-.z.winhe*教程

winhe*數(shù)據(jù)恢復(fù)分類：硬恢復(fù)和軟恢復(fù)。所謂硬恢復(fù)就是硬盤出現(xiàn)物理性損傷，比方有盤體壞道、電路板芯片燒毀、盤體異響，等故障，由此所導(dǎo)致的普通用戶不容易取出里面數(shù)據(jù)，則我們將它修好，同時又保存里面的數(shù)據(jù)或后來恢復(fù)里面的數(shù)據(jù)，這些都叫數(shù)據(jù)恢復(fù)，只不過這些故障有容易的和困難的之分；所謂軟恢復(fù)，就是硬盤本身沒有物理損傷，而是由于人為或者病毒破壞所造成的數(shù)據(jù)喪失〔比方誤格式化，誤分區(qū)〕，則這樣的數(shù)據(jù)恢復(fù)就叫軟恢復(fù)。這里呢，我們主要介紹軟恢復(fù)，因為硬恢復(fù)還需要購置一些工具設(shè)備〔比方pc3000,電烙鐵，各種芯片、電路板〕，而且還需要懂一點點電路根底，我們這里所講到的所有的知識，涉及面廣，層次深，既有數(shù)據(jù)構(gòu)造原理，為我們手工準確恢復(fù)數(shù)據(jù)提供依據(jù)，又有各種數(shù)據(jù)恢復(fù)軟件的使用方法及技巧，為我們快速恢復(fù)數(shù)據(jù)提供便利，而且所有軟件均為網(wǎng)上下載，不需要我們投資一分錢。數(shù)據(jù)恢復(fù)的前提：數(shù)據(jù)不能被二次破壞、覆蓋！關(guān)于數(shù)碼與碼制：關(guān)于二進制、十六進制、八進制它們之間的轉(zhuǎn)換我不想多說，因為他對我們數(shù)據(jù)恢復(fù)來說幫助不大，而且很容易把我們繞暈。如果你感興趣想多了解一些，可以到百度里面去搜一下，這方面資料已經(jīng)很多了，就不需要我再多說了。數(shù)據(jù)恢復(fù)我們主要用十六進制編輯器：Winhe*〔數(shù)據(jù)恢復(fù)首選軟件〕我們先了解一下數(shù)據(jù)構(gòu)造：下面是一個分了三個區(qū)的整個硬盤的數(shù)據(jù)構(gòu)造MBRC盤EBRD盤EBRE盤MBR，即主引導(dǎo)紀錄，位于整個硬盤的0柱面0磁道1扇區(qū)，共占用了63個扇區(qū)，但實際只使用了1個扇區(qū)〔512字節(jié)〕。在總共512字節(jié)的主引導(dǎo)記錄中，MBR又可分為三局部：第一局部：引導(dǎo)代碼，占用了446個字節(jié)；第二局部：分區(qū)表，占用了64字節(jié)；第三局部：55AA，完畢標志，占用了兩個字節(jié)。后面我們要說的用winhe*軟件來恢復(fù)誤分區(qū)，主要就是恢復(fù)第二局部：分區(qū)表。引導(dǎo)代碼的作用：就是讓硬盤具備可以引導(dǎo)的功能。如果引導(dǎo)代碼喪失，分區(qū)表還在，則這個硬盤作為從盤所有分區(qū)數(shù)據(jù)都還在，只是這個硬盤自己不能夠用來啟動進系統(tǒng)了。如果要恢復(fù)引導(dǎo)代碼，可以用DOS下的命令：FDISK/MBR；這個命令只是用來恢復(fù)引導(dǎo)代碼，不會引起分區(qū)改變，喪失數(shù)據(jù)。另外，也可以用工具軟件，比方DISKGEN、WINHE*等。但分區(qū)表如果喪失，后果就是整個硬盤一個分區(qū)沒有，就好象剛買來一個新硬盤沒有分過區(qū)一樣。是很多病毒喜歡破壞的區(qū)域。EBR，也叫做擴展MBR〔E*tendedMBR〕。因為主引導(dǎo)記錄MBR最多只能描述4個分區(qū)項，如果想要在一個硬盤上分多于4個區(qū)，就要采用擴展MBR的方法。MBR、EBR是分區(qū)產(chǎn)生的。比方MBR和EBR各都占用63個扇區(qū)，C盤占用1435329個扇區(qū)……則數(shù)據(jù)構(gòu)造如下表：631435329631435329631253889MBRC盤EBRD盤EBRE盤

擴展分區(qū)而每一個分區(qū)又由DBR、FAT1、FAT2、DIR、DATA5局部組成：比方C

盤的數(shù)據(jù)構(gòu)造：C盤DBRFAT1FAT2DIRDATAWinhe*Winhe*是使用最多的一款工具軟件，是在Windows下運行的十六進制編輯軟件，此軟件功能非常強大，有完善的分區(qū)管理功能和文件管理功能，能自動分析分區(qū)鏈和文件簇鏈，能對硬盤進展不同方式不同程度的備份，甚至克隆整個硬盤；它能夠編輯任何一種文件類型的二進制容〔用十六進制顯示〕其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任意扇區(qū)，是手工恢復(fù)數(shù)據(jù)的首選工具軟件。首先要安裝Winhe*，安裝完了就可以啟動winhe*了，啟動畫面如下：首先出現(xiàn)的是啟動中心對話框。這里我們要對磁盤進展操作，就選擇"翻開磁盤〞，出現(xiàn)"編輯磁盤〞對話框：在這個對話框里，我們可以選擇對單個分區(qū)翻開，也可以對整個硬盤翻開，HD0是我現(xiàn)在正用的西部數(shù)據(jù)40G系統(tǒng)盤，HD1是我們要分析的硬盤，邁拓2G。這里我們就選擇翻開HD1整個硬盤，再點確定.然后我們就看到了Winhe*的整個工作界面。最上面的是菜單欄和工具欄，下面最大的窗口是工作區(qū)，現(xiàn)在看到的是硬盤的第一個扇區(qū)的容，以十六進制進展顯示，并在右邊顯示相應(yīng)的ASCII碼，右邊是詳細資源面板，分為五個局部：狀態(tài)、容量、當前位置、窗口情況和剪貼板情況。這些情況對把握整個硬盤的情況非常有幫助。另外，在其上單擊鼠標右鍵，可以將詳細資源面板與窗口對換位置，或關(guān)閉資源面板?！踩绻P(guān)閉了資源面板可以通過"觀察〞菜單——"顯示〞命令——"詳細資源面板〞來翻開〕。

最下面一欄是非常有用的輔助信息，如當前扇區(qū)/總扇區(qū)數(shù)目……等向下拉拉滾動條，可以看到一個灰色的橫杠，每到一個橫杠為一個扇區(qū)，一個扇區(qū)共512字節(jié)，每兩個數(shù)字為一個字節(jié)，比方00。下面我們來分析一下MBR，因為前面我們說過，前446個字節(jié)為引導(dǎo)代碼，對我們來說沒有意義，這里我們只分析分區(qū)表中的64個字節(jié)。分區(qū)表64個字節(jié)，一共可以描述4個分區(qū)表項，每一個分區(qū)表項可以描述一個主分區(qū)或一個擴展分區(qū)〔比方上面的分區(qū)表，第一個分區(qū)表項描述主分區(qū)C盤，第二個分區(qū)表項描述擴展分區(qū)，第三第四個分區(qū)表項填零未用〕每一個分區(qū)表項各占16個字節(jié)，各字節(jié)含義如下：〔H表示16進制〕字節(jié)位置容及含義第1字節(jié)引導(dǎo)標志。假設(shè)值為80H表示活動分區(qū)；假設(shè)值為00H表示非活動分區(qū)。第2、3、4字節(jié)本分區(qū)的起始磁頭號、扇區(qū)號、柱面號第5字節(jié)分區(qū)類型符：00H——表示該分區(qū)未用06H——FAT16根本分區(qū)0BH——FAT32根本分區(qū)05H——擴展分區(qū)07H——NTFS分區(qū)0FH——〔LBA模式〕擴展分區(qū)83H——Linu*分區(qū)第6、7、8字節(jié)本分區(qū)的完畢磁頭號、扇區(qū)號、柱面號第9、10、11、12字節(jié)本分區(qū)之前已用了的扇區(qū)數(shù)第13、14、15、16字節(jié)本分區(qū)的總扇區(qū)數(shù)此硬盤的第一分區(qū)表〔即MBR〕分析如下：第一個分區(qū)表項〔C盤〕第1字節(jié)80：表示此分區(qū)為活動分區(qū)；第5字節(jié)0B：表示分區(qū)類型為Fat32；第9、10、11、12字節(jié)系統(tǒng)隱含扇區(qū)3F000000：所謂系統(tǒng)隱含扇區(qū)就是本分區(qū)〔C盤〕之前已用了的扇區(qū)數(shù)，這是一個十六進制數(shù)，但要注意：真正的隱含扇區(qū)數(shù)應(yīng)該反過來填寫〔比方：隱含扇區(qū)數(shù)為3E4D5A6F，則反過來就是6F5A4D3E，這才是實際的隱含扇區(qū)數(shù)〕。則，3F000000反過來寫就是0000003F，也就是3F，將他轉(zhuǎn)成十進制數(shù)我們才能知道實際的隱含扇區(qū)數(shù)是多大。這可以使用計算器來算，單擊工具欄上的"計算器〞按鈕，如以下圖：這樣就啟動了計算器計算器有兩種型號，我們要進展進制轉(zhuǎn)換，就要選擇"科學(xué)型〞比方我們要將十六進制3F轉(zhuǎn)換為十進制，就要先選中"十六進制〞，然后輸入3F再選中"十進制〞，十六進制3F轉(zhuǎn)為十進制等于63。想一想我們前面所講的，MBR占用63個扇區(qū)，也就是C盤之前已用了的扇區(qū)數(shù)為63，第64個扇區(qū)就是C盤的第一個扇區(qū)，但要注意的是，整個硬盤的LBA地址是從零開場的，0~62的扇區(qū)為MBR。第13、14、15、16字節(jié)本分區(qū)總扇區(qū)數(shù)(當然，這也就是C盤的大小)：C1E61500，同樣，實際的十六進制數(shù)也要反過來才對，也就是0015E6C1，將它轉(zhuǎn)換成十六進制數(shù)是1435329。給你出個題，你知道D盤的EBR在哪個扇區(qū)嗎？我們一起來算一下，還記得前面數(shù)據(jù)構(gòu)造那個表嗎？C盤后面不就是D盤的EBR嗎？D盤EBR的第一個扇區(qū)=MBR+C盤的大小，也就是63+1435329=1435392。

我們來看看對不對，單擊工具欄上的"轉(zhuǎn)到扇區(qū)〞按鈕，出現(xiàn)一個"轉(zhuǎn)到扇區(qū)〞對話框然后輸入1435392，再點"確定〞，就到了1435392扇區(qū)了〔你可以使用它再轉(zhuǎn)回到0扇區(qū)〕

這個就是D盤的EBR，也就是D盤的分區(qū)表了，怎么知道的呢？因為MBR和EBR的構(gòu)造是完全一樣的，都是占用了63個扇區(qū)，但只用了第一個扇區(qū)，其余62個扇區(qū)填零不用。第一個扇區(qū)前446個字節(jié)都為引導(dǎo)代碼，后64個字節(jié)為分區(qū)表，最后2個字節(jié)為55AA完畢標志。因為EBR不是活動分區(qū)，不需要引導(dǎo)代碼，所以前446個字節(jié)為零。

還有另一種方法直接找到D盤的EBR，單擊"訪問〞下拉按鈕——"分區(qū)二〞——"分區(qū)表〞，直接就到1435392扇區(qū).這樣，分區(qū)表中的第一個分區(qū)表項共十六個字節(jié)分析完畢，下面我們再來看看第二個分區(qū)表項〔擴展分區(qū)〕。

第1字節(jié)00：表示非活動分區(qū)

第5字節(jié)05：表示擴展分區(qū)

第9、10、11、12字節(jié)00E71500：本分區(qū)之前的扇區(qū)數(shù)〔擴展分區(qū)前面也就是MBR和C盤，好似我們前面算過這個數(shù)？〕同樣，先將它反過來，就是0015E700，再轉(zhuǎn)為十進制是1435392，看來我們前面真的算過這個數(shù)。第13、14、15、16字節(jié)40092900：本分區(qū)的總扇區(qū)數(shù)。也就是擴展分區(qū)的總扇區(qū)數(shù)。轉(zhuǎn)為十進制應(yīng)該是2689344。想一想，用這個數(shù)加上前面的1435392，不正好是整個硬盤的總扇區(qū)數(shù)4124736嗎？這樣，如果分區(qū)表被破壞，我們只要把這些數(shù)值都計算出來并填上，分區(qū)表不就恢復(fù)了？則，這里我們?yōu)槭裁床环治龅?、3、4字節(jié)〔本分區(qū)的起始磁頭號、扇區(qū)號、柱面號〕和第6、7、8字節(jié)〔本分區(qū)的完畢磁頭號、扇區(qū)號、柱面號〕呢？這是因為C/H/S(柱面/磁頭/扇區(qū))是老式硬盤的尋址方式，這種尋址方式來管理硬盤效率很低；而現(xiàn)在幾乎所有的硬盤都支持LBA(全稱是LogicBlockAddress，即扇區(qū)的邏輯塊地址)尋址方式，這種管理方式簡單高效。在LBA方式下，系統(tǒng)把所有的物理扇區(qū)都統(tǒng)一編號，按照從零到*個最大值排列，這樣只用一個序數(shù)就確定了一個唯一的物理扇區(qū)。

小知識：具體一個硬盤有多少個LBA(扇區(qū))不需要我們?nèi)ビ洃洠驗橛酶鞣N工具軟件〔如MHDDWINHE*等〕都可以檢測到。我們只要知道個大概就行了：如10G的硬盤大概有2000萬個扇區(qū)；20G的硬盤大概有4000萬個扇區(qū)；40G的硬盤大概有8000萬個扇區(qū)……則，2G的硬盤大概有400萬個扇區(qū)。

則，你可能要問了：如果要恢復(fù)分區(qū)表，這個起始磁頭號、扇區(qū)號、柱面號還有完畢磁頭號、扇區(qū)號、柱面號應(yīng)該怎么填呢？簡單得很，在后面恢復(fù)分區(qū)表的時候我會告訴你，直接填，都不用計算。還有興趣來分析一下D盤的EBR嗎？

其實D盤的EBR和Ｅ盤的EBR我們不分析也罷，因為無非也是分區(qū)表，跟MBR的構(gòu)造是一樣的，但卻很容易把我們繞暈，又因為EBR一般不容易被破壞，所以我不建議分析EBR。

但如果你一定要分析，那就分析吧。

單擊"訪問〞下拉按鈕——"分區(qū)二〞——"分區(qū)表〞，直接就到1435392扇區(qū)，即D盤的分區(qū)表EBR。第一個分區(qū)表項〔D盤〕：

第1個字節(jié)00：表示非活動分區(qū)

第5個字節(jié)06：表示FAT16分區(qū)

第9、10、11、12字節(jié)3F000000：本分區(qū)之前已用了的扇區(qū)數(shù)，也就是EBR的數(shù)目，63個。

第13、14、15、16字節(jié)C1E61500：本分區(qū)的總扇區(qū)數(shù)，也就是D盤的扇區(qū)數(shù)，先反過來排列就是0015E6C1，轉(zhuǎn)為十進制就是1435329。

第二個分區(qū)表項〔D盤后面的〕：

第1個字節(jié)00：表示非活動分區(qū)

第5個字節(jié)05：表示擴展分區(qū)

第9、10、11、12字節(jié)00E71500：本分區(qū)之前已用了的扇區(qū)數(shù)，也就是D盤的EBR加D盤總共的大小，63+1435329=1435392

第13、14、15、16字節(jié)40221300：本分區(qū)的總扇區(qū)數(shù)，1253952,也就是E盤的大小再加上一個EBR的數(shù)目。

單擊"訪問〞下拉按鈕——"分區(qū)三〞——"分區(qū)表〞，直接就到2870784扇區(qū)，即E

盤的分區(qū)表EBR。因為E盤后面沒有分區(qū)了，所以沒有第二個分區(qū)表項。這里我們就不再研究了，有興趣的話可以自己多備一塊硬盤作從盤，然后自己分分區(qū)研究研究。

通過以上的研究我們總結(jié)一下，MBR在定義分區(qū)的時候，將多余的容量定義為擴展分區(qū)，指定該擴展分區(qū)的起止位置，根據(jù)起始位置指向硬盤的*一個扇區(qū)，作為下一個分區(qū)表項，接著在該扇區(qū)繼續(xù)定義分區(qū)，如果只有一個分區(qū)，就定義該分區(qū)，然后完畢；如果不止一個分區(qū)，就定義一個根本分區(qū)和一個擴展分區(qū)，擴展分區(qū)再指向下一個分區(qū)描述扇區(qū)，在該分區(qū)上按照上述原則繼續(xù)定義分區(qū)，直至分區(qū)定義完畢。這些用來描述分區(qū)的扇區(qū)形成一個"分區(qū)鏈〞，通過這個分區(qū)鏈，就可以描述所有的分區(qū)。系統(tǒng)在啟動時按照分區(qū)鏈的連接順序查找分區(qū)，直至找出所有分區(qū)。這個鏈顯然是個開鏈構(gòu)造，如果形成一個環(huán)，系統(tǒng)本身并不會去判斷它，它只是按照這個鏈忠實的查找分區(qū)，而不進展任何額外的檢測與處理。所謂硬盤邏輯鎖，就是讓分區(qū)鏈形成一個環(huán)，這樣系統(tǒng)在啟動時就在分區(qū)表循環(huán)，表現(xiàn)為系統(tǒng)無法引導(dǎo)，就是從軟盤啟動，也不能進入硬盤。明白了其構(gòu)造原理，解決這個問題就簡單了，目前有很多種方法解決這個問題，后面我們還會講到。系統(tǒng)就是利用這種方法使一個硬盤分區(qū)后看起來象多個硬盤。系統(tǒng)能夠找到C盤以外的其他邏輯盤的唯一方法就是，沿著EBR所描述的分區(qū)鏈查找分區(qū)。

其實，通常情況下EBR是不會被破壞的，或者破壞的幾率極低極低，通常情況下，都是只有MBR被破壞，則這種情況下，我們只要把MBR的分區(qū)表64個字節(jié)復(fù)原，其他的分區(qū)順著分區(qū)表所提供的鏈自然而然就出來了。則，如何才能將分區(qū)表復(fù)原呢？這就要通過計算結(jié)合Winhe*強大的功能來實現(xiàn)了。

下面我們就來模仿分區(qū)表被病毒破壞的情況，將MBR全部填零。我們首先將MBR所在的扇區(qū)選中。鼠標指向第一個字節(jié)，單擊右鍵，選擇"選塊開場〞然后鼠標指向MBR的最后一個字節(jié)，單擊右鍵，選擇"選塊結(jié)尾〞然后我們在選區(qū)部單擊鼠標右鍵，選擇"編輯〞這樣就有出來一個菜單然后我們選"填充選塊〞，這樣就出來一個填充選塊對話框在"用十六進制填充〞的輸入框中輸入"00〞，再點"確定〞這樣MBR所在扇區(qū)全部被我們填充為"00〞如果想取消選區(qū)，那就用鼠標拖動隨便選中一塊區(qū)域，則原來的選區(qū)就會取消。注意，如果扇區(qū)數(shù)據(jù)被修改了而沒有存盤就會變?yōu)閯e的顏色。

修改了扇區(qū)，這時候還沒有存盤生效，如果你想存盤生效的話，就選擇"文件〞菜單"保存扇區(qū)〞命令。這時候就會出現(xiàn)一個提示，如果你不想存盤了就點取消，如果想存盤，就點確定，再點是。好，這樣就存盤了，扇區(qū)被修改的數(shù)據(jù)又變?yōu)楹谏?/p>

這樣我們就把分區(qū)表給刪除了，這時候必須重新啟動才能生效，如果你翻開我的電腦，會發(fā)現(xiàn)三個分區(qū)〔F、G、H〕還在那里，并且里面的數(shù)據(jù)還能正常使用?，F(xiàn)在，我們關(guān)閉所有程序?qū)㈦娔X重新啟動……

經(jīng)過不長時間的等待，電腦啟動起來了，我們翻開我的電腦看看，發(fā)現(xiàn)F、G、H三個分區(qū)不見了。再翻開Winhe*發(fā)現(xiàn)MBR全部為零了，下面我們就著手開場手工恢復(fù)分區(qū)表首先恢復(fù)引導(dǎo)代碼，這最簡單了，只要用Winhe*到別的系統(tǒng)盤把引導(dǎo)代碼復(fù)制過來就行了。我現(xiàn)在的機器上不是掛著兩個硬盤嗎？一個邁拓2G，一個西數(shù)40G，西數(shù)40G是我的系統(tǒng)盤，那就從這個盤上復(fù)制就行了。單擊"磁盤編輯器〞按鈕出現(xiàn)"編輯磁盤〞對話框選擇"HD0WDCWD400EB---00CPF0〞,點"確定〞這樣我們就把系統(tǒng)盤的分區(qū)表給翻開了，注意，現(xiàn)在我們是翻開了兩個窗口，當前的窗口是"硬盤0〞，在標題欄上有顯示。另外，翻開窗口菜單也能看出來，當前窗口被打上一個勾，如果想切換回原來的窗口，就點擊"硬盤1〞。首先選中系統(tǒng)盤的引導(dǎo)代碼然后在選區(qū)中單擊鼠標右鍵，選"編輯〞又出來一個菜單，然后我們選"復(fù)制選塊〞——"正常〞然后我們切換回硬盤1窗口，在零扇區(qū)的第一個字節(jié)處單擊鼠標右鍵，選"編輯〞然后選"剪貼板數(shù)據(jù)〞——"寫入……〞出現(xiàn)一個窗口提示，點"確定〞這樣，我們就把一個正常系統(tǒng)盤上的引導(dǎo)代碼復(fù)制過來了。下面，我們就開場恢復(fù)分區(qū)表〔共64個字節(jié)，分為4個分區(qū)表項，每個分區(qū)表項占用16個字節(jié)，一般只使用前兩個分區(qū)表項〕，我們首先來恢復(fù)第一個分區(qū)標項〔也就是用來描述C盤的〕。首先，在第1個字節(jié)處〔0扇區(qū)倒數(shù)第五行，倒數(shù)第二個字節(jié)〕填上分區(qū)引導(dǎo)標志，因為C盤是活動分區(qū)，所以填上80。

接著是第2、3、4字節(jié)〔本分區(qū)起始磁頭號、扇區(qū)號、柱面號〕，填上：010100。

第5字節(jié)是分區(qū)類型符，因為原先C盤是Fat32格式，所以填上：0B。則，如果你不知道C盤是什么格式怎么辦呢？你會說問問客戶呀，則如果他也不知道呢？別著急，后面在說恢復(fù)DBR的時候我會教你怎么分辨分區(qū)的格式。

第6、7、8字節(jié)是本分區(qū)的完畢磁頭號、扇區(qū)號、柱面號，這怎么知道呢？別著急，現(xiàn)在的磁盤都是按照LBA方式尋址，并不按照C/H/S(及柱面、磁頭、扇區(qū))方式尋址，所以這個地方你填些什么一般關(guān)系不大，但是我要告訴你有一個通用的填法，那就是：FEFFFF。

第9、10、11、12字節(jié)，本分區(qū)之前已用了的扇區(qū)數(shù)，也就是MBR所占用的扇區(qū)數(shù)，那不是63嗎？對，但是要將63轉(zhuǎn)為十六進制數(shù)，再反過來倒著填寫上。還記得怎么用計算器嗎？將63轉(zhuǎn)為十六進制數(shù)是3F，不夠四個字節(jié)前面加零，也就是0000003F，再將此數(shù)從右向左依次序反過來就是3F000000。第13、14、15、16字節(jié)是本分區(qū)的總扇區(qū)數(shù)，也就是C盤的大小，這就要通過稍微一點點計算來得到了。因為C盤是從第63個扇區(qū)開場，而C盤后面緊接著的是EBR，所以用EBR所在的第一個扇區(qū)數(shù)減去63就是C盤的大小。則如何才能找到EBR所在的第一個扇區(qū)呢？我們前面說過，EBR的構(gòu)造和MBR是一樣的，所以，EBR的完畢標志也一定是55AA，則，只要我們找到這個完畢標志，再看看這個扇區(qū)是不是EBR不就行了？單擊"搜索〞——"查找十六進制數(shù)值……〞，然后出來一個對話框在文本框中輸入"55AA〞，搜索框中選"全部〞，然后選中"條件〞，把偏移量設(shè)置為"512=510〞。再單擊"確定〞。畫面如下：首先找到第一個"55AA〞，我們看到，個扇區(qū)在第63個扇區(qū)上，并不是我們要找的EBR，再按F3繼續(xù)查找又找到好幾個扇區(qū)，都不是，則下面這個扇區(qū)是不是？前面我們說過，EBR的構(gòu)造和MBR的構(gòu)造是一樣的，所以在倒數(shù)第五行倒數(shù)第二個字節(jié)應(yīng)該是0001，并且前446個字節(jié)應(yīng)該是0，顯然這也不是EBR，繼續(xù)按F3查找……終于找到了真正的EBR，在1435392扇區(qū)。小技巧：現(xiàn)在的硬盤都比擬大，要逐個扇區(qū)的查找55AA確實太慢了，則有沒有方法快點呢？有，那就是先問問客戶C盤大概有多大，大多數(shù)客戶還是知道的，比方他說C盤大概有10個G，則你就不要從頭開場找了，因為那實在太慢了。10個G大概是2000萬個扇區(qū)，則你可以用轉(zhuǎn)到扇區(qū)命令直接到1900萬扇區(qū)，從那個地方再開場找不就省事多了。用1435392減去63，得到1435329，再轉(zhuǎn)為16進制，就是15E6C1，將他倒轉(zhuǎn)過來就是C1E61500，這就是C盤的大小。這樣，第一個分區(qū)表項填寫完畢，我們保存一下，再接著填寫第二個分區(qū)表項。第二個分區(qū)表第1個字節(jié)：因為是非活動分區(qū)，所以寫00

第2、3、4字節(jié)，填寫010100〔通用的〕

第5字節(jié)：因為是擴展分區(qū)，所以填寫0F

第6、7、8字節(jié)：填寫FEFFFF(通用)

第9、10、11、12字節(jié)是本分區(qū)之前已用了的扇區(qū)數(shù)，應(yīng)該就是C盤大小加63，也就是1435392，前面剛計算出來的，轉(zhuǎn)為十六進制數(shù)再反過來就是00E71500第13、14、15、16字節(jié)是本分區(qū)的總扇區(qū)數(shù)，也就是擴展分區(qū)的總扇區(qū)數(shù)，也就是用整個硬盤的大小減去C盤的大小再減去63，即4124-63=2689344，轉(zhuǎn)為十六進制就是290940，反過來就是40092900。這樣，第二個分區(qū)表項就填寫完了。不要忘了把最后的完畢標志55AA填上，這樣，MBR就全恢復(fù)完了，最后，保存，再重新啟動……啟動完畢，迫不及待的翻開我的電腦，發(fā)現(xiàn)三個分區(qū)全部又回來了，并且里面的數(shù)據(jù)完好無損。再右擊"我的電腦〞，選"管理〞出現(xiàn)一個對話框，選"磁盤管理〞，在右邊可以看到磁盤一的三個分區(qū)(Fat32、Fat16、Ntfs)全部都回來了，至此，手工恢復(fù)分區(qū)表順利完成。手工恢復(fù)數(shù)據(jù)恢復(fù)成功率比擬高，而且比擬有趣味和挑戰(zhàn)性，能找回許多傻瓜似的軟件所找不回來的文件，但是要求工程師一定要有耐性，而且一定要保持清醒，清楚自己正在操作什么，操作完了會有什么后果，能不能退回到上一步狀態(tài)。特別是對一些破壞性操作，一定要考慮周到，只要條件允許，就一定要在操作之前進展備份，否則會造成"血〞的教訓(xùn)，切記?。?！

下面我們會說到手工恢復(fù)DBR、FAT〔此教程被收錄在付費教程中〕，這些比手工恢復(fù)分區(qū)表還要復(fù)雜，更需要大量的計算。再說完了使用Winhe*手工恢復(fù)數(shù)據(jù)之后，我們會說到一些數(shù)據(jù)恢復(fù)軟件，結(jié)合數(shù)據(jù)恢復(fù)軟件會使數(shù)據(jù)恢復(fù)成功率大大提高，但有一些軟件在掃描過程中會對原盤破壞數(shù)據(jù)，在使用中一定要慎重?。?！而且同一個軟件，一個新手用和一個老手用數(shù)據(jù)恢復(fù)成功率絕對是不一樣的，這些軟件我們會免費贈送，絕對不會讓你學(xué)習(xí)了資料卻找不到軟件的。FAT文件系統(tǒng)下的手工數(shù)據(jù)恢復(fù)案例關(guān)鍵詞：數(shù)據(jù)恢復(fù)，數(shù)據(jù)恢復(fù)資料，數(shù)據(jù)恢復(fù)技術(shù)本文針對FAT分區(qū)。使用工具：winhe*〔非數(shù)據(jù)恢復(fù)專用〕磁盤的具體存儲原理，這里我解釋一下：1、剩余扇區(qū)是什么：剩余扇區(qū)有分區(qū)的剩余扇區(qū)和整個磁盤的剩余扇區(qū)。先說分區(qū)的扇區(qū)：描述磁盤容量的單位是扇區(qū)，分區(qū)部又是采用簇來管理的。通常情況下，扇區(qū)的容量是512b,簇的單位容量大于等于扇區(qū)的容量。以具體事例來講，一個7gb的fat32分區(qū)，其簇的大小是4k,相當于8個扇區(qū)，而分區(qū)的存儲單位是4k,分區(qū)的扇區(qū)總數(shù)如果不是8的倍數(shù)，那余下來的扇區(qū)便是剩余扇區(qū)了。整個磁盤的剩余扇區(qū)與上述原理相似，不同的是，每個分區(qū)的完畢必須以254頭，63扇為完畢〔也應(yīng)該是老的磁盤管理模式留下的弊端吧！雖然分區(qū)是以線性邏輯扇區(qū)為首要參數(shù)的〕也就是說，如果磁盤的總?cè)萘空梅植粌粢粋€柱面的容量(1*254*63*512b=8193024b),則，剩下的容量便是整個磁盤的剩余扇區(qū)了，其最大也就是大約7.8m。這也是通常情況下，分區(qū)的最小容量是7.8m，分區(qū)容量是8193024b倍數(shù)的原因?！埠唸D并未畫出整個磁盤的剩余扇區(qū)，大家理解吧!)2、對于fat32的保存扇區(qū)的數(shù)目，一般來說是32個，但也不肯定是，有時候可能會是38個或其他數(shù)目，當然也可以在dbr中的bpb〔biosparameterblock〕參數(shù)表中更改，后面要講到在數(shù)據(jù)恢復(fù)中了解他的重要性?！瞕br的參數(shù)說明到數(shù)據(jù)恢復(fù)網(wǎng)找找〕3、在小容量的磁盤分區(qū)中也存在fat16的分區(qū)格式，原理嗎？和軟盤的存儲原理相，見數(shù)據(jù)恢復(fù)網(wǎng)"反黑行動之數(shù)據(jù)恢復(fù)〞。下面我們進入實戰(zhàn)：第一種情況，分區(qū)被格式化。如果格式化以后，當然可以用現(xiàn)成的數(shù)據(jù)恢復(fù)軟件來恢復(fù)，但軟件畢竟是軟件，并不能應(yīng)對多變的復(fù)雜的情況。而手工不同，如果對磁盤構(gòu)造了解，是可以最大程度的恢復(fù)的。我們拋開數(shù)據(jù)恢復(fù)軟件來看和通過手工來恢復(fù)被格式化的磁盤分區(qū)。對于fat格式的分區(qū)〔包括fat16)，format命令會重建dbr扇區(qū)，清空兩個fat表，清空分區(qū)的第一個簇〔存放原根目錄〕。不管是快速格式化還是完全格式化〔快速格式化和完全格式化的區(qū)別在于他們是否對所涉及到的磁盤扇區(qū)進展檢測掃描，去除上面的數(shù)據(jù)事都要做得)。對于dbr，分區(qū)只要正確格式化就會生成正確的dbr,故而重點是fat表和原根目錄〔如果原根目錄大于一個簇，這僅僅是第一個簇，為了方便，以后就以原根目錄稱〕的問題。如果你格式花前備份了此分區(qū)的fat表和根目錄。則，只要將dbr初始化，恢復(fù)fat表和根目錄即可完全恢復(fù)數(shù)據(jù)。不過，既然是被格式化，那一定沒有fat表和根目錄的備份〔廢話?。?！〕。繼續(xù)：先說根目錄，跟目錄的第一扇一但清空，別無法找回了。所以，格式化前存儲在根目錄的文件就會因其在第一扇存儲的文件特征描述表喪失而很難找回了，除非你知道文件中包含的特征字符串，根據(jù)其在整個分區(qū)查找，又確定文件的大小，而恰好要恢復(fù)的文件又是在磁盤連續(xù)存儲的。再說fat表，fat表的喪失對穿插存儲的文件來說是幾乎消滅的災(zāi)難。原則上如果喪失，就只能恢復(fù)從文件第一簇開場的連續(xù)幾簇了。但一般如要恢復(fù)的文件較小或分區(qū)并未經(jīng)過頻繁的文件刪增的話，還是有希望的。手動填寫fat表是不現(xiàn)實的，我們只好先讓原來的目錄構(gòu)造重現(xiàn)，再想方法。windows的磁盤文件格式是tree型的，格式化只是將tree的根折，在根折斷以后，其實就象生成了多顆tree〔想想數(shù)據(jù)構(gòu)造〕。如果我們要恢復(fù)的文件全部位于一個子目錄當中。那好了，我們只要將這顆子樹的樹根放入原tree的根位置上，即可生成一顆新樹。推介使用winhe*,下面以winhe*為例具體而言，首先，假設(shè)磁盤未格式化或格式化格式不太正確，先格式化，以生成可參照的dbr和fat表。接著我們在分區(qū)中尋找相關(guān)的字符串來確定此子樹的'根'位置。，如記得原目錄中有sjhfnet.t*t的文件〔選擇其他目錄沒有或很少有此文件名的文件〕，可在整個分區(qū)查找'sjhfnett*t',再根據(jù)相關(guān)特征確定。這時候注意一下，我們需要目錄中提供的'.'目錄來推測原分區(qū)的一些特性，主要是dbr中的bpb參數(shù)，如保存扇區(qū)的數(shù)目?！惨话闶遣徊粫e的，但如果有那怕一個扇區(qū)的出入，整個分區(qū)中目錄的映射將不能套用，還是看看吧！〕，是不是要問，'.'目錄是什么？學(xué)過dos的人都知道，目錄'.'表當前所在目錄，'..'表上級目錄，在32個子節(jié)的目錄項中，包含有和其他目錄項一樣的特征，我們關(guān)心目錄的位置〔在原分區(qū)格式的第幾個簇中〕，他應(yīng)該是等于他所在的簇號的！也就是看一下偏移量為15h14h1bh1ah的數(shù)值是否等于現(xiàn)在簇號。在winhe*中格式化后的磁盤可清楚的列出當前簇的簇號，可比擬一下〔可能需要16進制與10進制的轉(zhuǎn)換〕。一樣不說了，如果不一樣，也應(yīng)該相差不多。計算一下相差的簇的數(shù)目，然后在本分區(qū)dbr扇區(qū)的0eh~0fh作相應(yīng)增減，是保存扇區(qū)的數(shù)目回到原來的數(shù)目。重起一下計算機，是新的dbr生效，清空現(xiàn)fat表〔根目錄簇可以不清空，因后邊講到會覆蓋的〕。文件目錄項的映射與實際地址便正確的結(jié)合了?！膊幻靼讍?？想想原理，努力消化一下〕接著將找到的簇復(fù)制----〉定位到現(xiàn)在的根目錄----〉寫入。翻開"資源管理器"，瀏覽，出來了嗎？慢！還沒完，現(xiàn)在的目錄構(gòu)造是出來了，但還不能訪問，因為fat表所記錄的簇還是空閑的。怎么辦？手動寫，算一下，可能寫完得30年吧！呵呵！哪。。。。，其實，如果要恢復(fù)的文件大小都在1簇圍，可在win98下運行磁盤掃描程序，在出現(xiàn)修復(fù)的提示時選相應(yīng)的選象修復(fù)即可〔別選"刪除涉及到的文件〞選項，另外，win2000下不行，掃描程序會直接刪除文件的〕。這樣，大小在1簇圍的文件別完全恢復(fù)了〔包括文件〕。那如何在這種情況下恢復(fù)大于1個簇的文件呢？一是你可以寫一個小的程序來實現(xiàn)涉及到的簇的連續(xù)。如果你不會，則也不難，得一個一個文件的來。翻開winhe*,使用它的目錄模板跳轉(zhuǎn)到文件的存儲區(qū)，從當前簇復(fù)制大小為文件大小的一塊連續(xù)數(shù)據(jù)，寫入新文件中〔記得寫在其他分區(qū)中〕，即可！當然，如果簇數(shù)較少，可直接在fat1中改動。另外，這樣恢復(fù)的文件也不一定正確。要看當初文件的存儲是否連續(xù)了？如果恢復(fù)后的文件不能用，那。。。。聽天由命吧?。?！〔要么你在磁盤中在查找，分析，自己把它連接起來。不過，工作量嗎？。。?！尺@樣恢復(fù)的是以前一個子目錄的數(shù)據(jù)。如果有多個目錄的數(shù)據(jù)要恢復(fù)，可用同樣的方法替換根目錄〔第一個數(shù)據(jù)簇〕，也可以采用手動建立根目錄的方法，不過，別在資源管理器中進展，手動在winhe*中做吧！還有，要是恢復(fù)的目錄中有多個簇，再用同樣的方法，查找，作為根目錄。這是分區(qū)格式為fat32的情況，如fat16則不需考慮保存扇區(qū)的數(shù)目情況，fat16無保存扇區(qū)。這是有目錄項的情況。再來說一下在無目錄項參照的情況：以下默認為欲恢復(fù)文件是存儲在FAT32文件格式當中的文件。假設(shè)你的磁盤已經(jīng)被***破壞的一塌糊涂。或者已經(jīng)經(jīng)過了N位高手二次處理"加工"過了，什么工具軟件都用過了！結(jié)果仍然沒有看到你需要的數(shù)據(jù)的影子?；蛘吣阋謴?fù)的數(shù)據(jù)本來就很少〔假設(shè)干源代碼，或是假設(shè)干論文，假設(shè)干小的數(shù)據(jù)庫，或是確認在數(shù)據(jù)喪失前正好做了磁盤碎片整理〕，不值得采用我上面采用的方法。你可以采用在磁盤通過查找的方法，總結(jié)來找回數(shù)據(jù)〔不要笑，有技巧的，況且，也許這是唯一的方法！〕可以通過磁盤文件的存儲特征和文件固有的類型特征來考慮?？催^"反黑行動之數(shù)據(jù)恢復(fù)"〔風(fēng)般的男人著〕應(yīng)該可以知道，文件在磁盤至少是以扇區(qū)為單位的，也就是說，每個文件在磁盤實際存儲的開場，一定是*扇區(qū)的開場。這是其一，其二是每種類型的文件都有其特定的文件標志，可根據(jù)文件的特定標志〔通常還是在文件的開頭〕與其在磁盤的位置來圈定。如果是文本文件，可通過在磁盤查找特征字串的方法來找到。不過，稍有知識的人是都知道的，不說了?！策€是使用winhe*吧！硬盤速度可以的話，應(yīng)該查找1G的空間不超過1分鐘)我們來通過具體的例子看一看已加密或無明顯特征字串的情況〔這是最通常的情況〕。以一Office文檔的恢復(fù)為例。Office文檔的實際構(gòu)成總是以"00000000D0CF11E0A1B11AE10000000000000000邢.唷"".......〞開頭，以以下二進制特征為尾：---------------------------------------------------------------------------------00148940FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00148950FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00148960FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00148970FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00148980FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00148990FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF001489A0FFFFFFFFF