具體來說,WinHex是一款(kuan)以通用(yong)的 16 進制編輯器(qi)為核(he)心,專門用(yong)來對付計算(suan)機(ji)取(qu)證(zheng)、數(shu)據(ju)恢(hui)復(fu)、低級數(shu)據(ju)處理、以及 IT 安全性、各(ge)種(zhong)日常緊(jin)急(ji)情(qing)況的高級工具:用(yong)來檢查和修復(fu)各(ge)種(zhong)文(wen)件、恢(hui)復(fu)刪(shan)除文(wen)件、硬盤(pan)損壞、數(shu)碼相機(ji)卡損壞造成的數(shu)據(ju)丟失(shi)等。功能包括(依照授權類型):
* 查看(kan),編輯和修復磁(ci)盤(pan),可用于(yu)硬(ying)盤(pan),軟盤(pan),以及(ji)許多其它可存(cun)儲(chu)介質(zhi)類型。
*支(zhi)持 FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3, CDFS, UDF
* 內置(zhi)RAID和動態磁盤分析器(qi)
* RAM 編輯(ji)器,可直接查看/編輯(ji)被調試程序(xu)的(de)虛擬(ni)內(nei)存(cun)
* 數(shu)據解釋器,精通 20 種數(shu)據類型
* 使用模板(ban)編輯數(shu)據結構(gou)
* 連(lian)接,分割(ge),合并(bing),分析和比較文件
* 智能搜索(suo)和(he)替(ti)換(huan)(huan)(huan)功能,進(jin)行(xing)替(ti)換(huan)(huan)(huan)時,如(ru)果替(ti)換(huan)(huan)(huan)字(zi)符大(da)于或小(xiao)于原始字(zi)符時可進(jin)行(xing)選擇性操作
* 不(bu)同驅動器克隆以(yi)及驅動器鏡像解(jie)釋
* 腳本和應用程序接口(API)
* 用于文件和磁盤的(de)成熟的(de)撤消和備份機制(zhi)
* 加密和解密數據,Hash計算(校驗和,CRC32,MD5,SHA-1,...)
* 粉碎文件和磁(ci)盤數(shu)據,粉碎后的文件和磁(ci)盤數(shu)據任(ren)何人都不(bu)可能進行恢復
* 支持所有剪貼板格式(shi)的(de)導入(ru)
* 數據格式轉(zhuan)(zhuan)換,支持二(er)進制(zhi),16 進制(zhi) ASCII,Intel 16 進制(zhi),及 Motorola-S 等數據之間(jian)的相互轉(zhuan)(zhuan)換;
* 隱(yin)藏(zang)數(shu)據和(he)查(cha)找隱(yin)藏(zang)數(shu)據
*支(zhi)持打(da)開超過4GB的文件(jian),而且(qie)速度很(hen)快
* 用于計算機進程的(de)眾多(duo)顯著有(you)效的(de)高(gao)級功(gong)能
在(zai)Winhex中集成了(le)強大的(de)工(gong)(gong)具(ju),包括磁盤編輯(ji)(ji)器,Hex轉換(huan)器和RAM編輯(ji)(ji)工(gong)(gong)具(ju),并能夠方便的(de)調用(yong)(yong)系統常用(yong)(yong)工(gong)(gong)具(ju)如:計算(suan)器,記事本,瀏覽器等。在(zai)未登記注冊的(de)版本中,可以(yi)編輯(ji)(ji),但不(bu)能保存大小超過512K的(de)文件且只(zhi)能瀏覽而不(bu)能修改編輯(ji)(ji)RAM區域(yu)。按F8,彈(dan)出(chu)十(shi)六進(jin)制(zhi)(zhi)和十(shi)進(jin)制(zhi)(zhi)轉換(huan)器,左邊欄顯示十(shi)六進(jin)制(zhi)(zhi)數(shu)字(zi),右(you)邊欄顯示十(shi)進(jin)制(zhi)(zhi)數(shu)字(zi)。如果(guo)你(ni)在(zai)左邊輸入十(shi)六進(jin)制(zhi)(zhi)數(shu),按Enter其十(shi)進(jin)制(zhi)(zhi)結果(guo)就(jiu)出(chu)現(xian)在(zai)右(you)邊的(de)矩(ju)形(xing)框中了(le),反(fan)之亦然。如果(guo)你(ni)按組合鍵Alt+F8,可調用(yong)(yong)系統計算(suan)器。
Winhex使用簡(jian)單,功能強大(da),可以方便你程序的調試、文本編輯(ji)、科學計算和系統管理(li),相信(xin)你會(hui)喜歡的。如果你想(xiang)刪除Winhex軟件,簡(jian)單,把整個目(mu)錄干掉就行了
在(zai)DOS時代,我們編(bian)輯文件代碼用的一般都是(shi)PCTOOLS5.0,可是(shi)自從FAT32出(chu)現(xian)(xian)以來,PCTOOLS5.0不(bu)能(neng)用了(le),就很少優秀(xiu)的文件編(bian)輯器出(chu)現(xian)(xian)過,不(bu)過現(xian)(xian)在(zai)筆(bi)者向大(da)家介紹的這一款winhex可以說是(shi)繼(ji)前(qian)者之后的最優秀(xiu)的文件編(bian)輯器了(le)。
作為一個16進制(zhi)文件(jian)編(bian)輯與磁盤編(bian)輯軟件(jian)。WinHex以文件(jian)小、速度快(kuai),功能強大而著稱,連ZDNetSoftwareLibrary也給(gei)了他5星的最(zui)高(gao)評價(jia)。它可以勝任Hex和ASCII碼編(bian)輯修改,多(duo)文件(jian)尋替(ti)換功能,一般運算及邏輯運算,磁盤磁區編(bian)輯(支持FAT16、FAT32和NTFS)自動搜尋編(bian)輯,文件(jian)比(bi)對和分析,編(bian)輯內存里面的資料等功能.
首先我們到(dao)這(zhe)里(li)去(qu)下載一個(ge)814KB大小的中文漢化版本的WINHEX,漢化版本更加(jia)容(rong)易(yi)使(shi)用嘛,值得一提的是(shi)WINHEX是(shi)免費軟件,你可以在所有(you)的WINDOWS平臺上面(mian)運行。安裝過程(cheng)(cheng)非常簡單,成(cheng)功安裝之后(hou),程(cheng)(cheng)序(xu)圖(tu)標就(jiu)會出(chu)現在“開始→程(cheng)(cheng)序(xu)”菜單和桌面(mian)上。其界(jie)面(mian)由標題欄(lan)、工(gong)具欄(lan)、菜單欄(lan)、圖(tu)片瀏(liu)覽區和狀(zhuang)態欄(lan)組(zu)成(cheng)。下面(mian)我們來簡要介紹一下:
◇功(gong)能(neng)菜單(dan)(dan)(dan)(dan):WINHEX的(de)菜單(dan)(dan)(dan)(dan)欄由(you)八個菜單(dan)(dan)(dan)(dan)組(zu)成,分(fen)(fen)別是(shi):文(wen)(wen)件(jian)(jian)(jian)、編(bian)(bian)(bian)輯(ji)(ji)、查找(zhao)(zhao)、位(wei)(wei)(wei)(wei)置(zhi)、工(gong)(gong)具(ju)、選(xuan)(xuan)項(xiang)、文(wen)(wen)件(jian)(jian)(jian)管理(li)器(qi)、窗(chuang)口(kou)和(he)(he)幫(bang)助。所有(you)的(de)功(gong)能(neng)都(dou)已經包含在(zai)(zai)里(li)面(mian)(mian)(mian)了(le)。在(zai)(zai)文(wen)(wen)件(jian)(jian)(jian)菜單(dan)(dan)(dan)(dan)里(li)面(mian)(mian)(mian)包含的(de)是(shi)新建(jian)、打(da)(da)開(kai)文(wen)(wen)件(jian)(jian)(jian)和(he)(he)保存(cun)以及(ji)退(tui)出命(ming)令,另(ling)外(wai)還有(you)備份管理(li)、創建(jian)備份和(he)(he)載(zai)入備份功(gong)能(neng)。在(zai)(zai)編(bian)(bian)(bian)輯(ji)(ji)菜單(dan)(dan)(dan)(dan)里(li)面(mian)(mian)(mian)除(chu)(chu)了(le)復制(zhi)(zhi)粘貼(tie)之類的(de)常見命(ming)令之外(wai)還有(you)對(dui)數據格式進(jin)(jin)行(xing)轉換(huan)和(he)(he)修改的(de)功(gong)能(neng)。查找(zhao)(zhao)功(gong)能(neng)是(shi)方(fang)(fang)便您在(zai)(zai)文(wen)(wen)件(jian)(jian)(jian)里(li)面(mian)(mian)(mian)查找(zhao)(zhao)特(te)定的(de)文(wen)(wen)本(ben)(ben)內(nei)容或者是(shi)十(shi)(shi)六進(jin)(jin)制(zhi)(zhi)代碼(ma)的(de),支持整數值(zhi)和(he)(he)浮點數值(zhi)。位(wei)(wei)(wei)(wei)置(zhi)菜單(dan)(dan)(dan)(dan)里(li)面(mian)(mian)(mian)的(de)命(ming)令就(jiu)是(shi)讓你(ni)(ni)(ni)在(zai)(zai)編(bian)(bian)(bian)輯(ji)(ji)大體積的(de)文(wen)(wen)件(jian)(jian)(jian)的(de)時候能(neng)夠方(fang)(fang)便地進(jin)(jin)行(xing)定位(wei)(wei)(wei)(wei),你(ni)(ni)(ni)可以根據其中的(de)偏移地址或者是(shi)區塊的(de)位(wei)(wei)(wei)(wei)置(zhi)來快(kuai)速(su)定位(wei)(wei)(wei)(wei)。工(gong)(gong)具(ju)菜單(dan)(dan)(dan)(dan)里(li)面(mian)(mian)(mian)包括的(de)都(dou)是(shi)一些(xie)(xie)十(shi)(shi)分(fen)(fen)實用的(de)功(gong)能(neng),譬如磁(ci)盤(pan)編(bian)(bian)(bian)輯(ji)(ji)工(gong)(gong)具(ju)(類似PCTOOLS里(li)面(mian)(mian)(mian)的(de)DISKEDIT)、文(wen)(wen)本(ben)(ben)編(bian)(bian)(bian)輯(ji)(ji)工(gong)(gong)具(ju)(類似記事本(ben)(ben))、計(ji)算器(qi)、模(mo)板管理(li)工(gong)(gong)具(ju)和(he)(he)十(shi)(shi)進(jin)(jin)制(zhi)(zhi)、十(shi)(shi)六進(jin)(jin)制(zhi)(zhi)轉換(huan)器(qi)等等。如果你(ni)(ni)(ni)要對(dui)WINHEX的(de)功(gong)能(neng)進(jin)(jin)行(xing)設(she)置(zhi),那么就(jiu)必(bi)須進(jin)(jin)入選(xuan)(xuan)項(xiang)菜單(dan)(dan)(dan)(dan)了(le),里(li)面(mian)(mian)(mian)除(chu)(chu)了(le)常規選(xuan)(xuan)項(xiang)的(de)設(she)置(zhi),還有(you)安全性(xing)設(she)置(zhi)和(he)(he)還原選(xuan)(xuan)項(xiang)設(she)置(zhi)。在(zai)(zai)文(wen)(wen)件(jian)(jian)(jian)管理(li)菜單(dan)(dan)(dan)(dan)中,你(ni)(ni)(ni)可以對(dui)文(wen)(wen)件(jian)(jian)(jian)進(jin)(jin)行(xing)分(fen)(fen)割、比較(jiao)、復制(zhi)(zhi)和(he)(he)剖析,功(gong)能(neng)十(shi)(shi)分(fen)(fen)強大。“工(gong)(gong)具(ju)”選(xuan)(xuan)項(xiang)里(li)面(mian)(mian)(mian)包含的(de)是(shi)文(wen)(wen)件(jian)(jian)(jian)新建(jian)、打(da)(da)開(kai)、保存(cun)、打(da)(da)印、屬性(xing)工(gong)(gong)具(ju);剪切(qie)、粘貼(tie)和(he)(he)復制(zhi)(zhi)編(bian)(bian)(bian)輯(ji)(ji)工(gong)(gong)具(ju);查找(zhao)(zhao)文(wen)(wen)本(ben)(ben)和(he)(he)Hex值(zhi),替(ti)換(huan)文(wen)(wen)本(ben)(ben)和(he)(he)Hex值(zhi);文(wen)(wen)件(jian)(jian)(jian)定位(wei)(wei)(wei)(wei)工(gong)(gong)具(ju)、RAM編(bian)(bian)(bian)輯(ji)(ji)器(qi)、計(ji)算器(qi)、區塊分(fen)(fen)析和(he)(he)磁(ci)盤(pan)編(bian)(bian)(bian)輯(ji)(ji)工(gong)(gong)具(ju)等等。這些(xie)(xie)功(gong)能(neng)除(chu)(chu)了(le)在(zai)(zai)菜單(dan)(dan)(dan)(dan)里(li)面(mian)(mian)(mian)進(jin)(jin)行(xing)選(xuan)(xuan)擇之外(wai),還可以通過(guo)菜單(dan)(dan)(dan)(dan)下面(mian)(mian)(mian)的(de)一列快(kuai)捷按鈕來執(zhi)行(xing)。
◇在(zai)使用Winhex時首先打(da)開一(yi)個需要處理的(de)文(wen)件(jian)(jian)(jian),窗(chuang)口(kou)(kou)中(zhong)(zhong)(zhong)顯示十(shi)六(liu)進(jin)制HEX格式(shi)的(de)數值(zhi)和地(di)址(zhi)。在(zai)旁邊的(de)區(qu)域顯示文(wen)件(jian)(jian)(jian)名(ming)稱、大小、創(chuang)建(jian)時間、最(zui)后修改(gai)(gai)日期,窗(chuang)口(kou)(kou)屬性(xing)以(yi)(yi)及相(xiang)關信息。利用鼠標拖放功(gong)能你(ni)可以(yi)(yi)選(xuan)擇(ze)一(yi)塊(kuai)數值(zhi)進(jin)行(xing)修改(gai)(gai)編輯。按Ctrl+T,彈(dan)出(chu)數據修改(gai)(gai)對話框(kuang),選(xuan)擇(ze)數據類型和字節變換方(fang)式(shi),可以(yi)(yi)方(fang)便(bian)的(de)修改(gai)(gai)區(qu)塊(kuai)中(zhong)(zhong)(zhong)的(de)數據。執行(xing)文(wen)件(jian)(jian)(jian)菜(cai)單(dan)中(zhong)(zhong)(zhong)的(de)創(chuang)建(jian)備(bei)(bei)(bei)份(fen)命令,彈(dan)出(chu)備(bei)(bei)(bei)份(fen)對話框(kuang),你(ni)可以(yi)(yi)指定備(bei)(bei)(bei)份(fen)的(de)文(wen)件(jian)(jian)(jian)名(ming)和路徑、備(bei)(bei)(bei)份(fen)說明,還可以(yi)(yi)選(xuan)擇(ze)是否自動由(you)備(bei)(bei)(bei)份(fen)管理指定文(wen)件(jian)(jian)(jian)夾,是否保存檢查(cha)和摘(zhai)要,是否壓縮(suo)備(bei)(bei)(bei)份(fen)和加密備(bei)(bei)(bei)份(fen),這樣你(ni)可以(yi)(yi)方(fang)便(bian)的(de)將你(ni)的(de)文(wen)件(jian)(jian)(jian)進(jin)行(xing)備(bei)(bei)(bei)份(fen),下次執行(xing)文(wen)件(jian)(jian)(jian)菜(cai)單(dan)中(zhong)(zhong)(zhong)的(de)裝載備(bei)(bei)(bei)份(fen)就可以(yi)(yi)打(da)開備(bei)(bei)(bei)份(fen)文(wen)件(jian)(jian)(jian)了(le),十(shi)分方(fang)便(bian)
◇強大的(de)(de)(de)查找功(gong)能:Winhex具有強大的(de)(de)(de)查找搜(sou)索(suo)(suo)功(gong)能,可(ke)以(yi)查找和(he)(he)替換(huan)文本或Hex值。選(xuan)擇(ze)(ze)搜(sou)索(suo)(suo)菜單中(zhong)(zhong)(zhong)的(de)(de)(de)聯合搜(sou)索(suo)(suo)項,彈出搜(sou)索(suo)(suo)對話框,先輸入該文件(jian)要搜(sou)索(suo)(suo)的(de)(de)(de)十六(liu)進(jin)(jin)制值選(xuan)擇(ze)(ze)通(tong)配(pei)符和(he)(he)搜(sou)索(suo)(suo)的(de)(de)(de)范(fan)圍就(jiu)可(ke)以(yi)開(kai)始(shi)搜(sou)索(suo)(suo)了(le)。你(ni)(ni)可(ke)以(yi)選(xuan)擇(ze)(ze)在(zai)整個文件(jian)中(zhong)(zhong)(zhong)搜(sou)索(suo)(suo),也可(ke)選(xuan)擇(ze)(ze)僅在(zai)區塊中(zhong)(zhong)(zhong)進(jin)(jin)行有條(tiao)件(jian)的(de)(de)(de)搜(sou)索(suo)(suo)。而且在(zai)Winhex中(zhong)(zhong)(zhong)可(ke)以(yi)方便的(de)(de)(de)進(jin)(jin)行定位(wei)(wei)操作(zuo),快速(su)轉道新(xin)的(de)(de)(de)位(wei)(wei)置(zhi)。執行定位(wei)(wei)菜單中(zhong)(zhong)(zhong)的(de)(de)(de)標(biao)(biao)記(ji)定位(wei)(wei)命令,或按(an)Ctrl+L,將鼠(shu)標(biao)(biao)指向需(xu)要定位(wei)(wei)的(de)(de)(de)位(wei)(wei)置(zhi),就(jiu)可(ke)以(yi)在(zai)當前鼠(shu)標(biao)(biao)所(suo)在(zai)的(de)(de)(de)位(wei)(wei)置(zhi)作(zuo)上標(biao)(biao)記(ji),不管你(ni)(ni)操作(zuo)到什么地方,按(an)組合鍵Ctrl+k,就(jiu)可(ke)以(yi)返回(hui)到標(biao)(biao)記(ji)所(suo)在(zai)的(de)(de)(de)位(wei)(wei)置(zhi)。執行定位(wei)(wei)菜單中(zhong)(zhong)(zhong)的(de)(de)(de)刪除標(biao)(biao)記(ji)命令,可(ke)以(yi)將所(suo)作(zuo)的(de)(de)(de)標(biao)(biao)記(ji)刪除。除了(le)利用標(biao)(biao)記(ji)定位(wei)(wei)以(yi)外,你(ni)(ni)還(huan)可(ke)以(yi)方便的(de)(de)(de)轉到文件(jian)的(de)(de)(de)開(kai)始(shi)和(he)(he)結(jie)尾(wei),區塊的(de)(de)(de)開(kai)始(shi)和(he)(he)結(jie)尾(wei),行首和(he)(he)行尾(wei)以(yi)及(ji)頁(ye)首和(he)(he)頁(ye)尾(wei)。你(ni)(ni)可(ke)以(yi)自己(ji)試一試,相(xiang)信你(ni)(ni)很快就(jiu)知(zhi)道了(le)。
◇Winhex集成了強大的(de)工具,包括(kuo)磁盤(pan)(pan)編輯器(qi),計算(suan)器(qi),Hex轉換器(qi)和RAM編輯工具,使(shi)用十分(fen)方便。按(an)F9,彈出磁盤(pan)(pan)編輯器(qi)對話框,首先選(xuan)擇(ze)(ze)磁盤(pan)(pan)分(fen)區,然后按(an)確定按(an)鈕(niu)就(jiu)(jiu)可以方便的(de)對磁盤(pan)(pan)的(de)空余空間進行清理。點擊工具欄中的(de)RAM編輯工具按(an)鈕(niu),彈出RAM編輯器(qi),選(xuan)擇(ze)(ze)需要瀏覽或編輯修改的(de)RAM區,選(xuan)擇(ze)(ze)確定就(jiu)(jiu)可以了,RAM的(de)內容就(jiu)(jiu)顯(xian)示在(zai)主窗(chuang)口了。
如果您在PCTOOLS之后再(zai)也沒(mei)有(you)碰到過(guo)稱(cheng)心的十六進制編(bian)輯器,那么我推薦你使用WINHEX。
功能包括:
- 硬盤, 軟盤, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等(deng)磁盤編輯器。
- 支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系統。
- 支(zhi)持對磁盤陣(zhen)列 RAID 系統和(he)動態磁盤的重組、分析(xi)和(he)數據恢復。
- 多種數(shu)據恢(hui)復技(ji)術。
- 可分析 RAW 格式原始數據(ju)鏡(jing)像(xiang)文件中的完(wan)整目錄結構,支持分段(duan)保存的鏡(jing)像(xiang)文件。
- 數據解(jie)釋(shi)器, 已(yi)知 20 種數據類型。
- 使(shi)用模(mo)板編(bian)輯數(shu)據結(jie)構 (例(li)如(ru): 修復分區表/引(yin)導扇區)。
- 連接和分(fen)割、以奇數(shu)偶(ou)數(shu)字(zi)節或字(zi)的方(fang)式(shi)合并、分(fen)解(jie)文件。
- 分析(xi)和比較文件。
- 搜索和(he)替(ti)換功能尤其靈(ling)活。
- 磁盤(pan)克隆 (可在 DOS 環(huan)境下(xia)使(shi)用 X-Ways Replica)。
- 驅(qu)動器(qi)鏡像和備份 (可(ke)選(xuan)壓縮或分割成 650 MB 的(de)檔案)。
- 程序接(jie)口 (API) 和腳本。
- 256 位 AES 加密, 校驗和(he), CRC32, 哈希算(suan)法(fa) (MD5, SHA-1, ...)。
- 數據(ju)擦除(chu)功(gong)能,可(ke)徹底清除(chu)存儲介質(zhi)中殘留數據(ju)。
- 可導入剪(jian)貼板所有格(ge)式數據, 包括 ASCII、16 進制(zhi)數據。
- 可(ke)進行 2 進制、16 進制 ASCII, Intel 16 進制, 和 Motorola S 轉換。
- 字符集(ji): ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)。
- 立(li)即窗口切換、打印(yin)、生成隨機數字。
- 支持(chi)打(da)開大于 4 GB 的文(wen)件,非(fei)常快速,容易使用。
- 廣泛的聯機(ji)幫助。
WinHex 計算機法證版
X-Ways Forensics- 它能讓(rang)計算機(ji)上所(suo)有的(de)位和字(zi)節都(dou)在(zai)您的(de)指尖下變(bian)成現實(shi)。購買前可免(mian)費試用。
X-Ways Forensics 13.9 以后的版本(ben)只有正式用戶(hu)才(cai)可下載 (下載地址在購(gou)買后提供)。
特別注意
盡量不要解壓至中文名(ming)文件夾下,否則運行出錯!
V16.8更(geng)新內容(rong):
WinHex可以用來(lai)檢查和(he)修(xiu)復(fu)(fu)各種文(wen)件、恢復(fu)(fu)刪除文(wen)件、硬盤損壞造(zao)成的數據丟(diu)失(shi)等。
12.8 sr-2更(geng)新內容:
* 現在(zai)可(ke)以在(zai)容(rong)器根層遞歸(gui)探索證據對象概況,在(zai)基于動態填充設(she)置(zhi)上(shang),可(ke)以在(zai)一個方便的平面視圖中列出所有(you)子目錄(lu)中的所有(you)文件。
* X-Ways Forensics 現在可以在內部重新(xin)匯編(bian)硬件 RAID5 系統到級別0,并且支持奇偶校驗。
* 如果一個(ge)(ge) RAID 系統添加到一個(ge)(ge)容器作(zuo)為證據對(dui)象(xiang),當名稱(cheng)或位(wei)置改(gai)變(bian)時現在(zai)可以很容易替換 RAID 系統的(de)一部分。
* 一(yi)些在(zai) RAM 編輯器中(zhong)被隱藏的進程(cheng)現在(zai)能夠列出。
* 現在(zai)可(ke)以(yi)間(jian)接填充證據文件內容。
* 可以選取報(bao)告(gao)表中某幾列到容器(qi)報(bao)名(ming)中。(查(cha)看容器(qi)屬性)
* 更(geng)進一步改進文件路徑太長的兼容(rong)性。
* 修正 12.7 版本自動檢測物理磁盤(pan) RAW 映象為單獨的分區映象。
* 幾(ji)個(ge)其它(ta)局(ju)部改進和錯(cuo)誤修正
* 針(zhen)對 UFS 在線提供不(bu)同的(de)模(mo)板。
* 更多更新(xin)內容請到網(wang)站(zhan)時事通訊中查看
設置中文的方法
點擊(ji)菜單欄最后的“help”-“setup”-“Chinese,please!”
軟件使用說明
下面(mian)我(wo)們來看看該(gai)軟件的(de)使(shi)用。
標題欄:與一般的應用軟件一樣,標題欄中顯示(shi)軟件名(ming)稱和當(dang)前打開的文(wen)件名(ming)稱;
菜(cai)(cai)(cai)單(dan)欄(lan):Winhex的菜(cai)(cai)(cai)單(dan)欄(lan)由八(ba)個(ge)菜(cai)(cai)(cai)單(dan)項組成-文件菜(cai)(cai)(cai)單(dan)、編(bian)輯菜(cai)(cai)(cai)單(dan)、搜索、定位、工具、選項菜(cai)(cai)(cai)單(dan)、文件管理、窗口和(he)幫助菜(cai)(cai)(cai)單(dan)。
在(zai)文件菜單(dan)中(zhong)(zhong)(zhong),除(chu)了常(chang)規(gui)的新建、打開文件和(he)(he)(he)保存以及(ji)退出命(ming)令以外,還有(you)備(bei)份(fen)管理、創(chuang)建備(bei)份(fen)和(he)(he)(he)載入備(bei)份(fen)功(gong)能。選擇文件菜單(dan)中(zhong)(zhong)(zhong)的屬性項(xiang),彈出文件屬性窗口,包(bao)(bao)括文件路徑、名稱、大小(xiao)、創(chuang)建時間(jian)和(he)(he)(he)修(xiu)改(gai)日期(qi)等內(nei)容(rong)。在(zai)編(bian)(bian)輯(ji)(ji)菜單(dan)中(zhong)(zhong)(zhong),除(chu)了常(chang)規(gui)的復制(zhi)、粘(zhan)貼和(he)(he)(he)剪切功(gong)能外,還有(you)數(shu)(shu)據格式轉換和(he)(he)(he)修(xiu)改(gai)的功(gong)能。在(zai)搜(sou)索菜單(dan)中(zhong)(zhong)(zhong),你可以查找(zhao)或替(ti)換文本(ben)(ben)內(nei)容(rong)和(he)(he)(he)十(shi)六進(jin)制(zhi)文件,搜(sou)索整數(shu)(shu)值和(he)(he)(he)浮點數(shu)(shu)值。在(zai)定(ding)位(wei)菜單(dan)中(zhong)(zhong)(zhong),你可以根(gen)據偏移(yi)地址和(he)(he)(he)區塊的位(wei)置(zhi)(zhi)快速(su)定(ding)位(wei)。在(zai)工(gong)(gong)具(ju)菜單(dan)中(zhong)(zhong)(zhong),包(bao)(bao)括磁(ci)盤編(bian)(bian)輯(ji)(ji)工(gong)(gong)具(ju)、文本(ben)(ben)編(bian)(bian)輯(ji)(ji)工(gong)(gong)具(ju)、計算器、模板管理工(gong)(gong)具(ju)和(he)(he)(he)Hex轉換器,使用十(shi)分方(fang)便。在(zai)選項(xiang)菜單(dan)中(zhong)(zhong)(zhong),包(bao)(bao)括常(chang)規(gui)選項(xiang)設(she)置(zhi)(zhi)、安全性設(she)置(zhi)(zhi)和(he)(he)(he)還原選項(xiang)設(she)置(zhi)(zhi)。
在Winhex的(de)(de)工(gong)(gong)具(ju)(ju)欄(lan)(lan)中,包括文件新建、打開、保(bao)存、打印(yin)、屬性工(gong)(gong)具(ju)(ju);剪(jian)切、粘貼(tie)和(he)復制編輯(ji)工(gong)(gong)具(ju)(ju);查找文本(ben)和(he)Hex值(zhi),替(ti)換文本(ben)和(he)Hex值(zhi);文件定(ding)位工(gong)(gong)具(ju)(ju)、RAM編輯(ji)器(qi)(qi)、計算(suan)器(qi)(qi)、區(qu)塊分析和(he)磁盤(pan)編輯(ji)工(gong)(gong)具(ju)(ju);選項(xiang)設置工(gong)(gong)具(ju)(ju)和(he)幫助(zhu)工(gong)(gong)具(ju)(ju)按(an)鈕(niu)。通過(guo)使用工(gong)(gong)具(ju)(ju)欄(lan)(lan)中的(de)(de)快捷按(an)鈕(niu)可以更(geng)方便的(de)(de)進行操作,這些(xie)和(he)菜單中相(xiang)應(ying)的(de)(de)命令是一(yi)樣的(de)(de)。
在(zai)使用(yong)Winhex之前需要進(jin)行相(xiang)應的(de)選(xuan)(xuan)項(xiang)設置,點擊(ji)工(gong)具欄中(zhong)(zhong)的(de)選(xuan)(xuan)項(xiang)設置快(kuai)捷圖標按(an)鈕(niu)(niu),彈出選(xuan)(xuan)項(xiang)設置對話框(kuang).它包括是(shi)(shi)否(fou)(fou)(fou)將WinHex作為(wei)默認關聯,是(shi)(shi)否(fou)(fou)(fou)添加WinHex到上下(xia)文(wen)(wen)菜(cai)單,是(shi)(shi)否(fou)(fou)(fou)不更新(xin)文(wen)(wen)件(jian)(jian)(jian)名,是(shi)(shi)否(fou)(fou)(fou)快(kuai)速打開(kai)(kai)文(wen)(wen)件(jian)(jian)(jian)以(yi)(yi)及是(shi)(shi)否(fou)(fou)(fou)顯示(shi)(shi)(shi)文(wen)(wen)件(jian)(jian)(jian)圖標和工(gong)具欄。而且你還(huan)可(ke)(ke)(ke)(ke)以(yi)(yi)設置最近打開(kai)(kai)的(de)文(wen)(wen)件(jian)(jian)(jian)列表中(zhong)(zhong)文(wen)(wen)件(jian)(jian)(jian)的(de)數目,選(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)用(yong)TAB鍵(jian)(jian)產生標記,設置臨時文(wen)(wen)件(jian)(jian)(jian)夾(jia)、備(bei)份文(wen)(wen)件(jian)(jian)(jian)夾(jia)和文(wen)(wen)本編輯的(de)路(lu)徑。在(zai)常規設置中(zhong)(zhong),你可(ke)(ke)(ke)(ke)以(yi)(yi)選(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)選(xuan)(xuan)擇(ze)顯示(shi)(shi)(shi)雙光(guang)標和頁分(fen)隔符,是(shi)(shi)否(fou)(fou)(fou)逐行滾動(dong),是(shi)(shi)否(fou)(fou)(fou)顯示(shi)(shi)(shi)Windows進(jin)度(du)條,此外你還(huan)可(ke)(ke)(ke)(ke)以(yi)(yi)設置字體類型(xing)和顏色,相(xiang)信(xin)你很快(kuai)就學會了(le)。執行選(xuan)(xuan)項(xiang)菜(cai)單中(zhong)(zhong)的(de)安全項(xiang),彈出安全保護(hu)選(xuan)(xuan)項(xiang)設置窗(chuang)口(kou)(kou),你可(ke)(ke)(ke)(ke)以(yi)(yi)選(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)限制(zhi)驅(qu)動(dong)控制(zhi),是(shi)(shi)否(fou)(fou)(fou)計算標準檢(jian)查和扇區讀入緩存(cun)以(yi)(yi)及是(shi)(shi)否(fou)(fou)(fou)確(que)認更新(xin)文(wen)(wen)件(jian)(jian)(jian)。另外你可(ke)(ke)(ke)(ke)以(yi)(yi)選(xuan)(xuan)擇(ze)是(shi)(shi)否(fou)(fou)(fou)自動(dong)檢(jian)查磁(ci)簇,是(shi)(shi)否(fou)(fou)(fou)總顯示(shi)(shi)(shi)恢(hui)復報告,是(shi)(shi)否(fou)(fou)(fou)對下(xia)個會話保持驅(qu)動(dong)映像(xiang),是(shi)(shi)否(fou)(fou)(fou)隱蔽輸入加密關鍵(jian)(jian)碼(ma)(*****)以(yi)(yi)及檢(jian)查虛擬內存(cun)變換和在(zai)RAM中(zhong)(zhong)是(shi)(shi)否(fou)(fou)(fou)保留密匙。在(zai)所有設置完成后,點擊(ji)保存(cun)按(an)鈕(niu)(niu),然后按(an)確(que)定(ding)按(an)鈕(niu)(niu)返回主窗(chuang)口(kou)(kou)。
數據恢復分類
硬(ying)恢(hui)(hui)(hui)(hui)復(fu)(fu)和(he)軟恢(hui)(hui)(hui)(hui)復(fu)(fu)。所(suo)謂(wei)硬(ying)恢(hui)(hui)(hui)(hui)復(fu)(fu)就是硬(ying)盤(pan)出現物(wu)理性(xing)損傷,比(bi)如(ru)有(you)(you)盤(pan)體(ti)壞道、電(dian)路板芯片燒(shao)毀(hui)、盤(pan)體(ti)異響(xiang),等故(gu)障(zhang),由此所(suo)導致的(de)(de)(de)(de)普通用戶不容易取出里(li)(li)面(mian)數據(ju),那(nei)么我們將它修好(hao),同(tong)時又保留里(li)(li)面(mian)的(de)(de)(de)(de)數據(ju)或后來恢(hui)(hui)(hui)(hui)復(fu)(fu)里(li)(li)面(mian)的(de)(de)(de)(de)數據(ju),這些都叫數據(ju)恢(hui)(hui)(hui)(hui)復(fu)(fu),只不過(guo)這些故(gu)障(zhang)有(you)(you)容易的(de)(de)(de)(de)和(he)困難的(de)(de)(de)(de)之分;所(suo)謂(wei)軟恢(hui)(hui)(hui)(hui)復(fu)(fu),就是硬(ying)盤(pan)本身(shen)沒有(you)(you)物(wu)理損傷,而是由于人為或者病毒破壞所(suo)造(zao)成的(de)(de)(de)(de)數據(ju)丟失(比(bi)如(ru)誤格(ge)式(shi)化,誤分區),那(nei)么這樣的(de)(de)(de)(de)數據(ju)恢(hui)(hui)(hui)(hui)復(fu)(fu)就叫軟恢(hui)(hui)(hui)(hui)復(fu)(fu)。因為硬(ying)恢(hui)(hui)(hui)(hui)復(fu)(fu)還需要購買一(yi)些工具設(she)備(比(bi)如(ru)pc3000,電(dian)烙鐵,各種芯片、電(dian)路板),而且還需要懂一(yi)點點電(dian)路基礎,我們主要使用軟恢(hui)(hui)(hui)(hui)復(fu)(fu)。
數據恢復的前提
數據(ju)不能被二次破壞、覆(fu)蓋!
硬盤數據結構
下面是一個分(fen)了三(san)個區的整個硬盤的數(shu)據結構
MBR C盤EBRD盤 EBR E盤
MBR,即主(zhu)引導紀錄,位(wei)于整個(ge)硬盤(pan)的0柱面0磁道1扇區(qu),共(gong)占(zhan)用(yong)了(le)63個(ge)扇區(qu),但實際只使用(yong)了(le)1個(ge)扇區(qu)(512字節(jie)(jie))。在總共(gong)512字節(jie)(jie)的主(zhu)引導記錄中(zhong),MBR又可分(fen)為三部(bu)分(fen):第(di)一部(bu)分(fen):引導代碼(ma),占(zhan)用(yong)了(le)446個(ge)字節(jie)(jie);第(di)二部(bu)分(fen):分(fen)區(qu)表,占(zhan)用(yong)了(le)64字節(jie)(jie);第(di)三部(bu)分(fen):55AA,結束標志,占(zhan)用(yong)了(le)兩(liang)個(ge)字節(jie)(jie)。后面我們要說(shuo)的用(yong)winhex軟件來(lai)恢(hui)復(fu)誤(wu)分(fen)區(qu),主(zhu)要就是恢(hui)復(fu)第(di)二部(bu)分(fen):分(fen)區(qu)表。
引導代碼的作用
就是讓硬盤(pan)具備可(ke)以引(yin)導(dao)(dao)的(de)功(gong)能。如果引(yin)導(dao)(dao)代(dai)碼(ma)丟失(shi),分(fen)(fen)區(qu)表還在,那么這(zhe)個(ge)硬盤(pan)作(zuo)為從盤(pan)所有分(fen)(fen)區(qu)數據都(dou)還在,只是這(zhe)個(ge)硬盤(pan)自己(ji)不(bu)能夠用來(lai)啟動(dong)進系統了。如果要恢復引(yin)導(dao)(dao)代(dai)碼(ma),可(ke)以用DOS下(xia)的(de)命令(ling):FDISK /MBR;這(zhe)個(ge)命令(ling)只是用來(lai)恢復引(yin)導(dao)(dao)代(dai)碼(ma),不(bu)會(hui)引(yin)起分(fen)(fen)區(qu)改(gai)變,丟失(shi)數據。另外,也可(ke)以用工具軟件,比(bi)如DISKGEN、WINHEX等。
但(dan)分區(qu)表如果丟失,后果就是(shi)整個(ge)硬盤(pan)一(yi)個(ge)分區(qu)沒(mei)有(you),就好(hao)像剛買(mai)來一(yi)個(ge)新硬盤(pan)沒(mei)有(you)分過區(qu)一(yi)樣。是(shi)很多病毒喜(xi)歡破壞的區(qu)域。
EBR,也叫做擴(kuo)展MBR(Extended MBR)。因為主引導記錄MBR最(zui)多只能描述4個分區(qu)項(xiang),如(ru)果想要在(zai)一個硬盤上分多于4個區(qu),就要采用擴(kuo)展MBR的辦法。
MBR、EBR是分區產生的。
比如MBR和EBR各都占用(yong)63個(ge)扇(shan)區(qu),C盤占用(yong)1435329個(ge)扇(shan)區(qu)……那么數據結構如下表:
63 1435329 63 1435329 63 1253889
MBR C盤 EBR D盤 EBR E盤
擴展分區
而(er)每一個(ge)分區又由(you)DBR、FAT1、FAT2、DIR、DATA5部分組成:比如C盤(pan)的數據(ju)結構:
C 盤
DBR FAT1 FAT2 DIR DATA
恢復教程
Winhex有完善的(de)分(fen)區管(guan)理功能和文件(jian)管(guan)理功能,能自動分(fen)析分(fen)區鏈和文件(jian)簇(cu)鏈,能對硬(ying)盤(pan)進行不同方式不同程度的(de)備份,甚至克隆整個硬(ying)盤(pan);它能夠編(bian)輯(ji)任何一種文件(jian)類型的(de)二進制內容(用十(shi)六進制顯示)其(qi)磁(ci)盤(pan)編(bian)輯(ji)器(qi)可以編(bian)輯(ji)物理磁(ci)盤(pan)或(huo)邏輯(ji)磁(ci)盤(pan)的(de)任意(yi)扇區,是手工恢復(fu)數(shu)據的(de)首選(xuan)工具軟(ruan)件(jian)。
首先要(yao)安裝(zhuang)Winhex,安裝(zhuang)完了就可以啟(qi)動(dong)winhex了,啟(qi)動(dong)后,首先出現的是啟(qi)動(dong)中心對話框。
這里我們要(yao)對磁盤(pan)進行操(cao)作,就選(xuan)擇“打開磁盤(pan)”,出現“編輯磁盤(pan)”對話框(kuang):
在這個(ge)對話(hua)框(kuang)里(li)(li),我們(men)可以選擇(ze)對單(dan)個(ge)分(fen)區打開,也可以對整個(ge)硬(ying)盤打開,HD0是我現在正用的(de)西部數據(ju)40G系(xi)統盤,HD1是我們(men)要分(fen)析的(de)硬(ying)盤,邁拓2G。這里(li)(li)我們(men)就(jiu)選擇(ze)打開HD1整個(ge)硬(ying)盤,再點確定.然后我們(men)就(jiu)看到了Winhex的(de)整個(ge)工作界面。
最(zui)上面(mian)的(de)(de)是(shi)菜單欄(lan)和工具欄(lan),下面(mian)最(zui)大的(de)(de)窗(chuang)口是(shi)工作區(qu)(qu),現在看(kan)到的(de)(de)是(shi)硬盤(pan)(pan)的(de)(de)第一個(ge)扇區(qu)(qu)的(de)(de)內容(rong),以十六進(jin)制進(jin)行顯(xian)示,并在右邊(bian)顯(xian)示相應的(de)(de)ASCII碼(ma),右邊(bian)是(shi)詳細資(zi)源面(mian)板,分為(wei)五個(ge)部分:狀態、容(rong)量(liang)、當前位置、窗(chuang)口情(qing)況和剪貼板情(qing)況。這些(xie)情(qing)況對(dui)把握整個(ge)硬盤(pan)(pan)的(de)(de)情(qing)況非常有(you)幫助。另外,在其(qi)上單擊鼠標(biao)右鍵(jian),可(ke)以將詳細資(zi)源面(mian)板與窗(chuang)口對(dui)換位置,或關閉(bi)資(zi)源面(mian)板。(如果關閉(bi)了資(zi)源面(mian)板可(ke)以通過“察看(kan)”菜單——“顯(xian)示”命(ming)令——“詳細資(zi)源面(mian)板”來(lai)打開)。
最下面一(yi)欄是非常有用的輔(fu)助信(xin)息(xi),如(ru)當(dang)前扇區/總扇區數目(mu)……等
向(xiang)下拉拉滾動條,可以(yi)看到(dao)一(yi)個灰色的橫杠,每到(dao)一(yi)個橫杠為(wei)一(yi)個扇(shan)區(qu),一(yi)個扇(shan)區(qu)共512字節,每兩個數字為(wei)一(yi)個字節,比如(ru)00。
下面(mian)我(wo)們來(lai)分(fen)析一下MBR,因為(wei)前(qian)面(mian)我(wo)們說過,前(qian)446個字(zi)節為(wei)引導代碼,對我(wo)們來(lai)說沒有意義,這里我(wo)們只分(fen)析分(fen)區表中的64個字(zi)節。
分(fen)(fen)區(qu)表(biao)64個(ge)字節,一(yi)共可以描(miao)(miao)述(shu)(shu)4個(ge)分(fen)(fen)區(qu)表(biao)項,每一(yi)個(ge)分(fen)(fen)區(qu)表(biao)項可以描(miao)(miao)述(shu)(shu)一(yi)個(ge)主(zhu)分(fen)(fen)區(qu)或一(yi)個(ge)擴(kuo)展分(fen)(fen)區(qu)(比如上面(mian)的分(fen)(fen)區(qu)表(biao),第(di)一(yi)個(ge)分(fen)(fen)區(qu)表(biao)項描(miao)(miao)述(shu)(shu)主(zhu)分(fen)(fen)區(qu)C盤,第(di)二個(ge)分(fen)(fen)區(qu)表(biao)項描(miao)(miao)述(shu)(shu)擴(kuo)展分(fen)(fen)區(qu),第(di)三第(di)四個(ge)分(fen)(fen)區(qu)表(biao)項填零未用)
每一(yi)個分區表(biao)項(xiang)各占16個字節,各字節含(han)義如下:(H表(biao)示16進制(zhi))
字節位置 內容及(ji)含義
第1字節 引導(dao)標志。若值(zhi)(zhi)為80H表(biao)示活動分(fen)區;若值(zhi)(zhi)為00H表(biao)示非活動分(fen)區。
第2、3、4字節 本分(fen)區的(de)起始磁(ci)頭號(hao)(hao)、扇區號(hao)(hao)、柱(zhu)面號(hao)(hao)
第5字節 分區類型符:
00H——表(biao)示該分(fen)區(qu)未用
06H——FAT16基本分區
0BH——FAT32基本分(fen)區
05H——擴展分區
07H——NTFS分區
0FH——(LBA模式)擴展分區
83H—— Linux分區
第6、7、8字節 本分區的結束磁頭(tou)號、扇區號、柱面號
第9、10、11、12字節 本分區之前(qian)已用了的扇區數(shu)
第13、14、15、16字節(jie) 本分區的總扇(shan)區數(shu)
此硬盤的第一分區(qu)表(biao)(即(ji)MBR)分析如下:
第一個分區(qu)表項(C盤)
第1字節80:表示此分(fen)區為(wei)活動分(fen)區;
第5字節0B:表示分區(qu)類型為Fat32;
第(di)9、10、11、12字節(jie) 系(xi)(xi)統(tong)隱含扇(shan)(shan)區(qu)3F 00 00 00:所謂系(xi)(xi)統(tong)隱含扇(shan)(shan)區(qu)就(jiu)(jiu)是(shi)本分(fen)區(qu)(C盤)之前已用了(le)的(de)扇(shan)(shan)區(qu)數(shu)(shu)(shu),這是(shi)一個十六進(jin)(jin)制數(shu)(shu)(shu),但要注意:真正的(de)隱含扇(shan)(shan)區(qu)數(shu)(shu)(shu)應該反過(guo)來(lai)填寫(比如:隱含扇(shan)(shan)區(qu)數(shu)(shu)(shu)為3E 4D 5A 6F,則反過(guo)來(lai)就(jiu)(jiu)是(shi)6F 5A 4D 3E ,這才(cai)是(shi)實際的(de)隱含扇(shan)(shan)區(qu)數(shu)(shu)(shu))。那么,3F 00 00 00反過(guo)來(lai)寫就(jiu)(jiu)是(shi)00 00 003F,也就(jiu)(jiu)是(shi)3F,將(jiang)他轉成十進(jin)(jin)制數(shu)(shu)(shu)我(wo)們才(cai)能知道實際的(de)隱含扇(shan)(shan)區(qu)數(shu)(shu)(shu)是(shi)多大。這可以使(shi)用計算器(qi)來(lai)算,單(dan)擊(ji)工具欄上的(de)“計算器(qi)”按鈕。
這樣就啟(qi)動了計算器(qi)
計(ji)算器(qi)有兩種型號,我們要進行進制轉換,就要選擇“科學型”
比如我們(men)要將十六進制(zhi)3F轉(zhuan)換為十進制(zhi),就要先選中“十六進制(zhi)”,然后(hou)輸入(ru)3F
再選中“十進(jin)制”,十六(liu)進(jin)制3F轉(zhuan)為十進(jin)制等于63。想一(yi)(yi)想我們前(qian)面所講的(de),MBR占用(yong)63個扇區,也(ye)就是(shi)C盤(pan)之前(qian)已用(yong)了的(de)扇區數為63,第64個扇區就是(shi)C盤(pan)的(de)第一(yi)(yi)個扇區,但要注意的(de)是(shi),整(zheng)個硬盤(pan)的(de)LBA地址(zhi)是(shi)從(cong)零(ling)開(kai)始的(de),0~62的(de)扇區為MBR。
第(di)13、14、15、16字(zi)節(jie)本分區(qu)(qu)總扇(shan)區(qu)(qu)數(shu)(shu)(當然,這也就(jiu)是(shi)C盤(pan)的(de)(de)大小):C1 E6 15 00,同樣(yang),實際的(de)(de)十(shi)六(liu)進(jin)制數(shu)(shu)也要反過來(lai)才對,也就(jiu)是(shi)00 15 E6 C1,將它轉換成十(shi)六(liu)進(jin)制數(shu)(shu)是(shi)1435329。給你出個(ge)題(ti),你知道D盤(pan)的(de)(de)EBR在哪個(ge)扇(shan)區(qu)(qu)嗎?我們一起來(lai)算一下,還記得前面(mian)數(shu)(shu)據結構那(nei)個(ge)表嗎?C盤(pan)后面(mian)不就(jiu)是(shi)D盤(pan)的(de)(de)EBR嗎?D盤(pan)EBR的(de)(de)第(di)一個(ge)扇(shan)區(qu)(qu)=MBR+C盤(pan)的(de)(de)大小,也就(jiu)是(shi) 63+1435329=1435392。
我們來(lai)看(kan)看(kan)對不(bu)對,單擊工具欄上的“轉到扇區”按鈕,出(chu)現一個(ge)“轉到扇區”對話框
然后輸(shu)入1435392,再點“確定(ding)”,就到了1435392扇區了(你可(ke)以使用(yong)它再轉回到0扇區)
這個(ge)(ge)就是(shi)(shi)(shi)D盤的(de)EBR,也就是(shi)(shi)(shi)D盤的(de)分區(qu)(qu)(qu)表了,怎么知(zhi)道的(de)呢?因為(wei)MBR和EBR的(de)結(jie)構是(shi)(shi)(shi)完全(quan)一樣(yang)的(de),都是(shi)(shi)(shi)占用了63個(ge)(ge)扇區(qu)(qu)(qu),但只(zhi)用了第一個(ge)(ge)扇區(qu)(qu)(qu),其余62個(ge)(ge)扇區(qu)(qu)(qu)填零(ling)不(bu)(bu)用。第一個(ge)(ge)扇區(qu)(qu)(qu)前(qian)446個(ge)(ge)字節都為(wei)引導代(dai)碼(ma)(ma),后(hou)64個(ge)(ge)字節為(wei)分區(qu)(qu)(qu)表,最后(hou)2個(ge)(ge)字節為(wei)55AA結(jie)束標志。因為(wei)EBR不(bu)(bu)是(shi)(shi)(shi)活動(dong)分區(qu)(qu)(qu),不(bu)(bu)需要(yao)引導代(dai)碼(ma)(ma),所(suo)以前(qian)446個(ge)(ge)字節為(wei)零(ling)。
還有另(ling)一種方法直接(jie)找到D盤(pan)的EBR,扇(shan)區.
這樣,分(fen)(fen)區(qu)(qu)表中的第(di)一個(ge)分(fen)(fen)區(qu)(qu)表項(xiang)(xiang)共(gong)十六個(ge)字節分(fen)(fen)析完畢(bi),下(xia)面我們再來看(kan)(kan)看(kan)(kan)第(di)二個(ge)分(fen)(fen)區(qu)(qu)表項(xiang)(xiang)(擴展分(fen)(fen)區(qu)(qu))。
第1字節00:表示非(fei)活動分(fen)區
第5字節05:表示擴(kuo)展分區
第(di)9、10、11、12字節(jie)00 E7 15 00:本分區(qu)之前的扇區(qu)數(擴展分區(qu)前面(mian)也就(jiu)是MBR和C盤(pan),好像我們前面(mian)算過(guo)這(zhe)個數?)同(tong)樣,先將它反過(guo)來,就(jiu)是00 15 E7 00 ,再轉為十進制是1435392,看來我們前面(mian)真的算過(guo)這(zhe)個數。
第13、14、15、16字節40 09 29 00:本分區(qu)(qu)(qu)(qu)的(de)(de)總扇區(qu)(qu)(qu)(qu)數(shu)(shu)。也就是(shi)擴展分區(qu)(qu)(qu)(qu)的(de)(de)總扇區(qu)(qu)(qu)(qu)數(shu)(shu)。轉為十進制應該(gai)是(shi)2689344。想(xiang)一想(xiang),用(yong)這個數(shu)(shu)加(jia)上前面的(de)(de)1435392,不正好是(shi)整個硬盤的(de)(de)總扇區(qu)(qu)(qu)(qu)數(shu)(shu)4124736嗎?
這(zhe)(zhe)樣(yang),如(ru)果分(fen)(fen)區表被破壞,我(wo)們(men)只(zhi)要把(ba)(ba)這(zhe)(zhe)些數值都(dou)(dou)計算出來(lai)并填上,分(fen)(fen)區表不就(jiu)恢(hui)復了(le)?那(nei)么,這(zhe)(zhe)里我(wo)們(men)為什(shen)么不分(fen)(fen)析第(di)2、3、4字節(jie)(jie)(本分(fen)(fen)區的(de)起始磁(ci)(ci)頭號(hao)(hao)(hao)、扇(shan)(shan)區號(hao)(hao)(hao)、柱(zhu)面(mian)號(hao)(hao)(hao))和第(di)6、7、8字節(jie)(jie)(本分(fen)(fen)區的(de)結(jie)束磁(ci)(ci)頭號(hao)(hao)(hao)、扇(shan)(shan)區號(hao)(hao)(hao)、柱(zhu)面(mian)號(hao)(hao)(hao))呢(ni)?這(zhe)(zhe)是(shi)因(yin)為C/H/S(柱(zhu)面(mian)/磁(ci)(ci)頭/扇(shan)(shan)區)是(shi)老式(shi)(shi)硬(ying)盤(pan)的(de)尋(xun)址方(fang)式(shi)(shi),這(zhe)(zhe)種(zhong)(zhong)尋(xun)址方(fang)式(shi)(shi)來(lai)管(guan)理(li)硬(ying)盤(pan)效率(lv)很(hen)低;而現(xian)在(zai)幾乎所(suo)(suo)有的(de)硬(ying)盤(pan)都(dou)(dou)支(zhi)持LBA(全稱是(shi)Logic Block Address,即扇(shan)(shan)區的(de)邏(luo)輯塊地址)尋(xun)址方(fang)式(shi)(shi),這(zhe)(zhe)種(zhong)(zhong)管(guan)理(li)方(fang)式(shi)(shi)簡單高效。在(zai)LBA方(fang)式(shi)(shi)下,系統(tong)把(ba)(ba)所(suo)(suo)有的(de)物(wu)理(li)扇(shan)(shan)區都(dou)(dou)統(tong)一(yi)編號(hao)(hao)(hao),按照從零到(dao)某個(ge)(ge)最大值排(pai)列(lie),這(zhe)(zhe)樣(yang)只(zhi)用(yong)一(yi)個(ge)(ge)序數就(jiu)確定了(le)一(yi)個(ge)(ge)唯一(yi)的(de)物(wu)理(li)扇(shan)(shan)區。
小知識:具(ju)體一個(ge)硬(ying)(ying)盤(pan)(pan)有(you)(you)多少個(ge)LBA(扇區)不需要(yao)我(wo)們(men)去(qu)記憶,因(yin)為用(yong)各(ge)種工具(ju)軟(ruan)件(如MHDD WINHEX等)都可以檢測到。我(wo)們(men)只(zhi)要(yao)知道個(ge)大概(gai)(gai)就(jiu)行了:如10G的硬(ying)(ying)盤(pan)(pan)大概(gai)(gai)有(you)(you)2000萬個(ge)扇區;20G的硬(ying)(ying)盤(pan)(pan)大概(gai)(gai)有(you)(you)4000萬個(ge)扇區;40G的硬(ying)(ying)盤(pan)(pan)大概(gai)(gai)有(you)(you)8000萬個(ge)扇區……那么,2G的硬(ying)(ying)盤(pan)(pan)大概(gai)(gai)有(you)(you)400萬個(ge)扇區。
那(nei)么,你(ni)(ni)可能要(yao)問了:如果(guo)要(yao)恢復分區(qu)表,這個起始磁頭號(hao)(hao)(hao)、扇區(qu)號(hao)(hao)(hao)、柱面號(hao)(hao)(hao)還有(you)結束磁頭號(hao)(hao)(hao)、扇區(qu)號(hao)(hao)(hao)、柱面號(hao)(hao)(hao)應該怎么填呢?簡(jian)單得很,在后面恢復分區(qu)表的時候我會(hui)告訴你(ni)(ni),直(zhi)接填,都(dou)不用(yong)計(ji)算。
還有興趣來分析(xi)一下D盤的EBR嗎?
其實D盤的(de)EBR和E盤的(de)EBR我們(men)不分(fen)析(xi)(xi)也罷(ba),因為無非也是分(fen)區表,跟MBR的(de)結構是一樣的(de),但卻很(hen)容(rong)易把我們(men)繞(rao)暈,又因為EBR一般不容(rong)易被破壞(huai),所以我不建議分(fen)析(xi)(xi)EBR。
但如果你一定要分(fen)析,那就分(fen)析吧。
單擊“訪(fang)問”下拉按鈕——“分(fen)區(qu)二”——“分(fen)區(qu)表”,直接就(jiu)到1435392扇區(qu),即D盤的分(fen)區(qu)表EBR。
第一個分區(qu)表項(D盤):
第(di)1個字節(jie)00:表(biao)示非活動分區
第(di)5個字節06:表示(shi)FAT16分區
第(di)9、10、11、12字節3F 00 00 00:本(ben)分區(qu)之前已用(yong)了的(de)扇區(qu)數,也就是EBR的(de)數目,63個。
第13、14、15、16字(zi)節C1 E6 15 00:本分區(qu)的總扇區(qu)數(shu),也就(jiu)是(shi)D盤的扇區(qu)數(shu),先反過來排列(lie)就(jiu)是(shi)00 15 E6 C1,轉為十進(jin)制就(jiu)是(shi)1435329。
第二個分區表項(D盤后面的):
第1個字節00:表示非活動分區
第5個(ge)字(zi)節05:表示擴(kuo)展分(fen)區
第9、10、11、12字(zi)節00 E7 15 00:本分區(qu)(qu)之(zhi)前(qian)已(yi)用了(le)的(de)扇區(qu)(qu)數,也就(jiu)是D盤的(de)EBR加D盤總共的(de)大小, 63+1435329=1435392
第13、14、15、16字節40 22 13 00:本分區的(de)總扇區數,1253952,也就是E盤的(de)大小(xiao)再加上(shang)一(yi)個EBR的(de)數目。
單擊(ji)“訪問”下拉按鈕——“分區(qu)三”——“分區(qu)表”,直接就到2870784扇區(qu),即E
盤(pan)(pan)的(de)分區表(biao)EBR。因為E盤(pan)(pan)后面沒有(you)分區了(le),所以沒有(you)第二個分區表(biao)項。這(zhe)里我們(men)就不再研究(jiu)(jiu)了(le),有(you)興趣的(de)話可(ke)以自己(ji)多備(bei)一塊硬盤(pan)(pan)作從盤(pan)(pan),然后自己(ji)分分區研究(jiu)(jiu)研究(jiu)(jiu)。
通(tong)過以上的(de)(de)(de)(de)(de)研究我們(men)總結(jie)一(yi)(yi)(yi)下,MBR在(zai)(zai)定(ding)義(yi)(yi)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)(de)(de)(de)時候(hou),將多余的(de)(de)(de)(de)(de)容量定(ding)義(yi)(yi)為(wei)擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),指(zhi)定(ding)該(gai)(gai)擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)(de)(de)(de)起(qi)止位(wei)置,根據(ju)起(qi)始位(wei)置指(zhi)向硬(ying)盤(pan)(pan)的(de)(de)(de)(de)(de)某(mou)一(yi)(yi)(yi)個(ge)(ge)(ge)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu),作為(wei)下一(yi)(yi)(yi)個(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)表項(xiang),接著在(zai)(zai)該(gai)(gai)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)繼續定(ding)義(yi)(yi)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),如(ru)(ru)果只(zhi)有一(yi)(yi)(yi)個(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)定(ding)義(yi)(yi)該(gai)(gai)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),然后(hou)結(jie)束;如(ru)(ru)果不(bu)止一(yi)(yi)(yi)個(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)定(ding)義(yi)(yi)一(yi)(yi)(yi)個(ge)(ge)(ge)基本分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)和一(yi)(yi)(yi)個(ge)(ge)(ge)擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)再指(zhi)向下一(yi)(yi)(yi)個(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)描述扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu),在(zai)(zai)該(gai)(gai)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)上按照(zhao)上述原則繼續定(ding)義(yi)(yi)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),直至分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)定(ding)義(yi)(yi)結(jie)束。這(zhe)(zhe)些(xie)用來描述分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)(de)(de)(de)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)形成一(yi)(yi)(yi)個(ge)(ge)(ge)“分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)”,通(tong)過這(zhe)(zhe)個(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian),就(jiu)可以描述所(suo)(suo)有的(de)(de)(de)(de)(de)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)。系(xi)(xi)(xi)統在(zai)(zai)啟動(dong)時按照(zhao)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)的(de)(de)(de)(de)(de)連接順(shun)序查(cha)找分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),直至找出所(suo)(suo)有分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)。這(zhe)(zhe)個(ge)(ge)(ge)鏈(lian)(lian)顯(xian)然是個(ge)(ge)(ge)開(kai)鏈(lian)(lian)結(jie)構,如(ru)(ru)果形成一(yi)(yi)(yi)個(ge)(ge)(ge)環,系(xi)(xi)(xi)統本身并不(bu)會去判(pan)斷(duan)它(ta),它(ta)只(zhi)是按照(zhao)這(zhe)(zhe)個(ge)(ge)(ge)鏈(lian)(lian)忠實的(de)(de)(de)(de)(de)查(cha)找分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),而不(bu)進行任何額外(wai)的(de)(de)(de)(de)(de)檢測與處(chu)理(li)。所(suo)(suo)謂硬(ying)盤(pan)(pan)邏(luo)輯(ji)鎖,就(jiu)是讓分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)形成一(yi)(yi)(yi)個(ge)(ge)(ge)環,這(zhe)(zhe)樣系(xi)(xi)(xi)統在(zai)(zai)啟動(dong)時就(jiu)在(zai)(zai)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)表內循(xun)環,表現為(wei)系(xi)(xi)(xi)統無法(fa)引導,就(jiu)是從軟盤(pan)(pan)啟動(dong),也不(bu)能進入(ru)硬(ying)盤(pan)(pan)。明白了其結(jie)構原理(li),解(jie)決這(zhe)(zhe)個(ge)(ge)(ge)問(wen)題(ti)就(jiu)簡單了,目前有很多種(zhong)方法(fa)解(jie)決這(zhe)(zhe)個(ge)(ge)(ge)問(wen)題(ti),后(hou)面(mian)我們(men)還(huan)會講(jiang)到。系(xi)(xi)(xi)統就(jiu)是利用這(zhe)(zhe)種(zhong)方法(fa)使一(yi)(yi)(yi)個(ge)(ge)(ge)硬(ying)盤(pan)(pan)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)后(hou)看起(qi)來象多個(ge)(ge)(ge)硬(ying)盤(pan)(pan)。系(xi)(xi)(xi)統能夠找到C盤(pan)(pan)以外(wai)的(de)(de)(de)(de)(de)其他邏(luo)輯(ji)盤(pan)(pan)的(de)(de)(de)(de)(de)唯一(yi)(yi)(yi)辦法(fa)就(jiu)是,沿著EBR所(suo)(suo)描述的(de)(de)(de)(de)(de)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)查(cha)找分(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)。
其(qi)實,通(tong)常情況下(xia)EBR是不會被破壞的(de)(de),或者破壞的(de)(de)幾(ji)率極低極低,通(tong)常情況下(xia),都是只(zhi)有MBR被破壞,那(nei)么這種情況下(xia),我(wo)們只(zhi)要把MBR的(de)(de)分區(qu)表(biao)64個字節復原(yuan),其(qi)他的(de)(de)分區(qu)順著分區(qu)表(biao)所提供的(de)(de)鏈自(zi)然而然就出來(lai)了。那(nei)么,如何才能(neng)將分區(qu)表(biao)復原(yuan)呢?這就要通(tong)過計(ji)算(suan)結合Winhex強大(da)的(de)(de)功能(neng)來(lai)實現了。
下面(mian)我們就來模(mo)仿(fang)分區表(biao)被病毒破(po)壞的(de)情況,將(jiang)MBR全(quan)部填零。我們首先將(jiang)MBR所在的(de)扇區選(xuan)中(zhong)。鼠標指向第一(yi)個字節,單(dan)擊右鍵(jian),選(xuan)擇“選(xuan)塊開始”
然后鼠標指(zhi)向(xiang)MBR的最后一個字節,單(dan)擊(ji)右鍵,選擇“選塊結尾”
然后(hou)我(wo)們在選區內(nei)部單(dan)擊鼠標右(you)鍵,選擇(ze)“編輯”
這樣就有出來一(yi)個(ge)菜(cai)單
然后我們(men)選“填(tian)充選塊(kuai)”,這樣(yang)就出(chu)來一個填(tian)充選塊(kuai)對(dui)話框
在“用十六進制填(tian)充”的輸入框中輸入“00”,再點“確定”
這樣MBR所在扇區全部(bu)被我們填充為“00”
如果(guo)(guo)想取消選(xuan)區,那(nei)(nei)就(jiu)用鼠標拖(tuo)動(dong)隨便選(xuan)中一塊區域,那(nei)(nei)么原來的選(xuan)區就(jiu)會取消。注意,如果(guo)(guo)扇(shan)區數據被修改了而沒有存盤(pan)就(jiu)會變(bian)為(wei)別的顏色。
修改了扇區,這(zhe)時候還沒有存(cun)盤(pan)生效,如(ru)果你想存(cun)盤(pan)生效的話,就選擇“文件”菜單(dan)“保存(cun)扇區”命(ming)令(ling)。
這時候就會出(chu)現一個提示,如(ru)果(guo)你(ni)不想存盤了就點(dian)取消,如(ru)果(guo)想存盤,就點(dian)確定,再(zai)點(dian)是。
好,這樣(yang)就存盤了,扇區被(bei)修改的數據又變為(wei)黑(hei)色。
這樣(yang)我們就把(ba)分區表(biao)給刪除(chu)了,這時(shi)候必須重新(xin)啟動才能生(sheng)效,如果你(ni)打開我的電腦(nao),會發現三個分區(F、G、H)還(huan)在(zai)那里,并且里面的數據(ju)還(huan)能正常(chang)使用。
現在,我們關閉所有(you)程序將電腦重(zhong)新啟動……
經過不長時間的等待,電(dian)腦啟動(dong)起來了(le),我們打開我的電(dian)腦看看,發(fa)現(xian)F、G、H三個分區不見(jian)了(le)。
再打開Winhex發現MBR全部(bu)為零了,下面我(wo)們(men)就著手(shou)開始手(shou)工恢復分區表
首先恢復引(yin)(yin)導(dao)代(dai)碼,這(zhe)最簡單(dan)了(le)(le),只要(yao)用Winhex到別的系(xi)統(tong)盤(pan)把(ba)引(yin)(yin)導(dao)代(dai)碼復制過來就(jiu)行了(le)(le)。我(wo)現在的機器上不是掛著兩個硬盤(pan)嗎?一個邁拓2G,一個西(xi)(xi)數40G,西(xi)(xi)數40G是我(wo)的系(xi)統(tong)盤(pan),那就(jiu)從(cong)這(zhe)個盤(pan)上復制就(jiu)行了(le)(le)。
單擊(ji)“磁盤編輯器(qi)”按(an)鈕(niu)
出現(xian)“編輯磁盤”對話框
選擇“HD0WDC WD400EB---00CPF0”,點“確定”
這樣我(wo)們就把(ba)系統(tong)盤(pan)的分區表給打(da)開了,注意,現在(zai)我(wo)們是(shi)打(da)開了兩個窗口(kou),當前(qian)的窗口(kou)是(shi)“硬(ying)盤(pan)0”,在(zai)標題欄上有顯示。另(ling)外,打(da)開窗口(kou)菜單也能看出來,當前(qian)窗口(kou)被打(da)上一個勾,如(ru)果想(xiang)切換回原來的窗口(kou),就點擊“硬(ying)盤(pan)1”。
首先選(xuan)中系(xi)統盤的引導(dao)代碼(ma)
然后(hou)在選(xuan)區(qu)中單(dan)擊(ji)鼠標(biao)右鍵,選(xuan)“編輯”
又出來一個菜(cai)單,然后(hou)我們選(xuan)“復制(zhi)選(xuan)塊”——“正常”
然后我們切換回(hui)硬(ying)盤1窗口(kou),在零扇區的(de)第一個字節處單擊鼠標右鍵,選“編(bian)輯”
然后(hou)選“剪貼板(ban)數據(ju)”——“寫(xie)入(ru)……”
出現一(yi)個窗口提示,點(dian)“確定”
這樣,我們就把(ba)一個正常系統盤上的引導代碼(ma)復制(zhi)過(guo)來了。
下(xia)面,我(wo)們就開始恢復分區(qu)(qu)表(共(gong)64個(ge)(ge)字(zi)節(jie),分為4個(ge)(ge)分區(qu)(qu)表項,每(mei)個(ge)(ge)分區(qu)(qu)表項占用(yong)16個(ge)(ge)字(zi)節(jie),一(yi)般只使(shi)用(yong)前(qian)兩個(ge)(ge)分區(qu)(qu)表項),我(wo)們首先(xian)來恢復第一(yi)個(ge)(ge)分區(qu)(qu)標項(也就是用(yong)來描述C盤的)。
首先(xian),在第1個字(zi)節(jie)(jie)處(0扇(shan)區(qu)(qu)倒數第五(wu)行,倒數第二(er)個字(zi)節(jie)(jie))填上(shang)分(fen)區(qu)(qu)引導標志,因為C盤(pan)是活動分(fen)區(qu)(qu),所以填上(shang)80。
接著是第2、3、4字節(本分區(qu)起(qi)始(shi)磁頭號(hao)、扇區(qu)號(hao)、柱面號(hao)),填上:01 01 00。
第5字節是分(fen)區類(lei)型符,因為原先C盤是Fat32格式(shi)(shi),所(suo)以填上:0B。那么(me)(me),如(ru)果你(ni)不知(zhi)道(dao)C盤是什么(me)(me)格式(shi)(shi)怎么(me)(me)辦(ban)呢?你(ni)會(hui)說問(wen)(wen)問(wen)(wen)客戶呀,那么(me)(me)如(ru)果他也不知(zhi)道(dao)呢?別著急,后(hou)面在說恢復DBR的時候我會(hui)教你(ni)怎么(me)(me)分(fen)辨分(fen)區的格式(shi)(shi)。
第6、7、8字(zi)節是(shi)本分區(qu)的(de)結(jie)束磁頭號(hao)(hao)、扇區(qu)號(hao)(hao)、柱面號(hao)(hao),這怎么知道呢?別著急,現在的(de)磁盤都是(shi)按(an)照LBA方式(shi)尋址,并不按(an)照C/H/S(及柱面、磁頭、扇區(qu))方式(shi)尋址,所(suo)以這個(ge)地方你(ni)填(tian)些什么一般關系不大,但是(shi)我要告訴你(ni)有一個(ge)通用的(de)填(tian)法,那就是(shi):FE FF FF。
第9、10、11、12字(zi)節,本分區(qu)之前已用了的(de)扇區(qu)數,也(ye)就是(shi)MBR所(suo)占用的(de)扇區(qu)數,那(nei)不是(shi)63嗎?對,但是(shi)要將(jiang)63轉(zhuan)為(wei)十(shi)六(liu)進(jin)制數,再反(fan)過來倒(dao)著填寫(xie)上。還記得怎么用計算器嗎?將(jiang)63轉(zhuan)為(wei)十(shi)六(liu)進(jin)制數是(shi)3F,不夠(gou)四個字(zi)節前面加零,也(ye)就是(shi)00 00 00 3F,再將(jiang)此數從右向(xiang)左依(yi)次序(xu)反(fan)過來就是(shi)3F 00 00 00。
第13、14、15、16字節是(shi)(shi)本(ben)分(fen)區的(de)(de)(de)總扇區數,也就是(shi)(shi)C盤的(de)(de)(de)大小,這就要(yao)通過稍微一(yi)點(dian)(dian)點(dian)(dian)計算來得(de)到了(le)(le)。因為C盤是(shi)(shi)從第63個扇區開始,而C盤后面緊(jin)接著的(de)(de)(de)是(shi)(shi)EBR,所以用EBR所在的(de)(de)(de)第一(yi)個扇區數減去63就是(shi)(shi)C盤的(de)(de)(de)大小。那么如(ru)何(he)才能找到EBR所在的(de)(de)(de)第一(yi)個扇區呢(ni)?我們(men)前面說過,EBR的(de)(de)(de)結構和MBR是(shi)(shi)一(yi)樣的(de)(de)(de),所以,EBR的(de)(de)(de)結束標志也一(yi)定是(shi)(shi)55AA,那么,只要(yao)我們(men)找到這個結束標志,再看看這個扇區是(shi)(shi)不是(shi)(shi)EBR不就行了(le)(le)?
單擊“搜(sou)索”——“查找十六進制(zhi)數值……”,然后出來一個對話框
在文本框中輸(shu)入“55AA”,搜索框中選“全部”,然(ran)后選中“條(tiao)件”,把(ba)偏移量設置為“512=510”。
再(zai)單擊(ji)“確定”。畫(hua)面(mian)如下:
首先找到(dao)第一個“55AA”,我(wo)們看到(dao),個扇(shan)區在第63個扇(shan)區上,并不是(shi)我(wo)們要(yao)找的EBR,再按(an)F3繼續查找
又找到好幾個扇區(qu),都不是,那么下面這個扇區(qu)是不是?
前面我們說(shuo)過,EBR的(de)(de)結構和MBR的(de)(de)結構是(shi)(shi)(shi)一樣的(de)(de),所以在(zai)倒(dao)數第五行(xing)倒(dao)數第二(er)個字(zi)節應該是(shi)(shi)(shi)00 01,并(bing)且前446個字(zi)節應該是(shi)(shi)(shi)0,顯然(ran)這也(ye)不是(shi)(shi)(shi)EBR,繼續按F3查找(zhao)(zhao)……終(zhong)于找(zhao)(zhao)到(dao)了真(zhen)正的(de)(de)EBR,在(zai)1435392扇(shan)區。
小技巧:現在(zai)的(de)硬(ying)盤(pan)都(dou)比較(jiao)大(da),要逐(zhu)個(ge)扇(shan)區(qu)的(de)查找55AA確實(shi)太(tai)慢了,那么有(you)(you)沒有(you)(you)辦法快點呢?有(you)(you),那就是(shi)(shi)先問(wen)問(wen)客(ke)戶C盤(pan)大(da)概(gai)有(you)(you)多大(da),大(da)多數客(ke)戶還是(shi)(shi)知道的(de),比如他說C盤(pan)大(da)概(gai)有(you)(you)10個(ge)G,那么你就不要從頭開始找了,因為(wei)那實(shi)在(zai)太(tai)慢了。10個(ge)G大(da)概(gai)是(shi)(shi)2000萬個(ge)扇(shan)區(qu),那么你可以用轉到扇(shan)區(qu)命令直接到1900萬扇(shan)區(qu),從那個(ge)地方再開始找不就省事多了。
用(yong)1435392減去63,得到1435329,再轉為16進(jin)制,就是(shi)15E6C1,將他倒轉過(guo)來(lai)就是(shi)C1E61500,這(zhe)就是(shi)C盤(pan)的(de)大小。這(zhe)樣,第(di)一個(ge)(ge)分區(qu)表項填(tian)(tian)寫(xie)完畢,我(wo)們保存一下,再接著(zhu)填(tian)(tian)寫(xie)第(di)二個(ge)(ge)分區(qu)表項。
第(di)二個分區表(biao)第(di)1個字節:因為是(shi)非活(huo)動(dong)分區,所以寫00
第2、3、4字(zi)節(jie),填寫01 01 00(通用的)
第(di)5字節(jie):因為是(shi)擴展分區,所以填寫0F
第(di)6、7、8字節:填寫FE FF FF(通用)
第9、10、11、12字(zi)節是本分區之前已(yi)用了的扇區數,應該就是C盤大小加63,也就是1435392,前面剛計算出來的,轉為(wei)十六進制數再反過來就是00 E7 15 00
第13、14、15、16字節是(shi)本分(fen)區(qu)(qu)的(de)總扇區(qu)(qu)數,也就(jiu)是(shi)擴展分(fen)區(qu)(qu)的(de)總扇區(qu)(qu)數,也就(jiu)是(shi)用整個硬盤的(de)大小減(jian)(jian)去C盤的(de)大小再減(jian)(jian)去63,即4124736-1435329-63=2689344,轉為十(shi)六進制就(jiu)是(shi)290940,反過(guo)來就(jiu)是(shi)40092900。
這樣,第二個(ge)分區(qu)表(biao)項就填(tian)寫完了。
不(bu)要忘了把(ba)最(zui)后(hou)的結束標志55AA填上,這樣,MBR就全恢復完了,最(zui)后(hou),保存,再重新啟動……
啟(qi)動完(wan)畢,迫不及待的(de)打開(kai)我的(de)電腦,發(fa)現三個分區全部又回來了(le),并且里面的(de)數據(ju)完(wan)好無損(sun)。
再右(you)擊“我的(de)電腦”,選“管理”
出現一(yi)(yi)個對話框,選“磁(ci)盤管理”,在右(you)邊(bian)可以看到(dao)磁(ci)盤一(yi)(yi)的(de)三個分區(Fat32、Fat16、Ntfs)全部都回(hui)來(lai)了,至此,手(shou)工恢(hui)復分區表順利完成。
手工(gong)(gong)恢復數據恢復成功率比較(jiao)高,而且比較(jiao)有趣味和挑戰(zhan)性(xing),能(neng)找回許(xu)多傻瓜(gua)似的軟件所找不(bu)回來的文(wen)件,但是要(yao)求工(gong)(gong)程師一(yi)(yi)定要(yao)有耐性(xing),而且一(yi)(yi)定要(yao)保持(chi)清(qing)醒(xing),清(qing)楚自己正(zheng)在操作(zuo)什(shen)(shen)么,操作(zuo)完了(le)會有什(shen)(shen)么后果,能(neng)不(bu)能(neng)退回到(dao)上一(yi)(yi)步狀(zhuang)態。特(te)別是對一(yi)(yi)些破壞性(xing)操作(zuo),一(yi)(yi)定要(yao)考慮周到(dao),只(zhi)要(yao)條(tiao)件允許(xu),就一(yi)(yi)定要(yao)在操作(zuo)之前(qian)進(jin)行備份,否則會造成“血”的教訓,切記!