本文详细介绍了Winhex的使用,包括安装启动、磁盘编辑、MBR和EBR的分析以及分区表恢复。通过实例展示了如何在MBR被破坏后,通过Winhex手工恢复分区表,涉及引导代码、分区类型、扇区数等关键信息的计算与填充,以及数据恢复的基本步骤和技巧。
Winhex
Winhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。
这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:
在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等
向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。
分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)
每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)
| 字节位置 |
内容及含义 |
| 第1字节 |
引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。 |
| 第2、3、4字节 |
本分区的起始磁头号、扇区号、柱面号 |
| 第5字节 |
分区类型符: 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——(LBA模式)扩展分区 83H—— Linux分区 |
| 第6、7、8字节 |
本分区的结束磁头号、扇区号、柱面号 |
| 第9、10、11、12字节 |
本分区之前已用了的扇区数 |
| 第13、14、15、16字节 |
本分区的总扇区数 |
此硬盘的第一分区表(即MBR)分析如下:
第一个分区表项(C盘)
第1字节80:表示此分区为活动分区;
第5字节0B:表示分区类型为Fat32;
第9、10、11、12字节 系统隐含扇区3F 00 00 00:所谓系统隐含扇区就是本分区(C盘)之前已用了的扇区数,这是一个十六进制数,但要注意:真正的隐含扇区数应该反过来填写(比如:隐含扇区数为3E 4D 5A 6F,则反过来就是6F 5A 4D 3E ,这才是实际的隐含扇区数)。那么,3F 00 00 00反过来写就是00 00 003F,也就是3F,将他转成十进制数我们才能知道实际的隐含扇区数是多大。这可以使用计算器来算,单击工具栏上的“计算器”按钮,如下图:
这样就启动了计算器
计算器有两种型号,我们要进行进制转换,就要选择“科学型”
比如我们要将十六进制3F转换为十进制,就要先选中“十六进制”,然后输入3F
再选中“十进制”,十六进制3F转为十进制等于63。想一想我们前面所讲的,MBR占用63个扇区,也就是C盘之前已用了的扇区数为63,第64个扇区就是C盘的第一个扇区,但要注意的是,整个硬盘的LBA地址是从零开始的,0~62的扇区为MBR。
第13、14、15、16字节本分区总扇区数(当然,这也就是C盘的大小):C1 E6 15 00,同样,实际的十六进制数也要反过来才对,也就是00 15 E6 C1,将它转换成十六进制数是1435329。给你出个题,你知道D盘的EBR在哪个扇区吗?我们一起来算一下,还记得前面数据结构那个表吗?C盘后面不就是D盘的EBR吗?D盘EBR的第一个扇区=MBR+C盘的大小,也就是 63+1435329=1435392。
我们来看看对不对,单击工具栏上的“转到扇区”按钮,出现一个“转到扇区”对话框
然后输入1435392,再点“确定”,就到了1435392扇区了(你可以使用它再转回到0扇区)
这个就是D盘的EBR,也就是D盘的分区表了,怎么知道的呢?因为MBR和EBR的结构是完全一样的,都是占用了63个扇区,但只用了第一个扇区,其余62个扇区填零不用。第一个扇区前446个字节都为引导代码,后64个字节为分区表,最后2个字节为55AA结束标志。因为EBR不是活动分区,不需要引导代码,所以前446个字节为零。
还有另一种方法直接找到D盘的EBR,单击“访问”下拉按钮——“分区二”——“分区表”,直接就到1435392扇区.
这样,分区表中的第一个分区表项共十六个字节分析完毕,下面我们再来看看第二个分区表项
最低0.47元/天 解锁文章
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
