具體來(lai)說,WinHex是一款以通用(yong)(yong)的(de) 16 進(jin)制(zhi)編輯(ji)器為核心,專門用(yong)(yong)來(lai)對付計算機取證、數據(ju)恢復(fu)、低級(ji)數據(ju)處理(li)、以及 IT 安(an)全性、各種日(ri)常緊急情況的(de)高級(ji)工具:用(yong)(yong)來(lai)檢查和修復(fu)各種文件、恢復(fu)刪除文件、硬盤損(sun)壞、數碼相(xiang)機卡(ka)損(sun)壞造成的(de)數據(ju)丟失等(deng)。功能包(bao)括(依照授權類型):
* 查看,編(bian)輯和修復磁盤,可用于硬盤,軟盤,以及許多其它可存(cun)儲介質類型。
*支持 FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3, CDFS, UDF
* 內置RAID和動態磁盤分析器(qi)
* RAM 編輯器,可(ke)直接(jie)查看/編輯被調試(shi)程序的虛(xu)擬(ni)內存
* 數據(ju)(ju)解釋(shi)器,精通 20 種數據(ju)(ju)類型
* 使(shi)用模板編輯數(shu)據結構(gou)
* 連接,分(fen)割,合并,分(fen)析和比較文件
* 智能搜索和替(ti)換功能,進(jin)行替(ti)換時,如(ru)果替(ti)換字(zi)(zi)符大于或小于原(yuan)始字(zi)(zi)符時可(ke)進(jin)行選擇(ze)性(xing)操作(zuo)
* 不同驅動(dong)器克隆以(yi)及驅動(dong)器鏡像解釋(shi)
* 腳本(ben)和(he)應用程序(xu)接口(kou)(API)
* 用于文件和(he)磁盤(pan)的成(cheng)熟的撤消(xiao)和(he)備(bei)份(fen)機制
* 加密(mi)和(he)解密(mi)數據(ju),Hash計算(suan)(校驗和(he),CRC32,MD5,SHA-1,...)
* 粉(fen)碎(sui)(sui)文件(jian)和(he)磁(ci)盤數(shu)據,粉(fen)碎(sui)(sui)后的文件(jian)和(he)磁(ci)盤數(shu)據任何(he)人都不(bu)可能(neng)進行恢(hui)復
* 支(zhi)持所有剪貼板(ban)格(ge)式(shi)的(de)導入
* 數據(ju)格(ge)式(shi)轉換,支持(chi)二進制,16 進制 ASCII,Intel 16 進制,及(ji) Motorola-S 等數據(ju)之間的相(xiang)互轉換;
* 隱(yin)藏數據(ju)和(he)查找隱(yin)藏數據(ju)
*支持打開超過(guo)4GB的文件(jian),而且(qie)速度很快(kuai)
* 用(yong)于(yu)計算(suan)機進程的眾多顯著有效的高級功(gong)能(neng)
在(zai)Winhex中集成了強大的(de)工(gong)具(ju)(ju),包括磁盤編輯(ji)器(qi),Hex轉(zhuan)換(huan)器(qi)和RAM編輯(ji)工(gong)具(ju)(ju),并能(neng)夠方便的(de)調用(yong)系統(tong)常用(yong)工(gong)具(ju)(ju)如:計(ji)(ji)算器(qi),記事本,瀏(liu)覽(lan)器(qi)等(deng)。在(zai)未登記注冊的(de)版本中,可以編輯(ji),但不(bu)能(neng)保存(cun)大小超(chao)過512K的(de)文件(jian)且只能(neng)瀏(liu)覽(lan)而不(bu)能(neng)修改編輯(ji)RAM區域。按F8,彈出(chu)十(shi)(shi)六(liu)進制和十(shi)(shi)進制轉(zhuan)換(huan)器(qi),左邊(bian)欄顯示(shi)十(shi)(shi)六(liu)進制數字,右邊(bian)欄顯示(shi)十(shi)(shi)進制數字。如果(guo)你在(zai)左邊(bian)輸入(ru)十(shi)(shi)六(liu)進制數,按Enter其十(shi)(shi)進制結果(guo)就出(chu)現在(zai)右邊(bian)的(de)矩形框中了,反之亦然。如果(guo)你按組(zu)合鍵Alt+F8,可調用(yong)系統(tong)計(ji)(ji)算器(qi)。
Winhex使用簡(jian)單(dan),功能強大,可以方便你(ni)程序的調試、文本編輯、科學計算和(he)系統管理(li),相(xiang)信你(ni)會喜歡的。如(ru)果你(ni)想(xiang)刪(shan)除Winhex軟件,簡(jian)單(dan),把整個目錄干掉(diao)就行(xing)了
在(zai)DOS時代,我(wo)們(men)編輯(ji)文件(jian)代碼用的(de)一般都是PCTOOLS5.0,可(ke)是自從(cong)FAT32出現以來,PCTOOLS5.0不能用了(le),就很少(shao)優秀的(de)文件(jian)編輯(ji)器出現過(guo),不過(guo)現在(zai)筆者向(xiang)大家介紹的(de)這一款winhex可(ke)以說(shuo)是繼前者之后(hou)的(de)最優秀的(de)文件(jian)編輯(ji)器了(le)。
作為一(yi)個16進制文(wen)(wen)(wen)件(jian)(jian)(jian)編(bian)(bian)輯(ji)與磁(ci)盤編(bian)(bian)輯(ji)軟件(jian)(jian)(jian)。WinHex以文(wen)(wen)(wen)件(jian)(jian)(jian)小(xiao)、速(su)度快(kuai),功能強(qiang)大而(er)著稱,連(lian)ZDNetSoftwareLibrary也給了他5星的(de)(de)最高(gao)評價。它可以勝任Hex和ASCII碼編(bian)(bian)輯(ji)修改,多(duo)文(wen)(wen)(wen)件(jian)(jian)(jian)尋替換功能,一(yi)般運(yun)算(suan)(suan)及邏輯(ji)運(yun)算(suan)(suan),磁(ci)盤磁(ci)區(qu)編(bian)(bian)輯(ji)(支持FAT16、FAT32和NTFS)自(zi)動搜尋編(bian)(bian)輯(ji),文(wen)(wen)(wen)件(jian)(jian)(jian)比對和分(fen)析,編(bian)(bian)輯(ji)內存(cun)里面的(de)(de)資料等功能.
首(shou)先我們到這里去下(xia)載一(yi)(yi)個814KB大小的(de)中文(wen)漢化版本(ben)的(de)WINHEX,漢化版本(ben)更加(jia)容(rong)易(yi)使用嘛,值(zhi)得(de)一(yi)(yi)提的(de)是(shi)WINHEX是(shi)免費軟件(jian),你可以在所有的(de)WINDOWS平臺(tai)上面運行(xing)。安裝過程非常簡單(dan)(dan),成功安裝之(zhi)后,程序圖標就會出現在“開始(shi)→程序”菜單(dan)(dan)和(he)桌面上。其(qi)界面由(you)標題欄(lan)、工具(ju)欄(lan)、菜單(dan)(dan)欄(lan)、圖片(pian)瀏覽區和(he)狀態(tai)欄(lan)組(zu)成。下(xia)面我們來簡要介紹一(yi)(yi)下(xia):
◇功(gong)(gong)(gong)能(neng)菜(cai)單(dan)(dan):WINHEX的(de)菜(cai)單(dan)(dan)欄由八(ba)個菜(cai)單(dan)(dan)組成,分(fen)(fen)(fen)別是(shi)(shi)(shi):文(wen)(wen)件(jian)(jian)、編(bian)輯、查(cha)找、位(wei)(wei)(wei)置(zhi)、工(gong)具、選項、文(wen)(wen)件(jian)(jian)管理(li)器(qi)(qi)、窗口和(he)(he)(he)幫(bang)助。所(suo)有(you)(you)的(de)功(gong)(gong)(gong)能(neng)都已經(jing)包(bao)含(han)在(zai)(zai)里(li)面(mian)(mian)(mian)了。在(zai)(zai)文(wen)(wen)件(jian)(jian)菜(cai)單(dan)(dan)里(li)面(mian)(mian)(mian)包(bao)含(han)的(de)是(shi)(shi)(shi)新建、打開(kai)文(wen)(wen)件(jian)(jian)和(he)(he)(he)保存以(yi)及退出命令,另外還(huan)有(you)(you)備份管理(li)、創建備份和(he)(he)(he)載(zai)入備份功(gong)(gong)(gong)能(neng)。在(zai)(zai)編(bian)輯菜(cai)單(dan)(dan)里(li)面(mian)(mian)(mian)除(chu)了復制(zhi)(zhi)粘貼之(zhi)類的(de)常見命令之(zhi)外還(huan)有(you)(you)對(dui)(dui)數(shu)據(ju)格式進(jin)(jin)(jin)行(xing)轉換(huan)和(he)(he)(he)修改的(de)功(gong)(gong)(gong)能(neng)。查(cha)找功(gong)(gong)(gong)能(neng)是(shi)(shi)(shi)方便您(nin)在(zai)(zai)文(wen)(wen)件(jian)(jian)里(li)面(mian)(mian)(mian)查(cha)找特定(ding)的(de)文(wen)(wen)本(ben)(ben)(ben)內容或(huo)(huo)者是(shi)(shi)(shi)十(shi)(shi)六進(jin)(jin)(jin)制(zhi)(zhi)代碼的(de),支(zhi)持整數(shu)值(zhi)和(he)(he)(he)浮點(dian)數(shu)值(zhi)。位(wei)(wei)(wei)置(zhi)菜(cai)單(dan)(dan)里(li)面(mian)(mian)(mian)的(de)命令就(jiu)是(shi)(shi)(shi)讓你在(zai)(zai)編(bian)輯大(da)體積的(de)文(wen)(wen)件(jian)(jian)的(de)時候能(neng)夠方便地進(jin)(jin)(jin)行(xing)定(ding)位(wei)(wei)(wei),你可(ke)以(yi)根據(ju)其中的(de)偏移地址或(huo)(huo)者是(shi)(shi)(shi)區(qu)塊(kuai)的(de)位(wei)(wei)(wei)置(zhi)來快速定(ding)位(wei)(wei)(wei)。工(gong)具菜(cai)單(dan)(dan)里(li)面(mian)(mian)(mian)包(bao)括的(de)都是(shi)(shi)(shi)一些十(shi)(shi)分(fen)(fen)(fen)實用的(de)功(gong)(gong)(gong)能(neng),譬如磁盤(pan)編(bian)輯工(gong)具(類似PCTOOLS里(li)面(mian)(mian)(mian)的(de)DISKEDIT)、文(wen)(wen)本(ben)(ben)(ben)編(bian)輯工(gong)具(類似記事本(ben)(ben)(ben))、計算器(qi)(qi)、模板(ban)管理(li)工(gong)具和(he)(he)(he)十(shi)(shi)進(jin)(jin)(jin)制(zhi)(zhi)、十(shi)(shi)六進(jin)(jin)(jin)制(zhi)(zhi)轉換(huan)器(qi)(qi)等(deng)等(deng)。如果你要對(dui)(dui)WINHEX的(de)功(gong)(gong)(gong)能(neng)進(jin)(jin)(jin)行(xing)設(she)置(zhi),那么就(jiu)必(bi)須進(jin)(jin)(jin)入選項菜(cai)單(dan)(dan)了,里(li)面(mian)(mian)(mian)除(chu)了常規選項的(de)設(she)置(zhi),還(huan)有(you)(you)安全性設(she)置(zhi)和(he)(he)(he)還(huan)原選項設(she)置(zhi)。在(zai)(zai)文(wen)(wen)件(jian)(jian)管理(li)菜(cai)單(dan)(dan)中,你可(ke)以(yi)對(dui)(dui)文(wen)(wen)件(jian)(jian)進(jin)(jin)(jin)行(xing)分(fen)(fen)(fen)割、比較(jiao)、復制(zhi)(zhi)和(he)(he)(he)剖析,功(gong)(gong)(gong)能(neng)十(shi)(shi)分(fen)(fen)(fen)強大(da)。“工(gong)具”選項里(li)面(mian)(mian)(mian)包(bao)含(han)的(de)是(shi)(shi)(shi)文(wen)(wen)件(jian)(jian)新建、打開(kai)、保存、打印、屬性工(gong)具;剪切(qie)、粘貼和(he)(he)(he)復制(zhi)(zhi)編(bian)輯工(gong)具;查(cha)找文(wen)(wen)本(ben)(ben)(ben)和(he)(he)(he)Hex值(zhi),替換(huan)文(wen)(wen)本(ben)(ben)(ben)和(he)(he)(he)Hex值(zhi);文(wen)(wen)件(jian)(jian)定(ding)位(wei)(wei)(wei)工(gong)具、RAM編(bian)輯器(qi)(qi)、計算器(qi)(qi)、區(qu)塊(kuai)分(fen)(fen)(fen)析和(he)(he)(he)磁盤(pan)編(bian)輯工(gong)具等(deng)等(deng)。這些功(gong)(gong)(gong)能(neng)除(chu)了在(zai)(zai)菜(cai)單(dan)(dan)里(li)面(mian)(mian)(mian)進(jin)(jin)(jin)行(xing)選擇之(zhi)外,還(huan)可(ke)以(yi)通過菜(cai)單(dan)(dan)下面(mian)(mian)(mian)的(de)一列快捷按鈕(niu)來執(zhi)行(xing)。
◇在使用(yong)Winhex時(shi)首(shou)先打(da)開一個需要處理(li)的(de)文(wen)(wen)(wen)件(jian)(jian),窗(chuang)口中顯示十六進(jin)制HEX格式的(de)數(shu)值(zhi)和(he)地址。在旁邊的(de)區域(yu)顯示文(wen)(wen)(wen)件(jian)(jian)名(ming)稱、大小、創(chuang)(chuang)建(jian)時(shi)間(jian)、最后修改日期,窗(chuang)口屬性以及相(xiang)關信息。利用(yong)鼠標拖放功(gong)能(neng)你可以選(xuan)擇一塊(kuai)數(shu)值(zhi)進(jin)行修改編(bian)輯(ji)。按Ctrl+T,彈出數(shu)據修改對話框(kuang),選(xuan)擇數(shu)據類型和(he)字節變(bian)換方(fang)式,可以方(fang)便的(de)修改區塊(kuai)中的(de)數(shu)據。執行文(wen)(wen)(wen)件(jian)(jian)菜(cai)單(dan)中的(de)創(chuang)(chuang)建(jian)備(bei)(bei)份(fen)(fen)(fen)(fen)(fen)(fen)命令,彈出備(bei)(bei)份(fen)(fen)(fen)(fen)(fen)(fen)對話框(kuang),你可以指(zhi)(zhi)定備(bei)(bei)份(fen)(fen)(fen)(fen)(fen)(fen)的(de)文(wen)(wen)(wen)件(jian)(jian)名(ming)和(he)路徑、備(bei)(bei)份(fen)(fen)(fen)(fen)(fen)(fen)說明(ming),還可以選(xuan)擇是(shi)否(fou)自動由備(bei)(bei)份(fen)(fen)(fen)(fen)(fen)(fen)管理(li)指(zhi)(zhi)定文(wen)(wen)(wen)件(jian)(jian)夾,是(shi)否(fou)保存檢(jian)查(cha)和(he)摘要,是(shi)否(fou)壓縮備(bei)(bei)份(fen)(fen)(fen)(fen)(fen)(fen)和(he)加密備(bei)(bei)份(fen)(fen)(fen)(fen)(fen)(fen),這樣你可以方(fang)便的(de)將你的(de)文(wen)(wen)(wen)件(jian)(jian)進(jin)行備(bei)(bei)份(fen)(fen)(fen)(fen)(fen)(fen),下(xia)次執行文(wen)(wen)(wen)件(jian)(jian)菜(cai)單(dan)中的(de)裝載備(bei)(bei)份(fen)(fen)(fen)(fen)(fen)(fen)就(jiu)可以打(da)開備(bei)(bei)份(fen)(fen)(fen)(fen)(fen)(fen)文(wen)(wen)(wen)件(jian)(jian)了,十分方(fang)便
◇強大(da)的(de)(de)查找(zhao)功能:Winhex具有強大(da)的(de)(de)查找(zhao)搜索功能,可以(yi)(yi)(yi)查找(zhao)和(he)(he)替換(huan)文(wen)(wen)本或(huo)Hex值。選(xuan)擇搜索菜(cai)單中(zhong)(zhong)(zhong)的(de)(de)聯合搜索項,彈(dan)出搜索對話框(kuang),先輸入該文(wen)(wen)件要搜索的(de)(de)十六進(jin)制(zhi)值選(xuan)擇通(tong)配符和(he)(he)搜索的(de)(de)范圍就(jiu)可以(yi)(yi)(yi)開(kai)始(shi)(shi)搜索了(le)。你(ni)(ni)可以(yi)(yi)(yi)選(xuan)擇在(zai)整個文(wen)(wen)件中(zhong)(zhong)(zhong)搜索,也可選(xuan)擇僅在(zai)區(qu)塊中(zhong)(zhong)(zhong)進(jin)行(xing)(xing)(xing)有條件的(de)(de)搜索。而且在(zai)Winhex中(zhong)(zhong)(zhong)可以(yi)(yi)(yi)方(fang)(fang)(fang)便的(de)(de)進(jin)行(xing)(xing)(xing)定(ding)位(wei)操作(zuo),快速轉道新(xin)的(de)(de)位(wei)置(zhi)。執(zhi)行(xing)(xing)(xing)定(ding)位(wei)菜(cai)單中(zhong)(zhong)(zhong)的(de)(de)標(biao)記定(ding)位(wei)命令(ling),或(huo)按(an)Ctrl+L,將鼠標(biao)指向需(xu)要定(ding)位(wei)的(de)(de)位(wei)置(zhi),就(jiu)可以(yi)(yi)(yi)在(zai)當前鼠標(biao)所在(zai)的(de)(de)位(wei)置(zhi)作(zuo)上標(biao)記,不(bu)管(guan)你(ni)(ni)操作(zuo)到什么地方(fang)(fang)(fang),按(an)組合鍵(jian)Ctrl+k,就(jiu)可以(yi)(yi)(yi)返回到標(biao)記所在(zai)的(de)(de)位(wei)置(zhi)。執(zhi)行(xing)(xing)(xing)定(ding)位(wei)菜(cai)單中(zhong)(zhong)(zhong)的(de)(de)刪除(chu)標(biao)記命令(ling),可以(yi)(yi)(yi)將所作(zuo)的(de)(de)標(biao)記刪除(chu)。除(chu)了(le)利(li)用(yong)標(biao)記定(ding)位(wei)以(yi)(yi)(yi)外,你(ni)(ni)還可以(yi)(yi)(yi)方(fang)(fang)(fang)便的(de)(de)轉到文(wen)(wen)件的(de)(de)開(kai)始(shi)(shi)和(he)(he)結(jie)尾,區(qu)塊的(de)(de)開(kai)始(shi)(shi)和(he)(he)結(jie)尾,行(xing)(xing)(xing)首和(he)(he)行(xing)(xing)(xing)尾以(yi)(yi)(yi)及頁首和(he)(he)頁尾。你(ni)(ni)可以(yi)(yi)(yi)自己試一試,相信你(ni)(ni)很快就(jiu)知道了(le)。
◇Winhex集成(cheng)了(le)強大的工具(ju)(ju),包括磁(ci)盤編(bian)(bian)輯(ji)器(qi)(qi),計(ji)算器(qi)(qi),Hex轉換器(qi)(qi)和RAM編(bian)(bian)輯(ji)工具(ju)(ju),使用十分(fen)方便。按(an)F9,彈出(chu)磁(ci)盤編(bian)(bian)輯(ji)器(qi)(qi)對(dui)話框(kuang),首先選擇磁(ci)盤分(fen)區,然后按(an)確定(ding)(ding)按(an)鈕就(jiu)可以(yi)(yi)方便的對(dui)磁(ci)盤的空(kong)余空(kong)間(jian)進(jin)行清理。點(dian)擊工具(ju)(ju)欄中的RAM編(bian)(bian)輯(ji)工具(ju)(ju)按(an)鈕,彈出(chu)RAM編(bian)(bian)輯(ji)器(qi)(qi),選擇需(xu)要瀏(liu)覽或編(bian)(bian)輯(ji)修改的RAM區,選擇確定(ding)(ding)就(jiu)可以(yi)(yi)了(le),RAM的內容就(jiu)顯示(shi)在主窗口(kou)了(le)。
如(ru)果您在PCTOOLS之后再也沒(mei)有碰到(dao)過稱心的(de)十六進制(zhi)編輯(ji)器(qi),那么我推薦你使(shi)用WINHEX。
功能包括:
- 硬盤, 軟盤, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盤編輯器。
- 支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文(wen)件系統(tong)。
- 支持對磁盤(pan)陣列 RAID 系(xi)統和(he)動態磁盤(pan)的(de)重組(zu)、分(fen)析和(he)數據(ju)恢復。
- 多種數據恢(hui)復技術。
- 可分析 RAW 格式原始數據鏡(jing)像文(wen)件中的完整目(mu)錄結構(gou),支持分段保存的鏡(jing)像文(wen)件。
- 數據解釋器, 已知 20 種數據類型。
- 使用(yong)模(mo)板編輯(ji)數(shu)據(ju)結構 (例(li)如: 修復分區表/引導扇區)。
- 連(lian)接和分(fen)割、以奇數偶數字節(jie)或(huo)字的方式合并(bing)、分(fen)解(jie)文件。
- 分析和比較文件。
- 搜索(suo)和替(ti)換功能尤其靈活。
- 磁(ci)盤克隆 (可(ke)在 DOS 環(huan)境下使用 X-Ways Replica)。
- 驅動(dong)器鏡(jing)像和備份 (可選壓縮(suo)或分割成(cheng) 650 MB 的檔(dang)案)。
- 程序(xu)接口 (API) 和腳本。
- 256 位(wei) AES 加密(mi), 校驗和, CRC32, 哈(ha)希算法 (MD5, SHA-1, ...)。
- 數據擦(ca)除功能,可徹(che)底清除存儲介質中(zhong)殘留數據。
- 可導入剪貼板所有格式數據, 包括 ASCII、16 進(jin)制數據。
- 可進行 2 進制、16 進制 ASCII, Intel 16 進制, 和 Motorola S 轉換(huan)。
- 字符集(ji): ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)。
- 立(li)即(ji)窗口切換、打印、生成隨機數字。
- 支持打開(kai)大于(yu) 4 GB 的(de)文件,非(fei)常快速(su),容易使用。
- 廣(guang)泛的聯機幫助。
WinHex 計(ji)算機法證版
X-Ways Forensics- 它能讓計(ji)算機上所有(you)的位(wei)和字節都在您的指尖下變成(cheng)現實。購(gou)買前(qian)可(ke)免費試用。
X-Ways Forensics 13.9 以后的版本只(zhi)有正(zheng)式用戶(hu)才可下(xia)載(zai) (下(xia)載(zai)地址在(zai)購(gou)買(mai)后提供)。
特別注意
盡(jin)量不要解壓至中文名文件夾下,否(fou)則運行出錯!
V16.8更新(xin)內容:
WinHex可(ke)以用來檢(jian)查和(he)修(xiu)復(fu)各種文件(jian)、恢復(fu)刪除文件(jian)、硬盤(pan)損壞造(zao)成的數據丟失等。
12.8 sr-2更(geng)新內容:
* 現在可(ke)以在容器根層遞歸探(tan)索證據對象概況(kuang),在基于動態填(tian)充(chong)設置上,可(ke)以在一個(ge)方(fang)便的平面視(shi)圖中(zhong)列出所有子目(mu)錄中(zhong)的所有文(wen)件。
* X-Ways Forensics 現在可以在內(nei)部重新匯編(bian)硬件(jian) RAID5 系統到(dao)級別0,并且支持奇偶校驗(yan)。
* 如果一個(ge) RAID 系(xi)統添加到(dao)一個(ge)容器作為證(zheng)據(ju)對象,當名稱或位置改變時現在可以很容易替換(huan) RAID 系(xi)統的(de)一部分。
* 一些(xie)在 RAM 編輯器中被隱藏(zang)的進程現在能夠(gou)列出。
* 現(xian)在可(ke)以間接填(tian)充(chong)證(zheng)據文件內容(rong)。
* 可(ke)以選取報(bao)告表中(zhong)某幾(ji)列到容(rong)(rong)器報(bao)名中(zhong)。(查看容(rong)(rong)器屬性)
* 更進一步改進文件路徑(jing)太長的兼容性(xing)。
* 修(xiu)正(zheng) 12.7 版(ban)本自動(dong)檢(jian)測(ce)物(wu)理(li)磁盤 RAW 映象(xiang)為(wei)單獨的分區映象(xiang)。
* 幾(ji)個其它局部改進和錯(cuo)誤修正(zheng)
* 針(zhen)對 UFS 在線提供不同的(de)模板(ban)。
* 更多更新(xin)內(nei)容請到(dao)網站(zhan)時(shi)事通(tong)訊(xun)中查看
設置中文的方法
點擊菜單欄最(zui)后(hou)的“help”-“setup”-“Chinese,please!”
軟件使用說明
下(xia)面(mian)我們來(lai)看看該軟件的使用。
標(biao)題欄:與一(yi)般(ban)的(de)應用軟件(jian)一(yi)樣(yang),標(biao)題欄中顯示軟件(jian)名(ming)稱和當(dang)前打開(kai)的(de)文件(jian)名(ming)稱;
菜單(dan)欄(lan):Winhex的菜單(dan)欄(lan)由八個菜單(dan)項組(zu)成-文件(jian)菜單(dan)、編(bian)輯菜單(dan)、搜(sou)索、定位、工具、選(xuan)項菜單(dan)、文件(jian)管理、窗(chuang)口和幫助(zhu)菜單(dan)。
在(zai)文(wen)件(jian)菜單(dan)中,除了常(chang)規的(de)新(xin)建(jian)、打(da)開文(wen)件(jian)和(he)保存以及退出(chu)命令以外,還有備(bei)份管理、創(chuang)建(jian)備(bei)份和(he)載入備(bei)份功能(neng)(neng)。選(xuan)(xuan)擇(ze)文(wen)件(jian)菜單(dan)中的(de)屬性項(xiang),彈出(chu)文(wen)件(jian)屬性窗口(kou),包括(kuo)文(wen)件(jian)路徑、名稱、大小、創(chuang)建(jian)時間(jian)和(he)修(xiu)改日(ri)期等內容(rong)。在(zai)編輯(ji)菜單(dan)中,除了常(chang)規的(de)復制、粘貼和(he)剪(jian)切(qie)功能(neng)(neng)外,還有數據格式轉換和(he)修(xiu)改的(de)功能(neng)(neng)。在(zai)搜索(suo)菜單(dan)中,你(ni)可以查(cha)找或替換文(wen)本(ben)內容(rong)和(he)十(shi)六(liu)進制文(wen)件(jian),搜索(suo)整數值和(he)浮點數值。在(zai)定位(wei)(wei)菜單(dan)中,你(ni)可以根據偏(pian)移地址(zhi)和(he)區塊的(de)位(wei)(wei)置(zhi)快速(su)定位(wei)(wei)。在(zai)工(gong)具菜單(dan)中,包括(kuo)磁盤編輯(ji)工(gong)具、文(wen)本(ben)編輯(ji)工(gong)具、計(ji)算器、模板管理工(gong)具和(he)Hex轉換器,使用十(shi)分方(fang)便。在(zai)選(xuan)(xuan)項(xiang)菜單(dan)中,包括(kuo)常(chang)規選(xuan)(xuan)項(xiang)設置(zhi)、安全性設置(zhi)和(he)還原選(xuan)(xuan)項(xiang)設置(zhi)。
在Winhex的(de)工(gong)(gong)具(ju)(ju)(ju)欄中,包括文件新(xin)建、打(da)開、保存(cun)、打(da)印、屬(shu)性(xing)工(gong)(gong)具(ju)(ju)(ju);剪切、粘貼和(he)復制編(bian)輯工(gong)(gong)具(ju)(ju)(ju);查找文本和(he)Hex值,替換(huan)文本和(he)Hex值;文件定位工(gong)(gong)具(ju)(ju)(ju)、RAM編(bian)輯器(qi)、計算器(qi)、區塊分析和(he)磁盤(pan)編(bian)輯工(gong)(gong)具(ju)(ju)(ju);選項設置工(gong)(gong)具(ju)(ju)(ju)和(he)幫助工(gong)(gong)具(ju)(ju)(ju)按(an)鈕(niu)。通過使用(yong)工(gong)(gong)具(ju)(ju)(ju)欄中的(de)快捷按(an)鈕(niu)可以更(geng)方(fang)便的(de)進行操作,這些和(he)菜單中相應的(de)命令(ling)是一(yi)樣的(de)。
在使(shi)用Winhex之前需要進(jin)行相應(ying)的選(xuan)(xuan)項(xiang)設置,點(dian)擊(ji)工(gong)具欄(lan)中(zhong)(zhong)的選(xuan)(xuan)項(xiang)設置快(kuai)捷(jie)圖標按(an)鈕,彈出選(xuan)(xuan)項(xiang)設置對話框.它包括是否(fou)(fou)(fou)將WinHex作為(wei)默認關(guan)聯,是否(fou)(fou)(fou)添加WinHex到上下文(wen)菜(cai)單,是否(fou)(fou)(fou)不更新文(wen)件(jian)(jian)名,是否(fou)(fou)(fou)快(kuai)速打開文(wen)件(jian)(jian)以(yi)及是否(fou)(fou)(fou)顯(xian)示文(wen)件(jian)(jian)圖標和(he)(he)工(gong)具欄(lan)。而且你(ni)(ni)(ni)還(huan)可以(yi)設置最近打開的文(wen)件(jian)(jian)列表(biao)中(zhong)(zhong)文(wen)件(jian)(jian)的數目,選(xuan)(xuan)擇(ze)是否(fou)(fou)(fou)用TAB鍵產生標記(ji),設置臨(lin)時文(wen)件(jian)(jian)夾、備份文(wen)件(jian)(jian)夾和(he)(he)文(wen)本編輯的路徑(jing)。在常規設置中(zhong)(zhong),你(ni)(ni)(ni)可以(yi)選(xuan)(xuan)擇(ze)是否(fou)(fou)(fou)選(xuan)(xuan)擇(ze)顯(xian)示雙光(guang)標和(he)(he)頁(ye)分隔符(fu),是否(fou)(fou)(fou)逐行滾動,是否(fou)(fou)(fou)顯(xian)示Windows進(jin)度條,此外你(ni)(ni)(ni)還(huan)可以(yi)設置字(zi)體類型和(he)(he)顏色,相信你(ni)(ni)(ni)很快(kuai)就學會了。執行選(xuan)(xuan)項(xiang)菜(cai)單中(zhong)(zhong)的安(an)全項(xiang),彈出安(an)全保護(hu)選(xuan)(xuan)項(xiang)設置窗(chuang)口(kou),你(ni)(ni)(ni)可以(yi)選(xuan)(xuan)擇(ze)是否(fou)(fou)(fou)限制驅(qu)動控制,是否(fou)(fou)(fou)計算(suan)標準檢(jian)查(cha)和(he)(he)扇區讀入緩存(cun)以(yi)及是否(fou)(fou)(fou)確認更新文(wen)件(jian)(jian)。另(ling)外你(ni)(ni)(ni)可以(yi)選(xuan)(xuan)擇(ze)是否(fou)(fou)(fou)自動檢(jian)查(cha)磁(ci)簇,是否(fou)(fou)(fou)總顯(xian)示恢復報告,是否(fou)(fou)(fou)對下個會話保持驅(qu)動映像,是否(fou)(fou)(fou)隱蔽輸入加密關(guan)鍵碼(*****)以(yi)及檢(jian)查(cha)虛擬內存(cun)變(bian)換和(he)(he)在RAM中(zhong)(zhong)是否(fou)(fou)(fou)保留密匙。在所有(you)設置完成后(hou),點(dian)擊(ji)保存(cun)按(an)鈕,然后(hou)按(an)確定按(an)鈕返回主窗(chuang)口(kou)。
數據恢復分類
硬(ying)(ying)(ying)恢(hui)(hui)(hui)復(fu)和軟(ruan)恢(hui)(hui)(hui)復(fu)。所謂硬(ying)(ying)(ying)恢(hui)(hui)(hui)復(fu)就是硬(ying)(ying)(ying)盤(pan)出現物理(li)性損傷,比如有盤(pan)體壞道、電路板芯片燒毀、盤(pan)體異響,等故障,由(you)此所導致的(de)普通用戶不容易(yi)(yi)取出里面(mian)數(shu)據(ju),那么我們(men)將它修好,同時又(you)保留(liu)里面(mian)的(de)數(shu)據(ju)或后來(lai)恢(hui)(hui)(hui)復(fu)里面(mian)的(de)數(shu)據(ju),這些都叫數(shu)據(ju)恢(hui)(hui)(hui)復(fu),只(zhi)不過這些故障有容易(yi)(yi)的(de)和困(kun)難的(de)之分;所謂軟(ruan)恢(hui)(hui)(hui)復(fu),就是硬(ying)(ying)(ying)盤(pan)本身沒(mei)有物理(li)損傷,而是由(you)于人為或者病(bing)毒破(po)壞所造成的(de)數(shu)據(ju)丟失(比如誤格(ge)式化,誤分區),那么這樣的(de)數(shu)據(ju)恢(hui)(hui)(hui)復(fu)就叫軟(ruan)恢(hui)(hui)(hui)復(fu)。因為硬(ying)(ying)(ying)恢(hui)(hui)(hui)復(fu)還需(xu)要(yao)購買(mai)一些工具設備(bei)(比如pc3000,電烙(luo)鐵,各種芯片、電路板),而且還需(xu)要(yao)懂一點點電路基礎,我們(men)主要(yao)使用軟(ruan)恢(hui)(hui)(hui)復(fu)。
數據恢復的前提
數據不(bu)能(neng)被(bei)二(er)次(ci)破壞、覆蓋!
硬盤數據結構
下面(mian)是一個分了(le)三(san)個區(qu)的整個硬盤(pan)的數據結(jie)構
MBR C盤EBRD盤 EBR E盤
MBR,即主引導紀錄,位于整個(ge)(ge)硬(ying)盤的0柱面0磁道1扇區(qu)(qu),共占(zhan)(zhan)(zhan)用了63個(ge)(ge)扇區(qu)(qu),但實際(ji)只使用了1個(ge)(ge)扇區(qu)(qu)(512字(zi)(zi)節)。在總共512字(zi)(zi)節的主引導記(ji)錄中,MBR又(you)可分(fen)為(wei)三部分(fen):第一部分(fen):引導代碼,占(zhan)(zhan)(zhan)用了446個(ge)(ge)字(zi)(zi)節;第二(er)(er)部分(fen):分(fen)區(qu)(qu)表,占(zhan)(zhan)(zhan)用了64字(zi)(zi)節;第三部分(fen):55AA,結束(shu)標志,占(zhan)(zhan)(zhan)用了兩個(ge)(ge)字(zi)(zi)節。后面我們(men)要說的用winhex軟件來恢復誤(wu)分(fen)區(qu)(qu),主要就是恢復第二(er)(er)部分(fen):分(fen)區(qu)(qu)表。
引導代碼的作用
就是讓硬盤(pan)(pan)(pan)具備可(ke)(ke)以(yi)引(yin)導(dao)的功能。如(ru)(ru)果引(yin)導(dao)代(dai)碼丟失,分區表還在,那么這個(ge)硬盤(pan)(pan)(pan)作為從盤(pan)(pan)(pan)所有分區數據都還在,只是這個(ge)硬盤(pan)(pan)(pan)自己不(bu)能夠用來(lai)啟動(dong)進(jin)系統了。如(ru)(ru)果要恢復引(yin)導(dao)代(dai)碼,可(ke)(ke)以(yi)用DOS下的命令:FDISK /MBR;這個(ge)命令只是用來(lai)恢復引(yin)導(dao)代(dai)碼,不(bu)會(hui)引(yin)起分區改(gai)變,丟失數據。另(ling)外(wai),也可(ke)(ke)以(yi)用工(gong)具軟件,比如(ru)(ru)DISKGEN、WINHEX等(deng)。
但分(fen)區(qu)(qu)表(biao)如果(guo)丟(diu)失,后果(guo)就是(shi)整(zheng)個(ge)硬盤一(yi)個(ge)分(fen)區(qu)(qu)沒(mei)有(you),就好像剛買(mai)來一(yi)個(ge)新硬盤沒(mei)有(you)分(fen)過區(qu)(qu)一(yi)樣。是(shi)很多病毒喜歡(huan)破壞的區(qu)(qu)域。
EBR,也叫做擴展MBR(Extended MBR)。因為主引導記錄MBR最多只能描述4個分區項(xiang),如(ru)果想(xiang)要(yao)在一個硬盤上(shang)分多于4個區,就要(yao)采用擴展MBR的辦法(fa)。
MBR、EBR是分區產(chan)生的。
比(bi)如MBR和EBR各都占(zhan)用(yong)63個扇(shan)區,C盤(pan)占(zhan)用(yong)1435329個扇(shan)區……那(nei)么數據結構如下表:
63 1435329 63 1435329 63 1253889
MBR C盤(pan) EBR D盤(pan) EBR E盤(pan)
擴展分區
而每一個分(fen)區又由(you)DBR、FAT1、FAT2、DIR、DATA5部分(fen)組成:比(bi)如C盤的數據結構:
C 盤
DBR FAT1 FAT2 DIR DATA
恢復教程
Winhex有完善的分區(qu)(qu)管理(li)功能和文件(jian)管理(li)功能,能自動分析分區(qu)(qu)鏈和文件(jian)簇鏈,能對硬盤進(jin)行(xing)不同方式(shi)不同程度的備份,甚至克隆整個硬盤;它(ta)能夠編(bian)輯(ji)任何一種文件(jian)類型(xing)的二進(jin)制內容(用十(shi)六(liu)進(jin)制顯示)其磁盤編(bian)輯(ji)器可以編(bian)輯(ji)物(wu)理(li)磁盤或邏(luo)輯(ji)磁盤的任意扇區(qu)(qu),是手工(gong)恢(hui)復(fu)數(shu)據(ju)的首選工(gong)具(ju)軟(ruan)件(jian)。
首(shou)先要安裝Winhex,安裝完了就可(ke)以啟動(dong)(dong)winhex了,啟動(dong)(dong)后,首(shou)先出現(xian)的是啟動(dong)(dong)中心對(dui)話框(kuang)。
這里(li)我們要對(dui)(dui)磁(ci)盤(pan)進行操作,就選擇“打開磁(ci)盤(pan)”,出現“編(bian)輯磁(ci)盤(pan)”對(dui)(dui)話框:
在這(zhe)個(ge)對(dui)話框里,我(wo)們可以(yi)選擇對(dui)單個(ge)分區打(da)開(kai),也可以(yi)對(dui)整(zheng)個(ge)硬(ying)盤(pan)(pan)(pan)打(da)開(kai),HD0是(shi)我(wo)現(xian)在正用的西部數據(ju)40G系統盤(pan)(pan)(pan),HD1是(shi)我(wo)們要分析的硬(ying)盤(pan)(pan)(pan),邁(mai)拓2G。這(zhe)里我(wo)們就(jiu)選擇打(da)開(kai)HD1整(zheng)個(ge)硬(ying)盤(pan)(pan)(pan),再(zai)點(dian)確(que)定.然后(hou)我(wo)們就(jiu)看到了Winhex的整(zheng)個(ge)工作界面(mian)。
最(zui)上面(mian)的是(shi)(shi)菜單欄和工具欄,下面(mian)最(zui)大的窗(chuang)口(kou)是(shi)(shi)工作區(qu),現在看(kan)到的是(shi)(shi)硬盤(pan)的第一個扇區(qu)的內容,以十六進(jin)制進(jin)行(xing)顯示(shi)(shi),并在右(you)邊顯示(shi)(shi)相應的ASCII碼,右(you)邊是(shi)(shi)詳(xiang)(xiang)細(xi)資(zi)源面(mian)板(ban)(ban)(ban),分(fen)為五個部分(fen):狀態、容量、當前位(wei)置、窗(chuang)口(kou)情(qing)(qing)況和剪貼板(ban)(ban)(ban)情(qing)(qing)況。這些情(qing)(qing)況對把握整個硬盤(pan)的情(qing)(qing)況非(fei)常有幫助(zhu)。另(ling)外,在其上單擊鼠標右(you)鍵(jian),可以將詳(xiang)(xiang)細(xi)資(zi)源面(mian)板(ban)(ban)(ban)與窗(chuang)口(kou)對換位(wei)置,或(huo)關(guan)閉(bi)資(zi)源面(mian)板(ban)(ban)(ban)。(如(ru)果關(guan)閉(bi)了(le)資(zi)源面(mian)板(ban)(ban)(ban)可以通過“察看(kan)”菜單——“顯示(shi)(shi)”命(ming)令——“詳(xiang)(xiang)細(xi)資(zi)源面(mian)板(ban)(ban)(ban)”來打開)。
最下面(mian)一欄是非常有用的輔助信息,如當前(qian)扇區/總扇區數(shu)目……等
向(xiang)下拉拉滾動(dong)條,可以(yi)看到(dao)一(yi)(yi)個(ge)灰色的(de)橫(heng)杠(gang)(gang),每到(dao)一(yi)(yi)個(ge)橫(heng)杠(gang)(gang)為一(yi)(yi)個(ge)扇(shan)區(qu),一(yi)(yi)個(ge)扇(shan)區(qu)共512字節,每兩個(ge)數字為一(yi)(yi)個(ge)字節,比如00。
下(xia)面(mian)我們來分析一下(xia)MBR,因為前面(mian)我們說(shuo)過,前446個(ge)(ge)字(zi)節為引導代碼,對我們來說(shuo)沒(mei)有意義(yi),這里我們只分析分區(qu)表(biao)中(zhong)的64個(ge)(ge)字(zi)節。
分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)表64個(ge)字節,一共可(ke)以描(miao)述(shu)(shu)4個(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)表項(xiang),每一個(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)表項(xiang)可(ke)以描(miao)述(shu)(shu)一個(ge)主分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)或一個(ge)擴展分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(比如上面的分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)表,第一個(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)表項(xiang)描(miao)述(shu)(shu)主分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)C盤,第二(er)個(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)表項(xiang)描(miao)述(shu)(shu)擴展分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu),第三第四個(ge)分(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)表項(xiang)填零未用)
每一個分區表(biao)項(xiang)各占16個字節,各字節含(han)義如(ru)下:(H表(biao)示16進(jin)制)
字節(jie)位置(zhi) 內容(rong)及含(han)義
第(di)1字節 引(yin)導標志。若(ruo)值為80H表(biao)示活動分區;若(ruo)值為00H表(biao)示非(fei)活動分區。
第2、3、4字(zi)節(jie) 本分區(qu)的起始(shi)磁頭號(hao)、扇區(qu)號(hao)、柱(zhu)面號(hao)
第5字(zi)節 分區類型(xing)符:
00H——表(biao)示該分區未(wei)用
06H——FAT16基本分區(qu)
0BH——FAT32基本(ben)分區
05H——擴展(zhan)分區(qu)
07H——NTFS分(fen)區
0FH——(LBA模式)擴展(zhan)分區
83H—— Linux分區
第6、7、8字(zi)節 本分(fen)區的結束磁頭號(hao)、扇區號(hao)、柱面號(hao)
第9、10、11、12字節 本分區之(zhi)前已用了的扇(shan)區數(shu)
第13、14、15、16字節 本分區(qu)的總(zong)扇(shan)區(qu)數
此硬盤的(de)第一分區表(biao)(即MBR)分析(xi)如下(xia):
第一個分區(qu)表項(C盤)
第1字節(jie)80:表示此分(fen)區(qu)為活動分(fen)區(qu);
第5字節(jie)0B:表示分區類型為Fat32;
第9、10、11、12字節 系(xi)統隱(yin)(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)3F 00 00 00:所謂(wei)系(xi)統隱(yin)(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)就是(shi)(shi)(shi)本(ben)分區(qu)(C盤)之(zhi)前已用了(le)的(de)(de)扇(shan)(shan)(shan)區(qu)數(shu),這是(shi)(shi)(shi)一個(ge)十六進制(zhi)數(shu),但要注意:真正的(de)(de)隱(yin)(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)數(shu)應該(gai)反(fan)(fan)(fan)過來填寫(xie)(比如:隱(yin)(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)數(shu)為3E 4D 5A 6F,則反(fan)(fan)(fan)過來就是(shi)(shi)(shi)6F 5A 4D 3E ,這才是(shi)(shi)(shi)實(shi)際的(de)(de)隱(yin)(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)數(shu))。那么,3F 00 00 00反(fan)(fan)(fan)過來寫(xie)就是(shi)(shi)(shi)00 00 003F,也(ye)就是(shi)(shi)(shi)3F,將(jiang)他轉成十進制(zhi)數(shu)我們才能知道實(shi)際的(de)(de)隱(yin)(yin)(yin)含(han)扇(shan)(shan)(shan)區(qu)數(shu)是(shi)(shi)(shi)多大。這可以使用計(ji)算器來算,單擊工具欄(lan)上的(de)(de)“計(ji)算器”按鈕。
這樣就啟動了計(ji)算器
計算器(qi)有(you)兩(liang)種型號(hao),我們要(yao)進行進制轉換(huan),就要(yao)選(xuan)擇“科學型”
比(bi)如我們要將十六進制(zhi)3F轉換為十進制(zhi),就要先選(xuan)中(zhong)“十六進制(zhi)”,然后輸入3F
再選中“十進制”,十六進制3F轉(zhuan)為十進制等于63。想一想我(wo)們前面所講(jiang)的(de)(de),MBR占用63個扇(shan)(shan)區(qu),也就(jiu)是(shi)C盤(pan)(pan)之(zhi)前已用了的(de)(de)扇(shan)(shan)區(qu)數(shu)為63,第64個扇(shan)(shan)區(qu)就(jiu)是(shi)C盤(pan)(pan)的(de)(de)第一個扇(shan)(shan)區(qu),但要(yao)注(zhu)意(yi)的(de)(de)是(shi),整(zheng)個硬盤(pan)(pan)的(de)(de)LBA地(di)址是(shi)從零開(kai)始(shi)的(de)(de),0~62的(de)(de)扇(shan)(shan)區(qu)為MBR。
第13、14、15、16字節本分區總扇(shan)區數(shu)(當然(ran),這(zhe)也(ye)就是(shi)(shi)C盤(pan)的(de)(de)大小):C1 E6 15 00,同樣,實際的(de)(de)十六進制(zhi)數(shu)也(ye)要反過來(lai)才對,也(ye)就是(shi)(shi)00 15 E6 C1,將它轉(zhuan)換成十六進制(zhi)數(shu)是(shi)(shi)1435329。給你出個(ge)(ge)題,你知道D盤(pan)的(de)(de)EBR在哪(na)個(ge)(ge)扇(shan)區嗎(ma)?我們一起來(lai)算一下,還記得前面數(shu)據結構那個(ge)(ge)表(biao)嗎(ma)?C盤(pan)后面不就是(shi)(shi)D盤(pan)的(de)(de)EBR嗎(ma)?D盤(pan)EBR的(de)(de)第一個(ge)(ge)扇(shan)區=MBR+C盤(pan)的(de)(de)大小,也(ye)就是(shi)(shi) 63+1435329=1435392。
我(wo)們來看(kan)(kan)看(kan)(kan)對不(bu)對,單(dan)擊工(gong)具欄上的“轉到扇區”按(an)鈕,出現一個“轉到扇區”對話框
然后輸入1435392,再點“確(que)定”,就到了1435392扇區(qu)了(你可以使用它再轉回到0扇區(qu))
這個(ge)就是(shi)D盤(pan)(pan)的EBR,也就是(shi)D盤(pan)(pan)的分區(qu)(qu)表(biao)了(le),怎(zen)么知道的呢?因(yin)為(wei)MBR和(he)EBR的結(jie)構是(shi)完(wan)全一樣的,都是(shi)占用了(le)63個(ge)扇(shan)區(qu)(qu),但(dan)只用了(le)第一個(ge)扇(shan)區(qu)(qu),其余62個(ge)扇(shan)區(qu)(qu)填零不用。第一個(ge)扇(shan)區(qu)(qu)前446個(ge)字節都為(wei)引(yin)導代碼,后(hou)64個(ge)字節為(wei)分區(qu)(qu)表(biao),最(zui)后(hou)2個(ge)字節為(wei)55AA結(jie)束(shu)標(biao)志。因(yin)為(wei)EBR不是(shi)活動(dong)分區(qu)(qu),不需要引(yin)導代碼,所以前446個(ge)字節為(wei)零。
還有另(ling)一(yi)種方法直接找到D盤的EBR,扇(shan)區.
這樣,分(fen)區(qu)(qu)表(biao)中的第一個分(fen)區(qu)(qu)表(biao)項(xiang)共十六(liu)個字節(jie)分(fen)析完(wan)畢,下面我們再來看看第二(er)個分(fen)區(qu)(qu)表(biao)項(xiang)(擴展(zhan)分(fen)區(qu)(qu))。
第1字節00:表(biao)示非活動分區
第(di)5字節(jie)05:表示擴(kuo)展分區(qu)
第9、10、11、12字節(jie)00 E7 15 00:本(ben)分(fen)區之前的扇(shan)區數(shu)(擴展分(fen)區前面(mian)也就是MBR和C盤,好像我們前面(mian)算過這(zhe)個數(shu)?)同樣(yang),先將它反過來,就是00 15 E7 00 ,再轉(zhuan)為(wei)十(shi)進制(zhi)是1435392,看(kan)來我們前面(mian)真的算過這(zhe)個數(shu)。
第(di)13、14、15、16字節(jie)40 09 29 00:本(ben)分(fen)區(qu)(qu)的(de)(de)總(zong)扇(shan)區(qu)(qu)數(shu)(shu)。也就是擴展分(fen)區(qu)(qu)的(de)(de)總(zong)扇(shan)區(qu)(qu)數(shu)(shu)。轉為十進制應該(gai)是2689344。想(xiang)一(yi)想(xiang),用這個(ge)數(shu)(shu)加上前面的(de)(de)1435392,不正好是整個(ge)硬盤的(de)(de)總(zong)扇(shan)區(qu)(qu)數(shu)(shu)4124736嗎?
這(zhe)(zhe)(zhe)樣,如果(guo)分(fen)區(qu)(qu)(qu)(qu)表(biao)被(bei)破壞,我(wo)們(men)只要把這(zhe)(zhe)(zhe)些數值都計算出來并(bing)填上,分(fen)區(qu)(qu)(qu)(qu)表(biao)不就(jiu)恢復(fu)了(le)?那么,這(zhe)(zhe)(zhe)里我(wo)們(men)為(wei)什么不分(fen)析(xi)第2、3、4字節(本分(fen)區(qu)(qu)(qu)(qu)的起(qi)始磁頭(tou)號(hao)(hao)(hao)(hao)、扇(shan)區(qu)(qu)(qu)(qu)號(hao)(hao)(hao)(hao)、柱(zhu)面號(hao)(hao)(hao)(hao))和第6、7、8字節(本分(fen)區(qu)(qu)(qu)(qu)的結束磁頭(tou)號(hao)(hao)(hao)(hao)、扇(shan)區(qu)(qu)(qu)(qu)號(hao)(hao)(hao)(hao)、柱(zhu)面號(hao)(hao)(hao)(hao))呢?這(zhe)(zhe)(zhe)是(shi)因為(wei)C/H/S(柱(zhu)面/磁頭(tou)/扇(shan)區(qu)(qu)(qu)(qu))是(shi)老式硬盤的尋(xun)址方(fang)(fang)式,這(zhe)(zhe)(zhe)種尋(xun)址方(fang)(fang)式來管理硬盤效率很低;而現在幾乎所(suo)(suo)有的硬盤都支(zhi)持LBA(全稱是(shi)Logic Block Address,即扇(shan)區(qu)(qu)(qu)(qu)的邏輯塊(kuai)地(di)址)尋(xun)址方(fang)(fang)式,這(zhe)(zhe)(zhe)種管理方(fang)(fang)式簡單高效。在LBA方(fang)(fang)式下,系(xi)統(tong)把所(suo)(suo)有的物理扇(shan)區(qu)(qu)(qu)(qu)都統(tong)一(yi)(yi)編號(hao)(hao)(hao)(hao),按照(zhao)從零到某個(ge)(ge)最大值排列,這(zhe)(zhe)(zhe)樣只用一(yi)(yi)個(ge)(ge)序數就(jiu)確定了(le)一(yi)(yi)個(ge)(ge)唯一(yi)(yi)的物理扇(shan)區(qu)(qu)(qu)(qu)。
小知(zhi)(zhi)識:具體一個(ge)(ge)硬(ying)盤有(you)(you)多少個(ge)(ge)LBA(扇區(qu)(qu))不需要(yao)我們去記憶,因為(wei)用(yong)各種(zhong)工具軟件(如MHDD WINHEX等)都可以檢測(ce)到。我們只要(yao)知(zhi)(zhi)道個(ge)(ge)大概就(jiu)行了:如10G的(de)硬(ying)盤大概有(you)(you)2000萬個(ge)(ge)扇區(qu)(qu);20G的(de)硬(ying)盤大概有(you)(you)4000萬個(ge)(ge)扇區(qu)(qu);40G的(de)硬(ying)盤大概有(you)(you)8000萬個(ge)(ge)扇區(qu)(qu)……那么,2G的(de)硬(ying)盤大概有(you)(you)400萬個(ge)(ge)扇區(qu)(qu)。
那么,你(ni)可能要問了:如果要恢(hui)復分區表(biao),這個起始(shi)磁(ci)頭號、扇區號、柱面號還有結束磁(ci)頭號、扇區號、柱面號應該怎(zen)么填呢?簡(jian)單得(de)很(hen),在后面恢(hui)復分區表(biao)的時(shi)候我會告訴你(ni),直接填,都不用計算。
還有興趣來分(fen)析一(yi)下(xia)D盤的EBR嗎(ma)?
其(qi)實D盤的(de)EBR和E盤的(de)EBR我們(men)不(bu)分析(xi)也罷,因為無非也是(shi)分區表,跟MBR的(de)結構是(shi)一樣的(de),但卻(que)很(hen)容(rong)易把(ba)我們(men)繞暈(yun),又因為EBR一般(ban)不(bu)容(rong)易被破壞,所以我不(bu)建議分析(xi)EBR。
但如果你一(yi)定要分(fen)析,那(nei)就分(fen)析吧。
單擊“訪問”下拉按鈕——“分(fen)區二”——“分(fen)區表”,直接(jie)就到1435392扇(shan)區,即D盤的分(fen)區表EBR。
第一個分(fen)區表項(D盤):
第1個字節00:表示非活動分區
第5個字節(jie)06:表示FAT16分區(qu)
第9、10、11、12字節3F 00 00 00:本分(fen)區之前已用(yong)了的扇區數,也就是EBR的數目,63個(ge)。
第13、14、15、16字節C1 E6 15 00:本分(fen)區的(de)總扇區數(shu)(shu),也就(jiu)是D盤的(de)扇區數(shu)(shu),先反過來排列就(jiu)是00 15 E6 C1,轉為(wei)十進制就(jiu)是1435329。
第二個分區表項(D盤后面的):
第1個字節(jie)00:表示非(fei)活動分區
第5個字節(jie)05:表示(shi)擴展分(fen)區
第9、10、11、12字節00 E7 15 00:本分區之前已用了的扇區數(shu),也(ye)就是D盤的EBR加(jia)D盤總共的大小, 63+1435329=1435392
第13、14、15、16字節40 22 13 00:本分(fen)區的總扇(shan)區數(shu),1253952,也(ye)就是(shi)E盤(pan)的大小再加上一個EBR的數(shu)目。
單擊(ji)“訪問”下拉按鈕——“分區(qu)三(san)”——“分區(qu)表”,直接就到2870784扇區(qu),即E
盤的分區(qu)表(biao)EBR。因為E盤后面沒(mei)有分區(qu)了(le),所以(yi)沒(mei)有第二個分區(qu)表(biao)項。這里我(wo)們就不再研究了(le),有興趣的話可以(yi)自(zi)己多備一塊硬盤作從盤,然后自(zi)己分分區(qu)研究研究。
通過(guo)以上(shang)的(de)(de)(de)研究我(wo)們(men)總結(jie)(jie)一(yi)(yi)下(xia),MBR在定(ding)(ding)義(yi)(yi)(yi)(yi)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)(de)時候,將多余的(de)(de)(de)容(rong)量定(ding)(ding)義(yi)(yi)(yi)(yi)為擴(kuo)(kuo)展(zhan)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),指(zhi)定(ding)(ding)該(gai)擴(kuo)(kuo)展(zhan)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)(de)起(qi)(qi)止(zhi)位(wei)(wei)置,根據起(qi)(qi)始位(wei)(wei)置指(zhi)向(xiang)硬盤(pan)(pan)的(de)(de)(de)某一(yi)(yi)個(ge)(ge)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),作為下(xia)一(yi)(yi)個(ge)(ge)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)表項,接(jie)著在該(gai)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)繼(ji)續定(ding)(ding)義(yi)(yi)(yi)(yi)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),如果只有(you)(you)一(yi)(yi)個(ge)(ge)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)(jiu)定(ding)(ding)義(yi)(yi)(yi)(yi)該(gai)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),然后結(jie)(jie)束(shu);如果不止(zhi)一(yi)(yi)個(ge)(ge)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)(jiu)定(ding)(ding)義(yi)(yi)(yi)(yi)一(yi)(yi)個(ge)(ge)基本(ben)(ben)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)和一(yi)(yi)個(ge)(ge)擴(kuo)(kuo)展(zhan)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),擴(kuo)(kuo)展(zhan)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)再指(zhi)向(xiang)下(xia)一(yi)(yi)個(ge)(ge)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)描(miao)(miao)述扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),在該(gai)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)上(shang)按(an)照上(shang)述原則繼(ji)續定(ding)(ding)義(yi)(yi)(yi)(yi)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),直(zhi)至分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)定(ding)(ding)義(yi)(yi)(yi)(yi)結(jie)(jie)束(shu)。這(zhe)(zhe)(zhe)(zhe)些用(yong)來描(miao)(miao)述分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)(de)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)形成一(yi)(yi)個(ge)(ge)“分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)(lian)”,通過(guo)這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)(lian),就(jiu)(jiu)可以描(miao)(miao)述所(suo)(suo)有(you)(you)的(de)(de)(de)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)。系統(tong)(tong)在啟動(dong)時按(an)照分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)(lian)的(de)(de)(de)連(lian)接(jie)順(shun)序查(cha)找(zhao)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),直(zhi)至找(zhao)出所(suo)(suo)有(you)(you)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)。這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)鏈(lian)(lian)(lian)顯(xian)然是(shi)個(ge)(ge)開鏈(lian)(lian)(lian)結(jie)(jie)構,如果形成一(yi)(yi)個(ge)(ge)環,系統(tong)(tong)本(ben)(ben)身并不會(hui)(hui)去判斷它(ta),它(ta)只是(shi)按(an)照這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)鏈(lian)(lian)(lian)忠實(shi)的(de)(de)(de)查(cha)找(zhao)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu),而不進行任何額外的(de)(de)(de)檢測(ce)與處理。所(suo)(suo)謂(wei)硬盤(pan)(pan)邏輯(ji)鎖(suo),就(jiu)(jiu)是(shi)讓分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)(lian)形成一(yi)(yi)個(ge)(ge)環,這(zhe)(zhe)(zhe)(zhe)樣系統(tong)(tong)在啟動(dong)時就(jiu)(jiu)在分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)表內循環,表現為系統(tong)(tong)無(wu)法引導,就(jiu)(jiu)是(shi)從軟盤(pan)(pan)啟動(dong),也不能進入(ru)硬盤(pan)(pan)。明白了其(qi)結(jie)(jie)構原理,解(jie)決這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)問題就(jiu)(jiu)簡單了,目前有(you)(you)很多種(zhong)方(fang)法解(jie)決這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)問題,后面我(wo)們(men)還會(hui)(hui)講到。系統(tong)(tong)就(jiu)(jiu)是(shi)利用(yong)這(zhe)(zhe)(zhe)(zhe)種(zhong)方(fang)法使(shi)一(yi)(yi)個(ge)(ge)硬盤(pan)(pan)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)后看起(qi)(qi)來象多個(ge)(ge)硬盤(pan)(pan)。系統(tong)(tong)能夠(gou)找(zhao)到C盤(pan)(pan)以外的(de)(de)(de)其(qi)他邏輯(ji)盤(pan)(pan)的(de)(de)(de)唯一(yi)(yi)辦(ban)法就(jiu)(jiu)是(shi),沿著EBR所(suo)(suo)描(miao)(miao)述的(de)(de)(de)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)(lian)查(cha)找(zhao)分(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)。
其(qi)實,通常(chang)情(qing)況下EBR是不(bu)會被(bei)破(po)壞(huai)的(de),或者破(po)壞(huai)的(de)幾(ji)率極低極低,通常(chang)情(qing)況下,都是只有MBR被(bei)破(po)壞(huai),那(nei)么這種(zhong)情(qing)況下,我們只要把MBR的(de)分區表64個字節復原(yuan),其(qi)他的(de)分區順著分區表所(suo)提供的(de)鏈自然(ran)而然(ran)就(jiu)出來了(le)。那(nei)么,如何才能將分區表復原(yuan)呢?這就(jiu)要通過計算結合Winhex強大的(de)功(gong)能來實現了(le)。
下面我們就來模仿分區表被病毒破壞(huai)的情況,將(jiang)MBR全部填零。我們首先將(jiang)MBR所(suo)在的扇(shan)區選(xuan)中。鼠標指向第一(yi)個字(zi)節(jie),單擊(ji)右鍵(jian),選(xuan)擇“選(xuan)塊(kuai)開始”
然后鼠標指向(xiang)MBR的(de)最后一個(ge)字節,單擊右(you)鍵(jian),選擇“選塊結尾”
然后我們在選區內(nei)部(bu)單擊鼠標(biao)右鍵(jian),選擇“編輯(ji)”
這樣就有(you)出(chu)來一個菜單
然后(hou)我們選“填充(chong)選塊(kuai)”,這樣(yang)就(jiu)出來一(yi)個(ge)填充(chong)選塊(kuai)對話(hua)框
在“用十六進制填充”的輸入框中輸入“00”,再點(dian)“確(que)定”
這樣MBR所在扇區全部被我(wo)們填充為“00”
如(ru)果想(xiang)取消選(xuan)區,那(nei)就(jiu)(jiu)用鼠(shu)標(biao)拖動隨便(bian)選(xuan)中一(yi)塊(kuai)區域(yu),那(nei)么原來的選(xuan)區就(jiu)(jiu)會取消。注意,如(ru)果扇(shan)區數據被修改了而沒有存(cun)盤就(jiu)(jiu)會變為別的顏色(se)。
修改了扇區,這時候還沒有(you)存(cun)盤生效(xiao)(xiao),如果你(ni)想存(cun)盤生效(xiao)(xiao)的(de)話,就選擇“文件”菜單“保(bao)存(cun)扇區”命令(ling)。
這時(shi)候就(jiu)會出現一(yi)個提(ti)示,如果(guo)(guo)你不想(xiang)存盤了就(jiu)點(dian)取消,如果(guo)(guo)想(xiang)存盤,就(jiu)點(dian)確定,再點(dian)是。
好,這樣就(jiu)存盤了,扇區被修改的數據又變(bian)為黑色。
這(zhe)樣我(wo)們(men)就把分區(qu)表給刪除了,這(zhe)時(shi)候必須(xu)重新啟動才能(neng)生效,如果(guo)你打開我(wo)的(de)電腦(nao),會(hui)發現三個分區(qu)(F、G、H)還(huan)在那里(li),并且里(li)面的(de)數據還(huan)能(neng)正常使(shi)用。
現(xian)在,我們關閉(bi)所(suo)有程序(xu)將電腦重新(xin)啟動……
經過(guo)不(bu)長(chang)時(shi)間的等(deng)待,電腦啟動起來了,我們打開我的電腦看看,發現F、G、H三個分區(qu)不(bu)見了。
再打(da)開Winhex發現MBR全部為零了,下(xia)面我們就著手(shou)開始(shi)手(shou)工恢復分區表
首先恢(hui)復(fu)引導(dao)代(dai)碼,這(zhe)最簡單了(le),只(zhi)要用Winhex到(dao)別的系(xi)統盤把引導(dao)代(dai)碼復(fu)制(zhi)過(guo)來就(jiu)行了(le)。我(wo)(wo)現(xian)在的機器上不是(shi)掛著(zhu)兩個硬盤嗎?一個邁拓(tuo)2G,一個西數40G,西數40G是(shi)我(wo)(wo)的系(xi)統盤,那(nei)就(jiu)從這(zhe)個盤上復(fu)制(zhi)就(jiu)行了(le)。
單擊“磁盤編輯器”按鈕
出現“編輯磁盤”對話框
選(xuan)擇“HD0WDC WD400EB---00CPF0”,點“確定”
這樣(yang)我(wo)們就(jiu)把系(xi)統盤(pan)的(de)分(fen)區表給打開(kai)了,注意(yi),現在我(wo)們是(shi)打開(kai)了兩(liang)個窗口,當前(qian)的(de)窗口是(shi)“硬(ying)(ying)盤(pan)0”,在標題欄上有顯示。另外(wai),打開(kai)窗口菜單也能看(kan)出(chu)來(lai),當前(qian)窗口被(bei)打上一(yi)個勾,如果想切換回(hui)原來(lai)的(de)窗口,就(jiu)點擊(ji)“硬(ying)(ying)盤(pan)1”。
首先(xian)選中(zhong)系統盤(pan)的(de)引導代碼(ma)
然后(hou)在(zai)選(xuan)區中單擊(ji)鼠標右(you)鍵,選(xuan)“編輯(ji)”
又出(chu)來一(yi)個菜單,然(ran)后(hou)我們選“復制選塊(kuai)”——“正常”
然后我們切換(huan)回硬盤(pan)1窗口,在(zai)零扇區的第一(yi)個字節處單(dan)擊鼠(shu)標右鍵,選“編輯”
然后選“剪貼板數據”——“寫(xie)入……”
出現一個窗(chuang)口提示,點“確定(ding)”
這樣,我們就把(ba)一個正常系(xi)統盤(pan)上(shang)的引導代(dai)碼復(fu)制過來了。
下面,我(wo)們(men)就(jiu)開始恢復分(fen)(fen)區(qu)(qu)表(共64個(ge)(ge)字節,分(fen)(fen)為4個(ge)(ge)分(fen)(fen)區(qu)(qu)表項(xiang),每個(ge)(ge)分(fen)(fen)區(qu)(qu)表項(xiang)占用16個(ge)(ge)字節,一(yi)(yi)般只使用前(qian)兩個(ge)(ge)分(fen)(fen)區(qu)(qu)表項(xiang)),我(wo)們(men)首先來恢復第一(yi)(yi)個(ge)(ge)分(fen)(fen)區(qu)(qu)標項(xiang)(也就(jiu)是用來描述C盤的(de))。
首先,在第1個(ge)字節(jie)處(0扇區倒數第五(wu)行(xing),倒數第二個(ge)字節(jie))填上(shang)分(fen)區引導標(biao)志,因為C盤是活動分(fen)區,所以填上(shang)80。
接著是第2、3、4字節(本分區起始磁(ci)頭號(hao)(hao)、扇(shan)區號(hao)(hao)、柱(zhu)面號(hao)(hao)),填上:01 01 00。
第(di)5字節(jie)是(shi)分區類型符,因為原先C盤(pan)(pan)是(shi)Fat32格式,所以填上:0B。那么,如(ru)果你(ni)不(bu)知道(dao)C盤(pan)(pan)是(shi)什么格式怎么辦呢?你(ni)會(hui)說(shuo)問問客戶呀,那么如(ru)果他也(ye)不(bu)知道(dao)呢?別(bie)著急,后面在說(shuo)恢(hui)復DBR的時(shi)候我會(hui)教你(ni)怎么分辨(bian)分區的格式。
第6、7、8字節是本分(fen)區的(de)結(jie)束磁頭(tou)號、扇區號、柱面號,這(zhe)怎么(me)知道呢?別著急(ji),現在的(de)磁盤都是按(an)照LBA方式尋址(zhi),并不按(an)照C/H/S(及柱面、磁頭(tou)、扇區)方式尋址(zhi),所以這(zhe)個地方你填些什么(me)一(yi)般關(guan)系(xi)不大(da),但(dan)是我要(yao)告訴你有(you)一(yi)個通用的(de)填法,那(nei)就是:FE FF FF。
第9、10、11、12字節,本(ben)分(fen)區之(zhi)前已用(yong)了的扇(shan)區數(shu),也就是MBR所占用(yong)的扇(shan)區數(shu),那不(bu)(bu)是63嗎?對,但是要將63轉(zhuan)為十六(liu)進制數(shu),再反過(guo)來倒著填(tian)寫上(shang)。還記得怎么用(yong)計算器嗎?將63轉(zhuan)為十六(liu)進制數(shu)是3F,不(bu)(bu)夠(gou)四個字節前面加零,也就是00 00 00 3F,再將此(ci)數(shu)從右向左依次序反過(guo)來就是3F 00 00 00。
第13、14、15、16字節是(shi)(shi)本分區(qu)的(de)(de)(de)(de)(de)總(zong)扇(shan)(shan)區(qu)數(shu),也就是(shi)(shi)C盤的(de)(de)(de)(de)(de)大小,這就要通(tong)過稍微一點(dian)點(dian)計算(suan)來得到(dao)了。因為C盤是(shi)(shi)從第63個(ge)扇(shan)(shan)區(qu)開始(shi),而C盤后面緊(jin)接著的(de)(de)(de)(de)(de)是(shi)(shi)EBR,所以用EBR所在(zai)的(de)(de)(de)(de)(de)第一個(ge)扇(shan)(shan)區(qu)數(shu)減去63就是(shi)(shi)C盤的(de)(de)(de)(de)(de)大小。那么(me)如(ru)何才能找到(dao)EBR所在(zai)的(de)(de)(de)(de)(de)第一個(ge)扇(shan)(shan)區(qu)呢?我們(men)前面說過,EBR的(de)(de)(de)(de)(de)結(jie)構(gou)和MBR是(shi)(shi)一樣的(de)(de)(de)(de)(de),所以,EBR的(de)(de)(de)(de)(de)結(jie)束(shu)標志也一定是(shi)(shi)55AA,那么(me),只要我們(men)找到(dao)這個(ge)結(jie)束(shu)標志,再看看這個(ge)扇(shan)(shan)區(qu)是(shi)(shi)不是(shi)(shi)EBR不就行了?
單擊“搜(sou)索(suo)”——“查找十六進制數值(zhi)……”,然后出來一(yi)個(ge)對話框
在文本(ben)框中輸入“55AA”,搜索框中選(xuan)“全部(bu)”,然(ran)后選(xuan)中“條(tiao)件”,把偏移量設置為“512=510”。
再單擊“確定”。畫面(mian)如(ru)下:
首(shou)先找(zhao)到第(di)一個(ge)“55AA”,我(wo)們(men)看到,個(ge)扇區(qu)在第(di)63個(ge)扇區(qu)上(shang),并不是我(wo)們(men)要(yao)找(zhao)的EBR,再(zai)按F3繼(ji)續查(cha)找(zhao)
又找到好幾個(ge)扇區(qu),都不是,那么下(xia)面這個(ge)扇區(qu)是不是?
前面我們說過,EBR的(de)結構(gou)和MBR的(de)結構(gou)是(shi)一(yi)樣(yang)的(de),所(suo)以在倒(dao)數第五行倒(dao)數第二個字節應該(gai)是(shi)00 01,并(bing)且前446個字節應該(gai)是(shi)0,顯然這也(ye)不是(shi)EBR,繼續按F3查找……終于找到了(le)真正的(de)EBR,在1435392扇區。
小技巧:現(xian)在(zai)的硬(ying)盤都(dou)比較大(da)(da),要逐個(ge)扇區的查找(zhao)55AA確實太慢了(le),那么(me)有(you)沒有(you)辦法快點呢(ni)?有(you),那就是先(xian)問問客(ke)(ke)戶(hu)C盤大(da)(da)概(gai)有(you)多(duo)(duo)大(da)(da),大(da)(da)多(duo)(duo)數(shu)客(ke)(ke)戶(hu)還是知道(dao)的,比如他說(shuo)C盤大(da)(da)概(gai)有(you)10個(ge)G,那么(me)你就不要從(cong)頭開(kai)始(shi)找(zhao)了(le),因為那實在(zai)太慢了(le)。10個(ge)G大(da)(da)概(gai)是2000萬個(ge)扇區,那么(me)你可以用轉到(dao)扇區命令直(zhi)接到(dao)1900萬扇區,從(cong)那個(ge)地方再(zai)開(kai)始(shi)找(zhao)不就省事多(duo)(duo)了(le)。
用(yong)1435392減去63,得到1435329,再轉(zhuan)為16進制,就是(shi)15E6C1,將他倒轉(zhuan)過(guo)來(lai)就是(shi)C1E61500,這就是(shi)C盤的大(da)小。這樣,第一個分區表(biao)項填寫完畢,我(wo)們保存(cun)一下,再接著填寫第二個分區表(biao)項。
第二個(ge)分區表(biao)第1個(ge)字節:因為(wei)是(shi)非活動分區,所以寫00
第(di)2、3、4字節,填(tian)寫(xie)01 01 00(通用的)
第5字節:因為是擴展(zhan)分(fen)區,所(suo)以填寫0F
第6、7、8字節:填(tian)寫FE FF FF(通用)
第9、10、11、12字節是本(ben)分區(qu)之前(qian)已用了的(de)(de)扇(shan)區(qu)數,應該就是C盤大(da)小(xiao)加63,也就是1435392,前(qian)面剛計(ji)算出來的(de)(de),轉為十六進制數再反過來就是00 E7 15 00
第13、14、15、16字節是本分(fen)區(qu)的總扇區(qu)數,也就(jiu)(jiu)是擴展(zhan)分(fen)區(qu)的總扇區(qu)數,也就(jiu)(jiu)是用整個硬(ying)盤的大(da)小減去C盤的大(da)小再減去63,即4124736-1435329-63=2689344,轉為(wei)十六進制就(jiu)(jiu)是290940,反過來就(jiu)(jiu)是40092900。
這樣,第二個分區表項就填寫完了。
不要忘了(le)(le)把(ba)最后(hou)的結(jie)束標志55AA填上,這(zhe)樣,MBR就全恢復(fu)完了(le)(le),最后(hou),保存,再(zai)重(zhong)新(xin)啟動……
啟(qi)動(dong)完(wan)畢,迫不(bu)及待的打開我的電腦(nao),發現三個分區全部又回來了,并且(qie)里面(mian)的數據完(wan)好無損(sun)。
再右擊“我的電腦”,選“管(guan)理”
出現一個(ge)對話框,選“磁盤(pan)管(guan)理”,在右邊可(ke)以看到磁盤(pan)一的(de)三個(ge)分區(Fat32、Fat16、Ntfs)全部都回來(lai)了,至此,手工恢復(fu)分區表(biao)順利完(wan)成。
手工恢復數據恢復成功率比較高,而且比較有趣(qu)味(wei)和挑(tiao)戰性,能找回(hui)許(xu)多傻瓜似的(de)軟件所(suo)找不回(hui)來的(de)文件,但是要求工程(cheng)師(shi)一(yi)(yi)定(ding)(ding)要有耐性,而且一(yi)(yi)定(ding)(ding)要保持(chi)清醒,清楚自己正在操(cao)作什(shen)么,操(cao)作完(wan)了會(hui)有什(shen)么后果(guo),能不能退回(hui)到上(shang)一(yi)(yi)步狀態。特別是對一(yi)(yi)些破壞性操(cao)作,一(yi)(yi)定(ding)(ding)要考慮周到,只要條件允許(xu),就一(yi)(yi)定(ding)(ding)要在操(cao)作之(zhi)前進行備份,否則會(hui)造成“血”的(de)教訓(xun),切(qie)記(ji)!
歲(sui)月靜好
】編輯上傳(chuan)(chuan)提供(gong)(gong),詞條(tiao)屬(shu)于(yu)(yu)開放(fang)詞條(tiao),當前頁(ye)面(mian)所展(zhan)示的詞條(tiao)介紹涉及(ji)宣(xuan)傳(chuan)(chuan)內(nei)容(rong)(rong)屬(shu)于(yu)(yu)注冊用戶個人(ren)編輯行為,與(yu)(yu)【WinHex】的所屬(shu)企(qi)業/所有人(ren)/主體(ti)無關,網(wang)(wang)站不(bu)完全保證內(nei)容(rong)(rong)信息的準確(que)性、真實(shi)性,也不(bu)代表(biao)本站立場,各項數據(ju)信息存在(zai)更新不(bu)及(ji)時(shi)的情況,僅供(gong)(gong)參(can)考,請以官方發布為準。如果頁(ye)面(mian)內(nei)容(rong)(rong)與(yu)(yu)實(shi)際情況不(bu)符,可點(dian)擊“反饋”在(zai)線向(xiang)網(wang)(wang)站提出修改,網(wang)(wang)站將核實(shi)后(hou)進行更正。
