具體來說,WinHex是一款以通(tong)用(yong)的 16 進制編(bian)輯(ji)器為核(he)心,專門用(yong)來對付計算機取證、數(shu)據(ju)恢復、低級數(shu)據(ju)處理、以及 IT 安(an)全性、各(ge)種(zhong)日(ri)常緊急(ji)情況的高級工具:用(yong)來檢(jian)查(cha)和修復各(ge)種(zhong)文件、恢復刪除文件、硬盤(pan)損壞、數(shu)碼相機卡損壞造成(cheng)的數(shu)據(ju)丟失(shi)等。功能(neng)包括(依照授權類型(xing)):
* 查看,編(bian)輯和(he)修復(fu)磁(ci)盤(pan)(pan),可用(yong)于硬盤(pan)(pan),軟(ruan)盤(pan)(pan),以及(ji)許多其它可存(cun)儲介(jie)質類型(xing)。
*支(zhi)持(chi) FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3, CDFS, UDF
* 內置RAID和動(dong)態磁盤分析器
* RAM 編輯器(qi),可直接查(cha)看/編輯被調試程序的虛擬(ni)內(nei)存
* 數(shu)據解釋器,精通 20 種(zhong)數(shu)據類(lei)型(xing)
* 使用模(mo)板編輯數據結構(gou)
* 連(lian)接,分割,合(he)并,分析和比較文件
* 智能(neng)搜索和替(ti)換功能(neng),進(jin)行(xing)替(ti)換時(shi),如(ru)果(guo)替(ti)換字符大于或小于原始字符時(shi)可進(jin)行(xing)選擇性操作
* 不(bu)同驅(qu)動器(qi)(qi)克隆以及驅(qu)動器(qi)(qi)鏡像解(jie)釋
* 腳本和應用程(cheng)序接口(API)
* 用于文件和磁盤(pan)的成熟的撤(che)消和備份機制
* 加密(mi)和(he)解密(mi)數(shu)據,Hash計算(校(xiao)驗和(he),CRC32,MD5,SHA-1,...)
* 粉碎文(wen)件和磁盤(pan)數據,粉碎后(hou)的(de)文(wen)件和磁盤(pan)數據任何人都不可(ke)能(neng)進行恢復(fu)
* 支(zhi)持所有剪(jian)貼板格式的導入
* 數(shu)(shu)據格式轉換,支持(chi)二進(jin)制,16 進(jin)制 ASCII,Intel 16 進(jin)制,及 Motorola-S 等數(shu)(shu)據之間的相互轉換;
* 隱藏數據和查找隱藏數據
*支持打開超過4GB的文件(jian),而且速度很快
* 用于計算機進(jin)程的眾多顯著有效(xiao)的高(gao)級(ji)功能
在Winhex中集成(cheng)了強大的(de)工具(ju)(ju),包括磁(ci)盤編(bian)輯(ji)(ji)器(qi),Hex轉(zhuan)(zhuan)換(huan)器(qi)和RAM編(bian)輯(ji)(ji)工具(ju)(ju),并能(neng)夠(gou)方便的(de)調用(yong)系(xi)統(tong)常(chang)用(yong)工具(ju)(ju)如:計(ji)算器(qi),記(ji)(ji)事本(ben),瀏(liu)覽器(qi)等(deng)。在未(wei)登記(ji)(ji)注(zhu)冊的(de)版本(ben)中,可以(yi)編(bian)輯(ji)(ji),但(dan)不能(neng)保存大小超過(guo)512K的(de)文(wen)件且只能(neng)瀏(liu)覽而不能(neng)修(xiu)改編(bian)輯(ji)(ji)RAM區域。按(an)F8,彈出十(shi)(shi)六進(jin)制和十(shi)(shi)進(jin)制轉(zhuan)(zhuan)換(huan)器(qi),左(zuo)邊(bian)欄(lan)顯示(shi)十(shi)(shi)六進(jin)制數字,右(you)邊(bian)欄(lan)顯示(shi)十(shi)(shi)進(jin)制數字。如果(guo)你在左(zuo)邊(bian)輸入十(shi)(shi)六進(jin)制數,按(an)Enter其十(shi)(shi)進(jin)制結果(guo)就出現在右(you)邊(bian)的(de)矩形框(kuang)中了,反之亦然(ran)。如果(guo)你按(an)組合鍵Alt+F8,可調用(yong)系(xi)統(tong)計(ji)算器(qi)。
Winhex使用(yong)簡單(dan),功能強大(da),可以方便你(ni)(ni)程序(xu)的調試、文本編輯、科(ke)學計(ji)算和系統管理,相信你(ni)(ni)會喜歡的。如果你(ni)(ni)想刪(shan)除Winhex軟件(jian),簡單(dan),把(ba)整(zheng)個目錄干掉就行了(le)
在DOS時代,我們編輯(ji)文件代碼用(yong)的(de)(de)一般都(dou)是(shi)PCTOOLS5.0,可是(shi)自從FAT32出(chu)現(xian)以來,PCTOOLS5.0不能用(yong)了(le),就很少優秀的(de)(de)文件編輯(ji)器出(chu)現(xian)過,不過現(xian)在筆者向大家介紹的(de)(de)這一款(kuan)winhex可以說是(shi)繼前(qian)者之后的(de)(de)最優秀的(de)(de)文件編輯(ji)器了(le)。
作為一個16進制文件(jian)編(bian)(bian)(bian)(bian)輯(ji)與磁(ci)盤編(bian)(bian)(bian)(bian)輯(ji)軟件(jian)。WinHex以(yi)文件(jian)小、速度快,功(gong)(gong)能(neng)強大而著稱,連ZDNetSoftwareLibrary也給了他5星的(de)(de)最高評價。它可以(yi)勝(sheng)任Hex和(he)ASCII碼編(bian)(bian)(bian)(bian)輯(ji)修改,多(duo)文件(jian)尋(xun)替換功(gong)(gong)能(neng),一般(ban)運算及邏輯(ji)運算,磁(ci)盤磁(ci)區編(bian)(bian)(bian)(bian)輯(ji)(支持FAT16、FAT32和(he)NTFS)自(zi)動搜(sou)尋(xun)編(bian)(bian)(bian)(bian)輯(ji),文件(jian)比對和(he)分析(xi),編(bian)(bian)(bian)(bian)輯(ji)內存里面的(de)(de)資料等功(gong)(gong)能(neng).
首先我(wo)們(men)到(dao)這(zhe)里(li)去下(xia)載一(yi)個(ge)814KB大小的中文漢化版(ban)本(ben)(ben)的WINHEX,漢化版(ban)本(ben)(ben)更加容易使用嘛(ma),值得一(yi)提的是(shi)WINHEX是(shi)免費(fei)軟件,你可以在(zai)所有的WINDOWS平臺上(shang)面(mian)運(yun)行。安(an)裝(zhuang)過程(cheng)非常簡單,成功(gong)安(an)裝(zhuang)之后,程(cheng)序圖標就會(hui)出現在(zai)“開始(shi)→程(cheng)序”菜單和桌面(mian)上(shang)。其界面(mian)由(you)標題(ti)欄、工(gong)具欄、菜單欄、圖片瀏覽區和狀(zhuang)態欄組(zu)成。下(xia)面(mian)我(wo)們(men)來簡要(yao)介紹一(yi)下(xia):
◇功(gong)(gong)(gong)能菜(cai)(cai)單(dan)(dan)(dan)(dan):WINHEX的(de)(de)(de)菜(cai)(cai)單(dan)(dan)(dan)(dan)欄由八個菜(cai)(cai)單(dan)(dan)(dan)(dan)組成,分別是(shi)(shi)(shi):文(wen)(wen)(wen)件(jian)(jian)、編(bian)輯(ji)、查(cha)找(zhao)(zhao)(zhao)、位(wei)(wei)置(zhi)、工(gong)(gong)(gong)(gong)具(ju)(ju)、選(xuan)項、文(wen)(wen)(wen)件(jian)(jian)管理器(qi)(qi)、窗口(kou)和(he)(he)幫助(zhu)。所有的(de)(de)(de)功(gong)(gong)(gong)能都已經包(bao)含(han)在(zai)里(li)(li)面(mian)(mian)(mian)(mian)了(le)(le)。在(zai)文(wen)(wen)(wen)件(jian)(jian)菜(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)面(mian)(mian)(mian)(mian)包(bao)含(han)的(de)(de)(de)是(shi)(shi)(shi)新(xin)建(jian)、打開(kai)(kai)文(wen)(wen)(wen)件(jian)(jian)和(he)(he)保(bao)存以及退出命(ming)令(ling),另外還有備份管理、創建(jian)備份和(he)(he)載入備份功(gong)(gong)(gong)能。在(zai)編(bian)輯(ji)菜(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)面(mian)(mian)(mian)(mian)除(chu)(chu)了(le)(le)復制(zhi)粘貼之(zhi)類的(de)(de)(de)常見命(ming)令(ling)之(zhi)外還有對數(shu)據格(ge)式進(jin)(jin)行(xing)(xing)(xing)轉換(huan)和(he)(he)修改的(de)(de)(de)功(gong)(gong)(gong)能。查(cha)找(zhao)(zhao)(zhao)功(gong)(gong)(gong)能是(shi)(shi)(shi)方便您在(zai)文(wen)(wen)(wen)件(jian)(jian)里(li)(li)面(mian)(mian)(mian)(mian)查(cha)找(zhao)(zhao)(zhao)特定的(de)(de)(de)文(wen)(wen)(wen)本(ben)內容或者是(shi)(shi)(shi)十六進(jin)(jin)制(zhi)代(dai)碼的(de)(de)(de),支持整數(shu)值(zhi)(zhi)和(he)(he)浮點(dian)數(shu)值(zhi)(zhi)。位(wei)(wei)置(zhi)菜(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)面(mian)(mian)(mian)(mian)的(de)(de)(de)命(ming)令(ling)就(jiu)是(shi)(shi)(shi)讓你(ni)在(zai)編(bian)輯(ji)大體積的(de)(de)(de)文(wen)(wen)(wen)件(jian)(jian)的(de)(de)(de)時候(hou)能夠方便地進(jin)(jin)行(xing)(xing)(xing)定位(wei)(wei),你(ni)可(ke)以根據其(qi)中的(de)(de)(de)偏(pian)移地址或者是(shi)(shi)(shi)區塊(kuai)的(de)(de)(de)位(wei)(wei)置(zhi)來快速(su)定位(wei)(wei)。工(gong)(gong)(gong)(gong)具(ju)(ju)菜(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)面(mian)(mian)(mian)(mian)包(bao)括的(de)(de)(de)都是(shi)(shi)(shi)一些(xie)十分實用(yong)的(de)(de)(de)功(gong)(gong)(gong)能,譬如磁盤編(bian)輯(ji)工(gong)(gong)(gong)(gong)具(ju)(ju)(類似PCTOOLS里(li)(li)面(mian)(mian)(mian)(mian)的(de)(de)(de)DISKEDIT)、文(wen)(wen)(wen)本(ben)編(bian)輯(ji)工(gong)(gong)(gong)(gong)具(ju)(ju)(類似記(ji)事本(ben))、計算器(qi)(qi)、模板管理工(gong)(gong)(gong)(gong)具(ju)(ju)和(he)(he)十進(jin)(jin)制(zhi)、十六進(jin)(jin)制(zhi)轉換(huan)器(qi)(qi)等(deng)等(deng)。如果你(ni)要對WINHEX的(de)(de)(de)功(gong)(gong)(gong)能進(jin)(jin)行(xing)(xing)(xing)設(she)置(zhi),那(nei)么(me)就(jiu)必須進(jin)(jin)入選(xuan)項菜(cai)(cai)單(dan)(dan)(dan)(dan)了(le)(le),里(li)(li)面(mian)(mian)(mian)(mian)除(chu)(chu)了(le)(le)常規選(xuan)項的(de)(de)(de)設(she)置(zhi),還有安全性(xing)設(she)置(zhi)和(he)(he)還原選(xuan)項設(she)置(zhi)。在(zai)文(wen)(wen)(wen)件(jian)(jian)管理菜(cai)(cai)單(dan)(dan)(dan)(dan)中,你(ni)可(ke)以對文(wen)(wen)(wen)件(jian)(jian)進(jin)(jin)行(xing)(xing)(xing)分割、比較、復制(zhi)和(he)(he)剖析,功(gong)(gong)(gong)能十分強(qiang)大。“工(gong)(gong)(gong)(gong)具(ju)(ju)”選(xuan)項里(li)(li)面(mian)(mian)(mian)(mian)包(bao)含(han)的(de)(de)(de)是(shi)(shi)(shi)文(wen)(wen)(wen)件(jian)(jian)新(xin)建(jian)、打開(kai)(kai)、保(bao)存、打印、屬性(xing)工(gong)(gong)(gong)(gong)具(ju)(ju);剪切、粘貼和(he)(he)復制(zhi)編(bian)輯(ji)工(gong)(gong)(gong)(gong)具(ju)(ju);查(cha)找(zhao)(zhao)(zhao)文(wen)(wen)(wen)本(ben)和(he)(he)Hex值(zhi)(zhi),替(ti)換(huan)文(wen)(wen)(wen)本(ben)和(he)(he)Hex值(zhi)(zhi);文(wen)(wen)(wen)件(jian)(jian)定位(wei)(wei)工(gong)(gong)(gong)(gong)具(ju)(ju)、RAM編(bian)輯(ji)器(qi)(qi)、計算器(qi)(qi)、區塊(kuai)分析和(he)(he)磁盤編(bian)輯(ji)工(gong)(gong)(gong)(gong)具(ju)(ju)等(deng)等(deng)。這些(xie)功(gong)(gong)(gong)能除(chu)(chu)了(le)(le)在(zai)菜(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)面(mian)(mian)(mian)(mian)進(jin)(jin)行(xing)(xing)(xing)選(xuan)擇(ze)之(zhi)外,還可(ke)以通過菜(cai)(cai)單(dan)(dan)(dan)(dan)下面(mian)(mian)(mian)(mian)的(de)(de)(de)一列快捷按鈕(niu)來執行(xing)(xing)(xing)。
◇在使(shi)用Winhex時(shi)首(shou)先打(da)開(kai)一個(ge)需要處理的(de)文(wen)件(jian)(jian)(jian),窗口(kou)中(zhong)顯示十六(liu)進(jin)制(zhi)HEX格式的(de)數(shu)(shu)(shu)(shu)值(zhi)和地址。在旁邊的(de)區域顯示文(wen)件(jian)(jian)(jian)名(ming)稱、大(da)小、創(chuang)建時(shi)間、最后修(xiu)改(gai)日期,窗口(kou)屬(shu)性以(yi)(yi)及相關信(xin)息。利用鼠標拖放(fang)功能你(ni)可(ke)以(yi)(yi)選(xuan)擇一塊數(shu)(shu)(shu)(shu)值(zhi)進(jin)行(xing)(xing)修(xiu)改(gai)編(bian)輯。按(an)Ctrl+T,彈(dan)(dan)出(chu)數(shu)(shu)(shu)(shu)據(ju)(ju)修(xiu)改(gai)對(dui)話(hua)框(kuang),選(xuan)擇數(shu)(shu)(shu)(shu)據(ju)(ju)類型和字節(jie)變換(huan)方式,可(ke)以(yi)(yi)方便(bian)的(de)修(xiu)改(gai)區塊中(zhong)的(de)數(shu)(shu)(shu)(shu)據(ju)(ju)。執行(xing)(xing)文(wen)件(jian)(jian)(jian)菜(cai)單(dan)中(zhong)的(de)創(chuang)建備(bei)(bei)份(fen)(fen)命令,彈(dan)(dan)出(chu)備(bei)(bei)份(fen)(fen)對(dui)話(hua)框(kuang),你(ni)可(ke)以(yi)(yi)指定(ding)備(bei)(bei)份(fen)(fen)的(de)文(wen)件(jian)(jian)(jian)名(ming)和路徑(jing)、備(bei)(bei)份(fen)(fen)說明,還可(ke)以(yi)(yi)選(xuan)擇是否自動由(you)備(bei)(bei)份(fen)(fen)管理指定(ding)文(wen)件(jian)(jian)(jian)夾,是否保存檢查和摘要,是否壓縮備(bei)(bei)份(fen)(fen)和加密備(bei)(bei)份(fen)(fen),這樣你(ni)可(ke)以(yi)(yi)方便(bian)的(de)將(jiang)你(ni)的(de)文(wen)件(jian)(jian)(jian)進(jin)行(xing)(xing)備(bei)(bei)份(fen)(fen),下次執行(xing)(xing)文(wen)件(jian)(jian)(jian)菜(cai)單(dan)中(zhong)的(de)裝(zhuang)載備(bei)(bei)份(fen)(fen)就(jiu)可(ke)以(yi)(yi)打(da)開(kai)備(bei)(bei)份(fen)(fen)文(wen)件(jian)(jian)(jian)了,十分方便(bian)
◇強(qiang)大的(de)(de)(de)(de)查(cha)找功能:Winhex具有(you)強(qiang)大的(de)(de)(de)(de)查(cha)找搜(sou)(sou)(sou)索(suo)功能,可(ke)(ke)(ke)以(yi)(yi)查(cha)找和(he)(he)替換文(wen)本或Hex值(zhi)。選(xuan)擇搜(sou)(sou)(sou)索(suo)菜(cai)(cai)單(dan)中(zhong)的(de)(de)(de)(de)聯合搜(sou)(sou)(sou)索(suo)項,彈出搜(sou)(sou)(sou)索(suo)對話框,先輸入該文(wen)件(jian)(jian)要(yao)搜(sou)(sou)(sou)索(suo)的(de)(de)(de)(de)十六進制(zhi)值(zhi)選(xuan)擇通(tong)配符和(he)(he)搜(sou)(sou)(sou)索(suo)的(de)(de)(de)(de)范圍就可(ke)(ke)(ke)以(yi)(yi)開(kai)(kai)始(shi)搜(sou)(sou)(sou)索(suo)了(le)。你(ni)可(ke)(ke)(ke)以(yi)(yi)選(xuan)擇在(zai)整個文(wen)件(jian)(jian)中(zhong)搜(sou)(sou)(sou)索(suo),也可(ke)(ke)(ke)選(xuan)擇僅在(zai)區塊中(zhong)進行(xing)有(you)條件(jian)(jian)的(de)(de)(de)(de)搜(sou)(sou)(sou)索(suo)。而且(qie)在(zai)Winhex中(zhong)可(ke)(ke)(ke)以(yi)(yi)方(fang)(fang)便(bian)的(de)(de)(de)(de)進行(xing)定(ding)(ding)(ding)位(wei)操作(zuo),快(kuai)速轉道(dao)新的(de)(de)(de)(de)位(wei)置(zhi)(zhi)。執行(xing)定(ding)(ding)(ding)位(wei)菜(cai)(cai)單(dan)中(zhong)的(de)(de)(de)(de)標記定(ding)(ding)(ding)位(wei)命令,或按Ctrl+L,將鼠標指向需要(yao)定(ding)(ding)(ding)位(wei)的(de)(de)(de)(de)位(wei)置(zhi)(zhi),就可(ke)(ke)(ke)以(yi)(yi)在(zai)當(dang)前鼠標所(suo)在(zai)的(de)(de)(de)(de)位(wei)置(zhi)(zhi)作(zuo)上標記,不管(guan)你(ni)操作(zuo)到(dao)什么地方(fang)(fang),按組合鍵Ctrl+k,就可(ke)(ke)(ke)以(yi)(yi)返回(hui)到(dao)標記所(suo)在(zai)的(de)(de)(de)(de)位(wei)置(zhi)(zhi)。執行(xing)定(ding)(ding)(ding)位(wei)菜(cai)(cai)單(dan)中(zhong)的(de)(de)(de)(de)刪除標記命令,可(ke)(ke)(ke)以(yi)(yi)將所(suo)作(zuo)的(de)(de)(de)(de)標記刪除。除了(le)利用標記定(ding)(ding)(ding)位(wei)以(yi)(yi)外,你(ni)還可(ke)(ke)(ke)以(yi)(yi)方(fang)(fang)便(bian)的(de)(de)(de)(de)轉到(dao)文(wen)件(jian)(jian)的(de)(de)(de)(de)開(kai)(kai)始(shi)和(he)(he)結(jie)尾(wei),區塊的(de)(de)(de)(de)開(kai)(kai)始(shi)和(he)(he)結(jie)尾(wei),行(xing)首(shou)和(he)(he)行(xing)尾(wei)以(yi)(yi)及(ji)頁首(shou)和(he)(he)頁尾(wei)。你(ni)可(ke)(ke)(ke)以(yi)(yi)自己(ji)試一試,相信你(ni)很快(kuai)就知(zhi)道(dao)了(le)。
◇Winhex集成(cheng)了強(qiang)大的工具,包(bao)括磁(ci)(ci)盤(pan)編(bian)(bian)輯器,計算器,Hex轉換器和(he)RAM編(bian)(bian)輯工具,使用(yong)十分(fen)方便(bian)。按(an)F9,彈(dan)出磁(ci)(ci)盤(pan)編(bian)(bian)輯器對話(hua)框,首先選擇(ze)磁(ci)(ci)盤(pan)分(fen)區(qu),然后按(an)確(que)(que)定按(an)鈕就可以方便(bian)的對磁(ci)(ci)盤(pan)的空余空間(jian)進行清理(li)。點擊工具欄中的RAM編(bian)(bian)輯工具按(an)鈕,彈(dan)出RAM編(bian)(bian)輯器,選擇(ze)需(xu)要(yao)瀏覽(lan)或編(bian)(bian)輯修改的RAM區(qu),選擇(ze)確(que)(que)定就可以了,RAM的內容就顯(xian)示在(zai)主窗口了。
如果您在PCTOOLS之后(hou)再也沒有碰到過(guo)稱心的十六進制編輯器,那(nei)么我推薦你使用WINHEX。
功能包括:
- 硬盤(pan), 軟(ruan)盤(pan), CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盤(pan)編輯(ji)器。
- 支(zhi)持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系統。
- 支持對磁盤陣列 RAID 系統和動(dong)態磁盤的重組(zu)、分析和數據(ju)恢(hui)復。
- 多種數(shu)據恢復技(ji)術。
- 可分析(xi) RAW 格式原始數(shu)據鏡像文(wen)件中的完整目錄結構,支持(chi)分段保(bao)存的鏡像文(wen)件。
- 數據解釋(shi)器, 已知 20 種數據類(lei)型(xing)。
- 使(shi)用模(mo)板編輯數據結構 (例如: 修復分區表/引(yin)導扇(shan)區)。
- 連接和分割、以奇數偶(ou)數字(zi)節或(huo)字(zi)的方(fang)式(shi)合(he)并、分解文件。
- 分析和比(bi)較文件(jian)。
- 搜索和(he)替換功能尤其(qi)靈(ling)活。
- 磁盤克隆 (可在 DOS 環境下使用(yong) X-Ways Replica)。
- 驅(qu)動(dong)器鏡像(xiang)和備份 (可選壓縮或分割成 650 MB 的檔案)。
- 程序(xu)接口(kou) (API) 和腳本。
- 256 位 AES 加(jia)密, 校驗和(he), CRC32, 哈希算法 (MD5, SHA-1, ...)。
- 數據(ju)擦除(chu)功(gong)能,可徹底清除(chu)存儲介質中(zhong)殘留(liu)數據(ju)。
- 可(ke)導(dao)入剪貼板所有格式(shi)數(shu)據, 包括 ASCII、16 進制數(shu)據。
- 可進(jin)行(xing) 2 進(jin)制(zhi)、16 進(jin)制(zhi) ASCII, Intel 16 進(jin)制(zhi), 和 Motorola S 轉換。
- 字符集: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)。
- 立(li)即窗口切換(huan)、打印、生成隨機數字。
- 支持打(da)開(kai)大(da)于 4 GB 的文件,非常快速,容易(yi)使用。
- 廣泛(fan)的(de)聯機幫助。
WinHex 計算機法證版
X-Ways Forensics- 它能讓計算機(ji)上所有的(de)位和字節都在您的(de)指尖下(xia)變成現(xian)實。購買前可(ke)免費(fei)試用。
X-Ways Forensics 13.9 以后(hou)的版(ban)本(ben)只(zhi)有(you)正式(shi)用戶才可下載 (下載地(di)址在購買后(hou)提供)。
特別注意
盡量(liang)不要解壓至中文名(ming)文件夾下,否(fou)則運行(xing)出錯!
V16.8更新內容:
WinHex可以用來檢查(cha)和修復各種文件、恢(hui)復刪除(chu)文件、硬盤(pan)損(sun)壞造成的(de)數據丟失等。
12.8 sr-2更新內容:
* 現在(zai)可(ke)以在(zai)容器(qi)根(gen)層遞(di)歸探索證據(ju)對象概(gai)況,在(zai)基于動態(tai)填充設(she)置(zhi)上,可(ke)以在(zai)一個(ge)方便(bian)的平面視圖中列出所有子目(mu)錄中的所有文件(jian)。
* X-Ways Forensics 現在可以在內部(bu)重新匯編(bian)硬件 RAID5 系(xi)統到(dao)級別0,并(bing)且支持奇(qi)偶校驗(yan)。
* 如果一個(ge) RAID 系統添(tian)加(jia)到一個(ge)容器作(zuo)為證據對(dui)象(xiang),當(dang)名稱(cheng)或位置改變時(shi)現(xian)在可以很容易替換 RAID 系統的一部分。
* 一些在(zai) RAM 編輯器中被隱藏的進程現在(zai)能夠列出。
* 現(xian)在(zai)可以(yi)間接(jie)填充證據文件內容。
* 可以選取(qu)報(bao)告表中某幾列到容器(qi)報(bao)名中。(查看(kan)容器(qi)屬性(xing))
* 更進一步(bu)改(gai)進文件路徑太長的兼容性。
* 修正 12.7 版本(ben)自動檢測物理磁盤 RAW 映(ying)象為單獨的分區映(ying)象。
* 幾個其它局部改進(jin)和錯誤修正
* 針對 UFS 在(zai)線提供(gong)不同的模(mo)板。
* 更(geng)(geng)多(duo)更(geng)(geng)新內容請到網站時事通訊(xun)中(zhong)查(cha)看
設置中文的方法
點擊菜單(dan)欄最后的“help”-“setup”-“Chinese,please!”
軟件使用說明
下面(mian)我們來(lai)看看該軟件的使用(yong)。
標題(ti)欄(lan):與一(yi)(yi)般的應(ying)用軟件一(yi)(yi)樣,標題(ti)欄(lan)中顯示(shi)軟件名稱和當前打開的文件名稱;
菜(cai)單欄:Winhex的菜(cai)單欄由(you)八個菜(cai)單項(xiang)組成-文件(jian)菜(cai)單、編(bian)輯菜(cai)單、搜索、定(ding)位、工具、選項(xiang)菜(cai)單、文件(jian)管理(li)、窗口和(he)幫助菜(cai)單。
在(zai)文(wen)(wen)件菜(cai)單(dan)中(zhong),除了常(chang)規的(de)新建(jian)、打開文(wen)(wen)件和(he)保存以及退出命令(ling)以外(wai),還有(you)備份管(guan)理、創建(jian)備份和(he)載(zai)入備份功(gong)能。選擇(ze)文(wen)(wen)件菜(cai)單(dan)中(zhong)的(de)屬性(xing)項,彈(dan)出文(wen)(wen)件屬性(xing)窗口,包(bao)括(kuo)文(wen)(wen)件路徑、名稱(cheng)、大小(xiao)、創建(jian)時間和(he)修改日期(qi)等內(nei)容。在(zai)編(bian)輯(ji)菜(cai)單(dan)中(zhong),除了常(chang)規的(de)復制、粘(zhan)貼和(he)剪切功(gong)能外(wai),還有(you)數據格式轉換和(he)修改的(de)功(gong)能。在(zai)搜索菜(cai)單(dan)中(zhong),你(ni)(ni)可(ke)以查(cha)找(zhao)或替換文(wen)(wen)本內(nei)容和(he)十六進制文(wen)(wen)件,搜索整數值和(he)浮點數值。在(zai)定位(wei)(wei)(wei)菜(cai)單(dan)中(zhong),你(ni)(ni)可(ke)以根據偏移(yi)地址和(he)區塊(kuai)的(de)位(wei)(wei)(wei)置(zhi)快速定位(wei)(wei)(wei)。在(zai)工(gong)具菜(cai)單(dan)中(zhong),包(bao)括(kuo)磁盤編(bian)輯(ji)工(gong)具、文(wen)(wen)本編(bian)輯(ji)工(gong)具、計(ji)算器、模(mo)板(ban)管(guan)理工(gong)具和(he)Hex轉換器,使用(yong)十分方(fang)便。在(zai)選項菜(cai)單(dan)中(zhong),包(bao)括(kuo)常(chang)規選項設(she)置(zhi)、安全性(xing)設(she)置(zhi)和(he)還原選項設(she)置(zhi)。
在Winhex的(de)工(gong)(gong)具(ju)(ju)欄中,包括文(wen)件(jian)新建、打開、保存(cun)、打印、屬性(xing)工(gong)(gong)具(ju)(ju);剪切、粘(zhan)貼和(he)復制編輯工(gong)(gong)具(ju)(ju);查找文(wen)本和(he)Hex值(zhi),替換文(wen)本和(he)Hex值(zhi);文(wen)件(jian)定位工(gong)(gong)具(ju)(ju)、RAM編輯器、計(ji)算器、區塊分析和(he)磁盤(pan)編輯工(gong)(gong)具(ju)(ju);選項設置工(gong)(gong)具(ju)(ju)和(he)幫助(zhu)工(gong)(gong)具(ju)(ju)按(an)鈕(niu)。通過使用工(gong)(gong)具(ju)(ju)欄中的(de)快捷按(an)鈕(niu)可以更方便的(de)進行操(cao)作,這些(xie)和(he)菜單(dan)中相應的(de)命(ming)令是(shi)一樣(yang)的(de)。
在(zai)使用(yong)Winhex之(zhi)前需要(yao)進行(xing)(xing)(xing)相應的(de)(de)選(xuan)項設(she)置(zhi),點擊工具欄中(zhong)的(de)(de)選(xuan)項設(she)置(zhi)快(kuai)捷圖標按(an)鈕,彈出選(xuan)項設(she)置(zhi)對話框(kuang).它包括是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)將WinHex作為默認(ren)關聯,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)添加WinHex到上下文(wen)(wen)(wen)菜(cai)單,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)不更新文(wen)(wen)(wen)件(jian)(jian)名,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)快(kuai)速打開文(wen)(wen)(wen)件(jian)(jian)以(yi)及(ji)是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)顯(xian)(xian)示文(wen)(wen)(wen)件(jian)(jian)圖標和(he)工具欄。而且你(ni)還可以(yi)設(she)置(zhi)最近打開的(de)(de)文(wen)(wen)(wen)件(jian)(jian)列表中(zhong)文(wen)(wen)(wen)件(jian)(jian)的(de)(de)數目,選(xuan)擇(ze)是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)用(yong)TAB鍵產生(sheng)標記,設(she)置(zhi)臨時文(wen)(wen)(wen)件(jian)(jian)夾、備份文(wen)(wen)(wen)件(jian)(jian)夾和(he)文(wen)(wen)(wen)本編輯的(de)(de)路徑。在(zai)常規設(she)置(zhi)中(zhong),你(ni)可以(yi)選(xuan)擇(ze)是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)選(xuan)擇(ze)顯(xian)(xian)示雙(shuang)光(guang)標和(he)頁分隔符,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)逐(zhu)行(xing)(xing)(xing)滾動,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)顯(xian)(xian)示Windows進度條,此外你(ni)還可以(yi)設(she)置(zhi)字體類型和(he)顏色(se),相信你(ni)很(hen)快(kuai)就(jiu)學會(hui)(hui)了。執行(xing)(xing)(xing)選(xuan)項菜(cai)單中(zhong)的(de)(de)安(an)全(quan)項,彈出安(an)全(quan)保(bao)(bao)護選(xuan)項設(she)置(zhi)窗口,你(ni)可以(yi)選(xuan)擇(ze)是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)限(xian)制(zhi)驅動控制(zhi),是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)計算標準檢查和(he)扇區讀入緩存以(yi)及(ji)是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)確認(ren)更新文(wen)(wen)(wen)件(jian)(jian)。另(ling)外你(ni)可以(yi)選(xuan)擇(ze)是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)自(zi)動檢查磁(ci)簇,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)總顯(xian)(xian)示恢復報告,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)對下個會(hui)(hui)話保(bao)(bao)持驅動映(ying)像,是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)隱(yin)蔽輸入加密關鍵碼(ma)(*****)以(yi)及(ji)檢查虛擬(ni)內存變(bian)換(huan)和(he)在(zai)RAM中(zhong)是(shi)(shi)(shi)(shi)否(fou)(fou)(fou)(fou)保(bao)(bao)留密匙。在(zai)所有設(she)置(zhi)完(wan)成后(hou),點擊保(bao)(bao)存按(an)鈕,然后(hou)按(an)確定按(an)鈕返回(hui)主窗口。
數據恢復分類
硬(ying)(ying)恢(hui)復(fu)(fu)(fu)(fu)和軟(ruan)恢(hui)復(fu)(fu)(fu)(fu)。所謂硬(ying)(ying)恢(hui)復(fu)(fu)(fu)(fu)就(jiu)是硬(ying)(ying)盤(pan)出(chu)現物理性損(sun)傷,比(bi)(bi)如有盤(pan)體(ti)壞(huai)道、電路(lu)板芯片(pian)燒(shao)毀、盤(pan)體(ti)異響,等故(gu)障,由(you)此所導致(zhi)的(de)(de)(de)(de)普通用戶不(bu)容(rong)易取出(chu)里(li)面(mian)(mian)數據,那么(me)我們將它修好,同時又保留里(li)面(mian)(mian)的(de)(de)(de)(de)數據或(huo)后(hou)來恢(hui)復(fu)(fu)(fu)(fu)里(li)面(mian)(mian)的(de)(de)(de)(de)數據,這(zhe)些都叫數據恢(hui)復(fu)(fu)(fu)(fu),只不(bu)過這(zhe)些故(gu)障有容(rong)易的(de)(de)(de)(de)和困難的(de)(de)(de)(de)之分;所謂軟(ruan)恢(hui)復(fu)(fu)(fu)(fu),就(jiu)是硬(ying)(ying)盤(pan)本身沒有物理損(sun)傷,而是由(you)于(yu)人為或(huo)者病毒破壞(huai)所造成的(de)(de)(de)(de)數據丟失(比(bi)(bi)如誤格式化,誤分區),那么(me)這(zhe)樣的(de)(de)(de)(de)數據恢(hui)復(fu)(fu)(fu)(fu)就(jiu)叫軟(ruan)恢(hui)復(fu)(fu)(fu)(fu)。因為硬(ying)(ying)恢(hui)復(fu)(fu)(fu)(fu)還(huan)需要購買一些工具設備(bei)(比(bi)(bi)如pc3000,電烙(luo)鐵,各種芯片(pian)、電路(lu)板),而且還(huan)需要懂一點點電路(lu)基礎,我們主要使用軟(ruan)恢(hui)復(fu)(fu)(fu)(fu)。
數據恢復的前提
數據不(bu)能被二次破壞(huai)、覆蓋(gai)!
硬盤數據結構
下面是(shi)一個(ge)分(fen)了(le)三個(ge)區的(de)整個(ge)硬(ying)盤的(de)數(shu)據結構(gou)
MBR C盤(pan)EBRD盤(pan) EBR E盤(pan)
MBR,即(ji)主(zhu)(zhu)引(yin)導(dao)紀(ji)錄,位于整個(ge)硬盤(pan)的(de)(de)0柱面0磁道1扇(shan)(shan)區(qu)(qu),共(gong)(gong)占用(yong)了63個(ge)扇(shan)(shan)區(qu)(qu),但實(shi)際(ji)只使用(yong)了1個(ge)扇(shan)(shan)區(qu)(qu)(512字(zi)節)。在總共(gong)(gong)512字(zi)節的(de)(de)主(zhu)(zhu)引(yin)導(dao)記錄中,MBR又可分為(wei)三(san)部分:第(di)一(yi)部分:引(yin)導(dao)代碼,占用(yong)了446個(ge)字(zi)節;第(di)二部分:分區(qu)(qu)表(biao),占用(yong)了64字(zi)節;第(di)三(san)部分:55AA,結束標志,占用(yong)了兩(liang)個(ge)字(zi)節。后面我們(men)要說的(de)(de)用(yong)winhex軟件來(lai)恢(hui)復誤分區(qu)(qu),主(zhu)(zhu)要就是恢(hui)復第(di)二部分:分區(qu)(qu)表(biao)。
引導代碼的作用
就(jiu)是讓硬(ying)盤具備可(ke)以引導(dao)的功能(neng)(neng)。如(ru)果引導(dao)代碼丟(diu)失(shi)(shi),分(fen)區(qu)(qu)表還(huan)在,那么這個硬(ying)盤作為從盤所有(you)分(fen)區(qu)(qu)數據(ju)都還(huan)在,只(zhi)是這個硬(ying)盤自己不能(neng)(neng)夠用(yong)(yong)來(lai)啟動進系(xi)統(tong)了(le)。如(ru)果要(yao)恢(hui)復引導(dao)代碼,可(ke)以用(yong)(yong)DOS下(xia)的命令(ling):FDISK /MBR;這個命令(ling)只(zhi)是用(yong)(yong)來(lai)恢(hui)復引導(dao)代碼,不會引起分(fen)區(qu)(qu)改變,丟(diu)失(shi)(shi)數據(ju)。另外,也可(ke)以用(yong)(yong)工(gong)具軟(ruan)件,比如(ru)DISKGEN、WINHEX等(deng)。
但分區表如果(guo)丟失,后果(guo)就是整個硬盤(pan)(pan)一個分區沒有,就好像剛買來一個新硬盤(pan)(pan)沒有分過區一樣(yang)。是很多病毒喜歡破壞的(de)區域。
EBR,也叫做擴(kuo)(kuo)展MBR(Extended MBR)。因為(wei)主引導記錄MBR最多(duo)只能描述4個分區(qu)項,如果(guo)想(xiang)要(yao)在一個硬(ying)盤(pan)上分多(duo)于4個區(qu),就要(yao)采用擴(kuo)(kuo)展MBR的辦法。
MBR、EBR是分(fen)區產生(sheng)的。
比如MBR和EBR各都(dou)占用(yong)63個扇區,C盤占用(yong)1435329個扇區……那么數據結構如下表:
63 1435329 63 1435329 63 1253889
MBR C盤 EBR D盤 EBR E盤
擴展分區
而每一個分區又由(you)DBR、FAT1、FAT2、DIR、DATA5部分組成:比如C盤(pan)的(de)數據結構:
C 盤
DBR FAT1 FAT2 DIR DATA
恢復教程
Winhex有完(wan)善的分區管理(li)功能和文件(jian)管理(li)功能,能自動分析(xi)分區鏈和文件(jian)簇鏈,能對(dui)硬(ying)盤(pan)(pan)(pan)進(jin)行(xing)不同方式不同程度的備份,甚至克隆整個(ge)硬(ying)盤(pan)(pan)(pan);它能夠編輯(ji)(ji)任(ren)何(he)一種文件(jian)類型(xing)的二進(jin)制(zhi)(zhi)內容(rong)(用十(shi)六進(jin)制(zhi)(zhi)顯示(shi))其磁(ci)盤(pan)(pan)(pan)編輯(ji)(ji)器可以編輯(ji)(ji)物理(li)磁(ci)盤(pan)(pan)(pan)或邏輯(ji)(ji)磁(ci)盤(pan)(pan)(pan)的任(ren)意(yi)扇(shan)區,是手工(gong)恢復數據的首選(xuan)工(gong)具軟件(jian)。
首先要(yao)安(an)裝Winhex,安(an)裝完了就可以啟(qi)動winhex了,啟(qi)動后,首先出現的是(shi)啟(qi)動中心對話(hua)框。
這里我們要對磁盤(pan)進(jin)行操作,就選(xuan)擇“打(da)開(kai)磁盤(pan)”,出現“編輯磁盤(pan)”對話框:
在(zai)這個對(dui)(dui)話框(kuang)里,我們(men)可以(yi)選(xuan)擇(ze)對(dui)(dui)單個分區打(da)開(kai),也可以(yi)對(dui)(dui)整(zheng)個硬(ying)盤(pan)打(da)開(kai),HD0是我現在(zai)正用(yong)的(de)西部數據(ju)40G系統盤(pan),HD1是我們(men)要分析(xi)的(de)硬(ying)盤(pan),邁拓(tuo)2G。這里我們(men)就選(xuan)擇(ze)打(da)開(kai)HD1整(zheng)個硬(ying)盤(pan),再點確定.然(ran)后我們(men)就看到了Winhex的(de)整(zheng)個工作(zuo)界面。
最上(shang)面(mian)(mian)(mian)的(de)是菜(cai)單欄和工具欄,下面(mian)(mian)(mian)最大(da)的(de)窗口(kou)是工作區,現在看到的(de)是硬盤的(de)第一個扇區的(de)內(nei)容,以(yi)十六進制進行顯示(shi),并在右邊顯示(shi)相應的(de)ASCII碼,右邊是詳(xiang)(xiang)細(xi)資(zi)源(yuan)面(mian)(mian)(mian)板(ban),分(fen)為(wei)五個部分(fen):狀態、容量、當前位置(zhi)、窗口(kou)情(qing)況和剪(jian)貼板(ban)情(qing)況。這些情(qing)況對把握整(zheng)個硬盤的(de)情(qing)況非(fei)常有幫助。另(ling)外,在其上(shang)單擊鼠標右鍵,可(ke)以(yi)將詳(xiang)(xiang)細(xi)資(zi)源(yuan)面(mian)(mian)(mian)板(ban)與窗口(kou)對換位置(zhi),或(huo)關(guan)閉資(zi)源(yuan)面(mian)(mian)(mian)板(ban)。(如(ru)果關(guan)閉了(le)資(zi)源(yuan)面(mian)(mian)(mian)板(ban)可(ke)以(yi)通(tong)過“察看”菜(cai)單——“顯示(shi)”命令——“詳(xiang)(xiang)細(xi)資(zi)源(yuan)面(mian)(mian)(mian)板(ban)”來打開)。
最(zui)下面一欄是(shi)非常有用的輔助信(xin)息,如(ru)當前扇(shan)區(qu)/總扇(shan)區(qu)數目(mu)……等
向下拉拉滾動(dong)條,可以看到(dao)一(yi)個(ge)灰色(se)的橫杠(gang)(gang),每到(dao)一(yi)個(ge)橫杠(gang)(gang)為(wei)一(yi)個(ge)扇(shan)區,一(yi)個(ge)扇(shan)區共512字節,每兩(liang)個(ge)數字為(wei)一(yi)個(ge)字節,比如00。
下面(mian)我(wo)(wo)們來(lai)(lai)分(fen)析一(yi)下MBR,因為(wei)前面(mian)我(wo)(wo)們說過,前446個字節(jie)為(wei)引導代碼,對我(wo)(wo)們來(lai)(lai)說沒(mei)有(you)意義,這(zhe)里我(wo)(wo)們只分(fen)析分(fen)區表(biao)中(zhong)的64個字節(jie)。
分(fen)區(qu)(qu)(qu)表(biao)64個字節,一(yi)共可以描述4個分(fen)區(qu)(qu)(qu)表(biao)項,每一(yi)個分(fen)區(qu)(qu)(qu)表(biao)項可以描述一(yi)個主分(fen)區(qu)(qu)(qu)或(huo)一(yi)個擴展(zhan)分(fen)區(qu)(qu)(qu)(比如上面的分(fen)區(qu)(qu)(qu)表(biao),第(di)一(yi)個分(fen)區(qu)(qu)(qu)表(biao)項描述主分(fen)區(qu)(qu)(qu)C盤,第(di)二個分(fen)區(qu)(qu)(qu)表(biao)項描述擴展(zhan)分(fen)區(qu)(qu)(qu),第(di)三第(di)四個分(fen)區(qu)(qu)(qu)表(biao)項填零(ling)未(wei)用)
每(mei)一個(ge)分區(qu)表項(xiang)各占16個(ge)字(zi)節(jie),各字(zi)節(jie)含義如下(xia):(H表示16進制(zhi))
字節位置 內容及含義
第(di)1字節(jie) 引導標志。若值(zhi)為80H表示(shi)活動(dong)(dong)分(fen)區;若值(zhi)為00H表示(shi)非活動(dong)(dong)分(fen)區。
第2、3、4字節 本分區的起始磁(ci)頭號、扇區號、柱面號
第(di)5字節(jie) 分區類型符:
00H——表示該分區未用(yong)
06H——FAT16基本分區
0BH——FAT32基本分區
05H——擴展分區(qu)
07H——NTFS分(fen)區
0FH——(LBA模式)擴展分(fen)區(qu)
83H—— Linux分(fen)區(qu)
第6、7、8字(zi)節 本分(fen)區的結束磁頭號、扇區號、柱(zhu)面號
第9、10、11、12字節(jie) 本分(fen)區之前已用了(le)的(de)扇區數
第(di)13、14、15、16字(zi)節 本分區的總扇區數
此硬盤的第一(yi)分(fen)區表(即MBR)分(fen)析如下:
第一個(ge)分區表項(xiang)(C盤)
第1字節80:表(biao)示此分區(qu)為活動分區(qu);
第5字節(jie)0B:表示(shi)分(fen)區(qu)類型為(wei)Fat32;
第9、10、11、12字節 系統(tong)隱(yin)含(han)扇區(qu)(qu)3F 00 00 00:所謂系統(tong)隱(yin)含(han)扇區(qu)(qu)就(jiu)是(shi)本(ben)分區(qu)(qu)(C盤)之前已用(yong)了的扇區(qu)(qu)數(shu),這是(shi)一個十六進制數(shu),但要注意:真正的隱(yin)含(han)扇區(qu)(qu)數(shu)應該反(fan)過(guo)來(lai)填寫(比如(ru):隱(yin)含(han)扇區(qu)(qu)數(shu)為3E 4D 5A 6F,則反(fan)過(guo)來(lai)就(jiu)是(shi)6F 5A 4D 3E ,這才(cai)是(shi)實(shi)(shi)際的隱(yin)含(han)扇區(qu)(qu)數(shu))。那么,3F 00 00 00反(fan)過(guo)來(lai)寫就(jiu)是(shi)00 00 003F,也就(jiu)是(shi)3F,將他轉成十進制數(shu)我們才(cai)能(neng)知道實(shi)(shi)際的隱(yin)含(han)扇區(qu)(qu)數(shu)是(shi)多大。這可以使用(yong)計(ji)算器來(lai)算,單擊工具欄上的“計(ji)算器”按鈕(niu)。
這(zhe)樣就啟(qi)動了計算(suan)器
計算(suan)器有兩種型號,我(wo)們要進行進制轉(zhuan)換,就要選擇“科學型”
比如我們要將十(shi)六進制3F轉換(huan)為十(shi)進制,就要先選中“十(shi)六進制”,然后輸入3F
再(zai)選中(zhong)“十進制”,十六(liu)進制3F轉為(wei)十進制等于63。想一(yi)想我們(men)前(qian)面(mian)所講的(de)(de),MBR占用(yong)63個(ge)扇(shan)區,也就是(shi)(shi)C盤(pan)之前(qian)已用(yong)了的(de)(de)扇(shan)區數為(wei)63,第64個(ge)扇(shan)區就是(shi)(shi)C盤(pan)的(de)(de)第一(yi)個(ge)扇(shan)區,但要注意(yi)的(de)(de)是(shi)(shi),整個(ge)硬(ying)盤(pan)的(de)(de)LBA地址是(shi)(shi)從零開始的(de)(de),0~62的(de)(de)扇(shan)區為(wei)MBR。
第13、14、15、16字節本分區(qu)總(zong)扇區(qu)數(shu)(shu)(當然,這也(ye)(ye)就是(shi)C盤(pan)的(de)大(da)小(xiao)):C1 E6 15 00,同(tong)樣,實際的(de)十六(liu)進制數(shu)(shu)也(ye)(ye)要反過(guo)來(lai)才(cai)對(dui),也(ye)(ye)就是(shi)00 15 E6 C1,將(jiang)它轉換(huan)成十六(liu)進制數(shu)(shu)是(shi)1435329。給你出個題,你知(zhi)道D盤(pan)的(de)EBR在哪個扇區(qu)嗎(ma)?我們一(yi)起(qi)來(lai)算(suan)一(yi)下(xia),還記得前面(mian)數(shu)(shu)據結構那個表嗎(ma)?C盤(pan)后面(mian)不(bu)就是(shi)D盤(pan)的(de)EBR嗎(ma)?D盤(pan)EBR的(de)第一(yi)個扇區(qu)=MBR+C盤(pan)的(de)大(da)小(xiao),也(ye)(ye)就是(shi) 63+1435329=1435392。
我(wo)們來看看對(dui)(dui)不對(dui)(dui),單擊工具(ju)欄上的“轉到(dao)扇(shan)區”按(an)鈕,出現一個“轉到(dao)扇(shan)區”對(dui)(dui)話框
然后輸入1435392,再點“確定”,就到了1435392扇區了(你(ni)可以(yi)使(shi)用它(ta)再轉回到0扇區)
這個(ge)(ge)(ge)就是D盤(pan)的EBR,也就是D盤(pan)的分區表了(le),怎么(me)知(zhi)道的呢?因(yin)為(wei)MBR和EBR的結(jie)構是完全(quan)一樣(yang)的,都是占用(yong)了(le)63個(ge)(ge)(ge)扇(shan)區,但只用(yong)了(le)第一個(ge)(ge)(ge)扇(shan)區,其余62個(ge)(ge)(ge)扇(shan)區填(tian)零不用(yong)。第一個(ge)(ge)(ge)扇(shan)區前446個(ge)(ge)(ge)字(zi)(zi)(zi)節(jie)(jie)(jie)都為(wei)引(yin)導代碼,后(hou)64個(ge)(ge)(ge)字(zi)(zi)(zi)節(jie)(jie)(jie)為(wei)分區表,最后(hou)2個(ge)(ge)(ge)字(zi)(zi)(zi)節(jie)(jie)(jie)為(wei)55AA結(jie)束標志。因(yin)為(wei)EBR不是活動分區,不需(xu)要引(yin)導代碼,所以前446個(ge)(ge)(ge)字(zi)(zi)(zi)節(jie)(jie)(jie)為(wei)零。
還有另一種(zhong)方法直接找到D盤的EBR,扇區.
這樣,分(fen)區(qu)表中的第一個(ge)分(fen)區(qu)表項共十(shi)六個(ge)字(zi)節分(fen)析完畢,下面(mian)我(wo)們再來(lai)看(kan)看(kan)第二個(ge)分(fen)區(qu)表項(擴(kuo)展分(fen)區(qu))。
第1字節00:表示非活動分區
第5字節05:表示擴展(zhan)分(fen)區
第9、10、11、12字節00 E7 15 00:本分(fen)區之前的扇(shan)區數(擴展(zhan)分(fen)區前面也(ye)就是MBR和C盤(pan),好像我(wo)們(men)前面算過這(zhe)個(ge)數?)同(tong)樣,先將它反過來,就是00 15 E7 00 ,再轉為十進制是1435392,看來我(wo)們(men)前面真的算過這(zhe)個(ge)數。
第13、14、15、16字節40 09 29 00:本分區(qu)的(de)(de)總扇(shan)區(qu)數(shu)。也就是(shi)(shi)擴(kuo)展分區(qu)的(de)(de)總扇(shan)區(qu)數(shu)。轉為十進(jin)制應該是(shi)(shi)2689344。想(xiang)一想(xiang),用這(zhe)個(ge)數(shu)加上前面的(de)(de)1435392,不正好是(shi)(shi)整個(ge)硬(ying)盤的(de)(de)總扇(shan)區(qu)數(shu)4124736嗎(ma)?
這(zhe)(zhe)(zhe)(zhe)樣,如果分區(qu)(qu)(qu)表被(bei)破壞,我們只(zhi)要把(ba)這(zhe)(zhe)(zhe)(zhe)些數值都(dou)計算出來并填上,分區(qu)(qu)(qu)表不就恢復了?那么,這(zhe)(zhe)(zhe)(zhe)里我們為(wei)什(shen)么不分析第(di)2、3、4字節(本(ben)分區(qu)(qu)(qu)的起(qi)始磁頭(tou)號、扇(shan)區(qu)(qu)(qu)號、柱面(mian)號)和第(di)6、7、8字節(本(ben)分區(qu)(qu)(qu)的結束磁頭(tou)號、扇(shan)區(qu)(qu)(qu)號、柱面(mian)號)呢?這(zhe)(zhe)(zhe)(zhe)是(shi)因為(wei)C/H/S(柱面(mian)/磁頭(tou)/扇(shan)區(qu)(qu)(qu))是(shi)老(lao)式(shi)硬(ying)盤(pan)的尋址(zhi)(zhi)方式(shi),這(zhe)(zhe)(zhe)(zhe)種(zhong)尋址(zhi)(zhi)方式(shi)來管(guan)理(li)(li)硬(ying)盤(pan)效率(lv)很(hen)低;而現在幾乎所(suo)有的硬(ying)盤(pan)都(dou)支持(chi)LBA(全稱是(shi)Logic Block Address,即扇(shan)區(qu)(qu)(qu)的邏輯塊(kuai)地址(zhi)(zhi))尋址(zhi)(zhi)方式(shi),這(zhe)(zhe)(zhe)(zhe)種(zhong)管(guan)理(li)(li)方式(shi)簡單高效。在LBA方式(shi)下,系(xi)統把(ba)所(suo)有的物(wu)理(li)(li)扇(shan)區(qu)(qu)(qu)都(dou)統一(yi)編號,按照從零到(dao)某(mou)個最大值排列,這(zhe)(zhe)(zhe)(zhe)樣只(zhi)用一(yi)個序數就確定了一(yi)個唯一(yi)的物(wu)理(li)(li)扇(shan)區(qu)(qu)(qu)。
小知識:具體一(yi)個(ge)硬(ying)盤(pan)(pan)(pan)有(you)(you)多少個(ge)LBA(扇(shan)(shan)區(qu))不需要我們去記憶,因(yin)為用各種工(gong)具軟(ruan)件(如MHDD WINHEX等)都可(ke)以檢測到。我們只要知道個(ge)大(da)概就行了:如10G的硬(ying)盤(pan)(pan)(pan)大(da)概有(you)(you)2000萬個(ge)扇(shan)(shan)區(qu);20G的硬(ying)盤(pan)(pan)(pan)大(da)概有(you)(you)4000萬個(ge)扇(shan)(shan)區(qu);40G的硬(ying)盤(pan)(pan)(pan)大(da)概有(you)(you)8000萬個(ge)扇(shan)(shan)區(qu)……那么,2G的硬(ying)盤(pan)(pan)(pan)大(da)概有(you)(you)400萬個(ge)扇(shan)(shan)區(qu)。
那么(me)(me),你(ni)可能要問了(le):如(ru)果(guo)要恢復分(fen)區(qu)(qu)表,這個起始磁(ci)頭號(hao)(hao)、扇(shan)區(qu)(qu)號(hao)(hao)、柱面(mian)號(hao)(hao)還有結束磁(ci)頭號(hao)(hao)、扇(shan)區(qu)(qu)號(hao)(hao)、柱面(mian)號(hao)(hao)應該怎么(me)(me)填呢?簡單得很,在后(hou)面(mian)恢復分(fen)區(qu)(qu)表的時(shi)候我會(hui)告訴你(ni),直(zhi)接填,都不用計算。
還有興趣來(lai)分析(xi)一下D盤的EBR嗎?
其實D盤的EBR和E盤的EBR我(wo)(wo)們(men)不(bu)分(fen)析也罷,因(yin)為無非也是分(fen)區表(biao),跟MBR的結構是一樣的,但卻(que)很容(rong)易把(ba)我(wo)(wo)們(men)繞暈(yun),又(you)因(yin)為EBR一般不(bu)容(rong)易被破(po)壞,所以我(wo)(wo)不(bu)建議分(fen)析EBR。
但如果你一定要(yao)分析(xi),那就分析(xi)吧(ba)。
單擊“訪問”下拉按(an)鈕——“分區(qu)(qu)二”——“分區(qu)(qu)表(biao)”,直接就到1435392扇區(qu)(qu),即D盤的分區(qu)(qu)表(biao)EBR。
第一個(ge)分(fen)區表項(D盤):
第1個字節00:表示非活動分(fen)區
第5個(ge)字節(jie)06:表(biao)示(shi)FAT16分區
第9、10、11、12字節3F 00 00 00:本分區之前(qian)已用了(le)的扇區數,也(ye)就是(shi)EBR的數目,63個。
第(di)13、14、15、16字節C1 E6 15 00:本(ben)分區(qu)的(de)總扇(shan)區(qu)數,也(ye)就是D盤的(de)扇(shan)區(qu)數,先(xian)反過來排列就是00 15 E6 C1,轉為(wei)十(shi)進制就是1435329。
第二個(ge)分區表項(D盤后面(mian)的):
第1個字節00:表示非活動分區
第(di)5個字節05:表示(shi)擴展(zhan)分區
第9、10、11、12字節00 E7 15 00:本分區之(zhi)前(qian)已用了(le)的扇區數(shu),也(ye)就(jiu)是D盤的EBR加D盤總共的大小, 63+1435329=1435392
第13、14、15、16字(zi)節40 22 13 00:本(ben)分區(qu)的總(zong)扇(shan)區(qu)數(shu),1253952,也(ye)就(jiu)是E盤的大小(xiao)再加上一個EBR的數(shu)目。
單擊“訪問”下拉按(an)鈕(niu)——“分(fen)區(qu)三”——“分(fen)區(qu)表”,直接就(jiu)到2870784扇(shan)區(qu),即(ji)E
盤的分區(qu)(qu)表EBR。因(yin)為(wei)E盤后面沒有分區(qu)(qu)了,所(suo)以(yi)沒有第二(er)個分區(qu)(qu)表項。這(zhe)里我們(men)就不再研(yan)究了,有興趣的話(hua)可以(yi)自己(ji)多備一塊硬(ying)盤作從盤,然后自己(ji)分分區(qu)(qu)研(yan)究研(yan)究。
通過(guo)以(yi)上(shang)的(de)研究(jiu)我們總結(jie)一(yi)下(xia),MBR在定(ding)義分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)時(shi)(shi)候(hou),將多(duo)余的(de)容(rong)量定(ding)義為(wei)擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),指定(ding)該擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)起止位置,根據起始位置指向(xiang)硬盤(pan)(pan)的(de)某(mou)一(yi)個(ge)(ge)(ge)(ge)扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),作(zuo)為(wei)下(xia)一(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)表項,接著(zhu)在該扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)繼續(xu)定(ding)義分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),如(ru)果(guo)(guo)只有(you)一(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),就定(ding)義該分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),然后(hou)結(jie)束(shu)(shu);如(ru)果(guo)(guo)不止一(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),就定(ding)義一(yi)個(ge)(ge)(ge)(ge)基本(ben)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)和一(yi)個(ge)(ge)(ge)(ge)擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),擴(kuo)(kuo)展分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)再指向(xiang)下(xia)一(yi)個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)描述扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),在該分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)上(shang)按照上(shang)述原(yuan)則(ze)繼續(xu)定(ding)義分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),直至分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)定(ding)義結(jie)束(shu)(shu)。這些(xie)用(yong)來(lai)描述分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)的(de)扇區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)形成一(yi)個(ge)(ge)(ge)(ge)“分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈”,通過(guo)這個(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈,就可以(yi)描述所有(you)的(de)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。系(xi)統(tong)在啟動(dong)時(shi)(shi)按照分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈的(de)連接順序查(cha)找分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),直至找出所有(you)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。這個(ge)(ge)(ge)(ge)鏈顯然是(shi)(shi)(shi)個(ge)(ge)(ge)(ge)開鏈結(jie)構(gou)(gou),如(ru)果(guo)(guo)形成一(yi)個(ge)(ge)(ge)(ge)環(huan),系(xi)統(tong)本(ben)身(shen)并不會去判斷(duan)它,它只是(shi)(shi)(shi)按照這個(ge)(ge)(ge)(ge)鏈忠實的(de)查(cha)找分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu),而不進行(xing)任(ren)何額(e)外(wai)的(de)檢測與處(chu)理(li)。所謂硬盤(pan)(pan)邏(luo)輯(ji)鎖,就是(shi)(shi)(shi)讓分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈形成一(yi)個(ge)(ge)(ge)(ge)環(huan),這樣系(xi)統(tong)在啟動(dong)時(shi)(shi)就在分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)表內循環(huan),表現為(wei)系(xi)統(tong)無法引導,就是(shi)(shi)(shi)從軟盤(pan)(pan)啟動(dong),也(ye)不能進入硬盤(pan)(pan)。明白了其(qi)(qi)結(jie)構(gou)(gou)原(yuan)理(li),解(jie)決(jue)這個(ge)(ge)(ge)(ge)問題就簡(jian)單了,目(mu)前有(you)很多(duo)種(zhong)方(fang)法解(jie)決(jue)這個(ge)(ge)(ge)(ge)問題,后(hou)面我們還會講到(dao)。系(xi)統(tong)就是(shi)(shi)(shi)利(li)用(yong)這種(zhong)方(fang)法使一(yi)個(ge)(ge)(ge)(ge)硬盤(pan)(pan)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)后(hou)看起來(lai)象(xiang)多(duo)個(ge)(ge)(ge)(ge)硬盤(pan)(pan)。系(xi)統(tong)能夠找到(dao)C盤(pan)(pan)以(yi)外(wai)的(de)其(qi)(qi)他邏(luo)輯(ji)盤(pan)(pan)的(de)唯一(yi)辦法就是(shi)(shi)(shi),沿著(zhu)EBR所描述的(de)分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)鏈查(cha)找分(fen)(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)(qu)(qu)。
其實,通常(chang)情(qing)況(kuang)下EBR是不會被(bei)(bei)破(po)壞(huai)的(de)(de),或者破(po)壞(huai)的(de)(de)幾率(lv)極低極低,通常(chang)情(qing)況(kuang)下,都(dou)是只(zhi)有MBR被(bei)(bei)破(po)壞(huai),那么(me)這(zhe)種情(qing)況(kuang)下,我(wo)們只(zhi)要把MBR的(de)(de)分(fen)區表64個字節復原(yuan),其他(ta)的(de)(de)分(fen)區順著分(fen)區表所提供的(de)(de)鏈自然而(er)然就(jiu)出來(lai)了。那么(me),如何才能將(jiang)分(fen)區表復原(yuan)呢?這(zhe)就(jiu)要通過計算結合Winhex強(qiang)大的(de)(de)功能來(lai)實現了。
下面我們(men)(men)就來模仿分區表(biao)被病毒破(po)壞的情況,將(jiang)(jiang)MBR全部填(tian)零。我們(men)(men)首(shou)先(xian)將(jiang)(jiang)MBR所在(zai)的扇區選中。鼠標指向(xiang)第一個字節,單擊(ji)右鍵,選擇“選塊開始”
然后(hou)(hou)鼠標指向MBR的最后(hou)(hou)一個字節,單擊右鍵,選(xuan)擇“選(xuan)塊結尾”
然后我(wo)們在選區內部單擊(ji)鼠標右(you)鍵,選擇“編輯”
這樣就(jiu)有出來一個(ge)菜單
然后我們(men)選“填(tian)(tian)充選塊”,這樣就出來一個填(tian)(tian)充選塊對話框
在“用(yong)十六進制填充”的輸(shu)入(ru)框(kuang)中(zhong)輸(shu)入(ru)“00”,再點“確(que)定”
這(zhe)樣(yang)MBR所在(zai)扇區全部被我們填充(chong)為“00”
如(ru)果(guo)(guo)想取(qu)(qu)消(xiao)選(xuan)區(qu),那就(jiu)用鼠標拖動隨便選(xuan)中一塊區(qu)域,那么(me)原(yuan)來(lai)的(de)選(xuan)區(qu)就(jiu)會取(qu)(qu)消(xiao)。注意,如(ru)果(guo)(guo)扇區(qu)數(shu)據被修改了而(er)沒有(you)存盤(pan)就(jiu)會變(bian)為(wei)別(bie)的(de)顏色。
修(xiu)改了扇(shan)區,這時候還沒有存盤生效,如果你(ni)想存盤生效的話,就選(xuan)擇“文件(jian)”菜(cai)單“保存扇(shan)區”命令。
這時候(hou)就會出現一個提示,如果你(ni)不想(xiang)存盤(pan)(pan)了就點取消(xiao),如果想(xiang)存盤(pan)(pan),就點確定,再點是。
好,這樣就(jiu)存盤了,扇區被修改的(de)數(shu)據又(you)變(bian)為(wei)黑色。
這(zhe)樣我(wo)們(men)就把(ba)分區表給刪(shan)除了,這(zhe)時候必須重新(xin)啟動才能(neng)生效,如(ru)果(guo)你(ni)打開我(wo)的(de)電腦(nao),會發(fa)現三個分區(F、G、H)還在(zai)那里(li),并且里(li)面的(de)數據還能(neng)正常(chang)使(shi)用。
現在,我們關閉所有程序將電腦重新啟動(dong)……
經過(guo)不長時間的等待,電(dian)腦(nao)啟動起來了,我(wo)們打開(kai)我(wo)的電(dian)腦(nao)看看,發現F、G、H三個分區不見了。
再(zai)打開(kai)Winhex發現(xian)MBR全部(bu)為零(ling)了(le),下面我們(men)就著手開(kai)始(shi)手工(gong)恢復分區表
首先恢復引導代(dai)碼,這最簡單了,只(zhi)要(yao)用Winhex到別的系(xi)統盤把引導代(dai)碼復制(zhi)過來就行(xing)了。我現在的機(ji)器上不是掛著兩個(ge)(ge)硬盤嗎(ma)?一(yi)個(ge)(ge)邁拓2G,一(yi)個(ge)(ge)西數40G,西數40G是我的系(xi)統盤,那就從這個(ge)(ge)盤上復制(zhi)就行(xing)了。
單擊“磁盤編輯器”按鈕(niu)
出現“編(bian)輯磁盤”對話框
選(xuan)擇(ze)“HD0WDC WD400EB---00CPF0”,點“確定”
這樣我們就把系統盤的分區(qu)表(biao)給(gei)打(da)開(kai)了,注意,現在(zai)我們是打(da)開(kai)了兩個窗(chuang)(chuang)口(kou)(kou),當前(qian)的窗(chuang)(chuang)口(kou)(kou)是“硬盤0”,在(zai)標題(ti)欄上有顯示(shi)。另外,打(da)開(kai)窗(chuang)(chuang)口(kou)(kou)菜單也能看出(chu)來(lai),當前(qian)窗(chuang)(chuang)口(kou)(kou)被打(da)上一個勾,如果(guo)想切(qie)換(huan)回原來(lai)的窗(chuang)(chuang)口(kou)(kou),就點擊(ji)“硬盤1”。
首先選(xuan)中系統盤的引導代碼(ma)
然后在選區中單(dan)擊鼠(shu)標右鍵,選“編輯”
又出來(lai)一個菜單(dan),然(ran)后我們選“復制選塊(kuai)”——“正常(chang)”
然后我們切換回硬(ying)盤1窗口,在零扇(shan)區的第一個字(zi)節處單擊鼠標右鍵,選“編輯”
然后選“剪貼板數據”——“寫入……”
出現一個(ge)窗口(kou)提示,點“確定”
這樣,我(wo)們就把(ba)一個正常系統盤上的(de)引導代(dai)碼(ma)復制過來(lai)了(le)。
下面,我們就開始恢(hui)復分(fen)(fen)區(qu)(qu)表(共(gong)64個(ge)(ge)字節(jie),分(fen)(fen)為4個(ge)(ge)分(fen)(fen)區(qu)(qu)表項(xiang),每個(ge)(ge)分(fen)(fen)區(qu)(qu)表項(xiang)占(zhan)用16個(ge)(ge)字節(jie),一(yi)般(ban)只使用前(qian)兩個(ge)(ge)分(fen)(fen)區(qu)(qu)表項(xiang)),我們首先來(lai)恢(hui)復第一(yi)個(ge)(ge)分(fen)(fen)區(qu)(qu)標項(xiang)(也就是用來(lai)描(miao)述(shu)C盤(pan)的)。
首先(xian),在第(di)1個字節處(0扇區(qu)倒數第(di)五(wu)行,倒數第(di)二個字節)填上分區(qu)引導標志(zhi),因為(wei)C盤是(shi)活動分區(qu),所以填上80。
接著(zhu)是第2、3、4字節(本分區起始磁頭號(hao)、扇區號(hao)、柱面號(hao)),填上:01 01 00。
第5字節(jie)是分區(qu)類型符,因(yin)為原先(xian)C盤是Fat32格式,所以(yi)填上:0B。那么,如果你不(bu)知(zhi)道(dao)C盤是什么格式怎么辦(ban)呢(ni)?你會(hui)說(shuo)問(wen)問(wen)客戶呀,那么如果他也不(bu)知(zhi)道(dao)呢(ni)?別著急,后面在說(shuo)恢復(fu)DBR的時候我會(hui)教(jiao)你怎么分辨分區(qu)的格式。
第6、7、8字節是本分區的結束磁(ci)頭號(hao)、扇區號(hao)、柱面(mian)號(hao),這怎么(me)知道呢(ni)?別著(zhu)急,現(xian)在的磁(ci)盤都(dou)是按照LBA方(fang)式尋址,并不按照C/H/S(及柱面(mian)、磁(ci)頭、扇區)方(fang)式尋址,所以(yi)這個地方(fang)你填(tian)些什(shen)么(me)一(yi)(yi)般關系不大,但是我要告訴你有一(yi)(yi)個通用的填(tian)法(fa),那(nei)就是:FE FF FF。
第9、10、11、12字(zi)節(jie),本(ben)分區(qu)之前已(yi)用(yong)了的(de)扇(shan)區(qu)數,也就(jiu)是(shi)MBR所占用(yong)的(de)扇(shan)區(qu)數,那不是(shi)63嗎(ma)?對,但是(shi)要將63轉為十(shi)六進(jin)制數,再反過(guo)來倒著(zhu)填寫(xie)上。還記得怎么用(yong)計算器嗎(ma)?將63轉為十(shi)六進(jin)制數是(shi)3F,不夠四個字(zi)節(jie)前面(mian)加零(ling),也就(jiu)是(shi)00 00 00 3F,再將此數從右向左依(yi)次序反過(guo)來就(jiu)是(shi)3F 00 00 00。
第(di)13、14、15、16字(zi)節(jie)是(shi)(shi)(shi)本分區(qu)的(de)(de)總(zong)扇區(qu)數(shu),也(ye)(ye)就是(shi)(shi)(shi)C盤(pan)的(de)(de)大(da)小(xiao),這(zhe)就要(yao)通(tong)過稍微一(yi)點點計(ji)算(suan)來得到(dao)了。因(yin)為C盤(pan)是(shi)(shi)(shi)從(cong)第(di)63個(ge)扇區(qu)開始,而C盤(pan)后面(mian)緊(jin)接著的(de)(de)是(shi)(shi)(shi)EBR,所以用EBR所在的(de)(de)第(di)一(yi)個(ge)扇區(qu)數(shu)減去63就是(shi)(shi)(shi)C盤(pan)的(de)(de)大(da)小(xiao)。那(nei)么(me)如(ru)何才能(neng)找(zhao)到(dao)EBR所在的(de)(de)第(di)一(yi)個(ge)扇區(qu)呢?我(wo)們前面(mian)說過,EBR的(de)(de)結構和MBR是(shi)(shi)(shi)一(yi)樣的(de)(de),所以,EBR的(de)(de)結束(shu)標(biao)志也(ye)(ye)一(yi)定(ding)是(shi)(shi)(shi)55AA,那(nei)么(me),只要(yao)我(wo)們找(zhao)到(dao)這(zhe)個(ge)結束(shu)標(biao)志,再看看這(zhe)個(ge)扇區(qu)是(shi)(shi)(shi)不是(shi)(shi)(shi)EBR不就行了?
單擊“搜索”——“查找十六進制數(shu)值(zhi)……”,然后出來(lai)一個對話框
在(zai)文本框中(zhong)(zhong)輸入“55AA”,搜索框中(zhong)(zhong)選“全(quan)部”,然后選中(zhong)(zhong)“條件”,把偏移量設置為“512=510”。
再單擊“確(que)定”。畫面如下(xia):
首(shou)先找到第一個“55AA”,我們看到,個扇(shan)區在第63個扇(shan)區上,并不是我們要(yao)找的EBR,再按F3繼續查找
又找到好幾個扇區,都不是(shi),那么(me)下面這個扇區是(shi)不是(shi)?
前(qian)面(mian)我(wo)們說(shuo)過,EBR的(de)(de)結構和(he)MBR的(de)(de)結構是(shi)一樣的(de)(de),所以在(zai)(zai)倒數(shu)第(di)五(wu)行倒數(shu)第(di)二(er)個字節應該(gai)(gai)是(shi)00 01,并且前(qian)446個字節應該(gai)(gai)是(shi)0,顯然這也不(bu)是(shi)EBR,繼續(xu)按F3查找(zhao)……終(zhong)于找(zhao)到了真正的(de)(de)EBR,在(zai)(zai)1435392扇區(qu)。
小技巧:現在的硬盤都比較大(da)(da),要(yao)逐個扇(shan)區(qu)(qu)的查找55AA確實太慢(man)了(le),那么有(you)(you)(you)沒有(you)(you)(you)辦法(fa)快點呢?有(you)(you)(you),那就是(shi)(shi)(shi)先問(wen)問(wen)客(ke)戶C盤大(da)(da)概(gai)有(you)(you)(you)多(duo)大(da)(da),大(da)(da)多(duo)數客(ke)戶還(huan)是(shi)(shi)(shi)知道的,比如他說C盤大(da)(da)概(gai)有(you)(you)(you)10個G,那么你就不要(yao)從頭開(kai)始找了(le),因為那實在太慢(man)了(le)。10個G大(da)(da)概(gai)是(shi)(shi)(shi)2000萬個扇(shan)區(qu)(qu),那么你可以用轉到扇(shan)區(qu)(qu)命令直接到1900萬扇(shan)區(qu)(qu),從那個地方再(zai)開(kai)始找不就省事多(duo)了(le)。
用1435392減去63,得到1435329,再(zai)轉(zhuan)為16進(jin)制,就是(shi)(shi)15E6C1,將(jiang)他倒轉(zhuan)過來就是(shi)(shi)C1E61500,這(zhe)就是(shi)(shi)C盤的大小(xiao)。這(zhe)樣,第一個(ge)分區表項填(tian)寫(xie)完(wan)畢,我(wo)們保存(cun)一下,再(zai)接著填(tian)寫(xie)第二個(ge)分區表項。
第二(er)個(ge)分區(qu)表第1個(ge)字節:因為是(shi)非活動(dong)分區(qu),所(suo)以寫00
第2、3、4字節,填寫01 01 00(通用的)
第5字節(jie):因為是擴(kuo)展分區,所以填(tian)寫0F
第6、7、8字(zi)節:填寫FE FF FF(通用)
第9、10、11、12字節是(shi)(shi)本分區(qu)之前已(yi)用了的(de)扇(shan)區(qu)數,應該就(jiu)是(shi)(shi)C盤大(da)小加63,也(ye)就(jiu)是(shi)(shi)1435392,前面剛(gang)計算出來的(de),轉為十六進(jin)制數再(zai)反過來就(jiu)是(shi)(shi)00 E7 15 00
第13、14、15、16字節是本分區的(de)總扇(shan)區數,也(ye)(ye)就(jiu)是擴展分區的(de)總扇(shan)區數,也(ye)(ye)就(jiu)是用(yong)整個硬盤的(de)大小減(jian)去C盤的(de)大小再減(jian)去63,即4124736-1435329-63=2689344,轉為(wei)十六進制(zhi)就(jiu)是290940,反(fan)過來(lai)就(jiu)是40092900。
這樣,第二個分(fen)區(qu)表項(xiang)就填(tian)寫完了。
不要(yao)忘了把最(zui)后的結束標(biao)志(zhi)55AA填上,這樣,MBR就全恢復完了,最(zui)后,保(bao)存,再重新啟動……
啟動完畢,迫不及(ji)待的(de)(de)打(da)開我的(de)(de)電腦,發現三個分(fen)區全(quan)部又(you)回來了,并(bing)且里面(mian)的(de)(de)數據完好無(wu)損(sun)。
再右擊(ji)“我的電腦”,選(xuan)“管理”
出現一個(ge)(ge)對(dui)話框(kuang),選“磁盤管理”,在(zai)右(you)邊可以(yi)看到磁盤一的三(san)個(ge)(ge)分區(qu)(Fat32、Fat16、Ntfs)全(quan)部都(dou)回來了,至(zhi)此,手(shou)工(gong)恢(hui)復分區(qu)表順利完成。
手工(gong)恢復(fu)數據(ju)恢復(fu)成(cheng)功率比(bi)較(jiao)高,而且比(bi)較(jiao)有趣(qu)味(wei)和(he)挑戰性(xing),能(neng)找(zhao)回許(xu)(xu)多傻瓜似的(de)軟件(jian)所找(zhao)不回來的(de)文(wen)件(jian),但(dan)是(shi)要求工(gong)程師一(yi)定(ding)要有耐性(xing),而且一(yi)定(ding)要保持清醒(xing),清楚自己正在(zai)操作什(shen)么,操作完了會(hui)有什(shen)么后(hou)果,能(neng)不能(neng)退(tui)回到上一(yi)步狀態(tai)。特(te)別是(shi)對一(yi)些破壞性(xing)操作,一(yi)定(ding)要考慮(lv)周(zhou)到,只(zhi)要條件(jian)允許(xu)(xu),就(jiu)一(yi)定(ding)要在(zai)操作之前進(jin)行備份,否(fou)則會(hui)造成(cheng)“血”的(de)教訓,切(qie)記!