已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀
版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
設(shè)置中文的方法點(diǎn)擊菜單欄最后的“help”-“setup”-“Chinese,please!”軟件使用說(shuō)明下面我們來(lái)看看該軟件的使用。標(biāo)題欄:與一般的應(yīng)用軟件一樣,標(biāo)題欄中顯示軟件名稱(chēng)和當(dāng)前打開(kāi)的文件名稱(chēng);菜單欄:Winhex的菜單欄由八個(gè)菜單項(xiàng)組成文件菜單、編輯菜單、搜索、定位、工具、選項(xiàng)菜單、文件管理、窗口和幫助菜單。在文件菜單中,除了常規(guī)的新建、打開(kāi)文件和保存以及退出命令以外,還有備份管理、創(chuàng)建備份和載入備份功能。選擇文件菜單中的屬性項(xiàng),彈出文件屬性窗口,包括文件路徑、名稱(chēng)、大小、創(chuàng)建時(shí)間和修改日期等內(nèi)容。在編輯菜單中,除了常規(guī)的復(fù)制、粘貼和剪切功能外,還有數(shù)據(jù)格式轉(zhuǎn)換和修改的功能。在搜索菜單中,你可以查找或替換文本內(nèi)容和十六進(jìn)制文件,搜索整數(shù)值和浮點(diǎn)數(shù)值。在定位菜單中,你可以根據(jù)偏移地址和區(qū)塊的位置快速定位。在工具菜單中,包括磁盤(pán)編輯工具、文本編輯工具、計(jì)算器、模板管理工具和Hex轉(zhuǎn)換器,使用十分方便。在選項(xiàng)菜單中,包括常規(guī)選項(xiàng)設(shè)置、安全性設(shè)置和還原選項(xiàng)設(shè)置。在Winhex的工具欄中,包括文件新建、打開(kāi)、保存、打印、屬性工具;剪切、粘貼和復(fù)制編輯工具;查找文本和Hex值,替換文本和Hex值;文件定位工具、RAM編輯器、計(jì)算器、區(qū)塊分析和磁盤(pán)編輯工具;選項(xiàng)設(shè)置工具和幫助工具按鈕。通過(guò)使用工具欄中的快捷按鈕可以更方便的進(jìn)行操作,這些和菜單中相應(yīng)的命令是一樣的。在使用Winhex之前需要進(jìn)行相應(yīng)的選項(xiàng)設(shè)置,點(diǎn)擊工具欄中的選項(xiàng)設(shè)置快捷圖標(biāo)按鈕,彈出選項(xiàng)設(shè)置對(duì)話框.它包括是否將WinHex作為默認(rèn)關(guān)聯(lián),是否添加WinHex到上下文菜單,是否不更新文件名,是否快速打開(kāi)文件以及是否顯示文件圖標(biāo)和工具欄。而且你還可以設(shè)置最近打開(kāi)的文件列表中文件的數(shù)目,選擇是否用TAB鍵產(chǎn)生標(biāo)記,設(shè)置臨時(shí)文件夾、備份文件夾和文本編輯的路徑。在常規(guī)設(shè)置中,你可以選擇是否選擇顯示雙光標(biāo)和頁(yè)分隔符,是否逐行滾動(dòng),是否顯示W(wǎng)indows進(jìn)度條,此外你還可以設(shè)置字體類(lèi)型和顏色,相信你很快就學(xué)會(huì)了。執(zhí)行選項(xiàng)菜單中的安全項(xiàng),彈出安全保護(hù)選項(xiàng)設(shè)置窗口,你可以選擇是否限制驅(qū)動(dòng)控制,是否計(jì)算標(biāo)準(zhǔn)檢查和扇區(qū)讀入緩存以及是否確認(rèn)更新文件。另外你可以選擇是否自動(dòng)檢查磁簇,是否總顯示恢復(fù)報(bào)告,是否對(duì)下個(gè)會(huì)話保持驅(qū)動(dòng)映像,是否隱蔽輸入加密關(guān)鍵碼(*)以及檢查虛擬內(nèi)存變換和在RAM中是否保留密匙。在所有設(shè)置完成后,點(diǎn)擊保存按鈕,然后按確定按鈕返回主窗口。數(shù)據(jù)恢復(fù)分類(lèi)硬恢復(fù)和軟恢復(fù)。所謂硬恢復(fù)就是硬盤(pán)出現(xiàn)物理性損傷,比如有盤(pán)體壞道、電路板芯片燒毀、盤(pán)體異響,等故障,由此所導(dǎo)致的普通用戶不容易取出里面數(shù)據(jù),那么我們將它修好,同時(shí)又保留里面的數(shù)據(jù)或后來(lái)恢復(fù)里面的數(shù)據(jù),這些都叫數(shù)據(jù)恢復(fù),只不過(guò)這些故障有容易的和困難的之分;所謂軟恢復(fù),就是硬盤(pán)本身沒(méi)有物理?yè)p傷,而是由于人為或者病毒破壞所造成的數(shù)據(jù)丟失(比如誤格式化,誤分區(qū)),那么這樣的數(shù)據(jù)恢復(fù)就叫軟恢復(fù)。因?yàn)橛不謴?fù)還需要購(gòu)買(mǎi)一些工具設(shè)備(比如pc3000,電烙鐵,各種芯片、電路板),而且還需要懂一點(diǎn)點(diǎn)電路基礎(chǔ),我們主要使用軟恢復(fù)。數(shù)據(jù)恢復(fù)的前提數(shù)據(jù)不能被二次破壞、覆蓋!硬盤(pán)數(shù)據(jù)結(jié)構(gòu)下面是一個(gè)分了三個(gè)區(qū)的整個(gè)硬盤(pán)的數(shù)據(jù)結(jié)構(gòu)MBR C盤(pán)EBRD盤(pán) EBR E盤(pán)MBR,即主引導(dǎo)紀(jì)錄,位于整個(gè)硬盤(pán)的0柱面0磁道1扇區(qū),共占用了63個(gè)扇區(qū),但實(shí)際只使用了1個(gè)扇區(qū)(512字節(jié))。在總共512字節(jié)的主引導(dǎo)記錄中,MBR又可分為三部分:第一部分:引導(dǎo)代碼,占用了446個(gè)字節(jié);第二部分:分區(qū)表,占用了64字節(jié);第三部分:55AA,結(jié)束標(biāo)志,占用了兩個(gè)字節(jié)。后面我們要說(shuō)的用winhex軟件來(lái)恢復(fù)誤分區(qū),主要就是恢復(fù)第二部分:分區(qū)表。引導(dǎo)代碼的作用就是讓硬盤(pán)具備可以引導(dǎo)的功能。如果引導(dǎo)代碼丟失,分區(qū)表還在,那么這個(gè)硬盤(pán)作為從盤(pán)所有分區(qū)數(shù)據(jù)都還在,只是這個(gè)硬盤(pán)自己不能夠用來(lái)啟動(dòng)進(jìn)系統(tǒng)了。如果要恢復(fù)引導(dǎo)代碼,可以用DOS下的命令:FDISK /MBR;這個(gè)命令只是用來(lái)恢復(fù)引導(dǎo)代碼,不會(huì)引起分區(qū)改變,丟失數(shù)據(jù)。另外,也可以用工具軟件,比如DISKGEN、WINHEX等。但分區(qū)表如果丟失,后果就是整個(gè)硬盤(pán)一個(gè)分區(qū)沒(méi)有,就好像剛買(mǎi)來(lái)一個(gè)新硬盤(pán)沒(méi)有分過(guò)區(qū)一樣。是很多病毒喜歡破壞的區(qū)域。EBR,也叫做擴(kuò)展MBR(Extended MBR)。因?yàn)橹饕龑?dǎo)記錄MBR最多只能描述4個(gè)分區(qū)項(xiàng),如果想要在一個(gè)硬盤(pán)上分多于4個(gè)區(qū),就要采用擴(kuò)展MBR的辦法。MBR、EBR是分區(qū)產(chǎn)生的。比如MBR和EBR各都占用63個(gè)扇區(qū),C盤(pán)占用1435329個(gè)扇區(qū)那么數(shù)據(jù)結(jié)構(gòu)如下表:63 1435329 63 1435329 63 1253889MBR C盤(pán) EBR D盤(pán) EBR E盤(pán)擴(kuò)展分區(qū)而每一個(gè)分區(qū)又由DBR、FAT1、FAT2、DIR、DATA5部分組成:比如C 盤(pán)的數(shù)據(jù)結(jié)構(gòu):C 盤(pán)DBR FAT1 FAT2 DIR DATA恢復(fù)教程Winhex有完善的分區(qū)管理功能和文件管理功能,能自動(dòng)分析分區(qū)鏈和文件簇鏈,能對(duì)硬盤(pán)進(jìn)行不同方式不同程度的備份,甚至克隆整個(gè)硬盤(pán);它能夠編輯任何一種文件類(lèi)型的二進(jìn)制內(nèi)容(用十六進(jìn)制顯示)其磁盤(pán)編輯器可以編輯物理磁盤(pán)或邏輯磁盤(pán)的任意扇區(qū),是手工恢復(fù)數(shù)據(jù)的首選工具軟件。首先要安裝Winhex,安裝完了就可以啟動(dòng)winhex了,啟動(dòng)后,首先出現(xiàn)的是啟動(dòng)中心對(duì)話框。這里我們要對(duì)磁盤(pán)進(jìn)行操作,就選擇“打開(kāi)磁盤(pán)”,出現(xiàn)“編輯磁盤(pán)”對(duì)話框:在這個(gè)對(duì)話框里,我們可以選擇對(duì)單個(gè)分區(qū)打開(kāi),也可以對(duì)整個(gè)硬盤(pán)打開(kāi),HD0是我現(xiàn)在正用的西部數(shù)據(jù)40G系統(tǒng)盤(pán),HD1是我們要分析的硬盤(pán),邁拓2G。這里我們就選擇打開(kāi)HD1整個(gè)硬盤(pán),再點(diǎn)確定.然后我們就看到了Winhex的整個(gè)工作界面。最上面的是菜單欄和工具欄,下面最大的窗口是工作區(qū),現(xiàn)在看到的是硬盤(pán)的第一個(gè)扇區(qū)的內(nèi)容,以十六進(jìn)制進(jìn)行顯示,并在右邊顯示相應(yīng)的ASCII碼,右邊是詳細(xì)資源面板,分為五個(gè)部分:狀態(tài)、容量、當(dāng)前位置、窗口情況和剪貼板情況。這些情況對(duì)把握整個(gè)硬盤(pán)的情況非常有幫助。另外,在其上單擊鼠標(biāo)右鍵,可以將詳細(xì)資源面板與窗口對(duì)換位置,或關(guān)閉資源面板。(如果關(guān)閉了資源面板可以通過(guò)“察看”菜單“顯示”命令“詳細(xì)資源面板”來(lái)打開(kāi))。最下面一欄是非常有用的輔助信息,如當(dāng)前扇區(qū)/總扇區(qū)數(shù)目等向下拉拉滾動(dòng)條,可以看到一個(gè)灰色的橫杠,每到一個(gè)橫杠為一個(gè)扇區(qū),一個(gè)扇區(qū)共512字節(jié),每?jī)蓚€(gè)數(shù)字為一個(gè)字節(jié),比如00。下面我們來(lái)分析一下MBR,因?yàn)榍懊嫖覀冋f(shuō)過(guò),前446個(gè)字節(jié)為引導(dǎo)代碼,對(duì)我們來(lái)說(shuō)沒(méi)有意義,這里我們只分析分區(qū)表中的64個(gè)字節(jié)。分區(qū)表64個(gè)字節(jié),一共可以描述4個(gè)分區(qū)表項(xiàng),每一個(gè)分區(qū)表項(xiàng)可以描述一個(gè)主分區(qū)或一個(gè)擴(kuò)展分區(qū)(比如上面的分區(qū)表,第一個(gè)分區(qū)表項(xiàng)描述主分區(qū)C盤(pán),第二個(gè)分區(qū)表項(xiàng)描述擴(kuò)展分區(qū),第三第四個(gè)分區(qū)表項(xiàng)填零未用)每一個(gè)分區(qū)表項(xiàng)各占16個(gè)字節(jié),各字節(jié)含義如下:(H表示16進(jìn)制)字節(jié)位置 內(nèi)容及含義第1字節(jié) 引導(dǎo)標(biāo)志。若值為80H表示活動(dòng)分區(qū);若值為00H表示非活動(dòng)分區(qū)。第2、3、4字節(jié) 本分區(qū)的起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)第5字節(jié) 分區(qū)類(lèi)型符:00H表示該分區(qū)未用06HFAT16基本分區(qū)0BHFAT32基本分區(qū)05H擴(kuò)展分區(qū)07HNTFS分區(qū)0FH(LBA模式)擴(kuò)展分區(qū)83H Linux分區(qū)第6、7、8字節(jié) 本分區(qū)的結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)第9、10、11、12字節(jié) 本分區(qū)之前已用了的扇區(qū)數(shù)第13、14、15、16字節(jié) 本分區(qū)的總扇區(qū)數(shù)此硬盤(pán)的第一分區(qū)表(即MBR)分析如下:第一個(gè)分區(qū)表項(xiàng)(C盤(pán))第1字節(jié)80:表示此分區(qū)為活動(dòng)分區(qū);第5字節(jié)0B:表示分區(qū)類(lèi)型為Fat32;第9、10、11、12字節(jié) 系統(tǒng)隱含扇區(qū)3F 00 00 00:所謂系統(tǒng)隱含扇區(qū)就是本分區(qū)(C盤(pán))之前已用了的扇區(qū)數(shù),這是一個(gè)十六進(jìn)制數(shù),但要注意:真正的隱含扇區(qū)數(shù)應(yīng)該反過(guò)來(lái)填寫(xiě)(比如:隱含扇區(qū)數(shù)為3E 4D 5A 6F,則反過(guò)來(lái)就是6F 5A 4D 3E ,這才是實(shí)際的隱含扇區(qū)數(shù))。那么,3F 00 00 00反過(guò)來(lái)寫(xiě)就是00 00 003F,也就是3F,將他轉(zhuǎn)成十進(jìn)制數(shù)我們才能知道實(shí)際的隱含扇區(qū)數(shù)是多大。這可以使用計(jì)算器來(lái)算,單擊工具欄上的“計(jì)算器”按鈕,如下圖:這樣就啟動(dòng)了計(jì)算器計(jì)算器有兩種型號(hào),我們要進(jìn)行進(jìn)制轉(zhuǎn)換,就要選擇“科學(xué)型”比如我們要將十六進(jìn)制3F轉(zhuǎn)換為十進(jìn)制,就要先選中“十六進(jìn)制”,然后輸入3F再選中“十進(jìn)制”,十六進(jìn)制3F轉(zhuǎn)為十進(jìn)制等于63。想一想我們前面所講的,MBR占用63個(gè)扇區(qū),也就是C盤(pán)之前已用了的扇區(qū)數(shù)為63,第64個(gè)扇區(qū)就是C盤(pán)的第一個(gè)扇區(qū),但要注意的是,整個(gè)硬盤(pán)的LBA地址是從零開(kāi)始的,062的扇區(qū)為MBR。第13、14、15、16字節(jié)本分區(qū)總扇區(qū)數(shù)(當(dāng)然,這也就是C盤(pán)的大?。篊1 E6 15 00,同樣,實(shí)際的十六進(jìn)制數(shù)也要反過(guò)來(lái)才對(duì),也就是00 15 E6 C1,將它轉(zhuǎn)換成十六進(jìn)制數(shù)是1435329。給你出個(gè)題,你知道D盤(pán)的EBR在哪個(gè)扇區(qū)嗎?我們一起來(lái)算一下,還記得前面數(shù)據(jù)結(jié)構(gòu)那個(gè)表嗎?C盤(pán)后面不就是D盤(pán)的EBR嗎?D盤(pán)EBR的第一個(gè)扇區(qū)=MBR+C盤(pán)的大小,也就是 63+1435329=1435392。我們來(lái)看看對(duì)不對(duì),單擊工具欄上的“轉(zhuǎn)到扇區(qū)”按鈕,出現(xiàn)一個(gè)“轉(zhuǎn)到扇區(qū)”對(duì)話框然后輸入1435392,再點(diǎn)“確定”,就到了1435392扇區(qū)了(你可以使用它再轉(zhuǎn)回到0扇區(qū))這個(gè)就是D盤(pán)的EBR,也就是D盤(pán)的分區(qū)表了,怎么知道的呢?因?yàn)镸BR和EBR的結(jié)構(gòu)是完全一樣的,都是占用了63個(gè)扇區(qū),但只用了第一個(gè)扇區(qū),其余62個(gè)扇區(qū)填零不用。第一個(gè)扇區(qū)前446個(gè)字節(jié)都為引導(dǎo)代碼,后64個(gè)字節(jié)為分區(qū)表,最后2個(gè)字節(jié)為55AA結(jié)束標(biāo)志。因?yàn)镋BR不是活動(dòng)分區(qū),不需要引導(dǎo)代碼,所以前446個(gè)字節(jié)為零。還有另一種方法直接找到D盤(pán)的EBR,扇區(qū).這樣,分區(qū)表中的第一個(gè)分區(qū)表項(xiàng)共十六個(gè)字節(jié)分析完畢,下面我們?cè)賮?lái)看看第二個(gè)分區(qū)表項(xiàng)(擴(kuò)展分區(qū))。第1字節(jié)00:表示非活動(dòng)分區(qū)第5字節(jié)05:表示擴(kuò)展分區(qū)第9、10、11、12字節(jié)00 E7 15 00:本分區(qū)之前的扇區(qū)數(shù)(擴(kuò)展分區(qū)前面也就是MBR和C盤(pán),好像我們前面算過(guò)這個(gè)數(shù)?)同樣,先將它反過(guò)來(lái),就是00 15 E7 00 ,再轉(zhuǎn)為十進(jìn)制是1435392,看來(lái)我們前面真的算過(guò)這個(gè)數(shù)。第13、14、15、16字節(jié)40 09 29 00:本分區(qū)的總扇區(qū)數(shù)。也就是擴(kuò)展分區(qū)的總扇區(qū)數(shù)。轉(zhuǎn)為十進(jìn)制應(yīng)該是2689344。想一想,用這個(gè)數(shù)加上前面的1435392,不正好是整個(gè)硬盤(pán)的總扇區(qū)數(shù)4124736嗎?這樣,如果分區(qū)表被破壞,我們只要把這些數(shù)值都計(jì)算出來(lái)并填上,分區(qū)表不就恢復(fù)了?那么,這里我們?yōu)槭裁床环治龅?、3、4字節(jié)(本分區(qū)的起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào))和第6、7、8字節(jié)(本分區(qū)的結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào))呢?這是因?yàn)镃/H/S(柱面/磁頭/扇區(qū))是老式硬盤(pán)的尋址方式,這種尋址方式來(lái)管理硬盤(pán)效率很低;而現(xiàn)在幾乎所有的硬盤(pán)都支持LBA(全稱(chēng)是Logic Block Address,即扇區(qū)的邏輯塊地址)尋址方式,這種管理方式簡(jiǎn)單高效。在LBA方式下,系統(tǒng)把所有的物理扇區(qū)都統(tǒng)一編號(hào),按照從零到某個(gè)最大值排列,這樣只用一個(gè)序數(shù)就確定了一個(gè)唯一的物理扇區(qū)。小知識(shí):具體一個(gè)硬盤(pán)有多少個(gè)LBA(扇區(qū))不需要我們?nèi)ビ洃?,因?yàn)橛酶鞣N工具軟件(如MHDD WINHEX等)都可以檢測(cè)到。我們只要知道個(gè)大概就行了:如10G的硬盤(pán)大概有2000萬(wàn)個(gè)扇區(qū);20G的硬盤(pán)大概有4000萬(wàn)個(gè)扇區(qū);40G的硬盤(pán)大概有8000萬(wàn)個(gè)扇區(qū)那么,2G的硬盤(pán)大概有400萬(wàn)個(gè)扇區(qū)。那么,你可能要問(wèn)了:如果要恢復(fù)分區(qū)表,這個(gè)起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)還有結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)應(yīng)該怎么填呢?簡(jiǎn)單得很,在后面恢復(fù)分區(qū)表的時(shí)候我會(huì)告訴你,直接填,都不用計(jì)算。還有興趣來(lái)分析一下D盤(pán)的EBR嗎?其實(shí)D盤(pán)的EBR和E盤(pán)的EBR我們不分析也罷,因?yàn)闊o(wú)非也是分區(qū)表,跟MBR的結(jié)構(gòu)是一樣的,但卻很容易把我們繞暈,又因?yàn)镋BR一般不容易被破壞,所以我不建議分析EBR。但如果你一定要分析,那就分析吧。單擊“訪問(wèn)”下拉按鈕“分區(qū)二”“分區(qū)表”,直接就到1435392扇區(qū),即D盤(pán)的分區(qū)表EBR。第一個(gè)分區(qū)表項(xiàng)(D盤(pán)):第1個(gè)字節(jié)00:表示非活動(dòng)分區(qū)第5個(gè)字節(jié)06:表示FAT16分區(qū)第9、10、11、12字節(jié)3F 00 00 00:本分區(qū)之前已用了的扇區(qū)數(shù),也就是EBR的數(shù)目,63個(gè)。第13、14、15、16字節(jié)C1 E6 15 00:本分區(qū)的總扇區(qū)數(shù),也就是D盤(pán)的扇區(qū)數(shù),先反過(guò)來(lái)排列就是00 15 E6 C1,轉(zhuǎn)為十進(jìn)制就是1435329。第二個(gè)分區(qū)表項(xiàng)(D盤(pán)后面的):第1個(gè)字節(jié)00:表示非活動(dòng)分區(qū)第5個(gè)字節(jié)05:表示擴(kuò)展分區(qū)第9、10、11、12字節(jié)00 E7 15 00:本分區(qū)之前已用了的扇區(qū)數(shù),也就是D盤(pán)的EBR加D盤(pán)總共的大小, 63+1435329=1435392第13、14、15、16字節(jié)40 22 13 00:本分區(qū)的總扇區(qū)數(shù),1253952,也就是E盤(pán)的大小再加上一個(gè)EBR的數(shù)目。單擊“訪問(wèn)”下拉按鈕“分區(qū)三”“分區(qū)表”,直接就到2870784扇區(qū),即E盤(pán)的分區(qū)表EBR。因?yàn)镋盤(pán)后面沒(méi)有分區(qū)了,所以沒(méi)有第二個(gè)分區(qū)表項(xiàng)。這里我們就不再研究了,有興趣的話可以自己多備一塊硬盤(pán)作從盤(pán),然后自己分分區(qū)研究研究。通過(guò)以上的研究我們總結(jié)一下,MBR在定義分區(qū)的時(shí)候,將多余的容量定義為擴(kuò)展分區(qū),指定該擴(kuò)展分區(qū)的起止位置,根據(jù)起始位置指向硬盤(pán)的某一個(gè)扇區(qū),作為下一個(gè)分區(qū)表項(xiàng),接著在該扇區(qū)繼續(xù)定義分區(qū),如果只有一個(gè)分區(qū),就定義該分區(qū),然后結(jié)束;如果不止一個(gè)分區(qū),就定義一個(gè)基本分區(qū)和一個(gè)擴(kuò)展分區(qū),擴(kuò)展分區(qū)再指向下一個(gè)分區(qū)描述扇區(qū),在該分區(qū)上按照上述原則繼續(xù)定義分區(qū),直至分區(qū)定義結(jié)束。這些用來(lái)描述分區(qū)的扇區(qū)形成一個(gè)“分區(qū)鏈”,通過(guò)這個(gè)分區(qū)鏈,就可以描述所有的分區(qū)。系統(tǒng)在啟動(dòng)時(shí)按照分區(qū)鏈的連接順序查找分區(qū),直至找出所有分區(qū)。這個(gè)鏈顯然是個(gè)開(kāi)鏈結(jié)構(gòu),如果形成一個(gè)環(huán),系統(tǒng)本身并不會(huì)去判斷它,它只是按照這個(gè)鏈忠實(shí)的查找分區(qū),而不進(jìn)行任何額外的檢測(cè)與處理。所謂硬盤(pán)邏輯鎖,就是讓分區(qū)鏈形成一個(gè)環(huán),這樣系統(tǒng)在啟動(dòng)時(shí)就在分區(qū)表內(nèi)循環(huán),表現(xiàn)為系統(tǒng)無(wú)法引導(dǎo),就是從軟盤(pán)啟動(dòng),也不能進(jìn)入硬盤(pán)。明白了其結(jié)構(gòu)原理,解決這個(gè)問(wèn)題就簡(jiǎn)單了,目前有很多種方法解決這個(gè)問(wèn)題,后面我們還會(huì)講到。系統(tǒng)就是利用這種方法使一個(gè)硬盤(pán)分區(qū)后看起來(lái)象多個(gè)硬盤(pán)。系統(tǒng)能夠找到C盤(pán)以外的其他邏輯盤(pán)的唯一辦法就是,沿著EBR所描述的分區(qū)鏈查找分區(qū)。其實(shí),通常情況下EBR是不會(huì)被破壞的,或者破壞的幾率極低極低,通常情況下,都是只有MBR被破壞,那么這種情況下,我們只要把MBR的分區(qū)表64個(gè)字節(jié)復(fù)原,其他的分區(qū)順著分區(qū)表所提供的鏈自然而然就出來(lái)了。那么,如何才能將分區(qū)表復(fù)原呢?這就要通過(guò)計(jì)算結(jié)合Winhex強(qiáng)大的功能來(lái)實(shí)現(xiàn)了。下面我們就來(lái)模仿分區(qū)表被病毒破壞的情況,將MBR全部填零。我們首先將MBR所在的扇區(qū)選中。鼠標(biāo)指向第一個(gè)字節(jié),單擊右鍵,選擇“選塊開(kāi)始”然后鼠標(biāo)指向MBR的最后一個(gè)字節(jié),單擊右鍵,選擇“選塊結(jié)尾”然后我們?cè)谶x區(qū)內(nèi)部單擊鼠標(biāo)右鍵,選擇“編輯”這樣就有出來(lái)一個(gè)菜單然后我們選“填充選塊”,這樣就出來(lái)一個(gè)填充選塊對(duì)話框在“用十六進(jìn)制填充”的輸入框中輸入“00”,再點(diǎn)“確定”這樣MBR所在扇區(qū)全部被我們填充為“00”如果想取消選區(qū),那就用鼠標(biāo)拖動(dòng)隨便選中一塊區(qū)域,那么原來(lái)的選區(qū)就會(huì)取消。注意,如果扇區(qū)數(shù)據(jù)被修改了而沒(méi)有存盤(pán)就會(huì)變?yōu)閯e的顏色。修改了扇區(qū),這時(shí)候還沒(méi)有存盤(pán)生效,如果你想存盤(pán)生效的話,就選擇“文件”菜單“保存扇區(qū)”命令。這時(shí)候就會(huì)出現(xiàn)一個(gè)提示,如果你不想存盤(pán)了就點(diǎn)取消,如果想存盤(pán),就點(diǎn)確定,再點(diǎn)是。好,這樣就存盤(pán)了,扇區(qū)被修改的數(shù)據(jù)又變?yōu)楹谏_@樣我們就把分區(qū)表給刪除了,這時(shí)候必須重新啟動(dòng)才能生效,如果你打開(kāi)我的電腦,會(huì)發(fā)現(xiàn)三個(gè)分區(qū)(F 、G、 H)還在那里,并且里面的數(shù)據(jù)還能正常使用。現(xiàn)在,我們關(guān)閉所有程序?qū)㈦娔X重新啟動(dòng)經(jīng)過(guò)不長(zhǎng)時(shí)間的等待,電腦啟動(dòng)起來(lái)了,我們打開(kāi)我的電腦看看,發(fā)現(xiàn)F 、G 、H三個(gè)分區(qū)不見(jiàn)了。再打開(kāi)Winhex發(fā)現(xiàn)MBR全部為零了,下面我們就著手開(kāi)始手工恢復(fù)分區(qū)表首先恢復(fù)引導(dǎo)代碼,這最簡(jiǎn)單了,只要用Winhex到別的系統(tǒng)盤(pán)把引導(dǎo)代碼復(fù)制過(guò)來(lái)就行了。我現(xiàn)在的機(jī)器上不是掛著兩個(gè)硬盤(pán)嗎?一個(gè)邁拓2G,一個(gè)西數(shù)40G,西數(shù)40G是我的系統(tǒng)盤(pán),那就從這個(gè)盤(pán)上復(fù)制就行了。單擊“磁盤(pán)編輯器”按鈕出現(xiàn)“編輯磁盤(pán)”對(duì)話框選擇“HD0WDC WD400EB-00CPF0”,點(diǎn)“確定”這樣我們就把系統(tǒng)盤(pán)的分區(qū)表給打開(kāi)了,注意,現(xiàn)在我們是打開(kāi)了兩個(gè)窗口,當(dāng)前的窗口是“硬盤(pán)0”,在標(biāo)題欄上有顯示。另外,打開(kāi)窗口菜單也能看出來(lái),當(dāng)前窗口被打上一個(gè)勾,如果想切換回原來(lái)的窗口,就點(diǎn)擊“硬盤(pán)1”。首先選中系統(tǒng)盤(pán)的引導(dǎo)代碼然后在選區(qū)中單擊鼠標(biāo)右鍵,選“編輯”又出來(lái)一個(gè)菜單,然后我們選“復(fù)制選塊”“正?!比缓笪覀兦袚Q回硬盤(pán)1窗口,在零扇區(qū)的第一個(gè)字節(jié)處單擊鼠標(biāo)右鍵,選“編輯”然后選“剪貼板數(shù)據(jù)”“寫(xiě)入”出現(xiàn)一個(gè)窗口提示,點(diǎn)“確定”這樣,我們就把一個(gè)正常系統(tǒng)盤(pán)上的引導(dǎo)代碼復(fù)制過(guò)來(lái)了。下面,我們就開(kāi)始恢復(fù)分區(qū)表(共64個(gè)字節(jié),分為4個(gè)分區(qū)表項(xiàng),每個(gè)分區(qū)表項(xiàng)占用16個(gè)字節(jié),一般只使用前兩個(gè)分區(qū)表項(xiàng)),我們首先來(lái)恢復(fù)第一個(gè)分區(qū)標(biāo)項(xiàng)(也就是用來(lái)描述C盤(pán)的)。首先,在第1個(gè)字節(jié)處(0扇區(qū)倒數(shù)第五行,倒數(shù)第二個(gè)字節(jié))填上分區(qū)引導(dǎo)標(biāo)志,因?yàn)镃盤(pán)是活動(dòng)分區(qū),所以填上80。接著是第2、3、4字節(jié)(本分區(qū)起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)),填上:01 01 00。第5字節(jié)是分區(qū)類(lèi)型符,因?yàn)樵菴盤(pán)是Fat32格式,所以填上:0B。那么,如果你不知道C盤(pán)是什么格式怎么辦呢?你會(huì)說(shuō)問(wèn)問(wèn)客戶呀,那么如果他也不知道呢?別著急,后面在說(shuō)恢復(fù)DBR的時(shí)候我會(huì)教你怎么分辨分區(qū)的格式。第6、7、8字節(jié)是本分區(qū)的結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào),這怎么知道呢?別著急,現(xiàn)在的磁盤(pán)都是按照LBA方式尋址,并不按照C/H/S(及柱面、磁頭、扇區(qū))方式尋址,所以這個(gè)地方你填些什么一般關(guān)系不大,但是我要告訴你有一個(gè)通用的填法,那就是:FE FF FF。第9、10、11、12字節(jié),本分區(qū)之前已用了的扇區(qū)數(shù),也就是MBR所占用的扇區(qū)數(shù),那不是63嗎?對(duì),但是要將63轉(zhuǎn)為十六進(jìn)制數(shù),再反過(guò)來(lái)倒著填寫(xiě)上。還記得怎么用計(jì)算器嗎?將63轉(zhuǎn)為十六進(jìn)制數(shù)是3F,不夠四個(gè)字節(jié)前面加零,也就是00 00 00 3F,再將此數(shù)從右向左依次序反過(guò)來(lái)就是3F 00 00 00。第13、14、15、16字節(jié)是本分區(qū)的總扇區(qū)數(shù),也就是C盤(pán)的大小,這就要通過(guò)稍微一點(diǎn)點(diǎn)計(jì)算來(lái)得到了。因?yàn)镃盤(pán)是從第63個(gè)扇區(qū)開(kāi)始,而C盤(pán)后面緊接著的是EBR,所以用EBR所在的第一個(gè)扇區(qū)數(shù)減去63就是C盤(pán)的大小。那么如何才能找到EBR所在的第一個(gè)扇區(qū)呢?我們前面說(shuō)過(guò),EBR的結(jié)構(gòu)和MBR是一樣的,所以,EBR的結(jié)束標(biāo)志也一定是55AA,那么,只要我們找到這個(gè)結(jié)束標(biāo)志,再看看這個(gè)扇區(qū)是不是EBR不就行了?單擊“搜索”“查找十六進(jìn)制數(shù)值”,然后出來(lái)一個(gè)對(duì)話框在文本框中輸入“55AA”,搜索框中選“全部”,然后選中“條件”,把偏移量設(shè)置為“512=510”。再單擊“確定”。畫(huà)面如下:首先找到第一個(gè)“55AA”,我們看到,個(gè)扇區(qū)在第63個(gè)扇區(qū)上,并不是我們要找的EBR,再按F3繼續(xù)查找又找到好幾個(gè)扇區(qū),都不是,那么下面這個(gè)扇區(qū)是不是?前面我們說(shuō)過(guò),EBR的結(jié)構(gòu)和MBR的結(jié)構(gòu)是一樣的,所以在倒數(shù)第五行倒數(shù)第二個(gè)字節(jié)應(yīng)該是00 01,并且前446個(gè)字節(jié)應(yīng)該是0,顯然這也不是EBR,繼續(xù)按F3查找終于找到了真正的EBR,在1435392扇區(qū)。小技巧:現(xiàn)在
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 合作協(xié)議書(shū)內(nèi)容模板
- 全國(guó)賽課一等獎(jiǎng)初中統(tǒng)編版七年級(jí)道德與法治上冊(cè)《在奉獻(xiàn)中成就精彩人生》教學(xué)設(shè)計(jì)
- 中醫(yī)象思維專(zhuān)題知識(shí)講座
- (立項(xiàng)備案申請(qǐng)模板)建筑用玄武巖石料項(xiàng)目可行性研究報(bào)告參考范文
- 部編初中語(yǔ)文九年級(jí)上期中考試題含答案
- (2024)年產(chǎn)30萬(wàn)套注塑件生產(chǎn)加工項(xiàng)目環(huán)境影響報(bào)告表(一)
- 2023年智慧停車(chē)項(xiàng)目融資計(jì)劃書(shū)
- 如何開(kāi)好壽險(xiǎn)早會(huì)-保險(xiǎn)公司早會(huì)重要性與操作使用技巧專(zhuān)題分享培訓(xùn)模板課件
- 《理賠的法律約束》課件
- 遼寧省大連市瓦房店市2024屆九年級(jí)上學(xué)期1月期末考試數(shù)學(xué)試卷(含答案)
- 城市軌道交通環(huán)境振動(dòng)與噪聲控制工程技術(shù)規(guī)范(HJ 2055-2018)
- T-CSES 128-2023 公共建筑綜合性減碳改造項(xiàng)目碳減排量認(rèn)定技術(shù)規(guī)范
- 數(shù)學(xué)教學(xué)與愛(ài)國(guó)主義教育的應(yīng)用
- 中職學(xué)校計(jì)算機(jī)基礎(chǔ)知識(shí)復(fù)習(xí)考試題庫(kù)(附答案)
- DIY蛋糕店創(chuàng)業(yè)計(jì)劃書(shū)
- 研發(fā)部績(jī)效考核方案課件
- 數(shù)字化醫(yī)院建設(shè)方案的信息系統(tǒng)整合與優(yōu)化
- 2024年上海市徐匯區(qū)高一上學(xué)期期末考試英語(yǔ)試卷試題(答案詳解)
- 冬季運(yùn)動(dòng)安全快樂(lè)冰天雪地以安全為先
- 開(kāi)展老人防詐騙知識(shí)講座
- 廣西壯族自治區(qū)河池市都安瑤族自治縣2023-2024學(xué)年六年級(jí)上學(xué)期期末英語(yǔ)試題
評(píng)論
0/150
提交評(píng)論