设置中文的方法
点击菜单栏最后的“help”-“setup”-“Chinese,please!”
软件使用说明
下面我们来看看该软件的使用。
标题栏:与一般的应用软件一样,标题栏中显示软件名称和当前打开的文件名称;
菜单栏:Winhex的菜单栏由八个菜单项组成-文件菜单、编辑菜单、搜索、定位、工具、选项菜单、文件管理、窗口和帮助菜单。
在文件菜单中,除了常规的新建、打开文件和保存以及退出命令以外,还有备份管理、创建备份和载入备份功能。选择文件菜单中的属性项,弹出文件属性窗口,包括文件路径、名称、大小、创建时间和修改日期等内容。在编辑菜单中,除了常规的复制、粘贴和剪切功能外,还有数据格式转换和修改的功能。在搜索菜单中,你可以查或替换文本内容和十六进制文件,搜索整数值和浮点数值。在定位菜单中,你可以根据偏移地址和区块的位置快速定位。在工具菜
单中,包括磁盘编辑工具、文本编辑工具、计算器、模板管理工具和Hex转换器,使用十分方便。在选项菜单中,包括常规选项设置、安全性设置和还原选项设置。
在Winhex的工具栏中,包括文件新建、打开、保存、打印、属性工具;剪切、粘贴和复制编辑工具;查文本和Hex值,替换文本和Hex值;文件定位工具、RAM编辑器、计算器、区块分析和磁盘编辑工具;选项设置工具和帮助工具按钮。通过使用工具栏中的快捷按钮可以更方便的进行操作,这些和菜单中相应的命令是一样的。
在使用Winhex之前需要进行相应的选项设置,点击工具栏中的选项设置快捷图标按钮,弹出选项设置对话框.它包括是否将WinHex作为默认关联,是否添加WinHex到上下文菜单,是否不更新文件名,是否快速打开文件以及是否显示文件图标和工具栏。而且你还可以设置最近打开的文件列表中文件的数目,选择是否用TAB键产生标记,设置临时文件夹、备份文件夹和文本编辑的路径。在常规设置中,你可以选择是否选择显示双光标和页分隔符,是否逐行滚动,是否显示Windows进度条,此外你还可以设置字体类型和颜,相信你很快就学会了。执行选项菜单中的安全项,弹出安全保护选项设置窗口,你可以选择是否限制驱动控制,是否计算标准检查和扇区读入缓存以及是否确认更新文件。另外你可以选择是否自动检
查磁簇,是否总显示恢复报告,是否对下个会话保持驱动映像,是否隐蔽输入加密关键码(*****)以及检查虚拟内存变换和在RAM中是否保留密匙。在所有设置完成后,点击保存按钮,然后按确定按钮返回主窗口。
数据恢复分类
硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们主要使用软恢复。
数据恢复的前提
数据不能被二次破坏、覆盖!
硬盘数据结构
下面是一个分了三个区的整个硬盘的数据结构
MBR C盘EBRD盘 EBR E盘
MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用
就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。
但分区表如果丢失,后果就是整个硬盘一个分区没有,就好像刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。
EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。
MBR、EBR是分区产生的。
比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表:
63 1435329 63 1435329 63 1253889
MBR C盘 EBR D盘 EBR E盘
扩展分区
而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构:
C 盘
DBR FAT1 FAT2 DIR DATA
恢复教程
Winhex有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装Winhex,安装完了就可以启动winhex了,启动后,首先出现的是启动中心对话框。
这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:
在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等
向下拉拉滚动条,可以看到一个灰的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。
分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)
每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)
字节位置 内容及含义
第1字节 引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。
第2、3、4字节 本分区的起始磁头号、扇区号、柱面号
第5字节 分区类型符:
00H——表示该分区未用
06H——FAT16基本分区
0BH——FAT32基本分区
05H——扩展分区
07H——NTFS分区
0FH——(LBA模式)扩展分区
83H—— Linux分区
第6、7、8字节 本分区的结束磁头号、扇区号、柱面号
第9、10、11、12字节 本分区之前已用了的扇区数
第13、14、15、16字节 本分区的总扇区数
此硬盘的第一分区表(即MBR)分析如下:
第一个分区表项(C盘)
第1字节80:表示此分区为活动分区;
第5字节0B:表示分区类型为Fat32;
第9、10、11、12字节 系统隐含扇区3F 00 00 00:所谓系统隐含扇区就是本分区(C盘)之前已用了的扇区数,这是一个十六进制数,但要注意:真正的隐含扇区数应该反过来填写(比如:隐含扇区数为3E 4D 5A 6F,则反过来就是6F 5A 4D 3E ,这才是实际的隐含扇区
数)。那么,3F 00 00 00反过来写就是00 00 003F,也就是3F,将他转成十进制数我们才能知道实际的隐含扇区数是多大。这可以使用计算器来算,单击工具栏上的“计算器”按钮,如下图:
16进制转换器计算器这样就启动了计算器
计算器有两种型号,我们要进行进制转换,就要选择“科学型”
比如我们要将十六进制3F转换为十进制,就要先选中“十六进制”,然后输入3F
再选中“十进制”,十六进制3F转为十进制等于63。想一想我们前面所讲的,MBR占用63个扇区,也就是C盘之前已用了的扇区数为63,第64个扇区就是C盘的第一个扇区,但要注意的是,整个硬盘的LBA地址是从零开始的,0~62的扇区为MBR。
第13、14、15、16字节本分区总扇区数(当然,这也就是C盘的大小):C1 E6 15 00,同样,实际的十六进制数也要反过来才对,也就是00 15 E6 C1,将它转换成十六进制数是1435329。给你出个题,你知道D盘的EBR在哪个扇区吗?我们一起来算一下,还记得前面数据结构那个表吗?C盘后面不就是D盘的EBR吗?D盘EBR的第一个扇区=MBR+C盘的大小,
也就是 63+1435329=1435392。
我们来看看对不对,单击工具栏上的“转到扇区”按钮,出现一个“转到扇区”对话框
然后输入1435392,再点“确定”,就到了1435392扇区了(你可以使用它再转回到0扇区)
这个就是D盘的EBR,也就是D盘的分区表了,怎么知道的呢?因为MBR和EBR的结构是完全一样的,都是占用了63个扇区,但只用了第一个扇区,其余62个扇区填零不用。第一个扇区前446个字节都为引导代码,后64个字节为分区表,最后2个字节为55AA结束标志。因为EBR不是活动分区,不需要引导代码,所以前446个字节为零。
还有另一种方法直接到D盘的EBR,扇区.
这样,分区表中的第一个分区表项共十六个字节分析完毕,下面我们再来看看第二个分区表项(扩展分区)。
第1字节00:表示非活动分区
第5字节05:表示扩展分区
第9、10、11、12字节00 E7 15 00:本分区之前的扇区数(扩展分区前面也就是MBR和C盘,好像我们前面算过这个数?)同样,先将它反过来,就是00 15 E7 00 ,再转为十进制是1435392,看来我们前面真的算过这个数。
第13、14、15、16字节40 09 29 00:本分区的总扇区数。也就是扩展分区的总扇区数。转为十进制应该是2689344。想一想,用这个数加上前面的1435392,不正好是整个硬盘的总扇区数4124736吗?
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论