您的位置:360文档中心› 用Winhex手动修复分区表以提取数据

用Winhex手动修复分区表以提取数据

合集下载

winhex数据恢复教程

winhex数据恢复教程

WinHex教程WinHex数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如Pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。数据恢复我们主要用十六进制编辑器:WinHex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘 EBR D盘 EBR E盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如

用Winhex手动修复分区表以提取大数据

用Winhex手动修复分区表以提取大数据

一、初步应用——双分区恢复实例及分析

(一)、现场重现:

提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。对于移动硬盘,损坏往往发生于硬盘传输数据中断电。现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。

(二)、手动修复:

(阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解)

1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。

2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。

现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块;

接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。将01fe,01ff填写为55AA,到这里一定保存。

点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。

打开如下图,并记录黄色方框的两个数值(63和63777986)

63+63777986+1=63778050,跳转至63778050扇区。

稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。

基于WinHex的磁盘分区数据恢复技术分析与实现

基于WinHex的磁盘分区数据恢复技术分析与实现
的数据免 遭破坏 ,如何在 硬盘 数据遭 到破坏 后迅速 恢复 ,这 就是所要探讨 的问题。 在这些数据丢失 中,有一种常见的故障,就是分区丢失。有 的是 因为重装 系统误删 了分 区,有的是病毒篡改了分区 ,导致
扩展分 区表使 用类 似链 表 的结 构来描 述分 区 ,每一 个扩 展分 区表 包含 一个 逻辑 分 区信息 和下一 个扩 展分 区表 信息 。
本数据结构信 息将会丢 失。 通过 一个 实 例分 析 M B R主引 导扇 区 。表 1是一 个磁 盘
MB R主 引导 扇 区 。 表 1 磁 盘 MB R 主 引导 扇 区
o f f s e t 0 1 2 3 4 5 6 7 8 9 A B C D E F
6 5 6 D 0 0 O 0 0 0 6 3 7 B 9 A E F C D 7 0 D7 O 0 0 0 8 0 2 0
M B R分 区的分 区表存储结构如 图 1 所示 。
0 O o o o o1 C0 2 1 O O 0 7 F E F F F F O O 0 8 0 0 0 0 0 0 O 0 4 0 O 1 0 0 F E
要使 用基 本 分 区表 和扩 展 分 区表 一起 来 完 整标 记 磁 盘 的分 区信 息 。
作 用 。计算 机 中存储 的教 学资 源数 据 ,也越 来越 极其 重 要 。
而人 为删 除 、病 毒破坏 、存 储介 质质量 缺陷 等众多 因素都 在

WinHex数据恢复教程笔记

WinHex数据恢复教程笔记

WinHex数据恢复教程笔记

WinHex是在Windows下运行的十六进制编辑软件,此软件功能非常强大。

有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;

它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。

数据恢复的前提:数据不能被二次破坏、覆盖!

数据恢复首选软件用十六进制编辑器:WinHex

MBR、EBR是分区产生的。

MBR主引导记录大小是固定的,位于整个硬盘的0柱面0磁道1扇区。共占用了63个扇区,实际只使用了1个扇区,即硬盘第一扇区中的512字节。

DBR是分区引导扇区,是由FORMAT高级格式化命令写到该扇区的内容,DBR是由硬盘的MBR装载的程序段。DBR装入内存后,即开始执行该引导程序段,其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区,但只有被设为活动分区才会被MBR装的DBR入内存运行

FAT16文件跳转指令EB 3C 90

FAT16 没有备份DBR

FAT32文件跳转指令EB 58 90

DBR备份在第6扇区有第一扇区的备份。FAT表32扇区

NTFS文件跳转指令EB 52 90

DBR备份在最后一个扇区

ntfs格式没有FAT表。

04H 分区系统标志

当该值为00H时,表示此分区为不可识别的系统;

为04H时该分区为FAT16分区;

为05H或0FH该分区为扩展分区;

为0B时该分区为FAT32分区;

F8H FFH FFH 0FH 开始的FAT表,(对于FAT16是以F8H FFH开始的),每个FAT项占32位(4个字节),FAT16的每个FAT项占16位(2个字节),

数据恢复教程用WinHex恢复分区表_高级还原数据

数据恢复教程用WinHex恢复分区表_高级还原数据
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
双击WinHex图标运行程序 图标运行程序 双击
本章主要介绍利用WinHex编辑工具进行磁盘 编辑工具进行磁盘 本章主要介绍利用 分区表修改还原数据,呈现磁盘本来面目。 分区表修改还原数据,呈现磁盘本来面目。
打开分区 表查看代 码是否正 常? 现在我们 就主要关 键点讲述。
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表
本部分的代码
是Windows系统的MBR MBR磁盘分区 MBR保留区 可以从其它机器上复制相应Windows的 MBR代码粘贴在本位置 现在我们的目的只有还原数据就可以,没有 必要顾及系统是否能登陆,所以可清除此部分 代码,接着在1B0E处开始到1F0F处,可直接 按图中的代码直接填写即可
注意: 注意:在操作之前 请备份好磁盘镜像
全部修改完毕后点击保存按钮 保存完毕后卸载磁盘 重新加载磁盘 数据已经呈现在您的眼前了 且非常完整 恭喜! 恭喜!
相关技术请查看( 恢复服务器数据) 相关技术请查看(用WinHex和R-Studio恢复服务器数据) 和 恢复服务器数据
恢复分区表_还原数据 用WinHex恢复分区表 还原数据 恢复分区表

winhex数据恢复完整图文教程.docx

winhex数据恢复完整图文教程.docx

winhex

数据恢复分:硬恢复和恢复。所硬恢复就是硬出物理性,比如有体坏道、路板芯片、体异响,等

故障,由此所致的普通用不容易取出里面数据,那么我将它修好,同又保留里面的数据或后来恢复里面的数据,

些都叫数据恢复,只不些故障有容易的和困的之分;所恢复,就是硬本身没有物理,而是由于人或者病

毒破坏所造成的数据失(比如格式化,分区),那么的数据恢复就叫恢复。

里呢,我主要介恢复,因硬恢复需要一些工具(比如pc3000, 烙,各种芯片、路板),而且需要懂一点点路基,我里所到的所有的知,涉及面广,次深,既有数据构原理,我手工准确恢复数据

提供依据,又有各种数据恢复件的使用方法及技巧,我快速恢复数据提供便利,而且所有件均网上下,不需要我投一分。

数据恢复的前提:数据不能被二次破坏、覆盖!

关于数与制:

关于二制、十六制、八制它之的我不想多,因他我数据恢复来帮助不大,而且很容易把我。如果你感趣想多了解一些,可以到百度里面去搜一下,方面料已很多了,就不需要我再多了。

数据恢复我主要用十六制器:Winhex (数据恢复首件)

我先了解一下数据构:

下面是一个分了三个区的整个硬的数据构

MBR C EBR D EBR E

MBR,即主引,位于整个硬的0 柱面 0 磁道 1 扇区,共占用了63 个扇区,但只使用了 1 个扇区( 512 字)。在共 512 字的主引中, MBR又可分三部分:第一部分:引代,占用了446 个字;第二部分:分区表,占用了 64 字;第三部分: 55AA,束志,占用了两个字。后面我要的用winhex 件来恢复分区,主要就是恢复第二部分:分区表。

探讨基于WinHex的磁盘未格式化文件提取方法

探讨基于WinHex的磁盘未格式化文件提取方法

第33卷第4期2019年7月

兰州文理学院学报(自然科学版)

J o u r n a l o fL a n z h o uU n i v e r s i t y o

fA r t s a n dS c i e n c e (N a t u r a l S c i e n c e s )V o l .33N o .4

J u l .2019

收稿日期:2019G05G10

基金项目:河南省科技攻关项目(172102210606);河南省高等学校重点科研项目(17B 520040);2018年度河南省高等学校青年骨干教师培养计划(149)作者简介:陈平(1982G),男,甘肃平凉人,讲师,硕士,研究方向:嵌入式应用技术㊁数据恢复技术.E Gm a i l :61482277@

q q

.c o m.㊀㊀文章编号:2095G6991(2019)04G0052G06

探讨基于W i n H e x 的磁盘未格式化文件

提取方法

陈㊀平1,李㊀晖2

(1.济源职业技术学院,信息工程系,河南济源459000;2.济源职业技术学院,经济管理系,河南济源459000)摘要:在日常生活中,人们经常会遇到硬盘或U 盘等存储设备磁盘未格式化的数据丢失现象,从而影响到工作和学习,有时造成非常严重的后果.本文以F A T 32㊁N T F S 和E X F A T 文件系统为例,借助底层数据编辑软件W i n G

H e x ,详细分析以上三种文件系统的D B R 结构,并在此基础上研究手工恢复硬盘数据并提取所需文件的方法.关键词:W i n H e x ;磁盘;未格式化;文件系统;恢复中图分类号:T P 301㊀㊀㊀文献标志码:A

使用WinHex手工恢复MBR Word 文档

使用WinHex手工恢复MBR Word 文档

使用WinHex手工恢复MBR

分类:硬盘

数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。

这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如

pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。

数据恢复的前提:数据不能被二次破坏、覆盖!

关于数码与码制:

关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。

数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)

我们先了解一下数据结构:

下面是一个分了三个区的整个硬盘的数据结构

MBR C盘EBR D盘EBR E盘

MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。

用WinHex手工恢复硬盘分区表

用WinHex手工恢复硬盘分区表

用WinHex手工恢复硬盘分区表

最近,PC机不能正常引导,将硬盘挂载到其它PC机上,显示硬盘未分区,结果如下图所示:

原硬盘分为4个分区,但现在显示未分区,推测是硬盘的分区表丢失,计划用WinHex工具手工恢复硬盘分区表,通过用WinHex查看分区表,果真丢失了分区表,于是利用该工具进行了恢复,成功修复硬盘。

恢复期间,参考了网上的众多资料,这些资料虽然提供了很多帮助,但感觉理论性太强,没有充分利用工具本身的优势,因此作一总结,以为新手提供帮助。为了更好的理解恢复方案,在文中增加了小知识点,如果对理论不感兴趣,可略过这些小知识点,直接参考恢复步骤即可。在此也一并感谢在网上分享资料的各位大侠。

一、查看MBR(Master Boot Record)

利用WINHEX打开硬盘的MBR,如下图所示:

从图中可见,

1、第1扇区的55AA前的64个字节全为0,表明分区表信息丢失。

2、在最上边的栏中的可以看到分区信息,包括分区名称、类型、大小、该分区的首扇区等信息,这些将帮助我们迅速地恢复硬盘分区。

小知识1:MBR(Master Boot Recorder)、DPT(Disk Partition Table)

MBR位于磁盘的第一个扇区,CHS地址是0柱面,0磁头,1扇区,共占用63个扇区,实际上只使用1扇区;其布局如下:

DPT中定义的分区包括主分区和扩展分区,主分区+扩展分区总共不能超过4个。所谓主分区是指DPT中包含能够被系统的磁盘分区,一个硬盘主分区至少有1个,最多4个,它是可以设置为活动的,即可以引导操作系统。一个硬盘只能有一个活动分区。扩展分区并不能被系统直接使用,它的作用是突破DPT中只能定义四个分区限制的,可以没有,最多1个。对于windows系统,一般分为一个主分区,一个扩展分区。(本文介绍的方法也是针对这种情况,对硬盘分区表进行恢复)。

winhex数据恢复精华(图解)

winhex数据恢复精华(图解)

winhex教程

winhex

数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。

这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如

pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。

数据恢复的前提:数据不能被二次破坏、覆盖!

关于数码与码制:

关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。

数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)

我们先了解一下数据结构:

下面是一个分了三个区的整个硬盘的数据结构

MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。

用WinHex手工恢复硬盘分区表

用WinHex手工恢复硬盘分区表

用WinHex手工恢复硬盘分区表

最近,PC机不能正常引导,将硬盘挂载到其它PC机上,显示硬盘未分区,结果如下图所示:

原硬盘分为4个分区,但现在显示未分区,推测是硬盘的分区表丢失,计划用WinHex工具手工恢复硬盘分区表,通过用WinHex查看分区表,果真丢失了分区表,于是利用该工具进行了恢复,成功修复硬盘。

恢复期间,参考了网上的众多资料,这些资料虽然提供了很多帮助,但感觉理论性太强,没有充分利用工具本身的优势,因此作一总结,以为新手提供帮助。为了更好的理解恢复方案,在文中增加了小知识点,如果对理论不感兴趣,可略过这些小知识点,直接参考恢复步骤即可。在此也一并感谢在网上分享资料的各位大侠。

一、查看MBR(Master Boot Record)

利用WINHEX打开硬盘的MBR,如下图所示:

从图中可见,

1、第1扇区的55AA前的64个字节全为0,表明分区表信息丢失。

2、在最上边的栏中的可以看到分区信息,包括分区名称、类型、大小、该分区的首扇区等信息,这些将帮助我们迅速地恢复硬盘分区。

小知识1:MBR(Master Boot Recorder)、DPT(Disk Partition Table)

MBR位于磁盘的第一个扇区,CHS地址是0柱面,0磁头,1扇区,共占用63个扇区,实际上只使用1扇区;其布局如下:

DPT中定义的分区包括主分区和扩展分区,主分区+扩展分区总共不能超过4个。所谓主分区是指DPT中包含能够被系统的磁盘分区,一个硬盘主分区至少有1个,最多4个,它是可以设置为活动的,即可以引导操作系统。一个硬盘只能有一个活动分区。扩展分区并不能被系统直接使用,它的作用是突破DPT中只能定义四个分区限制的,可以没有,最多1个。对于windows系统,一般分为一个主分区,一个扩展分区。(本文介绍的方法也是针对这种情况,对硬盘分区表进行恢复)。

winhex数据恢复完整图文教程

winhex数据恢复完整图文教程

winhex

数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。

这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。

数据恢复的前提:数据不能被二次破坏、覆盖!

关于数码与码制:

关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。

数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)

我们先了解一下数据结构:

下面是一个分了三个区的整个硬盘的数据结构

MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。

winhex数据恢复教程

winhex数据恢复教程

winhex数据恢复教程

数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。

数据恢复的前提:数据不能被二次破坏、覆盖~

关于数码与码制:

关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)

我们先了解一下数据结构:

下面是一个分了三个区的整个硬盘的数据结构

MBR C盘 EBR D盘 EBR E盘

MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR

winhex教程 硬盘 分区表

winhex教程 硬盘 分区表

winhex教程

winhex

数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。

这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如

pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。

数据恢复的前提:数据不能被二次破坏、覆盖!

关于数码与码制:

关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。

数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)

我们先了解一下数据结构:

下面是一个分了三个区的整个硬盘的数据结构

MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。

用Winhex手动修复分区表以提取数据

用Winhex手动修复分区表以提取数据

一、初步应用——双分区恢复实例及分析

(一)、现场重现:

提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。对于移动硬盘,损坏往往发生于硬盘传输数据中断电。现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。

(二)、手动修复:

(阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解)

1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。

2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。

现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块;

接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。将01fe,01ff填写为55AA,到这里一定保存。

点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。

打开如下图,并记录黄色方框内的两个数值(63和63777986)

63+63777986+1=63778050,跳转至63778050扇区。

稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框内的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。

NTFS分区格式化后用WINHEX手工提取数据一例

NTFS分区格式化后用WINHEX手工提取数据一例

这是我们这里的一同行转到我这里来的一个数据,据客户描述故障为:盘分了三个区在一次意外死机后重启电脑后客户继续死机前的工作打开最后一个区(前两个区是正常的)提示未格式化(其实大多数朋友知道这时的问题简单得多也许重建DBR后整个盘里面的数据都在,这里暂且就不谈这种问题的解决方法了),要命的是这时客户鬼使神差地点击了格式化了,结果大家当然就知道了,数据肯定是没有了。据转到我这里的那同行说他用各种搜索软件对整个区搜了好几遍(这也是大多数所谓专业的数据恢复商所用的恢复方法了),当然也搜到了很多数据,尽管很乱但还能正常打开。最后客户确认搜出来数据大部份正常,但客户最重要的的一个压缩文件损坏了,(据客户说那压缩文件是他多年搞设计购买的素材库的精华)。大家知道压缩文件损坏了是很难很难修复的了。首先我用WINHEX把他搜出来的那个压缩文件打开分析了下,文件头乱了,中间的数据也不正常。无法修复,只好从原盘着手了。竟然搜索软件搜出来的是损坏的,那就只有用手工来做了,当然用手工做这种格式化了的数据很费时,且计算量也很大,只能针对像这样的个别特重要的数据。

对原盘的那个格式化掉的分区做完镜像后,用WINHEX打开镜像,设置镜像文件为磁盘。如下图所示:

1.jpg

分区是NTFS格式的,整个分区大小为25.4G。对NTFS分区格式研究过的朋友会知道,在NTFS文件系统中,文件亦是按簇进行分配的,文件通过主文件表MFT(Master File Table)来确定其在磁盘上的存储位置、大小、属性等信息。相当于FAT系统下的FAT+FDT 的功能。每文件都有一个文件记录。其中第一个记录就是MFT自己本身。我们转到第一个

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

一、初步应用——双分区恢复实例及分析

(一)、现场重现:

提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。对于移动硬盘,损坏往往发生于硬盘传输数据中断电。现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。

(二)、手动修复:

(阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解)

1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。

2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。

现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。

操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块;

接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。将01fe,01ff填写为55AA,到这里一定保存。

点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。

打开如下图,并记录黄色方框内的两个数值(63和63777986)

63+63777986+1=63778050,跳转至63778050扇区。

稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框内的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。

接下来跳转至63778050+63=63778113扇区,我们又发现了一个EB开头的扇区

再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。打开如下图,同样记录一下黄色方框中的数值(63和92518271)

跳转至0扇区。菜单“视图”-->模板管理(Alt+F12)-->主引导记录,

打开如下图。填上如图所示的几个数据:

至于为什么是这些数据,下节会提到。填写完之后千万别忘了保存哦~

好了,在设备管理器里禁用损坏硬盘再启用。再从磁盘管理里看看结果,嗯,一切复原

看,数据都在。

过程看上去有些复杂,其实熟练的话可以控制在5分钟之内,所以它并不难~下面就看看我做了些什么,以及那些数据是怎么来的,做什么用的。

(三)、我做了什么?其实只有3步

上面所做的其实就是修复了硬盘的MBR(主引导分区记录),为什么MBR对于硬盘如此重要呢?看过我前面文章的朋友应该知道分区表就是硬盘的名单:作为一个名单当然不是姓名的简单堆砌,名单也是有分类的,比如哪些人是管理员,哪些人是学生等等~请先看一下刚才修复好的硬盘的MBR全图(注意其中用亮蓝色、黄色、绿色将512字节的分区表分为了三个部分)

硬盘的MBR在启动时大约是起到下面的一个作用:

可见作为一个MBR,必须要有以下的三个部分:446字节的启动描述;64字节的分区描述(包括分区格式、分区大小等参数);以及最后的55AA结束表示。于是,只要我们能按照一定格式和规律填写这些项目,我们就能自己制作分区表了。对于恢复分区表,我们要做的就是下面的流程:

不难发现,这其中前面的446字节的引导文件和最后添加的“55AA”标识都是ctrl+c然后ctrl+v 的事情,因此修复分区表的关键在于那64个字节的参数是如何寻找及填写的——好在我们利用Winhex自身提供的模板,再加上一点简

单的加法运算,就能非常轻松地获得这些参数。如下图,其实需要填写的参数不过8个,而且都非常有规律性:(该图很重要,它显示了那些参数是如何得来的)

上文的(3)(4)两步正是我在计算参数所在的位置,而一旦我定位准确,就调用对应的模板去查看参数,随后在(5)里填写参数(别忘了NTFS+1的问题)

至于第一行活动分区:80表示可以从这个分区启动,00表示不从这个分区启动(这个参数决定电脑能否从该分区

引导,和446字节不同,如果没有那个446字节,硬盘都无法识别了)。一般装有系统的主分区需要填写80,其他的00即可。而硬盘参数这一栏:Fat32的代码是0B,NTFS是07,扩展分区是0F~~这些边边角角都很简单,这里就不多说了~至此,分区表修复工作大功告成~~

(四)、小结

恢复原理:硬盘上的文件是链式的,可以顺藤摸瓜。此外,硬盘损坏的往往是MBR,后面各分区的虚拟MBR都完好无损,可以通过计算后面各分区的参数,逆向推出MBR的参数,从而实现硬盘的修复。

大致步骤:填写446字节引导文件-->填写64字节分区参数-->55AA结束标志-->别忘保存

所需参数:活动分区与否(80);分区类型参数(0B, 07, 0F等);各扇区大小——共计8个参数,其他参数不知道如何填写就留空。

所需时间:非常熟练的话,5分钟。

风险:因为只是对MBR这512个字节进行操作,所以即使失败,大不了重来,对硬盘上其他数据没有任何损害。建议将这512字节另存为一个文件,以后遇到MBR损坏的事件只要把备份COPY回去就是了~

二、分区表修复进阶——多分区的计算

(一)、一主分区,三逻辑分区情况下的计算

前面提到过硬盘上的分区结构是链式的,又由于MBR之后的各分区表往往保存完好,就可以利用后面的各分区MBR来逆向推导MBR的参数~请看下面的分区链式图:

在双分区的实例中,填写的参数可表示为:C盘占用扇区+D盘之前的扇区+D盘占用扇区。由于多个逻辑分区的总和算一个扩展分区(不知道什么是扩展分区和逻辑分区的可以看看我前面的那篇文章),于是多分区的参数无非是:

相关文档
最新文档