winhex超全圖文使用教程

1、winhex教程 winhex 數(shù)據(jù)恢復分類：硬恢復和軟恢復。所謂硬恢復就是硬盤出現(xiàn)物理性損傷，比如有盤體壞道、電路板芯片燒毀、盤體異響，等故障，由此所導致的普通用戶不容易取出里面數(shù)據(jù)，那么我們將它修好，同時又保留里面的數(shù)據(jù)或后來恢復里面的數(shù)據(jù)，這些都叫數(shù)據(jù)恢復，只不過這些故障有容易的和困難的之分；所謂軟恢復，就是硬盤本身沒有物理損傷，而是由于人為或者病毒破壞所造成的數(shù)據(jù)丟失（比如誤格式化，誤分區(qū)），那么這樣的數(shù)據(jù)恢復就叫軟恢復。這里呢，我們主要介紹軟恢復，因為硬恢復還需要購買一些工具設備（比如pc3000,電烙鐵，各種芯片、電路板），而且還需要懂一點點電路基礎，我們這里所講到的所有的知識，涉

2、及面廣，層次深，既有數(shù)據(jù)結(jié)構(gòu)原理，為我們手工準確恢復數(shù)據(jù)提供依據(jù)，又有各種數(shù)據(jù)恢復軟件的使用方法及技巧，為我們快速恢復數(shù)據(jù)提供便利，而且所有軟件均為網(wǎng)上下載，不需要我們投資一分錢。數(shù)據(jù)恢復的前提：數(shù)據(jù)不能被二次破壞、覆蓋！關于數(shù)碼與碼制：關于二進制、十六進制、八進制它們之間的轉(zhuǎn)換我不想多說，因為他對我們數(shù)據(jù)恢復來說幫助不大，而且很容易把我們繞暈。如果你感興趣想多了解一些，可以到百度里面去搜一下，這方面資料已經(jīng)很多了，就不需要我再多說了。數(shù)據(jù)恢復我們主要用十六進制編輯器：Winhex （數(shù)據(jù)恢復首選軟件）我們先了解一下數(shù)據(jù)結(jié)構(gòu)：下面是一個分了三個區(qū)的整個硬盤的數(shù)據(jù)結(jié)構(gòu)MBRC盤EBRD盤EBRE

3、盤MBR，即主引導紀錄，位于整個硬盤的0柱面0磁道1扇區(qū)，共占用了63個扇區(qū)，但實際只使用了1個扇區(qū)（512字節(jié)）。在總共512字節(jié)的主引導記錄中，MBR又可分為三部分：第一部分：引導代碼，占用了446個字節(jié)；第二部分：分區(qū)表，占用了64字節(jié)；第三部分：55AA，結(jié)束標志，占用了兩個字節(jié)。后面我們要說的用winhex軟件來恢復誤分區(qū)，主要就是恢復第二部分：分區(qū)表。引導代碼的作用：就是讓硬盤具備可以引導的功能。如果引導代碼丟失，分區(qū)表還在，那么這個硬盤作為從盤所有分區(qū)數(shù)據(jù)都還在，只是這個硬盤自己不能夠用來啟動進系統(tǒng)了。如果要恢復引導代碼，可以用DOS下的命令：FDISK /MBR；這個命令只是用

4、來恢復引導代碼，不會引起分區(qū)改變，丟失數(shù)據(jù)。另外，也可以用工具軟件，比如DISKGEN、WINHEX等。但分區(qū)表如果丟失，后果就是整個硬盤一個分區(qū)沒有，就好象剛買來一個新硬盤沒有分過區(qū)一樣。是很多病毒喜歡破壞的區(qū)域。EBR，也叫做擴展MBR（Extended MBR）。因為主引導記錄MBR最多只能描述4個分區(qū)項，如果想要在一個硬盤上分多于4個區(qū)，就要采用擴展MBR的辦法。MBR、EBR是分區(qū)產(chǎn)生的。比如MBR和EBR各都占用63個扇區(qū)，C盤占用1435329個扇區(qū)那么數(shù)據(jù)結(jié)構(gòu)如下表：631435329631435329631253889MBRC盤EBRD盤EBRE盤   

5、擴展分區(qū)  而每一個分區(qū)又由DBR、FAT1、FAT2、DIR、DATA5部分組成：比如C 盤的數(shù)據(jù)結(jié)構(gòu)：C 盤DBRFAT1FAT2DIRDATA      WinhexWinhex是使用最多的一款工具軟件，是在Windows下運行的十六進制編輯軟件，此軟件功能非常強大，有完善的分區(qū)管理功能和文件管理功能，能自動分析分區(qū)鏈和文件簇鏈，能對硬盤進行不同方式不同程度的備份，甚至克隆整個硬盤；它能夠編輯任何一種文件類型的二進制內(nèi)容（用十六進制顯示）其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任意扇區(qū)，是手工恢復數(shù)據(jù)的首選工具軟件。首先要安裝Winhex

6、，安裝完了就可以啟動winhex了，啟動畫面如下：首先出現(xiàn)的是啟動中心對話框。   這里我們要對磁盤進行操作，就選擇“打開磁盤”，出現(xiàn)“編輯磁盤”對話框：在這個對話框里，我們可以選擇對單個分區(qū)打開，也可以對整個硬盤打開，HD0是我現(xiàn)在正用的西部數(shù)據(jù)40G系統(tǒng)盤，HD1是我們要分析的硬盤，邁拓2G。這里我們就選擇打開HD1整個硬盤，再點確定.然后我們就看到了Winhex的整個工作界面。最上面的是菜單欄和工具欄，下面最大的窗口是工作區(qū)，現(xiàn)在看到的是硬盤的第一個扇區(qū)的內(nèi)容，以十六進制進行顯示，并在右邊顯示相應的ASCII碼，右邊是詳細資源面板，分為五個部分：狀態(tài)、容量、當前位置、

7、窗口情況和剪貼板情況。這些情況對把握整個硬盤的情況非常有幫助。另外，在其上單擊鼠標右鍵，可以將詳細資源面板與窗口對換位置，或關閉資源面板。（如果關閉了資源面板可以通過“察看”菜單“顯示”命令“詳細資源面板”來打開）。最下面一欄是非常有用的輔助信息，如當前扇區(qū)/總扇區(qū)數(shù)目等 向下拉拉滾動條，可以看到一個灰色的橫杠，每到一個橫杠為一個扇區(qū)，一個扇區(qū)共512字節(jié)，每兩個數(shù)字為一個字節(jié)，比如00。下面我們來分析一下MBR，因為前面我們說過，前446個字節(jié)為引導代碼，對我們來說沒有意義，這里我們只分析分區(qū)表中的64個字節(jié)。分區(qū)表64個字節(jié)，一共可以描述4個分區(qū)表項，每一個分區(qū)表項可以描述一個主

8、分區(qū)或一個擴展分區(qū)（比如上面的分區(qū)表，第一個分區(qū)表項描述主分區(qū)C盤，第二個分區(qū)表項描述擴展分區(qū)，第三第四個分區(qū)表項填零未用）每一個分區(qū)表項各占16個字節(jié)，各字節(jié)含義如下：（H表示16進制）字節(jié)位置內(nèi)容及含義第1字節(jié)引導標志。若值為80H表示活動分區(qū)；若值為00H表示非活動分區(qū)。第2、3、4字節(jié)本分區(qū)的起始磁頭號、扇區(qū)號、柱面號第5字節(jié)分區(qū)類型符：00H表示該分區(qū)未用06HFAT16基本分區(qū)0BHFAT32基本分區(qū)05H擴展分區(qū)07HNTFS分區(qū)0FH（LBA模式）擴展分區(qū)83H Linux分區(qū)第6、7、8字節(jié)本分區(qū)的結(jié)束磁頭號、扇區(qū)號、柱面號第9、10、11、12字節(jié)本分區(qū)之前已用了的扇區(qū)數(shù)第

9、13、14、15、16字節(jié)本分區(qū)的總扇區(qū)數(shù)  此硬盤的第一分區(qū)表（即MBR）分析如下：    第一個分區(qū)表項（C盤）第1字節(jié)80：表示此分區(qū)為活動分區(qū)；第5字節(jié)0B：表示分區(qū)類型為Fat32；第9、10、11、12字節(jié) 系統(tǒng)隱含扇區(qū)3F 00 00 00：所謂系統(tǒng)隱含扇區(qū)就是本分區(qū)（C盤）之前已用了的扇區(qū)數(shù)，這是一個十六進制數(shù)，但要注意：真正的隱含扇區(qū)數(shù)應該反過來填寫（比如：隱含扇區(qū)數(shù)為3E 4D 5A 6F，則反過來就是6F 5A 4D 3E ，這才是實際的隱含扇區(qū)數(shù)）。那么，3F 00 00 00反過來寫就是00 00 003F，也就是3F，將他轉(zhuǎn)成十進制數(shù)我

10、們才能知道實際的隱含扇區(qū)數(shù)是多大。這可以使用計算器來算，單擊工具欄上的“計算器”按鈕，如下圖：   這樣就啟動了計算器計算器有兩種型號，我們要進行進制轉(zhuǎn)換，就要選擇“科學型”  比如我們要將十六進制3F轉(zhuǎn)換為十進制，就要先選中“十六進制”，然后輸入3F 再選中“十進制”，十六進制3F轉(zhuǎn)為十進制等于63。想一想我們前面所講的，MBR占用63個扇區(qū)，也就是C盤之前已用了的扇區(qū)數(shù)為63，第64個扇區(qū)就是C盤的第一個扇區(qū)，但要注意的是，整個硬盤的LBA地址是從零開始的，062的扇區(qū)為MBR。第13、14、15、16字節(jié)本分區(qū)總扇區(qū)數(shù)(當然，這也就是C盤

11、的大小)：C1 E6 15 00，同樣，實際的十六進制數(shù)也要反過來才對，也就是00 15 E6 C1，將它轉(zhuǎn)換成十六進制數(shù)是1435329。給你出個題，你知道D盤的EBR在哪個扇區(qū)嗎？我們一起來算一下，還記得前面數(shù)據(jù)結(jié)構(gòu)那個表嗎？C盤后面不就是D盤的EBR嗎？D盤EBR的第一個扇區(qū)=MBR+C盤的大小，也就是 63+1435329=1435392。我們來看看對不對，單擊工具欄上的“轉(zhuǎn)到扇區(qū)”按鈕，出現(xiàn)一個“轉(zhuǎn)到扇區(qū)”對話框然后輸入1435392，再點“確定”，就到了1435392扇區(qū)了（你可以使用它再轉(zhuǎn)回到0扇區(qū)）這個就是D盤的EBR，也就是D盤的分區(qū)表了，怎么知道的呢？因為MBR和EBR的結(jié)

12、構(gòu)是完全一樣的，都是占用了63個扇區(qū)，但只用了第一個扇區(qū)，其余62個扇區(qū)填零不用。第一個扇區(qū)前446個字節(jié)都為引導代碼，后64個字節(jié)為分區(qū)表，最后2個字節(jié)為55AA結(jié)束標志。因為EBR不是活動分區(qū)，不需要引導代碼，所以前446個字節(jié)為零。還有另一種方法直接找到D盤的EBR，單擊“訪問”下拉按鈕“分區(qū)二”“分區(qū)表”，直接就到1435392扇區(qū).這樣，分區(qū)表中的第一個分區(qū)表項共十六個字節(jié)分析完畢，下面我們再來看看第二個分區(qū)表項（擴展分區(qū)）。第1字節(jié)00：表示非活動分區(qū)第5字節(jié)05：表示擴展分區(qū)第9、10、11、12字節(jié)00 E7 15 00：本分區(qū)之前的扇區(qū)數(shù)（擴展分區(qū)前面也就是MBR和C盤，好像

13、我們前面算過這個數(shù)？）同樣，先將它反過來，就是00 15 E7 00 ，再轉(zhuǎn)為十進制是1435392，看來我們前面真的算過這個數(shù)。第13、14、15、16字節(jié)40 09 29 00：本分區(qū)的總扇區(qū)數(shù)。也就是擴展分區(qū)的總扇區(qū)數(shù)。轉(zhuǎn)為十進制應該是2689344。想一想，用這個數(shù)加上前面的1435392，不正好是整個硬盤的總扇區(qū)數(shù)4124736嗎？這樣，如果分區(qū)表被破壞，我們只要把這些數(shù)值都計算出來并填上，分區(qū)表不就恢復了？那么，這里我們?yōu)槭裁床环治龅?、3、4字節(jié)（本分區(qū)的起始磁頭號、扇區(qū)號、柱面號）和第6、7、8字節(jié)（本分區(qū)的結(jié)束磁頭號、扇區(qū)號、柱面號）呢？這是因為C/H/S(柱面/磁頭/扇區(qū))

14、是老式硬盤的尋址方式，這種尋址方式來管理硬盤效率很低；而現(xiàn)在幾乎所有的硬盤都支持LBA(全稱是Logic Block Address，即扇區(qū)的邏輯塊地址)尋址方式，這種管理方式簡單高效。在LBA方式下，系統(tǒng)把所有的物理扇區(qū)都統(tǒng)一編號，按照從零到某個最大值排列，這樣只用一個序數(shù)就確定了一個唯一的物理扇區(qū)。小知識：具體一個硬盤有多少個LBA(扇區(qū))不需要我們?nèi)ビ洃?，因為用各種工具軟件（如MHDD WINHEX等）都可以檢測到。我們只要知道個大概就行了：如10G的硬盤大概有2000萬個扇區(qū)；20G的硬盤大概有4000萬個扇區(qū)；40G的硬盤大概有8000萬個扇區(qū)那么，2G的硬盤大概有400萬個扇區(qū)。那

15、么，你可能要問了：如果要恢復分區(qū)表，這個起始磁頭號、扇區(qū)號、柱面號還有結(jié)束磁頭號、扇區(qū)號、柱面號應該怎么填呢？簡單得很，在后面恢復分區(qū)表的時候我會告訴你，直接填，都不用計算。還有興趣來分析一下D盤的EBR嗎？其實D盤的EBR和盤的EBR我們不分析也罷，因為無非也是分區(qū)表，跟MBR的結(jié)構(gòu)是一樣的，但卻很容易把我們繞暈，又因為EBR一般不容易被破壞，所以我不建議分析EBR。但如果你一定要分析，那就分析吧。單擊“訪問”下拉按鈕“分區(qū)二”“分區(qū)表”，直接就到1435392扇區(qū)，即D盤的分區(qū)表EBR。第一個分區(qū)表項（D盤）：第1個字節(jié)00：表示非活動分區(qū)第5個字節(jié)06：表示FAT16分區(qū)第9、10、11

16、、12字節(jié)3F 00 00 00：本分區(qū)之前已用了的扇區(qū)數(shù)，也就是EBR的數(shù)目，63個。第13、14、15、16字節(jié)C1 E6 15 00：本分區(qū)的總扇區(qū)數(shù)，也就是D盤的扇區(qū)數(shù)，先反過來排列就是00 15 E6 C1，轉(zhuǎn)為十進制就是1435329。第二個分區(qū)表項（D盤后面的）：第1個字節(jié)00：表示非活動分區(qū)第5個字節(jié)05：表示擴展分區(qū)第9、10、11、12字節(jié)00 E7 15 00：本分區(qū)之前已用了的扇區(qū)數(shù)，也就是D盤的EBR加D盤總共的大小， 63+1435329=1435392第13、14、15、16字節(jié)40 22 13 00：本分區(qū)的總扇區(qū)數(shù)，1253952,也就是E盤的大小再加上一個E

17、BR的數(shù)目。單擊“訪問”下拉按鈕“分區(qū)三”“分區(qū)表”，直接就到2870784扇區(qū)，即E盤的分區(qū)表EBR。因為E盤后面沒有分區(qū)了，所以沒有第二個分區(qū)表項。這里我們就不再研究了，有興趣的話可以自己多備一塊硬盤作從盤，然后自己分分區(qū)研究研究。通過以上的研究我們總結(jié)一下，MBR在定義分區(qū)的時候，將多余的容量定義為擴展分區(qū)，指定該擴展分區(qū)的起止位置，根據(jù)起始位置指向硬盤的某一個扇區(qū)，作為下一個分區(qū)表項，接著在該扇區(qū)繼續(xù)定義分區(qū)，如果只有一個分區(qū)，就定義該分區(qū)，然后結(jié)束；如果不止一個分區(qū)，就定義一個基本分區(qū)和一個擴展分區(qū)，擴展分區(qū)再指向下一個分區(qū)描述扇區(qū)，在該分區(qū)上按照上述原則繼續(xù)定義分區(qū)，直至分區(qū)定義結(jié)

18、束。這些用來描述分區(qū)的扇區(qū)形成一個“分區(qū)鏈”，通過這個分區(qū)鏈，就可以描述所有的分區(qū)。系統(tǒng)在啟動時按照分區(qū)鏈的連接順序查找分區(qū)，直至找出所有分區(qū)。這個鏈顯然是個開鏈結(jié)構(gòu)，如果形成一個環(huán)，系統(tǒng)本身并不會去判斷它，它只是按照這個鏈忠實的查找分區(qū)，而不進行任何額外的檢測與處理。所謂硬盤邏輯鎖，就是讓分區(qū)鏈形成一個環(huán)，這樣系統(tǒng)在啟動時就在分區(qū)表內(nèi)循環(huán)，表現(xiàn)為系統(tǒng)無法引導，就是從軟盤啟動，也不能進入硬盤。明白了其結(jié)構(gòu)原理，解決這個問題就簡單了，目前有很多種方法解決這個問題，后面我們還會講到。系統(tǒng)就是利用這種方法使一個硬盤分區(qū)后看起來象多個硬盤。系統(tǒng)能夠找到C盤以外的其他邏輯盤的唯一辦法就是，沿著EBR所描

19、述的分區(qū)鏈查找分區(qū)。其實，通常情況下EBR是不會被破壞的，或者破壞的幾率極低極低，通常情況下，都是只有MBR被破壞，那么這種情況下，我們只要把MBR的分區(qū)表64個字節(jié)復原，其他的分區(qū)順著分區(qū)表所提供的鏈自然而然就出來了。那么，如何才能將分區(qū)表復原呢？這就要通過計算結(jié)合Winhex強大的功能來實現(xiàn)了。下面我們就來模仿分區(qū)表被病毒破壞的情況，將MBR全部填零。我們首先將MBR所在的扇區(qū)選中。鼠標指向第一個字節(jié)，單擊右鍵，選擇“選塊開始”然后鼠標指向MBR的最后一個字節(jié)，單擊右鍵，選擇“選塊結(jié)尾”然后我們在選區(qū)內(nèi)部單擊鼠標右鍵，選擇“編輯”這樣就有出來一個菜單然后我們選“填充選塊”，這樣就出來一個填

20、充選塊對話框在“用十六進制填充”的輸入框中輸入“00”，再點“確定”這樣MBR所在扇區(qū)全部被我們填充為“00”如果想取消選區(qū)，那就用鼠標拖動隨便選中一塊區(qū)域，那么原來的選區(qū)就會取消。注意，如果扇區(qū)數(shù)據(jù)被修改了而沒有存盤就會變?yōu)閯e的顏色。修改了扇區(qū)，這時候還沒有存盤生效，如果你想存盤生效的話，就選擇“文件”菜單“保存扇區(qū)”命令。這時候就會出現(xiàn)一個提示，如果你不想存盤了就點取消，如果想存盤，就點確定，再點是。好，這樣就存盤了，扇區(qū)被修改的數(shù)據(jù)又變?yōu)楹谏?。這樣我們就把分區(qū)表給刪除了，這時候必須重新啟動才能生效，如果你打開我的電腦，會發(fā)現(xiàn)三個分區(qū)（F 、G、 H）還在那里，并且里面的數(shù)據(jù)還能正常使用。

21、現(xiàn)在，我們關閉所有程序?qū)㈦娔X重新啟動經(jīng)過不長時間的等待，電腦啟動起來了，我們打開我的電腦看看，發(fā)現(xiàn)F 、G 、H三個分區(qū)不見了。 再打開Winhex發(fā)現(xiàn)MBR全部為零了，下面我們就著手開始手工恢復分區(qū)表首先恢復引導代碼，這最簡單了，只要用Winhex到別的系統(tǒng)盤把引導代碼復制過來就行了。我現(xiàn)在的機器上不是掛著兩個硬盤嗎？一個邁拓2G，一個西數(shù)40G，西數(shù)40G是我的系統(tǒng)盤，那就從這個盤上復制就行了。單擊“磁盤編輯器”按鈕出現(xiàn)“編輯磁盤”對話框選擇“HD0 WDC WD400EB-00CPF0”,點“確定”這樣我們就把系統(tǒng)盤的分區(qū)表給打開了，注意，現(xiàn)在我們是打開了兩個窗口，當前的窗口是

22、“硬盤0”，在標題欄上有顯示。另外，打開窗口菜單也能看出來，當前窗口被打上一個勾，如果想切換回原來的窗口，就點擊“硬盤1”。首先選中系統(tǒng)盤的引導代碼然后在選區(qū)中單擊鼠標右鍵，選“編輯”又出來一個菜單，然后我們選“復制選塊”“正?！比缓笪覀兦袚Q回硬盤1窗口，在零扇區(qū)的第一個字節(jié)處單擊鼠標右鍵，選“編輯”然后選“剪貼板數(shù)據(jù)”“寫入”出現(xiàn)一個窗口提示，點“確定”這樣，我們就把一個正常系統(tǒng)盤上的引導代碼復制過來了。下面，我們就開始恢復分區(qū)表（共64個字節(jié)，分為4個分區(qū)表項，每個分區(qū)表項占用16個字節(jié)，一般只使用前兩個分區(qū)表項），我們首先來恢復第一個分區(qū)標項（也就是用來描述C盤的）。首先，在第1個字節(jié)處

23、（0扇區(qū)倒數(shù)第五行，倒數(shù)第二個字節(jié)）填上分區(qū)引導標志，因為C盤是活動分區(qū)，所以填上80。接著是第2、3、4字節(jié)（本分區(qū)起始磁頭號、扇區(qū)號、柱面號），填上：01 01 00。第5字節(jié)是分區(qū)類型符，因為原先C盤是Fat32格式，所以填上：0B。那么，如果你不知道C盤是什么格式怎么辦呢？你會說問問客戶呀，那么如果他也不知道呢？別著急，后面在說恢復DBR的時候我會教你怎么分辨分區(qū)的格式。第6、7、8字節(jié)是本分區(qū)的結(jié)束磁頭號、扇區(qū)號、柱面號，這怎么知道呢？別著急，現(xiàn)在的磁盤都是按照LBA方式尋址，并不按照C/H/S(及柱面、磁頭、扇區(qū))方式尋址，所以這個地方你填些什么一般關系不大，但是我要告訴你有一個通

24、用的填法，那就是：FE FF FF。第9、10、11、12字節(jié)，本分區(qū)之前已用了的扇區(qū)數(shù)，也就是MBR所占用的扇區(qū)數(shù)，那不是63嗎？對，但是要將63轉(zhuǎn)為十六進制數(shù)，再反過來倒著填寫上。還記得怎么用計算器嗎？將63轉(zhuǎn)為十六進制數(shù)是3F，不夠四個字節(jié)前面加零，也就是00 00 00 3F，再將此數(shù)從右向左依次序反過來就是3F 00 00 00。第13、14、15、16字節(jié)是本分區(qū)的總扇區(qū)數(shù)，也就是C盤的大小，這就要通過稍微一點點計算來得到了。因為C盤是從第63個扇區(qū)開始，而C盤后面緊接著的是EBR，所以用EBR所在的第一個扇區(qū)數(shù)減去63就是C盤的大小。那么如何才能找到EBR所在的第一個扇區(qū)呢？我們

25、前面說過，EBR的結(jié)構(gòu)和MBR是一樣的，所以，EBR的結(jié)束標志也一定是55AA，那么，只要我們找到這個結(jié)束標志，再看看這個扇區(qū)是不是EBR不就行了？單擊“搜索”“查找十六進制數(shù)值”，然后出來一個對話框在文本框中輸入“55AA”，搜索框中選“全部”，然后選中“條件”，把偏移量設置為“512=510”。再單擊“確定”。畫面如下：首先找到第一個“55AA”，我們看到，個扇區(qū)在第63個扇區(qū)上，并不是我們要找的EBR，再按F3繼續(xù)查找又找到好幾個扇區(qū)，都不是，那么下面這個扇區(qū)是不是？前面我們說過，EBR的結(jié)構(gòu)和MBR的結(jié)構(gòu)是一樣的，所以在倒數(shù)第五行倒數(shù)第二個字節(jié)應該是00 01，并且前446個字節(jié)應該是

26、0，顯然這也不是EBR，繼續(xù)按F3查找終于找到了真正的EBR，在1435392扇區(qū)。小技巧：現(xiàn)在的硬盤都比較大，要逐個扇區(qū)的查找55AA確實太慢了，那么有沒有辦法快點呢？有，那就是先問問客戶C盤大概有多大，大多數(shù)客戶還是知道的，比如他說C盤大概有10個G，那么你就不要從頭開始找了，因為那實在太慢了。10個G大概是2000萬個扇區(qū)，那么你可以用轉(zhuǎn)到扇區(qū)命令直接到1900萬扇區(qū)，從那個地方再開始找不就省事多了。用1435392減去63，得到1435329，再轉(zhuǎn)為16進制，就是15E6C1，將他倒轉(zhuǎn)過來就是C1E61500，這就是C盤的大小。這樣，第一個分區(qū)表項填寫完畢，我們保存一下，再接著填寫第二

27、個分區(qū)表項。第二個分區(qū)表第1個字節(jié)：因為是非活動分區(qū)，所以寫00第2、3、4字節(jié)，填寫01 01 00（通用的）第5字節(jié)：因為是擴展分區(qū)，所以填寫0F第6、7、8字節(jié)：填寫FE FF FF(通用)第9、10、11、12字節(jié)是本分區(qū)之前已用了的扇區(qū)數(shù)，應該就是C盤大小加63，也就是1435392，前面剛計算出來的，轉(zhuǎn)為十六進制數(shù)再反過來就是00 E7 15 00第13、14、15、16字節(jié)是本分區(qū)的總扇區(qū)數(shù)，也就是擴展分區(qū)的總扇區(qū)數(shù)，也就是用整個硬盤的大小減去C盤的大小再減去63，即4124736-1435329-63=2689344，轉(zhuǎn)為十六進制就是290940，反過來就是40092900。&

28、#160;這樣，第二個分區(qū)表項就填寫完了。不要忘了把最后的結(jié)束標志55AA填上，這樣，MBR就全恢復完了，最后，保存，再重新啟動啟動完畢，迫不及待的打開我的電腦，發(fā)現(xiàn)三個分區(qū)全部又回來了，并且里面的數(shù)據(jù)完好無損。再右擊“我的電腦”，選“管理” 出現(xiàn)一個對話框，選“磁盤管理”，在右邊可以看到磁盤一的三個分區(qū)(Fat32、Fat16、Ntfs)全部都回來了，至此，手工恢復分區(qū)表順利完成。手工恢復數(shù)據(jù)恢復成功率比較高，而且比較有趣味和挑戰(zhàn)性，能找回許多傻瓜似的軟件所找不回來的文件，但是要求工程師一定要有耐性，而且一定要保持清醒，清楚自己正在操作什么，操作完了會有什么后果，能不能退回到上一步

29、狀態(tài)。特別是對一些破壞性操作，一定要考慮周到，只要條件允許，就一定要在操作之前進行備份，否則會造成“血”的教訓，切記！下面我們會說到手工恢復DBR、FAT（此教程被收錄在付費教程中），這些比手工恢復分區(qū)表還要復雜，更需要大量的計算。再說完了使用Winhex手工恢復數(shù)據(jù)之后，我們會說到一些數(shù)據(jù)恢復軟件，結(jié)合數(shù)據(jù)恢復軟件會使數(shù)據(jù)恢復成功率大大提高，但有一些軟件在掃描過程中會對原盤破壞數(shù)據(jù)，在使用中一定要謹慎！而且同一個軟件，一個新手用和一個老手用數(shù)據(jù)恢復成功率絕對是不一樣的，這些軟件我們會免費贈送，絕對不會讓你學習了資料卻找不到軟件的。FAT文件系統(tǒng)下的手工數(shù)據(jù)恢復案例關鍵詞：數(shù)據(jù)恢復，數(shù)據(jù)恢復資

30、料，數(shù)據(jù)恢復技術(shù)本文針對FAT分區(qū)。使用工具：winhex（非數(shù)據(jù)恢復專用）磁盤的具體存儲原理，這里我解釋一下：1、剩余扇區(qū)是什么：剩余扇區(qū)有分區(qū)內(nèi)的剩余扇區(qū)和整個磁盤的剩余扇區(qū)。先說分區(qū)內(nèi)的扇區(qū)：描述磁盤容量的單位是扇區(qū)，分區(qū)內(nèi)部又是采用簇來管理的。通常情況下，扇區(qū)的容量是512b,簇的單位容量大于等于扇區(qū)的容量。以具體事例來講，一個 7gb的fat32分區(qū)，其簇的大小是4k,相當于8個扇區(qū)，而分區(qū)內(nèi)的存儲單位是4k,分區(qū)的扇區(qū)總數(shù)如果不是8的倍數(shù)，那余下來的扇區(qū)便是剩余扇區(qū)了。整個磁盤的剩余扇區(qū)與上述原理相似，不同的是，每個分區(qū)的結(jié)束必須以254頭，63扇為結(jié)束（也應該是老的磁盤管理模式留

31、下的弊端吧！雖然分區(qū)內(nèi)是以線性邏輯扇區(qū)為首要參數(shù)的）也就是說，如果磁盤的總?cè)萘空梅植粌粢粋€柱面的容量(1*254*63*512b=8193024b),那么，剩下的容量便是整個磁盤的剩余扇區(qū)了，其最大也就是大約7.8m。這也是通常情況下，分區(qū)的最小容量是7.8m，分區(qū)容量是8193024b倍數(shù)的原因。（簡圖并未畫出整個磁盤的剩余扇區(qū)，大家理解吧!)2、對于fat32的保留扇區(qū)的數(shù)目，一般來說是32個，但也不肯定是，有時候可能會是38個或其他數(shù)目，當然也可以在dbr中的bpb（bios parameter block）參數(shù)表中更改，后面要講到在數(shù)據(jù)恢復中了解他的重要性。（dbr的參數(shù)說明到數(shù)據(jù)恢

32、復網(wǎng) 找找）3、在小容量的磁盤分區(qū)中也存在fat16的分區(qū)格式，原理嗎？和軟盤的存儲原理相，見數(shù)據(jù)恢復網(wǎng) “反黑行動之數(shù)據(jù)恢復”。下面我們進入實戰(zhàn)：第一種情況，分區(qū)被格式化。如果格式化以后，當然可以用現(xiàn)成的數(shù)據(jù)恢復軟件來恢復，但軟件畢竟是軟件，并不能應對多變的復雜的情況。而手工不同，如果對磁盤結(jié)構(gòu)了解，是可以最大程度的恢復的。我們拋開數(shù)據(jù)恢復軟件來看和通過手工來恢復被格式化的磁盤分區(qū)。對于fat格式的分區(qū)（包括fat16)，format命令會重建dbr扇區(qū)，清空兩個fat表，清空分區(qū)的第一個簇（存放原根目錄）。不管是快速格式化還是完全格式化（快速格式化和完全格式化的區(qū)別在于他們是否對所涉及到的

33、磁盤扇區(qū)進行檢測掃描，清除上面的數(shù)據(jù)事都要做得)。對于dbr，分區(qū)只要正確格式化就會生成正確的dbr,故而重點是fat表和原根目錄（如果原根目錄大于一個簇，這僅僅是第一個簇，為了方便，以后就以原根目錄稱）的問題。如果你格式花前備份了此分區(qū)的fat表和根目錄。那么，只要將dbr初始化，恢復fat表和根目錄即可完全恢復數(shù)據(jù)。不過，既然是被格式化，那一定沒有fat表和根目錄的備份（廢話?。?。繼續(xù)：先說根目錄，跟目錄的第一扇一但清空，別無法找回了。所以，格式化前存儲在根目錄的文件就會因其在第一扇存儲的文件特征描述表丟失而很難找回了，除非你知道文件中包含的特征字符串，根據(jù)其在整個分區(qū)內(nèi)查找，又確定文件的

34、大小，而恰好要恢復的文件又是在磁盤內(nèi)連續(xù)存儲的。再說fat表，fat表的丟失對交叉存儲的文件來說是幾乎毀滅的災難。原則上如果丟失，就只能恢復從文件第一簇開始的連續(xù)幾簇了。但一般如要恢復的文件較小或分區(qū)并未經(jīng)過頻繁的文件刪增的話， 還是有希望的。手動填寫fat表是不現(xiàn)實的，我們只好先讓原來的目錄結(jié)構(gòu)重現(xiàn)，再想辦法。windows的磁盤文件格式是tree型的，格式化只是將tree的根折，在根折斷以后，其實就象生成了多顆tree（想想數(shù)據(jù)結(jié)構(gòu)）。如果我們要恢復的文件全部位于一個子目錄當中。那好了，我們只要將這顆子樹的樹根放入原tree 的根位置上，即可生成一顆新樹。推介使用winhex,下面以win

35、hex為例具體而言，首先，若磁盤未格式化或格式化格式不太正確，先格式化，以生成可參照的dbr和fat表。接著我們在分區(qū)中尋找相關的字符串來確定此子樹的'根'位置。，如記得原目錄中有sjhfnet.txt的文件（選擇其他目錄沒有或很少有此文件名的文件），可在整個分區(qū)內(nèi)查找'sjhfnet txt',再根據(jù)相關特征確定。這時候注意一下，我們需要目錄中提供的'.'目錄來推測原分區(qū)的一些特性，主要是dbr中的bpb參數(shù)，如保留扇區(qū)的數(shù)目。（一般是不不會錯的，但如果有那怕一個扇區(qū)的出入，整個分區(qū)中目錄的映射將不能套用，還是看看吧?。?，是不是要問，'

36、.'目錄是什么？學過dos的人都知道，目錄'.' 表當前所在目錄，'.'表上級目錄，在32個子節(jié)的目錄項中，包含有和其他目錄項相同的特征，我們關心目錄的位置（在原分區(qū)格式的第幾個簇中），他應該是等于他所在的簇號的！也就是看一下偏移量為15h 14h 1bh 1ah的數(shù)值是否等于現(xiàn)在簇號。在winhex中格式化后的磁盤可清楚的列出當前簇的簇號，可比較一下（可能需要16進制與10進制的轉(zhuǎn)換）。相同不說了，如果不相同，也應該相差不多。計算一下相差的簇的數(shù)目，然后在本分區(qū)dbr扇區(qū)的0eh0fh作相應增減，是保留扇區(qū)的數(shù)目回到原來的數(shù)目。重起一下計算機，是新的d

37、br生效，清空現(xiàn)fat表（根目錄簇可以不清空，因后邊講到會覆蓋的）。文件目錄項的映射與實際地址便正確的結(jié)合了。（不明白嗎？想想原理，努力消化一下）接著將找到的簇復制-定位到現(xiàn)在的根目錄-寫入。打開“資源管理器“，瀏覽，出來了嗎？慢！還沒完，現(xiàn)在的目錄結(jié)構(gòu)是出來了，但還不能訪問，因為fat表所記錄的簇還是空閑的。怎么辦？手動寫，算一下，可能寫完得30年吧！呵呵！哪。，其實，如果要恢復的文件大小都在1簇范圍內(nèi)，可在win98下運行磁盤掃描程序，在出現(xiàn)修復的提示時選相應的選象修復即可（別選“刪除涉及到的文件”選項，另外，win2000下不行，掃描程序會直接刪除文件的）。這樣，大小在1簇范圍的文件別完

38、全恢復了（包括文件）。那如何在這種情況下恢復大于1個簇的文件呢？一是你可以寫一個小的程序來實現(xiàn)涉及到的簇的連續(xù)。如果你不會，那么也不難，得一個一個文件的來。打開winhex,使用它的目錄模板跳轉(zhuǎn)到文件的存儲區(qū)，從當前簇復制大小為文件大小的一塊連續(xù)數(shù)據(jù)，寫入新文件中（記得寫在其他分區(qū)中），即可！當然，如果簇數(shù)較少，可直接在fat1中改動。另外，這樣恢復的文件也不一定正確。要看當初文件的存儲是否連續(xù)了？如果恢復后的文件不能用，那。聽天由命吧?。ㄒ茨阍诖疟P中在查找，分析，自己把它連接起來。不過，工作量嗎？。）這樣恢復的是以前一個子目錄的數(shù)據(jù)。如果有多個目錄的數(shù)據(jù)要恢復，可用同樣的方法替換根目錄（第

39、一個數(shù)據(jù)簇），也可以采用手動建立根目錄的方法，不過，別在資源管理器中進行，手動在winhex中做吧！還有，要是恢復的目錄中有多個簇，再用同樣的方法，查找，作為根目錄。這是分區(qū)格式為fat32的情況，如fat16則不需考慮保留扇區(qū)的數(shù)目情況，fat16無保留扇區(qū)。這是有目錄項的情況。再來說一下在無目錄項參照的情況：以下默認為欲恢復文件是存儲在FAT32文件格式當中的文件。假如你的磁盤已經(jīng)被xxx破壞的一塌糊涂?；蛘咭呀?jīng)經(jīng)過了N位高手二次處理"加工"過了，什么工具軟件都用過了！結(jié)果仍然沒有看到你需要的數(shù)據(jù)的影子。或者你要恢復的數(shù)據(jù)本來就很少（若干源代碼，或是若干論文，若干小的數(shù)

40、據(jù)庫，或是確認在數(shù)據(jù)丟失前正好做了磁盤碎片整理），不值得采用我上面采用的方法。你可以采用在磁盤內(nèi)通過查找的方法，總結(jié)來找回數(shù)據(jù)（不要笑，有技巧的，況且，也許這是唯一的方法?。┛梢酝ㄟ^磁盤文件的存儲特征和文件固有的類型特征來考慮?？催^反黑行動之數(shù)據(jù)恢復（風般的男人著）應該可以知道，文件在磁盤內(nèi)至少是以扇區(qū)為單位的，也就是說，每個文件在磁盤內(nèi)實際存儲的開始，一定是某扇區(qū)的開始。這是其一，其二是每種類型的文件都有其特定的文件標志，可根據(jù)文件的特定標志（通常還是在文件的開頭）與其在磁盤的位置來圈定。如果是文本文件，可通過在磁盤內(nèi)查找特征字串的方法來找到。不過，稍有知識的人是都知道的，不說了。（還是使用

41、winhex吧！硬盤速度可以的話，應該查找1G的空間不超過1分鐘)我們來通過具體的例子看一看已加密或無明顯特征字串的情況（這是最通常的情況）。以一Office文檔的恢復為例。Office文檔的實際構(gòu)成總是以“00000000 D0 CF 11 E0 A1 B1 1A E1 00 00 00 00 00 00 00 00 邢.唷?.”開頭，以下列二進制特征為尾：-00148940 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF00148950 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF00148960 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF00148970 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF00148980 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF00148990 FF FF FF FF FF FF FF