《WinHex破解软件图解教程》由会员分享,可在线阅读,更多相关《WinHex破解软件图解教程(31页珍藏版)》请在金锄头文库上搜索。
1、 这样,第二个分区表项就填写完了。 不要忘了把最后的结束标志填上,这样,MB就全恢复完了,最后,保存,再重新启动启动完毕,迫不及待的打开我的电脑,发现三个分区所有又回来了,并且里面的数据完好无损。 再右击“我的电脑”,选“管理” 浮现一种对话框,选“磁盘管理”,在右边可以看到磁盘一的三个分区(at32、Fat、Nts)所有都回来了,至此,手工恢复分区表顺利完毕。手工恢复数据恢复成功率比较高,并且比较有趣味和挑战性,能找回许多傻瓜似的软件所找不回来的文献,但是规定工程师一定要有耐性,并且一定要保持苏醒,清晰自己正在操作什么,操作完了会有什么后果,能不能退回到上一步状态。特别是对一些破坏性操作,一
2、定要考虑周到,只要条件容许,就一定要在操作之迈进行备份,否则会导致“血”的教训,牢记!!!下面我们会说到手工恢复D、A(此教程被收录在付费教程中),这些比手工恢复分区表还要复杂,更需要大量的计算。再说完了使用Winhex手工恢复数据之后,我们会说到某些数据恢复软件,结合数据恢复软件会使数据恢复成功率大大提高,但有某些软件在扫描过程中会对原盘破坏数据,在使用中一定要谨慎!!!并且同一种软件,一种新手用和一种老手用数据恢复成功率绝对是不同样的,这些软件我们会免费赠送,绝对不会让你学习了资料却找不到软件的。AT文献系统下的手工数据恢复案例 核心词:数据恢复,数据恢复资料,数据恢复技术 本文针对T分区
3、。使用工具:wnhe(非数据恢复专用) 磁盘的具体存储原理,这里我解释一下: 1、剩余扇区是什么:剩余扇区有分区内的剩余扇区和整个磁盘的剩余扇区。先说分区内的扇区:描述磁盘容量的单位是扇区,分区内部又是采用簇来管理的。一般状况下,扇区的容量是12b,簇的单位容量不小于等于扇区的容量。以具体事例来讲,一种7gb的at32分区,其簇的大小是4k,相称于个扇区,而分区内的存储单位是4k,分区的扇区总数如果不是8的倍数,那余下来的扇区便是剩余扇区了。 整个磁盘的剩余扇区与上述原理相似,不同的是,每个分区的结束必须以54头,6扇为结束(也应当是老的磁盘管理模式留下的弊端吧!虽然分区内是以线性逻辑扇区为首
4、要参数的)也就是说,如果磁盘的总容量正好分不净一种柱面的容量(1254*63*512=8193024b),那么,剩余的容量便是整个磁盘的剩余扇区了,其最大也就是大概7.8m。这也是一般状况下,分区的最小容量是7.,分区容量是819324b倍数的因素。(简图并未画出整个磁盘的剩余扇区,人们理解吧!)2、对于at32的保存扇区的数目,一般来说是3个,但也不肯定是,有时候也许会是3个或其她数目,固然也可以在db中的bp(isparamerock)参数表中更改,背面要讲到在数据恢复中理解她的重要性。(dbr的参数阐明到数据恢复网找找) 3、在小容量的磁盘分区中也存在fa16的分区格式,原理吗?和软盘的
5、存储原理相,见数据恢复网“反黑行动之数据恢复”。下面我们进入实战: 第一种状况,分区被格式化。如果格式化后来,固然可以用现成的数据恢复软件来恢复,但软件毕竟是软件,并不能应对多变的复杂的状况。而手工不同,如果对磁盘构造理解,是可以最大限度的恢复的。我们抛开数据恢复软件来看和通过手工来恢复被格式化的磁盘分区。 对于at格式的分区(涉及f6),fa命令会重建dbr扇区,清空两个fat表,清空分区的第一种簇(寄存原根目录)。不管是迅速格式化还是完全格式化(迅速格式化和完全格式化的区别在于她们与否对所波及到的磁盘扇区进行检测扫描,清除上面的数据事都要做得)。对于br,分区只要对的格式化就会生成对的的d
6、b,故而重点是at表和原根目录(如果原根目录不小于一种簇,这仅仅是第一种簇,为了以便,后来就以原根目录称)的问题。如果你格式花前备份了此分区的fat表和根目录。那么,只要将dbr初始化,恢复at表和根目录即可完全恢复数据。但是,既然是被格式化,那一定没有fat表和根目录的备份(废话!!!)。继续: 先说根目录,跟目录的第一扇一但清空,别无法找回了。因此,格式化前存储在根目录的文献就会因其在第一扇存储的文献特性描述表丢失而很难找回了,除非你懂得文献中涉及的特性字符串,根据其在整个分区内查找,又拟定文献的大小,而正好要恢复的文献又是在磁盘内持续存储的。再说ft表,fat表的丢失对交叉存储的文献来说
7、是几乎消灭的劫难。原则上如果丢失,就只能恢复从文献第一簇开始的持续几簇了。但一般如要恢复的文献较小或分区并未通过频繁的文献删增的话,还是有但愿的。手动填写at表是不现实的,我们只得先让本来的目录构造重现,再想措施。widos的磁盘文献格式是tree型的,格式化只是将ee的根折,在根折断后来,其实就象生成了多颗re(想想数据构造)。如果我们要恢复的文献所有位于一种子目录当中。那好了,我们只要将这颗子树的树根放入原tree的根位置上,即可生成一颗新树。推介使用wihex,下面以inhx为例具体而言,一方面,若磁盘未格式化或格式化格式不太正确,先格式化,以生成可参照的br和at表。接着我们在分区中寻
8、找有关的字符串来拟定此子树的根位置。,如记得原目录中有sjfnet.xt的文 件(选择其她目录没有或很少有此文献名的文献),可在整个分区内查找sjhfnetxt,再根据有关特性拟定。这时候注意一下,我们需要目录中提供的.目录来推测原分区的某些特性,重要是dbr中的bp参数,如保存扇区的数目。(一般是不不会错的,但如果有那怕一种扇区的出入,整个分区中目录的映射将不能套用,还是看看吧!),是不是要问,.目录是什么?学过ds的人都懂得,目录.表目前所在目录,.表上级目录,在3个子节的目录项中,包具有和其她目录项相似的特性,我们关怀目录的位置(在原分区格式的第几种簇中),她应当是等于她所在的簇号的!也
9、就是看一下偏移量为15h14h1b1的数值与否等于目前簇号。在ne中格式化后的磁盘可清晰的列出目前簇的簇号,可比较一下(也许需要1进制与进制的转换)。相似不说了,如果不相似,也应当相差不多。计算一下相差的簇的数目,然后在本分区db扇区的0ehfh作相应增减,是保存扇区的数目回到本来的数目。重起一下计算机,是新的db生效,清空现t表(根目录簇可以不清空,因后边讲到会覆盖的)。文献目录项的映射与实际地址便对的的结合了。(不明白吗?想想原理,努力消化一下)接着将找到的簇复制-定位到目前的根目录-写入。打开“资源管理器“,浏览,出来了吗? 慢!还没完,目前的目录构造是出来了,但还不能访问,由于fat表
10、所记录的簇还是空闲的。怎么办?手动写,算一下,也许写完得30年吧!呵呵!哪。,其实,如果要恢复的文献大小都在1簇范畴内,可在i98下运营磁盘扫描程序,在浮现修复的提示时选相应的选象修复即可(别选“删除波及到的文献”选项,此外,win下不行,扫描程序会直接删除文献的)。这样,大小在1簇范畴的文献别完全恢复了(涉及文献)。那如何在这种状况下恢复不小于1个簇的文献呢?一是你可以写一种小的程序来实现波及到的簇的持续。如果你不会,那么也不难,得一种一种文件的来。打开winhe,使用它的目录模板跳转到文献的存储区,从目前簇复制大小为文献大小的一块持续数据,写入新文献中(记得写在其她分区中),即可!固然,如
11、果簇数较少,可直接在fat1中改动。此外,这样恢复的文献也不一定对的。要看当时文献的存储与否持续了?如果恢复后的文献不能用,那。听天由命吧!!!(要么你在磁盘中在查找,分析,自己把它连接起来。但是,工作量吗?。) 这样恢复的是此前一种子目录的数据。如果有多种目录的数据要恢复,可用同样的措施替代根目录(第一种数据簇),也可以采用手动建立根目录的措施,但是,别在资源管理器中进行,手动在wihex中做吧!尚有,要是恢复的目录中有多种簇,再用同样的措施,查找,作为根目录。这是分区格式为a2的状况,如t6则不需考虑保存扇区的数目状况,fat16无保存扇区。这是有目录项的状况。 再来说一下在无目录项参照的
12、状况:如下默觉得欲恢复文献是存储在FT32文献格式当中的文献。 如果你的磁盘已经被xxx破坏的一塌糊涂。或者已经通过了N位高手二次解决加工过了,什么工具软件都用过了!成果仍然没有看到你需要的数据的影子。或者你要恢复的数据本来就很少(若干源代码,或是若干论文,若干小的数据库,或是确认在数据丢失前正好做了磁盘碎片整顿),不值得采用我上面采用的措施。你可以采用在磁盘内通过查找的措施,总结来找回数据(不要笑,有技巧的,况且,也许这是唯一的措施!)可以通过磁盘文献的存储特性和文献固有的类型特性来考虑。看过反黑行动之数据恢复(风般的男人著)应当可以懂得,文献在磁盘内至少是以扇区为单位的,也就是说,每个文献在磁盘内实际存储的开始,一定是某扇区的开始。这是其一,其二是每种类型的文献均有其特定的文献标志,可根据文献的特定标志(一般还是在文献的开头)与其在磁盘的位置来圈定。 如果是文本文献,可通过在磁盘内查找特性字串的措施来找到。但是,稍有知识的人是都懂得的,不说了。(还是使用nhe吧!硬盘速度可以的话,应当查找1G的空间不超过1分钟) 我们来通过具体的例子看一看已加密或无明显特性字串的状况(这是最一般的状况)。以一Office文档的恢复为例。ffice文档的实际构成总是以 “0000000D0F101AE10000000000000邢.唷?.”开头,如下列二进制特性为尾: -
