用WinHex修复损坏的复合文档文件头

用WinHex修复损坏的复合文档文件头用WinHex修复损坏的复合文档文件头说明：1、本教程仅仅针对复合文档（比如Word、Excel等）的文件头损坏后的修复.2、请允许我假设你已经了解复合文档的结构，至少你能知道复合文档中的一些术语（比如：SAT、SSAT MSAT、标准流、短流等），否则，请你弥补相关知识后继续阅读本教程（以前我曾发过一个相关内容的帖子：/viewthread.php?tid=37559extra=&page=1 )3、这个教程中涉及到的文档样本大家可以到/thread-40685-1-1.html中下载.4、网上这方面的资料很少，所以本教程中有的名词是自己“命名”的，因此，相关名词请只在本教程中使用和理解！！如有不明白之处，可以相互交流（我的QQ：409133413）现象打开这个文档时出现乱码（如图）：分析数据用WinHex打开这个文档，如下图：分析：这个文档的文件头损坏了，继续分析后面的内容损坏没有，现在把这个文档设置为磁盘（如图），复合文档在储存数据的最小单位是块（一个块是512个字节，相当于一个扇区的数据，所以有时我们也把它称为扇区），这样操作后看到的数据可以以一个扇区的形式呈现，便于分析和手工重建。

经过分析数据发现，这个文档好像只有第0扇区的数据完全破坏了，这个扇区的内容是复合文档的文件头内容，网上有恢复复合文档文件头的视频教程（这个论坛上就有！！），好像就是把一个正常的复合文档的前几行数据复制一下就行了，从理论上讲恢复的成功率极小，几乎是0。

因为复合文档的结构和FAT文件系统极其相似，但比它还要复杂一些（涉及到短流、SSAT和MSAT），复合文档的文件头相当于FAT文件系统中的DBR，有很多参数是要根据文件的具体数据进行相应的修改。

下图中红底黑字部分描述的就是一般要修改的内容（有7处，小的文档一般只改其中的5处），其它部分可以用一个正常的复合文档的相应数据代替。

最近学习了复合文档的格式,在修复复合文档头方面做了不少实践,有了一些心得,经过梳理,做了个例子,把思路和过程介绍给大家,希望能解决你的不时之需!例子中用的文件如下图：名为“实验文档”，是个空文档，里面没有内容，看属性，10，752字节，刚好21扇区，复合文档的文件大小一定是512字节的整数倍，这跟复合文档的设计有关系。

EXCEL，PPT等文件也属于复合文档，也符合这样的特点。

后来我又想，可能有网友会对修复后的文件产生怀疑，没有内容的文件可能说明不了问题，所以我在文件中输入了很短的文本内容！如下图：实验文档是一个正常的文件，另外我用Winhex把该文件的文件头（前面512字节）全部写成了0，最彻底的破坏，保存为“损坏的实验文档”，大家可以用现有的修复软件试一下，能不能修复，我用EasyRecovery Professional没有修复成功！其它的软件没有试过！下面，就请大家跟我一起看，如何把“损坏的实验文档”修复成功！先介绍用到的工具软件Winhex,功能很强大，可以用二进制的方式打开文件，并进行编辑，保存！该软件不仅可以打开文件，还可以打开硬盘，对硬盘数据进行编辑，搜索功能什分强大，用起来非常方便，同时支持脚本，提供API函数。

软件界面如下图：用该软件打开“实验文档”和“损坏的实验文档”，可以对比一下前512字节，为了便于操作，我们需要将文件解释为硬盘，让软件以扇区的方式显示文件内容，看起来直观些！两个文件的在软件里显示如下图：可见，“损坏的实验文档”前面的512字节全是0，文件头被全部破坏，文件无法用office打开！复合文档文件头的定义：Offset Size Contents0 8 复合文档文件标识：D0H CFH11HE0HA1HB1H1AHE1H8 16 此文件的唯一标识(不重要, 可全部为0)24 2 文件格式修订号 (一般为003EH)26 2 文件格式版本号(一般为0003H)28 2 字节顺序规则标识(见3.2):：FEH FFH= Little-EndianFFH FEH= Big-Endian30 2 复合文档中sector的大小(ssz)，以2的幂形式存储, sector实际大小为s_size = 2ssz字节(一般为9即512字节, 最小值为7即128字节)32 2 short-sector的大小(见5.1)，以2的幂形式存储, short-sector实际大小为s_s_size = 2sssz字节(一般为6即64字节，最大为sector 的大小)34 10 Not used44 4 用于存放扇区配置表（SAT）的sector总数48 4 用于存放目录流的第一个sector的SID (见6)52 4 Not used56 4 标准流的最小大小(一般为4096 bytes), 小于此值的流即为短流。

NTFS文件系统中用WinHex手动恢复文件的研究NTFS文件系统是Windows操作系统中常见的文件系统格式，它具有高效的性能和强大的功能。

有时候我们不可避免地会遇到意外删除文件或者文件损坏的情况。

这时候，我们就需要用一些工具来手动恢复这些文件，比如WinHex。

本文将讨论使用WinHex手动恢复NTFS文件系统中的文件的研究。

一、WinHex介绍WinHex是一款功能强大的十六进制编辑和磁盘编辑软件，它可以用于计算机取证、恢复丢失的文件、编辑磁盘/内存/虚拟机、拷贝/克隆/映像化存储介质等。

它支持大多数主流的文件系统，包括NTFS、FAT、ext系列等。

WinHex提供了丰富的工具和功能，可以灵活地进行数据恢复和编辑。

二、NTFS文件系统结构1. MFT（Master File Table）：主文件表是NTFS文件系统的核心数据结构，它包含了文件系统中所有文件和目录的元数据信息。

每个文件都有一个对应的记录项在MFT中。

3. 分区表（Partition Table）：分区表记录了磁盘上各个分区的信息，包括分区的起始位置、大小等。

4. 日志文件（Log File）：NTFS文件系统中有一个日志文件，用来记录文件系统的变化，以确保数据的完整性。

5. 文件数据区（File Data Area）：文件数据区保存了文件的实际数据内容。

在实际操作中，当我们需要手动恢复NTFS文件系统中的文件时，可以通过以下步骤使用WinHex进行操作：1. 打开目标磁盘我们需要打开包含被删除或损坏文件的目标磁盘。

在WinHex中，我们可以通过选择“打开”功能，选择目标磁盘进行打开。

2. 寻找MFT在目标磁盘中，我们需要寻找并定位到MFT的位置。

MFT通常在磁盘的起始位置，我们可以通过搜索MFT标志来快速定位到MFT的开始位置。

3. 查找文件记录项一旦我们找到了MFT的位置，我们就可以根据文件的名称或者其他属性来查找对应的文件记录项。

U盘双重破坏之数据恢复一朋友拿一U盘跑来诉苦：“文件都打不开了，看大小都只有4KB。

”我一边安慰朋友一边做镜像(我很喜欢做镜像，1是可以事后细细研究，2是出错有退路)。

当U盘镜像完了以后，Winhex报告错误了，大意是从686592号扇区开始出错了，不可读取。

如下图：信息提示我已经关闭了，大家看686592号扇区的内容就可以了，Winhex无法读取原盘上面的内容，便全部用“无法读取扇区内容”的HEX值填充了，也就是大家看到的“55 4E 52 45 41 44 41 42 4C 45 53 45 43 54 4F 52”了，直到最后一个扇区：文件应该还有点希望吧？先看看文件系统：似乎没什么问题(一般也不太可能是文件系统出问题)，再到根目录去看看：几乎所有文件的大小都变成4KB了，这并不是文件被隐藏了。

很明显，黑线框内的文件都没办法恢复了(注意它们的起始扇区)。

好在大部分文件夹都比较靠前(注意它们的起始扇区)：我们打开“报验表格(2)”文件夹，里面的文件也都变成4KB了。

我们来看文件目录项里面的文件大小(黑线框)：00 10 00 00，这就是文件的大小，右边的数据解释器已经换算成十进制了：4096，单位是字节，4096字节就是4KB了。

我们知道新建一个空白DOC文件也有十几KB，这些文件的大小只有4KB，当然无法打开了。

再看看文件夹里面的文件，它们的起始位置也都比较靠前(黑线框)。

我们看看其中一个文件吧，以“报验申请表”为例，点击它会自动跳到文件起始位置：143472号扇区。

文件开始的位置是“D0 CF 11 E0 A1 B1 1A E1”，这是标准的DOC 文件头，看来文件没有被破坏。

这样的话，我们只要找到文件尾，就可以把文件恢复出来了，而DOC文件的文件尾也是有固定特征的，就是“01 00 FE FF 03 0A 00 00”，或者大家可以用Winhex 打开一个正常的DOC文件来看看就知道了，那么我们搜索“01 00 FE FF 03 0A 00 00”就可以了。

NTFS文件系统中用WinHex手动恢复文件的研究引言在日常使用电脑过程中，由于各种原因，我们经常会遇到文件被意外删除、格式化或者损坏的情况。

通常情况下，我们会通过一些数据恢复软件来尝试恢复丢失的文件。

但是有时候这些软件并不能完全满足我们的需求，特别是在某些复杂的情况下。

我们需要一种更加专业的手段来进行文件恢复。

本文将讨论在NTFS（新技术文件系统）文件系统中使用WinHex手动恢复文件的研究。

NTFS文件系统简介NTFS（New Technology File System，新技术文件系统）是Windows操作系统中的一种文件系统，被广泛应用于Windows NT及其后续版本。

NTFS在安全性、可靠性和性能方面都有很好的表现，因此得到了广泛的应用。

在NTFS文件系统中，文件的元数据（metadata）被存储在称为MFT（Master File Table）的地方。

MFT记录了文件的属性、索引以及文件数据的位置等信息。

当文件被删除或者发生损坏时，文件数据本身可能并没有真正的被删除，而是MFT中的一些标记被修改，使得文件“看起来”被删除。

这就为我们提供了一种可能，通过手动操作MFT来恢复被删除的文件。

WinHex介绍WinHex是一款功能强大的16进制编辑器，它可以用于查看和编辑任何文件、磁盘和内存。

除了16进制编辑器的功能外，WinHex还具备了文件恢复、数据恢复、数据分析等功能，因此非常适合我们在NTFS文件系统中进行文件恢复的需求。

使用WinHex手动恢复文件的步骤1. 打开被删除文件所在的分区我们需要在WinHex中打开文件所在的分区。

在打开分区之后，可以通过MFT条目列表来查看所有的文件和目录。

2. 找到被删除文件的MFT条目在MFT条目列表中，我们可以通过文件名或者其他属性来寻找被删除文件的MFT条目。

一旦找到了被删除文件的MFT条目，我们就可以开始操作它来恢复文件。

3. 恢复MFT条目在找到了被删除文件的MFT条目之后，我们需要将其恢复到正常状态。

使用winhex来恢复数据的方法一、数据丢失的痛与恢复的希望。

1.1 数据丢失那可真是个让人头疼的事儿啊。

不管是误删了重要文件，还是硬盘出了故障，感觉就像丢了宝贝一样心急如焚。

不过呢，先别慌，咱还有winhex这个得力助手。

1.2 winhex就像是数据世界里的神奇小魔杖。

它功能强大，能在看似绝望的数据丢失状况下，给我们带来恢复数据的曙光。

二、winhex初了解。

2.1 winhex是啥呢？简单说，它就是一款专门用来处理十六进制数据的软件。

这听起来有点高大上，但实际操作起来也没那么难。

就像学骑自行车，一开始觉得难，上手了就顺溜了。

2.2 你得先把winhex安装好。

这就好比给战士配上武器，安装过程也不复杂，按照提示一步步来就行，别像没头苍蝇似的乱点。

三、开始用winhex恢复数据。

3.1 打开winhex后，首先要做的就是找到你丢失数据的存储设备。

这就如同在茫茫大海里寻找一艘沉船，得找准目标。

比如说你的数据在硬盘里丢了，那就找到对应的硬盘分区。

这一步可不能马虎，要是找错了地儿，那可就是竹篮打水一场空了。

3.2 接下来就是重头戏了。

winhex有个很厉害的功能叫磁盘克隆。

这就像做备份一样，把有问题的磁盘克隆一份。

这时候你得小心翼翼的，就像捧着个易碎的瓷器。

因为这个过程要是出了岔子，那恢复数据就更难了。

克隆完成后，就可以在克隆的副本上进行数据恢复操作。

3.3 查找丢失的数据片段。

这有点像大海捞针，但winhex有它的办法。

它可以通过分析十六进制数据的特征，找到那些可能是你丢失文件的部分。

这就要求你得有点耐心，心急吃不了热豆腐嘛。

有时候可能要花费一些时间去比对和查找，但只要坚持，往往就能找到那些“失踪”的数据。

3.4 恢复数据的时候，也要注意一些细节。

比如说数据的完整性，可不能只恢复个半拉子工程。

要确保恢复出来的数据是可用的，就像检查一件修好的东西是不是真的修好了一样。

四、数据恢复后的检查与预防。

4.1 数据恢复成功后，可别以为就万事大吉了。

easyrecovery及winhex恢复数据的方法1. 引言1.1 概述在现代科技时代，数据的丢失或损坏成为一个普遍存在的问题。

不论是个人用户还是企业组织，都可能面临着数据被意外删除、格式化、病毒感染或设备故障等情况。

因此，数据恢复工具的重要性日益突出。

本文将介绍两种常见的数据恢复软件——EasyRecovery和WinHex，并详细阐述它们的工作原理以及在实际应用中的使用方法。

1.2 文章结构本文分为五个主要部分来介绍EasyRecovery和WinHex两款数据恢复工具及其使用方法。

首先，在引言部分将概述文章内容和结构，明确文章目标。

然后，在第二部分将全面介绍EasyRecovery的概述、数据扫描和恢复步骤以及一些相关技巧和注意事项。

接下来，在第三部分将同样对WinHex进行详细阐述，包括其概述、数据分析和修复步骤以及高级功能。

在第四部分，我们将通过实例案例与EasyRecovery和WinHex进行比较分析，展示它们在不同情况下的表现差异。

最后，在结论部分，我们将总结EasyRecovery和WinHex的优点和缺点，并给出适用场景的建议。

1.3 目的本文旨在提供EasyRecovery和WinHex两款数据恢复工具的详细介绍和使用方法，帮助读者了解并掌握这些工具在数据恢复过程中的应用技巧。

通过对比分析实例案例，读者可以更好地选择和利用合适的工具来解决不同类型、不同程度数据丢失问题。

希望本文能够为读者在面对数据损失时提供有效的参考和帮助。

2. EasyRecovery恢复数据方法：2.1 EasyRecovery概述：EasyRecovery是一款功能强大的数据恢复软件，它可以帮助用户从各种存储介质中恢复丢失、删除或损坏的数据。

其主要特点包括简单易用、支持多种文件系统、提供全面的扫描和恢复功能。

2.2 数据扫描和恢复步骤：(1) 打开EasyRecovery软件并选择需要进行数据恢复的存储介质。

NTFS文件系统中用WinHex手动恢复文件的研究一、引言在日常使用电脑存储文件时，我们通常会选择NTFS文件系统，因为它具有高效的性能和稳定的特性。

即使是在NTFS文件系统中，文件丢失或被损坏的情况仍然会发生。

为了解决这个问题，我们可以使用数据恢复工具来尝试恢复文件。

本文将介绍NTFS文件系统中使用WinHex手动恢复文件的研究。

二、WinHex简介WinHex是一款功能强大的十六进制编辑器和数据恢复工具，它可以用于文件恢复、磁盘编辑、数据恢复和计算机取证等方面。

其十六进制编辑器可以编辑任何类型的文件，并且可以处理大型文件。

在NTFS文件系统中，WinHex可以帮助我们手动恢复丢失或损坏的文件。

三、NTFS文件系统概述NTFS（New Technology File System）是Windows操作系统中常用的文件系统，具有高效的性能和可靠的特性。

在NTFS文件系统中，文件会被分成多个簇（cluster）进行存储，每个簇的大小由用户设置或系统默认值决定。

当文件被删除或损坏时，其实际数据并没有被立即擦除，而是被标记为可被覆盖的状态。

这就给了我们恢复文件的可能性。

四、使用WinHex手动恢复NTFS文件1. 打开WinHex软件，选择磁盘在使用WinHex进行文件恢复时，首先需要打开软件并选择待恢复文件所在的磁盘。

在选择磁盘时，需要确保选择的是存储着原始数据的磁盘，以免对数据产生意外的损坏。

2. 扫描磁盘并搜索文件头和文件尾在选择了待恢复文件所在的磁盘后，可以使用WinHex的搜索功能来扫描整个磁盘，寻找文件头和文件尾的特征标志。

在NTFS文件系统中，文件头和文件尾的标志通常是固定的，并且可以用来确定文件的起始和结束位置。

3. 寻找文件的起始位置并复制数据一旦找到了文件头的特征标志，就可以确定文件的起始位置。

在WinHex中，可以使用光标来选中文件的起始位置，并将其转换为可复制的数据。

然后可以通过复制数据到新的文件来进行文件的恢复。

winhex数据恢复分：硬恢复和恢复。

所硬恢复就是硬出物理性，比如有体坏道、路板芯片、体异响，等故障，由此所致的普通用不容易取出里面数据，那么我将它修好，同又保留里面的数据或后来恢复里面的数据，些都叫数据恢复，只不些故障有容易的和困的之分；所恢复，就是硬本身没有物理，而是由于人或者病毒破坏所造成的数据失（比如格式化，分区），那么的数据恢复就叫恢复。

里呢，我主要介恢复，因硬恢复需要一些工具（比如pc3000, 烙，各种芯片、路板），而且需要懂一点点路基，我里所到的所有的知，涉及面广，次深，既有数据构原理，我手工准确恢复数据提供依据，又有各种数据恢复件的使用方法及技巧，我快速恢复数据提供便利，而且所有件均网上下，不需要我投一分。

数据恢复的前提：数据不能被二次破坏、覆盖！关于数与制：关于二制、十六制、八制它之的我不想多，因他我数据恢复来帮助不大，而且很容易把我。

如果你感趣想多了解一些，可以到百度里面去搜一下，方面料已很多了，就不需要我再多了。

数据恢复我主要用十六制器：Winhex （数据恢复首件）我先了解一下数据构：下面是一个分了三个区的整个硬的数据构MBR C EBR D EBR EMBR，即主引，位于整个硬的0 柱面 0 磁道 1 扇区，共占用了63 个扇区，但只使用了 1 个扇区（ 512 字）。

在共 512 字的主引中， MBR又可分三部分：第一部分：引代，占用了446 个字；第二部分：分区表，占用了 64 字；第三部分： 55AA，束志，占用了两个字。

后面我要的用winhex 件来恢复分区，主要就是恢复第二部分：分区表。

引代的作用：就是硬具可以引的功能。

如果引代失，分区表在，那么个硬作从所有分区数据都在，只是个硬自己不能用来启系了。

如果要恢复引代，可以用DOS下的命令： FDISK /MBR；个命令只是用来恢复引代，不会引起分区改，失数据。

另外，也可以用工具件，比如DISKGEN、WINHEX等。

WinHex数据恢复图文教程WinHex 数据恢复分类：硬恢复和软恢复。

所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。

这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。

数据恢复的前提：数据不能被二次破坏、覆盖！关于数码与码制：关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。

如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。

数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件）我们先了解一下数据结构：下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。

在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。

后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。

引导代码的作用：就是让硬盘具备可以引导的功能。

NTFS文件系统中用WinHex手动恢复文件的研究概要在使用Windows操作系统的过程中，我们有时会遇到文件意外删除、磁盘损坏或者格式化等问题，导致重要文件丢失的情况。

虽然Windows系统提供了回收站和一些自带的恢复工具，但有些情况下，这些方法并不能完全满足我们的需求。

在这种情况下，我们可以使用数据恢复工具来尝试手动恢复丢失的文件。

本文将介绍如何使用WinHex手动恢复丢失的文件，以及在NTFS文件系统中进行这一操作的详细步骤和注意事项。

步骤步骤一：安装和打开WinHex我们需要下载并安装WinHex软件。

安装完成后，打开WinHex程序。

在打开程序后，我们将看到一个界面，该界面可以用于打开磁盘、映像文件或者逻辑驱动器。

步骤二：选择目标磁盘或映像文件在WinHex界面中，我们需要选择目标磁盘或映像文件，以便对其进行数据恢复。

在此步骤中，我们需要确保选择的是NTFS文件系统的磁盘或映像文件，以便在接下来的操作中进行文件恢复。

步骤三：搜索丢失的文件在选择了目标磁盘或映像文件后，我们可以使用WinHex的搜索功能来查找丢失的文件。

在搜索框中输入文件名或关键词，然后点击“搜索”按钮，WinHex将开始搜索目标磁盘或映像文件中与关键词匹配的文件。

在搜索到需要恢复的文件后，我们可以将其标记为需要恢复的文件，并保存到指定的位置。

步骤四：恢复文件在标记了需要恢复的文件后，我们可以点击“恢复”按钮来进行文件恢复操作。

在恢复文件的过程中，我们需要注意选择恢复文件的保存位置，并确保该位置具有足够的空间来保存恢复的文件。

注意事项在使用WinHex手动恢复NTFS文件系统中的文件时，我们需要注意以下几个问题：2. 小心操作：在使用WinHex手动恢复文件时，我们需要小心操作，避免对目标磁盘或映像文件造成进一步损坏。

结论在使用NTFS文件系统时，我们可能会遇到文件丢失的情况。

在这种情况下，我们可以使用WinHex手动恢复丢失的文件。

WINHEX修复“文件教程”WINHEX修复“文件或目录损坏且无法读取” 远程做的一个“文件或目录损坏且无法读取”的恢复。

23G的NTFS分区D，XP系统，每簇扇区数8，用winhex无法读取分区，提示错误，通过物理磁盘访问该分区，根目录下看不到任何文件，检查DBR，没有发现明显的异常。

由于是远程恢复，原盘未做截图，本教程是模拟了原始分区数据丢失时的情景，请参考恢复思路，如有不足，请各位指正～跳转到第分区E的EBR(虚拟MBR)位置的上一个扇区，找到损坏的分区的备份的DBR，通过winhex提供的计算hash功能，计算哈希值。

再与第一个DBR的hash 值对比。

完全一样。

(也可以通过winhex提供的同步和对比功能进行验证，winhex 会不同的字节上显示黑色)跳转到$MFT的开始位置，也即是$MFT自身的记录。

发现其起始特征本应该是ASCII码的“FILE”四个字节，现在变成了ASCII码“BAD,”。

这是造成提示“文件或目录损坏且无法读取”的关键问题所在。

跳转到偏移512=242位置，也就是这个MFT项的文件名起始位置。

文件名正常:UNICODE码的“$MFT”。

检查标准属性(10H)，文件名属性(30H)，数据流属性(8H)属性，到8属性的时候，发现从8属性开始的第三行开始，都被清零，其他的重要的四个元数据文件中，$Volume属性也出现了同样的错误。

找到备份的前四个元数据文件的记录。

覆写错误的记录。

根据DBR找到了MFT 前四个元数据文件的备份，备份的元数据文件几乎跟前面四个一摸一样的错误。

只能是手工修复$MFT。

在$MFT自身的记录当中，发现”结束VCN”并没有遭到破坏，这为后期的修复工作节省了很多时间，复制一个正常分区(分区E)的第一个扇区到损坏的$MFT中，修改其中的一些数值。

在8属性中，第三行字节的开始位置应该是描述的datarun的起始位置，根据起始VCN和结束VCN得出$MFT的大小，计算方法:起始 VCN+1=LCN，根据这个数值，写入datarun。

WinHex恢复FDT清零或损坏修复过程今天我们来讲FDT清零或损坏后的现象以及如何修复，我们知道FDT定义了文件名，文件大小以及文件存放的起始簇号如果他被清零或者损坏，那么所有的文件以及文件夹都对应不上起始的簇号，就会导致打开盘符后，里面是没有数据的，但其容量已被占用，如下图（我用Winhex将FDT清零了。

）怎么去解决这样的问题呢？其实方法很简单搜索目录项，把目录项重新指向根目录项就可以了。

具体方法如下首先向下搜索2E20,把搜索出的值都记录下来目录项所在扇区起如簇上一目录A 18576 3 0（也就是根目录）B 27952 296 3C 43920 795 3D 241040 6955 3E 242832 7011 3F 300688 8819 3G 301552 8846 0（也就是根目录）由这几个目录项分析出来我们可以得出以下结论：A G的上一目录是父目录BCDEF的上一级目录是A所以，只要在这个故障盘里新建二个文件夹，把起首簇号指向A、B就可以了如图图保存数据完全恢复最后补充一点子目录所在扇区的前四行是两个特殊的目录登记项，第一个目录登记项名称编码为“2E”，转化为文本就是“.”，第二个目录登记项名称编码为“2E2E”，转化为文本就是“..”。

这两个文本符号是区分子目录的最明显标志。

第一个目录登记项是该文件夹自身的目录登记项，首簇号就是该目录所在位置的簇号，第二个目录登记项其实就是父目录的目录登记项副本，首簇号指向父目录所在位置的簇号，如果父目录的目录登记项丢失的话，可以直接用这个副本做模板恢复，只需要改一下文件夹名称即可。

如果第二个目录登记项的首簇号全为“0”，说明该目录的父目录是根目录，如果不是“0”，说明该目录的父目录不是根目录如果有兴趣的朋友可以加我QQ867462090 注明数据恢复。

使用WinHex手工恢复MBR分类:硬盘数据恢复分类：硬恢复和软恢复。

所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。

这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。

数据恢复的前提：数据不能被二次破坏、覆盖！关于数码与码制：关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。

如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。

数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件）我们先了解一下数据结构：下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。

在总共512字节的主引导记录中，MBR 又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。

后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。

引导代码的作用：就是让硬盘具备可以引导的功能。

winhex数据恢复教程
WinHex是一款功能强大的数据恢复工具，可以帮助用户恢复
误删除、格式化、损坏等原因导致的丢失数据。

下面是一份WinHex数据恢复的简单教程，帮助你快速恢复丢失的数据。

1. 首先，打开WinHex软件。

2. 在WinHex主界面中，点击菜单栏上的"打开"按钮，选择需
要恢复数据的驱动器或存储设备。

3. 在弹出的对话框中，选择"物理设备"选项，并点击"确定"按钮。

4. WinHex将扫描选定设备并显示其中的数据。

5. 在数据窗口中，可以看到被删除的文件或损坏的文件系统排列在一起。

6. 在右侧的导航窗口中，选择需要恢复的文件或文件夹，并将其拖放到一个新的位置，例如桌面。

7. WinHex将尝试恢复选定的文件或文件夹，并将其保存到目
标位置。

8. 等待恢复过程完成，恢复成功后将显示恢复的文件或文件夹。

注意：
- 在进行数据恢复操作前，请确保已选择正确的设备。

选择错误设备可能会导致数据丢失。

- WinHex提供了强大的数据恢复功能，但并不能恢复所有丢失的数据。

在某些情况下，数据可能已经被覆盖或损坏，无法完全恢复。

- 如果你对数据恢复操作不熟悉，建议先在副本上进行操作，以防止意外损坏原始数据。

希望这个简单的WinHex数据恢复教程对你有所帮助，祝你成功恢复丢失的数据！。

一种基于WinHex恢复复合文档案例分析摘要：office是专用于办公文档编辑的应用程序。

目前常见文件格式主要有两类：一类是二进制格式的复合文档，如doc/xls/ppt,另一类是基于office open xml标准的压缩文件格式，如docx/xlsx/pptx。

office文档在我们日常工作中广泛被应用，其本身也是属于电子数据，具备电子数据易复制性、易丢失性、易破坏性等特性。

本文主要结合复合文档的结构进行恢复案例分析。

关键词：二进制、复合文档、电子数据、易破坏性、数据恢复1.复合文档概述二进制格式的复合文档主要是包括了文本信息、电子表格信息、图像视频信息、声音信息等数据。

目前所创建的复合文档主要是采用面向对象技术，即是除了文本信息以外的其他信息如声音、图像视频等都可以作为单独对象包含在文档中。

我们常见的doc/xls/ppt等文档都是用这种格式存储的。

1.1仓库与流关系复合文档本身是属于多元化文档合集，其文档结构和FAT文件系统结构基本类似，故在分析复合文档结构是可以参考FAT文件系统进行对比分析，复合文档是将数据信息（文本信息、电子表格信息、图像信息、声音信息等）分成许多小子集，把这种小子集称为“流”（steams），在文件系统中的创建的数据仓库（storages）就是用来储存这些数据流的场所。

如图1所示：root storagestorage1stream1stream2storage2stream3stream4stream21stream1stream22stream23图1 仓库和结构流的关系1.2扇区和扇区标识结合仓库与流的关系，进而把数据流又细分成更小的数据块（数据扇区（sectors）），。

数据扇区主要包含用户数据或者控制数据。

整个文件也主要包含一个头文件（header）和数据扇区，数据扇区的大小在头文件中确定，且每个数据扇区大小一致。

具体如下图所示：headersector0sector1sector2sector3sector4sector5图2 扇区和扇区标识数据扇区主要在存储文件中的顺序列举，一个扇区的索引（从0开始）称作为“扇区标识”（SID）。

winhex数据恢复分类：硬恢复和软恢复。

所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。

这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。

数据恢复的前提：数据不能被二次破坏、覆盖！关于数码与码制：关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。

如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。

数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件）我们先了解一下数据结构：下面是一个分了三个区的整个硬盘的数据结构MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。

在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。

后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。

引导代码的作用：就是让硬盘具备可以引导的功能。

如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。