winhex数据恢复入门教程

winhex数据恢复入门教程
winhex数据恢复入门教程

Winhex是X-Ways公司出品的一款十六进制编辑、磁盘编辑软件,其公司网站对其功能介绍如下:

* 可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑

* 支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统

* 可支持重组RAID及动态磁盘

* 附带数据恢复功能

* 可以访问物理内存及虚拟内存

* 内置数据解释器,可以识别解释20种数据类型

* 可以用数据结构模板查看、编辑结构数据

* 可以分割与合并文件

* 可以对文件进行分析与对比

* 具有灵活的搜索和替换功能

* 可以对磁盘进行克隆

* 可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理

* 具有编程接口,支持脚本操作

* 支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算

* 支持对磁盘进行数据安全销毁

* 包含ANSI ASCII, IBM ASCII, EBCDIC, Unicode字符集

* 支持文件大小超过4GB

4.2 软件的获取与安装

读者可以在网络上搜索提供下载Winhex的网站,或直接到其公司网站https://www.360docs.net/doc/f218359428.html,下载试用版或购买正版。

Winhex的安装与普通软件安装没有区别,以在Windows XP下为例,双击Setup.exe程序即可开始安装过程。如图4.1所示。

图4.1

程序默认的安装路径是C:\Program Files\WinHex,当然也可以自行选择安装到其他位置。可以选择语言种类,不过用以选择中文的Chinese按钮处于灰色不可选状态,应该是尚不支持中文。用户可以选择其它语言,默认语言是英文。

确定安装位置无误后,点击OK按钮,程序会弹出一个询问框,询问是否确定将程序安装到所选位置。如图4.2所示。

图4.2

如果要对安装位置重新选择,可以按“否”按钮回到原界面进行设置。否则按“是”按钮继续安装。

程序随即会弹出询问框询问是否要建立快捷方式。如图4.3所示。点击按钮“是”,程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。

图4.3

最后,程序提示安装完毕,询问是否运行程序。如图4.4所示。

图4.4

点击“是”按钮,程序即开始运行。如果不想立即运行程序,可以点击“否”按钮,在使用程序时从开始菜单中启动程序。

4.3软件使用

4.3.1 启动软件

以Winhex15.1为例,第一次运行程序,程序会给出一个设置窗(如图5所示),有两个可选

项:

* Write protection by default:设置写保护,即只可以对打开的对象进行查看,

不可以进行修改;

* Computer forensics interface:如果要使用取证界面,则应该勾选项。

我们是要使用底层分析及数据恢复功能,所以不需要在这个设置窗中进行任何设置,直接点击OK按钮即可,这样运行的程序默认允许对打开的对象进行读写操作。

图4.5

程序运行后的界面如图4.6所示。现在还只是一个空的程序主界面,可以在这个界面中选择

所需的各种功能。

图4.6

4.3.2 打开对象

要对一个对象进行底层分析,首先要将其打开。下面我们以打开一个磁盘后的界面来介绍一

下Winhex的十六进制编辑窗口。

在Winhex主界面中打开一个磁盘可以有三种方式:

1.点击工具栏中的按钮。

2.按键盘上的F9键。

3.点击菜单Tools→Open Disk,如图4.7所示。

图4.7

无论使用哪用方法,都会弹出磁盘选择框,如图4.8所示。

图4.8

在磁盘选择框中,磁盘以两种形式分组,上面的一组是“逻辑磁盘”,下面的一组是“物理”磁盘。我们可以简单地理解“逻辑磁盘”就是我们在“我的电脑”界面中看到的一个个的分

区,它们存在于物理磁盘中。

打开逻辑磁盘和打开物理磁盘的区别在于:

* 打开逻辑磁盘时Winhex使用该分区内的文件系统参数遍历整个分区,可以从文件

系统层解释分区内的数据;

* 打开物理磁盘时,Winhex不以任何文件系统为基础,只是简单地将整个磁盘的内

容以十六进制的形式展现在我们面前。

由于我们目前尚未接触到文件系统知识,所以在此我们不对此进行详细的介绍,在后面学习到文件系统的知识后自然会理解。图4.9可以帮助大家理解一下物理磁盘和逻辑磁盘的关

系。

图4.9

4.3.4 界面布局

现在我们打开物理磁盘中的HD0,并以它为例对打开后的界面进行介绍。请看图4.10。

图4.10

1.菜单栏

菜单栏集合了程序提供的所有功能入口。

2.案件数据

主要用于取证,可以将一个磁盘装入到案件数据框中查看数据、进行取证记录等。这个功能

在数据恢复中并不常用,可以通过勾选菜单栏中的View→Show→Case Data选项控制它的显

示与否。如图4.11所示。

图4.11

3.目录浏览器

根据打开磁盘方式的不同,目录浏览器内显示的内容会有所不同:

* 打开物理磁盘时,如果有可识别的分区,目录浏览器中会显示各个分区的类型、

大小及起始扇区等信息。

* 打开逻辑磁盘时,如果有可识别的文件系统,目录浏览器中会显示逻辑磁盘中的数据内容,显示效果与在“我的电脑”中打开一个分区后看到的内容相同。

是否显示目录浏览器可以通过View→Show→Directory Browser控制。

4.数据解释器

数据解释器是一个浮动窗口,可以在屏幕窗口中任意拖拽到任何位置。是否显示数据解释器

由View→Show→Data Interpreter控制。

当鼠标指针位于十六进制区或文本字符区时,数据解释器可以很方便地将鼠标指针当前所处位置的字节(或字符区的字符在十六进制区的对应字节)及向后若干个字节的十六进制数解释成十进制数、八进制数或同步显示十六进制数。可以在数据解释器窗口中右击,在弹出的快捷菜单中进行相应的设置。快捷菜单如图4.12所示。

图4.12

(1) Options:点击该选项(或在数据解释器窗口左半部分双击)会弹出数据解释设置框(如图4.13所示),可以在设置框中通过多选形式设置要在数据解释器中显示的内容、性质及类型。默认情况下数据解释器将十六进制解释为十进制,如勾选“8bit,signed”会在数据解释器中显示指针所处位置的这一个字节的十进制值,“signed”表示有符号,即数值有正

负之分。如果选择了“8bit,unsigned”,数据解释器会将指针当前所在位置的字节解释成

无符号的数值,即只将其当做正数。

数据解释设置框中还可以设置数据解释的精度,设置解释成各种时间值,设置按Big-Endian 顺序解释多字节数值(默认以Little-Endian解释多字节数值)等。

图4.13

(2) Big Endian:点击该选项会在其前面显示对勾,表示以Big Endian顺序解释多字节数值(同样的设置功能在数据解释设置框中也有,直接将其放入快捷菜单中是为了便于使用)。

在选项被勾选的情况下再次点击它,就会重新回到Little Endian解释状态。

(3) Hexadecimal:点击该选项会在其前面显示对勾,表示将数值显示为十六进制(默认解

释为十进制)。再次点击它,就会回到解释为十进制状态。

(4) Octal:解释为八进制,该选项的使用方法与前两个选项相同。

5.工具栏

工具栏集合了一些常用功能的快捷图标。是否显示工具栏可以通过View→Show→Toolbar 控制。随后我们会对工具栏进行专门的详细介绍。

6.对象卡

对象卡用于标识当前打开的对象窗口。是否显示对象卡可以通过是否勾选View→Show→Tab Control控制。在对象卡上右击会弹出关闭窗口快捷菜单,可通过该菜单关闭当前选项卡标

识的对象窗口。

7.详细面板

详细面板用以显示当前活动窗口对象的详细信息,是否显示详细面板可以通过是否勾选

View→Show→Details Panel控制。

根据打开对象的不同,详细面板显示的内容会有所不同。

打开一个物理磁盘时,详细面板会显示该物理磁盘的型号(Model)、序列号(Serial No)、固件版本(Firmware Rev)、当前编辑模式、当前状态(磁盘内容是否经过修改)、总容量、

每扇区字节数、当前位置所属分区号、在分区中的扇区号、当前指针所在区域(十六进制区/文本区)、字符集、偏移坐标表示形式等一系列信息。

打开一个逻辑磁盘时,详细面板会显示该逻辑分区在物理磁盘上的分区号、空闲百分比、文件系统类型、编辑模式、状态、当前簇号、当前扇区所属文件、当前扇区物理扇区号、当前扇区逻辑扇区号、分区已用空间、分区空闲空间、总容量、每簇扇区数、空闲簇数、总簇数、

每扇区字节数等信息。

8.偏移纵坐标

与偏移横坐标配合,唯一地标识十六进制区域中每个字节的偏移地址。在偏移纵坐标区内单击,可以使偏移坐标的表示形式在十进制和十六进制间进行转换。

9.偏移横坐标

与偏移纵坐标配合,唯一地标识十六进制区域中每个字节的偏移地址。

10.十六进制区

以十六进制形式表示磁盘上的存储内容,是主要的工作区域。

11.文本字符区

根据选择的字符集,以文本字符形式显示磁盘上的内容。

12.当前扇区号/总扇区数

显示当前光标所在的的扇区号以及整个磁盘的总扇区数。在该区域单击会弹出“转到扇区”对话框。在该区域右击则会弹出拷贝当前扇区号或总扇区数快捷菜单。如图4.14所示。

图4.14

13.光标当前位置偏移值及当前字节十进制值

标明光标当前位置的偏移值以及由当前字节开始的若干个字节的十进制值。

(1) 在偏移值部分单击会弹出转到偏移量对话框;在偏移值部分右击会弹出一个快捷菜单,

如图4.15所示。

图4.15

右键快捷菜单中,提供了拷贝光标当前位置偏移量的十进制值和十六进制值的菜单项,还提供了一个相对记录偏移菜单项Relative record offsets,点击该菜单项会弹出设置对话框,

如图4.16所示。

图4.16

* Apply different background color:使用不同的背景颜色。勾选该项后,程序会按下面Fist record at offset框中设置的起始偏移位置和Record size in bytes框中设置的间隔记录大小字节数对显示内容使用不同的背景颜色,以便于用户区分。

* Relative record offsets:使用相对记录偏移。勾选该项后,程序会以下面Fist record at offset框中设置的起始偏移位置为相对偏移0,该偏移0后的字节偏移都以该偏

移0位置为基准。

* Fist record at offset:起始偏移位置,十六进制。根据勾选项的不同,做为使用不同背景颜色的起始偏移,或做为相对偏移0的位置。

* Record size in bytes:记录大小,十进制。勾选了使用不同背景颜色项后,每

隔这个“记录大小”的字节数,交替更换一次背景颜色。

(2) 在“光标当前位置字节值(十进制)”区域单击,会弹出十进制解释器设置框,如图

4.17所示。

图4.17

十进制解释器设置框用于设置将光标当前所在位置开始的几个字节解释为十进制数值,以及将其做为有符号还是无符号数值进行解释。例如,设置为8bit,unsigned将光标当前所在位置的这一个字节当做无符号数解释为十进制。如果设置为32bit,unsined,则将光标当前所在位置开始的4个字节做为无符号数解释为十进制值。

我们进行如下设置:

* 以偏移0x21字节处为相对偏移0,同时它也做为使用不同背景颜色的起始处,每

隔32个字节更换背景颜色;

* 在十进制解释器中选择“32bit,unsigned”。

图4.18为设置后的界面结果,我们可以看到虽然实际上光标的位置并没有移动,但“光标所在位置偏移量”处的值发生了变化,因为现在以0x21字节处为相对偏移0,光标现在恰

好处于这个位置,所以它的偏移位置为0。

同样,“光标当前位置字节值(十进制)”处的值也发生了变化,因为原来解释器解释的是

1个字节,现在解释的是4个字节。

图4.18

另外,当设置了使用相对记录偏移后,在偏移值区域右击时弹出的快捷菜单中将增加一个“Absolute offsets”菜单项(见图4.19),它用于快速将“使用相对记录偏移”重新设置为“使用比对偏移”,即以磁盘的偏移0为偏移基准。

图4.19

还有一点,选择了使用相对记录偏移后,“当前扇区/总扇区数”部分将变成“当前记录号/总记录数”,单击该区域时也会相应弹出“转到记录”对话框。如图4.20所示。

图4.20

14.当前选块起/止偏移值及选块大小字节

如果选择了选块,会在这个位置显示选块的范围及选块的大小字节数。如图4.21所示,选

块起始于偏移0x21,结束于0x30,所以选块范围显示是“21-30”;共0x10个字节,所以

选块大小字节数部分显示“10”。

图4.21

在“当前选块起/止偏移值及选块大小字节”区域内单击,会弹出定义选块对话框,如图

4.22所示。

图4.22

(1) Beginning:选块开始偏移。可以直接输入偏移值,也可以在后面的选项框中选择一个

选项对应的对象做为选块起始位置,如图4.23所示。

* Current position:光标当前位置。

* Beginning of file:文件或磁盘的起始0字节处。

* Middle of file:文件或磁盘的中部。

* End of file:文件或磁盘的尾部。

* Beginning of block:选块起始处。如果当前有选块被选中,则将选块的起始处

做为新选块的起始。

* End of block:选块结尾处。如果当前有选块被选中,则将选块的结尾处做为新

选块的起始。

图4.23

(2) End:选块结束偏移。可以直接输入偏移值,也可以在后面的选项框中选择一个选项对应的对象做为选块结束位置,其选项内容与选项含义与定义选块起始位置相同。

4.3.5 工具栏详解

1.

:新建文件

用于新建一个RAW文件(也可以通过菜单File→New或快捷键Ctrl+N实现同样的功能)。点击该图标会弹出创建新文件对话框,如图4.24所示。可以通过在对话框中输入数值并选择单位(Bytes/KB/MB/GB)来创建一个新的文件。新建的文件会被程序直接打开,在对其进行保存前只存在于内存中。注意不要创建太大的文件,否则可能会造成资源耗尽。

图4.24

2.

:打开文件

“打开文件”的菜单功能位于File→Open,快捷键Ctrl+O。用于打开一个已经存在的文件,Winhex程序打开文件时不关心它的文件类型,只是以十六进制形式打开它。

3.

:保存

新建了一个文件,或对一个已经存在的文件或磁盘内容进行修改后,该按钮将处于活动状

态,用于对未保存的内容进行保存。

4.

:打印

用于发送打印指令。

5.

:文件属性

用于对一个文件的大小、时间信息等进行编辑,如图4.25所示。编辑完成后按回车键,程

序将提示编辑结果立即生效,如图4.26所示。

图4.25

图4.26

.6.

:打开文件夹

用于同时打开一个文件夹下的多个文件。点击后弹出图4.27所示的文件夹选择窗口。

图4.27

* 掩码:可以打开文件夹下的所有文件,也可以通过设置掩码打开某种指定的文件,例如设置掩码为“*.doc”打开所有的Word文档。

* 打开方式:打开文件的方式,包括只读方式及可修改方式。

* Must contain specified test:包含指定的文本。点击后弹出查找文本对话框(对话框设置见后面的“文本搜索”),可以在对话框中输入文件中需要包含的文本。不

过,Winhex对中文的搜索支持不好。

* Must contain specified hex values:包含指定的十六进制值。点击后弹出十六进制搜索对话框(对话框设置见后面的“十六进制搜索”),可以在对话框中输入需要

包含在文件中的十六进制值。

* Include subfoders:包括子文件夹。勾选该项后,不只打开当前文件夹下的文

件,还会打开当前文件夹下的子文件夹。

7

:撤销

用以撤销刚进行的操作。比如对某个字节进行了修改后,想撤销修改,可以点击该按钮。

8.

:复制选块

用以将选中的选块复制到剪贴板。该功能并不是太方便,我们将在后面介绍更为实用和方

便的右键快捷菜单。

9.

:写入选块

将剪贴板中的内容从指定当前所在位置写入。同样,我们建议使用后面介绍到的右键快捷

菜单中的相同功能。

10.

:转换文件

只对打开的文件有效。点击后弹出转换选择框,如图4.28所示,可以在转换选择框中选择

需要进行的转换。

图4.28

11.

:修改数据

用于对选块选或文件数据进行各种处理,可以用来对数据进行简单的加密。点击该按钮后

将弹出修改数据设置框,如图4.29所示。

图4.29

* Add:将选块中的数值与Add后输入框中的值相加。

² 通过是否勾选后面的“hexadec”控制设定输入框中的值是十进制还是十

六进制。

² 点击Integer type后的按钮,可以弹出整数类型选择框(如图4.30所示),用于设定选块或文件中数据的单位长度,假设有一个数值0x940239F1C2040001,以Little-endian顺序存储在磁盘上为“01 00 04 C2 F1 39 02 94”加“1”为例,如果选择“8bit,signed”表示将“01 00 04 C2 F1 39 02 94”的每个字节做为一个单位长度,即每个字节加“1”,变成“02 01 05 C3 F2 3A 03 95”;如果选择“16bit,singned”则将“01 00 04 C2 F1 39 02 94”的每两个字节做为一个单位长度,将每个单位长度的数值加“1”,即将原数据分解成“0100”、“04C2”、“F139”、“0294”后对每个数值进行加“1”处理,因为是Little-endian存储顺序,所以每个单位的数值分别变为“0200”、“05C2”、“F239”和“0394”,即原数值在磁盘上的存储形式变为“02 00 05 C2 F2 39

03 94”。

图30

² Excess of integer type range部分用于设置当相加后的结果超出Integer type中设定的整数类型能够表示的数值大小范围时如何处理。以在integer type中选择了“8bit,unsigned”为例(可表示的数值范围是0~255),将0xFE(十进制为254)加“2”,由于254+2=256,超出了8bit可表示的最大值范围,如果选择“No,use limit as new val ue”,即不允许超出,而是将可表示的最大值做为结果,则计算结果为0xFF;如果选择了“Allowed”,则计算方式是将超出了最大表示范围的结果值减去可表示的最大值,即256-255=1,结果为1。同样,如果计算结果小于0时,选择“No,use limit as new value”

则将0做为结果;选择“Allowed”将计算后小于0的结果加上可以表示的最大值。

² 如果要将通过Add处理后的结果回复原状态,使用同样的设置减去原来加

上的值即可。

* 16-bit byte swap:以16个bit为单位,将每个单位中的前后两个字节交换位置。假如有一个数值在磁盘上的存储形式为“01 02 03 04”,处理时将其分解为“01 02”和“03 04”,然后将每个单位中的两个字节交换位置,即分别变为“02 01”和“04 03”,

再组合到一起成为“02 01 04 03”。

* 32-bit byte swap:以32个bit为单位,将每个单位中的4个字节前后顺序交

换。

* Left shift by 1 bit:左移一位,将每个字节左移一位。例如,如果某个字节的值为0x04,换算成二进制后是0000 0100,左移一位后变成0000 1000,即0x08。

* Right shift by 1 bit:右移一位,将每个字节右移一位。例如,将0x04右移

一位变成0x02。

* Shitf by…byte(s):将选块内容向左或向右移动若干个字节,负数为向左,正数为向右。实际结果是将当前选块复制后从向左或向右后的若干个字节位置写入。

* Circular left rotation:左移本身个字节。例如,数值本身为4,则左称4个

字节;数值本身为5,则左移5个字节。

* Invert bits:反转。用0xFF减去每个字节的当前值,将结果做为当前字节的新值。例如,当前字节为0x02,反转后的值是0xFF-0x02 = 0xFD。

* XOR:异或运算。将每个字节的当前值与设定的值进行异或,结果做为当前字节

的新值。

* OR:或运算。将每个字节的当前值与设定的值进行或运算,结果做为当前字节的

新值。

* AND:与运算。将每个字节的当前值与设定的值进行与运算,结果做为当前字节

的新值。

* ROT13:字母置换。ROT13将26个英文字母分为两组,每组13个,然后将两组字母按先后顺序一一对应,置换时按这个对应关系进行置换。如图4.31所示。

图4.31

12.

:查找文本

用于查找文本字符(对汉字搜索支持不好)。点击后弹出查找文本对话框,如图4.32所示。

图4.32

* Match case:区分大小写。勾选该项后,搜索中将完全匹配字母的大小写,默认是忽略大小写。例如,要搜索“Test”,但输入的是“test”,如果不勾选区分大小写选项,程序可以搜索到;如果勾选了区分大小写,则程序只严格搜索“test”,大小写不一

致的将不会被做为结果目标。

* 编码选择:设置搜索ASCII码/Unicode码。

* Use this as a wildcard:设置通配符。例如,要搜索所有后三个字母为“est”、由4个字母组成的单词,可以勾选该选项并设定一个通配符,同时配合勾选下面的Whole words only(全字符匹配)进行搜索。例如可以使用“?”做为通配符,搜索“?est”。* Whole words only:全字符匹配,即搜索目标和结果需要整个单词完全匹配。* 搜索方向:用于设置在整个磁盘或文件范围内进行搜索,还是由当前位置开始向

上或向下搜索。

* 偏移设置:设定符合要求的目标位置,用以减少干扰信息。例如要搜索位于每个扇区偏移96字节处的某字符,可以设置为MOD 512 = 96,即只有偏移位置除以每扇区字节数512余数为96字节的位置才符合要求。这些位置的偏移可能会是0+96、512+96、1024+96等等,其他位置的相同字符将不在搜索结果内。

* Search in block only:只在选块内搜索。如果确定搜索目标就在某个范围内,可以选中该选块,这时Search in block only选项将变成可选状态,勾选后即可实现只在

设定的范围内搜索目标。

* Search in all open windows:在所有打开的窗口中搜索。如果打开个一个以上的对象,则该选项处于可选状态,勾选后程序会在所有打开的窗口中搜索目标。

* List search hits,up to:将搜索结果列表显示,可以设定显示的搜索结果数量。

13.

:查找十六进制值

用于查找指定的十六进制值。点击后弹出查找十六进制对话框,如图4.33所示。

图4.33

相找十六进制对话框内的设置与查找文本对话框基本相同,不同的只是输入搜索的内容为十六进制值,而不再是文本。另外就是通配符要使用一个十六进制值,而不能使用文本。

14.

:替换文本

用于搜索指定的文本内容,并将其替换为设定的文本。如果点击该按钮后弹出图4.34所示的“Only available in-place edit mode”提示框,说明当前操作对象要求程序处于

in-place模式才可以运行。这时,可以点击菜单Options→Edit Mode(如图4.35所示),在弹出的模式选择框中选择“In-place Mode (=editable)”选项(如图4.36所示)。

图4.34

图4.35

图4.36

点击替换文本按钮后会弹出替换文本对话框,如图4.37所示。

winhex数据手工恢复教程

winhex教程 winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex(数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK/MBR;

winhex数据恢复完整图文教程

winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: Winhex Winhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。

WinHe 数据恢复图文教程

WinHex数据恢复图文教程 WinHex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。

(完整word版)WINHEX手工修复硬盘

手工修正结构需要一定的数据恢复基础原理知识。在这里我们只描述常用几种系统结构位的手工修正,包括DBR、FAT表头部、MFT头部。 欢迎阅读本文,这是我们的《走进科学--探索发现--硬盘分区信息丢失之谜》的第三篇《W inHex应用之奇怪的未格式化》这篇文章是三篇文章中最绕的一篇,充分认识硬盘数据结构的“C T”运行 WINHEX之后你会觉得,这个可以学,很好很强大。在第一篇《寻找丢失的硬盘分区》文章里,我们恢复了客户故障硬盘的分区信息,但仍然有三个分区是未格式化状态,在这篇文章中我们利用非常强大的Winhex来进行手工修复文件系统。第二篇《DiskGenius恢复提示格式化的数据》中使用硬盘数据恢复软件的新星DiskGenius恢复这三个分区的数据,使用的是扫描重组目录法,直接提取数据。 前面恢复的6个分区中,有3个48.8G的NTFS分区是提示“未格式化”的,我们在前面介绍的是使用磁盘精灵直接扫描恢复数据,除扫描方法恢复数据,我们还可以使用WINHEX磁盘编辑工具直接修改异常扇区,达到恢复数据的目的。除了恢复结果原汁原味,而且恢复迅速,熟练后只需几分钟恢复这三个异常分区。

运行WINHEX,点取打开磁盘,选择我们要编辑恢复的硬盘,然后确定打开,这里选择物理驱动器,有的时候如果单一分区文件系统有问题,打开逻辑驱动器会出现问题,最好是打开物理驱动器后在对单一分区进行操作。

打开物理驱动器后,6个分区信息一目了然,其中2、3、4分区格式位置是未知的文件系统,显示?号,看来这三个分区引导信息扇区DBR肯定出问题了。

点击分区1,扇区内容栏将跳到分区1开始的地方,也就是分区的DBR位置。我们看到分区1从63扇区开始,其DBR的开始字节为EB 58 90

WinHex数据恢复教程笔记

WinHex数据恢复教程笔记 WinHex是在Windows下运行的十六进制编辑软件,此软件功能非常强大。 有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘; 它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 数据恢复的前提:数据不能被二次破坏、覆盖! 数据恢复首选软件用十六进制编辑器:WinHex MBR、EBR是分区产生的。 MBR主引导记录大小是固定的,位于整个硬盘的0柱面0磁道1扇区。共占用了63个扇区,实际只使用了1个扇区,即硬盘第一扇区中的512字节。 DBR是分区引导扇区,是由FORMAT高级格式化命令写到该扇区的内容,DBR是由硬盘的MBR装载的程序段。DBR装入内存后,即开始执行该引导程序段,其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区,但只有被设为活动分区才会被MBR装的DBR入内存运行 FAT16文件跳转指令EB 3C 90 FAT16 没有备份DBR FAT32文件跳转指令EB 58 90 DBR备份在第6扇区有第一扇区的备份。FAT表32扇区 NTFS文件跳转指令EB 52 90 DBR备份在最后一个扇区 ntfs格式没有FAT表。 04H 分区系统标志 当该值为00H时,表示此分区为不可识别的系统; 为04H时该分区为FAT16分区; 为05H或0FH该分区为扩展分区; 为0B时该分区为FAT32分区; F8H FFH FFH 0FH 开始的FAT表,(对于FAT16是以F8H FFH开始的),每个FAT项占32位(4个字节),FAT16的每个FAT项占16位(2个字节), 也就是说FAT和簇是一一对应的关系,对于FAT32的FAT来说每4个字节为1个FAT项. (对于FAT16的FAT每2个字节为一个FAT项) 512字节的MBR主引导记录又分为三部分: 1.主引导扇区里的主引导程序代码(boot loader),占446个字节; 2.硬盘分区表DPT(Disk Partition table),占64字节; 主分区表项1占16字节,447-461 每一个分区表项各占16个字节. 硬盘中分区有多少以及每一分区的大小都记在其中。 3.硬盘55AA有效结束标志magic number,占两个字节。 MBR被清零的话,硬盘将不能引导。 如果0号扇区被清零,硬盘分区将不被系统识别。提示未初始化。 备份MBR只要备份前512字节就可以了,包含分区表。 用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。 主引导程序代码(boot loader)的作用:就是让硬盘具备可以引导的功能。 如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。也可以用工具软件,比如:DiskGenius、WinHex等。 EBR,也叫做扩展MBR(Extended MBR)。占63个扇区。因为主引导记录MBR最多只能描述4个分区项,如果一个硬盘上分多于4个区,就用EBR. EBR的结构和MBR的结构是一样的,所以在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0。 DBR的备份: 分区格式是FAT32的话,备份在分区的6扇区。 NTFS分区格式的话,在分区的最后一个扇区。

U盘-WinHex数据恢复使用教程

WinHex数据恢复使用教程 WinHex教程 WinHex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如Pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:WinHex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构

MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、W INHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: WinHex WinHex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方

winhe数据恢复完整图文教程.doc

winhex 数据恢复分:硬恢复和恢复。所硬恢复就是硬出物理性,比如有体坏道、路板芯片、体异响,等故障,由此所致的普 通用不容易取出里面数据,那么我将它修好,同又保留里面的数据或后来恢复里面的数据,些都叫数据恢复,只不些故 障有容易的和困的之分;所恢复,就是硬本身没有物理,而是由于人或者病毒破坏所造成的数据失(比如格式化,分 区),那么的数据恢复就叫恢复。 里呢,我主要介恢复,因硬恢复需要一些工具(比如 pc3000, 烙,各种芯片、路板),而且需要懂一点点路基,我里所到 的所有的知,涉及面广,次深,既有数据构原理,我手工准确 恢复数据提供依据,又有各种数据恢复件的使用方法及技巧,我快速恢复数据提供便利,而且所有件均网上下,不需 要我投一分。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数与制: 关于二制、十六制、八制它之的我不想多,因他我数据恢复来帮助不大,而且很容易把我。如果你感趣想多了 解一些,可以到百度里面去搜一下,方面料已很多了,就不需要我再多了。数据恢复我主要用十六制器: Winhex (数 据恢复首件) 我先了解一下数据构: 下面是一个分了三个区的整个硬的数据构 MBR C EBR D EBR E MBR,即主引,位于整个硬的0 柱面 0 磁道 1 扇区,共占用了 63 个扇区,但只使用了 1 个扇区(512 字)。 在共 512 字的主引中,MBR又可分三部分:第一部分:引代,占用了446 个字;第二部分:分区表, 占用了64 字;第三部分:55AA,束志,占用了两个字。后面我要的用winhex 件来恢复分区,主要就 是恢复第二部分:分区表。 引代的作用:就是硬具可以引的功能。如果引代失,分区表在,那么个硬作从所有分区 数据都在,只是个硬自己不能用来启系了。如果要恢复引代,可以用DOS下的命令: FDISK /MBR; 个命令只是用来恢复引代,不会引起分区改,失数据。另外,也可以用工具件,比如DISKGEN、WINHEX等。但分区表如果失,后果就是整个硬一个分区没有,就好象来一个新硬没有分区一。是很多病毒喜破坏 的区域。 EBR,也叫做展MBR( Extended MBR)。因主引MBR最多只能描述4 个分区,如果想要在一个硬上分多于 4 个区,就要采用展MBR的法。 MBR、EBR是分区生的。 比如MBR 和EBR各都占 用 63 个扇区, C 占用1435329 个扇区??那么数据构如下表: 63 1435329 63 1435329 63 1253889 MBR C EBR D EBR E 展分区 而每一个分区又由DBR、 FAT1、 FAT2、 DIR、DATA5部分成:比如C?的数据构: C DBR FAT1FAT2DIR DATA Winhex Winhex 是使用最多的一款工具件,是在Windows下运行的十六制件,此件功能非常大,有完善的分区管 理功能和文件管理功能,能自分析分区和文件簇,能硬行不同方式不同程度的份,甚至克隆整个硬; 它能任何一种文件型的二制内容(用十六制示)其磁器可以物理磁或磁的任意扇区,是手工恢复数据的首工具件。

数据恢复软件Winhex使用说明书

目录 Winhex概述 (3) 1、软件的安装 (3) 2、软件使用及介绍 (4)

Winhex概述 WinHex是一个专门用来对付各种日常紧急情况的小工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。 具体功能如下: *可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑 *支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统 *可支持重组RAID及动态磁盘 *附带数据恢复功能 *可以访问物理内存及虚拟内存 *内置数据解释器,可以识别解释20种数据类型 *可以用数据结构模板查看、编辑结构数据 *可以分割与合并文件 *可以对文件进行分析与对比 *具有灵活的搜索和替换功能 *可以对磁盘进行克隆 *可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理 *具有编程接口,支持脚本操作 *支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算 *支持对磁盘进行数据安全销毁 *包含ANSI ASCII,IBM ASCII,EBCDIC,Unicode字符集 *支持文件大小超过4GB 1、软件的安装 Winhex的安装与普通软件安装没有区别,以在Windows XP下为例,双击Setup.exe程序即可开始安装过程。如图1.1所示。 图1.1

程序默认的安装路径是C:\Program Files\WinHex,当然也可以自行选择安装到其他位置。可以选择语言种类,不过用以选择中文的Chinese按钮处于灰色不可选状态,应该是尚不支持中文。用户可以选择其它语言,默认语言是英文。确定安装位置无误后,点击OK按钮,程序会弹出一个询问框,询问是否确定将程序安装到所选位置。如图1.2所示。 图1.2 如果要对安装位置重新选择,可以按“否”按钮回到原界面进行设置。否则按“是”按钮继续安装。程序随即会弹出询问框询问是否要建立快捷方式。如图1.3所示。点击按钮“是”,程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。 图1.3 最后,程序提示安装完毕,询问是否运行程序。如图1.4所示。 图1.4 点击“是”按钮,程序即开始运行。如果不想立即运行程序,可以点击“否”按钮,在使用程序时从开始菜单中启动程序。 2、软件使用及介绍 2.1启动软件 以Winhex15.1为例,第一次运行程序,程序会给出一个设置窗(如图2.1.1所示),有两个可选项: *Write protection by default:设置写保护,即只可以对打开的对象进行查看,不可以进行修改; *Computer forensics interface:如果要使用取证界面,则应该勾选项。 我们是要使用底层分析及数据恢复功能,所以不需要在这个设置窗中进行任何设置,直接点击OK按钮即可,这样运行的程序默认允许对打开的对象进行读写操作。

winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR

winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR 字节位置 内容及含义 第1字节 引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。 第2、3、4字节 本分区的起始磁头号、扇区号、柱面号 第5字节 分区类型符: 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——(LBA模式)扩展分区 83H—— Linux分区 第6、7、8字节 本分区的结束磁头号、扇区号、柱面号 第9、10、11、12字节 本分区之前已用了的扇区数 第13、14、15、16字节 本分区的总扇区数 1、什么是逻辑驱动 2、什么是物理驱动器 3、怎么搜索MBR、 EBR、DBR MBR、 EBR、DBR他们都是以55AA结尾 在winhex中搜索16进制:55AA 偏移512=510 (1)搜索DBR的标志: FAT16的DBR:EB 3C 90 没有备份的DBR FAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区 NTFS的DBR: EB 52 90 (备份的DBR)在该分区的最后一个扇区 判别MBR的方法: MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。1FE-1FF就是“55 AA” 判别EBR的方法: EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0 (2)查找DBR 可以通过搜索本分区的EBR去找DBR. 可以搜索EBR,定位DBR. DBR相对于EBR后63号扇区。 (3)当某分区的DBR坏了,就提示:未格式化 这个时候用winhex打开逻辑盘,就打不开。 我们只有通过打开物理驱动器,然后跳转到该分区。 就可以查看DBR是否被破坏了。。。。

winhex数据恢复工具使用

Winhex工具使用 一、Winhex工具介绍 Winhex是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 二、数据恢复的分类 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),这样的数据恢复就叫软恢复。 在此主要介绍软恢复,硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板)。 三、MBR和EBR MBR,即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 每一个分区又由DBR、FAT1、FAT2、DIR、DATA 5部分。 四、Winhex菜单和界面 最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第

winhex数据恢复教程

在这篇教程中,我想以一个最简单的例子来说明如何使用winhex来恢复NTFS分区中被删除的文件的,为了使这上篇的文章的知识尽量的简单,我这里所恢复的条件有这么几个: 1、我格式化了一个分区,所以这个分区中是没有任何文件的。 2、我使用的文件大小小于1K,所以这个文件在NTFS分区的文件记录中的数据属性中是个常驻属性。所以这里不涉及到运行计算的问题,应该 最简单的文件恢复了,以这个恢复例子的过程,可以建立一个数据恢复的大体原理了。 希望大家喜欢:) 下面开始。 第一:建立一个文本文件 我格式化了我的分区G,分区类型是NTFS,使用快速格式化,正常格式化只在检查磁盘坏道时才有用。。。 之后,我在这个分区建了一个文本文件,如下图所示:

这个文件很简单,内容也很少,我保存这个文件后,然后然后我们来看看这个文件大小信息,如下图所示:

我们看到,这个文件大小是224个字节,记住了哦,等下恢复这个文件的时候就可以对比一下了咯嘻嘻。。。 之后我就删除了这个文件,现在,我们看看怎么恢复这个文件! 第二:用winhex打开分区 我们运行winhex,然后点击菜单:工具-->打开磁盘,来打开G盘。如下图所示:

我们可以找到$MFT这个文件,然后右击它,然后点击打开,之后就会打开这个文件MFT。如下面两个图所示:

这里为什么要这么做呢? 因为,我们只需要在MFT找到我们丢失的文件,如果我们在整个分区里搜索并且这个分区很大的话,会要很多时间的,而MFT文件就小得多了,最大也就1G左右,这是我人为弄出来的,一般系统是很难见到这么大的MFT文件的,除非你是做服务器,有很多磁盘碎片和小文件。。。 之后,我们可以点击菜单中的:搜索-->查找文本。如下图所示:

(完整版)WinHex数据恢复教程笔记

WinHex 数据恢复教程笔记 WinHex 是在 Windows 下运行的十六进制编辑软件,此软件功能非常强大。 有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘; 它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 数据恢复的前提:数据不能被二次破坏、覆盖! 数据恢复首选软件用十六进制编辑器:WinHex MBR 、EBR 是分区产生的。 MBR 主引导记录大小是固定的,位于整个硬盘的 0 柱面 0 磁道 1 扇区。共占用了 63 个扇区,实际只使用了 1 个扇区,即硬盘第一扇区中的 512 字节。 DBR 是分区引导扇区,是由 FORMAT 高级格式化命令写到该扇区的内容,DBR 是由硬盘的 MBR 装载的程序段。DBR 装入内存后,即开始执行该引导程序段,其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区,但只有被设为活动分区才会被 MBR 装的 DBR 入内存运行 表 32 扇区 04H 分区系统标志 当该值为 00H 时,表示此分区为不可识别的系统; 为 04H 时该分区为 FAT16 分区; 为 05H 或 0FH 该分区为扩展分区; 为 0B 时该分区为 FAT32 分区; F8H FFH FFH 0FH 开始的 FAT 表,(对于 FAT16 是以 F8H FFH 开始的),每个 FAT 项占 32 位(4 个字节), FAT16 的每个 FAT 项占 16 位(2 个字节), 也就是说 FAT 和簇是一一对应的关系,对于 FAT32 的 FAT 来说每 4 个字节为 1 个 FAT 项. (对于 FAT16 的 FAT 每 2 个字节为一个 FAT 项) 512 字节的 MBR 主引导记录又分为三部分: 1.主引导扇区里的主引导程序代码(boot loader ),占 446 个字节; 2.硬盘分区表 DPT (Disk Partition table ),占 64 字节; 主分区表项 1 占 16 字节,447-461 每一个分区表项各占 16 个字节. 硬盘中分区有多少以及每一分区的大小都记在其中。 3.硬盘 55AA 有效结束标志 magic number ,占两个字节。 MBR 被清零的话,硬盘将不能引导。 如果 0 号扇区被清零,硬盘分区将不被系统识别。提示未初始化。 备份 MBR 只要备份前 512 字节就可以了,包含分区表。 用 WinHex 软件来恢复误分区,主要就是恢复第二部分:分区表。 主引导程序代码(boot loader )的作用:就是让硬盘具备可以引导的功能。 如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码,可以用 DOS 下的命令:FDISK /MBR ;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。也可以用工具软件,比如: DiskGenius 、WinHex 等。 EBR ,也叫做扩展 MBR (Extended MBR )。占 63 个扇区。因为主引导记录 MBR 最多只能描述 4 个分区 项,如果一个硬盘上分多于 4 个区,就用 EBR. EBR 的结构和 MBR 的结构是一样的,所以在倒数第五行倒数第二个字节应该是 00 01,并且前 446 个字节应该是 0。 DBR 的备份: 分区格式是 FAT32 的话,备份在分区的 6 扇区。 NTFS 分区格式的话,在分区的最后一个扇区。 DBR FAT16 没有备份 文件跳转指令 EB 3C 90 FAT16 FAT32 文件跳转指令 EB 58 90 DBR 备份在第 6 扇区 有第一扇区的备份。FAT NTFS 文件跳转指令 EB 52 90 DBR 备份在最后一个扇区 ntfs 格式没有 FAT 表。

WinHex恢复数据实例

为什么写这篇blog 上个星期SATA开始不停地出问题,经常性的在使用中分区信息丢失。开始只是C盘信息丢失,也就忍了,每次用Ghost还原。最后一次居然整个扩展分区没了,所有电影音乐游戏一概报销。只好临时把系统又装回老硬盘。虽然丢失的没有重要资料,毕竟是一大堆攒下来的东西,很不爽,决定找回来。在网上搜硬盘工具没找到理想的,倒是顺便又温习了一遍分区表知识,于是决定自己动手,丰衣足食。装上WinHex,直接开干。 2. MBR(主引导记录)and Partition Table(分区表) MBR是磁盘第一个扇区,CHS地址是0柱面,0磁头,1扇区;LBA地址是0。布局如下: [1] 0x01FE是55,0x01FF是AA。 3. 修复过程 理解了MBR和Partition Table,修复思路就很清晰了。我的数据分区大概是占用250G硬盘的后180G,所以从硬盘头六分之一的位置开始,搜索分区表的明显标志0x55AA。WinHex的方便的搜索功能还可以设置只搜索存在于整数倍于512字节块的末尾的0x55AA,速度快很多。每找到一个最后两字节为0x55AA的扇区,就分析4个分区表项是不是合理的,以及它所描述的分区大小,终于找到一个扇区,含有一个分区表项,大小180G,哈哈,肯定就是它了。这个扇区肯

定就是扩展分区的起始扇区,它含有的那个分区表项肯定就是它唯一包含的一个逻辑分区了。 在MBR中创建一条属性为扩展分区(05)的分区表项,填入其他相关位置信息,以描述刚才找到的这个扩展分区: CHS起始位置:一般是逻辑分区表项中的CHS起始位置,把磁头数改为0。 CHS结束位置:照抄逻辑分区表项中的CHS结束位置。 LBA偏移量,写入那个扩展分区相对磁盘起始位置的扇区偏移量。 分区大小:应该是逻辑分区表项中逻辑分区大小加上63个扇区。 存盘,运行Windows管理工具,查看磁盘信息,数据分区赫然在目。:) 4. 备份MBR 终于找回我的电影和mp3了,激动啊。赶紧做个备份。MBR本来没有第二份拷贝,不像FAT,所以用winhex把MBR复制一份到磁盘最后一个扇区,这个扇区一般不可能被用到。好了,再也不怕你硬盘掉电了。 相信听说过硬盘MBR、硬盘分区表、DBR的朋友一定都不少。可是,你清楚它们分别起什么作用吗?它们的具体位置又在哪里呢?硬盘上的MBR只有一份吗?什么是硬盘逻辑锁?如何制造和破解它呢??别急,让我们一步步来搞清楚吧! ==必备基础知识:== 以下先介绍一下有关扇区编号的基本知识:介绍一下有关硬盘扇区编号规则的3个易混淆的术语“物理扇区编号”、“绝对扇区编号”和“逻辑扇区编号”。 我们都知道硬盘扇区的定位有两种办法: 1、直接按柱面、磁头、扇区3者的组合来定位(按这种编号方式得到的扇区编号称为物理扇区编号); 2、按扇区编号来定位(又分“绝对扇区编号“和“逻辑扇区编号“两种)。这两种定位办法的换算关系如下图:(设图中所示硬盘每道扇区数均为63)

用WINHEX手工提取恢复已删除数据一例

这是我们这里的一同行转到我这里来的一个数据,据客户描述故障为:盘分了三个区在一次意外死机后重启电脑后客户继续死机前的工作打开最后一个区(前两个区是正常的)提示未格式化(其实大多数朋友知道这时的问题简单得多也许重建DBR后整个盘里面的数据都在,这里暂且就不谈这种问题的解决方法了),要命的是这时客户鬼使神差地点击了格式化了,结果大家当然就知道了,数据肯定是没有了。据转到我这里的那同行说他用各种搜索软件对整个区搜了好几遍(这也是大多数所谓专业的数据恢复商所用的恢复方法了),当然也搜到了很多数据,尽管很乱但还能正常打开。最后客户确认搜出来数据大部份正常,但客户最重要的的一个压缩文件损坏了,(据客户说那压缩文件是他多年搞设计购买的素材库的精华)。大家知道压缩文件损坏了是很难很难修复的了。首先我用WINHEX把他搜出来的那个压缩文件打开分析了下,文件头乱了,中间的数据也不正常。无法修复,只好从原盘着手了。竟然搜索软件搜出来的是损坏的,那就只有用手工来做了,当然用手工做这种格式化了的数据很费时,且计算量也很大,只能针对像这样的个别特重要的数据。 对原盘的那个格式化掉的分区做完镜像后,用WINHEX打开镜像,设置镜像文件为磁盘。如下图所示: 1.jpg 分区是NTFS格式的,整个分区大小为25.4G。对NTFS分区格式研究过的朋友会知道,在NTFS文件系统中,文件亦是按簇进行分配的,文件通过主文件表MFT(Master File Table)来确定其在磁盘上的存储

位置、大小、属性等信息。相当于FAT系统下的FAT+FDT的功能。每文件都有一个文件记录。其中第一个记录就是MFT自己本身。我们转到第一个文件记录也就是MFT了直接点可以看到如下图所示: 2.jpg 通过第一个文件记录往下观察发现格式化了后对文件记录没有产生破坏。那么这时我们就可以有一个恢复的思路了:找客记所说的那个压缩文件的在MFT中的记录,再通过对文件记录的分析来确定文件在磁盘中的位置及大小,就可以直接从中提出文件了。想到做到,据客户告之,压缩文件名为:源文件与素材。那好,我们可以新建一个文本记事本只输入压缩文件名―――源文件与素材!保存,再用WINHEX打开可以看到如下图: 3.jpg 然后再转回来,直接从第一个文件记录往下开始搜索十六进制数值90 6E 87 65 F6 4E 0E 4E 20 7D 50 67搜索到了一个地方停下来了,看看是不是那个压缩文件的记录呢看下图:

winhex恢复U盘数据案例

存储一个文件的时候,操作系统首先在记录所有空间使用情况的文件分配表(FAT)中找到足够容纳文件的空间,然后把文件内容写到相对应的硬盘扇区上,并在文件分配表中标出该空间已经被占用。删除文件的时候,一般并不对文件所占用的扇区进行操作,而仅仅是在文件分配表中指明哪些空间可以分配给别的文件使用。 这个时候,被删除文件的实际内容仍然存在,可以被恢复。如果删除文件后又创建了新文件,那么被删文件所占用的扇区就有可能被新文件所使用,这时候就无法恢复被删文件的数据了。所以一旦误删除了文件,就不要再对该文件所在的分区进行写操作了,否则有可能 覆盖原有数据,造成文件无法恢复。 小知识:恢复文件的三个阶段 1.使用自动化恢复软件 恢复软件(如Finaldata或EasyRecovery等)使用很简单,根据向导的指示操作就可以 了。 2.手工恢复被删除数据 手工恢复的原理是直接在存储设备上寻找被删除文件的关键内容。这种方法适合恢复有明显特征而且结构简单的文件,如文本文件。如果文件很大,且分散于磁盘的不同位置,还需要根据文档的内部结构重新组织文档,才能彻底恢复数据。 3.找专业的数据恢复公司 备份数据 由于数据很重要,所以首先要进行备份,万一出现误操作,还可以把U盘恢复到最初的状态。这一步很重要,并且U盘容量不大,备份不会占用太大磁盘空间。进行扇区级别的磁盘数据备份有很多工具,如Ghost、WinHex和DiskExplorer,下面主要介绍WinHex。WinHex 是一个16进制文件编辑工具,可以跳过操作系统的文件系统直接读取磁盘和U盘等设备, 从而进行数据恢复。 使用WinHex的“Tools”菜单下面的“Open Disk”命令,打开物理U盘。

如何使用WINHEX进行数据恢复

如何使用WINHEX进行数据恢复 Winhex有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 首先要安装Winhex,安装完了就可以启动winhex了,启动后,首先出现的是启动中心对话框。 这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。 最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。 最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等 向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。 下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。 分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C 盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)

相关文档
最新文档