查看: 29668|回复: 11
收起左侧

[原创文章] WinHex手工恢复分区

  [复制链接]
95式
发表于 2016-2-25 19:01:59 | 显示全部楼层 |阅读模式
大家都知道WinHex是一款优秀的十六进制编辑器,也是数据恢复软件。但是许多人只是知道这工具。看不懂16进制码。
WinHex的贴子我在其他论坛本来就有原创,但是那个论坛里我写的不好,比较含糊。今天在卡饭写一篇较为详细的。
十六进制编辑器有很多,我就建议Winhex。UE,C32asm不推荐。因为他们只是文件16进制编辑,还是ring3级的。winhex是ring0级的,而且集磁盘编辑,文件编辑,数据恢复为一体。比如用ue打开一个两三个G的大文件进行编辑,那就卡了。winhex则不会。

直接Tools-Open disk-选择你想打开的分区或磁盘。然后OK。我一开始研究winhex的时候就用的英文版,所以习惯了,下载中文版的如果打开还是英文版那么请点击Help-Setup-Chinese。
第二张图片就是0磁道了。0磁道分三部分,鼠标标记之前的是引导代码,就是传说中的MBR。我今天讲的是分区表就是第二部分,就是鼠标框起来的部分,最后一部分就是结束标识,代码55 AA的那个。
分区表就是保存分区的一些信息。比如有些MBR锁病毒就会篡改0磁道导致分区丢失。分区丢失winpe下使用diskgen,搜索以丢失的分区就行了。用Winhex手工恢复那就知道的更详细些。
从第二张图看就能知道我的虚拟机有2个分区。鼠标标记的那里80 01 01 00 07 FE BF 8C 3F 00 00 00 0E 12 A0 00是c盘的信息。00 00 81 8D 0F FE FF FF 4D 12 A0 00 8C D3 9F 00是D盘的信息。
分4段一看就比较清楚了80 01 01 00中80指分区活动标识,80指活动,00则不活动。80 01 01 00中的01 01 00没什么用,随便乱填也行。其实这些是chs地址,但是没啥卵用。
07 FE BF 8C,FE BF 8C没啥用乱填也行。07意思是NTFS格式的。FAT32的话就是0C 或者0B。
3F 00 00 00,00 00 00没啥用。3F换算成十进制就是63。63就是C盘的头,也就是所谓得DBR,不信转到63磁道看看。看第三张图片。EB 52 90在DBR中就是NTFS。
0E 12 A0 00,还是只看0E。0E在32bit是10490382。10490382+63就是d盘的DBR。
根据DBR的信息补全分区表的信息就是分区表恢复的原理。
这时候如果我把C盘删了。80 01 01 00 07 FE BF 8C 3F 00 00 00 0E 12 A0 00就会变成全000000,我们要C盘活动,就填80 FF FF FF。C盘是NTFS,填07 FF FF FF。DBR在63磁道,经过十进制到16进制运算得出3F,填3F FF FF FF。看D盘的头得知C盘的尾。经过运算得0E,填0E FF FF FF。编辑好后不要忘了File-save sectors。也就是保存。然后重启。C盘就回来了,里面的数据丝毫没有损失。
QQ截图20160225182825.png
QQ截图20160225183121.png
000.png

评分

参与人数 1人气 +1 收起 理由
aiping + 1 精品文章

查看全部评分

xingjz
发表于 2016-2-29 08:32:26 | 显示全部楼层
谢谢楼主,虽然看不懂。
idayong
发表于 2016-3-1 10:46:49 | 显示全部楼层
感谢分享,不错
wxw19900926
发表于 2016-3-10 14:04:07 | 显示全部楼层
楼主这样解释 很多人都看不懂,除非有些文件系统的基础。不然不容易理解。对于手工恢复数据的有兴趣的朋友,可以购买一本叫做 《数据重现》  的书看看,这里面详细讲了文件系统  想要手工恢复数据,首先就要知道数据在磁盘上是如何存放的。他是规则是什么、目前这书买不到正版了,网上有影印版,还算清楚。。
rvnlpl
发表于 2016-3-16 12:31:28 | 显示全部楼层

感谢分享,不错
becklee
发表于 2016-3-19 09:05:21 | 显示全部楼层
《数据重现》网上好像有PDF扫描版
扇子
发表于 2016-3-22 05:44:18 | 显示全部楼层
涨知识了,谢谢楼主!
圆月豌豆
发表于 2016-3-27 13:07:35 | 显示全部楼层
感谢分享,不错
tang-ptr
发表于 2016-5-6 22:38:44 | 显示全部楼层
虽然说WinHex是Ring0级别的磁盘编辑器,然而它还是弱鸡,我去年暑假曾经制作过MBR保护器,经我测试WinHex v17.4(百度上能找到的最新版)在我启动保护的情况下无法修改/读取MBR。
这是32位版本,只测试了我所谓的“高级版”
http://www.m5home.com/bbs/thread-8573-1-1.html
这是64位版本,其实是32位“高级版”的改版,注意请下载我在九楼发表的附件,一楼的那个无法在开启DSE的情况下运行。
http://www.m5home.com/bbs/thread-8574-1-1.html
我的MBR保护器的关键技术:磁盘读写请求过滤
kf0986
发表于 2016-5-11 11:07:48 | 显示全部楼层
是滴!我这样的菜鸟就看不懂啊!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:33 , Processed in 0.135844 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表