具體(ti)來說,WinHex是一款(kuan)以(yi)通用(yong)的(de) 16 進(jin)制編輯器為核心,專門用(yong)來對(dui)付計算機取(qu)證(zheng)、數(shu)據恢復(fu)、低級數(shu)據處(chu)理(li)、以(yi)及(ji) IT 安全性、各(ge)種日常緊急(ji)情況的(de)高級工具:用(yong)來檢(jian)查和修復(fu)各(ge)種文件、恢復(fu)刪除文件、硬(ying)盤(pan)損壞、數(shu)碼(ma)相機卡(ka)損壞造成(cheng)的(de)數(shu)據丟(diu)失等。功能包括(kuo)(依照(zhao)授權類(lei)型):
* 查看,編輯和修復磁盤,可用于(yu)硬盤,軟盤,以及(ji)許(xu)多其它可存儲介質類(lei)型(xing)。
*支持 FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3, CDFS, UDF
* 內置RAID和動態(tai)磁盤(pan)分析(xi)器
* RAM 編輯器,可直接查看/編輯被調試程(cheng)序的(de)虛擬內存(cun)
* 數據解釋(shi)器,精(jing)通 20 種數據類型
* 使用模板(ban)編輯(ji)數(shu)據結構
* 連接(jie),分(fen)(fen)割,合(he)并,分(fen)(fen)析和比較(jiao)文(wen)件
* 智能搜索和替換(huan)(huan)功能,進行替換(huan)(huan)時,如果替換(huan)(huan)字符(fu)大(da)于或小(xiao)于原(yuan)始字符(fu)時可進行選擇性操(cao)作
* 不同驅動(dong)器克隆以(yi)及(ji)驅動(dong)器鏡(jing)像解釋(shi)
* 腳本和應用程序(xu)接口(API)
* 用于文件和(he)磁(ci)盤的成熟(shu)的撤(che)消(xiao)和(he)備(bei)份機制
* 加密和解密數據,Hash計算(校(xiao)驗和,CRC32,MD5,SHA-1,...)
* 粉碎文件(jian)和(he)磁盤數據(ju),粉碎后(hou)的文件(jian)和(he)磁盤數據(ju)任何人都(dou)不(bu)可能進行恢復
* 支持(chi)所有(you)剪貼板格(ge)式的導入(ru)
* 數據格式(shi)轉(zhuan)換,支持(chi)二進制,16 進制 ASCII,Intel 16 進制,及 Motorola-S 等數據之間的相互(hu)轉(zhuan)換;
* 隱(yin)藏數據和查(cha)找(zhao)隱(yin)藏數據
*支持打開超過4GB的(de)文件,而且速(su)度(du)很快(kuai)
* 用于計算機進程(cheng)的眾多顯著有效(xiao)的高級(ji)功(gong)能
在Winhex中(zhong)集成(cheng)了(le)強大的(de)工具(ju),包(bao)括(kuo)磁盤編輯器,Hex轉換器和RAM編輯工具(ju),并(bing)能(neng)(neng)(neng)夠(gou)方便的(de)調用(yong)系統常用(yong)工具(ju)如:計算器,記事本,瀏覽器等。在未登記注冊的(de)版(ban)本中(zhong),可以編輯,但(dan)不能(neng)(neng)(neng)保(bao)存(cun)大小超過512K的(de)文(wen)件且只能(neng)(neng)(neng)瀏覽而(er)不能(neng)(neng)(neng)修改編輯RAM區域。按(an)F8,彈出十(shi)六(liu)進(jin)(jin)制(zhi)(zhi)(zhi)和十(shi)進(jin)(jin)制(zhi)(zhi)(zhi)轉換器,左(zuo)邊(bian)(bian)欄顯示(shi)十(shi)六(liu)進(jin)(jin)制(zhi)(zhi)(zhi)數字,右邊(bian)(bian)欄顯示(shi)十(shi)進(jin)(jin)制(zhi)(zhi)(zhi)數字。如果(guo)(guo)你在左(zuo)邊(bian)(bian)輸入十(shi)六(liu)進(jin)(jin)制(zhi)(zhi)(zhi)數,按(an)Enter其(qi)十(shi)進(jin)(jin)制(zhi)(zhi)(zhi)結果(guo)(guo)就出現在右邊(bian)(bian)的(de)矩形(xing)框中(zhong)了(le),反之亦然。如果(guo)(guo)你按(an)組合鍵Alt+F8,可調用(yong)系統計算器。
Winhex使用簡單,功能強大,可以方便你程序(xu)的調試、文本編(bian)輯(ji)、科學計算和系統管(guan)理(li),相(xiang)信你會喜(xi)歡的。如果你想刪除Winhex軟(ruan)件,簡單,把整個目(mu)錄(lu)干掉就行了(le)
在DOS時代(dai)(dai),我們編(bian)輯文件(jian)(jian)代(dai)(dai)碼用的(de)一(yi)般都是PCTOOLS5.0,可是自從FAT32出現以(yi)來,PCTOOLS5.0不能用了,就很(hen)少(shao)優(you)秀的(de)文件(jian)(jian)編(bian)輯器出現過,不過現在筆者向大家介紹的(de)這一(yi)款(kuan)winhex可以(yi)說是繼前者之后的(de)最(zui)優(you)秀的(de)文件(jian)(jian)編(bian)輯器了。
作為一個(ge)16進制文件編(bian)輯(ji)(ji)(ji)與(yu)磁盤編(bian)輯(ji)(ji)(ji)軟(ruan)件。WinHex以文件小、速度快,功能強(qiang)大而著稱,連ZDNetSoftwareLibrary也給了他5星的最高評價。它可(ke)以勝(sheng)任Hex和(he)ASCII碼編(bian)輯(ji)(ji)(ji)修改,多文件尋(xun)替換功能,一般運算(suan)及(ji)邏輯(ji)(ji)(ji)運算(suan),磁盤磁區編(bian)輯(ji)(ji)(ji)(支持FAT16、FAT32和(he)NTFS)自動搜尋(xun)編(bian)輯(ji)(ji)(ji),文件比對和(he)分(fen)析,編(bian)輯(ji)(ji)(ji)內存(cun)里面的資料等功能.
首先我(wo)們到這里去下(xia)載一個(ge)814KB大(da)小的(de)中文漢化版本(ben)的(de)WINHEX,漢化版本(ben)更加容易使(shi)用嘛,值得一提的(de)是WINHEX是免(mian)費(fei)軟件(jian),你(ni)可以(yi)在所有的(de)WINDOWS平(ping)臺上面運(yun)行。安(an)裝(zhuang)過(guo)程非(fei)常簡單(dan),成功安(an)裝(zhuang)之后(hou),程序圖標就會出(chu)現在“開始(shi)→程序”菜(cai)(cai)單(dan)和(he)桌面上。其界面由標題(ti)欄(lan)、工具欄(lan)、菜(cai)(cai)單(dan)欄(lan)、圖片瀏覽(lan)區和(he)狀態(tai)欄(lan)組成。下(xia)面我(wo)們來簡要介紹一下(xia):
◇功(gong)(gong)能(neng)(neng)(neng)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan):WINHEX的(de)(de)(de)(de)(de)(de)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)欄由八個菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)組(zu)成,分(fen)別是:文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)、編(bian)(bian)輯(ji)(ji)、查找(zhao)、位(wei)置(zhi)(zhi)、工(gong)具(ju)(ju)(ju)、選項、文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)管(guan)理(li)(li)器(qi)(qi)、窗口和(he)幫助。所有的(de)(de)(de)(de)(de)(de)功(gong)(gong)能(neng)(neng)(neng)都已經包(bao)含(han)在(zai)(zai)里(li)(li)面(mian)(mian)(mian)(mian)了(le)。在(zai)(zai)文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)面(mian)(mian)(mian)(mian)包(bao)含(han)的(de)(de)(de)(de)(de)(de)是新建、打(da)開文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)和(he)保(bao)存(cun)以及退出(chu)命令(ling)(ling),另外(wai)還(huan)有備份(fen)管(guan)理(li)(li)、創建備份(fen)和(he)載入備份(fen)功(gong)(gong)能(neng)(neng)(neng)。在(zai)(zai)編(bian)(bian)輯(ji)(ji)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)面(mian)(mian)(mian)(mian)除了(le)復制(zhi)粘(zhan)貼之(zhi)類的(de)(de)(de)(de)(de)(de)常見命令(ling)(ling)之(zhi)外(wai)還(huan)有對(dui)數(shu)據(ju)格式(shi)進(jin)(jin)(jin)(jin)(jin)行轉(zhuan)換(huan)和(he)修改的(de)(de)(de)(de)(de)(de)功(gong)(gong)能(neng)(neng)(neng)。查找(zhao)功(gong)(gong)能(neng)(neng)(neng)是方(fang)便(bian)您(nin)在(zai)(zai)文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)里(li)(li)面(mian)(mian)(mian)(mian)查找(zhao)特(te)定(ding)的(de)(de)(de)(de)(de)(de)文(wen)(wen)本內(nei)容或者是十六(liu)進(jin)(jin)(jin)(jin)(jin)制(zhi)代(dai)碼的(de)(de)(de)(de)(de)(de),支持整數(shu)值和(he)浮點數(shu)值。位(wei)置(zhi)(zhi)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)面(mian)(mian)(mian)(mian)的(de)(de)(de)(de)(de)(de)命令(ling)(ling)就是讓(rang)你(ni)(ni)在(zai)(zai)編(bian)(bian)輯(ji)(ji)大(da)(da)體積的(de)(de)(de)(de)(de)(de)文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)的(de)(de)(de)(de)(de)(de)時候能(neng)(neng)(neng)夠(gou)方(fang)便(bian)地(di)進(jin)(jin)(jin)(jin)(jin)行定(ding)位(wei),你(ni)(ni)可以根據(ju)其中(zhong)的(de)(de)(de)(de)(de)(de)偏(pian)移地(di)址或者是區塊(kuai)的(de)(de)(de)(de)(de)(de)位(wei)置(zhi)(zhi)來快速定(ding)位(wei)。工(gong)具(ju)(ju)(ju)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)面(mian)(mian)(mian)(mian)包(bao)括(kuo)的(de)(de)(de)(de)(de)(de)都是一(yi)些十分(fen)實用的(de)(de)(de)(de)(de)(de)功(gong)(gong)能(neng)(neng)(neng),譬如磁盤編(bian)(bian)輯(ji)(ji)工(gong)具(ju)(ju)(ju)(類似PCTOOLS里(li)(li)面(mian)(mian)(mian)(mian)的(de)(de)(de)(de)(de)(de)DISKEDIT)、文(wen)(wen)本編(bian)(bian)輯(ji)(ji)工(gong)具(ju)(ju)(ju)(類似記事(shi)本)、計算器(qi)(qi)、模板(ban)管(guan)理(li)(li)工(gong)具(ju)(ju)(ju)和(he)十進(jin)(jin)(jin)(jin)(jin)制(zhi)、十六(liu)進(jin)(jin)(jin)(jin)(jin)制(zhi)轉(zhuan)換(huan)器(qi)(qi)等等。如果你(ni)(ni)要對(dui)WINHEX的(de)(de)(de)(de)(de)(de)功(gong)(gong)能(neng)(neng)(neng)進(jin)(jin)(jin)(jin)(jin)行設(she)置(zhi)(zhi),那么就必須進(jin)(jin)(jin)(jin)(jin)入選項菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)了(le),里(li)(li)面(mian)(mian)(mian)(mian)除了(le)常規選項的(de)(de)(de)(de)(de)(de)設(she)置(zhi)(zhi),還(huan)有安全(quan)性(xing)設(she)置(zhi)(zhi)和(he)還(huan)原選項設(she)置(zhi)(zhi)。在(zai)(zai)文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)管(guan)理(li)(li)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)中(zhong),你(ni)(ni)可以對(dui)文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)進(jin)(jin)(jin)(jin)(jin)行分(fen)割、比較、復制(zhi)和(he)剖(pou)析,功(gong)(gong)能(neng)(neng)(neng)十分(fen)強(qiang)大(da)(da)。“工(gong)具(ju)(ju)(ju)”選項里(li)(li)面(mian)(mian)(mian)(mian)包(bao)含(han)的(de)(de)(de)(de)(de)(de)是文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)新建、打(da)開、保(bao)存(cun)、打(da)印、屬性(xing)工(gong)具(ju)(ju)(ju);剪切、粘(zhan)貼和(he)復制(zhi)編(bian)(bian)輯(ji)(ji)工(gong)具(ju)(ju)(ju);查找(zhao)文(wen)(wen)本和(he)Hex值,替換(huan)文(wen)(wen)本和(he)Hex值;文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)定(ding)位(wei)工(gong)具(ju)(ju)(ju)、RAM編(bian)(bian)輯(ji)(ji)器(qi)(qi)、計算器(qi)(qi)、區塊(kuai)分(fen)析和(he)磁盤編(bian)(bian)輯(ji)(ji)工(gong)具(ju)(ju)(ju)等等。這些功(gong)(gong)能(neng)(neng)(neng)除了(le)在(zai)(zai)菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)里(li)(li)面(mian)(mian)(mian)(mian)進(jin)(jin)(jin)(jin)(jin)行選擇之(zhi)外(wai),還(huan)可以通(tong)過菜(cai)(cai)(cai)單(dan)(dan)(dan)(dan)下面(mian)(mian)(mian)(mian)的(de)(de)(de)(de)(de)(de)一(yi)列快捷按鈕來執(zhi)行。
◇在(zai)使用(yong)Winhex時(shi)首先打開一個(ge)需要(yao)處理的(de)文件(jian)(jian),窗口(kou)中顯示(shi)十六進制HEX格式(shi)的(de)數(shu)(shu)值和(he)地址。在(zai)旁邊的(de)區(qu)域顯示(shi)文件(jian)(jian)名(ming)稱、大(da)小、創建(jian)時(shi)間、最后(hou)修改日期,窗口(kou)屬(shu)性以及(ji)相關信息。利用(yong)鼠標拖(tuo)放功(gong)能你(ni)可(ke)(ke)以選擇一塊(kuai)數(shu)(shu)值進行(xing)(xing)修改編輯。按Ctrl+T,彈出(chu)數(shu)(shu)據修改對話框,選擇數(shu)(shu)據類型(xing)和(he)字(zi)節(jie)變換(huan)方式(shi),可(ke)(ke)以方便(bian)的(de)修改區(qu)塊(kuai)中的(de)數(shu)(shu)據。執行(xing)(xing)文件(jian)(jian)菜單中的(de)創建(jian)備份(fen)(fen)命令,彈出(chu)備份(fen)(fen)對話框,你(ni)可(ke)(ke)以指定(ding)備份(fen)(fen)的(de)文件(jian)(jian)名(ming)和(he)路徑、備份(fen)(fen)說明,還可(ke)(ke)以選擇是否(fou)自動由備份(fen)(fen)管(guan)理指定(ding)文件(jian)(jian)夾,是否(fou)保存檢查和(he)摘要(yao),是否(fou)壓縮備份(fen)(fen)和(he)加密備份(fen)(fen),這(zhe)樣你(ni)可(ke)(ke)以方便(bian)的(de)將你(ni)的(de)文件(jian)(jian)進行(xing)(xing)備份(fen)(fen),下次執行(xing)(xing)文件(jian)(jian)菜單中的(de)裝載(zai)備份(fen)(fen)就可(ke)(ke)以打開備份(fen)(fen)文件(jian)(jian)了,十分方便(bian)
◇強大的(de)(de)查(cha)找(zhao)功能:Winhex具有強大的(de)(de)查(cha)找(zhao)搜(sou)(sou)索(suo)(suo)(suo)(suo)功能,可(ke)(ke)(ke)以(yi)(yi)(yi)(yi)(yi)查(cha)找(zhao)和替換文(wen)本或(huo)Hex值。選(xuan)擇(ze)搜(sou)(sou)索(suo)(suo)(suo)(suo)菜(cai)(cai)單(dan)中(zhong)的(de)(de)聯合搜(sou)(sou)索(suo)(suo)(suo)(suo)項,彈(dan)出搜(sou)(sou)索(suo)(suo)(suo)(suo)對話框,先輸入(ru)該文(wen)件要(yao)搜(sou)(sou)索(suo)(suo)(suo)(suo)的(de)(de)十六進(jin)(jin)制值選(xuan)擇(ze)通配符和搜(sou)(sou)索(suo)(suo)(suo)(suo)的(de)(de)范圍(wei)就(jiu)可(ke)(ke)(ke)以(yi)(yi)(yi)(yi)(yi)開(kai)始(shi)搜(sou)(sou)索(suo)(suo)(suo)(suo)了。你(ni)可(ke)(ke)(ke)以(yi)(yi)(yi)(yi)(yi)選(xuan)擇(ze)在(zai)(zai)整個文(wen)件中(zhong)搜(sou)(sou)索(suo)(suo)(suo)(suo),也可(ke)(ke)(ke)選(xuan)擇(ze)僅在(zai)(zai)區(qu)塊中(zhong)進(jin)(jin)行有條件的(de)(de)搜(sou)(sou)索(suo)(suo)(suo)(suo)。而且(qie)在(zai)(zai)Winhex中(zhong)可(ke)(ke)(ke)以(yi)(yi)(yi)(yi)(yi)方(fang)便的(de)(de)進(jin)(jin)行定(ding)位(wei)操作(zuo)(zuo),快速轉道新的(de)(de)位(wei)置(zhi)。執(zhi)行定(ding)位(wei)菜(cai)(cai)單(dan)中(zhong)的(de)(de)標(biao)(biao)(biao)記(ji)(ji)定(ding)位(wei)命令,或(huo)按(an)Ctrl+L,將鼠(shu)標(biao)(biao)(biao)指向需要(yao)定(ding)位(wei)的(de)(de)位(wei)置(zhi),就(jiu)可(ke)(ke)(ke)以(yi)(yi)(yi)(yi)(yi)在(zai)(zai)當(dang)前鼠(shu)標(biao)(biao)(biao)所(suo)在(zai)(zai)的(de)(de)位(wei)置(zhi)作(zuo)(zuo)上標(biao)(biao)(biao)記(ji)(ji),不管你(ni)操作(zuo)(zuo)到什(shen)么地(di)方(fang),按(an)組合鍵Ctrl+k,就(jiu)可(ke)(ke)(ke)以(yi)(yi)(yi)(yi)(yi)返回(hui)到標(biao)(biao)(biao)記(ji)(ji)所(suo)在(zai)(zai)的(de)(de)位(wei)置(zhi)。執(zhi)行定(ding)位(wei)菜(cai)(cai)單(dan)中(zhong)的(de)(de)刪除(chu)標(biao)(biao)(biao)記(ji)(ji)命令,可(ke)(ke)(ke)以(yi)(yi)(yi)(yi)(yi)將所(suo)作(zuo)(zuo)的(de)(de)標(biao)(biao)(biao)記(ji)(ji)刪除(chu)。除(chu)了利用(yong)標(biao)(biao)(biao)記(ji)(ji)定(ding)位(wei)以(yi)(yi)(yi)(yi)(yi)外,你(ni)還可(ke)(ke)(ke)以(yi)(yi)(yi)(yi)(yi)方(fang)便的(de)(de)轉到文(wen)件的(de)(de)開(kai)始(shi)和結(jie)尾(wei)(wei),區(qu)塊的(de)(de)開(kai)始(shi)和結(jie)尾(wei)(wei),行首和行尾(wei)(wei)以(yi)(yi)(yi)(yi)(yi)及頁(ye)首和頁(ye)尾(wei)(wei)。你(ni)可(ke)(ke)(ke)以(yi)(yi)(yi)(yi)(yi)自己試(shi)一(yi)試(shi),相信你(ni)很快就(jiu)知道了。
◇Winhex集成了(le)強大的(de)工(gong)具(ju)(ju),包括磁(ci)(ci)(ci)盤編(bian)輯(ji)器(qi),計(ji)算器(qi),Hex轉換器(qi)和RAM編(bian)輯(ji)工(gong)具(ju)(ju),使用十(shi)分方便(bian)。按(an)F9,彈出磁(ci)(ci)(ci)盤編(bian)輯(ji)器(qi)對(dui)話框,首先選(xuan)(xuan)擇磁(ci)(ci)(ci)盤分區,然后按(an)確定(ding)按(an)鈕(niu)就(jiu)可(ke)以方便(bian)的(de)對(dui)磁(ci)(ci)(ci)盤的(de)空余空間進(jin)行清(qing)理。點擊工(gong)具(ju)(ju)欄(lan)中的(de)RAM編(bian)輯(ji)工(gong)具(ju)(ju)按(an)鈕(niu),彈出RAM編(bian)輯(ji)器(qi),選(xuan)(xuan)擇需要(yao)瀏覽或編(bian)輯(ji)修改的(de)RAM區,選(xuan)(xuan)擇確定(ding)就(jiu)可(ke)以了(le),RAM的(de)內容(rong)就(jiu)顯示在(zai)主(zhu)窗口了(le)。
如(ru)果您在PCTOOLS之(zhi)后再也沒有碰(peng)到過稱(cheng)心(xin)的十六(liu)進制編輯器,那(nei)么我推薦你使用WINHEX。
功能包括:
- 硬盤, 軟盤, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盤編輯(ji)器(qi)。
- 支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件(jian)系統(tong)。
- 支持(chi)對(dui)磁盤(pan)陣列 RAID 系統和動態磁盤(pan)的重(zhong)組、分析和數據(ju)恢復。
- 多種數據恢復技術。
- 可分析 RAW 格(ge)式原始數據鏡像(xiang)文(wen)件(jian)(jian)中的完(wan)整目錄結構,支持分段保存的鏡像(xiang)文(wen)件(jian)(jian)。
- 數據解釋器, 已知 20 種數據類型。
- 使用(yong)模板編輯(ji)數據(ju)結構(gou) (例如: 修復(fu)分區表/引導扇區)。
- 連接和分割、以奇數偶數字節或字的方(fang)式合并、分解(jie)文件。
- 分析和比較文件。
- 搜索和替(ti)換(huan)功能尤(you)其(qi)靈活。
- 磁(ci)盤(pan)克(ke)隆 (可在 DOS 環境下使(shi)用 X-Ways Replica)。
- 驅動器鏡像和備份(fen) (可選壓縮或(huo)分割(ge)成 650 MB 的檔案(an))。
- 程序接口 (API) 和腳(jiao)本。
- 256 位 AES 加(jia)密, 校驗(yan)和, CRC32, 哈希(xi)算法 (MD5, SHA-1, ...)。
- 數據擦除(chu)(chu)功能,可徹底清除(chu)(chu)存儲介質中殘留數據。
- 可導入剪(jian)貼板所有格(ge)式數據(ju), 包括 ASCII、16 進制(zhi)數據(ju)。
- 可進(jin)行(xing) 2 進(jin)制(zhi)、16 進(jin)制(zhi) ASCII, Intel 16 進(jin)制(zhi), 和 Motorola S 轉換。
- 字(zi)符集(ji): ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)。
- 立即(ji)窗口切換、打印、生成隨機數字。
- 支持打開大于(yu) 4 GB 的文件,非(fei)常快速,容易(yi)使用。
- 廣泛的聯機幫助。
WinHex 計算機(ji)法(fa)證版
X-Ways Forensics- 它能讓計(ji)算機上所(suo)有的位和(he)字節都在您的指尖下變(bian)成現(xian)實。購買前可(ke)免(mian)費(fei)試(shi)用(yong)。
X-Ways Forensics 13.9 以后的版本只有正式用戶才(cai)可下(xia)(xia)載 (下(xia)(xia)載地(di)址(zhi)在購買后提(ti)供)。
特別注意
盡量不要(yao)解(jie)壓至中文名文件夾下(xia),否則運行出(chu)錯!
V16.8更新(xin)內容:
WinHex可以用(yong)來檢查和(he)修復各種(zhong)文(wen)件、恢復刪除文(wen)件、硬盤損壞造成的數據丟失等。
12.8 sr-2更新內容(rong):
* 現在(zai)(zai)可以在(zai)(zai)容器根(gen)層遞(di)歸探索證據對象概況,在(zai)(zai)基于動(dong)態填充(chong)設置(zhi)上(shang),可以在(zai)(zai)一個方便的平(ping)面視圖中(zhong)(zhong)列出所有(you)(you)子(zi)目錄(lu)中(zhong)(zhong)的所有(you)(you)文件。
* X-Ways Forensics 現在(zai)可以在(zai)內(nei)部重(zhong)新(xin)匯編(bian)硬(ying)件 RAID5 系統(tong)到級別(bie)0,并且(qie)支持奇偶校驗(yan)。
* 如果一(yi)(yi)個(ge) RAID 系(xi)(xi)統(tong)添加(jia)到(dao)一(yi)(yi)個(ge)容器作為證(zheng)據對象,當名(ming)稱或(huo)位置改變時現在可以很容易替換(huan) RAID 系(xi)(xi)統(tong)的一(yi)(yi)部分。
* 一些在 RAM 編輯器中被(bei)隱藏的進(jin)程現在能夠列(lie)出。
* 現在可以間接填(tian)充證(zheng)據文件內容。
* 可(ke)以(yi)選(xuan)取(qu)報(bao)告表中(zhong)某幾列到(dao)容器報(bao)名中(zhong)。(查看容器屬性)
* 更進(jin)(jin)一步改進(jin)(jin)文件路徑太長的兼容(rong)性。
* 修正 12.7 版本(ben)自動檢測(ce)物理(li)磁盤 RAW 映象為單獨的分區映象。
* 幾(ji)個其(qi)它(ta)局部(bu)改進和錯(cuo)誤修正
* 針(zhen)對(dui) UFS 在線提供不同的模板。
* 更多更新內(nei)容(rong)請(qing)到網站時事通訊中查看
設置中文的方法
點擊菜單(dan)欄(lan)最(zui)后(hou)的(de)“help”-“setup”-“Chinese,please!”
軟件使用說明
下面我們來(lai)看看該軟件的使用。
標題欄(lan):與一般的應用軟(ruan)件(jian)一樣,標題欄(lan)中顯(xian)示軟(ruan)件(jian)名(ming)稱(cheng)(cheng)和當(dang)前打開的文件(jian)名(ming)稱(cheng)(cheng);
菜(cai)單(dan)欄:Winhex的(de)菜(cai)單(dan)欄由八個(ge)菜(cai)單(dan)項組成-文件(jian)菜(cai)單(dan)、編輯菜(cai)單(dan)、搜索、定位、工具、選項菜(cai)單(dan)、文件(jian)管理、窗(chuang)口和幫(bang)助菜(cai)單(dan)。
在文(wen)件菜(cai)單中(zhong),除了常(chang)規(gui)的(de)新建、打開文(wen)件和(he)(he)(he)(he)保存(cun)以(yi)及退出(chu)命令(ling)以(yi)外(wai),還有備(bei)份管理、創建備(bei)份和(he)(he)(he)(he)載(zai)入備(bei)份功能(neng)。選擇(ze)文(wen)件菜(cai)單中(zhong)的(de)屬性(xing)項,彈出(chu)文(wen)件屬性(xing)窗(chuang)口,包括文(wen)件路徑、名稱(cheng)、大小、創建時間和(he)(he)(he)(he)修改(gai)日期(qi)等內(nei)容。在編(bian)輯(ji)菜(cai)單中(zhong),除了常(chang)規(gui)的(de)復制、粘貼和(he)(he)(he)(he)剪切(qie)功能(neng)外(wai),還有數據格(ge)式轉(zhuan)換(huan)和(he)(he)(he)(he)修改(gai)的(de)功能(neng)。在搜索(suo)菜(cai)單中(zhong),你可以(yi)查找或(huo)替換(huan)文(wen)本(ben)內(nei)容和(he)(he)(he)(he)十六進制文(wen)件,搜索(suo)整數值和(he)(he)(he)(he)浮點數值。在定位菜(cai)單中(zhong),你可以(yi)根據偏(pian)移地址和(he)(he)(he)(he)區塊的(de)位置快速定位。在工(gong)具菜(cai)單中(zhong),包括磁(ci)盤(pan)編(bian)輯(ji)工(gong)具、文(wen)本(ben)編(bian)輯(ji)工(gong)具、計算器、模板管理工(gong)具和(he)(he)(he)(he)Hex轉(zhuan)換(huan)器,使用十分方便。在選項菜(cai)單中(zhong),包括常(chang)規(gui)選項設置、安全性(xing)設置和(he)(he)(he)(he)還原選項設置。
在Winhex的(de)工(gong)具(ju)(ju)欄中(zhong),包括(kuo)文(wen)(wen)件新建(jian)、打開、保存、打印、屬(shu)性工(gong)具(ju)(ju);剪切、粘貼和(he)復制(zhi)編(bian)(bian)輯(ji)工(gong)具(ju)(ju);查(cha)找(zhao)文(wen)(wen)本和(he)Hex值,替換文(wen)(wen)本和(he)Hex值;文(wen)(wen)件定位工(gong)具(ju)(ju)、RAM編(bian)(bian)輯(ji)器(qi)、計算(suan)器(qi)、區(qu)塊(kuai)分析和(he)磁(ci)盤編(bian)(bian)輯(ji)工(gong)具(ju)(ju);選(xuan)項(xiang)設置工(gong)具(ju)(ju)和(he)幫助工(gong)具(ju)(ju)按鈕。通過使用工(gong)具(ju)(ju)欄中(zhong)的(de)快捷按鈕可以更方便的(de)進(jin)行操作,這(zhe)些和(he)菜單中(zhong)相應的(de)命令是一樣的(de)。
在(zai)使用(yong)Winhex之前(qian)需要進行相應的(de)(de)(de)選(xuan)項(xiang)(xiang)(xiang)(xiang)設(she)(she)(she)(she)置(zhi)(zhi),點擊(ji)工具(ju)欄中(zhong)的(de)(de)(de)選(xuan)項(xiang)(xiang)(xiang)(xiang)設(she)(she)(she)(she)置(zhi)(zhi)快(kuai)捷(jie)圖(tu)(tu)標(biao)按鈕(niu),彈(dan)出選(xuan)項(xiang)(xiang)(xiang)(xiang)設(she)(she)(she)(she)置(zhi)(zhi)對話(hua)框.它包(bao)括(kuo)是(shi)(shi)否(fou)(fou)(fou)(fou)將WinHex作(zuo)為默認關聯,是(shi)(shi)否(fou)(fou)(fou)(fou)添(tian)加WinHex到上下文菜單,是(shi)(shi)否(fou)(fou)(fou)(fou)不更新(xin)文件(jian)名,是(shi)(shi)否(fou)(fou)(fou)(fou)快(kuai)速打(da)開文件(jian)以(yi)(yi)及是(shi)(shi)否(fou)(fou)(fou)(fou)顯(xian)(xian)示文件(jian)圖(tu)(tu)標(biao)和(he)工具(ju)欄。而且你(ni)還可(ke)以(yi)(yi)設(she)(she)(she)(she)置(zhi)(zhi)最(zui)近打(da)開的(de)(de)(de)文件(jian)列(lie)表中(zhong)文件(jian)的(de)(de)(de)數目,選(xuan)擇是(shi)(shi)否(fou)(fou)(fou)(fou)用(yong)TAB鍵產生(sheng)標(biao)記,設(she)(she)(she)(she)置(zhi)(zhi)臨時文件(jian)夾、備份文件(jian)夾和(he)文本編輯(ji)的(de)(de)(de)路徑。在(zai)常規設(she)(she)(she)(she)置(zhi)(zhi)中(zhong),你(ni)可(ke)以(yi)(yi)選(xuan)擇是(shi)(shi)否(fou)(fou)(fou)(fou)選(xuan)擇顯(xian)(xian)示雙光標(biao)和(he)頁分隔(ge)符,是(shi)(shi)否(fou)(fou)(fou)(fou)逐行滾(gun)動(dong),是(shi)(shi)否(fou)(fou)(fou)(fou)顯(xian)(xian)示Windows進度條,此外你(ni)還可(ke)以(yi)(yi)設(she)(she)(she)(she)置(zhi)(zhi)字體類型(xing)和(he)顏色,相信你(ni)很快(kuai)就學會了。執行選(xuan)項(xiang)(xiang)(xiang)(xiang)菜單中(zhong)的(de)(de)(de)安全(quan)項(xiang)(xiang)(xiang)(xiang),彈(dan)出安全(quan)保(bao)(bao)護選(xuan)項(xiang)(xiang)(xiang)(xiang)設(she)(she)(she)(she)置(zhi)(zhi)窗口(kou)(kou),你(ni)可(ke)以(yi)(yi)選(xuan)擇是(shi)(shi)否(fou)(fou)(fou)(fou)限制驅動(dong)控(kong)制,是(shi)(shi)否(fou)(fou)(fou)(fou)計算標(biao)準檢(jian)(jian)查(cha)和(he)扇區(qu)讀入緩(huan)存(cun)以(yi)(yi)及是(shi)(shi)否(fou)(fou)(fou)(fou)確(que)認更新(xin)文件(jian)。另外你(ni)可(ke)以(yi)(yi)選(xuan)擇是(shi)(shi)否(fou)(fou)(fou)(fou)自動(dong)檢(jian)(jian)查(cha)磁簇,是(shi)(shi)否(fou)(fou)(fou)(fou)總顯(xian)(xian)示恢復報(bao)告(gao),是(shi)(shi)否(fou)(fou)(fou)(fou)對下個會話(hua)保(bao)(bao)持驅動(dong)映像,是(shi)(shi)否(fou)(fou)(fou)(fou)隱(yin)蔽(bi)輸(shu)入加密(mi)關鍵碼(*****)以(yi)(yi)及檢(jian)(jian)查(cha)虛擬內存(cun)變換和(he)在(zai)RAM中(zhong)是(shi)(shi)否(fou)(fou)(fou)(fou)保(bao)(bao)留密(mi)匙。在(zai)所有設(she)(she)(she)(she)置(zhi)(zhi)完(wan)成后,點擊(ji)保(bao)(bao)存(cun)按鈕(niu),然后按確(que)定(ding)按鈕(niu)返回主窗口(kou)(kou)。
數據恢復分類
硬(ying)(ying)(ying)恢(hui)(hui)復(fu)(fu)和軟恢(hui)(hui)復(fu)(fu)。所謂(wei)硬(ying)(ying)(ying)恢(hui)(hui)復(fu)(fu)就是(shi)硬(ying)(ying)(ying)盤(pan)(pan)出現(xian)物理性損傷,比如有(you)盤(pan)(pan)體壞道、電路(lu)(lu)板(ban)芯片燒毀、盤(pan)(pan)體異響,等故障,由此所導致的(de)普通用戶不容易(yi)取(qu)出里(li)面數據(ju),那么我們將它(ta)修好,同時又(you)保留里(li)面的(de)數據(ju)或(huo)后(hou)來恢(hui)(hui)復(fu)(fu)里(li)面的(de)數據(ju),這(zhe)些都叫(jiao)(jiao)數據(ju)恢(hui)(hui)復(fu)(fu),只不過這(zhe)些故障有(you)容易(yi)的(de)和困(kun)難的(de)之分;所謂(wei)軟恢(hui)(hui)復(fu)(fu),就是(shi)硬(ying)(ying)(ying)盤(pan)(pan)本身沒有(you)物理損傷,而是(shi)由于人為(wei)(wei)或(huo)者(zhe)病毒破(po)壞所造成的(de)數據(ju)丟失(比如誤格式化,誤分區(qu)),那么這(zhe)樣的(de)數據(ju)恢(hui)(hui)復(fu)(fu)就叫(jiao)(jiao)軟恢(hui)(hui)復(fu)(fu)。因為(wei)(wei)硬(ying)(ying)(ying)恢(hui)(hui)復(fu)(fu)還需要購買一些工具設備(bei)(比如pc3000,電烙鐵(tie),各種芯片、電路(lu)(lu)板(ban)),而且還需要懂一點點電路(lu)(lu)基(ji)礎,我們主要使用軟恢(hui)(hui)復(fu)(fu)。
數據恢復的前提
數據(ju)不能被二次(ci)破壞、覆(fu)蓋!
硬盤數據結構
下面是一個(ge)分了三(san)個(ge)區的(de)整個(ge)硬(ying)盤的(de)數據結構
MBR C盤EBRD盤 EBR E盤
MBR,即主引導(dao)(dao)紀錄(lu),位于(yu)整個(ge)(ge)硬盤的0柱(zhu)面(mian)0磁道(dao)1扇(shan)區(qu),共占(zhan)(zhan)用(yong)了63個(ge)(ge)扇(shan)區(qu),但實際只使用(yong)了1個(ge)(ge)扇(shan)區(qu)(512字(zi)(zi)節)。在總共512字(zi)(zi)節的主引導(dao)(dao)記錄(lu)中,MBR又可分(fen)為(wei)三部分(fen):第一(yi)部分(fen):引導(dao)(dao)代碼,占(zhan)(zhan)用(yong)了446個(ge)(ge)字(zi)(zi)節;第二部分(fen):分(fen)區(qu)表(biao),占(zhan)(zhan)用(yong)了64字(zi)(zi)節;第三部分(fen):55AA,結束標志,占(zhan)(zhan)用(yong)了兩個(ge)(ge)字(zi)(zi)節。后面(mian)我們要說的用(yong)winhex軟件來恢復誤分(fen)區(qu),主要就是恢復第二部分(fen):分(fen)區(qu)表(biao)。
引導代碼的作用
就是讓硬盤具備(bei)可以引(yin)導(dao)(dao)的功(gong)能。如果引(yin)導(dao)(dao)代碼丟失(shi),分區(qu)表還在(zai),那么這個(ge)(ge)硬盤作為從盤所(suo)有分區(qu)數(shu)據都還在(zai),只是這個(ge)(ge)硬盤自己不(bu)能夠用來(lai)啟動(dong)進系(xi)統(tong)了。如果要恢(hui)(hui)復引(yin)導(dao)(dao)代碼,可以用DOS下的命令:FDISK /MBR;這個(ge)(ge)命令只是用來(lai)恢(hui)(hui)復引(yin)導(dao)(dao)代碼,不(bu)會引(yin)起(qi)分區(qu)改(gai)變,丟失(shi)數(shu)據。另外,也可以用工具軟件,比如DISKGEN、WINHEX等。
但分區(qu)表(biao)如果丟(diu)失,后果就是(shi)整個硬盤一(yi)(yi)個分區(qu)沒(mei)有,就好像剛買(mai)來一(yi)(yi)個新硬盤沒(mei)有分過區(qu)一(yi)(yi)樣。是(shi)很多病毒喜歡(huan)破壞的區(qu)域。
EBR,也叫做擴(kuo)展(zhan)MBR(Extended MBR)。因為主(zhu)引(yin)導記錄MBR最多(duo)只能描述4個分區(qu)(qu)項,如果想要在一個硬盤(pan)上分多(duo)于4個區(qu)(qu),就要采用擴(kuo)展(zhan)MBR的辦(ban)法。
MBR、EBR是分區產生的。
比如MBR和EBR各都(dou)占用63個(ge)扇區,C盤占用1435329個(ge)扇區……那么數(shu)據結(jie)構如下(xia)表(biao):
63 1435329 63 1435329 63 1253889
MBR C盤(pan) EBR D盤(pan) EBR E盤(pan)
擴展分區
而每一個分區又(you)由(you)DBR、FAT1、FAT2、DIR、DATA5部分組成:比如(ru)C盤(pan)的數據結(jie)構:
C 盤
DBR FAT1 FAT2 DIR DATA
恢復教程
Winhex有完(wan)善的分區(qu)管理功能和文(wen)件管理功能,能自動分析分區(qu)鏈和文(wen)件簇鏈,能對硬(ying)盤(pan)(pan)進行不同(tong)方式不同(tong)程度的備份,甚至克隆整個硬(ying)盤(pan)(pan);它(ta)能夠(gou)編(bian)輯任(ren)何一種文(wen)件類型的二(er)進制內(nei)容(rong)(用十六進制顯(xian)示)其磁盤(pan)(pan)編(bian)輯器可以(yi)編(bian)輯物(wu)理磁盤(pan)(pan)或邏輯磁盤(pan)(pan)的任(ren)意扇區(qu),是手工恢復數據(ju)的首選(xuan)工具(ju)軟件。
首(shou)先(xian)要安裝(zhuang)Winhex,安裝(zhuang)完了(le)就可以啟動winhex了(le),啟動后,首(shou)先(xian)出現(xian)的是啟動中(zhong)心對話框。
這里我(wo)們要對(dui)磁(ci)盤(pan)(pan)進行操(cao)作(zuo),就(jiu)選擇“打開磁(ci)盤(pan)(pan)”,出現“編輯(ji)磁(ci)盤(pan)(pan)”對(dui)話(hua)框:
在這個(ge)對(dui)話框里,我們(men)可以(yi)選擇對(dui)單(dan)個(ge)分區打(da)開(kai),也可以(yi)對(dui)整個(ge)硬(ying)盤打(da)開(kai),HD0是我現在正(zheng)用(yong)的西部數據40G系統盤,HD1是我們(men)要分析的硬(ying)盤,邁拓2G。這里我們(men)就選擇打(da)開(kai)HD1整個(ge)硬(ying)盤,再(zai)點(dian)確定.然后我們(men)就看(kan)到了Winhex的整個(ge)工作界面。
最上(shang)(shang)面(mian)(mian)的(de)(de)是(shi)菜單(dan)欄和工具(ju)欄,下面(mian)(mian)最大的(de)(de)窗(chuang)口(kou)是(shi)工作區,現(xian)在看到(dao)的(de)(de)是(shi)硬盤的(de)(de)第一個(ge)扇區的(de)(de)內(nei)容,以十六進制(zhi)進行(xing)顯(xian)示(shi)(shi),并(bing)在右(you)邊(bian)顯(xian)示(shi)(shi)相(xiang)應的(de)(de)ASCII碼,右(you)邊(bian)是(shi)詳(xiang)細資(zi)源面(mian)(mian)板(ban)(ban),分(fen)為五(wu)個(ge)部分(fen):狀態、容量(liang)、當前位(wei)置(zhi)、窗(chuang)口(kou)情(qing)況(kuang)和剪貼板(ban)(ban)情(qing)況(kuang)。這些情(qing)況(kuang)對把握整個(ge)硬盤的(de)(de)情(qing)況(kuang)非常(chang)有幫助(zhu)。另(ling)外,在其上(shang)(shang)單(dan)擊鼠標右(you)鍵,可以將詳(xiang)細資(zi)源面(mian)(mian)板(ban)(ban)與(yu)窗(chuang)口(kou)對換位(wei)置(zhi),或關閉資(zi)源面(mian)(mian)板(ban)(ban)。(如(ru)果(guo)關閉了資(zi)源面(mian)(mian)板(ban)(ban)可以通(tong)過(guo)“察看”菜單(dan)——“顯(xian)示(shi)(shi)”命令——“詳(xiang)細資(zi)源面(mian)(mian)板(ban)(ban)”來打開(kai))。
最下面一欄是非常有用的(de)輔(fu)助信息,如當(dang)前(qian)扇區(qu)/總(zong)扇區(qu)數目(mu)……等
向下拉拉滾動條,可以看到一(yi)(yi)個灰色(se)的橫(heng)杠,每(mei)到一(yi)(yi)個橫(heng)杠為一(yi)(yi)個扇區,一(yi)(yi)個扇區共(gong)512字(zi)節(jie),每(mei)兩(liang)個數字(zi)為一(yi)(yi)個字(zi)節(jie),比如(ru)00。
下(xia)(xia)面我們(men)來(lai)分(fen)析(xi)一下(xia)(xia)MBR,因為(wei)前(qian)面我們(men)說(shuo)過,前(qian)446個(ge)字節為(wei)引導代碼,對我們(men)來(lai)說(shuo)沒有意義,這(zhe)里(li)我們(men)只分(fen)析(xi)分(fen)區表中的64個(ge)字節。
分(fen)(fen)(fen)(fen)(fen)區(qu)表(biao)(biao)64個字節,一(yi)(yi)共可(ke)以描(miao)述4個分(fen)(fen)(fen)(fen)(fen)區(qu)表(biao)(biao)項(xiang)(xiang),每(mei)一(yi)(yi)個分(fen)(fen)(fen)(fen)(fen)區(qu)表(biao)(biao)項(xiang)(xiang)可(ke)以描(miao)述一(yi)(yi)個主分(fen)(fen)(fen)(fen)(fen)區(qu)或一(yi)(yi)個擴(kuo)展分(fen)(fen)(fen)(fen)(fen)區(qu)(比如上面的分(fen)(fen)(fen)(fen)(fen)區(qu)表(biao)(biao),第(di)(di)一(yi)(yi)個分(fen)(fen)(fen)(fen)(fen)區(qu)表(biao)(biao)項(xiang)(xiang)描(miao)述主分(fen)(fen)(fen)(fen)(fen)區(qu)C盤,第(di)(di)二(er)個分(fen)(fen)(fen)(fen)(fen)區(qu)表(biao)(biao)項(xiang)(xiang)描(miao)述擴(kuo)展分(fen)(fen)(fen)(fen)(fen)區(qu),第(di)(di)三第(di)(di)四個分(fen)(fen)(fen)(fen)(fen)區(qu)表(biao)(biao)項(xiang)(xiang)填零未用)
每一個分區表項(xiang)各(ge)(ge)占16個字節,各(ge)(ge)字節含義如下:(H表示16進(jin)制)
字(zi)節位置 內容及(ji)含義
第(di)1字節 引導標志。若值為80H表(biao)示(shi)活(huo)動(dong)(dong)分(fen)區(qu);若值為00H表(biao)示(shi)非活(huo)動(dong)(dong)分(fen)區(qu)。
第2、3、4字節 本分區(qu)的起始磁頭(tou)號、扇(shan)區(qu)號、柱面號
第5字節 分區類型符:
00H——表示該分區未(wei)用(yong)
06H——FAT16基(ji)本分(fen)區
0BH——FAT32基(ji)本分區
05H——擴展分區
07H——NTFS分區
0FH——(LBA模式(shi))擴展分區
83H—— Linux分區
第6、7、8字節 本分(fen)區的結束磁頭號、扇區號、柱(zhu)面號
第9、10、11、12字(zi)節 本分(fen)區之前已用了(le)的(de)扇(shan)區數
第13、14、15、16字節 本分區(qu)的(de)總扇區(qu)數
此(ci)硬盤的(de)第一分(fen)(fen)區表(即MBR)分(fen)(fen)析如下(xia):
第一個(ge)分區表項(C盤)
第1字節80:表示此分(fen)區為活動分(fen)區;
第5字節0B:表示分區類型為Fat32;
第9、10、11、12字節 系統隱(yin)(yin)(yin)含(han)(han)(han)扇(shan)(shan)區(qu)(qu)3F 00 00 00:所謂系統隱(yin)(yin)(yin)含(han)(han)(han)扇(shan)(shan)區(qu)(qu)就(jiu)是(shi)(shi)本分區(qu)(qu)(C盤)之前已用了的扇(shan)(shan)區(qu)(qu)數(shu)(shu),這(zhe)是(shi)(shi)一個十六進制數(shu)(shu),但要注意(yi):真正的隱(yin)(yin)(yin)含(han)(han)(han)扇(shan)(shan)區(qu)(qu)數(shu)(shu)應該反(fan)過來(lai)填寫(xie)(比如(ru):隱(yin)(yin)(yin)含(han)(han)(han)扇(shan)(shan)區(qu)(qu)數(shu)(shu)為(wei)3E 4D 5A 6F,則(ze)反(fan)過來(lai)就(jiu)是(shi)(shi)6F 5A 4D 3E ,這(zhe)才是(shi)(shi)實際(ji)的隱(yin)(yin)(yin)含(han)(han)(han)扇(shan)(shan)區(qu)(qu)數(shu)(shu))。那么(me),3F 00 00 00反(fan)過來(lai)寫(xie)就(jiu)是(shi)(shi)00 00 003F,也就(jiu)是(shi)(shi)3F,將他轉成十進制數(shu)(shu)我們才能知道實際(ji)的隱(yin)(yin)(yin)含(han)(han)(han)扇(shan)(shan)區(qu)(qu)數(shu)(shu)是(shi)(shi)多大。這(zhe)可以使用計算(suan)器(qi)來(lai)算(suan),單(dan)擊工具欄上的“計算(suan)器(qi)”按鈕(niu)。
這樣就啟(qi)動了計算器
計算器(qi)有兩種型號,我們要進行進制轉換,就要選擇(ze)“科學型”
比如我們要(yao)將(jiang)十(shi)(shi)六(liu)進(jin)制(zhi)3F轉(zhuan)換為十(shi)(shi)進(jin)制(zhi),就(jiu)要(yao)先選中“十(shi)(shi)六(liu)進(jin)制(zhi)”,然后(hou)輸入(ru)3F
再(zai)選中“十進(jin)(jin)制”,十六進(jin)(jin)制3F轉為(wei)十進(jin)(jin)制等于(yu)63。想(xiang)一(yi)想(xiang)我(wo)們前(qian)(qian)面所講(jiang)的(de)(de)(de),MBR占用63個(ge)(ge)(ge)扇(shan)(shan)(shan)區,也就是(shi)(shi)C盤(pan)之前(qian)(qian)已用了的(de)(de)(de)扇(shan)(shan)(shan)區數為(wei)63,第(di)64個(ge)(ge)(ge)扇(shan)(shan)(shan)區就是(shi)(shi)C盤(pan)的(de)(de)(de)第(di)一(yi)個(ge)(ge)(ge)扇(shan)(shan)(shan)區,但要注意的(de)(de)(de)是(shi)(shi),整個(ge)(ge)(ge)硬盤(pan)的(de)(de)(de)LBA地址是(shi)(shi)從零開始的(de)(de)(de),0~62的(de)(de)(de)扇(shan)(shan)(shan)區為(wei)MBR。
第13、14、15、16字(zi)節(jie)本分區(qu)總扇區(qu)數(shu)(shu)(shu)(當然,這也就(jiu)(jiu)是C盤(pan)的(de)(de)大(da)小):C1 E6 15 00,同樣,實際的(de)(de)十(shi)六(liu)進(jin)制(zhi)數(shu)(shu)(shu)也要反過來才對,也就(jiu)(jiu)是00 15 E6 C1,將它轉換成十(shi)六(liu)進(jin)制(zhi)數(shu)(shu)(shu)是1435329。給你出個題,你知道D盤(pan)的(de)(de)EBR在(zai)哪(na)個扇區(qu)嗎?我們(men)一起來算一下,還記得前面(mian)數(shu)(shu)(shu)據結構那個表(biao)嗎?C盤(pan)后面(mian)不就(jiu)(jiu)是D盤(pan)的(de)(de)EBR嗎?D盤(pan)EBR的(de)(de)第一個扇區(qu)=MBR+C盤(pan)的(de)(de)大(da)小,也就(jiu)(jiu)是 63+1435329=1435392。
我們來看看對(dui)不對(dui),單(dan)擊工具欄上的“轉到(dao)扇區”按(an)鈕,出現一個“轉到(dao)扇區”對(dui)話框
然后(hou)輸入1435392,再點“確定”,就到了(le)1435392扇區了(le)(你(ni)可以使用(yong)它(ta)再轉回到0扇區)
這個(ge)就(jiu)是D盤的EBR,也就(jiu)是D盤的分區(qu)表了,怎(zen)么知道的呢?因(yin)為(wei)(wei)MBR和EBR的結構(gou)是完全一(yi)(yi)樣的,都是占用了63個(ge)扇(shan)(shan)區(qu),但只用了第一(yi)(yi)個(ge)扇(shan)(shan)區(qu),其余62個(ge)扇(shan)(shan)區(qu)填零不用。第一(yi)(yi)個(ge)扇(shan)(shan)區(qu)前(qian)446個(ge)字(zi)節都為(wei)(wei)引導代碼,后(hou)(hou)64個(ge)字(zi)節為(wei)(wei)分區(qu)表,最后(hou)(hou)2個(ge)字(zi)節為(wei)(wei)55AA結束標志。因(yin)為(wei)(wei)EBR不是活動分區(qu),不需要(yao)引導代碼,所以前(qian)446個(ge)字(zi)節為(wei)(wei)零。
還有另一種(zhong)方法直接找(zhao)到D盤的EBR,扇(shan)區.
這樣,分(fen)區(qu)(qu)表(biao)(biao)中的第一個分(fen)區(qu)(qu)表(biao)(biao)項共十六個字(zi)節分(fen)析完畢,下面我(wo)們再來(lai)看看第二個分(fen)區(qu)(qu)表(biao)(biao)項(擴展(zhan)分(fen)區(qu)(qu))。
第1字節00:表(biao)示(shi)非活動分(fen)區
第5字(zi)節05:表示擴展分區(qu)
第9、10、11、12字節(jie)00 E7 15 00:本分區(qu)(qu)之前(qian)的扇(shan)區(qu)(qu)數(shu)(擴展分區(qu)(qu)前(qian)面(mian)也就(jiu)是(shi)MBR和C盤(pan),好像我們(men)前(qian)面(mian)算過這個(ge)數(shu)?)同樣,先將它反(fan)過來,就(jiu)是(shi)00 15 E7 00 ,再轉為十進制是(shi)1435392,看來我們(men)前(qian)面(mian)真的算過這個(ge)數(shu)。
第13、14、15、16字節40 09 29 00:本分(fen)區的(de)(de)總扇(shan)區數(shu)。也就是擴展(zhan)分(fen)區的(de)(de)總扇(shan)區數(shu)。轉為十進(jin)制應該是2689344。想一想,用這(zhe)個數(shu)加上(shang)前(qian)面的(de)(de)1435392,不正好是整(zheng)個硬盤的(de)(de)總扇(shan)區數(shu)4124736嗎?
這樣(yang),如果分區(qu)(qu)表被破(po)壞,我(wo)們(men)只要(yao)把這些數值(zhi)都(dou)計算(suan)出來并填上,分區(qu)(qu)表不就恢復了?那么,這里我(wo)們(men)為(wei)什么不分析(xi)第2、3、4字節(jie)(本分區(qu)(qu)的起始磁(ci)(ci)頭(tou)號、扇(shan)區(qu)(qu)號、柱(zhu)面(mian)號)和(he)第6、7、8字節(jie)(本分區(qu)(qu)的結束磁(ci)(ci)頭(tou)號、扇(shan)區(qu)(qu)號、柱(zhu)面(mian)號)呢?這是(shi)因為(wei)C/H/S(柱(zhu)面(mian)/磁(ci)(ci)頭(tou)/扇(shan)區(qu)(qu))是(shi)老式(shi)硬盤的尋址(zhi)方(fang)式(shi),這種(zhong)尋址(zhi)方(fang)式(shi)來管理(li)硬盤效率很低;而現在幾乎所有的硬盤都(dou)支持LBA(全稱是(shi)Logic Block Address,即扇(shan)區(qu)(qu)的邏輯塊(kuai)地址(zhi))尋址(zhi)方(fang)式(shi),這種(zhong)管理(li)方(fang)式(shi)簡單高效。在LBA方(fang)式(shi)下(xia),系統把所有的物(wu)理(li)扇(shan)區(qu)(qu)都(dou)統一編號,按照從(cong)零到某個(ge)最大值(zhi)排列,這樣(yang)只用一個(ge)序數就確定了一個(ge)唯(wei)一的物(wu)理(li)扇(shan)區(qu)(qu)。
小(xiao)知(zhi)識:具體一個(ge)硬(ying)(ying)盤(pan)有(you)(you)多少個(ge)LBA(扇(shan)區(qu)(qu))不需(xu)要(yao)我們(men)去(qu)記憶,因為用各種工具軟件(如MHDD WINHEX等)都可以檢測到。我們(men)只要(yao)知(zhi)道個(ge)大(da)(da)概(gai)(gai)(gai)就行了:如10G的硬(ying)(ying)盤(pan)大(da)(da)概(gai)(gai)(gai)有(you)(you)2000萬(wan)個(ge)扇(shan)區(qu)(qu);20G的硬(ying)(ying)盤(pan)大(da)(da)概(gai)(gai)(gai)有(you)(you)4000萬(wan)個(ge)扇(shan)區(qu)(qu);40G的硬(ying)(ying)盤(pan)大(da)(da)概(gai)(gai)(gai)有(you)(you)8000萬(wan)個(ge)扇(shan)區(qu)(qu)……那么,2G的硬(ying)(ying)盤(pan)大(da)(da)概(gai)(gai)(gai)有(you)(you)400萬(wan)個(ge)扇(shan)區(qu)(qu)。
那么,你(ni)可能要(yao)(yao)問了:如果(guo)要(yao)(yao)恢(hui)(hui)復分區(qu)表,這個起始磁(ci)頭號(hao)(hao)、扇(shan)(shan)區(qu)號(hao)(hao)、柱面號(hao)(hao)還有結(jie)束磁(ci)頭號(hao)(hao)、扇(shan)(shan)區(qu)號(hao)(hao)、柱面號(hao)(hao)應該怎么填(tian)呢?簡(jian)單得很,在后面恢(hui)(hui)復分區(qu)表的時候我會告訴你(ni),直接(jie)填(tian),都不用計算。
還有興(xing)趣來分(fen)析一下D盤的(de)EBR嗎?
其實D盤(pan)的(de)EBR和E盤(pan)的(de)EBR我(wo)們不(bu)分(fen)析也罷,因為(wei)無非(fei)也是分(fen)區(qu)表(biao),跟MBR的(de)結構是一樣的(de),但卻很容易把我(wo)們繞暈,又因為(wei)EBR一般不(bu)容易被破壞,所(suo)以我(wo)不(bu)建議分(fen)析EBR。
但如果(guo)你一(yi)定要分(fen)析,那(nei)就分(fen)析吧。
單擊“訪問”下拉按鈕——“分(fen)區二”——“分(fen)區表(biao)”,直接就到1435392扇區,即(ji)D盤的分(fen)區表(biao)EBR。
第一(yi)個分區表項(D盤):
第(di)1個(ge)字(zi)節00:表(biao)示非活(huo)動分區
第5個字節06:表(biao)示(shi)FAT16分(fen)區
第(di)9、10、11、12字(zi)節3F 00 00 00:本分(fen)區之前已用了的扇區數,也就是(shi)EBR的數目,63個。
第(di)13、14、15、16字節(jie)C1 E6 15 00:本分區的總扇(shan)區數,也就是D盤的扇(shan)區數,先(xian)反過來排列就是00 15 E6 C1,轉為十進制就是1435329。
第二個分(fen)區表(biao)項(xiang)(D盤后面的):
第1個字節(jie)00:表示(shi)非(fei)活動分區
第5個字節05:表示擴展(zhan)分(fen)區(qu)
第9、10、11、12字節00 E7 15 00:本分區之(zhi)前已(yi)用了的扇區數,也就是D盤的EBR加(jia)D盤總共的大小, 63+1435329=1435392
第13、14、15、16字節40 22 13 00:本分區的總(zong)扇區數,1253952,也(ye)就是(shi)E盤的大(da)小(xiao)再(zai)加上一(yi)個EBR的數目。
單擊(ji)“訪問”下拉按鈕——“分(fen)區(qu)三”——“分(fen)區(qu)表”,直接就到(dao)2870784扇區(qu),即E
盤的分(fen)區(qu)表EBR。因為E盤后面沒有(you)(you)分(fen)區(qu)了,所以(yi)沒有(you)(you)第二個(ge)分(fen)區(qu)表項(xiang)。這里我們就不再研(yan)(yan)究(jiu)(jiu)了,有(you)(you)興趣的話可以(yi)自己(ji)多備(bei)一塊硬盤作從盤,然后自己(ji)分(fen)分(fen)區(qu)研(yan)(yan)究(jiu)(jiu)研(yan)(yan)究(jiu)(jiu)。
通過(guo)以(yi)上(shang)的(de)(de)研究(jiu)我們總結一(yi)(yi)下,MBR在定(ding)(ding)(ding)義(yi)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)時候,將多(duo)余的(de)(de)容(rong)量定(ding)(ding)(ding)義(yi)為擴展分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),指定(ding)(ding)(ding)該擴展分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)起止位置,根據起始位置指向硬(ying)盤(pan)(pan)(pan)的(de)(de)某(mou)一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu),作為下一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)表(biao)項,接著(zhu)在該扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)繼續定(ding)(ding)(ding)義(yi)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),如(ru)果(guo)只有(you)一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)(jiu)定(ding)(ding)(ding)義(yi)該分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),然后(hou)(hou)結束(shu);如(ru)果(guo)不(bu)止一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),就(jiu)(jiu)定(ding)(ding)(ding)義(yi)一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)基本分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)和(he)一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)擴展分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),擴展分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)再指向下一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)描述(shu)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu),在該分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)上(shang)按(an)(an)照(zhao)上(shang)述(shu)原則(ze)繼續定(ding)(ding)(ding)義(yi)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),直至分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)定(ding)(ding)(ding)義(yi)結束(shu)。這些用(yong)來(lai)描述(shu)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)的(de)(de)扇(shan)區(qu)(qu)(qu)(qu)(qu)(qu)形(xing)(xing)成一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)“分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)”,通過(guo)這個(ge)(ge)(ge)(ge)(ge)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian),就(jiu)(jiu)可以(yi)描述(shu)所有(you)的(de)(de)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)。系(xi)統(tong)在啟動時按(an)(an)照(zhao)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)的(de)(de)連接順序查(cha)(cha)找(zhao)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),直至找(zhao)出所有(you)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)。這個(ge)(ge)(ge)(ge)(ge)鏈(lian)(lian)顯(xian)然是個(ge)(ge)(ge)(ge)(ge)開鏈(lian)(lian)結構,如(ru)果(guo)形(xing)(xing)成一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)環,系(xi)統(tong)本身并不(bu)會(hui)去判斷(duan)它(ta),它(ta)只是按(an)(an)照(zhao)這個(ge)(ge)(ge)(ge)(ge)鏈(lian)(lian)忠實的(de)(de)查(cha)(cha)找(zhao)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu),而不(bu)進(jin)行任(ren)何額外(wai)的(de)(de)檢測(ce)與處理。所謂硬(ying)盤(pan)(pan)(pan)邏(luo)輯鎖,就(jiu)(jiu)是讓分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)形(xing)(xing)成一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)環,這樣系(xi)統(tong)在啟動時就(jiu)(jiu)在分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)表(biao)內循(xun)環,表(biao)現為系(xi)統(tong)無法(fa)引導,就(jiu)(jiu)是從軟(ruan)盤(pan)(pan)(pan)啟動,也不(bu)能進(jin)入(ru)硬(ying)盤(pan)(pan)(pan)。明(ming)白了其結構原理,解決這個(ge)(ge)(ge)(ge)(ge)問(wen)題就(jiu)(jiu)簡(jian)單了,目前有(you)很多(duo)種(zhong)方法(fa)解決這個(ge)(ge)(ge)(ge)(ge)問(wen)題,后(hou)(hou)面我們還會(hui)講到(dao)。系(xi)統(tong)就(jiu)(jiu)是利用(yong)這種(zhong)方法(fa)使一(yi)(yi)個(ge)(ge)(ge)(ge)(ge)硬(ying)盤(pan)(pan)(pan)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)后(hou)(hou)看起來(lai)象多(duo)個(ge)(ge)(ge)(ge)(ge)硬(ying)盤(pan)(pan)(pan)。系(xi)統(tong)能夠找(zhao)到(dao)C盤(pan)(pan)(pan)以(yi)外(wai)的(de)(de)其他邏(luo)輯盤(pan)(pan)(pan)的(de)(de)唯一(yi)(yi)辦法(fa)就(jiu)(jiu)是,沿著(zhu)EBR所描述(shu)的(de)(de)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)鏈(lian)(lian)查(cha)(cha)找(zhao)分(fen)(fen)(fen)(fen)(fen)(fen)區(qu)(qu)(qu)(qu)(qu)(qu)。
其實(shi),通常情況(kuang)下EBR是不會(hui)被(bei)破壞(huai)(huai)的(de)(de)(de),或者破壞(huai)(huai)的(de)(de)(de)幾率極低極低,通常情況(kuang)下,都是只有MBR被(bei)破壞(huai)(huai),那么這種情況(kuang)下,我們(men)只要(yao)把MBR的(de)(de)(de)分(fen)區(qu)(qu)表(biao)64個字節復(fu)原,其他的(de)(de)(de)分(fen)區(qu)(qu)順著分(fen)區(qu)(qu)表(biao)所提供的(de)(de)(de)鏈自(zi)然而然就出來了(le)。那么,如(ru)何(he)才能將分(fen)區(qu)(qu)表(biao)復(fu)原呢?這就要(yao)通過計算結(jie)合(he)Winhex強大的(de)(de)(de)功能來實(shi)現了(le)。
下面我們(men)就來(lai)模仿(fang)分區(qu)表被病毒破壞的情況,將MBR全部填(tian)零(ling)。我們(men)首先(xian)將MBR所在的扇區(qu)選中(zhong)。鼠標指向第一個字節,單(dan)擊(ji)右鍵,選擇“選塊開始”
然(ran)后(hou)鼠標(biao)指向MBR的最后(hou)一個字節,單擊右鍵,選(xuan)擇“選(xuan)塊結尾”
然后我們在選區內部單(dan)擊鼠標(biao)右鍵,選擇“編輯(ji)”
這樣就有出來(lai)一個菜單
然后(hou)我(wo)們選(xuan)“填充選(xuan)塊(kuai)”,這樣就出來一個填充選(xuan)塊(kuai)對(dui)話框
在“用十六進(jin)制填充”的(de)輸(shu)(shu)入(ru)框中(zhong)輸(shu)(shu)入(ru)“00”,再點“確定”
這(zhe)樣(yang)MBR所在扇(shan)區全部(bu)被我們(men)填充為“00”
如果想取消選(xuan)區(qu),那就(jiu)用(yong)鼠標拖動隨便選(xuan)中(zhong)一(yi)塊(kuai)區(qu)域,那么原來的選(xuan)區(qu)就(jiu)會取消。注意,如果扇(shan)區(qu)數據被修(xiu)改了(le)而沒有(you)存盤就(jiu)會變為別(bie)的顏色。
修改(gai)了扇(shan)(shan)區,這時候還(huan)沒(mei)有(you)存盤生(sheng)效,如果你想(xiang)存盤生(sheng)效的話,就選擇(ze)“文件(jian)”菜(cai)單“保(bao)存扇(shan)(shan)區”命令。
這(zhe)時候就會出現(xian)一個提示(shi),如(ru)果你不想存(cun)盤了就點取(qu)消(xiao),如(ru)果想存(cun)盤,就點確定,再(zai)點是。
好,這樣(yang)就存盤了,扇區被(bei)修改的數據又變(bian)為黑色。
這(zhe)(zhe)樣我們(men)就把分區(qu)表給刪除了,這(zhe)(zhe)時候(hou)必須(xu)重新啟(qi)動才能(neng)生效,如果你(ni)打開我的(de)(de)電腦,會發現三個分區(qu)(F、G、H)還在那里(li),并(bing)且里(li)面的(de)(de)數據還能(neng)正常使用。
現在,我們關閉所有程序將電(dian)腦重新啟動……
經過不長時間的等待(dai),電腦啟動(dong)起來(lai)了,我們打開我的電腦看(kan)看(kan),發(fa)現F、G、H三個分區不見(jian)了。
再打開Winhex發現MBR全(quan)部為零了,下面我們就著(zhu)手(shou)開始手(shou)工(gong)恢復分區表
首先(xian)恢復(fu)引導代(dai)(dai)碼,這最(zui)簡單了(le),只要(yao)用Winhex到別的系(xi)統(tong)盤把(ba)引導代(dai)(dai)碼復(fu)制(zhi)過來就行了(le)。我現在(zai)的機器(qi)上(shang)不是掛著兩個硬(ying)盤嗎?一個邁拓2G,一個西(xi)(xi)數40G,西(xi)(xi)數40G是我的系(xi)統(tong)盤,那(nei)就從這個盤上(shang)復(fu)制(zhi)就行了(le)。
單擊(ji)“磁盤(pan)編輯器”按鈕(niu)
出現“編輯(ji)磁盤(pan)”對話框
選擇“HD0WDC WD400EB---00CPF0”,點(dian)“確定”
這樣我們(men)就把(ba)系統盤(pan)的(de)分區表(biao)給打開了,注意,現在我們(men)是打開了兩個(ge)窗(chuang)(chuang)口(kou),當前的(de)窗(chuang)(chuang)口(kou)是“硬盤(pan)0”,在標(biao)題欄上有顯示(shi)。另外,打開窗(chuang)(chuang)口(kou)菜(cai)單也能看(kan)出(chu)來(lai),當前窗(chuang)(chuang)口(kou)被打上一個(ge)勾,如果(guo)想切換回原(yuan)來(lai)的(de)窗(chuang)(chuang)口(kou),就點擊“硬盤(pan)1”。
首先選中系統(tong)盤的引導代(dai)碼
然后在選(xuan)區中單擊鼠標右鍵(jian),選(xuan)“編輯(ji)”
又(you)出來(lai)一個菜單,然后(hou)我們選(xuan)“復制選(xuan)塊”——“正常”
然后(hou)我(wo)們(men)切換回硬(ying)盤1窗口,在(zai)零扇區的(de)第一個字(zi)節處單擊鼠標右鍵,選(xuan)“編輯(ji)”
然(ran)后選(xuan)“剪貼板數據”——“寫入……”
出現一(yi)個窗(chuang)口提示,點(dian)“確定”
這樣,我們就把一個(ge)正常(chang)系(xi)統盤上的(de)引導(dao)代碼復制過來了。
下(xia)面,我們就(jiu)開始恢(hui)復(fu)分區(qu)表(biao)(biao)(共64個(ge)字節,分為4個(ge)分區(qu)表(biao)(biao)項,每個(ge)分區(qu)表(biao)(biao)項占用16個(ge)字節,一般只(zhi)使用前兩個(ge)分區(qu)表(biao)(biao)項),我們首(shou)先(xian)來恢(hui)復(fu)第一個(ge)分區(qu)標項(也就(jiu)是(shi)用來描述C盤的)。
首先(xian),在第(di)1個(ge)字(zi)節處(0扇區(qu)(qu)倒(dao)數第(di)五行,倒(dao)數第(di)二個(ge)字(zi)節)填上分區(qu)(qu)引導(dao)標志,因為C盤是(shi)活動分區(qu)(qu),所以填上80。
接著是第2、3、4字節(本分區起(qi)始磁(ci)頭號、扇區號、柱面號),填上:01 01 00。
第(di)5字節是(shi)(shi)分區類型符,因為原(yuan)先C盤是(shi)(shi)Fat32格式,所以填上:0B。那(nei)么,如果你(ni)不(bu)知道C盤是(shi)(shi)什(shen)么格式怎(zen)么辦呢?你(ni)會(hui)說(shuo)問(wen)問(wen)客戶呀,那(nei)么如果他也不(bu)知道呢?別(bie)著急,后面在說(shuo)恢復DBR的時(shi)候(hou)我(wo)會(hui)教(jiao)你(ni)怎(zen)么分辨(bian)分區的格式。
第(di)6、7、8字(zi)節是(shi)本分區(qu)的結(jie)束磁頭號(hao)、扇(shan)區(qu)號(hao)、柱(zhu)面號(hao),這怎么知道呢?別著急,現在的磁盤都是(shi)按照LBA方式尋址,并(bing)不按照C/H/S(及柱(zhu)面、磁頭、扇(shan)區(qu))方式尋址,所以這個地(di)方你(ni)填(tian)些(xie)什么一(yi)(yi)般關系(xi)不大,但是(shi)我要告訴你(ni)有(you)一(yi)(yi)個通用的填(tian)法,那(nei)就是(shi):FE FF FF。
第9、10、11、12字(zi)節,本分區(qu)之前已(yi)用了的扇區(qu)數,也(ye)就是(shi)(shi)MBR所占用的扇區(qu)數,那(nei)不(bu)(bu)是(shi)(shi)63嗎?對,但(dan)是(shi)(shi)要(yao)將63轉為十六(liu)進制(zhi)數,再(zai)反過(guo)來倒著填寫上。還記得怎(zen)么(me)用計算(suan)器嗎?將63轉為十六(liu)進制(zhi)數是(shi)(shi)3F,不(bu)(bu)夠(gou)四個(ge)字(zi)節前面(mian)加零(ling),也(ye)就是(shi)(shi)00 00 00 3F,再(zai)將此數從(cong)右(you)向左依(yi)次序反過(guo)來就是(shi)(shi)3F 00 00 00。
第(di)13、14、15、16字節是(shi)(shi)本分區的總扇(shan)區數,也就是(shi)(shi)C盤(pan)(pan)(pan)的大小,這就要通過稍微一(yi)(yi)(yi)點點計算來得到了。因為(wei)C盤(pan)(pan)(pan)是(shi)(shi)從第(di)63個(ge)扇(shan)區開始(shi),而C盤(pan)(pan)(pan)后面緊接著的是(shi)(shi)EBR,所(suo)以用(yong)EBR所(suo)在的第(di)一(yi)(yi)(yi)個(ge)扇(shan)區數減去63就是(shi)(shi)C盤(pan)(pan)(pan)的大小。那么如何才能找到EBR所(suo)在的第(di)一(yi)(yi)(yi)個(ge)扇(shan)區呢(ni)?我(wo)們前面說過,EBR的結構和MBR是(shi)(shi)一(yi)(yi)(yi)樣的,所(suo)以,EBR的結束(shu)標(biao)志(zhi)也一(yi)(yi)(yi)定是(shi)(shi)55AA,那么,只要我(wo)們找到這個(ge)結束(shu)標(biao)志(zhi),再(zai)看(kan)看(kan)這個(ge)扇(shan)區是(shi)(shi)不是(shi)(shi)EBR不就行了?
單擊(ji)“搜(sou)索”——“查找十(shi)六(liu)進制數值……”,然后出來(lai)一個對(dui)話框
在(zai)文本框中(zhong)輸入“55AA”,搜索(suo)框中(zhong)選(xuan)(xuan)“全(quan)部”,然后選(xuan)(xuan)中(zhong)“條件”,把偏(pian)移量設置為“512=510”。
再(zai)單擊(ji)“確定”。畫(hua)面如下:
首先(xian)找到第(di)一個“55AA”,我(wo)們看到,個扇區在第(di)63個扇區上(shang),并不(bu)是我(wo)們要找的EBR,再按F3繼續查找
又(you)找到好幾個(ge)扇(shan)區,都不(bu)是,那么下(xia)面這個(ge)扇(shan)區是不(bu)是?
前(qian)(qian)面我們(men)說過(guo),EBR的(de)(de)結構和MBR的(de)(de)結構是一(yi)樣的(de)(de),所以在倒數(shu)第(di)五行倒數(shu)第(di)二個(ge)字(zi)節應(ying)該是00 01,并且前(qian)(qian)446個(ge)字(zi)節應(ying)該是0,顯然(ran)這也不是EBR,繼續按F3查找……終(zhong)于(yu)找到了真(zhen)正的(de)(de)EBR,在1435392扇區。
小(xiao)技巧:現在的硬盤(pan)都(dou)比較大,要逐個(ge)(ge)(ge)扇(shan)(shan)區(qu)(qu)的查找55AA確(que)實太慢了(le)(le),那么有沒有辦法(fa)快點呢?有,那就(jiu)是先問(wen)問(wen)客(ke)戶C盤(pan)大概(gai)有多大,大多數客(ke)戶還是知道的,比如他(ta)說C盤(pan)大概(gai)有10個(ge)(ge)(ge)G,那么你就(jiu)不要從頭開始(shi)找了(le)(le),因(yin)為那實在太慢了(le)(le)。10個(ge)(ge)(ge)G大概(gai)是2000萬(wan)個(ge)(ge)(ge)扇(shan)(shan)區(qu)(qu),那么你可以用(yong)轉到(dao)扇(shan)(shan)區(qu)(qu)命令直(zhi)接到(dao)1900萬(wan)扇(shan)(shan)區(qu)(qu),從那個(ge)(ge)(ge)地方再開始(shi)找不就(jiu)省(sheng)事多了(le)(le)。
用1435392減去63,得到1435329,再(zai)轉為16進(jin)制,就是15E6C1,將他倒轉過來就是C1E61500,這就是C盤(pan)的大小。這樣,第一個分區表項(xiang)填寫完畢,我們保(bao)存一下(xia),再(zai)接著填寫第二個分區表項(xiang)。
第(di)二個分區(qu)表第(di)1個字節:因為(wei)是(shi)非活動分區(qu),所(suo)以寫00
第2、3、4字(zi)節,填寫01 01 00(通(tong)用(yong)的)
第5字節:因(yin)為是擴展(zhan)分(fen)區,所以填寫0F
第6、7、8字節:填寫FE FF FF(通用)
第9、10、11、12字節是(shi)(shi)本分區之前已用了的扇區數,應該就(jiu)是(shi)(shi)C盤大小加63,也(ye)就(jiu)是(shi)(shi)1435392,前面剛計算出(chu)來的,轉(zhuan)為(wei)十(shi)六進制數再(zai)反(fan)過來就(jiu)是(shi)(shi)00 E7 15 00
第(di)13、14、15、16字節是(shi)(shi)(shi)本分區(qu)的總扇區(qu)數,也就(jiu)(jiu)(jiu)是(shi)(shi)(shi)擴(kuo)展分區(qu)的總扇區(qu)數,也就(jiu)(jiu)(jiu)是(shi)(shi)(shi)用整個硬盤的大小(xiao)減去(qu)C盤的大小(xiao)再減去(qu)63,即(ji)4124736-1435329-63=2689344,轉為十六(liu)進(jin)制就(jiu)(jiu)(jiu)是(shi)(shi)(shi)290940,反過來就(jiu)(jiu)(jiu)是(shi)(shi)(shi)40092900。
這樣,第二個分區表項就(jiu)填寫完了。
不要忘(wang)了把最(zui)后的(de)結束標志55AA填上,這(zhe)樣,MBR就全恢復(fu)完了,最(zui)后,保存,再重新啟(qi)動……
啟動(dong)完(wan)畢,迫不(bu)及待(dai)的(de)打開我的(de)電腦,發現三個分區全部又回(hui)來了,并且里面的(de)數據(ju)完(wan)好無損(sun)。
再右(you)擊“我的電腦(nao)”,選“管理”
出(chu)現(xian)一(yi)個(ge)對話框,選“磁盤(pan)管理”,在右(you)邊可以看到磁盤(pan)一(yi)的三個(ge)分區(Fat32、Fat16、Ntfs)全部都(dou)回來了,至(zhi)此,手工恢復分區表順利完成。
手工恢復(fu)數據恢復(fu)成功率(lv)比較(jiao)高,而(er)且(qie)(qie)比較(jiao)有趣味和(he)挑戰性(xing)(xing),能找回(hui)許多傻瓜似的軟件所(suo)找不回(hui)來(lai)的文件,但是要(yao)求(qiu)工程師一(yi)(yi)定(ding)(ding)要(yao)有耐性(xing)(xing),而(er)且(qie)(qie)一(yi)(yi)定(ding)(ding)要(yao)保持(chi)清醒,清楚(chu)自己正(zheng)在(zai)操作什(shen)么,操作完(wan)了會(hui)有什(shen)么后果,能不能退(tui)回(hui)到(dao)上一(yi)(yi)步狀態。特(te)別是對(dui)一(yi)(yi)些(xie)破壞性(xing)(xing)操作,一(yi)(yi)定(ding)(ding)要(yao)考慮周到(dao),只要(yao)條件允許,就一(yi)(yi)定(ding)(ding)要(yao)在(zai)操作之前進行備(bei)份,否則會(hui)造成“血”的教(jiao)訓,切記!
歲月靜好
】編輯上傳提供,詞(ci)(ci)條屬于(yu)開放詞(ci)(ci)條,當前(qian)頁面所展(zhan)示的詞(ci)(ci)條介紹(shao)涉及(ji)宣傳內容(rong)屬于(yu)注冊用戶(hu)個人編輯行為,與【WinHex】的所屬企業(ye)/所有人/主體無(wu)關(guan),網站(zhan)不完全保證內容(rong)信息的準(zhun)確性、真實性,也(ye)不代表(biao)本站(zhan)立場,各(ge)項(xiang)數據信息存在(zai)更新不及(ji)時(shi)的情況,僅供參考,請以官方發布(bu)為準(zhun)。如果頁面內容(rong)與實際情況不符,可點(dian)擊“反饋”在(zai)線向網站(zhan)提出修改(gai),網站(zhan)將核實后(hou)進行更正(zheng)。
