[工作]用WinHex修复损坏的复合文档文件头

用WinHex修复损坏的复合文档文件头用WinHex修复损坏的复合文档文件头说明：1、本教程仅仅针对复合文档（比如Word、Excel等）的文件头损坏后的修复.2、请允许我假设你已经了解复合文档的结构，至少你能知道复合文档中的一些术语（比如：SAT、SSAT MSAT、标准流、短流等），否则，请你弥补相关知识后继续阅读本教程（以前我曾发过一个相关内容的帖子：/viewthread.php?tid=37559extra=&page=1 )3、这个教程中涉及到的文档样本大家可以到/thread-40685-1-1.html中下载.4、网上这方面的资料很少，所以本教程中有的名词是自己“命名”的，因此，相关名词请只在本教程中使用和理解！！如有不明白之处，可以相互交流（我的QQ：409133413）现象打开这个文档时出现乱码（如图）：分析数据用WinHex打开这个文档，如下图：分析：这个文档的文件头损坏了，继续分析后面的内容损坏没有，现在把这个文档设置为磁盘（如图），复合文档在储存数据的最小单位是块（一个块是512个字节，相当于一个扇区的数据，所以有时我们也把它称为扇区），这样操作后看到的数据可以以一个扇区的形式呈现，便于分析和手工重建。

经过分析数据发现，这个文档好像只有第0扇区的数据完全破坏了，这个扇区的内容是复合文档的文件头内容，网上有恢复复合文档文件头的视频教程（这个论坛上就有！！），好像就是把一个正常的复合文档的前几行数据复制一下就行了，从理论上讲恢复的成功率极小，几乎是0。

因为复合文档的结构和FAT文件系统极其相似，但比它还要复杂一些（涉及到短流、SSAT和MSAT），复合文档的文件头相当于FAT文件系统中的DBR，有很多参数是要根据文件的具体数据进行相应的修改。

下图中红底黑字部分描述的就是一般要修改的内容（有7处，小的文档一般只改其中的5处），其它部分可以用一个正常的复合文档的相应数据代替。

最近学习了复合文档的格式,在修复复合文档头方面做了不少实践,有了一些心得,经过梳理,做了个例子,把思路和过程介绍给大家,希望能解决你的不时之需!例子中用的文件如下图：名为“实验文档”，是个空文档，里面没有内容，看属性，10，752字节，刚好21扇区，复合文档的文件大小一定是512字节的整数倍，这跟复合文档的设计有关系。

EXCEL，PPT等文件也属于复合文档，也符合这样的特点。

后来我又想，可能有网友会对修复后的文件产生怀疑，没有内容的文件可能说明不了问题，所以我在文件中输入了很短的文本内容！如下图：实验文档是一个正常的文件，另外我用Winhex把该文件的文件头（前面512字节）全部写成了0，最彻底的破坏，保存为“损坏的实验文档”，大家可以用现有的修复软件试一下，能不能修复，我用EasyRecovery Professional没有修复成功！其它的软件没有试过！下面，就请大家跟我一起看，如何把“损坏的实验文档”修复成功！先介绍用到的工具软件Winhex,功能很强大，可以用二进制的方式打开文件，并进行编辑，保存！该软件不仅可以打开文件，还可以打开硬盘，对硬盘数据进行编辑，搜索功能什分强大，用起来非常方便，同时支持脚本，提供API函数。

软件界面如下图：用该软件打开“实验文档”和“损坏的实验文档”，可以对比一下前512字节，为了便于操作，我们需要将文件解释为硬盘，让软件以扇区的方式显示文件内容，看起来直观些！两个文件的在软件里显示如下图：可见，“损坏的实验文档”前面的512字节全是0，文件头被全部破坏，文件无法用office打开！复合文档文件头的定义：Offset Size Contents0 8 复合文档文件标识：D0H CFH11HE0HA1HB1H1AHE1H8 16 此文件的唯一标识(不重要, 可全部为0)24 2 文件格式修订号 (一般为003EH)26 2 文件格式版本号(一般为0003H)28 2 字节顺序规则标识(见3.2):：FEH FFH= Little-EndianFFH FEH= Big-Endian30 2 复合文档中sector的大小(ssz)，以2的幂形式存储, sector实际大小为s_size = 2ssz字节(一般为9即512字节, 最小值为7即128字节)32 2 short-sector的大小(见5.1)，以2的幂形式存储, short-sector实际大小为s_s_size = 2sssz字节(一般为6即64字节，最大为sector 的大小)34 10 Not used44 4 用于存放扇区配置表（SAT）的sector总数48 4 用于存放目录流的第一个sector的SID (见6)52 4 Not used56 4 标准流的最小大小(一般为4096 bytes), 小于此值的流即为短流。

用WinHex修复损坏的复合文档文件头说明：1、本教程仅仅针对复合文档（比如Word、Excel等）的文件头损坏后的修复.2、请允许我假设你已经了解复合文档的结构，至少你能知道复合文档中的一些术语（比如：SAT、SSAT MSAT、标准流、短流等）现象打开这个文档时出现乱码（如图）：分析数据用WinHex打开这个文档，如下图：分析：这个文档的文件头损坏了，继续分析后面的内容损坏没有，现在把这个文档设置为磁盘（如图），复合文档在储存数据的最小单位是块（一个块是512个字节，相当于一个扇区的数据，所以有时我们也把它称为扇区），这样操作后看到的数据可以以一个扇区的形式呈现，便于分析和手工重建。

经过分析数据发现，这个文档好像只有第0扇区的数据完全破坏了，这个扇区的内容是复合文档的文件头内容，网上有恢复复合文档文件头的视频教程（这个论坛上就有！！），好像就是把一个正常的复合文档的前几行数据复制一下就行了，从理论上讲恢复的成功率极小，几乎是0。

因为复合文档的结构和FAT文件系统极其相似，但比它还要复杂一些（涉及到短流、SSAT和MSAT），复合文档的文件头相当于FAT文件系统中的DBR，有很多参数是要根据文件的具体数据进行相应的修改。

下图中红底黑字部分描述的就是一般要修改的内容（有7处，小的文档一般只改其中的5处），其它部分可以用一个正常的复合文档的相应数据代替。

说明：要修改的文件头内容：1、存放扇区配置表(SAT)的扇区总数（2CH －2FH ）2、存放目录流的第一个扇区的SID （30H －33H ）3、存放短扇区配置表(SSAT)的第一个扇区的SID （3CH －3FH ）4、存放短扇区配置表(SSAT)的扇区总数（40H －43H ）5、存放主扇区配置表的第一个扇区的SID （如果为－2表示没有附加扇区）（44H －47H ）6、存放主扇区配置表的扇区总数（48H －4BH ）7、存放主扇区配置表（MSAT ）的第一部分（从4CH 开始，视具体情况决定结束位置）备注：如果文件比较小（存放主扇区配置表的第一部分在第0扇区没有装满），第5、6两部分不用修改！！要修复文件头，一般从扇区配置表（SAT ）的数据分析开始，SAT 相当于FAT 文件系统中的FAT 表，它把这个复合文档的各类数据“链”在一起，所以我们反过来通过分析它们的链接情况和相应位置的数据，来分析整个文档的数据结构，最后根据相关信息重建文件头，达到修复文件头的目的。

NTFS文件系统中用WinHex手动恢复文件的研究NTFS文件系统是Windows操作系统中常见的文件系统格式，它具有高效的性能和强大的功能。

有时候我们不可避免地会遇到意外删除文件或者文件损坏的情况。

这时候，我们就需要用一些工具来手动恢复这些文件，比如WinHex。

本文将讨论使用WinHex手动恢复NTFS文件系统中的文件的研究。

一、WinHex介绍WinHex是一款功能强大的十六进制编辑和磁盘编辑软件，它可以用于计算机取证、恢复丢失的文件、编辑磁盘/内存/虚拟机、拷贝/克隆/映像化存储介质等。

它支持大多数主流的文件系统，包括NTFS、FAT、ext系列等。

WinHex提供了丰富的工具和功能，可以灵活地进行数据恢复和编辑。

二、NTFS文件系统结构1. MFT（Master File Table）：主文件表是NTFS文件系统的核心数据结构，它包含了文件系统中所有文件和目录的元数据信息。

每个文件都有一个对应的记录项在MFT中。

3. 分区表（Partition Table）：分区表记录了磁盘上各个分区的信息，包括分区的起始位置、大小等。

4. 日志文件（Log File）：NTFS文件系统中有一个日志文件，用来记录文件系统的变化，以确保数据的完整性。

5. 文件数据区（File Data Area）：文件数据区保存了文件的实际数据内容。

在实际操作中，当我们需要手动恢复NTFS文件系统中的文件时，可以通过以下步骤使用WinHex进行操作：1. 打开目标磁盘我们需要打开包含被删除或损坏文件的目标磁盘。

在WinHex中，我们可以通过选择“打开”功能，选择目标磁盘进行打开。

2. 寻找MFT在目标磁盘中，我们需要寻找并定位到MFT的位置。

MFT通常在磁盘的起始位置，我们可以通过搜索MFT标志来快速定位到MFT的开始位置。

3. 查找文件记录项一旦我们找到了MFT的位置，我们就可以根据文件的名称或者其他属性来查找对应的文件记录项。

U盘双重破坏之数据恢复一朋友拿一U盘跑来诉苦：“文件都打不开了，看大小都只有4KB。

”我一边安慰朋友一边做镜像(我很喜欢做镜像，1是可以事后细细研究，2是出错有退路)。

当U盘镜像完了以后，Winhex报告错误了，大意是从686592号扇区开始出错了，不可读取。

如下图：信息提示我已经关闭了，大家看686592号扇区的内容就可以了，Winhex无法读取原盘上面的内容，便全部用“无法读取扇区内容”的HEX值填充了，也就是大家看到的“55 4E 52 45 41 44 41 42 4C 45 53 45 43 54 4F 52”了，直到最后一个扇区：文件应该还有点希望吧？先看看文件系统：似乎没什么问题(一般也不太可能是文件系统出问题)，再到根目录去看看：几乎所有文件的大小都变成4KB了，这并不是文件被隐藏了。

很明显，黑线框内的文件都没办法恢复了(注意它们的起始扇区)。

好在大部分文件夹都比较靠前(注意它们的起始扇区)：我们打开“报验表格(2)”文件夹，里面的文件也都变成4KB了。

我们来看文件目录项里面的文件大小(黑线框)：00 10 00 00，这就是文件的大小，右边的数据解释器已经换算成十进制了：4096，单位是字节，4096字节就是4KB了。

我们知道新建一个空白DOC文件也有十几KB，这些文件的大小只有4KB，当然无法打开了。

再看看文件夹里面的文件，它们的起始位置也都比较靠前(黑线框)。

我们看看其中一个文件吧，以“报验申请表”为例，点击它会自动跳到文件起始位置：143472号扇区。

文件开始的位置是“D0 CF 11 E0 A1 B1 1A E1”，这是标准的DOC 文件头，看来文件没有被破坏。

这样的话，我们只要找到文件尾，就可以把文件恢复出来了，而DOC文件的文件尾也是有固定特征的，就是“01 00 FE FF 03 0A 00 00”，或者大家可以用Winhex 打开一个正常的DOC文件来看看就知道了，那么我们搜索“01 00 FE FF 03 0A 00 00”就可以了。

使用winhex来恢复数据的方法一、数据丢失的痛与恢复的希望。

1.1 数据丢失那可真是个让人头疼的事儿啊。

不管是误删了重要文件，还是硬盘出了故障，感觉就像丢了宝贝一样心急如焚。

不过呢，先别慌，咱还有winhex这个得力助手。

1.2 winhex就像是数据世界里的神奇小魔杖。

它功能强大，能在看似绝望的数据丢失状况下，给我们带来恢复数据的曙光。

二、winhex初了解。

2.1 winhex是啥呢？简单说，它就是一款专门用来处理十六进制数据的软件。

这听起来有点高大上，但实际操作起来也没那么难。

就像学骑自行车，一开始觉得难，上手了就顺溜了。

2.2 你得先把winhex安装好。

这就好比给战士配上武器，安装过程也不复杂，按照提示一步步来就行，别像没头苍蝇似的乱点。

三、开始用winhex恢复数据。

3.1 打开winhex后，首先要做的就是找到你丢失数据的存储设备。

这就如同在茫茫大海里寻找一艘沉船，得找准目标。

比如说你的数据在硬盘里丢了，那就找到对应的硬盘分区。

这一步可不能马虎，要是找错了地儿，那可就是竹篮打水一场空了。

3.2 接下来就是重头戏了。

winhex有个很厉害的功能叫磁盘克隆。

这就像做备份一样，把有问题的磁盘克隆一份。

这时候你得小心翼翼的，就像捧着个易碎的瓷器。

因为这个过程要是出了岔子，那恢复数据就更难了。

克隆完成后，就可以在克隆的副本上进行数据恢复操作。

3.3 查找丢失的数据片段。

这有点像大海捞针，但winhex有它的办法。

它可以通过分析十六进制数据的特征，找到那些可能是你丢失文件的部分。

这就要求你得有点耐心，心急吃不了热豆腐嘛。

有时候可能要花费一些时间去比对和查找，但只要坚持，往往就能找到那些“失踪”的数据。

3.4 恢复数据的时候，也要注意一些细节。

比如说数据的完整性，可不能只恢复个半拉子工程。

要确保恢复出来的数据是可用的，就像检查一件修好的东西是不是真的修好了一样。

四、数据恢复后的检查与预防。

4.1 数据恢复成功后，可别以为就万事大吉了。

easyrecovery及winhex恢复数据的方法1. 引言1.1 概述在现代科技时代，数据的丢失或损坏成为一个普遍存在的问题。

不论是个人用户还是企业组织，都可能面临着数据被意外删除、格式化、病毒感染或设备故障等情况。

因此，数据恢复工具的重要性日益突出。

本文将介绍两种常见的数据恢复软件——EasyRecovery和WinHex，并详细阐述它们的工作原理以及在实际应用中的使用方法。

1.2 文章结构本文分为五个主要部分来介绍EasyRecovery和WinHex两款数据恢复工具及其使用方法。

首先，在引言部分将概述文章内容和结构，明确文章目标。

然后，在第二部分将全面介绍EasyRecovery的概述、数据扫描和恢复步骤以及一些相关技巧和注意事项。

接下来，在第三部分将同样对WinHex进行详细阐述，包括其概述、数据分析和修复步骤以及高级功能。

在第四部分，我们将通过实例案例与EasyRecovery和WinHex进行比较分析，展示它们在不同情况下的表现差异。

最后，在结论部分，我们将总结EasyRecovery和WinHex的优点和缺点，并给出适用场景的建议。

1.3 目的本文旨在提供EasyRecovery和WinHex两款数据恢复工具的详细介绍和使用方法，帮助读者了解并掌握这些工具在数据恢复过程中的应用技巧。

通过对比分析实例案例，读者可以更好地选择和利用合适的工具来解决不同类型、不同程度数据丢失问题。

希望本文能够为读者在面对数据损失时提供有效的参考和帮助。

2. EasyRecovery恢复数据方法：2.1 EasyRecovery概述：EasyRecovery是一款功能强大的数据恢复软件，它可以帮助用户从各种存储介质中恢复丢失、删除或损坏的数据。

其主要特点包括简单易用、支持多种文件系统、提供全面的扫描和恢复功能。

2.2 数据扫描和恢复步骤：(1) 打开EasyRecovery软件并选择需要进行数据恢复的存储介质。

NTFS文件系统中用WinHex手动恢复文件的研究一、引言在日常使用电脑存储文件时，我们通常会选择NTFS文件系统，因为它具有高效的性能和稳定的特性。

即使是在NTFS文件系统中，文件丢失或被损坏的情况仍然会发生。

为了解决这个问题，我们可以使用数据恢复工具来尝试恢复文件。

本文将介绍NTFS文件系统中使用WinHex手动恢复文件的研究。

二、WinHex简介WinHex是一款功能强大的十六进制编辑器和数据恢复工具，它可以用于文件恢复、磁盘编辑、数据恢复和计算机取证等方面。

其十六进制编辑器可以编辑任何类型的文件，并且可以处理大型文件。

在NTFS文件系统中，WinHex可以帮助我们手动恢复丢失或损坏的文件。

三、NTFS文件系统概述NTFS（New Technology File System）是Windows操作系统中常用的文件系统，具有高效的性能和可靠的特性。

在NTFS文件系统中，文件会被分成多个簇（cluster）进行存储，每个簇的大小由用户设置或系统默认值决定。

当文件被删除或损坏时，其实际数据并没有被立即擦除，而是被标记为可被覆盖的状态。

这就给了我们恢复文件的可能性。

四、使用WinHex手动恢复NTFS文件1. 打开WinHex软件，选择磁盘在使用WinHex进行文件恢复时，首先需要打开软件并选择待恢复文件所在的磁盘。

在选择磁盘时，需要确保选择的是存储着原始数据的磁盘，以免对数据产生意外的损坏。

2. 扫描磁盘并搜索文件头和文件尾在选择了待恢复文件所在的磁盘后，可以使用WinHex的搜索功能来扫描整个磁盘，寻找文件头和文件尾的特征标志。

在NTFS文件系统中，文件头和文件尾的标志通常是固定的，并且可以用来确定文件的起始和结束位置。

3. 寻找文件的起始位置并复制数据一旦找到了文件头的特征标志，就可以确定文件的起始位置。

在WinHex中，可以使用光标来选中文件的起始位置，并将其转换为可复制的数据。

然后可以通过复制数据到新的文件来进行文件的恢复。

微软复合文档的数据修复技术作者：耿浩然来源：《电子技术与软件工程》2018年第05期摘要随着科学技术和信息技术不断发展，复合文档广泛应用于我们的工作生活中，其在给我们带来便利的同时，也经常碰到文件损坏的问题，甚至造成重要数据丢失。

本文以微软复合文档作为研究对象，针对其文件格式不同的损坏形式进行分析，并提出物理修复、逻辑修复、内容修复等方法，经实验验证本文提出的方法能在一定程度上有效地修复出关键数据。

【关键词】复合文档文件格式数据修复存储1 复合文档的文件格式文件格式是指计算机中存储文件的特殊编码方式，用于计算机操作系统识别不同的文件类型，比如程序、文字、图片、视频等文件，每一种文件格式通常会关联一个或多个扩展名，但也可能不关联固定的扩展名。

微软复合文档（以下简称复合文档）是微软公司制定的文件格式，广泛应用于Word、Excel、PowerPoint等办公文档中，单一的复合文档可以包含多个文本、图形、声音、视频、电子表格数据等各种多媒体信息。

复合文档的物理结构由文件头和扇区组成，文件头就是复合文档最前面的512字节，描述了复合文档的文件签名标识、扇区大小等结构信息，是整个文档最关键的部分；复合文档的其余部分被划分为大小相等的存储空间，每一个存储空间叫做一个扇区（通常为512字节）。

复合文档的扇区分配表相当于FAT32文件系统中的FAT表，用于对分配使用的所有扇区进行编号和标识；每一个数据流都可以在扇区分配表中按照顺序找到其存储位置。

扇区分配表的前109个扇区编号存放在文件头中，当扇区分配表多于109个扇区，需要附加主扇区分配表存储，文件头中已经标识了主扇区分配表的第一个扇区编号和扇区总数。

复合文档的逻辑结构类似一个小型的文件系统，其由目录和数据流组成；数据流相当于文件系统中的文件，数据流存储在目录中；目录和数据流都有名字，一个目录可以有多个子目录和多个数据流，同一目录下的子目录和数据流不能重名；每个复合文档都有一个叫做“Root Entry”的根目录。

用WinHex修复损坏的复合文档文件头说明：1、本教程仅仅针对复合文档（比如Word、Excel等）的文件头损坏后的修复.2、请允许我假设你已经了解复合文档的结构，至少你能知道复合文档中的一些术语（比如：SAT、SSAT MSAT、标准流、短流等）现象打开这个文档时出现乱码（如图）：分析数据用WinHex打开这个文档，如下图：分析：这个文档的文件头损坏了，继续分析后面的内容损坏没有，现在把这个文档设置为磁盘（如图），复合文档在储存数据的最小单位是块（一个块是512个字节，相当于一个扇区的数据，所以有时我们也把它称为扇区），这样操作后看到的数据可以以一个扇区的形式呈现，便于分析和手工重建。

经过分析数据发现，这个文档好像只有第0扇区的数据完全破坏了，这个扇区的内容是复合文档的文件头内容，网上有恢复复合文档文件头的视频教程（这个论坛上就有！！），好像就是把一个正常的复合文档的前几行数据复制一下就行了，从理论上讲恢复的成功率极小，几乎是0。

因为复合文档的结构和FAT文件系统极其相似，但比它还要复杂一些（涉及到短流、SSAT和MSAT），复合文档的文件头相当于FAT文件系统中的DBR，有很多参数是要根据文件的具体数据进行相应的修改。

下图中红底黑字部分描述的就是一般要修改的内容（有7处，小的文档一般只改其中的5处），其它部分可以用一个正常的复合文档的相应数据代替。

说明：要修改的文件头内容：1、存放扇区配置表(SAT)的扇区总数（2CH －2FH ）2、存放目录流的第一个扇区的SID （30H －33H ）3、存放短扇区配置表(SSAT)的第一个扇区的SID （3CH －3FH ）4、存放短扇区配置表(SSAT)的扇区总数（40H －43H ）5、存放主扇区配置表的第一个扇区的SID （如果为－2表示没有附加扇区）（44H －47H ）6、存放主扇区配置表的扇区总数（48H －4BH ）7、存放主扇区配置表（MSAT ）的第一部分（从4CH 开始，视具体情况决定结束位置）备注：如果文件比较小（存放主扇区配置表的第一部分在第0扇区没有装满），第5、6两部分不用修改！！要修复文件头，一般从扇区配置表（SAT ）的数据分析开始，SAT 相当于FAT 文件系统中的FAT 表，它把这个复合文档的各类数据“链”在一起，所以我们反过来通过分析它们的链接情况和相应位置的数据，来分析整个文档的数据结构，最后根据相关信息重建文件头，达到修复文件头的目的。

WinHEX修复损坏MPEG媒体文
【关键字】文件修复数据恢复winhex 媒体文件mpeg恢复电影恢复
【简介】从网上下载的MPEG文件用某些MPEG播放工具打开时会提示“不能识别的格式”或“格式不对”，从而无法播放。

损坏了怎么办？本文将介绍如何修复损坏的视频媒体文件。

有时我们会遇到这种情况：从网上下载的MPEG文件用某些MPEG播放工具打开时会提示“不能识别的格式”或“格式不对”，从而无法播放。

有趣的是同样的文件用其他播放软件也有能播放的时候，但开始的几秒钟画面总要一跳一闪的，从中可以看出是MPEG文件头数据有所损坏。

如果能修复受损的MPEG文件头就可以用任何MPEG播放软件来播放了，我们可以用WinHex来实现这个目的。

具体方法：先找一个完整无损的MPEG文件，用WinHex打开它，在WinHex窗口中按住鼠标左键并从偏移量00000000拖到偏移量略大于受损的MPEG文件头异常部分的终止处，然后按Ctrl+Shift+C将此段数据复制到内存。

接下来用WinHex打开受损的MPEG文件，同样用鼠标从偏移量00000000开始，选到同刚才已经选取的结束偏移量一致的地方（如选取的偏移范围是00000000——000018E0，那么被替换的范围就应该从00000000——000018E0）。

按Ctrl+V将刚刚复制的代码粘贴下来，即可用正常的MPEG文件头数据替代掉受损MPEG文件已选定部分。

保存退出WinHex，试试看，使用MPEG播放软件播放原来受损的MPEG文件，再也没有“不能识别的格式”或“格式不对”的提示了，大功告成！。

WINHEX修复“文件教程”WINHEX修复“文件或目录损坏且无法读取” 远程做的一个“文件或目录损坏且无法读取”的恢复。

23G的NTFS分区D，XP系统，每簇扇区数8，用winhex无法读取分区，提示错误，通过物理磁盘访问该分区，根目录下看不到任何文件，检查DBR，没有发现明显的异常。

由于是远程恢复，原盘未做截图，本教程是模拟了原始分区数据丢失时的情景，请参考恢复思路，如有不足，请各位指正～跳转到第分区E的EBR(虚拟MBR)位置的上一个扇区，找到损坏的分区的备份的DBR，通过winhex提供的计算hash功能，计算哈希值。

再与第一个DBR的hash 值对比。

完全一样。

(也可以通过winhex提供的同步和对比功能进行验证，winhex 会不同的字节上显示黑色)跳转到$MFT的开始位置，也即是$MFT自身的记录。

发现其起始特征本应该是ASCII码的“FILE”四个字节，现在变成了ASCII码“BAD,”。

这是造成提示“文件或目录损坏且无法读取”的关键问题所在。

跳转到偏移512=242位置，也就是这个MFT项的文件名起始位置。

文件名正常:UNICODE码的“$MFT”。

检查标准属性(10H)，文件名属性(30H)，数据流属性(8H)属性，到8属性的时候，发现从8属性开始的第三行开始，都被清零，其他的重要的四个元数据文件中，$Volume属性也出现了同样的错误。

找到备份的前四个元数据文件的记录。

覆写错误的记录。

根据DBR找到了MFT 前四个元数据文件的备份，备份的元数据文件几乎跟前面四个一摸一样的错误。

只能是手工修复$MFT。

在$MFT自身的记录当中，发现”结束VCN”并没有遭到破坏，这为后期的修复工作节省了很多时间，复制一个正常分区(分区E)的第一个扇区到损坏的$MFT中，修改其中的一些数值。

在8属性中，第三行字节的开始位置应该是描述的datarun的起始位置，根据起始VCN和结束VCN得出$MFT的大小，计算方法:起始 VCN+1=LCN，根据这个数值，写入datarun。

WinHex恢复FDT清零或损坏修复过程今天我们来讲FDT清零或损坏后的现象以及如何修复，我们知道FDT定义了文件名，文件大小以及文件存放的起始簇号如果他被清零或者损坏，那么所有的文件以及文件夹都对应不上起始的簇号，就会导致打开盘符后，里面是没有数据的，但其容量已被占用，如下图（我用Winhex将FDT清零了。

）怎么去解决这样的问题呢？其实方法很简单搜索目录项，把目录项重新指向根目录项就可以了。

具体方法如下首先向下搜索2E20,把搜索出的值都记录下来目录项所在扇区起如簇上一目录A 18576 3 0（也就是根目录）B 27952 296 3C 43920 795 3D 241040 6955 3E 242832 7011 3F 300688 8819 3G 301552 8846 0（也就是根目录）由这几个目录项分析出来我们可以得出以下结论：A G的上一目录是父目录BCDEF的上一级目录是A所以，只要在这个故障盘里新建二个文件夹，把起首簇号指向A、B就可以了如图图保存数据完全恢复最后补充一点子目录所在扇区的前四行是两个特殊的目录登记项，第一个目录登记项名称编码为“2E”，转化为文本就是“.”，第二个目录登记项名称编码为“2E2E”，转化为文本就是“..”。

这两个文本符号是区分子目录的最明显标志。

第一个目录登记项是该文件夹自身的目录登记项，首簇号就是该目录所在位置的簇号，第二个目录登记项其实就是父目录的目录登记项副本，首簇号指向父目录所在位置的簇号，如果父目录的目录登记项丢失的话，可以直接用这个副本做模板恢复，只需要改一下文件夹名称即可。

如果第二个目录登记项的首簇号全为“0”，说明该目录的父目录是根目录，如果不是“0”，说明该目录的父目录不是根目录如果有兴趣的朋友可以加我QQ867462090 注明数据恢复。

如果你的文档损坏、出现乱码了怎么办，没事，按照下面的方法，90%的机率帮你修复回来第一个方法先来看看被破坏了文件头的文件1、找一个后缀名是 doc 的正常复合文档2、把0000-0020B的头复制,因为doc的复合文档这几个字节都是一样的（ Ctrl+C复制Ctrl+B粘贴）3、搜索 Root 记录Root的位置4、30-33 Root的位置-15、34-37 固定值 00000000 38-3B 固定值 000100000（十进制 4096 ）6、3C-3F 搜索 Root ，Root所在的扇区 74-77位置-1（十进制）我们搜索过，所以直接跳过去这个位置不填也不影响文档的正常打开7、 40-47 固定值 01000000 FEFFFFFF48-4B 固定值 000000009、搜索 01000000 记录位置 190910、4C处开始依次填入 01000000所在的位置-1 （4位一组） 1908开始填一直填到 Root所在的位置-2 1923结束11、2C-2F 填（Root位置-2）-（01000000位置-1）+1Root位置 1925-2=192301000000的位置 1909-1=19081923-1908+1=16保存打开,完美修复第二个方法先来看看被破坏了文件头的文件1、找一个后缀名是 doc 的正常复合文档2、把0000-0020B的头复制,因为doc的复合文档这几个字节都是一样的（ Ctrl+C复制Ctrl+B粘贴）3、搜索 Root 记录Root的位置4、30-33 Root的位置-15、34-37 固定值 00000000 38-3B 固定值 000100000（十进制 4096 ）6、3C-3F 搜索 Root ，Root所在的扇区 74-77位置-1（十进制）我们搜索过，所以直接跳过去这个位置不填也不影响文档的正常打开7、 40-47 固定值 01000000 FEFFFFFF48-4B 固定值 000000008、从这里就和第一种方法不一样了如果按照第一个方法不能修复，就要采用这个方法了搜索FD FF FF FF如果第一个 FDFFFFFF 在一扇区,那么40C-40F处就填 00第二个 78 – 1 = 77第三个 235-1=234第四个 376-1=375 第五个 486-1=485第六个 605-1=604 第七个 756-1=755第八个 879-1=878第九个 1024-1=1023第十个 1146-1=1145第十一个 1280-1=1279搜索完把这些数值依次从500处开始填入9、一共搜索到11个 FD FF FF FF那么20C-20F 处就填 11（十进制）保存打开完美修复,nice,奖励自己一包辣条。

使用WinHex手工恢复MBR分类:硬盘数据恢复分类：硬恢复和软恢复。

所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。

这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。

数据恢复的前提：数据不能被二次破坏、覆盖！关于数码与码制：关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。

如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。

数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件）我们先了解一下数据结构：下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。

在总共512字节的主引导记录中，MBR 又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。

后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。

引导代码的作用：就是让硬盘具备可以引导的功能。

winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR字节位置内容及含义第1字节引导标志。

若值为80H表示活动分区；若值为00H表示非活动分区。

第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符：00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区05H——扩展分区07H——NTFS分区0FH——（LBA模式）扩展分区83H——Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数1、什么是逻辑驱动？2、什么是物理驱动器？3、怎么搜索MBR、EBR、DBR?MBR、EBR、DBR他们都是以55AA结尾在winhex中搜索１６进制：55AA 偏移５１２＝５１０（１）搜索DBR的标志：FAT16的DBR:EB 3C 90没有备份的DBRFAT32的DBR:EB 58 90 （备份的DBR）在该分区的第６扇区NTFS的DBR: EB 52 90（备份的DBR）在该分区的最后一个扇区判别MBR的方法：MBR就在LBA第一个扇区，打开物理硬盘，第一个扇区就是了。

MBR的分区表在1BE偏移往后到1FD，共64个字节，每项16个字节。

1FE-1FF就是“55 AA”判别EBR的方法：EBR的结构和MBR的结构是一样的，在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0（２）查找DBR可以通过搜索本分区的EBR去找DBR.可以搜索EBR,定位DBR.DBR相对于EBR后６３号扇区。

(3)当某分区的DBR坏了，就提示：未格式化这个时候用winhex打开逻辑盘，就打不开。

我们只有通过打开物理驱动器，然后跳转到该分区。

就可以查看DBR是否被破坏了。

可物理驱动器的模式是从"0"扇区开始描述系统而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).用winhex 做U盘免疫AUTO.INF用WinHex制作无法修改的AutoRun.inf文件在我们日常工作中，经常需要使用闪存（也称为U盘或者优盘）主要是AutoRun.inf文件在起作用，我们可以使用WinHex解决这一问题。

winhex数据恢复教程
WinHex是一款功能强大的数据恢复工具，可以帮助用户恢复
误删除、格式化、损坏等原因导致的丢失数据。

下面是一份WinHex数据恢复的简单教程，帮助你快速恢复丢失的数据。

1. 首先，打开WinHex软件。

2. 在WinHex主界面中，点击菜单栏上的"打开"按钮，选择需
要恢复数据的驱动器或存储设备。

3. 在弹出的对话框中，选择"物理设备"选项，并点击"确定"按钮。

4. WinHex将扫描选定设备并显示其中的数据。

5. 在数据窗口中，可以看到被删除的文件或损坏的文件系统排列在一起。

6. 在右侧的导航窗口中，选择需要恢复的文件或文件夹，并将其拖放到一个新的位置，例如桌面。

7. WinHex将尝试恢复选定的文件或文件夹，并将其保存到目
标位置。

8. 等待恢复过程完成，恢复成功后将显示恢复的文件或文件夹。

注意：
- 在进行数据恢复操作前，请确保已选择正确的设备。

选择错误设备可能会导致数据丢失。

- WinHex提供了强大的数据恢复功能，但并不能恢复所有丢失的数据。

在某些情况下，数据可能已经被覆盖或损坏，无法完全恢复。

- 如果你对数据恢复操作不熟悉，建议先在副本上进行操作，以防止意外损坏原始数据。

希望这个简单的WinHex数据恢复教程对你有所帮助，祝你成功恢复丢失的数据！。

一种基于WinHex恢复复合文档案例分析摘要：office是专用于办公文档编辑的应用程序。

目前常见文件格式主要有两类：一类是二进制格式的复合文档，如doc/xls/ppt,另一类是基于office open xml标准的压缩文件格式，如docx/xlsx/pptx。

office文档在我们日常工作中广泛被应用，其本身也是属于电子数据，具备电子数据易复制性、易丢失性、易破坏性等特性。

本文主要结合复合文档的结构进行恢复案例分析。

关键词：二进制、复合文档、电子数据、易破坏性、数据恢复1.复合文档概述二进制格式的复合文档主要是包括了文本信息、电子表格信息、图像视频信息、声音信息等数据。

目前所创建的复合文档主要是采用面向对象技术，即是除了文本信息以外的其他信息如声音、图像视频等都可以作为单独对象包含在文档中。

我们常见的doc/xls/ppt等文档都是用这种格式存储的。

1.1仓库与流关系复合文档本身是属于多元化文档合集，其文档结构和FAT文件系统结构基本类似，故在分析复合文档结构是可以参考FAT文件系统进行对比分析，复合文档是将数据信息（文本信息、电子表格信息、图像信息、声音信息等）分成许多小子集，把这种小子集称为“流”（steams），在文件系统中的创建的数据仓库（storages）就是用来储存这些数据流的场所。

如图1所示：root storagestorage1stream1stream2storage2stream3stream4stream21stream1stream22stream23图1 仓库和结构流的关系1.2扇区和扇区标识结合仓库与流的关系，进而把数据流又细分成更小的数据块（数据扇区（sectors）），。

数据扇区主要包含用户数据或者控制数据。

整个文件也主要包含一个头文件（header）和数据扇区，数据扇区的大小在头文件中确定，且每个数据扇区大小一致。

具体如下图所示：headersector0sector1sector2sector3sector4sector5图2 扇区和扇区标识数据扇区主要在存储文件中的顺序列举，一个扇区的索引（从0开始）称作为“扇区标识”（SID）。