移动硬盘坏了,用WinHex修复

最完整的winhex教程

winhex教程 winhex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构

MB R C 盘 EB R D 盘 EB R E 盘 MBR，即主引导记录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、WINHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR 的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区，C盘占用1435329个扇区……那么数据结构如下表： 63 1435329 63 1435329 63 1253889 MBR C盘EBR D盘EBR E盘 扩展分区

使用winhex修复优盘的MBR数据

用winhex修复U盘的MBR 复习：进制转换；K\M\G的关系； 1、MBR界面如下 说明： MBR：即主引导记录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但是实际上只使用了1个扇区（512字节），所谓的引导区病毒就是把这个扇区的数据搞乱而导致系统无法启动也无法使用。有一个简单的办法恢复引导扇区记录，在DOS模式下，输入命令： FDISK/MBR 这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据，此外，也可以用工具软件，例如DISKGEN，winhex等。 EBR：也叫扩展MBR。因为主引导记录最多只能描述4个分区，如果一个硬盘上多余4个分区，就要采用扩展MBR的办法。EBR的结果和MBR事一样的。 注意：1）编辑菜单中的“复制”、“黏贴”、“fill block”（填充块）； 2）位置菜单中的“转到偏移”； 3）工具菜单中的“打开磁盘”，这里要注意一般打开“物理磁盘”即：physical media 2、Winhex软件是按照扇区分隔的，注意每一个扇区会有一个分割线，前446字节为引导 代码，可以不看，后64字节为分区信息，每个分区16个字节，共可以表示4个分区（含扩展分区），最后两个字节为“55 AA”，是分区结束标志。可以有一个简单办法记住分区信息：从55AA开始数，倒数第五行的倒数第二个数开始。

3、从55AA开始数，倒数第五行的倒数第二个数为“80”就意味着这个分区时可以启动的， 否则不可以启动。 4、从55AA开始数，倒数第四行的第三个数，是表示分区性质的。 5、从55AA开始数，倒数第四行的倒数第三个数开始有四个数，按照倒的顺序排列，是表 示这个分区的大小的，例如：B9 97 6C 03，实际上是：03 6C 97 B9，用“附件”中的“计算器”把他化为十进制，为57448377，这个表示扇区数目，一个扇区是512个字节，所以还要乘以512，即：57448377 X 521=29413569024字节，1G=1073741824字节，所以，29413569024字节=29.4G，也就是说这个分区大小是29.4G。 记住：1K=1024,1M=1024*1K, 1G=1024*1M 6、按照第五条，再往前数四个数，表示开始的扇区。可以看到前63个扇区没有用，除了 第一个扇区外，其他的扇区都是0，我们把第一个扇区的内容保存到第二个扇区（或者第三个。。。。。。。），然后再把第一个扇区的内容清空，然后保存，退出U盘，再插入U 盘，会发生什么情况呢？ 7、提示：既可以把MBR信息的内容放到1-62号的任一扇区内，也可以把他作为一个文件 保存在另外的磁盘上（注意：不要有扩展名）。 8、现在把0号扇区的数据全部清零，保存，然后退出U盘，再插入U盘，会出现什么现 象？ 9、如何把出现这个问题的U盘修复好呢？ 10、思考：怎么找扩展分区呢？ 11、将自己带的U盘的文件全部复制到D盘的一个文件夹中（这个文件夹是新建的， 专门用于保存U盘数据的。）然后尝试删除U盘的一个文件，用EASYRECOVER恢复，你能恢复吗？ 12、胆子再大一点，把U盘格式化，再用EASYRECOVER恢复，你能恢复吗？ 13、提示：在网上搜索数据恢复的软件，也许有比EASYRECOVER更好的数据恢复软 件，360就自带有数据恢复工具。

用Winhex手动修复分区表以提取数据

一、初步应用——双分区恢复实例及分析 （一）、现场重现： 提示，切勿随意使用自己的硬盘进行试验，切记试验前保存重要数据。对于移动硬盘，损坏往往发生于硬盘传输数据中断电。现在我将一个有问题的移动硬盘接到电脑上，在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色（打开磁盘工具时它会提示你要初始化，不理它，点“取消”），在“计算机”中也找不到这个磁盘。 （二）、手动修复： （阅读有困难的朋友可以先读完第三节再回过头来看这一节，本节的另一个作用是让新手对Winhex界面有一个初步了解） 1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘（F9）-->选择要修复的硬盘，这里是HD2。

2、打开之后图中显示从0000H-->01ffH（16进制）之间的数据全部为0。 现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。

操作步骤为：在良好硬盘中拉选0000-->01bd之间的区块，被选中区块呈亮蓝色；复制选块； 接下来在损坏硬盘中拉选相应区域，将光标定位至0000；右键-->编辑-->粘贴板数据-->写入。将01fe，01ff填写为55AA，到这里一定保存。 点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理（Alt+F12）-->NTFS引导扇区。

打开如下图，并记录黄色方框内的两个数值（63和63777986）

63+63777986+1=63778050，跳转至63778050扇区。 稍微向下滚动一点，看到那个粉色框标识出的55AA了嘛？往前找到黄色框内的部分，显示为3F 00 00 00，将其进行反向排列，变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。 接下来跳转至63778050+63=63778113扇区，我们又发现了一个EB开头的扇区 再次选择菜单“视图”-->模板管理（Alt+F12）-->主引导记录NTFS引导扇区。打开如下图，同样记录一下黄色方框中的数值（63和92518271）

winhex数据恢复完整图文教程

winhex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构 MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、WINHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区，C盘占用1435329个扇区……那么数据结构如下表： 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成：比如C 盘的数据结构： Winhex Winhex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。 首先要安装Winhex，安装完了就可以启动winhex了，启动画面如下：首先出现的是启动中心对话框。

巧用WinHex找回消失的分区数据

巧用WinHex找回消失的分区数据 由于我是个对磁盘空间过敏的人，每当磁盘空间少到几百兆，就会想办法删掉不用的软件，时间一长，系统会变的千疮百孔，直到有一天实在无法忍受，决定重装系统，麻烦极了。与是想用Guest做个系统映象，没想到人世间最痛苦的事情发生了。 我有两个物理硬盘，主盘分了两个区，分别为一个C盘，一个E盘，所以把Guest这个软件放到第二个硬盘D盘的根目录下。重起进入DOS进入到软件的画面，不管三七二十一，玩玩再说。好奇的我直接选择第一项功能: To Disk，经过乱七八糟的英文提示后，毅然点了OK按扭，接下来两个硬盘开始狂响，我突然意识到事情不对，强行重起动后，打开资源管理器，点下D盘，发现已经空白一片了。天哪！我的软件！我的游戏！我的一切！我浑身冒汗，好像做梦一样，早知道……咦，对了！好像WinHex有打开磁盘的功能，只要知道一些文件的开头标记，兴许能恢复一些文件。 小提示：硬盘修复是一个高危险的操作，在https://www.360docs.net/doc/1a8330240.html,/YingJian/200808/107.ht m一文中介绍了硬盘主引导记录等多种不同故障的处理方法，希望对大家有所参考。 幸好WinHex装到C盘上了，启动后选“OpenDisk”打开D盘，在WinHex子窗口的表格内共有三个列，最左边的是偏移值，相当于行号；中间显示的是16进制代码，右边是每组代码对应显示的文字。因为无论是那种格式的文件开头都会有特定的标记，所以只要知道对应的代码就能知到文件的类型。由于我D盘上大部分是RAR压缩格式的文件，所以我先用WinRar创建一个RAR文件，再用WinHex打开，在右边开头显示出Rar!字样（图1），对应的16进制的值就是“52 61 72 21”，一同选中后按“Ctrl+Shift+C”把这串代码复制到剪贴板，然后切换到刚才打开D盘的窗口，依次选择“Search >> Find Hex Values”，按“Ctrl+V”或在输入框内点右键选择“粘贴”，确认无误后点“OK”开始搜索。 因为D盘容量是10GB，所以要经过漫长的等待。为了恢复文件，等他个一二天也值得。好在只用了5分钟的时间，便找到了第一个数值完全相同的一串代码，双击选种开头部分。 在此说明一下，有些软件在结尾也会有标记，比如ZIP格式，但RAR的结尾没有标记，这并不是件坏事，打个比方，一个RAR文件有300K大小，如果你选择的数值超过了300K而达到10M，那么用WinRar压时还可将原内容完整解压出来，只是在后面提示“非预期的压缩包结尾!”，你想一下，不可能多个RAR文件都会按顺序排列，中间可能会加入其它的文件，比如E XE文件，所以如果恢复的是RAR文件，选多点也无所谓，就怕选少了。所以下面我还要按F3键继续查找。

winhex恢复U盘分区

Winhex恢复U盘分区 你是否因为U盘提示格式化而为舍不得U盘里的重要数据感到舍不得呢？你是否因为没有正确使用U盘导致U盘数据丢失而后悔呢？你是否因为病毒如期U盘而烦恼呢？U盘在今天的非常普遍使用的，而使用的人群虽然很多，所以不会正确使用U盘的人群也越发多了起来。不正确的使用U盘会导致U盘损坏以至于U盘里的重要数据文件丢失。今天就来教大家怎样使用winhex软件恢复U盘的分区。 1.首先插入损坏的U盘（提示需要格式化，这里我们不能格式化，否则将无法找回数据） 2.使用winhex软件打开U盘的物理存储介质

3.查看错误位置（此处为U盘的分区表被破坏了，所以导致U盘需要格式化才能用） 4.查看U盘的引导扇区模板

5.根据引导扇区的模板看出此分区的起始扇区和结束扇区，然后通过计算器的程序员模式算出起始扇区和结束扇区的16进制数 1.打开winhex软件自带的计算器

2.点击查看》程序员 3.点击十进制》输入起始扇区号

4.点击十六进制》得出数值的十六进制数（NTFS格式需要在结束扇区上加一位数） 5.填写十六进制数时需要倒着填写[例如我们计算出的十六进制数为80 0 ，那 么填写到起始扇区的时候应填写为00 08 00 00 (起始扇区和结束扇区的位置需填写四个字节) ]

6.填写硬盘的分区表信息 1.跳转到U盘的0扇区（每个字节两位数） 2.0x01BE处写入80 3.0x01BF处写入00 4.0x01C0处写入00 5.0x01C1处写入00 6.0x01C2处写入硬盘的格式（NTFS:07 FAT32：0B exFAT:07） 7.0x01C3处写入FE 8.0x01C4处写入FF 9.0x01C5处写入FF 10.0x01C6至0x01C9处写入分区的起始扇区的十六进制数 11.0x01CA至0x01CD处写入分区的结束扇区的十六进制数 12.CTEL+S保存修改，之后重新拔插U盘即可

WINHEX-RAID0纯手工恢复加超详细讲解

WINHEX RAID修复 RAID0分析 关于RAID，大家可能有些陌生。在个人电脑上，RAID用的不多，但是windows XP支持跨区卷和带区卷。Windows server 2003支持跨区卷，带区卷，RAID-5等。对于RAID0的分析主要在于重组磁盘，重组磁盘就需要确定盘序，块大小，判断磁盘加入阵列的起始位置等。确定了上述参数后就可以重组阵列达到恢复数据的目的了。但是在具体的操作中，要如何确定上述参数呢？这个就要对文件系统有深入的了解，特别是NTFS文件系统，因为RAID基本都是采用NTFS文件系统，很少有采用FAT32文件系统的。看了马林老师的《数据重现》之后发现，马林老师给出的实验素材真是精心设计过的了。如果自己做一个RAID就会出现很多和马老师的素材不一样的结果。这里我就从如何组建一个RAID0开始然后逐步分析。马老师给出的方法具有通用性，但是有些时候会出现找不到符合马老师给出的素材的情况，那么就不能用马老师讲的方法了。我们就只能在对文件系统有深入的理解的前提下，分析RAID了。这就要求我们对文件系统有深入的理解，特别是NTFS文件系统。好的，下面我就从组建一个RAID0开始，分析一下RAID0。希望能给大家带来一些启示。 这个是我在windows XP下虚拟出的三块磁盘，每块磁盘的大小都是200M三块磁盘做了一个RAID0 ，采用NTFS格式化。上图显示的三块磁盘的0号扇区，这个扇区的主要作用是一个DOS分区结构。和基本磁盘的MBR有点类似。这个扇区也有一个分区表，但是只占用了一个分区表项。。大家看下图

分区类型是0x42 起始于63号扇区，大小是0x9A 20 06 00 也就是401562个扇区。而磁盘的总扇区数是409600个扇区。因为在windows系统中采用逻辑磁盘管理也就是LDM。LDM支持JBOD, RAID0, RAID1和RAID5。要组成这些阵列类型，我们需要把我们的磁盘转换成动态磁盘，而LDM就是管理动态磁盘的。动态磁盘有两个重要的部分，一个是LDM分区区域，它占用磁盘的绝大部分，另一个就是动态磁盘的最后1MB，分配给LDM 数据库。LDM数据库包含分区区域的分配情况。所以在把基本磁盘转换成动态磁盘时需要在磁盘最后有一定的剩余空间。我们上图显示的类似基本磁盘的分区表部分我们管它叫软分区，分区类型就是0x42 而基本磁盘的分区我们就叫硬分区吧。好了，现在我们对组成RAID的磁盘有了一个基本的了解了，我们来总结一下 1.成员盘都是动态磁盘，windows操作系统有个叫LDM的管理它们。 2.LDM会在每个成员盘的最后1MB建立一个数据库，记录一些动态盘的信息，而且这个 数据库还有一个作用，当我们的成员盘被卸载了加载到其他机器上去之后，如果那台机器采用的和原来的机器一样的RAID那么我们的成员盘又可以组建成原来的RAID了，而数据不会丢失，这就方便了移植。 3.LDM会在动态磁盘的0号扇区建立一个如上图所示的软分区表。 4.LDM数据库中包含四个区域，一个叫做LDM私有头，一个内容表区域，一个数据库 记录区和一个事物处理日志区。 5.软分区描述的扇区总数并没有包括最后那1MB的LDM数据库。 好的，我们先看看是不是磁盘的最后1MB是数据库，看看数据库都写了些什么。1MB就是2048个扇区，我们的磁盘有409600个扇区减去2048。那么我们的数据库的起始扇区就 是407553号扇区了。

winhex恢复mbr的方法

winhex恢复mbr的方法 恢复mbr实际就是恢复主引导扇区，在出现开机自检过后，系统提示“I/O错误”，即使是你重新安装操作系统也没用。或系统启动蓝屏，将硬盘挂到其他计算机上，检测到的硬盘容量异常；譬如：明明是大容量硬盘，突然变成很小的容量，而且只有一个分区。很多人都认为该硬盘没救了，里面的数据也完了；其实，还是可以修好的，除硬件故障外恢复mbr后就会和以前一样好用。 那么什么是MBR，怎样恢复mbr。先说一下mbr：即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。 我们使用Winhex硬盘数据恢复软件来恢复MBR，并恢复数据的具体步骤：（再恢复前要用Winhex镜像文件《Winhex镜像文件教程》，这样可保证数据完好）。 第一步：把好硬盘上的MBR的前446字节复制到要恢复的硬盘的0扇区前446 字节； 第二步：在倒数第二行倒数第二个字节，输入活动分区8001，再输入本分区的起始磁头柱面0100； 第三步：输入分区类型0B FF FF FF . 第四步：输入C盘前的扇区数，实际就是MBR，63个扇区转换16进制是3F，在此位置输入3F 00 00 00； 第五步：搜索EBR起始位置，16进制查找“55AA”加条件512＝510，EBR倒数第五行倒数第二个字节是0001，找到后记下所在扇区，然后减去MBR所占的扇区数63，转换16进制，跳转0扇区，输入相应位置； 第六步：输入分本区的起始位置和非活动分区的起始位置0001和0100； 第七步：输入分区类型10G以上的硬盘0F FE FF FF,10G以下的硬盘输入05 FE FF FF； 第八步：输入扩展分区前的扇区数，刚找到的EBR的起始位置，转换16进制输入相应位置； 第九步：扩展分区的扇区数，左下角的总扇区数-ERR之前的扇区数，转换16进制输入相应位置； 第十步：以下全部填充0，结束必须为55AA保存退出，这样恢复mbr完成。

(完整word版)WINHEX手工修复硬盘

手工修正结构需要一定的数据恢复基础原理知识。在这里我们只描述常用几种系统结构位的手工修正，包括DBR、FAT表头部、MFT头部。 欢迎阅读本文，这是我们的《走进科学--探索发现--硬盘分区信息丢失之谜》的第三篇《W inHex应用之奇怪的未格式化》这篇文章是三篇文章中最绕的一篇，充分认识硬盘数据结构的“C T”运行 WINHEX之后你会觉得，这个可以学，很好很强大。在第一篇《寻找丢失的硬盘分区》文章里，我们恢复了客户故障硬盘的分区信息，但仍然有三个分区是未格式化状态，在这篇文章中我们利用非常强大的Winhex来进行手工修复文件系统。第二篇《DiskGenius恢复提示格式化的数据》中使用硬盘数据恢复软件的新星DiskGenius恢复这三个分区的数据，使用的是扫描重组目录法，直接提取数据。 前面恢复的6个分区中，有3个48.8G的NTFS分区是提示“未格式化”的，我们在前面介绍的是使用磁盘精灵直接扫描恢复数据，除扫描方法恢复数据，我们还可以使用WINHEX磁盘编辑工具直接修改异常扇区，达到恢复数据的目的。除了恢复结果原汁原味，而且恢复迅速，熟练后只需几分钟恢复这三个异常分区。

运行WINHEX，点取打开磁盘，选择我们要编辑恢复的硬盘，然后确定打开,这里选择物理驱动器，有的时候如果单一分区文件系统有问题，打开逻辑驱动器会出现问题，最好是打开物理驱动器后在对单一分区进行操作。

打开物理驱动器后，6个分区信息一目了然，其中2、3、4分区格式位置是未知的文件系统，显示？号，看来这三个分区引导信息扇区DBR肯定出问题了。

点击分区1，扇区内容栏将跳到分区1开始的地方，也就是分区的DBR位置。我们看到分区1从63扇区开始，其DBR的开始字节为EB 58 90

WinHex数据恢复教程笔记

WinHex数据恢复教程笔记 WinHex是在Windows下运行的十六进制编辑软件，此软件功能非常强大。 有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘； 它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。 数据恢复的前提:数据不能被二次破坏、覆盖！ 数据恢复首选软件用十六进制编辑器:WinHex MBR、EBR是分区产生的。 MBR主引导记录大小是固定的，位于整个硬盘的0柱面0磁道1扇区。共占用了63个扇区，实际只使用了1个扇区，即硬盘第一扇区中的512字节。 DBR是分区引导扇区，是由FORMAT高级格式化命令写到该扇区的内容，DBR是由硬盘的MBR装载的程序段。DBR装入内存后，即开始执行该引导程序段，其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区，但只有被设为活动分区才会被MBR装的DBR入内存运行 FAT16文件跳转指令EB 3C 90 FAT16 没有备份DBR FAT32文件跳转指令EB 58 90 DBR备份在第6扇区有第一扇区的备份。FAT表32扇区 NTFS文件跳转指令EB 52 90 DBR备份在最后一个扇区 ntfs格式没有FAT表。 04H 分区系统标志 当该值为00H时，表示此分区为不可识别的系统； 为04H时该分区为FAT16分区； 为05H或0FH该分区为扩展分区； 为0B时该分区为FAT32分区; F8H FFH FFH 0FH 开始的FAT表，（对于FAT16是以F8H FFH开始的），每个FAT项占32位（4个字节），FAT16的每个FAT项占16位（2个字节）， 也就是说FAT和簇是一一对应的关系，对于FAT32的FAT来说每4个字节为1个FAT项. （对于FAT16的FAT每2个字节为一个FAT项） 512字节的MBR主引导记录又分为三部分: 1.主引导扇区里的主引导程序代码（boot loader），占446个字节； 2.硬盘分区表DPT（Disk Partition table），占64字节； 主分区表项1占16字节，447-461 每一个分区表项各占16个字节. 硬盘中分区有多少以及每一分区的大小都记在其中。 3.硬盘55AA有效结束标志magic number，占两个字节。 MBR被清零的话，硬盘将不能引导。 如果0号扇区被清零，硬盘分区将不被系统识别。提示未初始化。 备份MBR只要备份前512字节就可以了，包含分区表。 用WinHex软件来恢复误分区，主要就是恢复第二部分:分区表。 主引导程序代码（boot loader）的作用:就是让硬盘具备可以引导的功能。 如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码，可以用DOS下的命令:FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。也可以用工具软件,比如:DiskGenius、WinHex等。 EBR，也叫做扩展MBR（Extended MBR）。占63个扇区。因为主引导记录MBR最多只能描述4个分区项，如果一个硬盘上分多于4个区，就用EBR. EBR的结构和MBR的结构是一样的，所以在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0。 DBR的备份: 分区格式是FAT32的话，备份在分区的6扇区。 NTFS分区格式的话，在分区的最后一个扇区。

用WinHex修复损坏的复合文档文件头

用WinHex修复损坏的复合文档文件头 说明： 1、本教程仅仅针对复合文档（比如Word、Excel等）的文件头损坏后的修复. 2、请允许我假设你已经了解复合文档的结构，至少你能知道复合文档中的一些术语（比如：SAT、SSAT MSAT、标准流、短流等） 现象 打开这个文档时出现乱码（如图）： 分析数据 用WinHex打开这个文档，如下图： 分析：这个文档的文件头损坏了，继续分析后面的内容损坏没有，现在把这个文档设置为磁盘（如图），复合文档在储存数据的最小单位是块（一个块是512个字节，相当于一个扇区的数据，所以有时我们也把它称为扇区），这样操作后看到的数据可以以一个扇区的形式呈现，便于分析和手工重建。 经过分析数据发现，这个文档好像只有第0扇区的数据完全破坏了，这个扇区的内容是复合文档的文件头内容，网上有恢复复合文档文件头的视频教程（这个论坛上就有！！），好像就是把一个正常的复合文档的前几行数据复制一下就行了，从理论上讲恢复的成功率极小，几乎是0。因为复合文档的结构和FAT文件系统极其相似，但比它还要复杂一些（涉及到短流、SSAT和MSAT），复合文档的文件头相当于FAT文件系统中的DBR，有很多参数是要根据文件的具体数据进行相应的修改。下图中红底黑字部分描述的就是一般要修改的内容（有7处，小的文档一般只改其中的5处），其它部分可以用一个正常的复合文档的相应数据代替。

说明：要修改的文件头内容： 1、存放扇区配置表(SAT)的扇区总数（2CH －2FH ） 2、存放目录流的第一个扇区的SID （30H －33H ） 3、存放短扇区配置表(SSAT)的第一个扇区的SID （3CH －3FH ） 4、存放短扇区配置表(SSAT)的扇区总数（40H －43H ） 5、存放主扇区配置表的第一个扇区的SID （如果为－2表示没有附加扇区）（44H －47H ） 6、存放主扇区配置表的扇区总数（48H －4BH ） 7、存放主扇区配置表（MSAT ）的第一部分（从4CH 开始，视具体情况决定结束位置） 备注：如果文件比较小（存放主扇区配置表的第一部分在第0扇区没有装满），第5、6两部分不用修改！！ 要修复文件头，一般从扇区配置表（SAT ）的数据分析开始，SAT 相当于FAT 文件系统中的FAT 表，它把这个复合文档的各类数据“链”在一起，所以我们反过来通过分析它们的链接情况和相应位置的数据，来分析整个文档的数据结构，最后根据相关信息重建文件头，达到修复文件头的目的。 在分析前有必要作一个说明，不然你会越看越糊涂的！！我们现在看到的数据所在的扇区数据和复合文档中描述的扇区数有一个扇区的错位，比如说复合文档中描述的第0扇区在WinHex 中看到的是第1扇区，为了便于区分，把用WinHex 打开看到的扇区叫做物理扇区，文档的参数中描述的扇区叫参数扇区（这是我自己想的一个概念，请只在本教程中使用和理解！！）。我们可以这样理解：物理0扇区是这个复合文档的文件头，存放了复合文件的一些整体信息，它对后面的数据来说是一个隐藏扇区，所以对数据区来说，它把物理1扇区看成它的第一个扇区（即参数0扇区），物理2扇区就是参数1扇区，依此类推（如下图所示）。 物理扇区 0 1 2 3 4 5 6 …………N 参数扇区 0 1 2 3 4 5 …………N －1 通过分析开始几个扇区的数据很容易判断出物理1扇区的数据就是SAT （如图） 第1扇区（物理） 从这个扇区中的数据可以看到，在参数0扇区和参数100扇区这两个扇区中的数据是SAT 数据（因为相应的位置是FDFFFFFF ，而FDFFFFFF 是存放SAT 扇区标志），参数0扇区就是物理1扇区的位置，现在的这个位置就是SAT 数据，不必再分析，现在到参数100扇区，就是物理101扇区去看看（如图）： 第101扇区（物理） 这个扇区中没有FDFFFFFF ，而且从偏移CA6BH 开始，后面全部是FFFFFFFF （空闲的SID ），综合这两个扇区（物理第1和第101

winhex 教程 +应用+数据恢复-Doc文件恢复-MBR、EBR、DBR

winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR 字节位置 内容及含义 第1字节 引导标志。若值为80H表示活动分区；若值为00H表示非活动分区。 第2、3、4字节 本分区的起始磁头号、扇区号、柱面号 第5字节 分区类型符： 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——（LBA模式）扩展分区 83H——Linux分区 第6、7、8字节 本分区的结束磁头号、扇区号、柱面号 第9、10、11、12字节 本分区之前已用了的扇区数 第13、14、15、16字节 本分区的总扇区数

1、什么是逻辑驱动？ 2、什么是物理驱动器？ 3、怎么搜索MBR、EBR、DBR? MBR、EBR、DBR他们都是以55AA结尾 在winhex中搜索１６进制：55AA 偏移５１２＝５１０ （１）搜索DBR的标志： FAT16的DBR:EB 3C 90没有备份的DBR FAT32的DBR:EB 58 90 （备份的DBR）在该分区的第６扇区 NTFS的DBR: EB 52 90（备份的DBR）在该分区的最后一个扇区 判别MBR的方法： MBR就在LBA第一个扇区，打开物理硬盘，第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD，共64个字节，每项16个字节。1FE-1FF就是“55 AA” 判别EBR的方法： EBR的结构和MBR的结构是一样的，在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0 （２）查找DBR可以通过搜索本分区的EBR去找DBR. 可以搜索EBR,定位DBR. DBR相对于EBR后６３号扇区。 (3)当某分区的DBR坏了，就提示：未格式化 这个时候用winhex打开逻辑盘，就打不开。 我们只有通过打开物理驱动器，然后跳转到该分区。 就可以查看DBR是否被破坏了。。。。

用WinHex直接修改磁盘分区表找回丢失的分区

用WinHex直接修改磁盘分区表找回丢失的分区(另附分区表知识） 1. 为什么写这篇blog 上个星期SATA开始不停地出问题，经常性的在使用中分区信息丢失。开始只是C盘信息丢失，也就忍了，每次用Ghost还原。最后一次居然整个扩展分区没了，所有电影音乐游戏一概报销。只好临时把系统又装回老硬盘。虽然丢失的没有重要资料，毕竟是一大堆攒下来的东西，很不爽，决定找回来。在网上搜硬盘工具没找到理想的，倒是顺便又温习了一遍分区表知识，于是决定自己动手，丰衣足食。装上WinHex，直接开干。 2. MBR（主引导记录）and Partition Table（分区表） MBR是磁盘第一个扇区，CHS地址是0柱面，0磁头，1扇区；LBA地址是0。布局如下： [1] 0x01FE是55，0x01FF是AA。 3. 修复过程 理解了MBR和Partition Table，修复思路就很清晰了。我的数据分区大概是占用250G硬盘的后180G，所以从硬盘头六分之一的位置开始，搜索分区表的明显标志 0x55AA。WinHex的方便的搜索功能还可以设置只搜索存在于整数倍于512字节块的末尾的0x55AA，速度快很多。每找到一个最后两字节为 0x55AA 的扇区，就分析4个分区表项是不是合理的，以及它所描述的分区大小，终于找

到一个扇区，含有一个分区表项，大小180G，哈哈，肯定就是它了。这个扇区肯定就是扩展分区的起始扇区，它含有的那个分区表项肯定就是它唯一包含的一个逻辑分区了。 在MBR中创建一条属性为扩展分区（05）的分区表项，填入其他相关位置信息，以描述刚才找到的这个扩展分区： CHS起始位置：一般是逻辑分区表项中的CHS起始位置，把磁头数改为0。 CHS结束位置：照抄逻辑分区表项中的CHS结束位置。 LBA偏移量，写入那个扩展分区相对磁盘起始位置的扇区偏移量。 分区大小：应该是逻辑分区表项中逻辑分区大小加上63个扇区。 存盘，运行Windows管理工具，查看磁盘信息，数据分区赫然在目。：） 4. 备份MBR 终于找回我的电影和mp3了，激动啊。赶紧做个备份。MBR本来没有第二份拷贝，不像FAT，所以用winhex把MBR复制一份到磁盘最后一个扇区，这个扇区一般不可能被用到。好了，再也不怕你硬盘掉电了。 相信听说过硬盘MBR、硬盘分区表、DBR的朋友一定都不少。可是，你清楚它们分别起什么作用吗？它们的具体位置又在哪里呢？硬盘上的MBR只有一份吗？什么是硬盘逻辑锁？如何制造和破解它呢？？别急，让我们一步步来搞清楚吧！ ==必备基础知识：== 以下先介绍一下有关扇区编号的基本知识：介绍一下有关硬盘扇区编号规则的3个易混淆的术语“物理扇区编号”、“绝对扇区编号”和“逻辑扇区编号”。 我们都知道硬盘扇区的定位有两种办法： 1、直接按柱面、磁头、扇区3者的组合来定位（按这种编号方式得到的扇区编号称为物理扇区编号）； 2、按扇区编号来定位（又分“绝对扇区编号“和“逻辑扇区编号“两种）。这两种定位办法的换算关系如下图：（设图中所示硬盘每道扇区数均为63） 如图所示，由于目前大多数硬盘采用的是一种“垂直分区结构“，故左图一磁头数为2、盘片数为1的硬盘，图中0磁头所对扇区的表示方法就有2种，即：0柱面 0磁头1扇区=绝对0扇区，而1磁头所对扇区的表示方法也有2种，即：1柱面0磁头1扇区=绝对63扇区。如果是如右图所示磁头数为4、盘片数为2的硬盘，那么则顺着垂直于盘片的箭头线方向进行如图的绝对扇区的编号。

U盘-WinHex数据恢复使用教程

WinHex数据恢复使用教程 WinHex教程 WinHex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如Pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：WinHex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构

MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用WinHex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、W INHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区，C盘占用1435329个扇区……那么数据结构如下表： 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成：比如C 盘的数据结构： WinHex WinHex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方

winhex数据恢复完整图文教程.docx

winhex 数据恢复分：硬恢复和恢复。所硬恢复就是硬出物理性，比如有体坏道、路板芯片、体异响，等 故障，由此所致的普通用不容易取出里面数据，那么我将它修好，同又保留里面的数据或后来恢复里面的数据， 些都叫数据恢复，只不些故障有容易的和困的之分；所恢复，就是硬本身没有物理，而是由于人或者病 毒破坏所造成的数据失（比如格式化，分区），那么的数据恢复就叫恢复。 里呢，我主要介恢复，因硬恢复需要一些工具（比如pc3000, 烙，各种芯片、路板），而且需要懂一点点路基，我里所到的所有的知，涉及面广，次深，既有数据构原理，我手工准确恢复数据 提供依据，又有各种数据恢复件的使用方法及技巧，我快速恢复数据提供便利，而且所有件均网上下，不需要我投一分。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数与制： 关于二制、十六制、八制它之的我不想多，因他我数据恢复来帮助不大，而且很容易把我。如果你感趣想多了解一些，可以到百度里面去搜一下，方面料已很多了，就不需要我再多了。 数据恢复我主要用十六制器：Winhex （数据恢复首件） 我先了解一下数据构： 下面是一个分了三个区的整个硬的数据构 MBR C EBR D EBR E MBR，即主引，位于整个硬的0 柱面 0 磁道 1 扇区，共占用了63 个扇区，但只使用了 1 个扇区（ 512 字）。在共 512 字的主引中， MBR又可分三部分：第一部分：引代，占用了446 个字；第二部分：分区表，占用了 64 字；第三部分： 55AA，束志，占用了两个字。后面我要的用winhex 件来恢复分区，主要就是恢复第二部分：分区表。 引代的作用：就是硬具可以引的功能。如果引代失，分区表在，那么个硬作从所有分区数据 都在，只是个硬自己不能用来启系了。如果要恢复引代，可以用DOS下的命令： FDISK /MBR；个命令只是用来恢复引代，不会引起分区改，失数据。另外，也可以用工具件，比如DISKGEN、WINHEX等。 但分区表如果失，后果就是整个硬一个分区没有，就好象来一个新硬没有分区一。是很多病毒喜破坏的区域。 EBR，也叫做展 MBR（Extended MBR）。因主引MBR最多只能描述 4 个分区，如果想要在一个硬上分多于4个区，就要采用展 MBR的法。 MBR、EBR是分区生的。 比如 MBR和 EBR各都占用 63 个扇区， C 占用 1435329 个扇区??那么数据构如下表： 631435329631435329631253889 MBR C EBR D EBR E 展分区 而每一个分区又由DBR、 FAT1、FAT2、 DIR、DATA5部分成：比如C?的数据构： C DBR FAT1FAT2DIR DATA Winhex Winhex 是使用最多的一款工具件，是在Windows 下运行的十六制件，此件功能非常大，有完善的分区管理 功能和文件管理功能，能自分析分区和文件簇，能硬行不同方式不同程度的份，甚至克隆整个硬；它能 任何一种文件型的二制内容（用十六制示）其磁器可以物理磁或磁的任意扇区，是手工恢复数据的首工具件。 首先要安装Winhex，安装完了就可以启winhex 了，启画面如下：首先出的是启中心框。 里我要磁行操作，就“打开磁”，出“ 磁” 框：