用Winhex手动修复分区表以提取数据
用WinHex直接修改磁盘分区表找回丢失的分区(另附分区表知识)MicrosoftWord文档
⽤WinHex直接修改磁盘分区表找回丢失的分区(另附分区表知识)MicrosoftWord⽂档⽤WinHex直接修改磁盘分区表找回丢失的分区(另附分区表知识)⽤WinHex直接修改磁盘分区表找回丢失的分区(另附分区表知识)1. MBR(主引导记录)and Partition Table(分区表)MBR是磁盘第⼀个扇区,CHS地址是0柱⾯,0磁头,1扇区;LBA地址是0。
布局如下:[1] 0x01FE是55,0x01FF是AA。
3. 修复过程理解了MBR和Partition Table,修复思路就很清晰了。
我的数据分区⼤概是占⽤250G硬盘的后180G,所以从硬盘头六分之⼀的位置开始,搜索分区表的明显标志0x55AA。
WinHex的⽅便的搜索功能还可以设置只搜索存在于整数倍于512字节块的末尾的0x55AA,速度快很多。
每找到⼀个最后两字节为0x55AA 的扇区,就分析4个分区表项是不是合理的,以及它所描述的分区⼤⼩,终于找到⼀个扇区,含有⼀个分区表项,⼤⼩180G,哈哈,肯定就是它了。
这个扇区肯定就是扩展分区的起始扇区,它含有的那个分区表项肯定就是它唯⼀包含的⼀个逻辑分区了。
在MBR中创建⼀条属性为扩展分区(05)的分区表项,填⼊其他相关位置信息,以描述刚才找到的这个扩展分区:CHS起始位置:⼀般是逻辑分区表项中的CHS起始位置,把磁头数改为0。
CHS结束位置:照抄逻辑分区表项中的CHS结束位置。
LBA偏移量,写⼊那个扩展分区相对磁盘起始位置的扇区偏移量。
分区⼤⼩:应该是逻辑分区表项中逻辑分区⼤⼩加上63个扇区。
存盘,运⾏Windows管理⼯具,查看磁盘信息,数据分区赫然在⽬。
:)4. 备份MBR终于找回我的电影和mp3了,激动啊。
赶紧做个备份。
MBR本来没有第⼆份拷贝,不像FAT,所以⽤winhex把MBR复制⼀份到磁盘最后⼀个扇区,这个扇区⼀般不可能被⽤到。
好了,再也不怕你硬盘掉电了。
相信听说过硬盘MBR、硬盘分区表、DBR的朋友⼀定都不少。
用Winhex手动修复分区表以提取大数据
一、初步应用——双分区恢复实例及分析(一)、现场重现:提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。
对于移动硬盘,损坏往往发生于硬盘传输数据中断电。
现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。
(二)、手动修复:(阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解)1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。
2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。
现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。
操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块;接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。
将01fe,01ff填写为55AA,到这里一定保存。
点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。
打开如下图,并记录黄色方框的两个数值(63和63777986)63+63777986+1=63778050,跳转至63778050扇区。
稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。
接下来跳转至63778050+63=63778113扇区,我们又发现了一个EB开头的扇区再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。
WINHEX手动恢复NTFS分区数据
看以看见 datarecover.jpg 的 10H 属性为 1,表示该文件正被使用
转到该图片的文件记录
可以看见 datarecover.jpg 的 10H 属性为 1,表示该文件正被使用
删除该图片重新打开软件,获取快照
查找10H 属性中 00 表示该文件已经被删除
80H 属性中 94 27 01 H 表示该文件的大小(字节) ,31 4A 61 23 07 00 ,表示该文件数据的其实簇号为 072361H, 占用的簇个数为 4AH 个 ,
下面是 72361H 转换为十进制 467809,该文件数据的其实位置是 467809 簇
12794H 转换为 75668,该文件占用的大小为 75668 字节
对于数据恢复来说,虽然文件删除后所有的数据运行都能够在残留的 MFT 中找到,但是数据运行的个数越少即 文件碎片越少或者没有碎片,文件被覆盖的可能性就越小,数据恢复的概率也就越高。以下是手工恢复 NTFS 卷 中误删除文件的过程。
打开 winhex 软件,选择工具------打开磁盘
此时可以看见元数据和 datarecover.jpg
运用上面的数据进行恢复,位置----转到簇
会跳转到数据的起始位置---右击---选块开始
位置---转到偏移地址
右击---选快结束
选中所有要恢复的数据内容后,在选中的任意块上右击,选择 “ 编辑 ”|“ 复制选块 ”|“ 进入新文件 ”
将数据保存
恢复过后的照片
手工恢复主分区表的过程
手工恢复主分区表的过程原分区是C:D:E:F:四个分区。
被重新划分为一个分区,恢复原来的状态。
用WINHEX察看主分区表如下:80 01 01 00 0B FE FF 13 3F 00 00 00 D5 29 C1 00讲一下手工恢复的过程:1,根据原分区表恢复一部分数据。
下面是根据现分区表,恢复出来的一部分数据。
问号的地方就是未知的数据。
80 01 01 00 0B FE ?F ?? 3F 00 00 00 ?? ?? ?? ??00 00 ?1 ?? 05 FE FF 13 ?? ?? ?? ?? ?? ?? ?? ??2,查找扩展分区的起始地址:用WINHEX软件查找55AA的标志位,为加快查找速度可以利用公式:偏移地址/ 8225280 余510 这个公式查找。
为了加快速度也可以跳到大致的起始地址开始查找。
通过查找得到的值是564961FEH,这个是55AA的偏移地址,减1FE就是扩展分区的起始的偏移地址:564961FEH-1FEH=56496000H上面的数很重要分区表的所有未知数都是根据这个数计算出来的。
3,计算LBA参数:根据上面计算的扩展分区的起始的偏移地址除以200H就可以得到起始的扇区数:56496000H / 200H =2B24B0H添加到分区表中可得到如下数:80 01 01 00 0B FE ?F ?? 3F 00 00 00 ?? ?? ?? ??00 00 ?1 ?? 05 FE FF 13 B0 24 2B 00 ?? ?? ?? ??根据原分区表的总容量计算扩展分区的容量:C129D5H+3FH-2B24B0H=960564H添加到分区表中可得到如下数:80 01 01 00 0B FE ?F ?? 3F 00 00 00 ?? ?? ?? ??00 00 ?1 ?? 05 FE FF 13 B0 24 2B 00 64 05 96 00将上面的扩展分区起始的扇区数减3FH就是主分区的容量:2B24B0H-3FH=2B2471H添加到分区表中可得到如下数:80 01 01 00 0B FE ?F ?? 3F 00 00 00 71 24 2B 0000 00 ?1 ?? 05 FE FF 13 B0 24 2B 00 64 05 96 004,计算CHS参数:利用扩展分区的起始的偏移地址除以7D8200H就是扩展分区的起始的磁道数。
数据恢复之硬盘分区误删除后,教你如何起死回生!
数据恢复之硬盘分区误删除后,教你如何起死回生!如果你误删除了硬盘的分区,而里面有你很重要的数据,你是否为此感到着急万分!莫着急,莫着急!今天给您介绍两种方法来使你的硬盘起死回生!第一种方法是用Winhex,第二种是用Diskgen。
当然第二种比较简单,速度也比较快,是没有数据恢复基础的人是很理想的软件。
好了,先介绍一下我的实验环境,这是从老师那拿的一块虚拟硬盘,我也不知道有几个分区?分区是什么类型的?只知道里面有数据。
而现在要把数据恢复出来。
先说第一种winhex把要恢复的硬盘挂到另外一台计算机上,磁盘1就是要目标硬盘,现在它变成了未指派,我们要把它的分区恢复原状。
打开winhex选择工具----磁盘编辑器打开硬盘1现在开始分析:因为每个硬盘的前63(0-62号)个扇区是保留给系统用的,所以我们应该从63开始进行搜索,转到63扇区按照常理现在的硬盘分区类型大多是NTFS分区,那么先观察ch28位置,发现是00 00 00 00,说明判断错误,应该是FAT分区。
则在CH20位置,发现有一组数据00 82 3E 00 ,这就告诉我们第一个分区是FAT分区,分区大小是3E8200。
注:如果是NTFS,那么在偏移CH28后的几个字节到排列加一就是NTFS分区的扇区大小.既然知道了第一个分区的大小,那么就能知道它的结束位置,以及下一个分区的开始位置。
将大小+起始-1就是第一个分区的结束位置。
即将3E8200转换成十进制加上63减去1等于4096574那么第一个分区就是从63-----4096574扇区,知道第一个的结束那么将结束加一(4096574+1=4096475)就是下一个的分区的开始。
但是,下一个分区是主分区还是扩展的分区呢?不确定,如果是下一个是扩展分区那么在55AA的前64个字节应该有一个分区表。
如果不是一个分区表,那么就是主分区。
就应该看CH28或者是CH20位置来判断是什么分区类型。
按照常理应该是个扩展的分区。
WINHEX教程图
巧用WinHex找回消失的分区数据由于我是个对磁盘空间过敏的人,每当磁盘空间少到几百兆,就会想办法删掉不用的软件,时间一长,系统会变的千疮百孔,直到有一天实在无法忍受,决定重装系统,麻烦极了。
与是想用Guest做个系统映象,没想到人世间最痛苦的事情发生了。
我有两个物理硬盘,主盘分了两个区,分别为一个C盘,一个E盘,所以把Guest这个软件放到第二个硬盘D盘的根目录下。
重起进入DOS进入到软件的画面,不管三七二十一,玩玩再说。
好奇的我直接选择第一项功能: To Disk,经过乱七八糟的英文提示后,毅然点了OK按扭,接下来两个硬盘开始狂响,我突然意识到事情不对,强行重起动后,打开资源管理器,点下D盘,发现已经空白一片了。
天哪!我的软件!我的游戏!我的一切!我浑身冒汗,好像做梦一样,早知道……咦,对了!好像WinHex有打开磁盘的功能,只要知道一些文件的开头标记,兴许能恢复一些文件。
小提示:硬盘修复是一个高危险的操作,在/YingJian/200808/107.ht m一文中介绍了硬盘主引导记录等多种不同故障的处理方法,希望对大家有所参考。
幸好WinHex装到C盘上了,启动后选“OpenDisk”打开D盘,在WinHex子窗口的表格内共有三个列,最左边的是偏移值,相当于行号;中间显示的是16进制代码,右边是每组代码对应显示的文字。
因为无论是那种格式的文件开头都会有特定的标记,所以只要知道对应的代码就能知到文件的类型。
由于我D盘上大部分是RAR压缩格式的文件,所以我先用WinRar创建一个RAR文件,再用WinHex打开,在右边开头显示出Rar!字样(图1),对应的16进制的值就是“52 61 72 21”,一同选中后按“Ctrl+Shift+C”把这串代码复制到剪贴板,然后切换到刚才打开D盘的窗口,依次选择“Search >> Find Hex Values”,按“Ctrl+V”或在输入框内点右键选择“粘贴”,确认无误后点“OK”开始搜索。
WinHex手工恢复分区
WinHex手工恢复分区数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如Pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:WinHex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
数据恢复教程用WinHex恢复分区表_高级还原数据
全部修改完毕后点击保存按钮 保存完毕后卸载磁盘 重新加载磁盘 数据已经呈现在您的眼前了 且非常完整 恭喜! 恭喜!
相关技术请查看( 恢复服务器数据) 相关技术请查看(用WinHex和R-Studio恢复服务器数据) 和 恢复服务器数据
打开分区 表查看代 码是否正 常? 现在我们 就主要关 键点讲述。
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
本部分的代码
是Windows系统的MBR MBR磁盘分区 MBR保留区 可以从其它机器上复制相应Windows的 MBR代码粘贴在本位置 现在我们的目的只有还原数据就可以,没有 必要顾及系统是否能登陆,所以可清除此部分 代码,接着在1B0E处开始到1F0F处,可直接 按图中的代码直接填写即可
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
此处可在该分区的DBR中找到完全对应代码,也可用下个分区的EBR扇区 位置减去本分区的DBR扇区位置再减去1就可算出本分区占用的扇区总数
在O扇区的此处可直接按图中填写
此处为 扩展分区 代码: 前8字节 8 可按00 00 C1 FF OF FE FF FF 直接填写 后8字节 要计算
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
打开第二个分区表EBR 查看EBR代码
本部分代码按图直接填写 下一个扩展分区表项
本分区的扇区总数 按前述方法填写
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
使用winhex来恢复数据的方法
使用winhex来恢复数据的方法一、数据丢失的痛与恢复的希望。
1.1 数据丢失那可真是个让人头疼的事儿啊。
不管是误删了重要文件,还是硬盘出了故障,感觉就像丢了宝贝一样心急如焚。
不过呢,先别慌,咱还有winhex这个得力助手。
1.2 winhex就像是数据世界里的神奇小魔杖。
它功能强大,能在看似绝望的数据丢失状况下,给我们带来恢复数据的曙光。
二、winhex初了解。
2.1 winhex是啥呢?简单说,它就是一款专门用来处理十六进制数据的软件。
这听起来有点高大上,但实际操作起来也没那么难。
就像学骑自行车,一开始觉得难,上手了就顺溜了。
2.2 你得先把winhex安装好。
这就好比给战士配上武器,安装过程也不复杂,按照提示一步步来就行,别像没头苍蝇似的乱点。
三、开始用winhex恢复数据。
3.1 打开winhex后,首先要做的就是找到你丢失数据的存储设备。
这就如同在茫茫大海里寻找一艘沉船,得找准目标。
比如说你的数据在硬盘里丢了,那就找到对应的硬盘分区。
这一步可不能马虎,要是找错了地儿,那可就是竹篮打水一场空了。
3.2 接下来就是重头戏了。
winhex有个很厉害的功能叫磁盘克隆。
这就像做备份一样,把有问题的磁盘克隆一份。
这时候你得小心翼翼的,就像捧着个易碎的瓷器。
因为这个过程要是出了岔子,那恢复数据就更难了。
克隆完成后,就可以在克隆的副本上进行数据恢复操作。
3.3 查找丢失的数据片段。
这有点像大海捞针,但winhex有它的办法。
它可以通过分析十六进制数据的特征,找到那些可能是你丢失文件的部分。
这就要求你得有点耐心,心急吃不了热豆腐嘛。
有时候可能要花费一些时间去比对和查找,但只要坚持,往往就能找到那些“失踪”的数据。
3.4 恢复数据的时候,也要注意一些细节。
比如说数据的完整性,可不能只恢复个半拉子工程。
要确保恢复出来的数据是可用的,就像检查一件修好的东西是不是真的修好了一样。
四、数据恢复后的检查与预防。
4.1 数据恢复成功后,可别以为就万事大吉了。
NTFS文件系统中用WinHex手动恢复文件的研究
NTFS文件系统中用WinHex手动恢复文件的研究概要在使用Windows操作系统的过程中,我们有时会遇到文件意外删除、磁盘损坏或者格式化等问题,导致重要文件丢失的情况。
虽然Windows系统提供了回收站和一些自带的恢复工具,但有些情况下,这些方法并不能完全满足我们的需求。
在这种情况下,我们可以使用数据恢复工具来尝试手动恢复丢失的文件。
本文将介绍如何使用WinHex手动恢复丢失的文件,以及在NTFS文件系统中进行这一操作的详细步骤和注意事项。
步骤步骤一:安装和打开WinHex我们需要下载并安装WinHex软件。
安装完成后,打开WinHex程序。
在打开程序后,我们将看到一个界面,该界面可以用于打开磁盘、映像文件或者逻辑驱动器。
步骤二:选择目标磁盘或映像文件在WinHex界面中,我们需要选择目标磁盘或映像文件,以便对其进行数据恢复。
在此步骤中,我们需要确保选择的是NTFS文件系统的磁盘或映像文件,以便在接下来的操作中进行文件恢复。
步骤三:搜索丢失的文件在选择了目标磁盘或映像文件后,我们可以使用WinHex的搜索功能来查找丢失的文件。
在搜索框中输入文件名或关键词,然后点击“搜索”按钮,WinHex将开始搜索目标磁盘或映像文件中与关键词匹配的文件。
在搜索到需要恢复的文件后,我们可以将其标记为需要恢复的文件,并保存到指定的位置。
步骤四:恢复文件在标记了需要恢复的文件后,我们可以点击“恢复”按钮来进行文件恢复操作。
在恢复文件的过程中,我们需要注意选择恢复文件的保存位置,并确保该位置具有足够的空间来保存恢复的文件。
注意事项在使用WinHex手动恢复NTFS文件系统中的文件时,我们需要注意以下几个问题:2. 小心操作:在使用WinHex手动恢复文件时,我们需要小心操作,避免对目标磁盘或映像文件造成进一步损坏。
结论在使用NTFS文件系统时,我们可能会遇到文件丢失的情况。
在这种情况下,我们可以使用WinHex手动恢复丢失的文件。
用Winhex手工恢复MBR
用winhex手工恢复MBR数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
用WinHex手工恢复硬盘分区表
用WinHex手工恢复硬盘分区表最近,PC机不能正常引导,将硬盘挂载到其它PC机上,显示硬盘未分区,结果如下图所示:原硬盘分为4个分区,但现在显示未分区,推测是硬盘的分区表丢失,计划用WinHex工具手工恢复硬盘分区表,通过用WinHex查看分区表,果真丢失了分区表,于是利用该工具进行了恢复,成功修复硬盘。
恢复期间,参考了网上的众多资料,这些资料虽然提供了很多帮助,但感觉理论性太强,没有充分利用工具本身的优势,因此作一总结,以为新手提供帮助。
为了更好的理解恢复方案,在文中增加了小知识点,如果对理论不感兴趣,可略过这些小知识点,直接参考恢复步骤即可。
在此也一并感谢在网上分享资料的各位大侠。
一、查看MBR(Master Boot Record)利用WINHEX打开硬盘的MBR,如下图所示:从图中可见,1、第1扇区的55AA前的64个字节全为0,表明分区表信息丢失。
2、在最上边的栏中的可以看到分区信息,包括分区名称、类型、大小、该分区的首扇区等信息,这些将帮助我们迅速地恢复硬盘分区。
小知识1:MBR(Master Boot Recorder)、DPT(Disk Partition Table)MBR位于磁盘的第一个扇区,CHS地址是0柱面,0磁头,1扇区,共占用63DPT中定义的分区包括主分区和扩展分区,主分区+扩展分区总共不能超过4个。
所谓主分区是指DPT中包含能够被系统的磁盘分区,一个硬盘主分区至少有1个,最多4个,它是可以设置为活动的,即可以引导操作系统。
一个硬盘只能有一个活动分区。
扩展分区并不能被系统直接使用,它的作用是突破DPT中只能定义四个分区限制的,可以没有,最多1个。
对于windows系统,一般分为一个主分区,一个扩展分区。
(本文介绍的方法也是针对这种情况,对硬盘分区表进行恢复)。
其做法:定义完主分区之后,将多余的容量定义为扩展分区,指定该分区的起始位置,根据起始位置指向硬盘的某一扇区,称作扩展MBR(EBR),在其中定义下一个分区表。
实验2 手工恢复硬盘分区表
手工恢复硬盘分区表实验步骤:1、模仿分区表被病毒破坏的情况,将MBR全部填零。
首先将MBR所在的扇区选中。
鼠标指向第一个字节,单击右键,选择“选块开始” ,然后鼠标指向MBR的最后一个字节,单击右键,选择“选块结尾”;在选区内部单击鼠标右键,选择“编辑”,这样就有出来一个菜单,选“填充选块”,这样就出来一个填充选块对话框,在“用十六进制填充”的输入框中输入“00”,再点“确定”,这样MBR所在扇区全部被我们填充为“00”。
如果想取消选区,那就用鼠标拖动随便选中一块区域,那么原来的选区就会取消。
注意,如果扇区数据被修改了而没有存盘就会变为别的颜色。
2、修改了扇区,这时候还没有存盘生效,如果你想存盘生效的话,就选择“文件”菜单“保存扇区”命令。
存盘后,扇区被修改的数据又变为黑色。
3、这样分区表给删除了,但必须重新启动才能生效,如果打开我的电脑,会发现三个分区(F 、G、H)还在那里,并且里面的数据还能正常使用。
关闭所有程序将电脑重新启动……4、再打开Winhex发现MBR全部为零了,下面我们就着手开始手工恢复分区表。
5、首先恢复引导代码,用Winhex到别的系统盘把引导代码复制过来。
现在的机器上应该挂着两个硬盘。
从系统盘上复制引导代码到实验盘。
单击“磁盘编辑器”按钮,出现“编辑磁盘”对话框,选择“HD0”,点“确定”。
这样我们就把系统盘的分区表给打开了,注意,现在我们是打开了两个窗口,当前的窗口是“硬盘0”,在标题栏上有显示。
另外,打开窗口菜单也能看出来,当前窗口被打上一个勾,如果想切换回原来的窗口,就点击“硬盘1”。
首先选中系统盘的引导代码,然后在选区中单击鼠标右键,选“编辑”。
又出来一个菜单,然后我们选“复制选块”——“正常”,然后切换回硬盘1窗口,在零扇区的第一个字节处单击鼠标右键,选“编辑”,然后选“剪贴板数据”——“写入……”,出现一个窗口提示,点“确定”。
这样,我们就把一个正常系统盘上的引导代码复制过来了。
手工恢复分区
第二个区大小是:28676025
28676025+16386300=45062325
这个就是第三个区的开始了
开始标志是EB 52 90符合NTFS的特征
找到分区表
复制分区表
转到0扇区MBR中,把分区表暂存在1扇区中
先把分区的开始复制粘贴进去
再把分区的大小复制进去
最后点确定
找到一个55AA了
4个了 Biblioteka 太慢了,先中断吧 今天是1月17日,但是,搜索结果里面,有2011年的记录,所以,里面的记录很乱,我们先删除所有记录,再重新搜索吧。
转到最前面来搜索
刚才看到的搜索结果,结束标志是55AA
但是,开始标志是 C9 94 AF不符合DBR的特征
所以,这个不是DBR
找到了一个13.7G的分区,里面也是客户的图片,而且都能看到,所以,也要保留。
16.8G的分区,是客户的照片,也要保留
这样就轻松恢复了原来的分区,只要点保存分区表,分区就恢复成功了。
用软件恢复的优点是:简单,方便,快速
缺点是:体现不了你牛X的技术,还有就是,硬盘容量比较大的时候,软件恢复会比较慢。
要记得NTFS分区中,MBR的大小要比DBR多1
所以,8F要加一
等于多少呢?很多人不会算,我们就用计算器吧
把痕迹去掉,再存盘看看吧。
全部恢复成功
演示结束。。。。。。。。。。。。。。。。。。
下面我们来搜索55AA
要点这个查找16进制数值的菜单,不要找文本
搜索的数值是 55AA
向硬盘的后面查找
偏移计算中,512的意思是,一个扇区有512字节,后面的510的意思是,从第510字节开始找,也就是扇区前面的字节不用找,因为,只有最后两个字节,才是结束标志。
用WinHex手工恢复硬盘分区表
用WinHex手工恢复硬盘分区表最近,PC机不能正常引导,将硬盘挂载到其它PC机上,显示硬盘未分区,结果如下图所示:原硬盘分为4个分区,但现在显示未分区,推测是硬盘的分区表丢失,计划用WinHex工具手工恢复硬盘分区表,通过用WinHex查看分区表,果真丢失了分区表,于是利用该工具进行了恢复,成功修复硬盘。
恢复期间,参考了网上的众多资料,这些资料虽然提供了很多帮助,但感觉理论性太强,没有充分利用工具本身的优势,因此作一总结,以为新手提供帮助。
为了更好的理解恢复方案,在文中增加了小知识点,如果对理论不感兴趣,可略过这些小知识点,直接参考恢复步骤即可。
在此也一并感谢在网上分享资料的各位大侠。
一、查看MBR(Master Boot Record)利用WINHEX打开硬盘的MBR,如下图所示:从图中可见,1、第1扇区的55AA前的64个字节全为0,表明分区表信息丢失。
2、在最上边的栏中的可以看到分区信息,包括分区名称、类型、大小、该分区的首扇区等信息,这些将帮助我们迅速地恢复硬盘分区。
小知识1:MBR(Master Boot Recorder)、DPT(Disk Partition Table)MBR位于磁盘的第一个扇区,CHS地址是0柱面,0磁头,1扇区,共占用63个扇区,实际上只使用1扇区;其布局如下:DPT中定义的分区包括主分区和扩展分区,主分区+扩展分区总共不能超过4个。
所谓主分区是指DPT中包含能够被系统的磁盘分区,一个硬盘主分区至少有1个,最多4个,它是可以设置为活动的,即可以引导操作系统。
一个硬盘只能有一个活动分区。
扩展分区并不能被系统直接使用,它的作用是突破DPT中只能定义四个分区限制的,可以没有,最多1个。
对于windows系统,一般分为一个主分区,一个扩展分区。
(本文介绍的方法也是针对这种情况,对硬盘分区表进行恢复)。
其做法:定义完主分区之后,将多余的容量定义为扩展分区,指定该分区的起始位置,根据起始位置指向硬盘的某一扇区,称作扩展MBR(EBR),在其中定义下一个分区表。
用Winhex手动修复分区表以提取数据
一、初步应用——双分区恢复实例及分析(一)、现场重现:提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。
对于移动硬盘,损坏往往发生于硬盘传输数据中断电。
现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。
(二)、手动修复:(阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解)1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。
2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。
现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。
操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块;接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。
将01fe,01ff填写为55AA,到这里一定保存。
点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。
打开如下图,并记录黄色方框内的两个数值(63和63777986)63+63777986+1=63778050,跳转至63778050扇区。
稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框内的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。
接下来跳转至63778050+63=63778113扇区,我们又发现了一个EB开头的扇区再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。
winhex数据恢复教程
winhex数据恢复教程
WinHex是一款功能强大的数据恢复工具,可以帮助用户恢复
误删除、格式化、损坏等原因导致的丢失数据。
下面是一份WinHex数据恢复的简单教程,帮助你快速恢复丢失的数据。
1. 首先,打开WinHex软件。
2. 在WinHex主界面中,点击菜单栏上的"打开"按钮,选择需
要恢复数据的驱动器或存储设备。
3. 在弹出的对话框中,选择"物理设备"选项,并点击"确定"按钮。
4. WinHex将扫描选定设备并显示其中的数据。
5. 在数据窗口中,可以看到被删除的文件或损坏的文件系统排列在一起。
6. 在右侧的导航窗口中,选择需要恢复的文件或文件夹,并将其拖放到一个新的位置,例如桌面。
7. WinHex将尝试恢复选定的文件或文件夹,并将其保存到目
标位置。
8. 等待恢复过程完成,恢复成功后将显示恢复的文件或文件夹。
注意:
- 在进行数据恢复操作前,请确保已选择正确的设备。
选择错误设备可能会导致数据丢失。
- WinHex提供了强大的数据恢复功能,但并不能恢复所有丢失的数据。
在某些情况下,数据可能已经被覆盖或损坏,无法完全恢复。
- 如果你对数据恢复操作不熟悉,建议先在副本上进行操作,以防止意外损坏原始数据。
希望这个简单的WinHex数据恢复教程对你有所帮助,祝你成功恢复丢失的数据!。
如何使用WINHEX进行数据恢复
如何使用WINHEX进行数据恢复Winhex有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装Winhex,安装完了就可以启动winhex了,启动后,首先出现的是启动中心对话框。
这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。
这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。
这些情况对把握整个硬盘的情况非常有帮助。
另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。
(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。
分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C 盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)字节位置内容及含义第1字节引导标志。
NTFS分区格式化后用WINHEX手工提取数据一例
这是我们这里的一同行转到我这里来的一个数据,据客户描述故障为:盘分了三个区在一次意外死机后重启电脑后客户继续死机前的工作打开最后一个区(前两个区是正常的)提示未格式化(其实大多数朋友知道这时的问题简单得多也许重建DBR后整个盘里面的数据都在,这里暂且就不谈这种问题的解决方法了),要命的是这时客户鬼使神差地点击了格式化了,结果大家当然就知道了,数据肯定是没有了。
据转到我这里的那同行说他用各种搜索软件对整个区搜了好几遍(这也是大多数所谓专业的数据恢复商所用的恢复方法了),当然也搜到了很多数据,尽管很乱但还能正常打开。
最后客户确认搜出来数据大部份正常,但客户最重要的的一个压缩文件损坏了,(据客户说那压缩文件是他多年搞设计购买的素材库的精华)。
大家知道压缩文件损坏了是很难很难修复的了。
首先我用WINHEX把他搜出来的那个压缩文件打开分析了下,文件头乱了,中间的数据也不正常。
无法修复,只好从原盘着手了。
竟然搜索软件搜出来的是损坏的,那就只有用手工来做了,当然用手工做这种格式化了的数据很费时,且计算量也很大,只能针对像这样的个别特重要的数据。
对原盘的那个格式化掉的分区做完镜像后,用WINHEX打开镜像,设置镜像文件为磁盘。
如下图所示:1.jpg分区是NTFS格式的,整个分区大小为25.4G。
对NTFS分区格式研究过的朋友会知道,在NTFS文件系统中,文件亦是按簇进行分配的,文件通过主文件表MFT(Master File Table)来确定其在磁盘上的存储位置、大小、属性等信息。
相当于FAT系统下的FAT+FDT 的功能。
每文件都有一个文件记录。
其中第一个记录就是MFT自己本身。
我们转到第一个文件记录也就是MFT了直接点可以看到如下图所示:2.jpg通过第一个文件记录往下观察发现格式化了后对文件记录没有产生破坏。
那么这时我们就可以有一个恢复的思路了:找客户所说的那个压缩文件的在MFT中的记录,再通过对文件记录的分析来确定文件在磁盘中的位置及大小,就可以直接从中提出文件了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、初步应用——双分区恢复实例及分析(一)、现场重现:提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。
对于移动硬盘,损坏往往发生于硬盘传输数据中断电。
现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。
(二)、手动修复:(阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解)1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。
2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。
现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。
操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块;接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。
将01fe,01ff填写为55AA,到这里一定保存。
点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。
打开如下图,并记录黄色方框内的两个数值(63和63777986)63+63777986+1=63778050,跳转至63778050扇区。
稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框内的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。
接下来跳转至63778050+63=63778113扇区,我们又发现了一个EB开头的扇区再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。
打开如下图,同样记录一下黄色方框中的数值(63和92518271)跳转至0扇区。
菜单“视图”-->模板管理(Alt+F12)-->主引导记录,打开如下图。
填上如图所示的几个数据:至于为什么是这些数据,下节会提到。
填写完之后千万别忘了保存哦~好了,在设备管理器里禁用损坏硬盘再启用。
再从磁盘管理里看看结果,嗯,一切复原看,数据都在。
过程看上去有些复杂,其实熟练的话可以控制在5分钟之内,所以它并不难~下面就看看我做了些什么,以及那些数据是怎么来的,做什么用的。
(三)、我做了什么?其实只有3步上面所做的其实就是修复了硬盘的MBR(主引导分区记录),为什么MBR对于硬盘如此重要呢?看过我前面文章的朋友应该知道分区表就是硬盘的名单:作为一个名单当然不是姓名的简单堆砌,名单也是有分类的,比如哪些人是管理员,哪些人是学生等等~请先看一下刚才修复好的硬盘的MBR全图(注意其中用亮蓝色、黄色、绿色将512字节的分区表分为了三个部分)硬盘的MBR在启动时大约是起到下面的一个作用:可见作为一个MBR,必须要有以下的三个部分:446字节的启动描述;64字节的分区描述(包括分区格式、分区大小等参数);以及最后的55AA结束表示。
于是,只要我们能按照一定格式和规律填写这些项目,我们就能自己制作分区表了。
对于恢复分区表,我们要做的就是下面的流程:不难发现,这其中前面的446字节的引导文件和最后添加的“55AA”标识都是ctrl+c然后ctrl+v 的事情,因此修复分区表的关键在于那64个字节的参数是如何寻找及填写的——好在我们利用Winhex自身提供的模板,再加上一点简单的加法运算,就能非常轻松地获得这些参数。
如下图,其实需要填写的参数不过8个,而且都非常有规律性:(该图很重要,它显示了那些参数是如何得来的)上文的(3)(4)两步正是我在计算参数所在的位置,而一旦我定位准确,就调用对应的模板去查看参数,随后在(5)里填写参数(别忘了NTFS+1的问题)至于第一行活动分区:80表示可以从这个分区启动,00表示不从这个分区启动(这个参数决定电脑能否从该分区引导,和446字节不同,如果没有那个446字节,硬盘都无法识别了)。
一般装有系统的主分区需要填写80,其他的00即可。
而硬盘参数这一栏:Fat32的代码是0B,NTFS是07,扩展分区是0F~~这些边边角角都很简单,这里就不多说了~至此,分区表修复工作大功告成~~(四)、小结恢复原理:硬盘上的文件是链式的,可以顺藤摸瓜。
此外,硬盘损坏的往往是MBR,后面各分区的虚拟MBR都完好无损,可以通过计算后面各分区的参数,逆向推出MBR的参数,从而实现硬盘的修复。
大致步骤:填写446字节引导文件-->填写64字节分区参数-->55AA结束标志-->别忘保存所需参数:活动分区与否(80);分区类型参数(0B, 07, 0F等);各扇区大小——共计8个参数,其他参数不知道如何填写就留空。
所需时间:非常熟练的话,5分钟。
风险:因为只是对MBR这512个字节进行操作,所以即使失败,大不了重来,对硬盘上其他数据没有任何损害。
建议将这512字节另存为一个文件,以后遇到MBR损坏的事件只要把备份COPY回去就是了~二、分区表修复进阶——多分区的计算(一)、一主分区,三逻辑分区情况下的计算前面提到过硬盘上的分区结构是链式的,又由于MBR之后的各分区表往往保存完好,就可以利用后面的各分区MBR来逆向推导MBR的参数~请看下面的分区链式图:在双分区的实例中,填写的参数可表示为:C盘占用扇区+D盘之前的扇区+D盘占用扇区。
由于多个逻辑分区的总和算一个扩展分区(不知道什么是扩展分区和逻辑分区的可以看看我前面的那篇文章),于是多分区的参数无非是:C盘占用扇区+扩展分区前的扇区+(逻辑分区D+逻辑分区E+……),总体来讲还是3大块。
由于分区软件的不同,分区前的保留扇区可能有所不同~比如下图的这块硬盘,采用了diskpart进行分区,分区前的保留扇区达到了2048个而不是常见的63个。
记录C盘占用的扇区数为79871999。
由于这是在NTFS模板中查看的信息,所以在做跳转时需要+1,即跳转到2048+79871999+1=79874048扇区。
由于这是一个“虚拟MBR”,它仍然拥有部分MBR特征,所以我们可以调用“主分区引导模板”来查看这个分区的信息。
可以看到这里的分区信息有两项,相对于上一个实例多了一个“05”分区表示标识,不过这个05标识我们先不用管它。
直接看第一项的两个参数为2048、167772160。
接下来跳转至79874048+2048+167772160=247648256扇区(由于这是在“主引导记录”模板里查看的,所以不需要+1),并调用“主引导扇区”模板查看E盘的信息。
记录两个数值为2048、167772160,注意这个分区仍然有“05”标识。
向下跳转到247648256+2048+167772160=415422464扇区。
到这里,分区信息当中只有一项而没有“05”标识,于是可判定这就是整个扩展分区中的最后一个分区。
记录其信息2048、209715200。
如果觉得混乱,不妨列出下面这样一个表:由上面的数据不难算出扩展分区的总扇区数为:(2048+167772160)+(2048+167772160)+(2048+209715200)=545265664。
C盘主分区的参数为:保留分区2048,C盘本身占用79872000,于是扩展分区之前的总分区数为2048+79872000=79874048。
最后需要填写的参数:注意这个硬盘装有系统,于是第一分区表项填为80,分区格式代码为07(NTFS);第二分区不作为引导区,为00,由于是扩展分区,分区格式代码为0F(扩展分区)。
其他参数上面皆已算出,直接填入即可。
此外由于现在硬盘容量很大,原来的“开始头、扇区、柱面”这几个参数已经不足以表达如此大的数字,所以如果不知道这几个数字如何填写就放在那不去管它,默认为00。
另一方面,本例不同于前例。
前例由于制图需要,是挨个通过MBR或虚拟MBR寻找NTFS引导扇区的位置并调用NTFS模板查看分区信息;而本例中除了在第一分区调用了NTFS模板以寻找扩展分区起始位置以外,其他的分区只在虚拟MBR中调用了“主引导记录”模板。
熟练之后可以多采用后面一种方式以节省时间。
(二)、“05”标识是怎么回事?由于虚拟MBR一般不会被破坏,所以多分区计算中,我们不去管那个“05”标识也可以完成参数的计算。
不过考虑到喜欢刨根问底的一部分朋友的需要,这里补充一个小节用于讲解MBR或虚拟MBR中分区参数的精细结构。
首先要更正一下虚拟MBR的说法:为了能在硬盘上分出多于4个分区,我们引入了扩展分区的概念,N个扩展分区的分区表的信息组合起来成为MBR中的扩展分区项。
这种特殊的分区表结构在本节中将不再被称为“虚拟MBR”,而采用EBR(Extended Boot Record也称作扩展MBR)进行代替。
以上面320G硬盘的分区表为例,该硬盘中存在一个主分区和一个扩展分区,而这个扩展分区下面包含三个逻辑分区。
而仅从MBR来看,其中仅包含了C盘的信息和整个扩展分区的信息,那么,电脑如何判断扩展分区里的每个逻辑分区有多大?每个逻辑分区各处于扩展分区的什么位置?很显然,仅凭整体的扩展分区信息不能回答上述问题,所以EBR担负着两个任务:一是描述该分区本身的大小、格式、保留空间等信息(这一点和MBR很类似);二是,在扩展分区内部“划清界限”,即描述自身和其他逻辑分区的位置关系。
前者的代码采用对应的分区格式代码(如0B, 07等,但是没有0F,0F是“整体扩展分区”的参数,不是逻辑盘的参数);后者采用“05”这个特殊标识用以“表明身份”。
如果用图示来表示“05”标识的作用,基本上就是下面这个样子:可以推断,如果还有G盘的话,那么F盘的05标识项就是:前者表示D+E+F盘大小,后者表示G盘大小,而G 盘就没有05标识了。
至此,逻辑分区在扩展分区内的定位问题得到完美解决。
最后补充一张图用以说明16个字节的分区参数含义(64字节表示4个分区,故每个分区占用16个字节)(三)、小结在修复过程中建议利用表格使分区链表变得清晰。
主引导记录模板中的分区不需要加减,从NTFS模板移动至主引导记录中需要+1。
05标识用于扩展分区内部的逻辑分区的定位。
起始磁盘头等信息现在基本停用。
占用扇区数最多为FF FF FF FF,每个扇区占用512个字节,计算下来每个分区最大容量为2047G。