图解WinHex使用入门

一 Winhex和相关概念简介

1 Winhex

是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。

2 数据恢复概念

数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），这样的数据恢复就叫软恢复。

主要介绍软恢复，硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板）。

3 MBR和EBR

MBR，即主引导记录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。

引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、WINHEX等。

但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。

EBR
EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。

MBR、EBR是分区产生的。

每一个分区又由DBR、FAT1、FAT2、DIR、DATA 5部分。

4 Winhex菜单和界面

最上面的是菜单栏和工具栏，下面最大的窗口是工作区，现在看到的是硬盘的第一个扇区的内容，以十六进制进行显示，并在右边显示相应的ASCII码，右边是详细资源面板，分为五个部分：状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外，在其上单击鼠标右键，可以将详细资源面板与窗口对换位置，或关闭资源面板。（如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开）。 最下面一栏是非常有用的辅助信息，如当前扇区/总扇区数目……等

向下拉拉滚动条，可以看到一个灰色的横杠，每到一个横杠为一个扇区，一个扇区共512字节，每两个数字为一个字节，比如00。

5 中文菜单

选择下图中的Chinese,please!，可转为中文菜单；不过下了个17.x版本的，需要注册才能转为中文菜单；又下了个18.x版本的，可转为中文菜单；

二 使用入门

1 打开磁盘

菜单：工具-打开磁盘；

选择要打开的磁盘；

2 界面

上方是目录和文件情况；下边是打开磁盘的16进制数值；

3 找下MBR的结束标志

按前文所述，MBR占1个扇区，512字节，结束标志是55AA；可从Winhex直接打开计算器，10进制的512转换为16进制是200；

找到偏移00000200，如下图，每个扇区结束有一个横线标志；偏移从00000000开始，那么第二个扇区的起始偏移是00000200；看下下图，Offset列值为000001F0所对应行的最后2个字节，为55 AA，正是MBR的结束标志；这样就找到了MBR所在区域；

4 查看分区表

分区表位于结束标志之前的64个字节；每行16字节，4*16=64；那么第一扇区倒数第五行，倒数的第2个字节，就是分区表的起始；如下图；其值为0D;

到此就出现问题了；

按网上资料，分区表第一字节是引导标志；若值为80H表示活动分区；若值第1字节 为00H表示非活动分区。那么我的0D是表示什么？

第五字节是分区类型；按网上资料，

00H——表示该分区未用
06H——FAT16基本分区
0BH——FAT32基本分区
05H——扩展分区
07H——NTFS分区
0FH——（LBA模式）扩展分区
83H—— Linux分区

数到第五个字节，我的为什么是4F？

刚才打开的C盘，再打开B盘，是一样的；

到此就搞不下去；下次再说吧；

如下图的箭头按钮，可以输入偏移值，进行跳转；