利用WINHEX工具数据恢复.ppt

利用WINHEX工具数据恢复.ppt

《利用WINHEX工具数据恢复.ppt》由会员分享，可在线阅读，更多相关《利用WINHEX工具数据恢复.ppt（14页珍藏版）》请在冰豆网上搜索。

利用WINHEX工具数据恢复,福州华南电脑学校叶珩（工信部认证数据恢复讲师）,WinHex是什么？

WinHex是德国人开发的五星上将级16进制编辑软件，其附带的及其变通的数据恢复功能及其强大。

在掌握了文件系统基础原理之后，你会对WinHex爱不释手，不愿再使用其他数据恢复软件。

WinHex是WINDOWS下数据恢复的第一数据恢复软件，进入系统，首先要用WinHex来检测判断故障。

并可直接恢复剪切删除、目录无法读取、分区丢失、误克隆、加密、RAID、目录隐藏、坏扇区等大多数类型故障。

一类数据恢复者用WinHex，二类数据恢复者用R-Studio,三类数据恢复者用FinalData、EasyRecovery，至少现在这样形容并不过分。

WINHEX界面介绍,WINHEX几个重要数据,目前在的扇区编号,当前盘的总扇区数,通过知道总扇区数，能知道什么,1个扇区=512B（字节）,546210个扇区=546210512B（字节）,共279659520B,1024=273105KB,1024266.71MB,硬盘分区,用工具给硬盘分区,用WinHex给硬盘分区,用WinHex观察硬盘分区（MBR部分）,MBR，即主引导记录区，位于整个硬盘的0磁道0柱面1扇区。

在总共512字节的主引导扇区中，MBR的引导程序占用其中的前446个字节（偏移0偏移1BDH），随后的64个字节（偏移1BEH偏移1FDH）为DPT（DiskPartitionTable，硬盘分区表），最后的两个字节“55AA”（偏移1FEH偏移1FFH）是分区有效结束标志。

由它们共同构成硬盘主引导记录，也称主引导扇区。

（查看实际的MBR，并记住其特征）,用WinHex观察硬盘分区（MBR部分）,MBR的引导程序,DPT（DiskPartitionTable）硬盘分区表,最后的两个字节“55AA”（偏移1FEH偏移1FFH）是分区有效结束标志,用WinHex模版工具观察硬盘分区（MBR部分）,引导标志,值为00H表示非活动分区,值为80H表示活动分区,本分区的起始磁头号、扇区号、柱面号,分区类型符,本分区的结束磁头号、扇区号、柱面号,06H：

FAT16基本分区,本分区之前已用了的扇区数,本分区的总扇区数,7.82M,第1#分区表,分区类型,00H：

表示该分区未用06H：

FAT16基本分区0BH：

FAT32基本分区05H：

扩展分区07H：

NTFS分区0FH：

（LBA模式）扩展分区83H：

Linux分区,用WinHex模版工具观察硬盘分区（MBR部分）,引导标志,值为00H表示非活动分区,值为80H表示活动分区,本分区的起始磁头号、扇区号、柱面号,分区类型符,本分区的结束磁头号、扇区号、柱面号,05H?

本分区之前已用了的扇区数,本分区的总扇区数,251.02M,第2#分区表,扩展分区,不用WinHex模版工具直观硬盘分区（MBR部分）,主引导记录区,不用WinHex模版工具直观硬盘分区（MBR部分）,1BE：

引导标志。

若值为80H表示活动分区；若值为00H表示非活动分区。

1BF1C1：

本分区的起始磁头号、扇区号、柱面号,1C2：

分区类型符,1C31C5：

本分区的结束磁头号、扇区号、柱面号,1C61C9：

本分区之前已用了的扇区数，3F000000,1CA1CD：

本分区的总扇区数，823E0000,00003E82,=（16002）10,1BF：

本分区的起始磁头号、1C0:

起始扇区号（高2位为柱面号）、1C1:

起始柱面号（低8位）,1C3：

本分区的结束磁头号、1C4:

结束扇区号（高2位为柱面号）、1C5:

结束柱面号（低8位）,不用WinHex模版工具直观硬盘分区（MBR部分）,1CE：

引导标志。

若值为80H表示活动分区；若值为00H表示非活动分区。

1CF1D1：

本分区的起始磁头号、扇区号、柱面号,1D2：

分区类型符,1D31D5：

本分区的结束磁头号、扇区号、柱面号,1D61C9：

本分区之前已用了的扇区数，C13E0000,1DA1DD：

本分区的总扇区数，20D80700,0007D820,=（514080）10,1CF：

本分区的起始磁头号、1D0:

起始扇区号（高2位为柱面号）、1D1:

起始柱面号（低8位）,1D3：

本分区的结束磁头号、1D4:

结束扇区号（高2位为柱面号）、1D5:

结束柱面号（低8位）,不用WinHex模版工具直观硬盘分区（MBR部分）,为什么要用最后的两个字节“55AA”（偏移1FEH偏移1FFH）作为分区有效结束标志？

如果“55AA”的内容丢失，计算机不能从硬盘启动，系统提示：

“DISKBOOTFAILURE,INSERTSYSTEMDISKANDPRESSENTER.”，但是我们即使从软盘启动，也没有硬盘，用FDISK/STATUS命令显示硬盘未使用。

（硬盘逻辑锁现象）,