winhex数据恢复完整图文教程
Winhex手工恢复U盘乱码数据一例
Winhex手工恢复U盘乱码数据一例核心提示:U盘连接电脑后无法打开,拔插一次后可以打开,但目录变成乱码(如图1)。
这是根目录受损的典型故障。
往往是由于病毒的破坏或者干扰造成读写错误所致,具体破坏的程度和方式比较复杂。
本案例显然是u盘感染了一种带有自动运行功能的病毒。
乱码的文件夹无法打开U盘连接电脑后无法打开,拔插一次后可以打开,但目录变成乱码(如图1)。
这是根目录受损的典型故障。
往往是由于病毒的破坏或者干扰造成读写错误所致,具体破坏的程度和方式比较复杂。
本案例显然是u盘感染了一种带有自动运行功能的病毒。
乱码的文件夹无法打开。
U盘里的一些重要数据丢失。
由于重要数据装在文件夹里面,所以可以用winhex手工重建根目录文件夹的方法来找回丢失的重要数据(当然没有百分之百的把握)。
图1为了避免u盘长时间工作有可能导致硬件损坏的风险,以及数据受到二次破坏的风险,先用Winhex制作u盘的镜像文件,然后对镜像文件进行数据恢复操作。
启动绿色版ha_WinHex14.1SR-6。
点“工具-打开磁盘”,在对话框中选择“逻辑磁盘”中的u盘盘符,或者“物理磁盘”中的u盘名称(本人选择后者),打开u盘。
点“文件-创建磁盘镜像”,在打开的对话框中选择镜像文件保存的路径,点选“raw镜像”(如图2),然后“确定”,几分钟后镜像文件创建完毕,关闭软件或关闭软件中打开的u盘,就可以把u盘退出来并拔掉。
图2怎样在winhex中使用镜像文件恢复数据呢?在winhex中点“文件-打开”,找到保存在电脑中的影像文件打开即可。
接下来这步操作非常关键,点“专业工具-设置镜像文件为磁盘”,这时打开的镜像文件就变成了与直接打开u盘的界面一摸一样了,操作起来与直接操作u 盘没有什么区别(如图3,由于镜像文件是“物理磁盘”,需要双击“分区1”才会进入图3界面,如果镜像文件是“逻辑磁盘”可以直接看到图3的分区界面)。
图3点击“offset”行右端的“访问”功能下拉菜单(黑三角),点选“根目录”,主界面跳到根目录的第一扇区(如图4,每个扇区有半透明横线隔开)。
WINHEX教程图
巧用WinHex找回消失的分区数据由于我是个对磁盘空间过敏的人,每当磁盘空间少到几百兆,就会想办法删掉不用的软件,时间一长,系统会变的千疮百孔,直到有一天实在无法忍受,决定重装系统,麻烦极了。
与是想用Guest做个系统映象,没想到人世间最痛苦的事情发生了。
我有两个物理硬盘,主盘分了两个区,分别为一个C盘,一个E盘,所以把Guest这个软件放到第二个硬盘D盘的根目录下。
重起进入DOS进入到软件的画面,不管三七二十一,玩玩再说。
好奇的我直接选择第一项功能: To Disk,经过乱七八糟的英文提示后,毅然点了OK按扭,接下来两个硬盘开始狂响,我突然意识到事情不对,强行重起动后,打开资源管理器,点下D盘,发现已经空白一片了。
天哪!我的软件!我的游戏!我的一切!我浑身冒汗,好像做梦一样,早知道……咦,对了!好像WinHex有打开磁盘的功能,只要知道一些文件的开头标记,兴许能恢复一些文件。
小提示:硬盘修复是一个高危险的操作,在/YingJian/200808/107.ht m一文中介绍了硬盘主引导记录等多种不同故障的处理方法,希望对大家有所参考。
幸好WinHex装到C盘上了,启动后选“OpenDisk”打开D盘,在WinHex子窗口的表格内共有三个列,最左边的是偏移值,相当于行号;中间显示的是16进制代码,右边是每组代码对应显示的文字。
因为无论是那种格式的文件开头都会有特定的标记,所以只要知道对应的代码就能知到文件的类型。
由于我D盘上大部分是RAR压缩格式的文件,所以我先用WinRar创建一个RAR文件,再用WinHex打开,在右边开头显示出Rar!字样(图1),对应的16进制的值就是“52 61 72 21”,一同选中后按“Ctrl+Shift+C”把这串代码复制到剪贴板,然后切换到刚才打开D盘的窗口,依次选择“Search >> Find Hex Values”,按“Ctrl+V”或在输入框内点右键选择“粘贴”,确认无误后点“OK”开始搜索。
Winhex镜像硬盘与镜像中恢复数据图文
Winhex镜像硬盘与镜像中恢复数据图文WinHex镜像硬盘和Ghost备份是完全不同的,Ghost只能克隆或者镜像分区内正常的数据,删除的数据他是不会克隆的,所以在数据恢复应用中,Ghost对我们来讲作用就不大了,而使用WinHex备份(镜像)硬盘数据就不同了,WinHex会对每一个扇区数据拷贝,下边我们分别对WinHex的硬盘镜像成img文件和硬盘克隆做一个图文教程;打开WinHex如下图:选择克隆硬盘:工具-磁盘工具-克隆磁盘如下图一:硬盘克隆到镜像文件首先说明来源与目标的区别,来源是将要克隆的硬盘,目标是来原盘的备份盘,两者千万不要搞错了,搞错了造成数据严重损坏的;如图:我们先来备份到镜像文件,选择原盘后,点目标右侧的镜像到文件,出现下图:选择存储路径,并给文件命名,一般我们使用img为后缀的,因为他的通用性较强,下节我们讲述其他软件的备份和从镜像中恢复数据恢复说明这点;二:硬盘克隆到硬盘如下图:这里我们没有使用容量相同的硬盘,拷贝方法和镜像到文件基本相同,就是注意选择的方式;注意:钩选复制整个媒体选项,如果是硬盘到硬盘的方式,目标盘开始扇区从0开始即可,镜像到文件不需要设置此选项。
镜像硬盘与镜像中恢复数据图文镜像文件img等于镜像硬盘LBA大小,例如:一个80G硬盘要镜像出来,那么容量要大于80G,反之不能备份,如果采用其他方式也可以和Ghost那样压缩下面就是:WinHex镜像文件恢复到硬盘操作图文一:运行WinHex程序,如图:二:工具--磁盘工具-克隆硬盘三:选定镜像文件,恢复到目标硬盘驱动器,如下图至此备份与恢复全部完毕,我在下一篇会给大家讲述其他软件的镜像,这些操作都完毕后,开始对镜像文件的数据提取,数据删除恢复,分区丢失恢复,各种Raid的组合与数据恢复。
使用winhex来恢复数据的方法
使用winhex来恢复数据的方法一、数据丢失的痛与恢复的希望。
1.1 数据丢失那可真是个让人头疼的事儿啊。
不管是误删了重要文件,还是硬盘出了故障,感觉就像丢了宝贝一样心急如焚。
不过呢,先别慌,咱还有winhex这个得力助手。
1.2 winhex就像是数据世界里的神奇小魔杖。
它功能强大,能在看似绝望的数据丢失状况下,给我们带来恢复数据的曙光。
二、winhex初了解。
2.1 winhex是啥呢?简单说,它就是一款专门用来处理十六进制数据的软件。
这听起来有点高大上,但实际操作起来也没那么难。
就像学骑自行车,一开始觉得难,上手了就顺溜了。
2.2 你得先把winhex安装好。
这就好比给战士配上武器,安装过程也不复杂,按照提示一步步来就行,别像没头苍蝇似的乱点。
三、开始用winhex恢复数据。
3.1 打开winhex后,首先要做的就是找到你丢失数据的存储设备。
这就如同在茫茫大海里寻找一艘沉船,得找准目标。
比如说你的数据在硬盘里丢了,那就找到对应的硬盘分区。
这一步可不能马虎,要是找错了地儿,那可就是竹篮打水一场空了。
3.2 接下来就是重头戏了。
winhex有个很厉害的功能叫磁盘克隆。
这就像做备份一样,把有问题的磁盘克隆一份。
这时候你得小心翼翼的,就像捧着个易碎的瓷器。
因为这个过程要是出了岔子,那恢复数据就更难了。
克隆完成后,就可以在克隆的副本上进行数据恢复操作。
3.3 查找丢失的数据片段。
这有点像大海捞针,但winhex有它的办法。
它可以通过分析十六进制数据的特征,找到那些可能是你丢失文件的部分。
这就要求你得有点耐心,心急吃不了热豆腐嘛。
有时候可能要花费一些时间去比对和查找,但只要坚持,往往就能找到那些“失踪”的数据。
3.4 恢复数据的时候,也要注意一些细节。
比如说数据的完整性,可不能只恢复个半拉子工程。
要确保恢复出来的数据是可用的,就像检查一件修好的东西是不是真的修好了一样。
四、数据恢复后的检查与预防。
4.1 数据恢复成功后,可别以为就万事大吉了。
winhex比较详细的图文使用教程
winhex⽐较详细的图⽂使⽤教程下⾯我们就来模仿分区表被病毒破坏的情况,将MBR全部填零。
我们⾸先将MBR所在的扇区选中。
⿏标指向第⼀个字节,单击右键,选择“选块开始”然后⿏标指向MBR的最后⼀个字节,单击右键,选择“选块结尾”然后我们在选区内部单击⿏标右键,选择“编辑”这样就有出来⼀个菜单然后我们选“填充选块”,这样就出来⼀个填充选块对话框在“⽤⼗六进制填充”的输⼊框中输⼊“00”,再点“确定”这样MBR所在扇区全部被我们填充为“00”如果想取消选区,那就⽤⿏标拖动随便选中⼀块区域,那么原来的选区就会取消。
注意,如果扇区数据被修改了⽽没有存盘就会变为别的颜⾊。
修改了扇区,这时候还没有存盘⽣效,如果你想存盘⽣效的话,就选择“⽂件”菜单“保存扇区”命令。
这时候就会出现⼀个提⽰,如果你不想存盘了就点取消,如果想存盘,就点确定,再点是。
好,这样就存盘了,扇区被修改的数据⼜变为⿊⾊。
这样我们就把分区表给删除了,这时候必须重新启动才能⽣效,如果你打开我的电脑,会发现三个分区(F 、G、 H)还在那⾥,并且⾥⾯的数据还能正常使⽤。
现在,我们关闭所有程序将电脑重新启动……经过不长时间的等待,电脑启动起来了,我们打开我的电脑看看,发现F 、G 、H三个分区不见了。
再打开Winhex发现MBR全部为零了,下⾯我们就着⼿开始⼿⼯恢复分区表⾸先恢复引导代码,这最简单了,只要⽤Winhex到别的系统盘把引导代码复制过来就⾏了。
我现在的机器上不是挂着两个硬盘吗?⼀个迈拓2G,⼀个西数40G,西数40G是我的系统盘,那就从这个盘上复制就⾏了。
单击“磁盘编辑器”按钮出现“编辑磁盘”对话框选择“HD0 WDC WD400EB---00CPF0”,点“确定”这样我们就把系统盘的分区表给打开了,注意,现在我们是打开了两个窗⼝,当前的窗⼝是“硬盘0”,在标题栏上有显⽰。
另外,打开窗⼝菜单也能看出来,当前窗⼝被打上⼀个勾,如果想切换回原来的窗⼝,就点击“硬盘1”。
winhex数据恢复完整图文教程.docx
winhex数据恢复分:硬恢复和恢复。
所硬恢复就是硬出物理性,比如有体坏道、路板芯片、体异响,等故障,由此所致的普通用不容易取出里面数据,那么我将它修好,同又保留里面的数据或后来恢复里面的数据,些都叫数据恢复,只不些故障有容易的和困的之分;所恢复,就是硬本身没有物理,而是由于人或者病毒破坏所造成的数据失(比如格式化,分区),那么的数据恢复就叫恢复。
里呢,我主要介恢复,因硬恢复需要一些工具(比如pc3000, 烙,各种芯片、路板),而且需要懂一点点路基,我里所到的所有的知,涉及面广,次深,既有数据构原理,我手工准确恢复数据提供依据,又有各种数据恢复件的使用方法及技巧,我快速恢复数据提供便利,而且所有件均网上下,不需要我投一分。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数与制:关于二制、十六制、八制它之的我不想多,因他我数据恢复来帮助不大,而且很容易把我。
如果你感趣想多了解一些,可以到百度里面去搜一下,方面料已很多了,就不需要我再多了。
数据恢复我主要用十六制器:Winhex (数据恢复首件)我先了解一下数据构:下面是一个分了三个区的整个硬的数据构MBR C EBR D EBR EMBR,即主引,位于整个硬的0 柱面 0 磁道 1 扇区,共占用了63 个扇区,但只使用了 1 个扇区( 512 字)。
在共 512 字的主引中, MBR又可分三部分:第一部分:引代,占用了446 个字;第二部分:分区表,占用了 64 字;第三部分: 55AA,束志,占用了两个字。
后面我要的用winhex 件来恢复分区,主要就是恢复第二部分:分区表。
引代的作用:就是硬具可以引的功能。
如果引代失,分区表在,那么个硬作从所有分区数据都在,只是个硬自己不能用来启系了。
如果要恢复引代,可以用DOS下的命令: FDISK /MBR;个命令只是用来恢复引代,不会引起分区改,失数据。
另外,也可以用工具件,比如DISKGEN、WINHEX等。
WinHex数据恢复图文教程
WinHex数据恢复图文教程WinHex 数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
winhex数据恢复完整图文教程
winhex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
数据恢复工具winhex使用教程
数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
winhex数据恢复教程
在这篇教程中,我想以一个最简单的例子来说明如何使用winhex来恢复NTFS分区中被删除的文件的,为了使这上篇的文章的知识尽量的简单,我这里所恢复的条件有这么几个:1、我格式化了一个分区,所以这个分区中是没有任何文件的。
2、我使用的文件大小小于1K,所以这个文件在NTFS分区的文件记录中的数据属性中是个常驻属性。
所以这里不涉及到运行计算的问题,应该最简单的文件恢复了,以这个恢复例子的过程,可以建立一个数据恢复的大体原理了。
希望大家喜欢:)下面开始。
第一:建立一个文本文件我格式化了我的分区G,分区类型是NTFS,使用快速格式化,正常格式化只在检查磁盘坏道时才有用。
之后,我在这个分区建了一个文本文件,如下图所示:这个文件很简单,内容也很少,我保存这个文件后,然后然后我们来看看这个文件大小信息,如下图所示:我们看到,这个文件大小是224个字节,记住了哦,等下恢复这个文件的时候就可以对比一下了咯嘻嘻。
之后我就删除了这个文件,现在,我们看看怎么恢复这个文件!第二:用winhex打开分区我们运行winhex,然后点击菜单:工具-->打开磁盘,来打开G盘。
如下图所示:我们可以找到$MFT这个文件,然后右击它,然后点击打开,之后就会打开这个文件MFT。
如下面两个图所示:这里为什么要这么做呢?因为,我们只需要在MFT找到我们丢失的文件,如果我们在整个分区里搜索并且这个分区很大的话,会要很多时间的,而MFT文件就小得多了,最大也就1G左右,这是我人为弄出来的,一般系统是很难见到这么大的MFT文件的,除非你是做服务器,有很多磁盘碎片和小文件。
之后,我们可以点击菜单中的:搜索-->查找文本。
如下图所示:我们输入我们想要恢复的文件名HelloWorld,而且注意,要选择Unicode。
因为MFT的文件名是Unicode形式的,之后就是查找了!一会我们就找到了这个文件,如下图所示:为了能使用WinHex的颜色,我们转到分区去看这个文件记录!首先,我们看到这个文件记录在MFT的偏移地址是7450H,然后我们在winhex中转到我们分区的视图,然后点击MFT 文件,这样就偏移到了我们MFT文件的位置,然后选择菜单中的:位置-->转到偏移位置。
winhex教程数据恢复
winhex教程数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
winhex数据恢复精华(图解)
winhex教程winhex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR
winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR字节位置内容及含义第1字节引导标志。
若值为80H表示活动分区;若值为00H表示非活动分区。
第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符:00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区05H——扩展分区07H——NTFS分区0FH——(LBA模式)扩展分区83H——Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数1、什么是逻辑驱动?2、什么是物理驱动器?3、怎么搜索MBR、EBR、DBR?MBR、EBR、DBR他们都是以55AA结尾在winhex中搜索16进制:55AA 偏移512=510(1)搜索DBR的标志:FAT16的DBR:EB 3C 90没有备份的DBRFAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区NTFS的DBR: EB 52 90(备份的DBR)在该分区的最后一个扇区判别MBR的方法:MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。
MBR的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。
1FE-1FF就是“55 AA”判别EBR的方法:EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0(2)查找DBR可以通过搜索本分区的EBR去找DBR.可以搜索EBR,定位DBR.DBR相对于EBR后63号扇区。
(3)当某分区的DBR坏了,就提示:未格式化这个时候用winhex打开逻辑盘,就打不开。
我们只有通过打开物理驱动器,然后跳转到该分区。
就可以查看DBR是否被破坏了。
可物理驱动器的模式是从"0"扇区开始描述系统而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).用winhex 做U盘免疫AUTO.INF用WinHex制作无法修改的AutoRun.inf文件在我们日常工作中,经常需要使用闪存(也称为U盘或者优盘)主要是AutoRun.inf文件在起作用,我们可以使用WinHex解决这一问题。
winhex数据恢复教程
winhex数据恢复教程
WinHex是一款功能强大的数据恢复工具,可以帮助用户恢复
误删除、格式化、损坏等原因导致的丢失数据。
下面是一份WinHex数据恢复的简单教程,帮助你快速恢复丢失的数据。
1. 首先,打开WinHex软件。
2. 在WinHex主界面中,点击菜单栏上的"打开"按钮,选择需
要恢复数据的驱动器或存储设备。
3. 在弹出的对话框中,选择"物理设备"选项,并点击"确定"按钮。
4. WinHex将扫描选定设备并显示其中的数据。
5. 在数据窗口中,可以看到被删除的文件或损坏的文件系统排列在一起。
6. 在右侧的导航窗口中,选择需要恢复的文件或文件夹,并将其拖放到一个新的位置,例如桌面。
7. WinHex将尝试恢复选定的文件或文件夹,并将其保存到目
标位置。
8. 等待恢复过程完成,恢复成功后将显示恢复的文件或文件夹。
注意:
- 在进行数据恢复操作前,请确保已选择正确的设备。
选择错误设备可能会导致数据丢失。
- WinHex提供了强大的数据恢复功能,但并不能恢复所有丢失的数据。
在某些情况下,数据可能已经被覆盖或损坏,无法完全恢复。
- 如果你对数据恢复操作不熟悉,建议先在副本上进行操作,以防止意外损坏原始数据。
希望这个简单的WinHex数据恢复教程对你有所帮助,祝你成功恢复丢失的数据!。
如何使用WINHEX进行数据恢复
如何使用WINHEX进行数据恢复Winhex有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装Winhex,安装完了就可以启动winhex了,启动后,首先出现的是启动中心对话框。
这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。
这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。
这些情况对把握整个硬盘的情况非常有帮助。
另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。
(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。
分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C 盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)字节位置内容及含义第1字节引导标志。
WINHEX工具数据恢复课件
1D2:分区类型符 1D3~1D5:本分区的结束磁头号、扇区号、柱面号
1D3:本分区的结束磁头号、1D4:结束扇区号(高2位为柱面号) 、1D5:结束柱面号(低8位)
1D6~1C9:本分区之前已用了的扇区数,C1 3E 00 00
=( 00 00 3E C1 16065)10 1DA~1DD:本分区的总扇区数,20 D8 07 00 =(514080)10 00 07 D8 20
用WinHex模版工具观察硬盘分区 (MBR部分)
第2#分区表 分区表 值为 80H 表示活动分区 引导标志 值为 00H 表示非活动分区 本分区的起始磁头号、 扇区号、柱面号 分区类型符 05H 扩展分区 ?
本分区的结束磁头号、 扇区号、柱面号
本分区之前已用了的扇区数 本分区的总扇区数 ≈251.02M
用WinHex观察硬盘分区 (MBR部分)
MBR的引导程序 的引导程序
DPT (Disk Partition Table) ) 硬盘分区表
最后的两个字节“ 最后的两个字节“55 AA”(偏移 (偏移1FEH~偏移 ~偏移1FFH)是分区有效结束标志 )
用WinHex模版工具观察硬盘分区
(MBR部分)
利用WINHEX工具数据恢复
WinHex是什么?
• WinHex是德国人开发的五星上将级16进制编辑软 件,其附带的及其变通的数据恢复功能及其强大。 在掌握了文件系统基础原理之后,你会对WinHex 爱不释手,不愿再使用其他数据恢复软件。 • WinHex是WINDOWS下数据恢复的第一数据恢复 软件,进入系统,首先要用WinHex来检测判断故 障。并可直接恢复剪切删除、目录无法读取、分区 丢失、误克隆、加密、RAID、目录隐藏、坏扇区 等大多数类型故障。 • 一类数据恢复者用WinHex, • 二类数据恢复者用R-Studio, • 三类数据恢复者用FinalData、EasyRecovery, 至少现在这样形容并不过分。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
winhex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。
另外,也可以用工具软件,比如DISKGEN、WINHEX等。
但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。
是很多病毒喜欢破坏的区域。
EBR,也叫做扩展MBR(Extended MBR)。
因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。
MBR、EBR是分区产生的。
比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表:而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构:WinhexWinhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。
这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。
这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。
这些情况对把握整个硬盘的情况非常有帮助。
另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。
(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。
分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)字节位置内容及含义第1字节引导标志。
若值为80H表示活动分区;若值为00H表示非活动分区。
本分区的起始磁头号、扇区号、柱面号第2、3、4字节第5字节分区类型符:00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区05H——扩展分区07H——NTFS分区0FH——(LBA模式)扩展分区83H—— Linux分区第6、7、8字本分区的结束磁头号、扇区号、柱面号节本分区之前已用了的扇区数第9、10、11、12字节本分区的总扇区数第13、14、15、16字节此硬盘的第一分区表(即MBR)分析如下:第一个分区表项(C盘)第1字节80:表示此分区为活动分区;第5字节0B:表示分区类型为Fat32;第9、10、11、12字节系统隐含扇区3F 00 00 00:所谓系统隐含扇区就是本分区(C盘)之前已用了的扇区数,这是一个十六进制数,但要注意:真正的隐含扇区数应该反过来填写(比如:隐含扇区数为3E 4D 5A 6F,则反过来就是6F 5A 4D 3E ,这才是实际的隐含扇区数)。
那么,3F 00 00 00反过来写就是00 00 003F,也就是3F,将他转成十进制数我们才能知道实际的隐含扇区数是多大。
这可以使用计算器来算,单击工具栏上的“计算器”按钮,如下图:这样就启动了计算器计算器有两种型号,我们要进行进制转换,就要选择“科学型”比如我们要将十六进制3F转换为十进制,就要先选中“十六进制”,然后输入3F再选中“十进制”,十六进制3F转为十进制等于63。
想一想我们前面所讲的,MBR占用63个扇区,也就是C盘之前已用了的扇区数为63,第64个扇区就是C盘的第一个扇区,但要注意的是,整个硬盘的LBA地址是从零开始的,0~62的扇区为MBR。
第13、14、15、16字节本分区总扇区数(当然,这也就是C盘的大小):C1 E6 15 00,同样,实际的十六进制数也要反过来才对,也就是00 15 E6 C1,将它转换成十六进制数是1435329。
给你出个题,你知道D盘的EBR在哪个扇区吗?我们一起来算一下,还记得前面数据结构那个表吗?C盘后面不就是D盘的EBR吗?D盘EBR的第一个扇区=MBR+C盘的大小,也就是 63+1435329=1435392。
我们来看看对不对,单击工具栏上的“转到扇区”按钮,出现一个“转到扇区”对话框然后输入1435392,再点“确定”,就到了1435392扇区了(你可以使用它再转回到0扇区)这个就是D盘的EBR,也就是D盘的分区表了,怎么知道的呢?因为MBR和EBR的结构是完全一样的,都是占用了63个扇区,但只用了第一个扇区,其余62个扇区填零不用。
第一个扇区前446个字节都为引导代码,后64个字节为分区表,最后2个字节为55AA结束标志。
因为EBR不是活动分区,不需要引导代码,所以前446个字节为零。
还有另一种方法直接找到D盘的EBR,单击“访问”下拉按钮——“分区二”——“分区表”,直接就到1435392扇区.这样,分区表中的第一个分区表项共十六个字节分析完毕,下面我们再来看看第二个分区表项(扩展分区)。
第1字节00:表示非活动分区第5字节05:表示扩展分区第9、10、11、12字节00 E7 15 00:本分区之前的扇区数(扩展分区前面也就是MBR和C盘,好像我们前面算过这个数?)同样,先将它反过来,就是00 15 E7 00 ,再转为十进制是1435392,看来我们前面真的算过这个数。
第13、14、15、16字节40 09 29 00:本分区的总扇区数。
也就是扩展分区的总扇区数。
转为十进制应该是2689344。
想一想,用这个数加上前面的1435392,不正好是整个硬盘的总扇区数4124736吗?这样,如果分区表被破坏,我们只要把这些数值都计算出来并填上,分区表不就恢复了?那么,这里我们为什么不分析第2、3、4字节(本分区的起始磁头号、扇区号、柱面号)和第6、7、8字节(本分区的结束磁头号、扇区号、柱面号)呢?这是因为C/H/S(柱面/磁头/扇区)是老式硬盘的寻址方式,这种寻址方式来管理硬盘效率很低;而现在几乎所有的硬盘都支持LBA(全称是Logic Block Address,即扇区的逻辑块地址)寻址方式,这种管理方式简单高效。
在LBA方式下,系统把所有的物理扇区都统一编号,按照从零到某个最大值排列,这样只用一个序数就确定了一个唯一的物理扇区。
小知识:具体一个硬盘有多少个LBA(扇区)不需要我们去记忆,因为用各种工具软件(如MHDD WINHEX等)都可以检测到。
我们只要知道个大概就行了:如10G的硬盘大概有2000万个扇区;20G的硬盘大概有4000万个扇区;40G的硬盘大概有8000万个扇区……那么,2G的硬盘大概有400万个扇区。
那么,你可能要问了:如果要恢复分区表,这个起始磁头号、扇区号、柱面号还有结束磁头号、扇区号、柱面号应该怎么填呢?简单得很,在后面恢复分区表的时候我会告诉你,直接填,都不用计算。
还有兴趣来分析一下D盘的EBR吗?其实D盘的EBR和E盘的EBR我们不分析也罢,因为无非也是分区表,跟MBR的结构是一样的,但却很容易把我们绕晕,又因为EBR一般不容易被破坏,所以我不建议分析EBR。
但如果你一定要分析,那就分析吧。
单击“访问”下拉按钮——“分区二”——“分区表”,直接就到1435392扇区,即D盘的分区表EBR。
第一个分区表项(D盘):第1个字节00:表示非活动分区第5个字节06:表示FAT16分区第9、10、11、12字节3F 00 00 00:本分区之前已用了的扇区数,也就是EBR的数目,63个。
第13、14、15、16字节C1 E6 15 00:本分区的总扇区数,也就是D盘的扇区数,先反过来排列就是00 15 E6 C1,转为十进制就是1435329。