winhe数据恢复完整图文教程.doc

winhex

数据恢复分：硬恢复和恢复。所硬恢复就是硬出物理性，比如有体坏道、路板芯片、体异响，等故障，由此所致的普

通用不容易取出里面数据，那么我将它修好，同又保留里面的数据或后来恢复里面的数据，些都叫数据恢复，只不些故

障有容易的和困的之分；所恢复，就是硬本身没有物理，而是由于人或者病毒破坏所造成的数据失（比如格式化，分

区），那么的数据恢复就叫恢复。

里呢，我主要介恢复，因硬恢复需要一些工具（比如 pc3000, 烙，各种芯片、路板），而且需要懂一点点路基，我里所到

的所有的知，涉及面广，次深，既有数据构原理，我手工准确

恢复数据提供依据，又有各种数据恢复件的使用方法及技巧，我快速恢复数据提供便利，而且所有件均网上下，不需

要我投一分。

数据恢复的前提：数据不能被二次破坏、覆盖！

关于数与制：

关于二制、十六制、八制它之的我不想多，因他我数据恢复来帮助不大，而且很容易把我。如果你感趣想多了

解一些，可以到百度里面去搜一下，方面料已很多了，就不需要我再多了。数据恢复我主要用十六制器： Winhex （数

据恢复首件）

我先了解一下数据构：

下面是一个分了三个区的整个硬的数据构

MBR C EBR D EBR E

MBR，即主引，位于整个硬的0 柱面 0 磁道 1 扇区，共占用了 63 个扇区，但只使用了 1 个扇区（512 字）。

在共 512 字的主引中，MBR又可分三部分：第一部分：引代，占用了446 个字；第二部分：分区表，

占用了64 字；第三部分：55AA，束志，占用了两个字。后面我要的用winhex 件来恢复分区，主要就

是恢复第二部分：分区表。

引代的作用：就是硬具可以引的功能。如果引代失，分区表在，那么个硬作从所有分区

数据都在，只是个硬自己不能用来启系了。如果要恢复引代，可以用DOS下的命令： FDISK /MBR；

个命令只是用来恢复引代，不会引起分区改，失数据。另外，也可以用工具件，比如DISKGEN、WINHEX等。但分区表如果失，后果就是整个硬一个分区没有，就好象来一个新硬没有分区一。是很多病毒喜破坏

的区域。

EBR，也叫做展MBR（ Extended MBR）。因主引MBR最多只能描述4 个分区，如果想要在一个硬上分多于

4 个区，就要采用展MBR的法。

MBR、EBR是分区生的。

比如MBR

和EBR各都占

用

63 个扇区， C 占用1435329 个扇区⋯⋯那么数据构如下表：

63 1435329 63 1435329 63 1253889

MBR C EBR D EBR E

展分区

而每一个分区又由DBR、 FAT1、 FAT2、 DIR、DATA5部分成：比如C?的数据构：

C

DBR FAT1FAT2DIR DATA

Winhex

Winhex 是使用最多的一款工具件，是在Windows下运行的十六制件，此件功能非常大，有完善的分区管

理功能和文件管理功能，能自分析分区和文件簇，能硬行不同方式不同程度的份，甚至克隆整个硬；

它能任何一种文件型的二制内容（用十六制示）其磁器可以物理磁或磁的任意扇区，是手工恢复数据的首工具件。

首先要安装Winhex，安装完了就可以启winhex 了，启画面如下：首先出的是启中心框。

里我要磁行操作，就“打开磁”，出“ 磁” 框：

在个框里，我可以个分区打开，也可以整个硬打开，HD0是我在正用的西部数据40G 系，

HD1是我要分析的硬，拓2G。里我就打开HD1整个硬，再点确定. 然后我就看到了Winhex 的整个工作界面。

最上面的是菜和工具，下面最大的窗口是工作区，在看到的是硬的第一个扇区的内容，以十六制行示，

并在右示相的ASCII ，右是源面板，分五个部分：状、容量、当前位置、窗口情况和剪板情况。

些情况把握整个硬的情况非常有帮助。另外，在其上鼠右，可以将源面板与窗口位置，或关

源面板。（如果关了源面板可以通“察看”菜——“ 示”命令——“ 源面板”来打开）。

最下面一是非常有用的助信息，如当前扇区/ 扇区数目⋯⋯等

向下拉拉条，可以看到一个灰色的横杠，每到一个横杠一个扇区，一个扇区共512 字，每两个数字一个字，

比如 00。

下面我来分析一下MBR，因前面我，前446 个字引代，我来没有意，里我只分析分区

表中的 64 个字。

分区表 64 个字，一共可以描述 4 个分区表，每一个分区表可以描述一个主分区或一个展分区（比如上面的分

区表，第一个分区表描述主分区C，第二个分区表描述展分区，第三第四个分区表填零未用）

每一个分区表各占16 个字，各字含如下：（H表示 16 制）

字位置第 1 字内容及含

引志。若80H 表示活分区；若00H 表示非活分区。

第2、 3、 4 字本分区的起始磁号、扇区号、柱面号第 5 字

分区型符：

00H——表示分区未用

06H—— FAT16 基本分区

0BH—— FAT32 基本分区

05H——展分区

07H—— NTFS分区

0FH——（ LBA模式）展分区

83H——Linux 分区

第6、 7、 8 字本分区的束磁号、扇区号、柱面号

第9、 10、 11、本分区之前已用了的扇区数

12字

第 13、14、15、本分区的扇区数

16字

此硬的第一分区表（即MBR）分析如下：