winhex数据恢复精华(图解)

kuku小火鸡

下载学习下3Q

gs65219

看看，下载学习下

gs65219

看看，下载学习下

x1x2

到底是不是精华[s:18]

k0422

支持楼主分享，谢谢了

tomboy2008

好!                  
好帖!                  
很好帖!                  
确实好帖!                  
少见的好帖!                  
真是一张好帖!                  
难得一见的好帖!                  
千年等一回的好帖!                  
好得不能再好的好帖!                  
惊天地且泣鬼神的好帖!                  
让人阅毕击掌三叹的好帖!                  
让人佩服得五体投地的好帖!                  
让人奔走相告曰须阅读的好帖!                  
让斑竹看后决定加精固顶的好帖!                  
让人看后在各论坛纷纷转贴的好帖!                  
让人看后连成人网站都没兴趣的好帖!                  
让人看完后就要往上顶往死里顶的好帖!                  
让人看后不断在各种场合重复引用的好帖!                  
让人一见面就问你看过某某好书没有的好帖!                  
让人半夜上厕所都要打开电脑再看一遍的好帖!

tomboy2008

好!                  
好帖!                  
很好帖!                  
确实好帖!                  
少见的好帖!                  
真是一张好帖!                  
难得一见的好帖!                  
千年等一回的好帖!                  
好得不能再好的好帖!                  
惊天地且泣鬼神的好帖!                  
让人阅毕击掌三叹的好帖!                  
让人佩服得五体投地的好帖!                  
让人奔走相告曰须阅读的好帖!                  
让斑竹看后决定加精固顶的好帖!                  
让人看后在各论坛纷纷转贴的好帖!                  
让人看后连成人网站都没兴趣的好帖!                  
让人看完后就要往上顶往死里顶的好帖!                  
让人看后不断在各种场合重复引用的好帖!          ‘        
让人一见面就问你看过某某好书没有的好帖!                  
让人半夜上厕所都要打开电脑再看一遍的好帖!

x1x2

下载学习下[s:18]

DDAA

回复 1# sickbaby


    看了，还不错，不过Baidu一下，一大堆，部分内容如下：
下面是一个分了三个区的整个硬盘的数据结构
MBR        C盘        EBR        D盘        EBR        E盘
MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。
引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、WINHEX等。
但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。
EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。
MBR、EBR是分区产生的。
比如MBR和EBR各都占用63个扇区，C盘占用1435329个扇区……那么数据结构如下表：
63        1435329        63        1435329        63        1253889
MBR        C盘        EBR        D盘        EBR        E盘
                    扩展分区
  
而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成：比如C 盘的数据结构：
C 盘
DBR        FAT1        FAT2        DIR        DATA
  
  
  
Winhex
Winhex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。
首先要安装Winhex，安装完了就可以启动winhex了，启动画面如下：首先出现的是启动中心对话框。
  


这里我们要对磁盘进行操作，就选择“打开磁盘”，出现“编辑磁盘”对话框：

在这个对话框里，我们可以选择对单个分区打开，也可以对整个硬盘打开，HD0是我现在正用的西部数据40G系统盘，HD1是我们要分析的硬盘，迈拓2G。这里我们就选择打开HD1整个硬盘，再点确定.然后我们就看到了Winhex的整个工作界面。

最上面的是菜单栏和工具栏，下面最大的窗口是工作区，现在看到的是硬盘的第一个扇区的内容，以十六进制进行显示，并在右边显示相应的ASCII码，右边是详细资源面板，分为五个部分：状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外，在其上单击鼠标右键，可以将详细资源面板与窗口对换位置，或关闭资源面板。（如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开）。
最下面一栏是非常有用的辅助信息，如当前扇区/总扇区数目……等


向下拉拉滚动条，可以看到一个灰色的横杠，每到一个横杠为一个扇区，一个扇区共512字节，每两个数字为一个字节，比如00。
下面我们来分析一下MBR，因为前面我们说过，前446个字节为引导代码，对我们来说没有意义，这里我们只分析分区表中的64个字节。

分区表64个字节，一共可以描述4个分区表项，每一个分区表项可以描述一个主分区或一个扩展分区（比如上面的分区表，第一个分区表项描述主分区C盘，第二个分区表项描述扩展分区，第三第四个分区表项填零未用）
每一个分区表项各占16个字节，各字节含义如下：（H表示16进制）
字节位置        内容及含义
第1字节        引导标志。若值为80H表示活动分区；若值为00H表示非活动分区。
第2、3、4字节        本分区的起始磁头号、扇区号、柱面号
第5字节        分区类型符：
00H——表示该分区未用
06H——FAT16基本分区
0BH——FAT32基本分区
05H——扩展分区
07H——NTFS分区
0FH——（LBA模式）扩展分区
83H—— Linux分区
第6、7、8字节        本分区的结束磁头号、扇区号、柱面号
第9、10、11、12字节        本分区之前已用了的扇区数
第13、14、15、16字节        本分区的总扇区数
  
此硬盘的第一分区表（即MBR）分析如下：
  
  
第一个分区表项（C盘）
第1字节80：表示此分区为活动分区；
第5字节0B：表示分区类型为Fat32；
第9、10、11、12字节 系统隐含扇区3F 00 00 00：所谓系统隐含扇区就是本分区（C盘）之前已用了的扇区数，这是一个十六进制数，但要注意：真正的隐含扇区数应该反过来填写（比如：隐含扇区数为3E 4D 5A 6F，则反过来就是6F 5A 4D 3E ，这才是实际的隐含扇区数）。那么，3F 00 00 00反过来写就是00 00 003F，也就是3F，将他转成十进制数我们才能知道实际的隐含扇区数是多大。这可以使用计算器来算，单击工具栏上的“计算器”按钮，如下图：
  



这样就启动了计算器
计算器有两种型号，我们要进行进制转换，就要选择“科学型”