數(shù)據(jù)恢復分類：硬恢復和軟恢復。所謂硬恢復就是硬盤出現(xiàn)物理性損傷，比如有盤體壞道、電路板芯片燒毀、盤體異響，等故障，由此所導致的普通用戶不容易取出里面數(shù)據(jù)，那么我們將它修好，同時又保留里面的數(shù)據(jù)或后來恢復里面的數(shù)據(jù)，這些都叫數(shù)據(jù)恢復，只不過這些故障有容易的和困難的之分；所謂軟恢復，就是硬盤本身沒有物理損傷，而是由于人為或者病毒破壞所造成的數(shù)據(jù)丟失（比如誤格式化，誤分區(qū)），那么這樣的數(shù)據(jù)恢復就叫軟恢復。

WinHex (專業(yè)16進制編輯器) v19.8 中文綠色特別版

• 類型：編程工具
• 大小：3.14MB
• 語言：英文軟件
• 時間：2019-02-22

查看詳情

這里呢，我們主要介紹軟恢復，因為硬恢復還需要購買一些工具設備（比如pc3000,電烙鐵，各種芯片、電路板），而且還需要懂一點點電路基礎，我們這里所講到的所有的知識，涉及面廣，層次深，既有數(shù)據(jù)結構原理，為我們手工準確恢復數(shù)據(jù)提供依據(jù)，又有各種數(shù)據(jù)恢復軟件的使用方法及技巧，為我們快速恢復數(shù)據(jù)提供便利，而且所有軟件均為網(wǎng)上下載，不需要我們投資一分錢。

數(shù)據(jù)恢復的前提：數(shù)據(jù)不能被二次破壞、覆蓋！

關于數(shù)碼與碼制：

關于二進制、十六進制、八進制它們之間的轉(zhuǎn)換我不想多說，因為他對我們數(shù)據(jù)恢復來說幫助不大，而且很容易把我們繞暈。如果你感興趣想多了解一些，可以到百度里面去搜一下，這方面資料已經(jīng)很多了，就不需要我再多說了。

數(shù)據(jù)恢復我們主要用十六進制編輯器：Winhex （數(shù)據(jù)恢復首選軟件）

我們先了解一下數(shù)據(jù)結構：

下面是一個分了三個區(qū)的整個硬盤的數(shù)據(jù)結構

MBR，即主引導紀錄，位于整個硬盤的0柱面0磁道1扇區(qū)，共占用了63個扇區(qū)，但實際只使用了1個扇區(qū)（512字節(jié)）。在總共512字節(jié)的主引導記錄中，MBR又可分為三部分：第一部分：引導代碼，占用了446個字節(jié)；第二部分：分區(qū)表，占用了64字節(jié)；第三部分：55AA，結束標志，占用了兩個字節(jié)。后面我們要說的用winhex軟件來恢復誤分區(qū)，主要就是恢復第二部分：分區(qū)表。

引導代碼的作用：就是讓硬盤具備可以引導的功能。如果引導代碼丟失，分區(qū)表還在，那么這個硬盤作為從盤所有分區(qū)數(shù)據(jù)都還在，只是這個硬盤自己不能夠用來啟動進系統(tǒng)了。如果要恢復引導代碼，可以用DOS下的命令：FDISK /MBR；這個命令只是用來恢復引導代碼，不會引起分區(qū)改變，丟失數(shù)據(jù)。另外，也可以用工具軟件，比如DISKGEN、WINHEX等。

但分區(qū)表如果丟失，后果就是整個硬盤一個分區(qū)沒有，就好象剛買來一個新硬盤沒有分過區(qū)一樣。是很多病毒喜歡破壞的區(qū)域。

EBR，也叫做擴展MBR（Extended MBR）。因為主引導記錄MBR最多只能描述4個分區(qū)項，如果想要在一個硬盤上分多于4個區(qū)，就要采用擴展MBR的辦法。

MBR、EBR是分區(qū)產(chǎn)生的。

比如MBR和EBR各都占用63個扇區(qū)，C盤占用1435329個扇區(qū)……那么數(shù)據(jù)結構如下表：

而每一個分區(qū)又由DBR、FAT1、FAT2、DIR、DATA5部分組成：比如C 盤的數(shù)據(jù)結構：

Winhex

Winhex是使用最多的一款工具軟件，是在Windows下運行的十六進制編輯軟件，此軟件功能非常強大，有完善的分區(qū)管理功能和文件管理功能，能自動分析分區(qū)鏈和文件簇鏈，能對硬盤進行不同方式不同程度的備份，甚至克隆整個硬盤；它能夠編輯任何一種文件類型的二進制內(nèi)容（用十六進制顯示）其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任意扇區(qū)，是手工恢復數(shù)據(jù)的首選工具軟件。

首先要安裝Winhex，安裝完了就可以啟動winhex了，啟動畫面如下：首先出現(xiàn)的是啟動中心對話框。

這里我們要對磁盤進行操作，就選擇“打開磁盤”，出現(xiàn)“編輯磁盤”對話框：

在這個對話框里，我們可以選擇對單個分區(qū)打開，也可以對整個硬盤打開，HD0是我現(xiàn)在正用的西部數(shù)據(jù)40G系統(tǒng)盤，HD1是我們要分析的硬盤，邁拓2G。這里我們就選擇打開HD1整個硬盤，再點確定.然后我們就看到了Winhex的整個工作界面。

最上面的是菜單欄和工具欄，下面最大的窗口是工作區(qū)，現(xiàn)在看到的是硬盤的第一個扇區(qū)的內(nèi)容，以十六進制進行顯示，并在右邊顯示相應的ASCII碼，右邊是詳細資源面板，分為五個部分：狀態(tài)、容量、當前位置、窗口情況和剪貼板情況。這些情況對把握整個硬盤的情況非常有幫助。另外，在其上單擊鼠標右鍵，可以將詳細資源面板與窗口對換位置，或關閉資源面板。（如果關閉了資源面板可以通過“察看”菜單——“顯示”命令——“詳細資源面板”來打開）。
最下面一欄是非常有用的輔助信息，如當前扇區(qū)/總扇區(qū)數(shù)目……等

向下拉拉滾動條，可以看到一個灰色的橫杠，每到一個橫杠為一個扇區(qū)，一個扇區(qū)共512字節(jié)，每兩個數(shù)字為一個字節(jié)，比如00。

下面我們來分析一下MBR，因為前面我們說過，前446個字節(jié)為引導代碼，對我們來說沒有意義，這里我們只分析分區(qū)表中的64個字節(jié)。

分區(qū)表64個字節(jié)，一共可以描述4個分區(qū)表項，每一個分區(qū)表項可以描述一個主分區(qū)或一個擴展分區(qū)（比如上面的分區(qū)表，第一個分區(qū)表項描述主分區(qū)C盤，第二個分區(qū)表項描述擴展分區(qū)，第三第四個分區(qū)表項填零未用）

每一個分區(qū)表項各占16個字節(jié)，各字節(jié)含義如下：（H表示16進制）

此硬盤的第一分區(qū)表（即MBR）分析如下：

第一個分區(qū)表項（C盤）

第1字節(jié)80：表示此分區(qū)為活動分區(qū)；

第5字節(jié)0B：表示分區(qū)類型為Fat32；

第9、10、11、12字節(jié) 系統(tǒng)隱含扇區(qū)3F 00 00 00：所謂系統(tǒng)隱含扇區(qū)就是本分區(qū)（C盤）之前已用了的扇區(qū)數(shù)，這是一個十六進制數(shù)，但要注意：真正的隱含扇區(qū)數(shù)應該反過來填寫（比如：隱含扇區(qū)數(shù)為3E 4D 5A 6F，則反過來就是6F 5A 4D 3E ，這才是實際的隱含扇區(qū)數(shù)）。那么，3F 00 00 00反過來寫就是00 00 003F，也就是3F，將他轉(zhuǎn)成十進制數(shù)我們才能知道實際的隱含扇區(qū)數(shù)是多大。這可以使用計算器來算，單擊工具欄上的“計算器”按鈕，如下圖：

這樣就啟動了計算器

計算器有兩種型號，我們要進行進制轉(zhuǎn)換，就要選擇“科學型”

比如我們要將十六進制3F轉(zhuǎn)換為十進制，就要先選中“十六進制”，然后輸入3F

再選中“十進制”，十六進制3F轉(zhuǎn)為十進制等于63。想一想我們前面所講的，MBR占用63個扇區(qū)，也就是C盤之前已用了的扇區(qū)數(shù)為63，第64個扇區(qū)就是C盤的第一個扇區(qū)，但要注意的是，整個硬盤的LBA地址是從零開始的，0~62的扇區(qū)為MBR。

第13、14、15、16字節(jié)本分區(qū)總扇區(qū)數(shù)(當然，這也就是C盤的大小)：C1 E6 15 00，同樣，實際的十六進制數(shù)也要反過來才對，也就是00 15 E6 C1，將它轉(zhuǎn)換成十六進制數(shù)是1435329。給你出個題，你知道D盤的EBR在哪個扇區(qū)嗎？我們一起來算一下，還記得前面數(shù)據(jù)結構那個表嗎？C盤后面不就是D盤的EBR嗎？D盤EBR的第一個扇區(qū)=MBR+C盤的大小，也就是 63+1435329=1435392。
我們來看看對不對，單擊工具欄上的“轉(zhuǎn)到扇區(qū)”按鈕，出現(xiàn)一個“轉(zhuǎn)到扇區(qū)”對話框

然后輸入1435392，再點“確定”，就到了1435392扇區(qū)了（你可以使用它再轉(zhuǎn)回到0扇區(qū)）

這個就是D盤的EBR，也就是D盤的分區(qū)表了，怎么知道的呢？因為MBR和EBR的結構是完全一樣的，都是占用了63個扇區(qū)，但只用了第一個扇區(qū)，其余62個扇區(qū)填零不用。第一個扇區(qū)前446個字節(jié)都為引導代碼，后64個字節(jié)為分區(qū)表，最后2個字節(jié)為55AA結束標志。因為EBR不是活動分區(qū)，不需要引導代碼，所以前446個字節(jié)為零。

還有另一種方法直接找到D盤的EBR，單擊“訪問”下拉按鈕——“分區(qū)二”——“分區(qū)表”，直接就到1435392扇區(qū).

這樣，分區(qū)表中的第一個分區(qū)表項共十六個字節(jié)分析完畢，下面我們再來看看第二個分區(qū)表項（擴展分區(qū)）。
第1字節(jié)00：表示非活動分區(qū)
第5字節(jié)05：表示擴展分區(qū)
第9、10、11、12字節(jié)00 E7 15 00：本分區(qū)之前的扇區(qū)數(shù)（擴展分區(qū)前面也就是MBR和C盤，好像我們前面算過這個數(shù)？）同樣，先將它反過來，就是00 15 E7 00 ，再轉(zhuǎn)為十進制是1435392，看來我們前面真的算過這個數(shù)。

第13、14、15、16字節(jié)40 09 29 00：本分區(qū)的總扇區(qū)數(shù)。也就是擴展分區(qū)的總扇區(qū)數(shù)。轉(zhuǎn)為十進制應該是2689344。想一想，用這個數(shù)加上前面的1435392，不正好是整個硬盤的總扇區(qū)數(shù)4124736嗎？

這樣，如果分區(qū)表被破壞，我們只要把這些數(shù)值都計算出來并填上，分區(qū)表不就恢復了？那么，這里我們?yōu)槭裁床环治龅?、3、4字節(jié)（本分區(qū)的起始磁頭號、扇區(qū)號、柱面號）和第6、7、8字節(jié)（本分區(qū)的結束磁頭號、扇區(qū)號、柱面號）呢？這是因為C/H/S(柱面/磁頭/扇區(qū))是老式硬盤的尋址方式，這種尋址方式來管理硬盤效率很低；而現(xiàn)在幾乎所有的硬盤都支持LBA(全稱是Logic Block Address，即扇區(qū)的邏輯塊地址)尋址方式，這種管理方式簡單高效。在LBA方式下，系統(tǒng)把所有的物理扇區(qū)都統(tǒng)一編號，按照從零到某個最大值排列，這樣只用一個序數(shù)就確定了一個唯一的物理扇區(qū)。
小知識：具體一個硬盤有多少個LBA(扇區(qū))不需要我們?nèi)ビ洃?，因為用各種工具軟件（如MHDD WINHEX等）都可以檢測到。我們只要知道個大概就行了：如10G的硬盤大概有2000萬個扇區(qū)；20G的硬盤大概有4000萬個扇區(qū)；40G的硬盤大概有8000萬個扇區(qū)……那么，2G的硬盤大概有400萬個扇區(qū)。
那么，你可能要問了：如果要恢復分區(qū)表，這個起始磁頭號、扇區(qū)號、柱面號還有結束磁頭號、扇區(qū)號、柱面號應該怎么填呢？簡單得很，在后面恢復分區(qū)表的時候我會告訴你，直接填，都不用計算。

還有興趣來分析一下D盤的EBR嗎？
其實D盤的EBR和Ｅ盤的EBR我們不分析也罷，因為無非也是分區(qū)表，跟MBR的結構是一樣的，但卻很容易把我們繞暈，又因為EBR一般不容易被破壞，所以我不建議分析EBR。
但如果你一定要分析，那就分析吧。
單擊“訪問”下拉按鈕——“分區(qū)二”——“分區(qū)表”，直接就到1435392扇區(qū)，即D盤的分區(qū)表EBR。

第一個分區(qū)表項（D盤）：
第1個字節(jié)00：表示非活動分區(qū)
第5個字節(jié)06：表示FAT16分區(qū)
第9、10、11、12字節(jié)3F 00 00 00：本分區(qū)之前已用了的扇區(qū)數(shù)，也就是EBR的數(shù)目，63個。
第13、14、15、16字節(jié)C1 E6 15 00：本分區(qū)的總扇區(qū)數(shù)，也就是D盤的扇區(qū)數(shù)，先反過來排列就是00 15 E6 C1，轉(zhuǎn)為十進制就是1435329。
第二個分區(qū)表項（D盤后面的）：
第1個字節(jié)00：表示非活動分區(qū)
第5個字節(jié)05：表示擴展分區(qū)
第9、10、11、12字節(jié)00 E7 15 00：本分區(qū)之前已用了的扇區(qū)數(shù)，也就是D盤的EBR加D盤總共的大小， 63+1435329=1435392
第13、14、15、16字節(jié)40 22 13 00：本分區(qū)的總扇區(qū)數(shù)，1253952,也就是E盤的大小再加上一個EBR的數(shù)目。
單擊“訪問”下拉按鈕——“分區(qū)三”——“分區(qū)表”，直接就到2870784扇區(qū)，即E
盤的分區(qū)表EBR。因為E盤后面沒有分區(qū)了，所以沒有第二個分區(qū)表項。這里我們就不再研究了，有興趣的話可以自己多備一塊硬盤作從盤，然后自己分分區(qū)研究研究。

通過以上的研究我們總結一下，MBR在定義分區(qū)的時候，將多余的容量定義為擴展分區(qū)，指定該擴展分區(qū)的起止位置，根據(jù)起始位置指向硬盤的某一個扇區(qū)，作為下一個分區(qū)表項，接著在該扇區(qū)繼續(xù)定義分區(qū)，如果只有一個分區(qū)，就定義該分區(qū)，然后結束；如果不止一個分區(qū)，就定義一個基本分區(qū)和一個擴展分區(qū)，擴展分區(qū)再指向下一個分區(qū)描述扇區(qū)，在該分區(qū)上按照上述原則繼續(xù)定義分區(qū)，直至分區(qū)定義結束。這些用來描述分區(qū)的扇區(qū)形成一個“分區(qū)鏈”，通過這個分區(qū)鏈，就可以描述所有的分區(qū)。系統(tǒng)在啟動時按照分區(qū)鏈的連接順序查找分區(qū)，直至找出所有分區(qū)。這個鏈顯然是個開鏈結構，如果形成一個環(huán)，系統(tǒng)本身并不會去判斷它，它只是按照這個鏈忠實的查找分區(qū)，而不進行任何額外的檢測與處理。所謂硬盤邏輯鎖，就是讓分區(qū)鏈形成一個環(huán)，這樣系統(tǒng)在啟動時就在分區(qū)表內(nèi)循環(huán)，表現(xiàn)為系統(tǒng)無法引導，就是從軟盤啟動，也不能進入硬盤。明白了其結構原理，解決這個問題就簡單了，目前有很多種方法解決這個問題，后面我們還會講到。系統(tǒng)就是利用這種方法使一個硬盤分區(qū)后看起來象多個硬盤。系統(tǒng)能夠找到C盤以外的其他邏輯盤的唯一辦法就是，沿著EBR所描述的分區(qū)鏈查找分區(qū)。

其實，通常情況下EBR是不會被破壞的，或者破壞的幾率極低極低，通常情況下，都是只有MBR被破壞，那么這種情況下，我們只要把MBR的分區(qū)表64個字節(jié)復原，其他的分區(qū)順著分區(qū)表所提供的鏈自然而然就出來了。那么，如何才能將分區(qū)表復原呢？這就要通過計算結合Winhex強大的功能來實現(xiàn)了。

最新評論