winhex数据手工恢复教程
Winhex手工恢复U盘乱码数据一例
Winhex手工恢复U盘乱码数据一例核心提示:U盘连接电脑后无法打开,拔插一次后可以打开,但目录变成乱码(如图1)。
这是根目录受损的典型故障。
往往是由于病毒的破坏或者干扰造成读写错误所致,具体破坏的程度和方式比较复杂。
本案例显然是u盘感染了一种带有自动运行功能的病毒。
乱码的文件夹无法打开U盘连接电脑后无法打开,拔插一次后可以打开,但目录变成乱码(如图1)。
这是根目录受损的典型故障。
往往是由于病毒的破坏或者干扰造成读写错误所致,具体破坏的程度和方式比较复杂。
本案例显然是u盘感染了一种带有自动运行功能的病毒。
乱码的文件夹无法打开。
U盘里的一些重要数据丢失。
由于重要数据装在文件夹里面,所以可以用winhex手工重建根目录文件夹的方法来找回丢失的重要数据(当然没有百分之百的把握)。
图1为了避免u盘长时间工作有可能导致硬件损坏的风险,以及数据受到二次破坏的风险,先用Winhex制作u盘的镜像文件,然后对镜像文件进行数据恢复操作。
启动绿色版ha_WinHex14.1SR-6。
点“工具-打开磁盘”,在对话框中选择“逻辑磁盘”中的u盘盘符,或者“物理磁盘”中的u盘名称(本人选择后者),打开u盘。
点“文件-创建磁盘镜像”,在打开的对话框中选择镜像文件保存的路径,点选“raw镜像”(如图2),然后“确定”,几分钟后镜像文件创建完毕,关闭软件或关闭软件中打开的u盘,就可以把u盘退出来并拔掉。
图2怎样在winhex中使用镜像文件恢复数据呢?在winhex中点“文件-打开”,找到保存在电脑中的影像文件打开即可。
接下来这步操作非常关键,点“专业工具-设置镜像文件为磁盘”,这时打开的镜像文件就变成了与直接打开u盘的界面一摸一样了,操作起来与直接操作u 盘没有什么区别(如图3,由于镜像文件是“物理磁盘”,需要双击“分区1”才会进入图3界面,如果镜像文件是“逻辑磁盘”可以直接看到图3的分区界面)。
图3点击“offset”行右端的“访问”功能下拉菜单(黑三角),点选“根目录”,主界面跳到根目录的第一扇区(如图4,每个扇区有半透明横线隔开)。
WINHEX手动恢复NTFS分区数据
看以看见 datarecover.jpg 的 10H 属性为 1,表示该文件正被使用
转到该图片的文件记录
可以看见 datarecover.jpg 的 10H 属性为 1,表示该文件正被使用
删除该图片重新打开软件,获取快照
查找10H 属性中 00 表示该文件已经被删除
80H 属性中 94 27 01 H 表示该文件的大小(字节) ,31 4A 61 23 07 00 ,表示该文件数据的其实簇号为 072361H, 占用的簇个数为 4AH 个 ,
下面是 72361H 转换为十进制 467809,该文件数据的其实位置是 467809 簇
12794H 转换为 75668,该文件占用的大小为 75668 字节
对于数据恢复来说,虽然文件删除后所有的数据运行都能够在残留的 MFT 中找到,但是数据运行的个数越少即 文件碎片越少或者没有碎片,文件被覆盖的可能性就越小,数据恢复的概率也就越高。以下是手工恢复 NTFS 卷 中误删除文件的过程。
打开 winhex 软件,选择工具------打开磁盘
此时可以看见元数据和 datarecover.jpg
运用上面的数据进行恢复,位置----转到簇
会跳转到数据的起始位置---右击---选块开始
位置---转到偏移地址
右击---选快结束
选中所有要恢复的数据内容后,在选中的任意块上右击,选择 “ 编辑 ”|“ 复制选块 ”|“ 进入新文件 ”
将数据保存
恢复过后的照片
WINHEX-RAID0纯手工恢复加超详细讲解
WINHEX RAID修复RAID0分析关于RAID,大家可能有些陌生。
在个人电脑上,RAID用的不多,但是windows XP支持跨区卷和带区卷。
Windows server 2003支持跨区卷,带区卷,RAID-5等。
对于RAID0的分析主要在于重组磁盘,重组磁盘就需要确定盘序,块大小,判断磁盘加入阵列的起始位置等。
确定了上述参数后就可以重组阵列达到恢复数据的目的了。
但是在具体的操作中,要如何确定上述参数呢?这个就要对文件系统有深入的了解,特别是NTFS文件系统,因为RAID基本都是采用NTFS文件系统,很少有采用FAT32文件系统的。
看了马林老师的《数据重现》之后发现,马林老师给出的实验素材真是精心设计过的了。
如果自己做一个RAID就会出现很多和马老师的素材不一样的结果。
这里我就从如何组建一个RAID0开始然后逐步分析。
马老师给出的方法具有通用性,但是有些时候会出现找不到符合马老师给出的素材的情况,那么就不能用马老师讲的方法了。
我们就只能在对文件系统有深入的理解的前提下,分析RAID了。
这就要求我们对文件系统有深入的理解,特别是NTFS文件系统。
好的,下面我就从组建一个RAID0开始,分析一下RAID0。
希望能给大家带来一些启示。
这个是我在windows XP下虚拟出的三块磁盘,每块磁盘的大小都是200M三块磁盘做了一个RAID0 ,采用NTFS格式化。
上图显示的三块磁盘的0号扇区,这个扇区的主要作用是一个DOS分区结构。
和基本磁盘的MBR有点类似。
这个扇区也有一个分区表,但是只占用了一个分区表项。
大家看下图分区类型是0x42 起始于63号扇区,大小是0x9A 20 06 00 也就是401562个扇区。
而磁盘的总扇区数是409600个扇区。
因为在windows系统中采用逻辑磁盘管理也就是LDM。
LDM支持JBOD, RAID0, RAID1和RAID5。
要组成这些阵列类型,我们需要把我们的磁盘转换成动态磁盘,而LDM就是管理动态磁盘的。
数据恢复教程用WinHex恢复分区表_高级还原数据
全部修改完毕后点击保存按钮 保存完毕后卸载磁盘 重新加载磁盘 数据已经呈现在您的眼前了 且非常完整 恭喜! 恭喜!
相关技术请查看( 恢复服务器数据) 相关技术请查看(用WinHex和R-Studio恢复服务器数据) 和 恢复服务器数据
打开分区 表查看代 码是否正 常? 现在我们 就主要关 键点讲述。
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
本部分的代码
是Windows系统的MBR MBR磁盘分区 MBR保留区 可以从其它机器上复制相应Windows的 MBR代码粘贴在本位置 现在我们的目的只有还原数据就可以,没有 必要顾及系统是否能登陆,所以可清除此部分 代码,接着在1B0E处开始到1F0F处,可直接 按图中的代码直接填写即可
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
此处可在该分区的DBR中找到完全对应代码,也可用下个分区的EBR扇区 位置减去本分区的DBR扇区位置再减去1就可算出本分区占用的扇区总数
在O扇区的此处可直接按图中填写
此处为 扩展分区 代码: 前8字节 8 可按00 00 C1 FF OF FE FF FF 直接填写 后8字节 要计算
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
打开第二个分区表EBR 查看EBR代码
本部分代码按图直接填写 下一个扩展分区表项
本分区的扇区总数 按前述方法填写
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
使用winhex来恢复数据的方法
使用winhex来恢复数据的方法一、数据丢失的痛与恢复的希望。
1.1 数据丢失那可真是个让人头疼的事儿啊。
不管是误删了重要文件,还是硬盘出了故障,感觉就像丢了宝贝一样心急如焚。
不过呢,先别慌,咱还有winhex这个得力助手。
1.2 winhex就像是数据世界里的神奇小魔杖。
它功能强大,能在看似绝望的数据丢失状况下,给我们带来恢复数据的曙光。
二、winhex初了解。
2.1 winhex是啥呢?简单说,它就是一款专门用来处理十六进制数据的软件。
这听起来有点高大上,但实际操作起来也没那么难。
就像学骑自行车,一开始觉得难,上手了就顺溜了。
2.2 你得先把winhex安装好。
这就好比给战士配上武器,安装过程也不复杂,按照提示一步步来就行,别像没头苍蝇似的乱点。
三、开始用winhex恢复数据。
3.1 打开winhex后,首先要做的就是找到你丢失数据的存储设备。
这就如同在茫茫大海里寻找一艘沉船,得找准目标。
比如说你的数据在硬盘里丢了,那就找到对应的硬盘分区。
这一步可不能马虎,要是找错了地儿,那可就是竹篮打水一场空了。
3.2 接下来就是重头戏了。
winhex有个很厉害的功能叫磁盘克隆。
这就像做备份一样,把有问题的磁盘克隆一份。
这时候你得小心翼翼的,就像捧着个易碎的瓷器。
因为这个过程要是出了岔子,那恢复数据就更难了。
克隆完成后,就可以在克隆的副本上进行数据恢复操作。
3.3 查找丢失的数据片段。
这有点像大海捞针,但winhex有它的办法。
它可以通过分析十六进制数据的特征,找到那些可能是你丢失文件的部分。
这就要求你得有点耐心,心急吃不了热豆腐嘛。
有时候可能要花费一些时间去比对和查找,但只要坚持,往往就能找到那些“失踪”的数据。
3.4 恢复数据的时候,也要注意一些细节。
比如说数据的完整性,可不能只恢复个半拉子工程。
要确保恢复出来的数据是可用的,就像检查一件修好的东西是不是真的修好了一样。
四、数据恢复后的检查与预防。
4.1 数据恢复成功后,可别以为就万事大吉了。
winhex数据恢复完整图文教程.docx
winhex数据恢复分:硬恢复和恢复。
所硬恢复就是硬出物理性,比如有体坏道、路板芯片、体异响,等故障,由此所致的普通用不容易取出里面数据,那么我将它修好,同又保留里面的数据或后来恢复里面的数据,些都叫数据恢复,只不些故障有容易的和困的之分;所恢复,就是硬本身没有物理,而是由于人或者病毒破坏所造成的数据失(比如格式化,分区),那么的数据恢复就叫恢复。
里呢,我主要介恢复,因硬恢复需要一些工具(比如pc3000, 烙,各种芯片、路板),而且需要懂一点点路基,我里所到的所有的知,涉及面广,次深,既有数据构原理,我手工准确恢复数据提供依据,又有各种数据恢复件的使用方法及技巧,我快速恢复数据提供便利,而且所有件均网上下,不需要我投一分。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数与制:关于二制、十六制、八制它之的我不想多,因他我数据恢复来帮助不大,而且很容易把我。
如果你感趣想多了解一些,可以到百度里面去搜一下,方面料已很多了,就不需要我再多了。
数据恢复我主要用十六制器:Winhex (数据恢复首件)我先了解一下数据构:下面是一个分了三个区的整个硬的数据构MBR C EBR D EBR EMBR,即主引,位于整个硬的0 柱面 0 磁道 1 扇区,共占用了63 个扇区,但只使用了 1 个扇区( 512 字)。
在共 512 字的主引中, MBR又可分三部分:第一部分:引代,占用了446 个字;第二部分:分区表,占用了 64 字;第三部分: 55AA,束志,占用了两个字。
后面我要的用winhex 件来恢复分区,主要就是恢复第二部分:分区表。
引代的作用:就是硬具可以引的功能。
如果引代失,分区表在,那么个硬作从所有分区数据都在,只是个硬自己不能用来启系了。
如果要恢复引代,可以用DOS下的命令: FDISK /MBR;个命令只是用来恢复引代,不会引起分区改,失数据。
另外,也可以用工具件,比如DISKGEN、WINHEX等。
WinHex数据恢复图文教程
WinHex数据恢复图文教程WinHex 数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
winhex数据恢复完整图文教程
winhex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
Winhex手工恢复目录乱码
Winhex手工恢复目录乱码内容提要:一移动硬盘,整盘分为一个分区,FAT32格式,磁盘属性中显示已使用容量正常,但打开后所有文件夹和文件呈现乱码状态,无法访问,如图1所示:用软件进行扫描后,恢复的目录结构不理想。
需要恢复的文件为专用应用程序生成的文档,数量很大,如果按RAW方式恢复,则文件名将无法复原,从文件的可用性来讲是不可行的。
分析:一移动硬盘,整盘分为一个分区,FAT32格式,磁盘属性中显示已使用容量正常,但打开后所有文件夹和文件呈现乱码状态,无法访问,如图1所示:恢复打开分区乱码图1用软件进行扫描后,恢复的目录结构不理想。
需要恢复的文件为专用应用程序生成的文档,数量很大,如果按RAW方式恢复,则文件名将无法复原,从文件的可用性来讲是不可行的。
分析:因磁盘内文件容量显示正常,所以判断FAT表应该正常。
而根目录下的目录及文件呈现乱码,应该是根目录下的目录项出现了问题。
恢复方案:用WINHEX进行底层分析,手工修改目录项,使数据得以还原。
过程:对原盘进行全盘镜象,并复制并保存一份副本。
用WINHEX打开镜象:方法一:可以用“文件――打开”选项(图2)或点击“打开文件”快捷键(图3)打开镜象文件。
图2图3通过这种方式打开后,必须选择“专用――解释映象文件为磁盘”选项使WINHEX把镜象文件解释为以512字节为一个扇区单位的磁盘。
如图4:图4方法二:WINHEX还有一个“容器”功能,可以以目录树的方式呈现磁盘内的目录和文件结构,可以依次打开“查看――显示”菜单,勾选“容器数据”选项(图5),即可调出容器窗口,图6:图5图6然后单击“容器数据”窗口内的“文件”,在弹出的下拉菜单中选择“创建新的容器”,在弹出的“容器数据”窗口的“容器标题/数字”内为新创建的容器输入一个名字,在此我们为容器输入的名字是“1”,然后“确定”,如图7,可以看到容器“1”已经出现在窗口中:图7接着再次点击“容器数据”窗口内的“文件”,在弹出的下拉框中选择“添加映像”,即可将映象加入到容器中,WINHEX已经直接将镜象解释为磁盘,图8:图8现在打开的是整个物理磁盘,为了便于分析,可以依次选择图8所示的“访问――分区1(37.3GB,FAT32)――打开”来打开逻辑磁盘。
NTFS文件系统中用WinHex手动恢复文件的研究
NTFS文件系统中用WinHex手动恢复文件的研究概要在使用Windows操作系统的过程中,我们有时会遇到文件意外删除、磁盘损坏或者格式化等问题,导致重要文件丢失的情况。
虽然Windows系统提供了回收站和一些自带的恢复工具,但有些情况下,这些方法并不能完全满足我们的需求。
在这种情况下,我们可以使用数据恢复工具来尝试手动恢复丢失的文件。
本文将介绍如何使用WinHex手动恢复丢失的文件,以及在NTFS文件系统中进行这一操作的详细步骤和注意事项。
步骤步骤一:安装和打开WinHex我们需要下载并安装WinHex软件。
安装完成后,打开WinHex程序。
在打开程序后,我们将看到一个界面,该界面可以用于打开磁盘、映像文件或者逻辑驱动器。
步骤二:选择目标磁盘或映像文件在WinHex界面中,我们需要选择目标磁盘或映像文件,以便对其进行数据恢复。
在此步骤中,我们需要确保选择的是NTFS文件系统的磁盘或映像文件,以便在接下来的操作中进行文件恢复。
步骤三:搜索丢失的文件在选择了目标磁盘或映像文件后,我们可以使用WinHex的搜索功能来查找丢失的文件。
在搜索框中输入文件名或关键词,然后点击“搜索”按钮,WinHex将开始搜索目标磁盘或映像文件中与关键词匹配的文件。
在搜索到需要恢复的文件后,我们可以将其标记为需要恢复的文件,并保存到指定的位置。
步骤四:恢复文件在标记了需要恢复的文件后,我们可以点击“恢复”按钮来进行文件恢复操作。
在恢复文件的过程中,我们需要注意选择恢复文件的保存位置,并确保该位置具有足够的空间来保存恢复的文件。
注意事项在使用WinHex手动恢复NTFS文件系统中的文件时,我们需要注意以下几个问题:2. 小心操作:在使用WinHex手动恢复文件时,我们需要小心操作,避免对目标磁盘或映像文件造成进一步损坏。
结论在使用NTFS文件系统时,我们可能会遇到文件丢失的情况。
在这种情况下,我们可以使用WinHex手动恢复丢失的文件。
数据恢复工具winhex使用教程
数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
winhex数据恢复教程
在这篇教程中,我想以一个最简单的例子来说明如何使用winhex来恢复NTFS分区中被删除的文件的,为了使这上篇的文章的知识尽量的简单,我这里所恢复的条件有这么几个:1、我格式化了一个分区,所以这个分区中是没有任何文件的。
2、我使用的文件大小小于1K,所以这个文件在NTFS分区的文件记录中的数据属性中是个常驻属性。
所以这里不涉及到运行计算的问题,应该最简单的文件恢复了,以这个恢复例子的过程,可以建立一个数据恢复的大体原理了。
希望大家喜欢:)下面开始。
第一:建立一个文本文件我格式化了我的分区G,分区类型是NTFS,使用快速格式化,正常格式化只在检查磁盘坏道时才有用。
之后,我在这个分区建了一个文本文件,如下图所示:这个文件很简单,内容也很少,我保存这个文件后,然后然后我们来看看这个文件大小信息,如下图所示:我们看到,这个文件大小是224个字节,记住了哦,等下恢复这个文件的时候就可以对比一下了咯嘻嘻。
之后我就删除了这个文件,现在,我们看看怎么恢复这个文件!第二:用winhex打开分区我们运行winhex,然后点击菜单:工具-->打开磁盘,来打开G盘。
如下图所示:我们可以找到$MFT这个文件,然后右击它,然后点击打开,之后就会打开这个文件MFT。
如下面两个图所示:这里为什么要这么做呢?因为,我们只需要在MFT找到我们丢失的文件,如果我们在整个分区里搜索并且这个分区很大的话,会要很多时间的,而MFT文件就小得多了,最大也就1G左右,这是我人为弄出来的,一般系统是很难见到这么大的MFT文件的,除非你是做服务器,有很多磁盘碎片和小文件。
之后,我们可以点击菜单中的:搜索-->查找文本。
如下图所示:我们输入我们想要恢复的文件名HelloWorld,而且注意,要选择Unicode。
因为MFT的文件名是Unicode形式的,之后就是查找了!一会我们就找到了这个文件,如下图所示:为了能使用WinHex的颜色,我们转到分区去看这个文件记录!首先,我们看到这个文件记录在MFT的偏移地址是7450H,然后我们在winhex中转到我们分区的视图,然后点击MFT 文件,这样就偏移到了我们MFT文件的位置,然后选择菜单中的:位置-->转到偏移位置。
winhex数据恢复精华(图解)
winhex教程winhex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
winhex修复u盘目录乱码的数据恢复
Winhex修复U盘乱码目录乱码原因很多,但大多是由于病毒破坏或移动硬盘、u盘、sd卡的误操作。
文件或目录乱码修复方法也很多,首先恢复数据或找到目录乱码的原因在用手工修复好错误,从而恢复数据,是我们现在最为科学的方法。
用硬盘数据恢复软件先恢复数据的方法可以参考(r-studio数据恢复软件使用教程)链接地址:/Data-recovery/92/。
我们今天用winhex工具手工修复目录乱码原因来恢复数据来做一个教程。
正好有个u盘出现目录乱码和文件乱码的现象,并且打开文件夹目录时提示目录名、文件名或卷标出现语法不正确的提示。
首先,我们先做u盘镜像文件备份,以防操作失误。
winhex镜像文件方法这里我就不多说了,可以到这里学习一下:/Data-recovery/119/完成镜像备份后导入备份的文件进行目录乱码的分析。
先打看根目录看一下,看图很明显这并不是根目录下的数据内容,这说明DBR有问题。
我们来检查一下DBR的参数,打开DBR分析OEM是乱码,但影响不大。
我们来检测FAT1和FAT2是否正常。
分析:这是FAT32分区,FAT表正常下来再查看与他(地1024扇区)相邻的两个扇区,这时发现问题了:分析:第1023和1025扇区的数据,应该是一个FAT表中的一部分,感觉第1024扇区(FAT2的开始扇区)的数据好像插在一个FAT表中间了,且FAT2只有一个扇区,这说明FAT表有问题,现在要找正确的FAT表,然后恢复。
开始搜索FAT表:查找发现3个FAT表:分析:除原来看到的两个FAT表外,在第990扇区发现一个FAT表,如果这是正确的FAT2(不可能是fat1),那么数据区的开始扇区为:32加(990-32)乘2等于1948扇区,现在到第1948扇区去:分析:显然第1948扇区不是数据开始的扇区(DATA数据在FAT2后面,而FAT2最后一个扇区的时间一般是00),现在一直数据开始的扇区。
那么我们要找根目录区(DIR)或数据区的扇区。
用Winhex手动修复分区表以提取数据
一、初步应用——双分区恢复实例及分析(一)、现场重现:提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。
对于移动硬盘,损坏往往发生于硬盘传输数据中断电。
现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。
(二)、手动修复:(阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解)1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。
2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。
现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。
操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块;接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。
将01fe,01ff填写为55AA,到这里一定保存。
点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。
打开如下图,并记录黄色方框内的两个数值(63和63777986)63+63777986+1=63778050,跳转至63778050扇区。
稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框内的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。
接下来跳转至63778050+63=63778113扇区,我们又发现了一个EB开头的扇区再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。
winhex数据恢复教程
winhex数据恢复教程
WinHex是一款功能强大的数据恢复工具,可以帮助用户恢复
误删除、格式化、损坏等原因导致的丢失数据。
下面是一份WinHex数据恢复的简单教程,帮助你快速恢复丢失的数据。
1. 首先,打开WinHex软件。
2. 在WinHex主界面中,点击菜单栏上的"打开"按钮,选择需
要恢复数据的驱动器或存储设备。
3. 在弹出的对话框中,选择"物理设备"选项,并点击"确定"按钮。
4. WinHex将扫描选定设备并显示其中的数据。
5. 在数据窗口中,可以看到被删除的文件或损坏的文件系统排列在一起。
6. 在右侧的导航窗口中,选择需要恢复的文件或文件夹,并将其拖放到一个新的位置,例如桌面。
7. WinHex将尝试恢复选定的文件或文件夹,并将其保存到目
标位置。
8. 等待恢复过程完成,恢复成功后将显示恢复的文件或文件夹。
注意:
- 在进行数据恢复操作前,请确保已选择正确的设备。
选择错误设备可能会导致数据丢失。
- WinHex提供了强大的数据恢复功能,但并不能恢复所有丢失的数据。
在某些情况下,数据可能已经被覆盖或损坏,无法完全恢复。
- 如果你对数据恢复操作不熟悉,建议先在副本上进行操作,以防止意外损坏原始数据。
希望这个简单的WinHex数据恢复教程对你有所帮助,祝你成功恢复丢失的数据!。
如何使用WINHEX进行数据恢复
如何使用WINHEX进行数据恢复Winhex有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装Winhex,安装完了就可以启动winhex了,启动后,首先出现的是启动中心对话框。
这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。
这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。
这些情况对把握整个硬盘的情况非常有帮助。
另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。
(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。
分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C 盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)字节位置内容及含义第1字节引导标志。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
winhex教程winhex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex(数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
如果要恢复引导代码,可以用DOS下的命令:FDISK/MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。
另外,也可以用工具软件,比如DISKGEN、WINHEX等。
但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。
是很多病毒喜欢破坏的区域。
EBR,也叫做扩展MBR(Extended MBR)。
因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。
MBR、EBR是分区产生的。
比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表:631435329631435329631253889 MBR C盘EBR D盘EBR E盘扩展分区而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C盘的数据结构:C盘DBR FAT1FAT2DIR DATAWinhexWinhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。
这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。
这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。
这些情况对把握整个硬盘的情况非常有帮助。
另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。
(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。
分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C 盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)每一个分区表项各占16个字节,各字节含义如下:(H 表示16进制)此硬盘的第一分区表(即MBR)分析如下:第一个分区表项(C 盘)第1字节80:表示此分区为活动分区;第5字节0B:表示分区类型为Fat32;字节位置内容及含义第1字节引导标志。
若值为80H 表示活动分区;若值为00H 表示非活动分区。
第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符:00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区05H——扩展分区07H——NTFS 分区0FH——(LBA 模式)扩展分区83H——Linux 分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数第9、10、11、12字节系统隐含扇区3F000000:所谓系统隐含扇区就是本分区(C盘)之前已用了的扇区数,这是一个十六进制数,但要注意:真正的隐含扇区数应该反过来填写(比如:隐含扇区数为3E4D5A6F,则反过来就是6F5A4D3E,这才是实际的隐含扇区数)。
那么,3F000000反过来写就是0000003F,也就是3F,将他转成十进制数我们才能知道实际的隐含扇区数是多大。
这可以使用计算器来算,单击工具栏上的“计算器”按钮,如下图:这样就启动了计算器计算器有两种型号,我们要进行进制转换,就要选择“科学型”比如我们要将十六进制3F转换为十进制,就要先选中“十六进制”,然后输入3F再选中“十进制”,十六进制3F转为十进制等于63。
想一想我们前面所讲的,MBR占用63个扇区,也就是C盘之前已用了的扇区数为63,第64个扇区就是C 盘的第一个扇区,但要注意的是,整个硬盘的LBA地址是从零开始的,0~62的扇区为MBR。
第13、14、15、16字节本分区总扇区数(当然,这也就是C盘的大小):C1E615 00,同样,实际的十六进制数也要反过来才对,也就是0015E6C1,将它转换成十六进制数是1435329。
给你出个题,你知道D盘的EBR在哪个扇区吗?我们一起来算一下,还记得前面数据结构那个表吗?C盘后面不就是D盘的EBR 吗?D盘EBR的第一个扇区=MBR+C盘的大小,也就是63+1435329=1435392。
我们来看看对不对,单击工具栏上的“转到扇区”按钮,出现一个“转到扇区”对话框然后输入1435392,再点“确定”,就到了1435392扇区了(你可以使用它再转回到0扇区)这个就是D盘的EBR,也就是D盘的分区表了,怎么知道的呢?因为MBR和EBR的结构是完全一样的,都是占用了63个扇区,但只用了第一个扇区,其余62个扇区填零不用。
第一个扇区前446个字节都为引导代码,后64个字节为分区表,最后2个字节为55AA结束标志。
因为EBR不是活动分区,不需要引导代码,所以前446个字节为零。
还有另一种方法直接找到D盘的EBR,单击“访问”下拉按钮——“分区二”——“分区表”,直接就到1435392扇区.这样,分区表中的第一个分区表项共十六个字节分析完毕,下面我们再来看看第二个分区表项(扩展分区)。
第1字节00:表示非活动分区第5字节05:表示扩展分区第9、10、11、12字节00E71500:本分区之前的扇区数(扩展分区前面也就是MBR和C盘,好像我们前面算过这个数?)同样,先将它反过来,就是0015 E700,再转为十进制是1435392,看来我们前面真的算过这个数。
第13、14、15、16字节40092900:本分区的总扇区数。
也就是扩展分区的总扇区数。
转为十进制应该是2689344。
想一想,用这个数加上前面的1435392,不正好是整个硬盘的总扇区数4124736吗?这样,如果分区表被破坏,我们只要把这些数值都计算出来并填上,分区表不就恢复了?那么,这里我们为什么不分析第2、3、4字节(本分区的起始磁头号、扇区号、柱面号)和第6、7、8字节(本分区的结束磁头号、扇区号、柱面号)呢?这是因为C/H/S(柱面/磁头/扇区)是老式硬盘的寻址方式,这种寻址方式来管理硬盘效率很低;而现在几乎所有的硬盘都支持LBA(全称是Logic Block Address,即扇区的逻辑块地址)寻址方式,这种管理方式简单高效。
在LBA 方式下,系统把所有的物理扇区都统一编号,按照从零到某个最大值排列,这样只用一个序数就确定了一个唯一的物理扇区。
小知识:具体一个硬盘有多少个LBA(扇区)不需要我们去记忆,因为用各种工具软件(如MHDD WINHEX等)都可以检测到。
我们只要知道个大概就行了:如10G 的硬盘大概有2000万个扇区;20G的硬盘大概有4000万个扇区;40G的硬盘大概有8000万个扇区……那么,2G的硬盘大概有400万个扇区。
那么,你可能要问了:如果要恢复分区表,这个起始磁头号、扇区号、柱面号还有结束磁头号、扇区号、柱面号应该怎么填呢?简单得很,在后面恢复分区表的时候我会告诉你,直接填,都不用计算。
还有兴趣来分析一下D盘的EBR吗?其实D盘的EBR和E盘的EBR我们不分析也罢,因为无非也是分区表,跟MBR 的结构是一样的,但却很容易把我们绕晕,又因为EBR一般不容易被破坏,所以我不建议分析EBR。
但如果你一定要分析,那就分析吧。
单击“访问”下拉按钮——“分区二”——“分区表”,直接就到1435392扇区,即D盘的分区表EBR。
第一个分区表项(D盘):第1个字节00:表示非活动分区第5个字节06:表示FAT16分区第9、10、11、12字节3F000000:本分区之前已用了的扇区数,也就是EBR 的数目,63个。