winhex超全圖文使用教程

1、winhex教程 winhex 數(shù)據(jù)恢復(fù)分類(lèi)：硬恢復(fù)和軟恢復(fù)。所謂硬恢復(fù)就是硬盤(pán)出現(xiàn)物理性損傷，比如有盤(pán)體壞道、電路板芯片燒毀、盤(pán)體異響，等故障，由此所導(dǎo)致的普通用戶不容易取出里面數(shù)據(jù)，那么我們將它修好，同時(shí)又保留里面的數(shù)據(jù)或后來(lái)恢復(fù)里面的數(shù)據(jù)，這些都叫數(shù)據(jù)恢復(fù)，只不過(guò)這些故障有容易的和困難的之分；所謂軟恢復(fù)，就是硬盤(pán)本身沒(méi)有物理?yè)p傷，而是由于人為或者病毒破壞所造成的數(shù)據(jù)丟失（比如誤格式化，誤分區(qū)），那么這樣的數(shù)據(jù)恢復(fù)就叫軟恢復(fù)。這里呢，我們主要介紹軟恢復(fù)，因?yàn)橛不謴?fù)還需要購(gòu)買(mǎi)一些工具設(shè)備（比如pc3000,電烙鐵，各種芯片、電路板），而且還需要懂一點(diǎn)點(diǎn)電路基礎(chǔ)，我們這里所講到的所有的知識(shí)，涉

2、及面廣，層次深，既有數(shù)據(jù)結(jié)構(gòu)原理，為我們手工準(zhǔn)確恢復(fù)數(shù)據(jù)提供依據(jù)，又有各種數(shù)據(jù)恢復(fù)軟件的使用方法及技巧，為我們快速恢復(fù)數(shù)據(jù)提供便利，而且所有軟件均為網(wǎng)上下載，不需要我們投資一分錢(qián)。數(shù)據(jù)恢復(fù)的前提：數(shù)據(jù)不能被二次破壞、覆蓋！關(guān)于數(shù)碼與碼制：關(guān)于二進(jìn)制、十六進(jìn)制、八進(jìn)制它們之間的轉(zhuǎn)換我不想多說(shuō)，因?yàn)樗麑?duì)我們數(shù)據(jù)恢復(fù)來(lái)說(shuō)幫助不大，而且很容易把我們繞暈。如果你感興趣想多了解一些，可以到百度里面去搜一下，這方面資料已經(jīng)很多了，就不需要我再多說(shuō)了。數(shù)據(jù)恢復(fù)我們主要用十六進(jìn)制編輯器：Winhex （數(shù)據(jù)恢復(fù)首選軟件）我們先了解一下數(shù)據(jù)結(jié)構(gòu)：下面是一個(gè)分了三個(gè)區(qū)的整個(gè)硬盤(pán)的數(shù)據(jù)結(jié)構(gòu)MBRC盤(pán)EBRD盤(pán)EBRE

3、盤(pán)MBR，即主引導(dǎo)紀(jì)錄，位于整個(gè)硬盤(pán)的0柱面0磁道1扇區(qū)，共占用了63個(gè)扇區(qū)，但實(shí)際只使用了1個(gè)扇區(qū)（512字節(jié)）。在總共512字節(jié)的主引導(dǎo)記錄中，MBR又可分為三部分：第一部分：引導(dǎo)代碼，占用了446個(gè)字節(jié)；第二部分：分區(qū)表，占用了64字節(jié)；第三部分：55AA，結(jié)束標(biāo)志，占用了兩個(gè)字節(jié)。后面我們要說(shuō)的用winhex軟件來(lái)恢復(fù)誤分區(qū)，主要就是恢復(fù)第二部分：分區(qū)表。引導(dǎo)代碼的作用：就是讓硬盤(pán)具備可以引導(dǎo)的功能。如果引導(dǎo)代碼丟失，分區(qū)表還在，那么這個(gè)硬盤(pán)作為從盤(pán)所有分區(qū)數(shù)據(jù)都還在，只是這個(gè)硬盤(pán)自己不能夠用來(lái)啟動(dòng)進(jìn)系統(tǒng)了。如果要恢復(fù)引導(dǎo)代碼，可以用DOS下的命令：FDISK /MBR；這個(gè)命令只是用

4、來(lái)恢復(fù)引導(dǎo)代碼，不會(huì)引起分區(qū)改變，丟失數(shù)據(jù)。另外，也可以用工具軟件，比如DISKGEN、WINHEX等。但分區(qū)表如果丟失，后果就是整個(gè)硬盤(pán)一個(gè)分區(qū)沒(méi)有，就好象剛買(mǎi)來(lái)一個(gè)新硬盤(pán)沒(méi)有分過(guò)區(qū)一樣。是很多病毒喜歡破壞的區(qū)域。EBR，也叫做擴(kuò)展MBR（Extended MBR）。因?yàn)橹饕龑?dǎo)記錄MBR最多只能描述4個(gè)分區(qū)項(xiàng)，如果想要在一個(gè)硬盤(pán)上分多于4個(gè)區(qū)，就要采用擴(kuò)展MBR的辦法。MBR、EBR是分區(qū)產(chǎn)生的。比如MBR和EBR各都占用63個(gè)扇區(qū)，C盤(pán)占用1435329個(gè)扇區(qū)那么數(shù)據(jù)結(jié)構(gòu)如下表：631435329631435329631253889MBRC盤(pán)EBRD盤(pán)EBRE盤(pán)   

5、擴(kuò)展分區(qū)  而每一個(gè)分區(qū)又由DBR、FAT1、FAT2、DIR、DATA5部分組成：比如C 盤(pán)的數(shù)據(jù)結(jié)構(gòu)：C 盤(pán)DBRFAT1FAT2DIRDATA      WinhexWinhex是使用最多的一款工具軟件，是在Windows下運(yùn)行的十六進(jìn)制編輯軟件，此軟件功能非常強(qiáng)大，有完善的分區(qū)管理功能和文件管理功能，能自動(dòng)分析分區(qū)鏈和文件簇鏈，能對(duì)硬盤(pán)進(jìn)行不同方式不同程度的備份，甚至克隆整個(gè)硬盤(pán)；它能夠編輯任何一種文件類(lèi)型的二進(jìn)制內(nèi)容（用十六進(jìn)制顯示）其磁盤(pán)編輯器可以編輯物理磁盤(pán)或邏輯磁盤(pán)的任意扇區(qū)，是手工恢復(fù)數(shù)據(jù)的首選工具軟件。首先要安裝Winhex

6、，安裝完了就可以啟動(dòng)winhex了，啟動(dòng)畫(huà)面如下：首先出現(xiàn)的是啟動(dòng)中心對(duì)話框。   這里我們要對(duì)磁盤(pán)進(jìn)行操作，就選擇“打開(kāi)磁盤(pán)”，出現(xiàn)“編輯磁盤(pán)”對(duì)話框：在這個(gè)對(duì)話框里，我們可以選擇對(duì)單個(gè)分區(qū)打開(kāi)，也可以對(duì)整個(gè)硬盤(pán)打開(kāi)，HD0是我現(xiàn)在正用的西部數(shù)據(jù)40G系統(tǒng)盤(pán)，HD1是我們要分析的硬盤(pán)，邁拓2G。這里我們就選擇打開(kāi)HD1整個(gè)硬盤(pán)，再點(diǎn)確定.然后我們就看到了Winhex的整個(gè)工作界面。最上面的是菜單欄和工具欄，下面最大的窗口是工作區(qū)，現(xiàn)在看到的是硬盤(pán)的第一個(gè)扇區(qū)的內(nèi)容，以十六進(jìn)制進(jìn)行顯示，并在右邊顯示相應(yīng)的ASCII碼，右邊是詳細(xì)資源面板，分為五個(gè)部分：狀態(tài)、容量、當(dāng)前位置、

7、窗口情況和剪貼板情況。這些情況對(duì)把握整個(gè)硬盤(pán)的情況非常有幫助。另外，在其上單擊鼠標(biāo)右鍵，可以將詳細(xì)資源面板與窗口對(duì)換位置，或關(guān)閉資源面板。（如果關(guān)閉了資源面板可以通過(guò)“察看”菜單“顯示”命令“詳細(xì)資源面板”來(lái)打開(kāi)）。最下面一欄是非常有用的輔助信息，如當(dāng)前扇區(qū)/總扇區(qū)數(shù)目等 向下拉拉滾動(dòng)條，可以看到一個(gè)灰色的橫杠，每到一個(gè)橫杠為一個(gè)扇區(qū)，一個(gè)扇區(qū)共512字節(jié)，每?jī)蓚€(gè)數(shù)字為一個(gè)字節(jié)，比如00。下面我們來(lái)分析一下MBR，因?yàn)榍懊嫖覀冋f(shuō)過(guò)，前446個(gè)字節(jié)為引導(dǎo)代碼，對(duì)我們來(lái)說(shuō)沒(méi)有意義，這里我們只分析分區(qū)表中的64個(gè)字節(jié)。分區(qū)表64個(gè)字節(jié)，一共可以描述4個(gè)分區(qū)表項(xiàng)，每一個(gè)分區(qū)表項(xiàng)可以描述一個(gè)主

8、分區(qū)或一個(gè)擴(kuò)展分區(qū)（比如上面的分區(qū)表，第一個(gè)分區(qū)表項(xiàng)描述主分區(qū)C盤(pán)，第二個(gè)分區(qū)表項(xiàng)描述擴(kuò)展分區(qū)，第三第四個(gè)分區(qū)表項(xiàng)填零未用）每一個(gè)分區(qū)表項(xiàng)各占16個(gè)字節(jié)，各字節(jié)含義如下：（H表示16進(jìn)制）字節(jié)位置內(nèi)容及含義第1字節(jié)引導(dǎo)標(biāo)志。若值為80H表示活動(dòng)分區(qū)；若值為00H表示非活動(dòng)分區(qū)。第2、3、4字節(jié)本分區(qū)的起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)第5字節(jié)分區(qū)類(lèi)型符：00H表示該分區(qū)未用06HFAT16基本分區(qū)0BHFAT32基本分區(qū)05H擴(kuò)展分區(qū)07HNTFS分區(qū)0FH（LBA模式）擴(kuò)展分區(qū)83H Linux分區(qū)第6、7、8字節(jié)本分區(qū)的結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)第9、10、11、12字節(jié)本分區(qū)之前已用了的扇區(qū)數(shù)第

9、13、14、15、16字節(jié)本分區(qū)的總扇區(qū)數(shù)  此硬盤(pán)的第一分區(qū)表（即MBR）分析如下：    第一個(gè)分區(qū)表項(xiàng)（C盤(pán)）第1字節(jié)80：表示此分區(qū)為活動(dòng)分區(qū)；第5字節(jié)0B：表示分區(qū)類(lèi)型為Fat32；第9、10、11、12字節(jié) 系統(tǒng)隱含扇區(qū)3F 00 00 00：所謂系統(tǒng)隱含扇區(qū)就是本分區(qū)（C盤(pán)）之前已用了的扇區(qū)數(shù)，這是一個(gè)十六進(jìn)制數(shù)，但要注意：真正的隱含扇區(qū)數(shù)應(yīng)該反過(guò)來(lái)填寫(xiě)（比如：隱含扇區(qū)數(shù)為3E 4D 5A 6F，則反過(guò)來(lái)就是6F 5A 4D 3E ，這才是實(shí)際的隱含扇區(qū)數(shù)）。那么，3F 00 00 00反過(guò)來(lái)寫(xiě)就是00 00 003F，也就是3F，將他轉(zhuǎn)成十進(jìn)制數(shù)我

10、們才能知道實(shí)際的隱含扇區(qū)數(shù)是多大。這可以使用計(jì)算器來(lái)算，單擊工具欄上的“計(jì)算器”按鈕，如下圖：   這樣就啟動(dòng)了計(jì)算器計(jì)算器有兩種型號(hào)，我們要進(jìn)行進(jìn)制轉(zhuǎn)換，就要選擇“科學(xué)型”  比如我們要將十六進(jìn)制3F轉(zhuǎn)換為十進(jìn)制，就要先選中“十六進(jìn)制”，然后輸入3F 再選中“十進(jìn)制”，十六進(jìn)制3F轉(zhuǎn)為十進(jìn)制等于63。想一想我們前面所講的，MBR占用63個(gè)扇區(qū)，也就是C盤(pán)之前已用了的扇區(qū)數(shù)為63，第64個(gè)扇區(qū)就是C盤(pán)的第一個(gè)扇區(qū)，但要注意的是，整個(gè)硬盤(pán)的LBA地址是從零開(kāi)始的，062的扇區(qū)為MBR。第13、14、15、16字節(jié)本分區(qū)總扇區(qū)數(shù)(當(dāng)然，這也就是C盤(pán)

11、的大小)：C1 E6 15 00，同樣，實(shí)際的十六進(jìn)制數(shù)也要反過(guò)來(lái)才對(duì)，也就是00 15 E6 C1，將它轉(zhuǎn)換成十六進(jìn)制數(shù)是1435329。給你出個(gè)題，你知道D盤(pán)的EBR在哪個(gè)扇區(qū)嗎？我們一起來(lái)算一下，還記得前面數(shù)據(jù)結(jié)構(gòu)那個(gè)表嗎？C盤(pán)后面不就是D盤(pán)的EBR嗎？D盤(pán)EBR的第一個(gè)扇區(qū)=MBR+C盤(pán)的大小，也就是 63+1435329=1435392。我們來(lái)看看對(duì)不對(duì)，單擊工具欄上的“轉(zhuǎn)到扇區(qū)”按鈕，出現(xiàn)一個(gè)“轉(zhuǎn)到扇區(qū)”對(duì)話框然后輸入1435392，再點(diǎn)“確定”，就到了1435392扇區(qū)了（你可以使用它再轉(zhuǎn)回到0扇區(qū)）這個(gè)就是D盤(pán)的EBR，也就是D盤(pán)的分區(qū)表了，怎么知道的呢？因?yàn)镸BR和EBR的結(jié)

12、構(gòu)是完全一樣的，都是占用了63個(gè)扇區(qū)，但只用了第一個(gè)扇區(qū)，其余62個(gè)扇區(qū)填零不用。第一個(gè)扇區(qū)前446個(gè)字節(jié)都為引導(dǎo)代碼，后64個(gè)字節(jié)為分區(qū)表，最后2個(gè)字節(jié)為55AA結(jié)束標(biāo)志。因?yàn)镋BR不是活動(dòng)分區(qū)，不需要引導(dǎo)代碼，所以前446個(gè)字節(jié)為零。還有另一種方法直接找到D盤(pán)的EBR，單擊“訪問(wèn)”下拉按鈕“分區(qū)二”“分區(qū)表”，直接就到1435392扇區(qū).這樣，分區(qū)表中的第一個(gè)分區(qū)表項(xiàng)共十六個(gè)字節(jié)分析完畢，下面我們?cè)賮?lái)看看第二個(gè)分區(qū)表項(xiàng)（擴(kuò)展分區(qū)）。第1字節(jié)00：表示非活動(dòng)分區(qū)第5字節(jié)05：表示擴(kuò)展分區(qū)第9、10、11、12字節(jié)00 E7 15 00：本分區(qū)之前的扇區(qū)數(shù)（擴(kuò)展分區(qū)前面也就是MBR和C盤(pán)，好像

13、我們前面算過(guò)這個(gè)數(shù)？）同樣，先將它反過(guò)來(lái)，就是00 15 E7 00 ，再轉(zhuǎn)為十進(jìn)制是1435392，看來(lái)我們前面真的算過(guò)這個(gè)數(shù)。第13、14、15、16字節(jié)40 09 29 00：本分區(qū)的總扇區(qū)數(shù)。也就是擴(kuò)展分區(qū)的總扇區(qū)數(shù)。轉(zhuǎn)為十進(jìn)制應(yīng)該是2689344。想一想，用這個(gè)數(shù)加上前面的1435392，不正好是整個(gè)硬盤(pán)的總扇區(qū)數(shù)4124736嗎？這樣，如果分區(qū)表被破壞，我們只要把這些數(shù)值都計(jì)算出來(lái)并填上，分區(qū)表不就恢復(fù)了？那么，這里我們?yōu)槭裁床环治龅?、3、4字節(jié)（本分區(qū)的起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)）和第6、7、8字節(jié)（本分區(qū)的結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)）呢？這是因?yàn)镃/H/S(柱面/磁頭/扇區(qū))

14、是老式硬盤(pán)的尋址方式，這種尋址方式來(lái)管理硬盤(pán)效率很低；而現(xiàn)在幾乎所有的硬盤(pán)都支持LBA(全稱(chēng)是Logic Block Address，即扇區(qū)的邏輯塊地址)尋址方式，這種管理方式簡(jiǎn)單高效。在LBA方式下，系統(tǒng)把所有的物理扇區(qū)都統(tǒng)一編號(hào)，按照從零到某個(gè)最大值排列，這樣只用一個(gè)序數(shù)就確定了一個(gè)唯一的物理扇區(qū)。小知識(shí)：具體一個(gè)硬盤(pán)有多少個(gè)LBA(扇區(qū))不需要我們?nèi)ビ洃?，因?yàn)橛酶鞣N工具軟件（如MHDD WINHEX等）都可以檢測(cè)到。我們只要知道個(gè)大概就行了：如10G的硬盤(pán)大概有2000萬(wàn)個(gè)扇區(qū)；20G的硬盤(pán)大概有4000萬(wàn)個(gè)扇區(qū)；40G的硬盤(pán)大概有8000萬(wàn)個(gè)扇區(qū)那么，2G的硬盤(pán)大概有400萬(wàn)個(gè)扇區(qū)。那

15、么，你可能要問(wèn)了：如果要恢復(fù)分區(qū)表，這個(gè)起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)還有結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)應(yīng)該怎么填呢？簡(jiǎn)單得很，在后面恢復(fù)分區(qū)表的時(shí)候我會(huì)告訴你，直接填，都不用計(jì)算。還有興趣來(lái)分析一下D盤(pán)的EBR嗎？其實(shí)D盤(pán)的EBR和盤(pán)的EBR我們不分析也罷，因?yàn)闊o(wú)非也是分區(qū)表，跟MBR的結(jié)構(gòu)是一樣的，但卻很容易把我們繞暈，又因?yàn)镋BR一般不容易被破壞，所以我不建議分析EBR。但如果你一定要分析，那就分析吧。單擊“訪問(wèn)”下拉按鈕“分區(qū)二”“分區(qū)表”，直接就到1435392扇區(qū)，即D盤(pán)的分區(qū)表EBR。第一個(gè)分區(qū)表項(xiàng)（D盤(pán)）：第1個(gè)字節(jié)00：表示非活動(dòng)分區(qū)第5個(gè)字節(jié)06：表示FAT16分區(qū)第9、10、11

16、、12字節(jié)3F 00 00 00：本分區(qū)之前已用了的扇區(qū)數(shù)，也就是EBR的數(shù)目，63個(gè)。第13、14、15、16字節(jié)C1 E6 15 00：本分區(qū)的總扇區(qū)數(shù)，也就是D盤(pán)的扇區(qū)數(shù)，先反過(guò)來(lái)排列就是00 15 E6 C1，轉(zhuǎn)為十進(jìn)制就是1435329。第二個(gè)分區(qū)表項(xiàng)（D盤(pán)后面的）：第1個(gè)字節(jié)00：表示非活動(dòng)分區(qū)第5個(gè)字節(jié)05：表示擴(kuò)展分區(qū)第9、10、11、12字節(jié)00 E7 15 00：本分區(qū)之前已用了的扇區(qū)數(shù)，也就是D盤(pán)的EBR加D盤(pán)總共的大小， 63+1435329=1435392第13、14、15、16字節(jié)40 22 13 00：本分區(qū)的總扇區(qū)數(shù)，1253952,也就是E盤(pán)的大小再加上一個(gè)E

17、BR的數(shù)目。單擊“訪問(wèn)”下拉按鈕“分區(qū)三”“分區(qū)表”，直接就到2870784扇區(qū)，即E盤(pán)的分區(qū)表EBR。因?yàn)镋盤(pán)后面沒(méi)有分區(qū)了，所以沒(méi)有第二個(gè)分區(qū)表項(xiàng)。這里我們就不再研究了，有興趣的話可以自己多備一塊硬盤(pán)作從盤(pán)，然后自己分分區(qū)研究研究。通過(guò)以上的研究我們總結(jié)一下，MBR在定義分區(qū)的時(shí)候，將多余的容量定義為擴(kuò)展分區(qū)，指定該擴(kuò)展分區(qū)的起止位置，根據(jù)起始位置指向硬盤(pán)的某一個(gè)扇區(qū)，作為下一個(gè)分區(qū)表項(xiàng)，接著在該扇區(qū)繼續(xù)定義分區(qū)，如果只有一個(gè)分區(qū)，就定義該分區(qū)，然后結(jié)束；如果不止一個(gè)分區(qū)，就定義一個(gè)基本分區(qū)和一個(gè)擴(kuò)展分區(qū)，擴(kuò)展分區(qū)再指向下一個(gè)分區(qū)描述扇區(qū)，在該分區(qū)上按照上述原則繼續(xù)定義分區(qū)，直至分區(qū)定義結(jié)

18、束。這些用來(lái)描述分區(qū)的扇區(qū)形成一個(gè)“分區(qū)鏈”，通過(guò)這個(gè)分區(qū)鏈，就可以描述所有的分區(qū)。系統(tǒng)在啟動(dòng)時(shí)按照分區(qū)鏈的連接順序查找分區(qū)，直至找出所有分區(qū)。這個(gè)鏈顯然是個(gè)開(kāi)鏈結(jié)構(gòu)，如果形成一個(gè)環(huán)，系統(tǒng)本身并不會(huì)去判斷它，它只是按照這個(gè)鏈忠實(shí)的查找分區(qū)，而不進(jìn)行任何額外的檢測(cè)與處理。所謂硬盤(pán)邏輯鎖，就是讓分區(qū)鏈形成一個(gè)環(huán)，這樣系統(tǒng)在啟動(dòng)時(shí)就在分區(qū)表內(nèi)循環(huán)，表現(xiàn)為系統(tǒng)無(wú)法引導(dǎo)，就是從軟盤(pán)啟動(dòng)，也不能進(jìn)入硬盤(pán)。明白了其結(jié)構(gòu)原理，解決這個(gè)問(wèn)題就簡(jiǎn)單了，目前有很多種方法解決這個(gè)問(wèn)題，后面我們還會(huì)講到。系統(tǒng)就是利用這種方法使一個(gè)硬盤(pán)分區(qū)后看起來(lái)象多個(gè)硬盤(pán)。系統(tǒng)能夠找到C盤(pán)以外的其他邏輯盤(pán)的唯一辦法就是，沿著EBR所描

19、述的分區(qū)鏈查找分區(qū)。其實(shí)，通常情況下EBR是不會(huì)被破壞的，或者破壞的幾率極低極低，通常情況下，都是只有MBR被破壞，那么這種情況下，我們只要把MBR的分區(qū)表64個(gè)字節(jié)復(fù)原，其他的分區(qū)順著分區(qū)表所提供的鏈自然而然就出來(lái)了。那么，如何才能將分區(qū)表復(fù)原呢？這就要通過(guò)計(jì)算結(jié)合Winhex強(qiáng)大的功能來(lái)實(shí)現(xiàn)了。下面我們就來(lái)模仿分區(qū)表被病毒破壞的情況，將MBR全部填零。我們首先將MBR所在的扇區(qū)選中。鼠標(biāo)指向第一個(gè)字節(jié)，單擊右鍵，選擇“選塊開(kāi)始”然后鼠標(biāo)指向MBR的最后一個(gè)字節(jié)，單擊右鍵，選擇“選塊結(jié)尾”然后我們?cè)谶x區(qū)內(nèi)部單擊鼠標(biāo)右鍵，選擇“編輯”這樣就有出來(lái)一個(gè)菜單然后我們選“填充選塊”，這樣就出來(lái)一個(gè)填

20、充選塊對(duì)話框在“用十六進(jìn)制填充”的輸入框中輸入“00”，再點(diǎn)“確定”這樣MBR所在扇區(qū)全部被我們填充為“00”如果想取消選區(qū)，那就用鼠標(biāo)拖動(dòng)隨便選中一塊區(qū)域，那么原來(lái)的選區(qū)就會(huì)取消。注意，如果扇區(qū)數(shù)據(jù)被修改了而沒(méi)有存盤(pán)就會(huì)變?yōu)閯e的顏色。修改了扇區(qū)，這時(shí)候還沒(méi)有存盤(pán)生效，如果你想存盤(pán)生效的話，就選擇“文件”菜單“保存扇區(qū)”命令。這時(shí)候就會(huì)出現(xiàn)一個(gè)提示，如果你不想存盤(pán)了就點(diǎn)取消，如果想存盤(pán)，就點(diǎn)確定，再點(diǎn)是。好，這樣就存盤(pán)了，扇區(qū)被修改的數(shù)據(jù)又變?yōu)楹谏?。這樣我們就把分區(qū)表給刪除了，這時(shí)候必須重新啟動(dòng)才能生效，如果你打開(kāi)我的電腦，會(huì)發(fā)現(xiàn)三個(gè)分區(qū)（F 、G、 H）還在那里，并且里面的數(shù)據(jù)還能正常使用。

21、現(xiàn)在，我們關(guān)閉所有程序?qū)㈦娔X重新啟動(dòng)經(jīng)過(guò)不長(zhǎng)時(shí)間的等待，電腦啟動(dòng)起來(lái)了，我們打開(kāi)我的電腦看看，發(fā)現(xiàn)F 、G 、H三個(gè)分區(qū)不見(jiàn)了。 再打開(kāi)Winhex發(fā)現(xiàn)MBR全部為零了，下面我們就著手開(kāi)始手工恢復(fù)分區(qū)表首先恢復(fù)引導(dǎo)代碼，這最簡(jiǎn)單了，只要用Winhex到別的系統(tǒng)盤(pán)把引導(dǎo)代碼復(fù)制過(guò)來(lái)就行了。我現(xiàn)在的機(jī)器上不是掛著兩個(gè)硬盤(pán)嗎？一個(gè)邁拓2G，一個(gè)西數(shù)40G，西數(shù)40G是我的系統(tǒng)盤(pán)，那就從這個(gè)盤(pán)上復(fù)制就行了。單擊“磁盤(pán)編輯器”按鈕出現(xiàn)“編輯磁盤(pán)”對(duì)話框選擇“HD0 WDC WD400EB-00CPF0”,點(diǎn)“確定”這樣我們就把系統(tǒng)盤(pán)的分區(qū)表給打開(kāi)了，注意，現(xiàn)在我們是打開(kāi)了兩個(gè)窗口，當(dāng)前的窗口是

22、“硬盤(pán)0”，在標(biāo)題欄上有顯示。另外，打開(kāi)窗口菜單也能看出來(lái)，當(dāng)前窗口被打上一個(gè)勾，如果想切換回原來(lái)的窗口，就點(diǎn)擊“硬盤(pán)1”。首先選中系統(tǒng)盤(pán)的引導(dǎo)代碼然后在選區(qū)中單擊鼠標(biāo)右鍵，選“編輯”又出來(lái)一個(gè)菜單，然后我們選“復(fù)制選塊”“正?！比缓笪覀兦袚Q回硬盤(pán)1窗口，在零扇區(qū)的第一個(gè)字節(jié)處單擊鼠標(biāo)右鍵，選“編輯”然后選“剪貼板數(shù)據(jù)”“寫(xiě)入”出現(xiàn)一個(gè)窗口提示，點(diǎn)“確定”這樣，我們就把一個(gè)正常系統(tǒng)盤(pán)上的引導(dǎo)代碼復(fù)制過(guò)來(lái)了。下面，我們就開(kāi)始恢復(fù)分區(qū)表（共64個(gè)字節(jié)，分為4個(gè)分區(qū)表項(xiàng)，每個(gè)分區(qū)表項(xiàng)占用16個(gè)字節(jié)，一般只使用前兩個(gè)分區(qū)表項(xiàng)），我們首先來(lái)恢復(fù)第一個(gè)分區(qū)標(biāo)項(xiàng)（也就是用來(lái)描述C盤(pán)的）。首先，在第1個(gè)字節(jié)處

23、（0扇區(qū)倒數(shù)第五行，倒數(shù)第二個(gè)字節(jié)）填上分區(qū)引導(dǎo)標(biāo)志，因?yàn)镃盤(pán)是活動(dòng)分區(qū)，所以填上80。接著是第2、3、4字節(jié)（本分區(qū)起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)），填上：01 01 00。第5字節(jié)是分區(qū)類(lèi)型符，因?yàn)樵菴盤(pán)是Fat32格式，所以填上：0B。那么，如果你不知道C盤(pán)是什么格式怎么辦呢？你會(huì)說(shuō)問(wèn)問(wèn)客戶呀，那么如果他也不知道呢？別著急，后面在說(shuō)恢復(fù)DBR的時(shí)候我會(huì)教你怎么分辨分區(qū)的格式。第6、7、8字節(jié)是本分區(qū)的結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)，這怎么知道呢？別著急，現(xiàn)在的磁盤(pán)都是按照LBA方式尋址，并不按照C/H/S(及柱面、磁頭、扇區(qū))方式尋址，所以這個(gè)地方你填些什么一般關(guān)系不大，但是我要告訴你有一個(gè)通

24、用的填法，那就是：FE FF FF。第9、10、11、12字節(jié)，本分區(qū)之前已用了的扇區(qū)數(shù)，也就是MBR所占用的扇區(qū)數(shù)，那不是63嗎？對(duì)，但是要將63轉(zhuǎn)為十六進(jìn)制數(shù)，再反過(guò)來(lái)倒著填寫(xiě)上。還記得怎么用計(jì)算器嗎？將63轉(zhuǎn)為十六進(jìn)制數(shù)是3F，不夠四個(gè)字節(jié)前面加零，也就是00 00 00 3F，再將此數(shù)從右向左依次序反過(guò)來(lái)就是3F 00 00 00。第13、14、15、16字節(jié)是本分區(qū)的總扇區(qū)數(shù)，也就是C盤(pán)的大小，這就要通過(guò)稍微一點(diǎn)點(diǎn)計(jì)算來(lái)得到了。因?yàn)镃盤(pán)是從第63個(gè)扇區(qū)開(kāi)始，而C盤(pán)后面緊接著的是EBR，所以用EBR所在的第一個(gè)扇區(qū)數(shù)減去63就是C盤(pán)的大小。那么如何才能找到EBR所在的第一個(gè)扇區(qū)呢？我們

25、前面說(shuō)過(guò)，EBR的結(jié)構(gòu)和MBR是一樣的，所以，EBR的結(jié)束標(biāo)志也一定是55AA，那么，只要我們找到這個(gè)結(jié)束標(biāo)志，再看看這個(gè)扇區(qū)是不是EBR不就行了？單擊“搜索”“查找十六進(jìn)制數(shù)值”，然后出來(lái)一個(gè)對(duì)話框在文本框中輸入“55AA”，搜索框中選“全部”，然后選中“條件”，把偏移量設(shè)置為“512=510”。再單擊“確定”。畫(huà)面如下：首先找到第一個(gè)“55AA”，我們看到，個(gè)扇區(qū)在第63個(gè)扇區(qū)上，并不是我們要找的EBR，再按F3繼續(xù)查找又找到好幾個(gè)扇區(qū)，都不是，那么下面這個(gè)扇區(qū)是不是？前面我們說(shuō)過(guò)，EBR的結(jié)構(gòu)和MBR的結(jié)構(gòu)是一樣的，所以在倒數(shù)第五行倒數(shù)第二個(gè)字節(jié)應(yīng)該是00 01，并且前446個(gè)字節(jié)應(yīng)該是

26、0，顯然這也不是EBR，繼續(xù)按F3查找終于找到了真正的EBR，在1435392扇區(qū)。小技巧：現(xiàn)在的硬盤(pán)都比較大，要逐個(gè)扇區(qū)的查找55AA確實(shí)太慢了，那么有沒(méi)有辦法快點(diǎn)呢？有，那就是先問(wèn)問(wèn)客戶C盤(pán)大概有多大，大多數(shù)客戶還是知道的，比如他說(shuō)C盤(pán)大概有10個(gè)G，那么你就不要從頭開(kāi)始找了，因?yàn)槟菍?shí)在太慢了。10個(gè)G大概是2000萬(wàn)個(gè)扇區(qū)，那么你可以用轉(zhuǎn)到扇區(qū)命令直接到1900萬(wàn)扇區(qū)，從那個(gè)地方再開(kāi)始找不就省事多了。用1435392減去63，得到1435329，再轉(zhuǎn)為16進(jìn)制，就是15E6C1，將他倒轉(zhuǎn)過(guò)來(lái)就是C1E61500，這就是C盤(pán)的大小。這樣，第一個(gè)分區(qū)表項(xiàng)填寫(xiě)完畢，我們保存一下，再接著填寫(xiě)第二

27、個(gè)分區(qū)表項(xiàng)。第二個(gè)分區(qū)表第1個(gè)字節(jié)：因?yàn)槭欠腔顒?dòng)分區(qū)，所以寫(xiě)00第2、3、4字節(jié)，填寫(xiě)01 01 00（通用的）第5字節(jié)：因?yàn)槭菙U(kuò)展分區(qū)，所以填寫(xiě)0F第6、7、8字節(jié)：填寫(xiě)FE FF FF(通用)第9、10、11、12字節(jié)是本分區(qū)之前已用了的扇區(qū)數(shù)，應(yīng)該就是C盤(pán)大小加63，也就是1435392，前面剛計(jì)算出來(lái)的，轉(zhuǎn)為十六進(jìn)制數(shù)再反過(guò)來(lái)就是00 E7 15 00第13、14、15、16字節(jié)是本分區(qū)的總扇區(qū)數(shù)，也就是擴(kuò)展分區(qū)的總扇區(qū)數(shù)，也就是用整個(gè)硬盤(pán)的大小減去C盤(pán)的大小再減去63，即4124736-1435329-63=2689344，轉(zhuǎn)為十六進(jìn)制就是290940，反過(guò)來(lái)就是40092900。&

28、#160;這樣，第二個(gè)分區(qū)表項(xiàng)就填寫(xiě)完了。不要忘了把最后的結(jié)束標(biāo)志55AA填上，這樣，MBR就全恢復(fù)完了，最后，保存，再重新啟動(dòng)啟動(dòng)完畢，迫不及待的打開(kāi)我的電腦，發(fā)現(xiàn)三個(gè)分區(qū)全部又回來(lái)了，并且里面的數(shù)據(jù)完好無(wú)損。再右擊“我的電腦”，選“管理” 出現(xiàn)一個(gè)對(duì)話框，選“磁盤(pán)管理”，在右邊可以看到磁盤(pán)一的三個(gè)分區(qū)(Fat32、Fat16、Ntfs)全部都回來(lái)了，至此，手工恢復(fù)分區(qū)表順利完成。手工恢復(fù)數(shù)據(jù)恢復(fù)成功率比較高，而且比較有趣味和挑戰(zhàn)性，能找回許多傻瓜似的軟件所找不回來(lái)的文件，但是要求工程師一定要有耐性，而且一定要保持清醒，清楚自己正在操作什么，操作完了會(huì)有什么后果，能不能退回到上一步

29、狀態(tài)。特別是對(duì)一些破壞性操作，一定要考慮周到，只要條件允許，就一定要在操作之前進(jìn)行備份，否則會(huì)造成“血”的教訓(xùn)，切記！下面我們會(huì)說(shuō)到手工恢復(fù)DBR、FAT（此教程被收錄在付費(fèi)教程中），這些比手工恢復(fù)分區(qū)表還要復(fù)雜，更需要大量的計(jì)算。再說(shuō)完了使用Winhex手工恢復(fù)數(shù)據(jù)之后，我們會(huì)說(shuō)到一些數(shù)據(jù)恢復(fù)軟件，結(jié)合數(shù)據(jù)恢復(fù)軟件會(huì)使數(shù)據(jù)恢復(fù)成功率大大提高，但有一些軟件在掃描過(guò)程中會(huì)對(duì)原盤(pán)破壞數(shù)據(jù)，在使用中一定要謹(jǐn)慎！而且同一個(gè)軟件，一個(gè)新手用和一個(gè)老手用數(shù)據(jù)恢復(fù)成功率絕對(duì)是不一樣的，這些軟件我們會(huì)免費(fèi)贈(zèng)送，絕對(duì)不會(huì)讓你學(xué)習(xí)了資料卻找不到軟件的。FAT文件系統(tǒng)下的手工數(shù)據(jù)恢復(fù)案例關(guān)鍵詞：數(shù)據(jù)恢復(fù)，數(shù)據(jù)恢復(fù)資

30、料，數(shù)據(jù)恢復(fù)技術(shù)本文針對(duì)FAT分區(qū)。使用工具：winhex（非數(shù)據(jù)恢復(fù)專(zhuān)用）磁盤(pán)的具體存儲(chǔ)原理，這里我解釋一下：1、剩余扇區(qū)是什么：剩余扇區(qū)有分區(qū)內(nèi)的剩余扇區(qū)和整個(gè)磁盤(pán)的剩余扇區(qū)。先說(shuō)分區(qū)內(nèi)的扇區(qū)：描述磁盤(pán)容量的單位是扇區(qū)，分區(qū)內(nèi)部又是采用簇來(lái)管理的。通常情況下，扇區(qū)的容量是512b,簇的單位容量大于等于扇區(qū)的容量。以具體事例來(lái)講，一個(gè) 7gb的fat32分區(qū)，其簇的大小是4k,相當(dāng)于8個(gè)扇區(qū)，而分區(qū)內(nèi)的存儲(chǔ)單位是4k,分區(qū)的扇區(qū)總數(shù)如果不是8的倍數(shù)，那余下來(lái)的扇區(qū)便是剩余扇區(qū)了。整個(gè)磁盤(pán)的剩余扇區(qū)與上述原理相似，不同的是，每個(gè)分區(qū)的結(jié)束必須以254頭，63扇為結(jié)束（也應(yīng)該是老的磁盤(pán)管理模式留

31、下的弊端吧！雖然分區(qū)內(nèi)是以線性邏輯扇區(qū)為首要參數(shù)的）也就是說(shuō)，如果磁盤(pán)的總?cè)萘空梅植粌粢粋€(gè)柱面的容量(1*254*63*512b=8193024b),那么，剩下的容量便是整個(gè)磁盤(pán)的剩余扇區(qū)了，其最大也就是大約7.8m。這也是通常情況下，分區(qū)的最小容量是7.8m，分區(qū)容量是8193024b倍數(shù)的原因。（簡(jiǎn)圖并未畫(huà)出整個(gè)磁盤(pán)的剩余扇區(qū)，大家理解吧!)2、對(duì)于fat32的保留扇區(qū)的數(shù)目，一般來(lái)說(shuō)是32個(gè)，但也不肯定是，有時(shí)候可能會(huì)是38個(gè)或其他數(shù)目，當(dāng)然也可以在dbr中的bpb（bios parameter block）參數(shù)表中更改，后面要講到在數(shù)據(jù)恢復(fù)中了解他的重要性。（dbr的參數(shù)說(shuō)明到數(shù)據(jù)恢

32、復(fù)網(wǎng) 找找）3、在小容量的磁盤(pán)分區(qū)中也存在fat16的分區(qū)格式，原理嗎？和軟盤(pán)的存儲(chǔ)原理相，見(jiàn)數(shù)據(jù)恢復(fù)網(wǎng) “反黑行動(dòng)之?dāng)?shù)據(jù)恢復(fù)”。下面我們進(jìn)入實(shí)戰(zhàn)：第一種情況，分區(qū)被格式化。如果格式化以后，當(dāng)然可以用現(xiàn)成的數(shù)據(jù)恢復(fù)軟件來(lái)恢復(fù)，但軟件畢竟是軟件，并不能應(yīng)對(duì)多變的復(fù)雜的情況。而手工不同，如果對(duì)磁盤(pán)結(jié)構(gòu)了解，是可以最大程度的恢復(fù)的。我們拋開(kāi)數(shù)據(jù)恢復(fù)軟件來(lái)看和通過(guò)手工來(lái)恢復(fù)被格式化的磁盤(pán)分區(qū)。對(duì)于fat格式的分區(qū)（包括fat16)，format命令會(huì)重建dbr扇區(qū)，清空兩個(gè)fat表，清空分區(qū)的第一個(gè)簇（存放原根目錄）。不管是快速格式化還是完全格式化（快速格式化和完全格式化的區(qū)別在于他們是否對(duì)所涉及到的

33、磁盤(pán)扇區(qū)進(jìn)行檢測(cè)掃描，清除上面的數(shù)據(jù)事都要做得)。對(duì)于dbr，分區(qū)只要正確格式化就會(huì)生成正確的dbr,故而重點(diǎn)是fat表和原根目錄（如果原根目錄大于一個(gè)簇，這僅僅是第一個(gè)簇，為了方便，以后就以原根目錄稱(chēng)）的問(wèn)題。如果你格式花前備份了此分區(qū)的fat表和根目錄。那么，只要將dbr初始化，恢復(fù)fat表和根目錄即可完全恢復(fù)數(shù)據(jù)。不過(guò)，既然是被格式化，那一定沒(méi)有fat表和根目錄的備份（廢話?。＠^續(xù)：先說(shuō)根目錄，跟目錄的第一扇一但清空，別無(wú)法找回了。所以，格式化前存儲(chǔ)在根目錄的文件就會(huì)因其在第一扇存儲(chǔ)的文件特征描述表丟失而很難找回了，除非你知道文件中包含的特征字符串，根據(jù)其在整個(gè)分區(qū)內(nèi)查找，又確定文件的

34、大小，而恰好要恢復(fù)的文件又是在磁盤(pán)內(nèi)連續(xù)存儲(chǔ)的。再說(shuō)fat表，fat表的丟失對(duì)交叉存儲(chǔ)的文件來(lái)說(shuō)是幾乎毀滅的災(zāi)難。原則上如果丟失，就只能恢復(fù)從文件第一簇開(kāi)始的連續(xù)幾簇了。但一般如要恢復(fù)的文件較小或分區(qū)并未經(jīng)過(guò)頻繁的文件刪增的話， 還是有希望的。手動(dòng)填寫(xiě)fat表是不現(xiàn)實(shí)的，我們只好先讓原來(lái)的目錄結(jié)構(gòu)重現(xiàn)，再想辦法。windows的磁盤(pán)文件格式是tree型的，格式化只是將tree的根折，在根折斷以后，其實(shí)就象生成了多顆tree（想想數(shù)據(jù)結(jié)構(gòu)）。如果我們要恢復(fù)的文件全部位于一個(gè)子目錄當(dāng)中。那好了，我們只要將這顆子樹(shù)的樹(shù)根放入原tree 的根位置上，即可生成一顆新樹(shù)。推介使用winhex,下面以win

35、hex為例具體而言，首先，若磁盤(pán)未格式化或格式化格式不太正確，先格式化，以生成可參照的dbr和fat表。接著我們?cè)诜謪^(qū)中尋找相關(guān)的字符串來(lái)確定此子樹(shù)的'根'位置。，如記得原目錄中有sjhfnet.txt的文件（選擇其他目錄沒(méi)有或很少有此文件名的文件），可在整個(gè)分區(qū)內(nèi)查找'sjhfnet txt',再根據(jù)相關(guān)特征確定。這時(shí)候注意一下，我們需要目錄中提供的'.'目錄來(lái)推測(cè)原分區(qū)的一些特性，主要是dbr中的bpb參數(shù)，如保留扇區(qū)的數(shù)目。（一般是不不會(huì)錯(cuò)的，但如果有那怕一個(gè)扇區(qū)的出入，整個(gè)分區(qū)中目錄的映射將不能套用，還是看看吧！），是不是要問(wèn)，'

36、.'目錄是什么？學(xué)過(guò)dos的人都知道，目錄'.' 表當(dāng)前所在目錄，'.'表上級(jí)目錄，在32個(gè)子節(jié)的目錄項(xiàng)中，包含有和其他目錄項(xiàng)相同的特征，我們關(guān)心目錄的位置（在原分區(qū)格式的第幾個(gè)簇中），他應(yīng)該是等于他所在的簇號(hào)的！也就是看一下偏移量為15h 14h 1bh 1ah的數(shù)值是否等于現(xiàn)在簇號(hào)。在winhex中格式化后的磁盤(pán)可清楚的列出當(dāng)前簇的簇號(hào)，可比較一下（可能需要16進(jìn)制與10進(jìn)制的轉(zhuǎn)換）。相同不說(shuō)了，如果不相同，也應(yīng)該相差不多。計(jì)算一下相差的簇的數(shù)目，然后在本分區(qū)dbr扇區(qū)的0eh0fh作相應(yīng)增減，是保留扇區(qū)的數(shù)目回到原來(lái)的數(shù)目。重起一下計(jì)算機(jī)，是新的d

37、br生效，清空現(xiàn)fat表（根目錄簇可以不清空，因后邊講到會(huì)覆蓋的）。文件目錄項(xiàng)的映射與實(shí)際地址便正確的結(jié)合了。（不明白嗎？想想原理，努力消化一下）接著將找到的簇復(fù)制-定位到現(xiàn)在的根目錄-寫(xiě)入。打開(kāi)“資源管理器“，瀏覽，出來(lái)了嗎？慢！還沒(méi)完，現(xiàn)在的目錄結(jié)構(gòu)是出來(lái)了，但還不能訪問(wèn)，因?yàn)閒at表所記錄的簇還是空閑的。怎么辦？手動(dòng)寫(xiě)，算一下，可能寫(xiě)完得30年吧！呵呵！哪。，其實(shí)，如果要恢復(fù)的文件大小都在1簇范圍內(nèi)，可在win98下運(yùn)行磁盤(pán)掃描程序，在出現(xiàn)修復(fù)的提示時(shí)選相應(yīng)的選象修復(fù)即可（別選“刪除涉及到的文件”選項(xiàng)，另外，win2000下不行，掃描程序會(huì)直接刪除文件的）。這樣，大小在1簇范圍的文件別完

38、全恢復(fù)了（包括文件）。那如何在這種情況下恢復(fù)大于1個(gè)簇的文件呢？一是你可以寫(xiě)一個(gè)小的程序來(lái)實(shí)現(xiàn)涉及到的簇的連續(xù)。如果你不會(huì)，那么也不難，得一個(gè)一個(gè)文件的來(lái)。打開(kāi)winhex,使用它的目錄模板跳轉(zhuǎn)到文件的存儲(chǔ)區(qū)，從當(dāng)前簇復(fù)制大小為文件大小的一塊連續(xù)數(shù)據(jù)，寫(xiě)入新文件中（記得寫(xiě)在其他分區(qū)中），即可！當(dāng)然，如果簇?cái)?shù)較少，可直接在fat1中改動(dòng)。另外，這樣恢復(fù)的文件也不一定正確。要看當(dāng)初文件的存儲(chǔ)是否連續(xù)了？如果恢復(fù)后的文件不能用，那。聽(tīng)天由命吧?。ㄒ茨阍诖疟P(pán)中在查找，分析，自己把它連接起來(lái)。不過(guò)，工作量嗎？。）這樣恢復(fù)的是以前一個(gè)子目錄的數(shù)據(jù)。如果有多個(gè)目錄的數(shù)據(jù)要恢復(fù)，可用同樣的方法替換根目錄（第

39、一個(gè)數(shù)據(jù)簇），也可以采用手動(dòng)建立根目錄的方法，不過(guò)，別在資源管理器中進(jìn)行，手動(dòng)在winhex中做吧！還有，要是恢復(fù)的目錄中有多個(gè)簇，再用同樣的方法，查找，作為根目錄。這是分區(qū)格式為fat32的情況，如fat16則不需考慮保留扇區(qū)的數(shù)目情況，fat16無(wú)保留扇區(qū)。這是有目錄項(xiàng)的情況。再來(lái)說(shuō)一下在無(wú)目錄項(xiàng)參照的情況：以下默認(rèn)為欲恢復(fù)文件是存儲(chǔ)在FAT32文件格式當(dāng)中的文件。假如你的磁盤(pán)已經(jīng)被xxx破壞的一塌糊涂?；蛘咭呀?jīng)經(jīng)過(guò)了N位高手二次處理"加工"過(guò)了，什么工具軟件都用過(guò)了！結(jié)果仍然沒(méi)有看到你需要的數(shù)據(jù)的影子?；蛘吣阋謴?fù)的數(shù)據(jù)本來(lái)就很少（若干源代碼，或是若干論文，若干小的數(shù)

40、據(jù)庫(kù)，或是確認(rèn)在數(shù)據(jù)丟失前正好做了磁盤(pán)碎片整理），不值得采用我上面采用的方法。你可以采用在磁盤(pán)內(nèi)通過(guò)查找的方法，總結(jié)來(lái)找回?cái)?shù)據(jù)（不要笑，有技巧的，況且，也許這是唯一的方法?。┛梢酝ㄟ^(guò)磁盤(pán)文件的存儲(chǔ)特征和文件固有的類(lèi)型特征來(lái)考慮?？催^(guò)反黑行動(dòng)之?dāng)?shù)據(jù)恢復(fù)（風(fēng)般的男人著）應(yīng)該可以知道，文件在磁盤(pán)內(nèi)至少是以扇區(qū)為單位的，也就是說(shuō)，每個(gè)文件在磁盤(pán)內(nèi)實(shí)際存儲(chǔ)的開(kāi)始，一定是某扇區(qū)的開(kāi)始。這是其一，其二是每種類(lèi)型的文件都有其特定的文件標(biāo)志，可根據(jù)文件的特定標(biāo)志（通常還是在文件的開(kāi)頭）與其在磁盤(pán)的位置來(lái)圈定。如果是文本文件，可通過(guò)在磁盤(pán)內(nèi)查找特征字串的方法來(lái)找到。不過(guò)，稍有知識(shí)的人是都知道的，不說(shuō)了。（還是使用

41、winhex吧！硬盤(pán)速度可以的話，應(yīng)該查找1G的空間不超過(guò)1分鐘)我們來(lái)通過(guò)具體的例子看一看已加密或無(wú)明顯特征字串的情況（這是最通常的情況）。以一Office文檔的恢復(fù)為例。Office文檔的實(shí)際構(gòu)成總是以“00000000 D0 CF 11 E0 A1 B1 1A E1 00 00 00 00 00 00 00 00 邢.唷?.”開(kāi)頭，以下列二進(jìn)制特征為尾：-00148940 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF00148950 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF00148960 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF00148970 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF00148980 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF00148990 FF FF FF FF FF FF FF