女人自慰AV免费观看内涵网,日韩国产剧情在线观看网址,神马电影网特片网,最新一级电影欧美,在线观看亚洲欧美日韩,黄色视频在线播放免费观看,ABO涨奶期羡澄,第一导航fulione,美女主播操b

您好,歡迎來電子發燒友網! ,新用戶?[免費注冊]

您的位置:電子發燒友網>電子百科>主機配件>硬盤>

數據恢復工具winhex教程來源

2010年03月29日 09:53 www.asorrir.com 作者:佚名 用戶評論(0
數據恢復工具winhex教程

數據恢復分類:硬恢復和軟恢復。所謂硬恢復就是硬盤出現物理性損傷,比如有盤體壞道、電路板芯片燒毀、盤體異響,等故障,由此所導致的普通用戶不容易取出里面數據,那么我們將它修好,同時又保留里面的數據或后來恢復里面的數據,這些都叫數據恢復,只不過這些故障有容易的和困難的之分;所謂軟恢復,就是硬盤本身沒有物理損傷,而是由于人為或者病毒破壞所造成的數據丟失(比如誤格式化,誤分區),那么這樣的數據恢復就叫軟恢復。
這里呢,我們主要介紹軟恢復,因為硬恢復還需要購買一些工具設備(比如pc3000,電烙鐵,各種芯片、電路板),而且還需要懂一點點電路基礎,我們這里所講到的所有的知識,涉及面廣,層次深,既有數據結構原理,為我們手工準確恢復數據提供依據,又有各種數據恢復軟件的使用方法及技巧,為我們快速恢復數據提供便利,而且所有軟件均為網上下載,不需要我們投資一分錢。
數據恢復的前提:數據不能被二次破壞、覆蓋!
關于數碼與碼制:
關于二進制、十六進制、八進制它們之間的轉換我不想多說,因為他對我們數據恢復來說幫助不大,而且很容易把我們繞暈。如果你感興趣想多了解一些,可以到百度里面去搜一下,這方面資料已經很多了,就不需要我再多說了。
數據恢復我們主要用十六進制編輯器:Winhex (數據恢復首選軟件)
我們先了解一下數據結構:
下面是一個分了三個區的整個硬盤的數據結構
MBR
C盤
EBR
D盤
EBR
E盤
MBR,即主引導紀錄,位于整個硬盤的0柱面0磁道1扇區,共占用了63個扇區,但實際只使用了1個扇區(512字節)。在總共512字節的主引導記錄中,MBR又可分為三部分:第一部分:引導代碼,占用了446個字節;第二部分:分區表,占用了64字節;第三部分:55AA,結束標志,占用了兩個字節。后面我們要說的用winhex軟件來恢復誤分區,主要就是恢復第二部分:分區表。
引導代碼的作用:就是讓硬盤具備可以引導的功能。如果引導代碼丟失,分區表還在,那么這個硬盤作為從盤所有分區數據都還在,只是這個硬盤自己不能夠用來啟動進系統了。如果要恢復引導代碼,可以用DOS下的命令:FDISK /MBR;這個命令只是用來恢復引導代碼,不會引起分區改變,丟失數據。另外,也可以用工具軟件,比如DISKGEN、WINHEX等。
但分區表如果丟失,后果就是整個硬盤一個分區沒有,就好象剛買來一個新硬盤沒有分過區一樣。是很多病毒喜歡破壞的區域。
EBR,也叫做擴展MBR(Extended MBR)。因為主引導記錄MBR最多只能描述4個分區項,如果想要在一個硬盤上分多于4個區,就要采用擴展MBR的辦法。
MBR、EBR是分區產生的。
比如MBR和EBR各都占用63個扇區,C盤占用1435329個扇區……那么數據結構如下表:
63
1435329
63
1435329
63
1253889
MBR
C盤
EBR
D盤
EBR
E盤
擴展分區
而每一個分區又由DBR、FAT1、FAT2、DIR、DATA5部分組成:比如C?盤的數據結構:
C 盤
DBR
FAT1
FAT2
DIR
DATA
Winhex
Winhex是使用最多的一款工具軟件,是在Windows下運行的十六進制編輯軟件,此軟件功能非常強大,有完善的分區管理功能和文件管理功能,能自動分析分區鏈和文件簇鏈,能對硬盤進行不同方式不同程度的備份,甚至克隆整個硬盤;它能夠編輯任何一種文件類型的二進制內容(用十六進制顯示)其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任意扇區,是手工恢復數據的首選工具軟件。
首先要安裝Winhex,安裝完了就可以啟動winhex了,啟動畫面如下:首先出現的是啟動中心對話框。
?
這里我們要對磁盤進行操作,就選擇“打開磁盤”,出現“編輯磁盤”對話框:
在這個對話框里,我們可以選擇對單個分區打開,也可以對整個硬盤打開,HD0是我現在正用的西部數據40G系統盤,HD1是我們要分析的硬盤,邁拓2G。這里我們就選擇打開HD1整個硬盤,再點確定.然后我們就看到了Winhex的整個工作界面。
最上面的是菜單欄和工具欄,下面最大的窗口是工作區,現在看到的是硬盤的第一個扇區的內容,以十六進制進行顯示,并在右邊顯示相應的ASCII碼,右邊是詳細資源面板,分為五個部分:狀態、容量、當前位置、窗口情況和剪貼板情況。這些情況對把握整個硬盤的情況非常有幫助。另外,在其上單擊鼠標右鍵,可以將詳細資源面板與窗口對換位置,或關閉資源面板。(如果關閉了資源面板可以通過“察看”菜單——“顯示”命令——“詳細資源面板”來打開)。
最下面一欄是非常有用的輔助信息,如當前扇區/總扇區數目……等
?
向下拉拉滾動條,可以看到一個灰色的橫杠,每到一個橫杠為一個扇區,一個扇區共512字節,每兩個數字為一個字節,比如00。
下面我們來分析一下MBR,因為前面我們說過,前446個字節為引導代碼,對我們來說沒有意義,這里我們只分析分區表中的64個字節。
分區表64個字節,一共可以描述4個分區表項,每一個分區表項可以描述一個主分區或一個擴展分區(比如上面的分區表,第一個分區表項描述主分區C盤,第二個分區表項描述擴展分區,第三第四個分區表項填零未用)
每一個分區表項各占16個字節,各字節含義如下:(H表示16進制)
字節位置
內容及含義
第1字節
引導標志。若值為80H表示活動分區;若值為00H表示非活動分區。
第2、3、4字節
本分區的起始磁頭號、扇區號、柱面號
第5字節
分區類型符:
00H——表示該分區未用
06H——FAT16基本分區
0BH——FAT32基本分區
05H——擴展分區
07H——NTFS分區
0FH——(LBA模式)擴展分區
83H—— Linux分區
第6、7、8字節
本分區的結束磁頭號、扇區號、柱面號
第9、10、11、12字節
本分區之前已用了的扇區數
第13、14、15、16字節
本分區的總扇區數
此硬盤的第一分區表(即MBR)分析如下:
第一個分區表項(C盤)
第1字節80:表示此分區為活動分區;
第5字節0B:表示分區類型為Fat32;
第9、10、11、12字節 系統隱含扇區3F 00 00 00:所謂系統隱含扇區就是本分區(C盤)之前已用了的扇區數,這是一個十六進制數,但要注意:真正的隱含扇區數應該反過來填寫(比如:隱含扇區數為3E 4D 5A 6F,則反過來就是6F 5A 4D 3E ,這才是實際的隱含扇區數)。那么,3F 00 00 00反過來寫就是00 00 003F,也就是3F,將他轉成十進制數我們才能知道實際的隱含扇區數是多大。這可以使用計算器來算,單擊工具欄上的“計算器”按鈕,如下圖:
?
這樣就啟動了計算器
計算器有兩種型號,我們要進行進制轉換,就要選擇“科學型”
?
?
比如我們要將十六進制3F轉換為十進制,就要先選中“十六進制”,然后輸入3F
?
再選中“十進制”,十六進制3F轉為十進制等于63。想一想我們前面所講的,MBR占用63個扇區,也就是C盤之前已用了的扇區數為63,第64個扇區就是C盤的第一個扇區,但要注意的是,整個硬盤的LBA地址是從零開始的,0~62的扇區為MBR。
我們來看看對不對,單擊工具欄上的“轉到扇區”按鈕,出現一個“轉到扇區”對話框
這個就是D盤的EBR,也就是D盤的分區表了,怎么知道的呢?因為MBR和EBR的結構是完全一樣的,都是占用了63個扇區,但只用了第一個扇區,其余62個扇區填零不用。第一個扇區前446個字節都為引導代碼,后64個字節為分區表,最后2個字節為55AA結束標志。因為EBR不是活動分區,不需要引導代碼,所以前446個字節為零。
還有另一種方法直接找到D盤的EBR,單擊“訪問”下拉按鈕——“分區二”——“分區表”,直接就到1435392扇區.
第1字節00:表示非活動分區
第5字節05:表示擴展分區
第9、10、11、12字節00 E7 15 00:本分區之前的扇區數(擴展分區前面也就是MBR和C盤,好像我們前面算過這個數?)同樣,先將它反過來,就是00 15 E7 00 ,再轉為十進制是1435392,看來我們前面真的算過這個數。
小知識:具體一個硬盤有多少個LBA(扇區)不需要我們去記憶,因為用各種工具軟件(如MHDD WINHEX等)都可以檢測到。我們只要知道個大概就行了:如10G的硬盤大概有2000萬個扇區;20G的硬盤大概有4000萬個扇區;40G的硬盤大概有8000萬個扇區……那么,2G的硬盤大概有400萬個扇區。
那么,你可能要問了:如果要恢復分區表,這個起始磁頭號、扇區號、柱面號還有結束磁頭號、扇區號、柱面號應該怎么填呢?簡單得很,在后面恢復分區表的時候我會告訴你,直接填,都不用計算。
其實D盤的EBR和E盤的EBR我們不分析也罷,因為無非也是分區表,跟MBR的結構是一樣的,但卻很容易把我們繞暈,又因為EBR一般不容易被破壞,所以我不建議分析EBR。
但如果你一定要分析,那就分析吧。
單擊“訪問”下拉按鈕——“分區二”——“分區表”,直接就到1435392扇區,即D盤的分區表EBR。
第1個字節00:表示非活動分區
第5個字節06:表示FAT16分區
第9、10、11、12字節3F 00 00 00:本分區之前已用了的扇區數,也就是EBR的數目,63個。
第13、14、15、16字節C1 E6 15 00:本分區的總扇區數,也就是D盤的扇區數,先反過來排列就是00 15 E6 C1,轉為十進制就是1435329。
第二個分區表項(D盤后面的):
第1個字節00:表示非活動分區
第5個字節05:表示擴展分區
第9、10、11、12字節00 E7 15 00:本分區之前已用了的扇區數,也就是D盤的EBR加D盤總共的大小, 63+1435329=1435392
第13、14、15、16字節40 22 13 00:本分區的總扇區數,1253952,也就是E盤的大小再加上一個EBR的數目。
單擊“訪問”下拉按鈕——“分區三”——“分區表”,直接就到2870784扇區,即E
盤的分區表EBR。因為E盤后面沒有分區了,所以沒有第二個分區表項。這里我們就不再研究了,有興趣的話可以自己多備一塊硬盤作從盤,然后自己分分區研究研究。
其實,通常情況下EBR是不會被破壞的,或者破壞的幾率極低極低,通常情況下,都是只有MBR被破壞,那么這種情況下,我們只要把MBR的分區表64個字節復原,其他的分區順著分區表所提供的鏈自然而然就出來了。那么,如何才能將分區表復原呢?這就要通過計算結合Winhex強大的功能來實現了。
下面我們就來模仿分區表被病毒破壞的情況,將MBR全部填零。我們首先將MBR所在的扇區選中。鼠標指向第一個字節,單擊右鍵,選擇“選塊開始”
修改了扇區,這時候還沒有存盤生效,如果你想存盤生效的話,就選擇“文件”菜單“保存扇區”命令。
這樣我們就把分區表給刪除了,這時候必須重新啟動才能生效,如果你打開我的電腦,會發現三個分區(F 、G、 H)還在那里,并且里面的數據還能正常使用。
經過不長時間的等待,電腦啟動起來了,我們打開我的電腦看看,發現F 、G 、H三個分區不見了。
接著是第2、3、4字節(本分區起始磁頭號、扇區號、柱面號),填上:01 01 00。
第5字節是分區類型符,因為原先C盤是Fat32格式,所以填上:0B。那么,如果你不知道C盤是什么格式怎么辦呢?你會說問問客戶呀,那么如果他也不知道呢?別著急,后面在說恢復DBR的時候我會教你怎么分辨分區的格式。
第6、7、8字節是本分區的結束磁頭號、扇區號、柱面號,這怎么知道呢?別著急,現在的磁盤都是按照LBA方式尋址,并不按照C/H/S(及柱面、磁頭、扇區)方式尋址,所以這個地方你填些什么一般關系不大,但是我要告訴你有一個通用的填法,那就是:FE FF FF。
第9、10、11、12字節,本分區之前已用了的扇區數,也就是MBR所占用的扇區數,那不是63嗎?對,但是要將63轉為十六進制數,再反過來倒著填寫上。還記得怎么用計算器嗎?將63轉為十六進制數是3F,不夠四個字節前面加零,也就是00 00 00 3F,再將此數從右向左依次序反過來就是3F 00 00 00。
第2、3、4字節,填寫01 01 00(通用的)
第5字節:因為是擴展分區,所以填寫0F
第6、7、8字節:填寫FE FF FF(通用)
第9、10、11、12字節是本分區之前已用了的扇區數,應該就是C盤大小加63,也就是1435392,前面剛計算出來的,轉為十六進制數再反過來就是00 E7 15 00
下面我們會說到手工恢復DBR、FAT(此教程被收錄在付費教程中),這些比手工恢復分區表還要復雜,更需要大量的計算。再說完了使用Winhex手工恢復數據之后,我們會說到一些數據恢復軟件,結合數據恢復軟件會使數據恢復成功率大大提高,但有一些軟件在掃描過程中會對原盤破壞數據,在使用中一定要謹慎!!!而且同一個軟件,一個新手用和一個老手用數據恢復成功率絕對是不一樣的,這些軟件我們會免費贈送,絕對不會讓你學習了資料卻找不到軟件的。

非常好我支持^.^

(0) 0%

不好我反對

(0) 0%

( 發表人:admin )

      發表評論

      用戶評論
      評價:好評中評差評

      發表評論,獲取積分! 請遵守相關規定!

      ?