学习winhex不得不问的7个问题

diyer311 · 发表于 2009-2-2 14:47:17

1.我总共3个盘（20G硬盘3个分区全是FAT32的），其中的D盘和E盘的引导代码为什么不全是0？理论上应该是全0的呀！
2.假如恢复MBR的时候，在不知道C盘的分区类型的情况下能一个一个试么？比如先填0C或0B不行后再改填07，这样对硬盘有影响么？
3.网上的手动恢复MBR的Word版教程中在把MBR清空的情况下恢复引导代码的时候，我看他是直接把另一个硬盘的引导代码直接复制过来，关键问题是：是不是只要是同一个类型的操作系统的引导代码都通用?比如需要WinXP的引导代码时，是不是不管复制的是SP1/2/3版的都行？或是原版的还是GHOST版的都行？
4.FAT32类型分区的文件分配表标志是F8FFFF0FFFFFFFFF，那么NTFS类型分区的文件分配表标志是什么？
5.我总共3个盘（20G硬盘3个分区全是FAT32的），D盘和E盘的DBR在它下面的第6扇区能找到备份的，是一模一样的，但是C盘的DBR在它下面的第6个扇区虽然能找到备份然而却不太一样（也就是512字节的后面几十字节不一样），为什么呢？
6.NTFS类型分区的DBR大家都知道在本分区的最后一个扇区，但是我的机子（总共3个盘20G硬盘3个分区全是FAT32的）C盘和D盘的DBR在本分区的最后一个分区都能找到一模一样的备份，但是E盘的DBR却在最后一个分区找不到也就是总扇区数减1的扇区，那里面的512字节全是FF，乃至上面的几万扇区全是F，这是为什么呢？
7.还有最后一个问题就是NTFS下的启动扇区（模板）和FAT32下的启动扇区（模板）不大一样，请斑竹和各位大虾虾们帮我来个小说明。
以上几个问题就有劳各位winhex的专家了（38：（38：

xulemeng · 发表于 2009-2-2 15:29:43

帮楼主顶一下。支持！！！！！！！！！

ijcl · 发表于 2009-2-2 18:25:22

我不是专家，试着回答一下：
1.引导代码说的不清楚，是不是指mbr?如果是主分区+扩展分区结构，d和e盘前面有虚拟mbr，放着一些分区信息，当然不全为0。如果是主分区+主分区+主分区结构，应该为0。
2.不影响
3.xp下的mbr都是一样的,只有普通版xp才具有写mbr的功能,ghost版本的xp没有mbr代码,如果原盘没有mbr,用ghost版做完以后系统是不能启动的.
4.ntfs没有文件分配表,它采用mft的管理模式.
5.这个可能被破坏了,再说,dbr主要是512的前面字节有用,后面的几十个字节意义不大.
6.那可能是多次分区留下的垃圾,或人为的备份,fat32在分区结尾是没有dbr备份的
7.这个问题不是一句话能说清楚的,把dbr搞明白了,这个问题就不是问题.

diyer311 · 发表于 2009-2-3 09:46:12

2楼的大哥不错哦小弟明白了不少不胜感激但是还有些小问题扑面而来
1.在《NTFS分区格式化后用WINHEX手工提取数据一例》这一经典文章中有一句：对原盘的那个格式化掉的分区做完镜像后，用WINHEX打开镜像，设置镜像文件为磁盘。不对原盘的那个格式化掉的分区做镜像直接打开不行么？假如必须做镜像是不是选择所在分区然后选择克隆分区（为来源）后保存然后用WINHEX打开该文件进行操作？
2.可不可以通过查看分区中有无$MFT文件来判断该分区是NTFS分区还是FAT32分区？
3.请哪位专家能发篇FAT32分区格式化后用WINHEX手工提取数据一例
（38： [s:16] （38：

xulemeng · 发表于 2009-2-3 11:05:43

呵，楼主的问题真多呀。不过我喜欢看这样的帖子，因为只有好学的人才能问出这么多问题。顶楼主！！！！！！！！

感谢海云高手的回答，学到了不少。

对于楼主的后三个问题，建议你一个接一个的浏览本区的帖子，每个帖子从头看到尾，也许看过几十个或一百个帖子以后，你这几个问题就不是问题了。

我就是这样做的，因为太菜，还达不到楼主的水平（至少能问出这些问题），所以我只能一个帖子一个帖子看下去。。。。。。。。。。。。

不过楼主的前7个问题，我觉得还是很有必要一问的！！！！！

跟着楼主的帖学了很多东西。

[ 本帖最后由 xulemeng 于 2009-2-3 11:07 编辑 ]

reeker · 发表于 2009-2-3 13:59:52

3楼说得极是。
我只对第一点稍作补充：
我猜想，楼主对“引导代码”的定义应该是指MBR或者EBR前边的代码，而不是指DBR中的指令代码，并且相信楼主硬盘的分区管理方式为“主+扩”。
理论上，对EBR来说，如果是一个全新的硬盘，偏移1BD之前的所有字节应该为全00，因为EBR并不需要担负MBR那样的具体引导任务。
但在一个多次分区的硬盘里，如果分区位置不一致，就会使得最后的EBR所在的起始扇区位置正好处于上次分区的数据区内。如果在这个扇区里正好有数据的话，系统在新建分区填写EBR相关参数的时候，只是对该扇区最后的66个字节进行处理。而偏移1BD之前的446个字节仍然保持原数据代码不变。这也就是为什么我们在一些硬盘的扩展分区的EBR中，看到EBR前446字节不全为00的原因。

diyer311 · 发表于 2009-2-3 15:00:19

reeker大哥好厉害，说的很有很有道理，看样子在数据恢复上有很深的造诣，我说的引导代码确实是指MBR或者EBR前边446字节的代码，我也是从论坛上一篇Winhex的Word版教程上学来的呵呵今后请你多多指教哦
大章鱼大哥也不错哦都顶我2下了 [s:14] [s:14]
这里果然人才倍出，我在百度里提问都13天了也没人会会回答 [s:189]

（38：（49：（38：

diyer311 · 发表于 2009-2-4 08:44:33

小弟又来问题也
1.我发现不管是C盘D盘还是E盘的$MFT文件咋都在C盘的扇区范围内？而且它们所在的扇区相离不是太远？
2.看过NTFS分区格式化后用WINHEX手工提取数据一例的朋友都知道关键的一步是定位文件的起始位置，所以分析的时候是从数据流属性那行开始网下第5行的右边8个字节着手，但是人家那行是32 80 2D D5 58 17总共6个字节翻译过来也就第1530069个扇区，但是我的咋是31 01 0B C8 12 31 08 AA总共8个字节翻译过来也就是第12252096742996771121个扇区（惊世骇俗也）我找到的那个扇区也没错呀第一个有文件记录头，第二个有10H第三个有30H第四个也有30H最后一个也有80H也就是表示数据流属性还能是取从数据流属性那行开始网下第5行右边8个字节的前6个字节？请高手给小弟点指点啦 -------不胜感激.......

xulemeng · 发表于 2009-2-4 09:13:20

我再来顶一下。楼主你就一直问吧，我就一直支持。

看你的帖子收获很大。

希望高手出马！！！！！！

diyer311 · 发表于 2009-2-4 11:15:32

有章鱼哥的大力支持小弟也不胜感激，有你的支持小弟我会问的海枯石烂，山崩地裂的！

[s:12]