用Winhex手工恢复MBR

《用Winhex手工恢复MBR》由会员分享，可在线阅读，更多相关《用Winhex手工恢复MBR（9页珍藏版）》请在装配图网上搜索。

1、用 winhex 手工恢复 MBR数 据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤， 比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户 不容易取出里 面数据，那么我们将它修好，同时又保留里面的数据或后来恢复 里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓 软恢复，就是硬盘本 身没有物理损伤，而是由于人为或者病毒破坏所造成的数 据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。这 里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比 如pc3000，电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们 这

2、里所 讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手 工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快 速恢复数据提 供便利，而且所有软件均为网上下载，不需要我们投资一分钱。数据恢复的前提：数据不能被二次破坏、覆盖！关于数码与码制：关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们 数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些， 可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件）我们先了解一下数据结构：面是一个分了三个区的整个硬盘的数

3、据结构MBRC盘EBRD盘EBRE盘MBR， 即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63 个扇区，但实际只使用了1 个扇区（512 字节） 。在总共512 字节的主引导记录 中，MBR又可分为三部分：第一部分：引导代码，占用了 446个字节；第二部分: 分区表，占用了 64字节；第三部分：55AA，结束标志，占用了两个字节。后面 我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。引导代 码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失， 分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不 能够用来启动进系 统了。如果要恢复引导

4、代码，可以用DOS下的命令：FDISK /MBR ；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外， 也可以用工具软件，比如DISKGEN、WINHEX等。但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。EBR，也叫做扩展MBR （Extended MBR）。因为主引导记录MBR最多只能描 述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。MBR、EBR是分区产生的。比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区那么数据结构如下表：63143532963143532963

5、1253889MBRC盘EBRD盘EBRE盘扩展分区而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成：比如C盘的 数据结构：C盘DBRFAT1FAT2DIRDATAWinhexWinhex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑 软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分 析分区链和 文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个 硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编 辑器可以编辑物理 磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软 件。首先要安装Winhex，安装完了

6、就可以启动winhex 了，启动画面如下：首先 出现的是启动中心对话框。这里我们要对磁盘进行操作，就选择“打开磁盘”，出现“编辑磁盘”对话 框：这样，分区表中的第一个分区表项共十六个字节分析完毕，下面我们再来看 看第二个分区表项（扩展分区）。第1字节00：表示非活动分区第5字节05：表示扩展分区第9、10、11、12字节00 E7 15 00：本分区之前的扇区数（扩展分区前面 也就是MBR和C盘，好像我们前面算过这个数？）同样，先将它反过来，就是 00 15 E7 00 ，再转为十进制是1435392，看来我们前面真的算过这个数。第13、14、15、16字节40 09 29 00：本分区的总扇

7、区数。也就是扩展分 区的总扇区数。转为十进制应该是2689344。想一想，用这个数加上前面的 1435392，不正好是整个硬盘的总扇区数4124736吗？这 样，如果分区表被破坏，我们只要把这些数值都计算出来并填上，分区 表不就恢复了？那么，这里我们为什么不分析第2、3、4字节（本分区的起始磁 头号、扇区 号、柱面号）和第6、7、8字节（本分区的结束磁头号、扇区号、 柱面号）呢？这是因为C/H/S（柱面/磁头/扇区）是老式硬盘的寻址方式，这种寻 址方式 来管理硬盘效率很低；而现在几乎所有的硬盘都支持LBA（全称是Logic Block Address，即扇区的逻辑块地址）寻址方式，这种管理方式

8、简单高效。在 LBA方式下，系统把所有的物理扇区都统一编号，按照从零到某个最大值排列， 这 样只用一个序数就确定了一个唯一的物理扇区。小知识：具体一个硬盘有多少个LBA（扇区）不需要我们去记忆，因为用各种 工具软件（如MHDD WINHEX等）都可以检测到。我们只要知道个大概就行了：如 10G的硬盘大概有2000万个扇区；20G的硬盘大概有4000万个扇区；40G的硬 盘大 概有8000万个扇区那么，2G的硬盘大概有400万个扇区。那么，你可能要问了：如果要恢复分区表，这个起始磁头号、扇区号、柱面 号还有结束磁头号、扇区号、柱面号应该怎么填呢？简单得很，在后面恢复分区 表的时候我会告诉你，直接

9、填，都不用计算。还有兴趣来分析一下D盘的EBR吗？其实D盘的EBR和E盘的EBR我们不分析也罢，因为无非也是分区表，跟 MBR的结构是一样的，但却很容易把我们绕晕，又因为EBR 般不容易被破坏， 所以我不建议分析EBR。但如果你一定要分析，那就分析吧。单击“访问”下拉按钮“分区二”“分区表”，直接就到1435392 扇区，即D盘的分区表EBR。第一个分区表项（D盘）：第1个字节00：表示非活动分区第5个字节06:表示FAT16分区第9、10、11、12字节3F 00 00 00：本分区之前已用了的扇区数，也就是 EBR的数目，63个。第13、14、15、16字节Cl E6 15 00：本分区的

10、总扇区数，也就是D盘的 扇区数，先反过来排列就是00 15 E6 C1，转为十进制就是1435329。第二个分区表项（D盘后面的）：第1个字节00：表示非活动分区第5个字节05：表示扩展分区第9、10、11、12字节00 E7 15 00：本分区之前已用了的扇区数，也就是 D盘的EBR加D盘总共的大小，63 1435329=1435392第13、14、15、16字节40 22 13 00：本分区的总扇区数，1253952,也就 是E盘的大小再加上一个EBR的数目。单击“访问”下拉按钮“分区三”“分区表”，直接就到2870784 扇区，即E盘的分区表EBR。因为E盘后面没有分区了，所以没有第二个

11、分区表项。这 里我们就不再研究了，有兴趣的话可以自己多备一块硬盘作从盘，然后自己分分 区研究研究。通过以上的研究我们总结一下，MBR在定义分区的时候，将多余的容量定 义为扩展分区，指定该扩展分区的起止位置，根据起始位置指向硬盘的某一个扇 区，作为下一个分区表项，接着在该扇区继续定义分区，如果只有一个分区， 就定义该分区，然后结束；如果不止一个分区，就定义一个基本分区和一个扩展 分区，扩展分区再指向下一个分区描述扇区，在该分区上按照上述原则继续定 义分区，直至分区定义结束。这些用来描述分区的扇区形成一个“分区链”，通 过这个分区链，就可以描述所有的分区。系统在启动时按照分区链的连接顺序 查找分区

12、，直至找出所有分区。这个链显然是个开链结构，如果形成一个环，系 统本身并不会去判断它，它只是按照这个链忠实的查找分区，而不进行任何额 外的检测与处理。所谓硬盘逻辑锁，就是让分区链形成一个环，这样系统在启动 时就在分区表内循环，表现为系统无法引导，就是从软盘启动，也不能进入硬 盘。明白了其结构原理，解决这个问题就简单了，目前有很多种方法解决这个问 题，后面我们还会讲到。系统就是利用这种方法使一个硬盘分区后看起来象多 个硬盘。系统能够找到C盘以外的其他逻辑盘的唯一办法就是，沿着EBR所描述 的分区链查找分区。其 实，通常情况下EBR是不会被破坏的，或者破坏的几率极低极低，通常 情况下，都是只有MB

13、R被破坏，那么这种情况下，我们只要把MBR的分区表64 个字节复原，其他的分区顺着分区表所提供的链自然而然就出来了。那么，如 何才能将分区表复原呢？这就要通过计算结合Winhex强大的功能来实现了。下面我们就来模仿分区表被病毒破坏的情况，将MBR全部填零。我们首先将 MBR所在的扇区选中。鼠标指向第一个字节，单击右键，选择“选块开始”然后鼠标指向MBR的最后一个字节，单击右键，选择“选块结尾” 然后我们在选区内部单击鼠标右键，选择“编辑” 这样就有出来一个菜单 然后我们选“填充选块”，这样就出来一个填充选块对话框 在“用十六进制填充”的输入框中输入“00”，再点“确定”这样MBR所在扇区全部被

14、我们填充为“ 00” 如果想取消选区，那就用鼠标拖动随便选中一块区域，那么原来的选区就会取消。注意，如果扇区数据被修改了而没有存盘就会变为别的颜色。 修改了扇区，这时候还没有存盘生效，如果你想存盘生效的话，就选择“文件”菜单“保存扇区”命令。这时候就会出现一个提示，如果你不想存盘了就点取消，如果想存盘，就点 确定，再点是。好，这样就存盘了，扇区被修改的数据又变为黑色。 这样我们就把分区表给删除了，这时候必须重新启动才能生效，如果你打开我的电脑，会发现三个分区（F、G、H）还在那里，并且里面的数据还能正常 使用。现在，我们关闭所有程序将电脑重新启动经过不长时间的等待，电脑启动起来了，我们打开我的

15、电脑看看，发现F、 G、H三个分区不见了。再打开Winhex发现MBR全部为零了，下面我们就着手开始手工恢复分区表 首先恢复引导代码，这最简单了，只要用Winhex到别的系统盘把引导代码复制过来就行了。我现在的机器上不是挂着两个硬盘吗？ 一个迈拓2G，一个西 数40G，西数40G是我的系统盘，那就从这个盘上复制就行了。单击“磁盘编辑器”按钮出现“编辑磁盘”对话框选择“HD0 WDC WD400EB-00CPF0”，点“确定”这样我们就把系统盘的分区表给打开了，注意，现在我们是打开了两个窗口， 当前的窗口是“硬盘0”，在标题栏上有显示。另外，打开窗口菜单也能看出来， 当前窗口被打上一个勾，如果想

16、切换回原来的窗口，就点击“硬盘1”。首先选中系统盘的引导代码然后在选区中单击鼠标右键，选“编辑”又出来一个菜单，然后我们选“复制选块”“正常”然后我们切换回硬盘1窗口，在零扇区的第一个字节处单击鼠标右键，选 “编辑”然后选“剪贴板数据”“写入”出现一个窗口提示，点“确定”这样，我们就把一个正常系统盘上的引导代码复制过来了。下面，我们就开始恢复分区表（共64个字节，分为4个分区表项，每个分 区表项占用16个字节，一般只使用前两个分区表项），我们首先来恢复第一个 分区标项（也就是用来描述C盘的）。首先，在第1个字节处（0扇区倒数第五行，倒数第二个字节）填上分区引 导标志，因为C盘是活动分区，所以填

17、上80。接着是第2、3、4字节（本分区起始磁头号、扇区号、柱面号），填上：01 01 00。第5字节是分区类型符，因为原先C盘是Fat32格式，所以填上：0B。那么， 如果你不知道C盘是什么格式怎么办呢？你会说问问客户呀，那么如果他也不知 道呢？别着急，后面在说恢复DBR的时候我会教你怎么分辨分区的格式。第6、7、8字节是本分区的结束磁头号、扇区号、柱面号，这怎么知道呢？ 别着急，现在的磁盘都是按照LBA方式寻址，并不按照C/H/S（及柱面、磁头、 扇区）方式寻址，所以这个地方你填些什么一般关系不大，但是我要告诉你有一 个通用的填法，那就是：FE FF FF。第9、10、11、12字节，本分区

18、之前已用了的扇区数，也就是MBR所占用 的扇区数，那不是63吗？对，但是要将63转为十六进制数，再反过来倒着填写 上。还记得怎么用计算器吗？将63转为十六进制数是3F，不够四个字节前面加 零，也就是00 00 00 3F，再将此数从右向左依次序反过来就是3F 00 00 00。第13、14、15、16字节是本分区的总扇区数，也就是C盘的大小，这就要 通过稍微一点点计算来得到了。因为C盘是从第63个扇区开始，而C盘后面紧 接着的是EBR，所以用EBR所在的第一个扇区数减去63就是C盘的大小。那么 如何才能找到EBR所在的第一个扇区呢？我们前面说过，EBR的结构和MBR是一 样的，所以，EBR的结

19、束标志也一定是55AA，那么，只要我们找到这个结束标 志，再看看这个扇区是不是EBR不就行了？单击“搜索”一一“查找十六进制数值”，然后出来一个对话框在文本框中输入“55AA”，搜索框中选“全部”，然后选中“条件”，把偏 移量设置为“512=510”。再单击“确定”。画面如下：首先找到第一个“55AA”，我们看到，个扇区在第63个扇区上，并不是我 们要找的EBR，再按F3继续查找又找到好几个扇区，都不是，那么下面这个扇区是不是？前面我们说过，EBR的结构和MBR的结构是一样的，所以在倒数第五行倒数 第二个字节应该是00 01，并且前446个字节应该是0,显然这也不是EBR，继 续按F3查找终于

20、找到了真正的EBR，在1435392扇区。小 技巧：现在的硬盘都比较大，要逐个扇区的查找55AA确实太慢了，那么 有没有办法快点呢？有，那就是先问问客户C盘大概有多大，大多数客户还是知 道的，比如他说C盘大概有10个G，那么你就不要从头开始找了，因为那实在 太慢了。10个G大概是2000万个扇区，那么你可以用转到扇区命令直接到1900 万扇 区，从那个地方再开始找不就省事多了。用1435392减去63,得到1435329,再转为16进制，就是15E6C1，将他倒 转过来就是C1E61500，这就是C盘的大小。这样，第一个分区表项填写完毕， 我们保存一下，再接着填写第二个分区表项。第二个分区表第

21、1个字节：因为是非活动分区，所以写00第2、3、4字节，填写01 01 00（通用的）第5字节：因为是扩展分区，所以填写0F第6、7、8字节：填写FE FF FF（通用）第9、10、11、12字节是本分区之前已用了的扇区数，应该就是C盘大小加 63,也就是1435392,前面刚计算出来的，转为十六进制数再反过来就是00 E7 15 00第13、14、15、16字节是本分区的总扇区数，也就是扩展分区的总扇区数， 也就是用整个硬盘的大小减去C盘的大小再减去63,即 4124736-1435329-63=2689344，转为十六进制就是290940，反过来就是 40092900。这样，第二个分区表项

22、就填写完了。不要忘了把最后的结束标志55AA填上，这样，MBR就全恢复完了，最后， 保存，再重新启动启动完毕，迫不及待的打开我的电脑，发现三个分区全部又回来了，并且里 面的数据完好无损。再右击“我的电脑”，选“管理”出现一个对话框，选“磁盘管理”，在右边可以看到磁盘一的三个分区（Fat32、Fat 16、Ntfs）全部都回来了，至此，手工恢复分区表顺利完成。手工恢复数据恢复成功率比较高，而且比较有趣味和挑战性，能找回许多 傻瓜似的软件所找不回来的文件，但是要求工程师一定要有耐性，而且一定要保 持清醒，清楚自己正在操作什么，操作完了会有什么后果，能不能退回到上一 步状态。特别是对一些破坏性操作，

23、一定要考虑周到，只要条件允许，就一定要 在操作之前进行备份，否则会造成“血”的教训，切记下面我们会说到手工恢复DBR、FAT （此教程被收录在付费教程中），这些 比手工恢复分区表还要复杂，更需要大量的计算。再说完了使用Winhex手工恢 复数据之后，我们会说到一些数据恢复软件，结合数据恢复软件会使数据恢复 成功率大大提高，但有一些软件在扫描过程中会对原盘破坏数据，在使用中一定 要谨慎而且同一个软件，一个新手用和一个老手用数据恢复成功率绝对是不一样的，这些软件我们会免费赠送，绝对不会让你学习了资料却找不到软件 的在这个对话框里，我们可以选择对单个分区打开，也可以对整个硬盘打开，HDO是我现在正用

24、的西部数据40G系统盘，HD1是我们要分析的硬盘，迈拓2G。 这里我们就选择打开HD1整个硬盘，再点确定.然后我们就看到了 Winhex的整个 工作界面。最上面的是菜单栏和工具栏，下面最大的窗口是工作区，现在看到的是硬 盘的第一个扇区的内容，以十六进制进行显示，并在右边显示相应的ASCII码， 右边是详细资源面板，分为五个部分：状态、容量、当前位置、窗口情况和剪 贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外，在其上单击鼠标 右键，可以将详细资源面板与窗口对换位置，或关闭资源面板。 （如果关闭了 资源面板可以通过“察看”菜单“显示”命令“详细资源面板”来打 开）。最下面一栏是非常有用的

25、辅助信息，如当前扇区/总扇区数目等向下拉拉滚动条，可以看到一个灰色的横杠，每到一个横杠为一个扇区，一 个扇区共512字节，每两个数字为一个字节，比如00。下面我们来分析一下MBR，因为前面我们说过，前446个字节为引导代码，对我们来说没有意义，这里我们只分析分区表中的64个字节。分区表64个字节，一共可以描述4个分区表项，每一个分区表项可以描述 一个主分区或一个扩展分区（比如上面的分区表，第一个分区表项描述主分区C 盘，第二个分区表项描述扩展分区，第三第四个分区表项填零未用）每一个分区表项各占16个字节，各字节含义如下：（H表示16进制）字节位置内容及含义第1字 节引导标志。若值为80H表示活动分区；若值为00H表示非活动 分区。第 2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字 节分区类型符：00H表示该分区未用06HFAT16基本分区0BHFAT32基本分区05H扩展分区07HNTFS分区0FH（LBA模式）扩展分区83HLinux分区第 6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、 11、 12字节本分区之前已用了的扇区数第13、14、 15、 16字节本分区的总扇区数