一 Winhex和相關(guān)概念簡介

1 Winhex

是在Windows下運行的十六進制編輯軟件，此軟件功能非常強大，有完善的分區(qū)管理功能和文件管理功能，能自動分析分區(qū)鏈和文件簇鏈，能對硬盤進行不同方式不同程度的備份，甚至克隆整個硬盤；它能夠編輯任何一種文件類型的二進制內(nèi)容（用十六進制顯示）其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任意扇區(qū)，是手工恢復(fù)數(shù)據(jù)的首選工具軟件。 

2 數(shù)據(jù)恢復(fù)概念數(shù)據(jù)恢復(fù)分類：硬恢復(fù)和軟恢復(fù)。所謂硬恢復(fù)就是硬盤出現(xiàn)物理性損傷，那么我們將它修好，同時又保留里面的數(shù)據(jù)或后來恢復(fù)里面的數(shù)據(jù)；所謂軟恢復(fù)，就是硬盤本身沒有物理損傷，而是由于人為或者病毒破壞所造成的數(shù)據(jù)丟失（比如誤格式化，誤分區(qū)），這樣的數(shù)據(jù)恢復(fù)就叫軟恢復(fù)。主要介紹軟恢復(fù)，硬恢復(fù)還需要購買一些工具設(shè)備（比如pc3000,電烙鐵，各種芯片、電路板）。

3 MBR和EBRMBR，即主引導記錄，位于整個硬盤的0柱面0磁道1扇區(qū)，共占用了63個扇區(qū)，但實際只使用了1個扇區(qū)（512字節(jié)）。在總共512字節(jié)的主引導記錄中，MBR又可分為三部分：第一部分：引導代碼，占用了446個字節(jié)；第二部分：分區(qū)表，占用了64字節(jié)；第三部分：55AA，結(jié)束標志，占用了兩個字節(jié)。后面我們要說的用winhex軟件來恢復(fù)誤分區(qū)，主要就是恢復(fù)第二部分：分區(qū)表。引導代碼的作用：就是讓硬盤具備可以引導的功能。如果引導代碼丟失，分區(qū)表還在，那么這個硬盤作為從盤所有分區(qū)數(shù)據(jù)都還在，只是這個硬盤自己不能夠用來啟動進系統(tǒng)了。如果要恢復(fù)引導代碼，可以用DOS下的命令：FDISK /MBR；這個命令只是用來恢復(fù)引導代碼，不會引起分區(qū)改變，丟失數(shù)據(jù)。另外，也可以用工具軟件，比如DISKGEN、WINHEX等。但分區(qū)表如果丟失，后果就是整個硬盤一個分區(qū)沒有，就好象剛買來一個新硬盤沒有分過區(qū)一樣。是很多病毒喜歡破壞的區(qū)域。EBREBR，也叫做擴展MBR（Extended MBR）。因為主引導記錄MBR最多只能描述4個分區(qū)項，如果想要在一個硬盤上分多于4個區(qū)，就要采用擴展MBR的辦法。MBR、EBR是分區(qū)產(chǎn)生的。每一個分區(qū)又由DBR、FAT1、FAT2、DIR、DATA 5部分。

4 Winhex菜單和界面最上面的是菜單欄和工具欄，下面最大的窗口是工作區(qū)，現(xiàn)在看到的是硬盤的第一個扇區(qū)的內(nèi)容，以十六進制進行顯示，并在右邊顯示相應(yīng)的ASCII碼，右邊是詳細資源面板，分為五個部分：狀態(tài)、容量、當前位置、窗口情況和剪貼板情況。這些情況對把握整個硬盤的情況非常有幫助。另外，在其上單擊鼠標右鍵，可以將詳細資源面板與窗口對換位置，或關(guān)閉資源面板。（如果關(guān)閉了資源面板可以通過“察看”菜單——“顯示”命令——“詳細資源面板”來打開）。 最下面一欄是非常有用的輔助信息，如當前扇區(qū)/總扇區(qū)數(shù)目……等向下拉拉滾動條，可以看到一個灰色的橫杠，每到一個橫杠為一個扇區(qū)，一個扇區(qū)共512字節(jié)，每兩個數(shù)字為一個字節(jié)，比如00。

5 中文菜單 

選擇下圖中的Chinese,please!，可轉(zhuǎn)為中文菜單；不過下了個17.x版本的，需要注冊才能轉(zhuǎn)為中文菜單；又下了個18.x版本的，可轉(zhuǎn)為中文菜單；

二 使用入門1 打開磁盤

菜單：工具-打開磁盤；

選擇要打開的磁盤；

2 界面

上方是目錄和文件情況；下邊是打開磁盤的16進制數(shù)值；

3 找下MBR的結(jié)束標志

按前文所述，MBR占1個扇區(qū)，512字節(jié)，結(jié)束標志是55AA；可從Winhex直接打開計算器，10進制的512轉(zhuǎn)換為16進制是200；

找到偏移00000200，如下圖，每個扇區(qū)結(jié)束有一個橫線標志；偏移從00000000開始，那么第二個扇區(qū)的起始偏移是00000200；看下下圖，Offset列值為000001F0所對應(yīng)行的最后2個字節(jié)，為55 AA，正是MBR的結(jié)束標志；這樣就找到了MBR所在區(qū)域；

4 查看分區(qū)表

分區(qū)表位于結(jié)束標志之前的64個字節(jié)；每行16字節(jié)，4*16=64；那么第一扇區(qū)倒數(shù)第五行，倒數(shù)的第2個字節(jié)，就是分區(qū)表的起始；如下圖；其值為0D;

到此就出現(xiàn)問題了；

按網(wǎng)上資料，分區(qū)表第一字節(jié)是引導標志；若值為80H表示活動分區(qū)；若值第1字節(jié) 為00H表示非活動分區(qū)。那么我的0D是表示什么？

第五字節(jié)是分區(qū)類型；按網(wǎng)上資料，

00H——表示該分區(qū)未用06H——FAT16基本分區(qū)0BH——FAT32基本分區(qū)05H——擴展分區(qū)07H——NTFS分區(qū)0FH——（LBA模式）擴展分區(qū)83H—— Linux分區(qū)

數(shù)到第五個字節(jié)，我的為什么是4F？

剛才打開的C盤，再打開B盤，是一樣的；

到此就搞不下去；下次再說吧；

如下圖的箭頭按鈕，可以輸入偏移值，進行跳轉(zhuǎn)；