類似(si)(si)PCTOOLS里(li)(li)面(mian)(mian)的(de)(de)(de)(de)DISKEDIT)、文(wen)(wen)(wen)本(ben)(ben)(ben)(ben)編(bian)(bian)輯工(gong)具(ju)(ju)(ju)(ju)(類似(si)(si)記事本(ben)(ben)(ben)(ben))、計算器(qi)(qi)、模板管(guan)(guan)理工(gong)具(ju)(ju)(ju)(ju)和(he)(he)十進(jin)制(zhi)、十六進(jin)制(zhi)轉換(huan)器(qi)(qi)等(deng)(deng)等(deng)(deng)。如果你(ni)要對WINHEX的(de)(de)(de)(de)功(gong)能(neng)進(jin)行(xing)設(she)置(zhi)(zhi),那(nei)么就必須進(jin)入(ru)選(xuan)項菜(cai)單(dan)了(le)(le)(le)(le),里(li)(li)面(mian)(mian)除了(le)(le)(le)(le)常規選(xuan)項的(de)(de)(de)(de)設(she)置(zhi)(zhi),還(huan)有安全性(xing)設(she)置(zhi)(zhi)和(he)(he)還(huan)原選(xuan)項設(she)置(zhi)(zhi)。在文(wen)(wen)(wen)件管(guan)(guan)理菜(cai)單(dan)中,你(ni)可以(yi)對文(wen)(wen)(wen)件進(jin)行(xing)分割、比較、復制(zhi)和(he)(he)剖(pou)析,功(gong)能(neng)十分強大。“工(gong)具(ju)(ju)(ju)(ju)”選(xuan)項里(li)(li)面(mian)(mian)包(bao)含(han)(han)的(de)(de)(de)(de)是文(wen)(wen)(wen)件新(xin)(xin)建(jian)(jian)、打開(kai)、保(bao)存、打印、屬(shu)性(xing)工(gong)具(ju)(ju)(ju)(ju);剪切(qie)、粘(zhan)貼和(he)(he)復制(zhi)編(bian)(bian)輯工(gong)具(ju)(ju)(ju)(ju);查(cha)找文(wen)(wen)(wen)本(ben)(ben)(ben)(ben)和(he)(he)Hex值(zhi),替換(huan)文(wen)(wen)(wen)本(ben)(ben)(ben)(ben)和(he)(he)Hex值(zhi);文(wen)(wen)(wen)件定(ding)(ding)位工(gong)具(ju)(ju)(ju)(ju)、RAM編(bian)(bian)輯器(qi)(qi)、計算器(qi)(qi)、區(qu)塊分析和(he)(he)磁盤(pan)編(bian)(bian)輯工(gong)具(ju)(ju)(ju)(ju)等(deng)(deng)等(deng)(deng)。這些(xie)功(gong)能(neng)除了(le)(le)(le)(le)在菜(cai)單(dan)里(li)(li)面(mian)(mian)進(jin)行(xing)選(xuan)擇(ze)之外(wai)(wai),還(huan)可以(yi)通過菜(cai)單(dan)下(xia)面(mian)(mian)的(de)(de)(de)(de)一(yi)列快(kuai)捷(jie)按鈕來執(zhi)行(xing)。
◇在(zai)使(shi)用Winhex時(shi)首先打開一個需要處理的(de)(de)(de)文(wen)件(jian)(jian),窗口(kou)中(zhong)(zhong)顯示十六(liu)進制HEX格式的(de)(de)(de)數值和地址。在(zai)旁邊(bian)的(de)(de)(de)區域顯示文(wen)件(jian)(jian)名稱、大(da)小、創(chuang)建時(shi)間(jian)、最(zui)后(hou)修改日期,窗口(kou)屬(shu)性以(yi)(yi)及(ji)相關(guan)信(xin)息。利用鼠(shu)標(biao)拖(tuo)放功能你(ni)可(ke)(ke)以(yi)(yi)選擇(ze)(ze)一塊數值進行修改編輯。按Ctrl+T,彈出數據修改對(dui)話框,選擇(ze)(ze)數據類型(xing)和字節變換方(fang)(fang)式,可(ke)(ke)以(yi)(yi)方(fang)(fang)便的(de)(de)(de)修改區塊中(zhong)(zhong)的(de)(de)(de)數據。執行文(wen)件(jian)(jian)菜單中(zhong)(zhong)的(de)(de)(de)創(chuang)建備(bei)(bei)份(fen)(fen)(fen)命令,彈出備(bei)(bei)份(fen)(fen)(fen)對(dui)話框,你(ni)可(ke)(ke)以(yi)(yi)指(zhi)定備(bei)(bei)份(fen)(fen)(fen)的(de)(de)(de)文(wen)件(jian)(jian)名和路徑、備(bei)(bei)份(fen)(fen)(fen)說明,還可(ke)(ke)以(yi)(yi)選擇(ze)(ze)是否(fou)自(zi)動(dong)由備(bei)(bei)份(fen)(fen)(fen)管(guan)理指(zhi)定文(wen)件(jian)(jian)夾,是否(fou)保存檢(jian)查和摘要,是否(fou)壓縮備(bei)(bei)份(fen)(fen)(fen)和加密備(bei)(bei)份(fen)(fen)(fen),這樣(yang)你(ni)可(ke)(ke)以(yi)(yi)方(fang)(fang)便的(de)(de)(de)將(jiang)你(ni)的(de)(de)(de)文(wen)件(jian)(jian)進行備(bei)(bei)份(fen)(fen)(fen),下次執行文(wen)件(jian)(jian)菜單中(zhong)(zhong)的(de)(de)(de)裝載備(bei)(bei)份(fen)(fen)(fen)就可(ke)(ke)以(yi)(yi)打開備(bei)(bei)份(fen)(fen)(fen)文(wen)件(jian)(jian)了,十分方(fang)(fang)便
◇強大(da)的(de)(de)(de)查(cha)(cha)找功能:Winhex具有強大(da)的(de)(de)(de)查(cha)(cha)找搜索(suo)(suo)功能,可(ke)(ke)(ke)(ke)(ke)以(yi)(yi)(yi)查(cha)(cha)找和(he)替換文(wen)本或Hex值(zhi)。選擇搜索(suo)(suo)菜單中(zhong)(zhong)的(de)(de)(de)聯(lian)合搜索(suo)(suo)項(xiang),彈出搜索(suo)(suo)對(dui)話框,先輸入(ru)該文(wen)件(jian)(jian)要(yao)搜索(suo)(suo)的(de)(de)(de)十六(liu)進(jin)制值(zhi)選擇通配符和(he)搜索(suo)(suo)的(de)(de)(de)范(fan)圍就(jiu)可(ke)(ke)(ke)(ke)(ke)以(yi)(yi)(yi)開始(shi)搜索(suo)(suo)了。你(ni)可(ke)(ke)(ke)(ke)(ke)以(yi)(yi)(yi)選擇在整個文(wen)件(jian)(jian)中(zhong)(zhong)搜索(suo)(suo),也可(ke)(ke)(ke)(ke)(ke)選擇僅在區塊中(zhong)(zhong)進(jin)行(xing)(xing)有條(tiao)件(jian)(jian)的(de)(de)(de)搜索(suo)(suo)。而且在Winhex中(zhong)(zhong)可(ke)(ke)(ke)(ke)(ke)以(yi)(yi)(yi)方便(bian)的(de)(de)(de)進(jin)行(xing)(xing)定(ding)(ding)位(wei)操(cao)作(zuo)(zuo)(zuo),快速轉道新(xin)的(de)(de)(de)位(wei)置。執行(xing)(xing)定(ding)(ding)位(wei)菜單中(zhong)(zhong)的(de)(de)(de)標記(ji)(ji)定(ding)(ding)位(wei)命令,或按(an)Ctrl+L,將鼠標指向需(xu)要(yao)定(ding)(ding)位(wei)的(de)(de)(de)位(wei)置,就(jiu)可(ke)(ke)(ke)(ke)(ke)以(yi)(yi)(yi)在當前鼠標所在的(de)(de)(de)位(wei)置作(zuo)(zuo)(zuo)上標記(ji)(ji),不管你(ni)操(cao)作(zuo)(zuo)(zuo)到什么地方,按(an)組合鍵Ctrl+k,就(jiu)可(ke)(ke)(ke)(ke)(ke)以(yi)(yi)(yi)返回到標記(ji)(ji)所在的(de)(de)(de)位(wei)置。執行(xing)(xing)定(ding)(ding)位(wei)菜單中(zhong)(zhong)的(de)(de)(de)刪(shan)除(chu)(chu)(chu)標記(ji)(ji)命令,可(ke)(ke)(ke)(ke)(ke)以(yi)(yi)(yi)將所作(zuo)(zuo)(zuo)的(de)(de)(de)標記(ji)(ji)刪(shan)除(chu)(chu)(chu)。除(chu)(chu)(chu)了利用標記(ji)(ji)定(ding)(ding)位(wei)以(yi)(yi)(yi)外,你(ni)還可(ke)(ke)(ke)(ke)(ke)以(yi)(yi)(yi)方便(bian)的(de)(de)(de)轉到文(wen)件(jian)(jian)的(de)(de)(de)開始(shi)和(he)結尾(wei),區塊的(de)(de)(de)開始(shi)和(he)結尾(wei),行(xing)(xing)首和(he)行(xing)(xing)尾(wei)以(yi)(yi)(yi)及頁首和(he)頁尾(wei)。你(ni)可(ke)(ke)(ke)(ke)(ke)以(yi)(yi)(yi)自(zi)己試一試,相信(xin)你(ni)很快就(jiu)知(zhi)道了。
◇Winhex集成了強大的(de)(de)工具(ju)(ju),包括磁(ci)盤(pan)(pan)編輯(ji)(ji)(ji)器(qi)(qi),計算器(qi)(qi),Hex轉換器(qi)(qi)和RAM編輯(ji)(ji)(ji)工具(ju)(ju),使用(yong)十分方(fang)便。按F9,彈出(chu)磁(ci)盤(pan)(pan)編輯(ji)(ji)(ji)器(qi)(qi)對話框,首先選擇(ze)磁(ci)盤(pan)(pan)分區,然(ran)后按確定按鈕(niu)就(jiu)可以方(fang)便的(de)(de)對磁(ci)盤(pan)(pan)的(de)(de)空余空間進行清(qing)理。點擊工具(ju)(ju)欄中的(de)(de)RAM編輯(ji)(ji)(ji)工具(ju)(ju)按鈕(niu),彈出(chu)RAM編輯(ji)(ji)(ji)器(qi)(qi),選擇(ze)需要瀏覽或(huo)編輯(ji)(ji)(ji)修改的(de)(de)RAM區,選擇(ze)確定就(jiu)可以了,RAM的(de)(de)內(nei)容就(jiu)顯(xian)示在(zai)主窗口(kou)了。
如果您在PCTOOLS之(zhi)后再也沒(mei)有(you)碰到過稱(cheng)心的十六進制編輯器,那么我推薦你使(shi)用WINHEX。
功能包括:
- 硬盤, 軟盤, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等(deng)磁盤編輯器(qi)。
- 支持(chi) FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系統。
- 支持對磁盤陣列 RAID 系統和(he)動態磁盤的重(zhong)組、分析和(he)數據恢復(fu)。
- 多種數據恢復技術。
- 可(ke)分析 RAW 格式原始(shi)數據鏡像(xiang)文(wen)件中(zhong)的完(wan)整目錄結(jie)構,支持分段保存的鏡像(xiang)文(wen)件。
- 數(shu)據解釋(shi)器(qi), 已知 20 種數(shu)據類(lei)型。
- 使用模板編輯數據結構 (例如: 修復分區表(biao)/引導扇區)。
- 連接和分(fen)割、以奇數偶(ou)數字(zi)節(jie)或字(zi)的方式合并、分(fen)解文件。
- 分析和比(bi)較文件。
- 搜索和替換功能尤其(qi)靈活。
- 磁(ci)盤克(ke)隆 (可在(zai) DOS 環(huan)境下使用 X-Ways Replica)。
- 驅動器鏡像和備(bei)份(fen) (可選壓縮或分(fen)割成 650 MB 的(de)檔案)。
- 程(cheng)序接口 (API) 和腳本。
- 256 位 AES 加密, 校驗(yan)和, CRC32, 哈希(xi)算(suan)法(fa) (MD5, SHA-1, ...)。
- 數(shu)據擦除功能,可徹底清除存儲(chu)介質(zhi)中殘留數(shu)據。
- 可導入剪貼板(ban)所有格式(shi)數據, 包(bao)括 ASCII、16 進制數據。
- 可進(jin)行 2 進(jin)制、16 進(jin)制 ASCII, Intel 16 進(jin)制, 和(he) Motorola S 轉換。
- 字符集(ji): ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)。
- 立即(ji)窗口切換、打印、生成隨機數字。
- 支持(chi)打開(kai)大(da)于 4 GB 的文件(jian),非常(chang)快速,容(rong)易使(shi)用(yong)。
- 廣泛的(de)聯機幫助。
WinHex 計算機法證版
X-Ways Forensics- 它能讓計算機上所有的(de)位和字(zi)節都在您的(de)指尖下變成現(xian)實。購(gou)買前可免費試(shi)用(yong)。
X-Ways Forensics 13.9 以(yi)后(hou)的版本只有正式用(yong)戶才可下(xia)(xia)載(zai) (下(xia)(xia)載(zai)地址在購(gou)買(mai)后(hou)提供)。
特別注意
盡量(liang)不要解(jie)壓至中文名(ming)文件夾下,否則運(yun)行(xing)出(chu)錯!
V16.8更新(xin)內(nei)容:
WinHex可(ke)以(yi)用來檢查和(he)修復各(ge)種文件(jian)(jian)、恢復刪除(chu)文件(jian)(jian)、硬(ying)盤損壞造成的(de)數據丟(diu)失等。
12.8 sr-2更新(xin)內容(rong):
* 現在(zai)可以(yi)在(zai)容器根層遞歸探索證據對象概況,在(zai)基于動態填充(chong)設(she)置上,可以(yi)在(zai)一個(ge)方便的(de)平面視(shi)圖(tu)中(zhong)列(lie)出所有子目錄中(zhong)的(de)所有文件。
* X-Ways Forensics 現在可以在內部(bu)重新匯編(bian)硬(ying)件 RAID5 系統到級別0,并且支持奇(qi)偶校驗(yan)。
* 如果一個 RAID 系(xi)統添加到一個容器作為證據對象,當名稱或位置改變時(shi)現(xian)在可以很容易(yi)替換 RAID 系(xi)統的一部分。
* 一些在 RAM 編輯器中被隱(yin)藏(zang)的進程(cheng)現在能夠列出(chu)。
* 現在可以間(jian)接(jie)填充證據(ju)文件(jian)內(nei)容。
* 可以選取報告(gao)表中某幾(ji)列到(dao)容器(qi)報名中。(查看容器(qi)屬性)
* 更進(jin)一步改進(jin)文(wen)件路徑太長的(de)兼容(rong)性。
* 修正 12.7 版本自動檢測物理(li)磁盤 RAW 映象(xiang)為單獨的分區映象(xiang)。
* 幾個其它局部改進和錯(cuo)誤修正
* 針對 UFS 在線提供不同的模板。
* 更(geng)多更(geng)新內容請到網站時事通(tong)訊中查看
設置中文的方法
點(dian)擊(ji)菜單欄(lan)最后的“help”-“setup”-“Chinese,please!”
軟件使用說明
下(xia)面我們來看看該(gai)軟件的(de)使用。
標題欄(lan):與一般的應用(yong)軟(ruan)件一樣,標題欄(lan)中顯示軟(ruan)件名稱(cheng)和當前打開的文件名稱(cheng);
菜(cai)單欄(lan):Winhex的菜(cai)單欄(lan)由八(ba)個菜(cai)單項(xiang)組成-文件菜(cai)單、編輯菜(cai)單、搜(sou)索、定位(wei)、工具(ju)、選(xuan)項(xiang)菜(cai)單、文件管理、窗口和(he)幫助菜(cai)單。
在(zai)(zai)文件菜(cai)(cai)單(dan)(dan)中(zhong)(zhong)(zhong),除了(le)常規的(de)(de)新建、打開文件和(he)(he)保存以(yi)及退出(chu)命令以(yi)外,還(huan)(huan)有備(bei)份管(guan)理、創建備(bei)份和(he)(he)載入備(bei)份功能。選擇文件菜(cai)(cai)單(dan)(dan)中(zhong)(zhong)(zhong)的(de)(de)屬性(xing)項(xiang)(xiang),彈出(chu)文件屬性(xing)窗口,包括(kuo)文件路徑、名稱、大小、創建時間(jian)和(he)(he)修(xiu)改(gai)日期等內容(rong)。在(zai)(zai)編輯菜(cai)(cai)單(dan)(dan)中(zhong)(zhong)(zhong),除了(le)常規的(de)(de)復制(zhi)、粘貼和(he)(he)剪切功能外,還(huan)(huan)有數據(ju)格式(shi)轉換和(he)(he)修(xiu)改(gai)的(de)(de)功能。在(zai)(zai)搜索(suo)菜(cai)(cai)單(dan)(dan)中(zhong)(zhong)(zhong),你可(ke)以(yi)查找或替換文本(ben)內容(rong)和(he)(he)十(shi)六進制(zhi)文件,搜索(suo)整(zheng)數值和(he)(he)浮點(dian)數值。在(zai)(zai)定(ding)位(wei)菜(cai)(cai)單(dan)(dan)中(zhong)(zhong)(zhong),你可(ke)以(yi)根(gen)據(ju)偏移(yi)地址和(he)(he)區塊的(de)(de)位(wei)置(zhi)快(kuai)速定(ding)位(wei)。在(zai)(zai)工具菜(cai)(cai)單(dan)(dan)中(zhong)(zhong)(zhong),包括(kuo)磁(ci)盤編輯工具、文本(ben)編輯工具、計算器、模板管(guan)理工具和(he)(he)Hex轉換器,使用(yong)十(shi)分方便。在(zai)(zai)選項(xiang)(xiang)菜(cai)(cai)單(dan)(dan)中(zhong)(zhong)(zhong),包括(kuo)常規選項(xiang)(xiang)設(she)置(zhi)、安全性(xing)設(she)置(zhi)和(he)(he)還(huan)(huan)原選項(xiang)(xiang)設(she)置(zhi)。
在Winhex的(de)(de)工(gong)具(ju)(ju)欄中,包(bao)括文件(jian)新建、打(da)開、保(bao)存、打(da)印、屬性工(gong)具(ju)(ju);剪切、粘貼和(he)復(fu)制編輯工(gong)具(ju)(ju);查找文本和(he)Hex值,替換文本和(he)Hex值;文件(jian)定位工(gong)具(ju)(ju)、RAM編輯器(qi)、計算器(qi)、區塊分析(xi)和(he)磁(ci)盤編輯工(gong)具(ju)(ju);選(xuan)項設置工(gong)具(ju)(ju)和(he)幫助工(gong)具(ju)(ju)按鈕。通(tong)過(guo)使用工(gong)具(ju)(ju)欄中的(de)(de)快捷按鈕可以(yi)更方便的(de)(de)進行操作,這些(xie)和(he)菜單(dan)中相(xiang)應(ying)的(de)(de)命令是(shi)一樣的(de)(de)。
在使用Winhex之前需要進(jin)(jin)行(xing)相應的(de)選(xuan)(xuan)(xuan)項(xiang)(xiang)設(she)置(zhi),點擊工具欄中(zhong)的(de)選(xuan)(xuan)(xuan)項(xiang)(xiang)設(she)置(zhi)快捷圖標(biao)按(an)鈕,彈出選(xuan)(xuan)(xuan)項(xiang)(xiang)設(she)置(zhi)對話框.它包(bao)括是(shi)(shi)(shi)(shi)否(fou)(fou)將WinHex作為默認(ren)關(guan)聯(lian),是(shi)(shi)(shi)(shi)否(fou)(fou)添加WinHex到上下文(wen)(wen)菜單(dan),是(shi)(shi)(shi)(shi)否(fou)(fou)不更(geng)新(xin)文(wen)(wen)件(jian)(jian)名(ming),是(shi)(shi)(shi)(shi)否(fou)(fou)快速打(da)開文(wen)(wen)件(jian)(jian)以(yi)(yi)(yi)(yi)及(ji)是(shi)(shi)(shi)(shi)否(fou)(fou)顯(xian)示(shi)文(wen)(wen)件(jian)(jian)圖標(biao)和(he)(he)(he)工具欄。而(er)且你(ni)還可(ke)(ke)以(yi)(yi)(yi)(yi)設(she)置(zhi)最近打(da)開的(de)文(wen)(wen)件(jian)(jian)列表中(zhong)文(wen)(wen)件(jian)(jian)的(de)數目,選(xuan)(xuan)(xuan)擇(ze)(ze)是(shi)(shi)(shi)(shi)否(fou)(fou)用TAB鍵(jian)產生(sheng)標(biao)記,設(she)置(zhi)臨時文(wen)(wen)件(jian)(jian)夾、備份(fen)文(wen)(wen)件(jian)(jian)夾和(he)(he)(he)文(wen)(wen)本(ben)編輯(ji)的(de)路(lu)徑(jing)。在常(chang)規設(she)置(zhi)中(zhong),你(ni)可(ke)(ke)以(yi)(yi)(yi)(yi)選(xuan)(xuan)(xuan)擇(ze)(ze)是(shi)(shi)(shi)(shi)否(fou)(fou)選(xuan)(xuan)(xuan)擇(ze)(ze)顯(xian)示(shi)雙(shuang)光(guang)標(biao)和(he)(he)(he)頁(ye)分隔符,是(shi)(shi)(shi)(shi)否(fou)(fou)逐行(xing)滾(gun)動(dong),是(shi)(shi)(shi)(shi)否(fou)(fou)顯(xian)示(shi)Windows進(jin)(jin)度條,此(ci)外你(ni)還可(ke)(ke)以(yi)(yi)(yi)(yi)設(she)置(zhi)字體類型和(he)(he)(he)顏(yan)色,相信你(ni)很快就(jiu)學會了(le)。執行(xing)選(xuan)(xuan)(xuan)項(xiang)(xiang)菜單(dan)中(zhong)的(de)安(an)全(quan)項(xiang)(xiang),彈出安(an)全(quan)保護選(xuan)(xuan)(xuan)項(xiang)(xiang)設(she)置(zhi)窗口(kou),你(ni)可(ke)(ke)以(yi)(yi)(yi)(yi)選(xuan)(xuan)(xuan)擇(ze)(ze)是(shi)(shi)(shi)(shi)否(fou)(fou)限制驅(qu)動(dong)控制,是(shi)(shi)(shi)(shi)否(fou)(fou)計算標(biao)準檢(jian)查和(he)(he)(he)扇區讀入(ru)緩存(cun)(cun)(cun)以(yi)(yi)(yi)(yi)及(ji)是(shi)(shi)(shi)(shi)否(fou)(fou)確(que)認(ren)更(geng)新(xin)文(wen)(wen)件(jian)(jian)。另外你(ni)可(ke)(ke)以(yi)(yi)(yi)(yi)選(xuan)(xuan)(xuan)擇(ze)(ze)是(shi)(shi)(shi)(shi)否(fou)(fou)自動(dong)檢(jian)查磁簇,是(shi)(shi)(shi)(shi)否(fou)(fou)總顯(xian)示(shi)恢(hui)復(fu)報告,是(shi)(shi)(shi)(shi)否(fou)(fou)對下個會話保持(chi)驅(qu)動(dong)映像,是(shi)(shi)(shi)(shi)否(fou)(fou)隱蔽輸入(ru)加密(mi)關(guan)鍵(jian)碼(*****)以(yi)(yi)(yi)(yi)及(ji)檢(jian)查虛擬內存(cun)(cun)(cun)變換和(he)(he)(he)在RAM中(zhong)是(shi)(shi)(shi)(shi)否(fou)(fou)保留密(mi)匙(chi)。在所有(you)設(she)置(zhi)完成(cheng)后,點擊保存(cun)(cun)(cun)按(an)鈕,然后按(an)確(que)定按(an)鈕返回主窗口(kou)。
數據恢復分類
硬恢(hui)復(fu)和軟恢(hui)復(fu)。所(suo)謂硬恢(hui)復(fu)就是硬盤(pan)出(chu)現(xian)物(wu)理性損(sun)(sun)傷,比(bi)如有盤(pan)體(ti)壞道、電(dian)(dian)路板芯片(pian)燒毀、盤(pan)體(ti)異響,等故障,由此所(suo)導致的(de)普(pu)通用戶不容(rong)易取出(chu)里面(mian)數(shu)據,那(nei)么我們將它修好(hao),同時(shi)又(you)保留里面(mian)的(de)數(shu)據或后(hou)來恢(hui)復(fu)里面(mian)的(de)數(shu)據,這(zhe)些都叫數(shu)據恢(hui)復(fu),只不過這(zhe)些故障有容(rong)易的(de)和困難的(de)之分;所(suo)謂軟恢(hui)復(fu),就是硬盤(pan)本身(shen)沒有物(wu)理損(sun)(sun)傷,而是由于(yu)人為(wei)或者(zhe)病(bing)毒破壞所(suo)造成的(de)數(shu)據丟失(shi)(比(bi)如誤格式化,誤分區(qu)),那(nei)么這(zhe)樣的(de)數(shu)據恢(hui)復(fu)就叫軟恢(hui)復(fu)。因為(wei)硬恢(hui)復(fu)還需要(yao)(yao)購買一些工(gong)具設(she)備(bei)(比(bi)如pc3000,電(dian)(dian)烙(luo)鐵(tie),各種芯片(pian)、電(dian)(dian)路板),而且還需要(yao)(yao)懂一點(dian)點(dian)電(dian)(dian)路基礎,我們主要(yao)(yao)使用軟恢(hui)復(fu)。
數據恢復的前提
數據不(bu)能被二次破壞、覆(fu)蓋(gai)!
硬盤數據結構
下面是(shi)一個(ge)分了三(san)個(ge)區的整(zheng)個(ge)硬盤(pan)的數據結構
MBR C盤(pan)EBRD盤(pan) EBR E盤(pan)
MBR,即主(zhu)(zhu)引(yin)導紀(ji)錄,位于整個(ge)硬盤的0柱面0磁(ci)道1扇(shan)區,共占(zhan)(zhan)用了(le)63個(ge)扇(shan)區,但(dan)實(shi)際只(zhi)使用了(le)1個(ge)扇(shan)區(512字(zi)(zi)(zi)節(jie))。在(zai)總共512字(zi)(zi)(zi)節(jie)的主(zhu)(zhu)引(yin)導記錄中,MBR又可分(fen)為三(san)部分(fen):第(di)一部分(fen):引(yin)導代碼,占(zhan)(zhan)用了(le)446個(ge)字(zi)(zi)(zi)節(jie);第(di)二(er)部分(fen):分(fen)區表,占(zhan)(zhan)用了(le)64字(zi)(zi)(zi)節(jie);第(di)三(san)部分(fen):55AA,結束標志(zhi),占(zhan)(zhan)用了(le)兩個(ge)字(zi)(zi)(zi)節(jie)。后面我們(men)要說的用winhex軟件來(lai)恢復(fu)誤分(fen)區,主(zhu)(zhu)要就是恢復(fu)第(di)二(er)部分(fen):分(fen)區表。
引導代碼的作用
就是(shi)(shi)讓(rang)硬盤(pan)具備(bei)可(ke)(ke)以引導(dao)的功能(neng)(neng)。如(ru)果引導(dao)代(dai)(dai)碼(ma)(ma)丟失,分(fen)區表還(huan)在,那么這個硬盤(pan)作為從盤(pan)所有分(fen)區數據(ju)都還(huan)在,只(zhi)(zhi)是(shi)(shi)這個硬盤(pan)自己不能(neng)(neng)夠用來(lai)啟動進系統(tong)了(le)。如(ru)果要(yao)恢復引導(dao)代(dai)(dai)碼(ma)(ma),可(ke)(ke)以用DOS下的命令:FDISK /MBR;這個命令只(zhi)(zhi)是(shi)(shi)用來(lai)恢復引導(dao)代(dai)(dai)碼(ma)(ma),不會(hui)引起分(fen)區改(gai)變,丟失數據(ju)。另外,也可(ke)(ke)以用工(gong)具軟件,比如(ru)DISKGEN、WINHEX等。
但(dan)分(fen)區(qu)表如果(guo)丟失,后果(guo)就(jiu)是(shi)整個硬(ying)盤(pan)一個分(fen)區(qu)沒(mei)有(you),就(jiu)好(hao)像(xiang)剛買來一個新硬(ying)盤(pan)沒(mei)有(you)分(fen)過區(qu)一樣。是(shi)很(hen)多病毒喜歡破壞(huai)的(de)區(qu)域。
EBR,也叫做擴展MBR(Extended MBR)。因為主引導記錄(lu)MBR最(zui)多只能描述4個(ge)(ge)分區項(xiang),如果(guo)想要在一(yi)個(ge)(ge)硬盤上(shang)分多于4個(ge)(ge)區,就要采用擴展MBR的辦法。
MBR、EBR是分區產生(sheng)的。
比(bi)如MBR和EBR各都(dou)占用(yong)63個扇區,C盤占用(yong)1435329個扇區……那么數(shu)據結構如下表(biao):
63 1435329 63 1435329 63 1253889
MBR C盤 EBR D盤 EBR E盤
擴展分區
而(er)每一個分區(qu)又由DBR、FAT1、FAT2、DIR、DATA5部分組(zu)成(cheng):比(bi)如C盤(pan)的數據結(jie)構:
C 盤
DBR FAT1 FAT2 DIR DATA
恢復教程
Winhex有完善的分區管理功(gong)能(neng)和(he)(he)文件(jian)管理功(gong)能(neng),能(neng)自動分析(xi)分區鏈和(he)(he)文件(jian)簇鏈,能(neng)對硬盤(pan)(pan)進(jin)行(xing)不(bu)(bu)同方式不(bu)(bu)同程(cheng)度的備份,甚至克隆整個硬盤(pan)(pan);它能(neng)夠編(bian)輯任何一(yi)種文件(jian)類型(xing)的二(er)進(jin)制內容(用十六進(jin)制顯(xian)示)其磁(ci)盤(pan)(pan)編(bian)輯器可(ke)以編(bian)輯物理磁(ci)盤(pan)(pan)或邏輯磁(ci)盤(pan)(pan)的任意扇區,是手工恢(hui)復數據的首選(xuan)工具軟件(jian)。
首先要安裝Winhex,安裝完了(le)就(jiu)可以(yi)啟(qi)動winhex了(le),啟(qi)動后,首先出現的是啟(qi)動中心對話(hua)框。
這里我們(men)要對(dui)磁(ci)(ci)盤進行操作,就選(xuan)擇“打開磁(ci)(ci)盤”,出現“編輯磁(ci)(ci)盤”對(dui)話框:
在這個對(dui)話框里,我(wo)們(men)可以(yi)(yi)選(xuan)擇(ze)對(dui)單個分(fen)區打(da)(da)開,也可以(yi)(yi)對(dui)整個硬(ying)盤(pan)打(da)(da)開,HD0是(shi)我(wo)現(xian)在正用的(de)西部數據40G系統盤(pan),HD1是(shi)我(wo)們(men)要分(fen)析的(de)硬(ying)盤(pan),邁(mai)拓2G。這里我(wo)們(men)就選(xuan)擇(ze)打(da)(da)開HD1整個硬(ying)盤(pan),再點確定.然后我(wo)們(men)就看到了(le)Winhex的(de)整個工作界面。
最(zui)上面的(de)(de)(de)是(shi)菜(cai)單欄(lan)和(he)工(gong)具欄(lan),下面最(zui)大的(de)(de)(de)窗口(kou)(kou)是(shi)工(gong)作區(qu),現在看到的(de)(de)(de)是(shi)硬盤(pan)的(de)(de)(de)第一(yi)個扇區(qu)的(de)(de)(de)內容,以十六進制進行顯(xian)(xian)示(shi),并(bing)在右(you)(you)邊(bian)顯(xian)(xian)示(shi)相(xiang)應的(de)(de)(de)ASCII碼,右(you)(you)邊(bian)是(shi)詳細(xi)(xi)(xi)資(zi)源(yuan)面板(ban)(ban),分(fen)為(wei)五個部分(fen):狀態、容量、當(dang)前位置、窗口(kou)(kou)情(qing)(qing)況(kuang)和(he)剪貼板(ban)(ban)情(qing)(qing)況(kuang)。這(zhe)些情(qing)(qing)況(kuang)對把握整(zheng)個硬盤(pan)的(de)(de)(de)情(qing)(qing)況(kuang)非(fei)常有幫助。另(ling)外,在其上單擊鼠標右(you)(you)鍵(jian),可以將(jiang)詳細(xi)(xi)(xi)資(zi)源(yuan)面板(ban)(ban)與(yu)窗口(kou)(kou)對換位置,或關(guan)閉資(zi)源(yuan)面板(ban)(ban)。(如果(guo)關(guan)閉了(le)資(zi)源(yuan)面板(ban)(ban)可以通過“察看”菜(cai)單——“顯(xian)(xian)示(shi)”命令——“詳細(xi)(xi)(xi)資(zi)源(yuan)面板(ban)(ban)”來打開)。
最下面一欄(lan)是非常有用的輔助信息(xi),如當前扇區/總扇區數(shu)目……等
向(xiang)下拉拉滾動條,可以看到一個灰色的橫杠,每到一個橫杠為一個扇區,一個扇區共512字(zi)節,每兩個數字(zi)為一個字(zi)節,比如00。
下面我(wo)(wo)們來分析一下MBR,因為(wei)前(qian)面我(wo)(wo)們說(shuo)(shuo)過,前(qian)446個(ge)字節(jie)為(wei)引導(dao)代碼,對我(wo)(wo)們來說(shuo)(shuo)沒有意(yi)義,這里我(wo)(wo)們只分析分區表中的64個(ge)字節(jie)。
分(fen)(fen)(fen)區(qu)表(biao)64個(ge)字節,一共可以描述(shu)4個(ge)分(fen)(fen)(fen)區(qu)表(biao)項(xiang),每一個(ge)分(fen)(fen)(fen)區(qu)表(biao)項(xiang)可以描述(shu)一個(ge)主分(fen)(fen)(fen)區(qu)或一個(ge)擴展分(fen)(fen)(fen)區(qu)(比如(ru)上面的分(fen)(fen)(fen)區(qu)表(biao),第(di)(di)(di)一個(ge)分(fen)(fen)(fen)區(qu)表(biao)項(xiang)描述(shu)主分(fen)(fen)(fen)區(qu)C盤,第(di)(di)(di)二個(ge)分(fen)(fen)(fen)區(qu)表(biao)項(xiang)描述(shu)擴展分(fen)(fen)(fen)區(qu),第(di)(di)(di)三第(di)(di)(di)四個(ge)分(fen)(fen)(fen)區(qu)表(biao)項(xiang)填零未用)
每一個(ge)分(fen)區表(biao)項各占16個(ge)字節(jie),各字節(jie)含(han)義如下:(H表(biao)示16進制)
字節位置 內容及含義
第1字節 引導標志。若值為(wei)80H表示活動分區(qu);若值為(wei)00H表示非活動分區(qu)。
第2、3、4字節(jie) 本(ben)分(fen)區的起(qi)始磁頭號(hao)、扇區號(hao)、柱面號(hao)
第5字節 分區類型(xing)符:
00H——表示該分(fen)區未用
06H——FAT16基(ji)本分(fen)區
0BH——FAT32基本分區
05H——擴展分區
07H——NTFS分區(qu)
0FH——(LBA模式)擴展分(fen)區
83H—— Linux分(fen)區
第6、7、8字節 本(ben)分區的結束(shu)磁頭號、扇區號、柱面號
第9、10、11、12字節 本分區(qu)之前已用了的扇區(qu)數
第13、14、15、16字(zi)節 本分區的總扇區數
此硬盤的第一分(fen)區表(biao)(即(ji)MBR)分(fen)析如(ru)下(xia):
第一(yi)個分區表項(C盤)
第1字(zi)節80:表(biao)示此分區(qu)(qu)為活動分區(qu)(qu);
第5字節0B:表示分區類(lei)型為Fat32;
第9、10、11、12字節 系統隱(yin)(yin)含扇(shan)區(qu)(qu)3F 00 00 00:所謂系統隱(yin)(yin)含扇(shan)區(qu)(qu)就(jiu)是(shi)本分區(qu)(qu)(C盤)之(zhi)前(qian)已(yi)用了的(de)扇(shan)區(qu)(qu)數(shu)(shu),這(zhe)是(shi)一個十(shi)六進制數(shu)(shu),但要注意:真正的(de)隱(yin)(yin)含扇(shan)區(qu)(qu)數(shu)(shu)應該反(fan)過(guo)(guo)來填寫(xie)(比如:隱(yin)(yin)含扇(shan)區(qu)(qu)數(shu)(shu)為3E 4D 5A 6F,則(ze)反(fan)過(guo)(guo)來就(jiu)是(shi)6F 5A 4D 3E ,這(zhe)才(cai)是(shi)實際的(de)隱(yin)(yin)含扇(shan)區(qu)(qu)數(shu)(shu))。那么(me),3F 00 00 00反(fan)過(guo)(guo)來寫(xie)就(jiu)是(shi)00 00 003F,也(ye)就(jiu)是(shi)3F,將(jiang)他(ta)轉成十(shi)進制數(shu)(shu)我們才(cai)能(neng)知(zhi)道實際的(de)隱(yin)(yin)含扇(shan)區(qu)(qu)數(shu)(shu)是(shi)多大。這(zhe)可(ke)以使用計(ji)(ji)算器來算,單擊工具(ju)欄上的(de)“計(ji)(ji)算器”按鈕(niu)。
這樣就啟動了計算(suan)器
計算器有兩種(zhong)型(xing)號(hao),我們要進行進制轉(zhuan)換,就要選(xuan)擇“科(ke)學型(xing)”
比(bi)如我們要將十(shi)六進(jin)(jin)制3F轉換為十(shi)進(jin)(jin)制,就要先選中“十(shi)六進(jin)(jin)制”,然后輸入(ru)3F
再(zai)選中“十(shi)進制”,十(shi)六進制3F轉為(wei)(wei)十(shi)進制等(deng)于63。想(xiang)一想(xiang)我們前面所講的(de),MBR占(zhan)用63個扇(shan)(shan)區(qu),也就(jiu)是(shi)C盤(pan)之前已用了的(de)扇(shan)(shan)區(qu)數為(wei)(wei)63,第64個扇(shan)(shan)區(qu)就(jiu)是(shi)C盤(pan)的(de)第一個扇(shan)(shan)區(qu),但(dan)要(yao)注意的(de)是(shi),整個硬盤(pan)的(de)LBA地(di)址(zhi)是(shi)從零開始的(de),0~62的(de)扇(shan)(shan)區(qu)為(wei)(wei)MBR。
第13、14、15、16字節本分區(qu)總扇(shan)(shan)區(qu)數(當然,這(zhe)也(ye)就(jiu)是(shi)C盤的(de)大(da)(da)小(xiao)):C1 E6 15 00,同(tong)樣,實際的(de)十(shi)六進制數也(ye)要(yao)反過來才(cai)對,也(ye)就(jiu)是(shi)00 15 E6 C1,將(jiang)它轉換成十(shi)六進制數是(shi)1435329。給你出個(ge)(ge)題(ti),你知道D盤的(de)EBR在哪個(ge)(ge)扇(shan)(shan)區(qu)嗎(ma)?我們一起來算一下,還記得前面數據結(jie)構那(nei)個(ge)(ge)表嗎(ma)?C盤后面不就(jiu)是(shi)D盤的(de)EBR嗎(ma)?D盤EBR的(de)第一個(ge)(ge)扇(shan)(shan)區(qu)=MBR+C盤的(de)大(da)(da)小(xiao),也(ye)就(jiu)是(shi) 63+1435329=1435392。
我(wo)們來看看對(dui)不(bu)對(dui),單擊(ji)工具欄(lan)上的(de)“轉到(dao)(dao)扇(shan)區(qu)”按鈕(niu),出(chu)現一(yi)個“轉到(dao)(dao)扇(shan)區(qu)”對(dui)話(hua)框
然后輸(shu)入1435392,再點“確定”,就到(dao)(dao)了(le)1435392扇(shan)區了(le)(你可以使用(yong)它再轉回到(dao)(dao)0扇(shan)區)
這個(ge)(ge)就(jiu)是(shi)(shi)D盤(pan)的(de)EBR,也(ye)就(jiu)是(shi)(shi)D盤(pan)的(de)分(fen)區(qu)表(biao)了,怎么知道(dao)的(de)呢?因為MBR和(he)EBR的(de)結構是(shi)(shi)完全一樣(yang)的(de),都是(shi)(shi)占用了63個(ge)(ge)扇(shan)區(qu),但只用了第一個(ge)(ge)扇(shan)區(qu),其余62個(ge)(ge)扇(shan)區(qu)填零(ling)不(bu)用。第一個(ge)(ge)扇(shan)區(qu)前(qian)446個(ge)(ge)字節(jie)都為引導代(dai)碼,后64個(ge)(ge)字節(jie)為分(fen)區(qu)表(biao),最(zui)后2個(ge)(ge)字節(jie)為55AA結束標志。因為EBR不(bu)是(shi)(shi)活動分(fen)區(qu),不(bu)需要(yao)引導代(dai)碼,所以前(qian)446個(ge)(ge)字節(jie)為零(ling)。
還有另一種方(fang)法(fa)直接(jie)找到D盤的EBR,扇區.
這樣,分(fen)(fen)(fen)(fen)區(qu)表中的第一個分(fen)(fen)(fen)(fen)區(qu)表項(xiang)共十六(liu)個字節分(fen)(fen)(fen)(fen)析完畢(bi),下面我們(men)再來看看第二個分(fen)(fen)(fen)(fen)區(qu)表項(xiang)(擴展分(fen)(fen)(fen)(fen)區(qu))。
第(di)1字節00:表示非活動分區
第5字節05:表示(shi)擴展(zhan)分(fen)區
第9、10、11、12字節00 E7 15 00:本分(fen)區之前(qian)的扇區數(shu)(shu)(擴(kuo)展分(fen)區前(qian)面(mian)(mian)也就(jiu)是(shi)MBR和(he)C盤,好像我(wo)們前(qian)面(mian)(mian)算過(guo)這個數(shu)(shu)?)同樣(yang),先將它(ta)反過(guo)來,就(jiu)是(shi)00 15 E7 00 ,再轉(zhuan)為十(shi)進制是(shi)1435392,看來我(wo)們前(qian)面(mian)(mian)真的算過(guo)這個數(shu)(shu)。
第13、14、15、16字節(jie)40 09 29 00:本分(fen)區(qu)(qu)的(de)總扇(shan)區(qu)(qu)數(shu)。也就是擴(kuo)展分(fen)區(qu)(qu)的(de)總扇(shan)區(qu)(qu)數(shu)。轉為十進制(zhi)應(ying)該是2689344。想一想,用這個(ge)數(shu)加(jia)上前面的(de)1435392,不正好是整個(ge)硬盤的(de)總扇(shan)區(qu)(qu)數(shu)4124736嗎?
這樣,如(ru)果分(fen)區(qu)(qu)(qu)表被破壞,我(wo)們只(zhi)要把這些數(shu)(shu)值都(dou)計算出來(lai)并填上,分(fen)區(qu)(qu)(qu)表不就恢復(fu)了?那么(me)(me),這里我(wo)們為(wei)什么(me)(me)不分(fen)析(xi)第2、3、4字(zi)節(jie)(本(ben)分(fen)區(qu)(qu)(qu)的(de)起始磁頭(tou)號(hao)(hao)、扇(shan)區(qu)(qu)(qu)號(hao)(hao)、柱(zhu)(zhu)面(mian)號(hao)(hao))和第6、7、8字(zi)節(jie)(本(ben)分(fen)區(qu)(qu)(qu)的(de)結束磁頭(tou)號(hao)(hao)、扇(shan)區(qu)(qu)(qu)號(hao)(hao)、柱(zhu)(zhu)面(mian)號(hao)(hao))呢?這是(shi)(shi)因為(wei)C/H/S(柱(zhu)(zhu)面(mian)/磁頭(tou)/扇(shan)區(qu)(qu)(qu))是(shi)(shi)老式硬(ying)盤的(de)尋(xun)址(zhi)(zhi)方式,這種(zhong)尋(xun)址(zhi)(zhi)方式來(lai)管理(li)硬(ying)盤效(xiao)率很低;而現在幾乎所有的(de)硬(ying)盤都(dou)支持LBA(全(quan)稱是(shi)(shi)Logic Block Address,即扇(shan)區(qu)(qu)(qu)的(de)邏輯塊地址(zhi)(zhi))尋(xun)址(zhi)(zhi)方式,這種(zhong)管理(li)方式簡單高效(xiao)。在LBA方式下,系統(tong)(tong)把所有的(de)物理(li)扇(shan)區(qu)(qu)(qu)都(dou)統(tong)(tong)一(yi)編號(hao)(hao),按(an)照從零到某個(ge)最大值排列,這樣只(zhi)用一(yi)個(ge)序數(shu)(shu)就確定(ding)了一(yi)個(ge)唯一(yi)的(de)物理(li)扇(shan)區(qu)(qu)(qu)。
小知(zhi)識(shi):具體(ti)一(yi)個硬(ying)盤(pan)(pan)有(you)(you)多少(shao)個LBA(扇區(qu)(qu)(qu))不需要(yao)我(wo)(wo)們(men)去記憶,因為(wei)用各種工具軟(ruan)件(如(ru)MHDD WINHEX等)都(dou)可以檢測到。我(wo)(wo)們(men)只要(yao)知(zhi)道個大概(gai)(gai)就行了:如(ru)10G的(de)(de)硬(ying)盤(pan)(pan)大概(gai)(gai)有(you)(you)2000萬(wan)個扇區(qu)(qu)(qu);20G的(de)(de)硬(ying)盤(pan)(pan)大概(gai)(gai)有(you)(you)4000萬(wan)個扇區(qu)(qu)(qu);40G的(de)(de)硬(ying)盤(pan)(pan)大概(gai)(gai)有(you)(you)8000萬(wan)個扇區(qu)(qu)(qu)……那么,2G的(de)(de)硬(ying)盤(pan)(pan)大概(gai)(gai)有(you)(you)400萬(wan)個扇區(qu)(qu)(qu)。
那么,你可能要問了:如果(guo)要恢復(fu)分(fen)區(qu)表,這個起始磁頭號、扇區(qu)號、柱(zhu)(zhu)面(mian)(mian)號還有結(jie)束磁頭號、扇區(qu)號、柱(zhu)(zhu)面(mian)(mian)號應該怎么填呢?簡單得很,在后面(mian)(mian)恢復(fu)分(fen)區(qu)表的時候我會告(gao)訴你,直接填,都不用計算。
還(huan)有興趣(qu)來(lai)分析一下(xia)D盤(pan)的EBR嗎?
其實D盤的EBR和E盤的EBR我(wo)們(men)不分(fen)析也(ye)罷,因(yin)為無非也(ye)是(shi)分(fen)區表,跟MBR的結構是(shi)一樣(yang)的,但卻很容易(yi)把我(wo)們(men)繞暈,又因(yin)為EBR一般不容易(yi)被破壞,所以我(wo)不建議(yi)分(fen)析EBR。
但如果你一定要分(fen)析,那(nei)就分(fen)析吧。
單擊“訪問”下拉按鈕——“分(fen)(fen)區二”——“分(fen)(fen)區表”,直接就到1435392扇(shan)區,即D盤的分(fen)(fen)區表EBR。
第一個分區表項(xiang)(D盤):
第1個字(zi)節00:表示(shi)非活動分(fen)區
第5個字節06:表示FAT16分區(qu)
第(di)9、10、11、12字節3F 00 00 00:本分區之前已(yi)用了(le)的扇區數,也就(jiu)是EBR的數目(mu),63個(ge)。
第13、14、15、16字節C1 E6 15 00:本分區(qu)的總扇(shan)區(qu)數(shu),也就是(shi)(shi)D盤的扇(shan)區(qu)數(shu),先反過來排列就是(shi)(shi)00 15 E6 C1,轉(zhuan)為十進制就是(shi)(shi)1435329。
第二個(ge)分區表項(D盤后面的(de)):
第(di)1個字節(jie)00:表(biao)示非活動分區(qu)
第5個字節05:表示擴展分區
第9、10、11、12字節00 E7 15 00:本(ben)分區之前已(yi)用了的扇區數(shu),也就(jiu)是D盤的EBR加D盤總共的大小, 63+1435329=1435392
第13、14、15、16字(zi)節40 22 13 00:本分區的總扇區數,1253952,也就是E盤的大小再加(jia)上(shang)一(yi)個EBR的數目。
單擊(ji)“訪問”下拉按(an)鈕——“分區三”——“分區表(biao)”,直接就到2870784扇(shan)區,即E
盤(pan)的(de)分區(qu)表EBR。因為E盤(pan)后面沒有(you)分區(qu)了,所以沒有(you)第(di)二個(ge)分區(qu)表項。這里我們就不再(zai)研究了,有(you)興趣的(de)話可以自己多備一塊硬盤(pan)作從盤(pan),然后自己分分區(qu)研究研究。
通(tong)過以(yi)上的(de)(de)研究我們總結(jie)(jie)一(yi)(yi)(yi)(yi)下,MBR在(zai)定(ding)(ding)(ding)(ding)義(yi)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)時(shi)候,將多余的(de)(de)容量定(ding)(ding)(ding)(ding)義(yi)為(wei)擴(kuo)展分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),指定(ding)(ding)(ding)(ding)該(gai)(gai)擴(kuo)展分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)起止位置,根據起始位置指向(xiang)硬(ying)盤(pan)的(de)(de)某(mou)一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),作為(wei)下一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)表項,接著(zhu)在(zai)該(gai)(gai)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)繼續(xu)定(ding)(ding)(ding)(ding)義(yi)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),如(ru)果只(zhi)(zhi)有(you)一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)(jiu)定(ding)(ding)(ding)(ding)義(yi)該(gai)(gai)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),然(ran)后(hou)結(jie)(jie)束;如(ru)果不止一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)(jiu)定(ding)(ding)(ding)(ding)義(yi)一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)基(ji)本分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)和一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)擴(kuo)展分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),擴(kuo)展分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)再指向(xiang)下一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)描(miao)述(shu)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),在(zai)該(gai)(gai)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)上按(an)照(zhao)(zhao)上述(shu)原則繼續(xu)定(ding)(ding)(ding)(ding)義(yi)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),直至分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)定(ding)(ding)(ding)(ding)義(yi)結(jie)(jie)束。這(zhe)些用(yong)來描(miao)述(shu)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)形成一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)“分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)”,通(tong)過這(zhe)個(ge)(ge)(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian),就(jiu)(jiu)可以(yi)描(miao)述(shu)所(suo)(suo)有(you)的(de)(de)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。系(xi)(xi)(xi)統在(zai)啟(qi)(qi)動時(shi)按(an)照(zhao)(zhao)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)的(de)(de)連接順序查找(zhao)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),直至找(zhao)出所(suo)(suo)有(you)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。這(zhe)個(ge)(ge)(ge)(ge)(ge)(ge)鏈(lian)顯(xian)然(ran)是(shi)個(ge)(ge)(ge)(ge)(ge)(ge)開鏈(lian)結(jie)(jie)構,如(ru)果形成一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)環(huan),系(xi)(xi)(xi)統本身(shen)并不會(hui)(hui)去判(pan)斷它,它只(zhi)(zhi)是(shi)按(an)照(zhao)(zhao)這(zhe)個(ge)(ge)(ge)(ge)(ge)(ge)鏈(lian)忠實的(de)(de)查找(zhao)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),而不進行(xing)任何(he)額外(wai)的(de)(de)檢測與處理。所(suo)(suo)謂硬(ying)盤(pan)邏輯鎖,就(jiu)(jiu)是(shi)讓分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)形成一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)環(huan),這(zhe)樣(yang)系(xi)(xi)(xi)統在(zai)啟(qi)(qi)動時(shi)就(jiu)(jiu)在(zai)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)表內(nei)循環(huan),表現為(wei)系(xi)(xi)(xi)統無(wu)法(fa)引導,就(jiu)(jiu)是(shi)從軟(ruan)盤(pan)啟(qi)(qi)動,也不能進入硬(ying)盤(pan)。明白了其(qi)結(jie)(jie)構原理,解決這(zhe)個(ge)(ge)(ge)(ge)(ge)(ge)問題就(jiu)(jiu)簡(jian)單(dan)了,目前(qian)有(you)很多種(zhong)方法(fa)解決這(zhe)個(ge)(ge)(ge)(ge)(ge)(ge)問題,后(hou)面(mian)我們還會(hui)(hui)講到。系(xi)(xi)(xi)統就(jiu)(jiu)是(shi)利用(yong)這(zhe)種(zhong)方法(fa)使一(yi)(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)(ge)硬(ying)盤(pan)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)后(hou)看起來象多個(ge)(ge)(ge)(ge)(ge)(ge)硬(ying)盤(pan)。系(xi)(xi)(xi)統能夠找(zhao)到C盤(pan)以(yi)外(wai)的(de)(de)其(qi)他邏輯盤(pan)的(de)(de)唯一(yi)(yi)(yi)(yi)辦法(fa)就(jiu)(jiu)是(shi),沿著(zhu)EBR所(suo)(suo)描(miao)述(shu)的(de)(de)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)查找(zhao)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。
其實,通(tong)常情(qing)(qing)況(kuang)下(xia)EBR是不會(hui)被破壞的(de)(de),或者(zhe)破壞的(de)(de)幾率極低(di)(di)極低(di)(di),通(tong)常情(qing)(qing)況(kuang)下(xia),都是只有MBR被破壞,那么這種情(qing)(qing)況(kuang)下(xia),我(wo)們只要(yao)(yao)把MBR的(de)(de)分區(qu)(qu)表64個(ge)字節(jie)復原,其他的(de)(de)分區(qu)(qu)順著分區(qu)(qu)表所提(ti)供的(de)(de)鏈(lian)自然而然就(jiu)出來了(le)(le)。那么,如何才(cai)能(neng)將分區(qu)(qu)表復原呢?這就(jiu)要(yao)(yao)通(tong)過計(ji)算結合Winhex強大的(de)(de)功能(neng)來實現了(le)(le)。
下面我們就來模(mo)仿分區表被(bei)病毒破(po)壞的(de)情況,將MBR全部填零。我們首先將MBR所在的(de)扇(shan)區選(xuan)中(zhong)。鼠標指(zhi)向第(di)一個字(zi)節,單擊右鍵(jian),選(xuan)擇(ze)“選(xuan)塊開始”
然后鼠(shu)標指向MBR的最后一個字(zi)節,單擊(ji)右(you)鍵,選擇(ze)“選塊結(jie)尾”
然(ran)后我(wo)們(men)在選區內部單擊鼠標右鍵,選擇“編輯”
這樣就有出來一(yi)個菜單
然后我們選(xuan)“填(tian)充選(xuan)塊(kuai)”,這(zhe)樣就出(chu)來一個填(tian)充選(xuan)塊(kuai)對(dui)話框
在“用(yong)十六進制填充”的輸(shu)入(ru)框中輸(shu)入(ru)“00”,再點“確(que)定”
這樣MBR所在(zai)扇區全部被我們填(tian)充為“00”
如果想取(qu)(qu)消選(xuan)區,那(nei)就用鼠標拖動隨(sui)便選(xuan)中一塊(kuai)區域(yu),那(nei)么(me)原來的選(xuan)區就會取(qu)(qu)消。注(zhu)意,如果扇區數據被修(xiu)改了而沒(mei)有存盤就會變為別的顏色。
修改了扇(shan)區,這時候還沒有存盤(pan)生效,如(ru)果(guo)你想(xiang)存盤(pan)生效的話,就選擇“文件”菜單“保存扇(shan)區”命令。
這時(shi)候就會出現一個提示(shi),如(ru)(ru)果你不想(xiang)存(cun)盤了就點取消,如(ru)(ru)果想(xiang)存(cun)盤,就點確定,再點是(shi)。
好,這樣就存盤了,扇區(qu)被修改的數據(ju)又變為黑色。
這樣我們就把分區表給刪除了,這時候(hou)必須重新啟動才能生(sheng)效(xiao),如果你打開我的電腦,會發現三個分區(F、G、H)還(huan)在那里(li),并且里(li)面(mian)的數據還(huan)能正常使用。
現在,我們關閉所有(you)程(cheng)序將電腦重新啟動……
經過不(bu)長(chang)時間的等待,電腦(nao)(nao)啟動(dong)起來了,我(wo)們打(da)開我(wo)的電腦(nao)(nao)看(kan)看(kan),發現F、G、H三個分區(qu)不(bu)見了。
再打開(kai)Winhex發現MBR全(quan)部為零了,下(xia)面(mian)我們就著手開(kai)始手工恢復(fu)分區表
首先(xian)恢復引(yin)導代(dai)碼,這(zhe)最簡單(dan)了,只要用Winhex到別的系(xi)(xi)統(tong)盤把(ba)引(yin)導代(dai)碼復制過(guo)來就行(xing)(xing)了。我(wo)(wo)現在(zai)的機器上不是(shi)掛著兩個硬盤嗎(ma)?一個邁拓2G,一個西(xi)數40G,西(xi)數40G是(shi)我(wo)(wo)的系(xi)(xi)統(tong)盤,那就從這(zhe)個盤上復制就行(xing)(xing)了。
單擊“磁盤編輯器”按(an)鈕
出現“編輯磁盤(pan)”對話框
選擇(ze)“HD0WDC WD400EB---00CPF0”,點(dian)“確定”
這樣我(wo)們就把系統盤(pan)的分區表給(gei)打(da)開了(le),注意,現在我(wo)們是打(da)開了(le)兩個窗口(kou),當前(qian)的窗口(kou)是“硬(ying)盤(pan)0”,在標(biao)題欄上(shang)有(you)顯示。另外,打(da)開窗口(kou)菜單(dan)也能看出來,當前(qian)窗口(kou)被打(da)上(shang)一(yi)個勾(gou),如果想切(qie)換回原來的窗口(kou),就點(dian)擊“硬(ying)盤(pan)1”。
首先選(xuan)中系(xi)統盤的引導代碼(ma)
然后(hou)在選區中單擊(ji)鼠標右鍵,選“編輯”
又出(chu)來一個菜單,然(ran)后我們選“復制選塊”——“正(zheng)常(chang)”
然后我們(men)切換回硬(ying)盤1窗(chuang)口,在零扇(shan)區的第(di)一個字節處單擊(ji)鼠標右鍵,選“編輯”
然(ran)后選“剪貼板數據(ju)”——“寫(xie)入……”
出現一個窗口提示,點“確定”
這樣(yang),我們就(jiu)把一個正常系統盤上的引(yin)導代碼(ma)復制過來了。
下面,我們(men)就(jiu)開(kai)始(shi)恢復分(fen)區(qu)表(共64個(ge)(ge)(ge)(ge)(ge)字節,分(fen)為4個(ge)(ge)(ge)(ge)(ge)分(fen)區(qu)表項,每(mei)個(ge)(ge)(ge)(ge)(ge)分(fen)區(qu)表項占用16個(ge)(ge)(ge)(ge)(ge)字節,一般只(zhi)使用前兩(liang)個(ge)(ge)(ge)(ge)(ge)分(fen)區(qu)表項),我們(men)首先來(lai)恢復第一個(ge)(ge)(ge)(ge)(ge)分(fen)區(qu)標項(也就(jiu)是用來(lai)描(miao)述C盤的(de))。
首先,在(zai)第(di)1個字節處(0扇區倒數第(di)五(wu)行(xing),倒數第(di)二個字節)填上分區引(yin)導標志,因(yin)為C盤是活動分區,所以填上80。
接著是(shi)第(di)2、3、4字節(本分區(qu)起始磁頭號、扇區(qu)號、柱面號),填上:01 01 00。
第5字(zi)節是(shi)分區類型符,因(yin)為原先C盤(pan)是(shi)Fat32格(ge)式,所以填(tian)上:0B。那么,如果你(ni)不(bu)知(zhi)道C盤(pan)是(shi)什么格(ge)式怎么辦呢(ni)?你(ni)會說問問客(ke)戶呀,那么如果他也(ye)不(bu)知(zhi)道呢(ni)?別著急(ji),后面在說恢復(fu)DBR的時候我會教(jiao)你(ni)怎么分辨分區的格(ge)式。
第6、7、8字節是本分(fen)區(qu)的(de)結束磁頭(tou)號、扇(shan)區(qu)號、柱面號,這(zhe)怎(zen)么知道呢?別著(zhu)急,現在的(de)磁盤都是按(an)照(zhao)LBA方式尋址,并不(bu)按(an)照(zhao)C/H/S(及(ji)柱面、磁頭(tou)、扇(shan)區(qu))方式尋址,所(suo)以(yi)這(zhe)個地(di)方你(ni)填些(xie)什么一(yi)般(ban)關系(xi)不(bu)大,但(dan)是我要告訴你(ni)有一(yi)個通用的(de)填法(fa),那就是:FE FF FF。
第9、10、11、12字節(jie),本分區(qu)之(zhi)前已用了的扇區(qu)數(shu),也(ye)就是(shi)MBR所占(zhan)用的扇區(qu)數(shu),那不(bu)是(shi)63嗎(ma)?對,但是(shi)要將(jiang)(jiang)63轉為十(shi)六進(jin)制(zhi)(zhi)數(shu),再反(fan)過(guo)來倒著填(tian)寫(xie)上。還記(ji)得怎么用計算器嗎(ma)?將(jiang)(jiang)63轉為十(shi)六進(jin)制(zhi)(zhi)數(shu)是(shi)3F,不(bu)夠四(si)個字節(jie)前面(mian)加零,也(ye)就是(shi)00 00 00 3F,再將(jiang)(jiang)此(ci)數(shu)從右向左依次序反(fan)過(guo)來就是(shi)3F 00 00 00。
第(di)(di)13、14、15、16字(zi)節是(shi)(shi)本(ben)分區(qu)的(de)(de)總扇(shan)區(qu)數,也就(jiu)是(shi)(shi)C盤(pan)的(de)(de)大(da)小,這就(jiu)要(yao)通過稍微一點點計算來得到(dao)了(le)。因為(wei)C盤(pan)是(shi)(shi)從第(di)(di)63個(ge)扇(shan)區(qu)開始,而C盤(pan)后面緊接著的(de)(de)是(shi)(shi)EBR,所(suo)以用EBR所(suo)在(zai)的(de)(de)第(di)(di)一個(ge)扇(shan)區(qu)數減去(qu)63就(jiu)是(shi)(shi)C盤(pan)的(de)(de)大(da)小。那(nei)么如何才(cai)能(neng)找(zhao)到(dao)EBR所(suo)在(zai)的(de)(de)第(di)(di)一個(ge)扇(shan)區(qu)呢?我們(men)(men)前面說(shuo)過,EBR的(de)(de)結(jie)構和MBR是(shi)(shi)一樣的(de)(de),所(suo)以,EBR的(de)(de)結(jie)束標(biao)志(zhi)也一定是(shi)(shi)55AA,那(nei)么,只要(yao)我們(men)(men)找(zhao)到(dao)這個(ge)結(jie)束標(biao)志(zhi),再看看這個(ge)扇(shan)區(qu)是(shi)(shi)不是(shi)(shi)EBR不就(jiu)行了(le)?
單擊“搜(sou)索”——“查找十六進制數值……”,然后出來一個對話框
在文(wen)本(ben)框中輸入“55AA”,搜索(suo)框中選(xuan)“全部”,然后選(xuan)中“條件”,把偏(pian)移量設置為“512=510”。
再(zai)單擊“確定”。畫面如(ru)下:
首先(xian)找到第(di)一(yi)個“55AA”,我們看到,個扇區在第(di)63個扇區上,并(bing)不是(shi)我們要找的EBR,再按F3繼續查找
又找到好幾個扇區,都(dou)不是,那么下面這個扇區是不是?
前面我們說過,EBR的結構(gou)和MBR的結構(gou)是(shi)一樣的,所以在(zai)倒(dao)數(shu)第五行倒(dao)數(shu)第二個(ge)字(zi)節(jie)應該是(shi)00 01,并且前446個(ge)字(zi)節(jie)應該是(shi)0,顯(xian)然這(zhe)也不(bu)是(shi)EBR,繼續按(an)F3查(cha)找……終于找到了真正(zheng)的EBR,在(zai)1435392扇區。
小(xiao)技巧:現(xian)在的(de)硬(ying)盤(pan)都(dou)比較大(da),要逐個扇區的(de)查找(zhao)55AA確實(shi)太慢了,那(nei)(nei)么有(you)沒(mei)有(you)辦法快(kuai)點呢?有(you),那(nei)(nei)就(jiu)(jiu)是先(xian)問(wen)問(wen)客(ke)戶C盤(pan)大(da)概有(you)多大(da),大(da)多數(shu)客(ke)戶還是知道的(de),比如他說C盤(pan)大(da)概有(you)10個G,那(nei)(nei)么你就(jiu)(jiu)不要從頭開始找(zhao)了,因為那(nei)(nei)實(shi)在太慢了。10個G大(da)概是2000萬(wan)個扇區,那(nei)(nei)么你可以用轉到(dao)扇區命令直接到(dao)1900萬(wan)扇區,從那(nei)(nei)個地方(fang)再開始找(zhao)不就(jiu)(jiu)省(sheng)事多了。
用(yong)1435392減去63,得到1435329,再轉(zhuan)為16進制,就是15E6C1,將(jiang)他倒轉(zhuan)過來就是C1E61500,這就是C盤的大小。這樣,第一個分(fen)區表(biao)項(xiang)填(tian)寫完畢(bi),我們(men)保存一下,再接著填(tian)寫第二個分(fen)區表(biao)項(xiang)。
第二(er)個分區(qu)表第1個字節:因為是非活動分區(qu),所以寫(xie)00
第2、3、4字節,填寫01 01 00(通用(yong)的)
第5字節:因為是擴展分區,所以(yi)填寫(xie)0F
第6、7、8字(zi)節(jie):填寫FE FF FF(通(tong)用(yong))
第(di)9、10、11、12字(zi)節(jie)是(shi)本分(fen)區之前已用(yong)了的(de)扇區數,應該就(jiu)是(shi)C盤(pan)大小加(jia)63,也(ye)就(jiu)是(shi)1435392,前面剛計算出來的(de),轉(zhuan)為十六進(jin)制數再反過(guo)來就(jiu)是(shi)00 E7 15 00
第13、14、15、16字節是(shi)本(ben)分區(qu)的總扇區(qu)數,也就是(shi)擴展分區(qu)的總扇區(qu)數,也就是(shi)用整個硬盤的大小減(jian)去(qu)C盤的大小再減(jian)去(qu)63,即4124736-1435329-63=2689344,轉為十六進制就是(shi)290940,反過(guo)來(lai)就是(shi)40092900。
這樣,第二個分區(qu)表(biao)項(xiang)就填寫完了。
不要忘了(le)把最后(hou)的結束標志55AA填(tian)上,這(zhe)樣,MBR就全恢(hui)復完(wan)了(le),最后(hou),保存,再重新啟動(dong)……
啟動完(wan)畢,迫不及待的(de)(de)打開我的(de)(de)電腦,發現三(san)個分區全部又回來了,并且里面(mian)的(de)(de)數(shu)據完(wan)好無(wu)損(sun)。
再右擊“我的(de)電腦(nao)”,選“管理”
出現一個(ge)對(dui)話(hua)框,選(xuan)“磁盤(pan)管(guan)理”,在右邊(bian)可以看到磁盤(pan)一的三個(ge)分區(Fat32、Fat16、Ntfs)全部都回來了(le),至(zhi)此,手(shou)工恢復分區表順利完(wan)成。
手工(gong)恢復數據(ju)恢復成(cheng)功(gong)率比較高(gao),而且比較有趣(qu)味和挑戰(zhan)性(xing),能(neng)找(zhao)(zhao)回(hui)許多傻(sha)瓜似的(de)軟(ruan)件所找(zhao)(zhao)不(bu)回(hui)來(lai)的(de)文件,但是要(yao)(yao)(yao)求工(gong)程(cheng)師(shi)一定(ding)要(yao)(yao)(yao)有耐性(xing),而且一定(ding)要(yao)(yao)(yao)保持清醒,清楚自(zi)己正在操作什(shen)(shen)么(me),操作完了會有什(shen)(shen)么(me)后果,能(neng)不(bu)能(neng)退回(hui)到上一步(bu)狀態。特別是對一些破(po)壞性(xing)操作,一定(ding)要(yao)(yao)(yao)考慮(lv)周到,只要(yao)(yao)(yao)條件允許,就一定(ding)要(yao)(yao)(yao)在操作之前進行(xing)備份,否(fou)則會造成(cheng)“血”的(de)教(jiao)訓,切記(ji)!
歲(sui)月靜好
】編輯(ji)上傳(chuan)提供,詞(ci)(ci)條(tiao)屬(shu)(shu)于開放詞(ci)(ci)條(tiao),當前頁(ye)面所(suo)展示的(de)詞(ci)(ci)條(tiao)介紹(shao)涉及宣(xuan)傳(chuan)內(nei)(nei)容屬(shu)(shu)于注冊用戶個人(ren)編輯(ji)行(xing)為(wei),與【WinHex】的(de)所(suo)屬(shu)(shu)企(qi)業/所(suo)有人(ren)/主體無(wu)關,網站不(bu)(bu)完全保證內(nei)(nei)容信(xin)息的(de)準(zhun)確性、真實性,也不(bu)(bu)代(dai)表本站立場,各項數據信(xin)息存在更(geng)新不(bu)(bu)及時的(de)情況,僅供參考,請以官方發布為(wei)準(zhun)。如果頁(ye)面內(nei)(nei)容與實際(ji)情況不(bu)(bu)符,可點擊(ji)“反饋”在線向網站提出修改,網站將核實后進行(xing)更(geng)正。
