admin 管理员组文章数量: 1086019
2024年12月21日发(作者:extends to)
winhex 教程 +应用+数据恢复-Doc文件恢复-MBR、EBR、DBR
字节位置
内容及含义
第1字节
引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。
第2、3、4字节
本分区的起始磁头号、扇区号、柱面号
第5字节
分区类型符:
00H——表示该分区未用
06H——FAT16基本分区
0BH——FAT32基本分区
05H——扩展分区
07H——NTFS分区
0FH——(LBA模式)扩展分区
83H—— Linux分区
第6、7、8字节
本分区的结束磁头号、扇区号、柱面号
第9、10、11、12字节
本分区之前已用了的扇区数
第13、14、15、16字节
本分区的总扇区数
1、什么是逻辑驱动?
2、什么是物理驱动器?
3、怎么搜索MBR、 EBR、DBR?
MBR、 EBR、DBR他们都是以55AA结尾
在winhex中搜索16进制:55AA 偏移512=510
(1)搜索DBR的标志:
FAT16的DBR:EB 3C 90 没有备份的DBR
FAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区
NTFS的DBR: EB 52 90 (备份的DBR)在该分区的最后一个扇区
判别MBR的方法:
MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE
偏移往后到1FD,共64个字节,每项16个字节。1FE-1FF就是“55 AA”
判别EBR的方法:
EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前
446个字节应该是0
(2)查找DBR 可以通过搜索本分区的EBR去找DBR.
可以搜索EBR,定位DBR.
DBR相对于EBR后63号扇区。
(3)当某分区的DBR坏了,就提示:未格式化
这个时候用winhex打开逻辑盘,就打不开。
我们只有通过打开物理驱动器,然后跳转到该分区。
就可以查看DBR是否被破坏了。。。。
可物理驱动器的模式是从"0"扇区开始描述系统
而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).
用 winhex 做U盘免疫
用WinHex制作无法修改的文件
在我们日常工作中,经常需要使用闪存(也称为U盘或者优盘)主要是
文件在起作用,我们可以使用WinHex解决这一问题。首先格式化闪存,文件系统选择默
认的FAT32格式即可(由于格式的通用性比较好,所以最好选择FAT32)。然后在闪存根
目录下手工新建一个名为的文件(可以新建任何一个文件,然后改名为
就可以了。),接着打开WinHex,按下F9功能键,或者从“工具”菜单下选择
“磁盘编辑器”,打开需要处理的闪存(如果你插了多个,请确定那个闪存的盘符),定位
到文件,可以看到文件名中间有一个空格,文件名的后面也有一个空格,现在
请将后面的空格(20)直接修改为“E5”,确认后保存再退出就可以了。
看起来的文件名没有发生任何变化,但这个时候,任何人都不能再打开它或者
修改它了。或者,也可以将“20”更改为“E2”,这样可以将文件隐藏起来,
使你不会每次都看见它而纳闷。
Doc文件恢复一例,(其他数据恢复软件无效)
故障描述:客户从电脑拷到U盘两个Doc文件,文件名和内容都是英文的,放在U盘根
目录下,当时曾刷新确认过其存在,但未打开过,两天后打开U盘发现这两个文件不存在
了。
恢复软件:EasyRecovery,FinalData ,WinHex
恢复思路:盘体正常,其他文件完好,感觉属于一般性文件丢失,用常规软件
EasyRecovery,FinalData恢复即可,实在不行就用WinHex喽。
恢复过程:
一、用EasyRecovery恢复,过滤器用“*.doc”,搜索结果如下图:
b
e
i
n
g
a
r
e
g
o
o
d
r
f
o
s
o
m
e
n
t
h
i
有大量曾删除的Doc文件,经客户一一确认,没有找到要找的文件。
二、用FinalData恢复,如下图,搜索的比EasyRecovery的还要多,但同样没找到要找的
文件。
三、关键时刻,还得用WinHex。
1、用WinHex打开U盘,搜索Doc文件头D0CF11E0A1B11AE1,如下图:
2、再搜文件尾,如下图
e
a
n
d
A
h
l
l
t
i
n
g
s
i
n
t
h
e
i
r
b
e
i
n
g
a
r
e
g
o
o
d
r
f
o
s
o
m
e
n
t
h
i
这才是Word2003的文件尾
4D6963726F736F6674204F666669636520576F726420CEC4B5B5000A0000004D53576
F7264446F636F72642E446F63756D656E742E3800F439B271.
到这里也许你会认为能轻而易举的找到要找的文件了,事实相反,由于文件较
多,一个一个傻找的话会很浪费时间。根据本人对Doc文件的研究,英文的句
号以及后面的空格的16进制数据是2E2020202020,有多少空格就有多少20。
如下图所示
3、于是就搜索2E2020202020(由于是文件体的一部分就暂称文件体),结果
如下:嘿嘿!点击对文件体搜索的结果,就看到了上图中的大量的英文了。4、
对搜索结果分析发现,正好有两段结果偏移正好符合“文件头+文件体+文件尾”
e
a
n
d
A
h
l
l
t
i
n
g
s
i
n
t
h
e
i
r
b
e
i
n
g
a
r
e
g
o
o
d
r
f
o
s
o
m
e
n
t
h
i
5、成功在即!选中文件头+文件体+文件尾,并置入新文件,如下图所示:
结构,且均含大量英文,如下图:
e
a
n
d
A
h
l
l
t
i
n
g
s
i
n
t
h
e
i
r
b
e
i
n
g
a
r
e
g
o
o
d
r
f
o
s
o
m
e
n
t
h
i
6、保存到桌面,并修改后缀为“.doc”,打开如下图所示:
e
a
n
d
A
h
l
l
t
i
n
g
s
i
n
t
h
e
i
r
b
e
i
n
g
a
r
e
g
o
o
d
r
f
o
s
o
m
e
n
t
h
i
版权声明:本文标题:(完整版)winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR_百 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/p/1734825361a1595916.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论