使用Winhex进行数据恢复(1)
前言
为了防止世界被破坏,为了守护世界的和平…..咳咳,跑题了。
曾经我有一个U盘,我和它在一起了2年,后来…..它进水了….
这个故事告诉我们不管什么资料都要备份(误)
你可以在 http://winhex.baklib.com 中查看所有例题文件**
题库密码:im0o.top
知识点总览
- Winhex 是什么
- Winhex 的常用快捷键
- MBR主引导记录
- windows系统常用的分区简述
Winhex是什么?
简单来讲,Winhex是一个16进制的窗口型编辑器,它专门用来检查和修复文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等……
当然,它也能够用来人为损坏文件(笑)
Winhex的常用快捷键
以下是使用Winhex进行数据恢复时常用的快捷键:
| 快捷键 | 作用 |
|---|---|
| Ctrl+Shift+N | 导出(复制)文件 |
| Ctrl+Alt+X | 查找16进制数值 |
| Ctrl+F | 查找文本 |
| Ctrl+W | 关闭当前页面 |
| Ctrl+G | 跳至扇区 |
| Ctrl+C | 复制 |
| Ctrl+B | 粘贴 |
| Ctrl+T | 编辑选中内容(异或等) |
| Alt+Tab | 切换窗口(Windows快捷键) |
| Alt+G | 转到偏移量 |
| Enter | 打开启动中心 |
| F3 | 继续上一次的搜索 |
MBR主引导记录
MBR主引导记录通常在分区的开头(0扇区处)。其作用为指向分区的DBR/EBR
MBR主引导记录主要有以下部分构成
引导程序
引导程序占用MBR的前440字节,其地址在偏移0~偏移1B7H处。
Windows磁盘签名
Windows磁盘标签占用引导程序后的4个字节,是Windows系统对初始化硬盘写入的一个磁盘标签
Disk Signature (磁盘签名)
磁盘签名用于在操作系统上标识磁盘。Windows 要求磁盘在使用之前必须有一个签名。将签名写入磁盘后,该磁盘将显示为基本磁盘。
分区表
偏移1BEH~偏移1FDH的64字节为硬盘分区表,这是MBR分区中非常重要的结构。
结束标志
扇区最后的两个字节“55 AA”是MBR的结束标志,如果丢失了55 AA,计算机将无法识别出MBR
(这也是最简单的故障)。
- 只有通过分区表才可以指向所有的分区,分区表由以下值构成
| 字节偏移 | 字段长度 | 值 | 字段名定义 |
|---|---|---|---|
| 0x01BE | 1字节 | 0x80 | 引导标志:指明该分区是否为活动分区 |
| 0x01BF | 1字节 | 0x20 | 开始磁头 |
| 0x01C2 | 1字节 | 0x07 | 分区类型描述 |
| 0x01C6 | 4字节 | 0x00008000 | 分区起始扇区 |
| 0x01CA | 4字节 | 0x0C800800 | 分区大小 |
注意:上表中超过1字节的数据都是以 BIG-ENDIAN(即从低位到高位)的方式显示,因为Windows系统是运行在x86架构之上的,所以在实际存储时是按低位到高位存储的,两者表现不同。
LITTLE-ENDIAN(小字节序、低字节序),即低位字节排放在内存的低地址端,高位字节排放在内存的高地址端。 与之对应的是:BIG-ENDIAN(大字节序、高字节序) ——百度百科