图解WinHex使用入门教程
一 winhex和相关概念简介
1 winhex
是在windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
2 数据恢复概念数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),这样的数据恢复就叫软恢复。
主要介绍软恢复,硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板)。
3 mbr和ebrmbr,即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,mbr又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55aa,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用dos下的命令:fdisk /mbr;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如diskgen、winhex等。
但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。
ebr
ebr,也叫做扩展mbr(extended mbr)。因为主引导记录mbr最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展mbr的办法。
mbr、ebr是分区产生的。
每一个分区又由dbr、fat1、fat2、dir、data 5部分。
4 winhex菜单和界面最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ascii码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。 最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等
向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
5 中文菜单
选择下图中的chinese,please!,可转为中文菜单;不过下了个17.x版本的,需要注册才能转为中文菜单;又下了个18.x版本的,可转为中文菜单;
二 使用入门1 打开磁盘
菜单:工具-打开磁盘;
选择要打开的磁盘;
2 界面
上方是目录和文件情况;下边是打开磁盘的16进制数值;
3 找下mbr的结束标志
按前文所述,mbr占1个扇区,512字节,结束标志是55aa;可从winhex直接打开计算器,10进制的512转换为16进制是200;
找到偏移00000200,如下图,每个扇区结束有一个横线标志;偏移从00000000开始,那么第二个扇区的起始偏移是00000200;看下下图,offset列值为000001f0所对应行的最后2个字节,为55 aa,正是mbr的结束标志;这样就找到了mbr所在区域;
4 查看分区表
分区表位于结束标志之前的64个字节;每行16字节,4*16=64;那么第一扇区倒数第五行,倒数的第2个字节,就是分区表的起始;如下图;其值为0d;
到此就出现问题了;
按网上资料,分区表第一字节是引导标志;若值为80h表示活动分区;若值第1字节 为00h表示非活动分区。那么我的0d是表示什么?
第五字节是分区类型;按网上资料,
00h——表示该分区未用
06h——fat16基本分区
0bh——fat32基本分区
05h——扩展分区
07h——ntfs分区
0fh——(lba模式)扩展分区
83h—— linux分区
数到第五个字节,我的为什么是4f?
刚才打开的c盘,再打开b盘,是一样的;
到此就搞不下去;下次再说吧;
如下图的箭头按钮,可以输入偏移值,进行跳转;