《WINHEX工具数据恢复课件.ppt》由会员分享,可在线阅读,更多相关《WINHEX工具数据恢复课件.ppt(14页珍藏版)》请在金锄头文库上搜索。
1、利用WINHEX工具数据恢复WinHex是什么?WinHex是德国人开发的五星上将级16进制编辑软件,其附带的及其变通的数据恢复功能及其强大。在掌握了文件系统基础原理之后,你会对WinHex爱不释手,不愿再使用其他数据恢复软件。WinHex是WINDOWS下数据恢复的第一数据恢复软件,进入系统,首先要用WinHex来检测判断故障。并可直接恢复剪切删除、目录无法读取、分区丢失、误克隆、加密、RAID、目录隐藏、坏扇区等大多数类型故障。一类数据恢复者用WinHex,二类数据恢复者用R-Studio,三类数据恢复者用FinalData、EasyRecovery,至少现在这样形容并不过分。WINHEX
2、界面介绍WINHEX几个重要数据目前在的扇区编号当前盘的总扇区数通过知道总扇区数,能知道什么1个扇区=512B(字节)546210个扇区=546210512B(字节)共279659520B1024=273105KB1024266.71MB硬盘分区用工具给硬盘分区用WinHex给硬盘分区用WinHex观察硬盘分区(MBR部分) MBRMBR,即,即,即,即主引导记录区主引导记录区主引导记录区主引导记录区,位于整个硬盘的位于整个硬盘的位于整个硬盘的位于整个硬盘的0 0磁道磁道磁道磁道0 0柱面柱面柱面柱面1 1扇区扇区扇区扇区。在总共。在总共。在总共。在总共512512字节的主引导扇区中,字节的主
3、引导扇区中,字节的主引导扇区中,字节的主引导扇区中,MBRMBR的引导程序占用其中的前的引导程序占用其中的前的引导程序占用其中的前的引导程序占用其中的前446446个字节(偏移个字节(偏移个字节(偏移个字节(偏移0 0偏移偏移偏移偏移1BDH1BDH),随后的随后的随后的随后的6464个字节(偏移个字节(偏移个字节(偏移个字节(偏移1BEH1BEH偏移偏移偏移偏移1FDH1FDH)为)为)为)为DPTDPT(Disk Partition TableDisk Partition Table,硬盘,硬盘,硬盘,硬盘分区表)分区表)分区表)分区表),最后的两个字节最后的两个字节最后的两个字节最后的两
4、个字节“ “55 AA”55 AA”(偏移(偏移(偏移(偏移1FEH1FEH偏移偏移偏移偏移1FFH1FFH)是分区有效结束标志)是分区有效结束标志)是分区有效结束标志)是分区有效结束标志。由它们共同。由它们共同。由它们共同。由它们共同构成硬盘主引导记录,也称主引导扇区。构成硬盘主引导记录,也称主引导扇区。构成硬盘主引导记录,也称主引导扇区。构成硬盘主引导记录,也称主引导扇区。 (查看(查看(查看(查看实际的实际的实际的实际的MBRMBR,并记住其特征),并记住其特征),并记住其特征),并记住其特征)用WinHex观察硬盘分区(MBR部分) MBR的引导程序的引导程序DPT(Disk Part
5、ition Table)硬盘分区表硬盘分区表最后的两个字节最后的两个字节“55 AA”(偏移(偏移1FEH偏移偏移1FFH)是分区有效结束标志)是分区有效结束标志用WinHex模版工具观察硬盘分区(MBR部分) 引导标志值为 00H 表示非活动分区值为 80H 表示活动分区本分区的起始磁头号、扇区号、柱面号分区类型符本分区的结束磁头号、扇区号、柱面号06H:FAT16 基本分区 本分区之前已用了的扇区数本分区的总扇区数 7.82M第第1#分区表分区表分区类型00H:表示该分区未用 06H:FAT16 基本分区 0BH:FAT32 基本分区 05H:扩展分区 07H:NTFS 分区 0FH:(L
6、BA 模式)扩展分区 83H: Linux 分区用WinHex模版工具观察硬盘分区(MBR部分) 引导标志值为 00H 表示非活动分区值为 80H 表示活动分区本分区的起始磁头号、扇区号、柱面号分区类型符本分区的结束磁头号、扇区号、柱面号05H ? 本分区之前已用了的扇区数本分区的总扇区数 251.02M第第2#分区表分区表扩展分区不用WinHex模版工具直观硬盘分区(MBR部分)主引导记录区主引导记录区主引导记录区主引导记录区第n个分区表项1、2、3、4最后的两个字节最后的两个字节“55 AA”是分区有效结束是分区有效结束标志标志不用WinHex模版工具直观硬盘分区(MBR部分)1BE:引导
7、标志。若值为 80H 表示活动分区;若值为 00H 表示非活动分区。1BF1C1:本分区的起始磁头号、扇区号、柱面号1C2:分区类型符1C31C5:本分区的结束磁头号、扇区号、柱面号1C61C9:本分区之前已用了的扇区数,3F 00 00 0000 00 00 3F=(63)101CA1CD:本分区的总扇区数,82 3E 00 0000 00 3E 82=(16002)101BF:本分区的起始磁头号、1C0:起始扇区号(高2位为柱面号) 、1C1:起始柱面号(低8位)1C3:本分区的结束磁头号、1C4:结束扇区号(高2位为柱面号) 、1C5:结束柱面号(低8位)不用WinHex模版工具直观硬盘
8、分区(MBR部分)1CE:引导标志。若值为 80H 表示活动分区;若值为 00H 表示非活动分区。1CF1D1:本分区的起始磁头号、扇区号、柱面号1D2:分区类型符1D31D5:本分区的结束磁头号、扇区号、柱面号1D61C9:本分区之前已用了的扇区数,C1 3E 00 0000 00 3E C1=(16065)101DA1DD:本分区的总扇区数,20 D8 07 0000 07 D8 20=(514080)101CF:本分区的起始磁头号、1D0:起始扇区号(高2位为柱面号) 、1D1:起始柱面号(低8位)1D3:本分区的结束磁头号、1D4:结束扇区号(高2位为柱面号) 、1D5:结束柱面号(低8位)不用WinHex模版工具直观硬盘分区(MBR部分)为什么要用最后为什么要用最后的两个字节的两个字节“55 AA”(偏移(偏移1FEH偏移偏移1FFH)作为分区)作为分区有效有效结束标志?结束标志?如果“55AA”的内容丢失,计算机不能从硬盘启动,系统提示:“DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER.”,但是我们即使从软盘启动,也没有硬盘,用FDISK/STATUS命令显示硬盘未使用。 (硬盘逻辑锁现象)
