一 Winhex和相關(guān)概念簡(jiǎn)介

1 Winhex

是在Windows下運(yùn)行的十六進(jìn)制編輯軟件，此軟件功能非常強(qiáng)大，有完善的分區(qū)管理功能和文件管理功能，能自動(dòng)分析分區(qū)鏈和文件簇鏈，能對(duì)硬盤(pán)進(jìn)行不同方式不同程度的備份，甚至克隆整個(gè)硬盤(pán)；它能夠編輯任何一種文件類(lèi)型的二進(jìn)制內(nèi)容（用十六進(jìn)制顯示）其磁盤(pán)編輯器可以編輯物理磁盤(pán)或邏輯磁盤(pán)的任意扇區(qū)，是手工恢復(fù)數(shù)據(jù)的首選工具軟件。 

2 數(shù)據(jù)恢復(fù)概念數(shù)據(jù)恢復(fù)分類(lèi)：硬恢復(fù)和軟恢復(fù)。所謂硬恢復(fù)就是硬盤(pán)出現(xiàn)物理性損傷，那么我們將它修好，同時(shí)又保留里面的數(shù)據(jù)或后來(lái)恢復(fù)里面的數(shù)據(jù)；所謂軟恢復(fù)，就是硬盤(pán)本身沒(méi)有物理?yè)p傷，而是由于人為或者病毒破壞所造成的數(shù)據(jù)丟失（比如誤格式化，誤分區(qū)），這樣的數(shù)據(jù)恢復(fù)就叫軟恢復(fù)。主要介紹軟恢復(fù)，硬恢復(fù)還需要購(gòu)買(mǎi)一些工具設(shè)備（比如pc3000,電烙鐵，各種芯片、電路板）。

3 MBR和EBRMBR，即主引導(dǎo)記錄，位于整個(gè)硬盤(pán)的0柱面0磁道1扇區(qū)，共占用了63個(gè)扇區(qū)，但實(shí)際只使用了1個(gè)扇區(qū)（512字節(jié)）。在總共512字節(jié)的主引導(dǎo)記錄中，MBR又可分為三部分：第一部分：引導(dǎo)代碼，占用了446個(gè)字節(jié)；第二部分：分區(qū)表，占用了64字節(jié)；第三部分：55AA，結(jié)束標(biāo)志，占用了兩個(gè)字節(jié)。后面我們要說(shuō)的用winhex軟件來(lái)恢復(fù)誤分區(qū)，主要就是恢復(fù)第二部分：分區(qū)表。引導(dǎo)代碼的作用：就是讓硬盤(pán)具備可以引導(dǎo)的功能。如果引導(dǎo)代碼丟失，分區(qū)表還在，那么這個(gè)硬盤(pán)作為從盤(pán)所有分區(qū)數(shù)據(jù)都還在，只是這個(gè)硬盤(pán)自己不能夠用來(lái)啟動(dòng)進(jìn)系統(tǒng)了。如果要恢復(fù)引導(dǎo)代碼，可以用DOS下的命令：FDISK /MBR；這個(gè)命令只是用來(lái)恢復(fù)引導(dǎo)代碼，不會(huì)引起分區(qū)改變，丟失數(shù)據(jù)。另外，也可以用工具軟件，比如DISKGEN、WINHEX等。但分區(qū)表如果丟失，后果就是整個(gè)硬盤(pán)一個(gè)分區(qū)沒(méi)有，就好象剛買(mǎi)來(lái)一個(gè)新硬盤(pán)沒(méi)有分過(guò)區(qū)一樣。是很多病毒喜歡破壞的區(qū)域。EBREBR，也叫做擴(kuò)展MBR（Extended MBR）。因?yàn)橹饕龑?dǎo)記錄MBR最多只能描述4個(gè)分區(qū)項(xiàng)，如果想要在一個(gè)硬盤(pán)上分多于4個(gè)區(qū)，就要采用擴(kuò)展MBR的辦法。MBR、EBR是分區(qū)產(chǎn)生的。每一個(gè)分區(qū)又由DBR、FAT1、FAT2、DIR、DATA 5部分。

4 Winhex菜單和界面最上面的是菜單欄和工具欄，下面最大的窗口是工作區(qū)，現(xiàn)在看到的是硬盤(pán)的第一個(gè)扇區(qū)的內(nèi)容，以十六進(jìn)制進(jìn)行顯示，并在右邊顯示相應(yīng)的ASCII碼，右邊是詳細(xì)資源面板，分為五個(gè)部分：狀態(tài)、容量、當(dāng)前位置、窗口情況和剪貼板情況。這些情況對(duì)把握整個(gè)硬盤(pán)的情況非常有幫助。另外，在其上單擊鼠標(biāo)右鍵，可以將詳細(xì)資源面板與窗口對(duì)換位置，或關(guān)閉資源面板。（如果關(guān)閉了資源面板可以通過(guò)“察看”菜單——“顯示”命令——“詳細(xì)資源面板”來(lái)打開(kāi)）。 最下面一欄是非常有用的輔助信息，如當(dāng)前扇區(qū)/總扇區(qū)數(shù)目……等向下拉拉滾動(dòng)條，可以看到一個(gè)灰色的橫杠，每到一個(gè)橫杠為一個(gè)扇區(qū)，一個(gè)扇區(qū)共512字節(jié)，每?jī)蓚€(gè)數(shù)字為一個(gè)字節(jié)，比如00。

5 中文菜單 

選擇下圖中的Chinese,please!，可轉(zhuǎn)為中文菜單；不過(guò)下了個(gè)17.x版本的，需要注冊(cè)才能轉(zhuǎn)為中文菜單；又下了個(gè)18.x版本的，可轉(zhuǎn)為中文菜單；

二 使用入門(mén)1 打開(kāi)磁盤(pán)

菜單：工具-打開(kāi)磁盤(pán)；

選擇要打開(kāi)的磁盤(pán)；

2 界面

上方是目錄和文件情況；下邊是打開(kāi)磁盤(pán)的16進(jìn)制數(shù)值；

3 找下MBR的結(jié)束標(biāo)志

按前文所述，MBR占1個(gè)扇區(qū)，512字節(jié)，結(jié)束標(biāo)志是55AA；可從Winhex直接打開(kāi)計(jì)算器，10進(jìn)制的512轉(zhuǎn)換為16進(jìn)制是200；

找到偏移00000200，如下圖，每個(gè)扇區(qū)結(jié)束有一個(gè)橫線(xiàn)標(biāo)志；偏移從00000000開(kāi)始，那么第二個(gè)扇區(qū)的起始偏移是00000200；看下下圖，Offset列值為000001F0所對(duì)應(yīng)行的最后2個(gè)字節(jié)，為55 AA，正是MBR的結(jié)束標(biāo)志；這樣就找到了MBR所在區(qū)域；

4 查看分區(qū)表

分區(qū)表位于結(jié)束標(biāo)志之前的64個(gè)字節(jié)；每行16字節(jié)，4*16=64；那么第一扇區(qū)倒數(shù)第五行，倒數(shù)的第2個(gè)字節(jié)，就是分區(qū)表的起始；如下圖；其值為0D;

到此就出現(xiàn)問(wèn)題了；

按網(wǎng)上資料，分區(qū)表第一字節(jié)是引導(dǎo)標(biāo)志；若值為80H表示活動(dòng)分區(qū)；若值第1字節(jié) 為00H表示非活動(dòng)分區(qū)。那么我的0D是表示什么？

第五字節(jié)是分區(qū)類(lèi)型；按網(wǎng)上資料，

00H——表示該分區(qū)未用06H——FAT16基本分區(qū)0BH——FAT32基本分區(qū)05H——擴(kuò)展分區(qū)07H——NTFS分區(qū)0FH——（LBA模式）擴(kuò)展分區(qū)83H—— Linux分區(qū)

數(shù)到第五個(gè)字節(jié)，我的為什么是4F？

剛才打開(kāi)的C盤(pán)，再打開(kāi)B盤(pán)，是一樣的；

到此就搞不下去；下次再說(shuō)吧；

如下圖的箭頭按鈕，可以輸入偏移值，進(jìn)行跳轉(zhuǎn)；