用WinHex解析分区表

最新推荐文章于 2024-05-27 09:51:20 发布
置顶 最新推荐文章于 2024-05-27 09:51:20 发布
阅读量1.9w 收藏 54
点赞数 7
分类专栏: 信息安全_计算机病毒原理 欢迎关注我的公众号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KoalaZB/article/details/53015244
版权

在这里插入图片描述

一、Winhex打卡磁盘主引导扇区

利用Winhex软件,打开磁盘主引导扇区,查看磁盘主分区表,计算各分区的大小和起始位置

1. 主引导扇区介绍

主引导记录(446字节)(0000 – 01BD)
分区表项1 (16字节) (01BE – 01CD)
分区表项2(16字节) (01CE – 01DD)
分区表项3(16字节) (01DE – 01ED)
分区表项4(16字节) (01EE – 01FD)
结束标志(2字节“55 AA”) (01FE 01FF)

2. 主分区表(DPT)

DPT

3. 计算各分区的大小和起始位置

分区 & 偏移位置 & 分区大小 表格如下

分区偏移位置分区大小容量
100 00 08 000C 80 08 00100GB
20C 80 10 002C 79 10 00355GB

(1)分区1第一字节为80,为活动分区;第五字节为07,文件类型为NTFS
(2)分区2第一字节为00,非活动分区;第五字节为0F,为主扩展分区

二、用Winhex查看磁盘扩展分区

利用Winhex软件,打开磁盘扩展分区,逐个查找每个扩展分区的大小和起始位置**

扩展分区表四个分区表项内容介绍

  • 第一项代表当前分区
  • 第二项如果存在代表存在下一个扩展分区,如果没有则扩展分区结束
  • 第三、四项为空

扩展分区

物理位置:0C 80 10 00 = 00 00 00 00 + offset(0C 80 10 00)

Extend1
本扩展分区位置:00 00 08 00,大小:16 80 00 00 (180GB)
后续扩展分区位置:16 80 08 00,大小:15 F9 08 00 (175GB)

后续扩展分区物理位置等于扩展分区物理位置+偏移地址

第二扩展分区物理地址:0C 80 10 00 + 16 80 08 00 = 23 00 18 00

跳转到物理地址: 23 00 18 00

extend2
本扩展分区位置:00 00 08 00,大小: 15 F9 00 00 (175GB)

扩展分区结束

文献参考:《计算机病毒与反病毒技术》2006-6-1清华大学出版社出版,作者:张仁斌,李钢,侯整风

KoalaZB
关注
  • 7
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
winhex十六进制查看编辑工具
10-30
winhex十六进制查看编辑工具
winhex扇区查看工具
01-05
扇区查看工具,方便查看扇区结构,辅助编写文件系统,特别是对于在CF、SD等存储媒介上编写文件系统。
WinHex软件 FAT32文件系统解析与提出
weixin_51624616的博客
05-27 1999
通常DBR位于文件系统的“”,用于记录分区中文件系统数据区对应簇的使用状态及文件不连续状态下的前后链接关系。FAT32文件系统中,统一在数据区的根目录区为根目录创建目录项,并由FAT表为文件的内容分配簇来存放数据。用“(文件夹位置-根目录位置)*每簇扇区数”得出文件夹的实际位置。读取第四列“A”“B”处数据 ,读取到的数据为“1971”,读取第二行“C”"D""E""F"处数据,读取到的数据为“读取第二行“C”"D""E""F"处数据,读取到的数据为“数据区的起始位置为根目录的起始位置,根目录位置固定为。
WINHEX查看磁盘主引导记录和主分区表
06-22
利用winhex查看磁盘主引导记录和主分区表的过程,比较基础
winhex解析分区表
weixin_33743248的博客
06-26 1761
打开winhex后,按F9选择硬盘设备,先补充下分区表的基础知识; 1个扇区=512字节,分区扇区从0~62,分区磁头从0~254 C(柱面)/H(磁头)/S(扇区)模式支持最大容量硬盘为1023*63*255*512/2^30=7.83G 因此,以现在目前的硬盘分区表只能用LBA模式的扇区数来标示 80:表示第一引导启动,C/H/S模式:(00 01 01表示C...
解读分区表的秘密
weixin_34025051的博客
07-18 204
解读分区表的秘密 前几天写了一篇介绍恢复误Ghost硬盘的博文,反响出乎意料,很多博友对数据恢复表现出了浓厚的兴趣,希望能对数据恢复作进一步了解。其中大家反映较多的就是希望能看懂分区表的格式,乍一看,由16进制数组成的分区表让人望而生畏,如同天书一般。其实,只要理解了分区表参数的含义,天书也就不难读懂了。今天我们就来介绍一下分区表参数,帮助大家掌握分区表。 介绍分区表之前,大家要先准备一些硬盘...
winhex 查看主分区表
05-05
c语言编写查看硬盘主分区表项,磁盘大小,每扇区的字节数,磁道扇区数等等
使用WinHex调整分区表
weixin_30892763的博客
06-14 1066
一、问题描述 打开分区提示是否要格式化,这是千万不要格式化,出现这种情况一般是分区表出了问题,如下图所示: 二、分析问题 这时我们打开WinHex来分析一下: 这块硬盘的分区情况是3个主分区,前两个分区没问题,打开第3个分区提示MFT错误,如图: 把偏移值(offset)记下来(我使用系统记事本)。 打开有问题的分区(第3个),定为到偏移值0。如下图: ...
winhex教程叫你如何查看磁盘扇区
10-27
查看磁盘扇区的二位码数据,让你轻易格式化和改写磁盘存储空间
Winhex手动修复分区表
08-30
数据无价_硬盘数据恢复_一步一步用Winhex手动修复分区表以提取数据.
使用winhex查看SD卡文件的物理扇区地址
耐心的小黑的博客
04-22 7598
一、前言 最近在一个工程中需要读取存放在SD卡中的图片数据,在格式化了SD卡之后,我把.bin格式的图片数据使用读卡器移动到了SD卡中。然后将读取SD卡的程序的bit流下载进了FPGA中,之前是可以正常读取数据的,可是这次我用ILA监测读取的数据时,发现读取的数据全都是0,但是一些标志信号如读取开始、读取有效等都是正确的,说明读取动作是没有问题的。 于是我就思考为什么会出现这种情况?最后发现是代码中设置的要读取的文件的物理扇区地址不对,可能是因为格式化之后再次将图片数据拷贝到SD卡时,物理扇区地址发生了变化
搜集的可用于WInhex解析模版
最新发布
06-16
综上所述,这个压缩包提供的Winhex解析模版是电子取证和底层数据分析的强大工具,能帮助专业人士深入探索和理解存储在各种媒介上的复杂数据。通过熟练掌握和应用这些模版,可以提高工作效率,揭示隐藏的信息,并在...
winhex GPT
10-27
在实际应用中,例如在数据中心处理大型服务器硬盘故障,或者在进行数据恢复时发现MBR分区表损坏,WinHex的GPT功能就显得尤为重要。它可以快速定位问题,恢复数据,避免长时间的数据丢失和业务中断。 5. **注意事项...
winhex数据恢复教程
10-29
这部分教程将教你如何使用WinHex分析硬盘的MBR(主引导记录)或GPT(GUID分区表),修复损坏的分区表,恢复丢失的分区。 6. **数据恢复综合案例**:最后,通过一系列实际案例,你将有机会运用前面所学知识解决复杂...
winhex.rar
05-15
3. **磁盘克隆与镜像**:WinHex支持创建磁盘或分区的完整映像,这在保护原始数据不被修改或在处理潜在的法律证据时非常有用。 4. **内存取证**:WinHex能对系统内存进行实时分析,这在数字取证中尤为重要,因为它...
亲测好用的Winhex
09-02
3. **数据恢复**:当文件被误删除或分区表出现问题时,Winhex的内置数据恢复功能可以帮助找回丢失的文件。 4. **取证分析**:在犯罪调查和网络安全领域,Winhex能够帮助分析硬盘上的残留信息,寻找可能的线索。 5....
磁盘结构分析 图文并茂
Braylon的博客
05-22 1594
文章目录简介MBR格式GPT格式 简介 简单做一个记录,学到了别以后忘记了。 MBR格式 ·首先查看分区情况,进入“我的电脑”右键“管理”,这里我分为了两个磁盘一个是FAT32分区格式,另一个是NTFS的分区格式,其中D盘边框为绿色的边框,说明D盘是我们的主引导分区。 然后打开winHex,查看磁盘详细信息,这里patitioning style说明了是MBR的格式。 ·我们利用分区表模板查看: ·利用上图中的信息,我们以Partition Table Entry #1为例,进行磁盘大小的验证,这里我
winhex进行GPT磁盘多分区恢复实例——超详细
Kiolng的博客
06-13 6754
GPT磁盘多分区恢复 恢复前: 恢复后: 开始恢复: 一、寻找分区数据: 分区表是从2号扇区开始,但通常第一个分区表分区1是不可用的,因此要寻找第2个分区,就要知道第1个分区的结束扇区。 查看2号扇区的20-2F,看分区1(MS Reserved)的结束扇区号是多少。 可以看到分区1的结束扇区号为262177,我们跳转到该扇区,并向下搜索“55AA”寻找分区的MBR(即分区的起始位置)。 找到的分区2的起始扇区号在264192号扇区 可以看到分区2的总扇区数是59371519, 所以分区2的
winhex查看mbr分区
pengdonglin137的专栏
10-15 213
打开磁盘: 方法一: 单击后: 方法二: 单击后: 此外,这种方法还可以查看扩展分区表,比如上面的分区2是扩展分区中的第一个逻辑分区,查看分区表的方法如下: 单击后: 完。 ...
winhex查看分区表
12-09
WinHex是一款功能强大的十六进制编辑和磁盘编辑软件,可以用来查看和编辑磁盘的分区表。要查看分区表,首先需要打开WinHex软件并选择要查看的硬盘。在打开硬盘后,可以通过菜单栏或快捷键进入分区表的查看功能。 在WinHex中,分区表一般以十六进制的方式显示,包括每个分区的起始位置、大小分区类型等信息。用户可以根据需要,通过移动光标和滚动条来查看分区表的详细信息,以便了解硬盘的分区情况。 除了查看分区表外,WinHex还可以进行分区的编辑和修改,用户可以通过WinHex分区表进行增删改查等操作。但使用WinHex进行分区表编辑需要非常谨慎,因为错误的操作可能导致数据丢失或硬盘损坏。 总之,WinHex是一款非常实用的工具,可以帮助用户查看和编辑磁盘的分区表,同时也提醒用户在进行任何编辑操作时要格外小心,以免造成不可逆的损坏。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值