winhex恢复数据实例.doc

为什么写这篇 blog上个星期 SATA 开始不停地出问题，经常性的在使用中分区信息丢失开始只是 C 盘信息丢失，也就忍了，每次用 Ghost 还原最后一次居然整个扩展分区没了，所有电影音乐游戏一概报销只好临时把系统又装回老硬盘虽然丢失的没有重要资料，毕竟是一大堆攒下来的东西，很不爽，决定找回来在网上搜硬盘工具没找到理想的，倒是顺便又温习了一遍分区表知识，于是决定自己动手，丰衣足食装上 WinHex，直接开干2. MBR（主引导记录）and Partition Table（分区表）MBR 是磁盘第一个扇区，CHS 地址是 0 柱面，0 磁头，1 扇区；LBA 地址是 0布局如下：MBR扇区内偏移 描述0x0000 引导代码0x018A 4 个 9 字节供 IBM 扩展的分区表项0x01B8 4 字节磁盘签名0x01BE 4 个 16 字节主分区表项0x01FE 2 字节 MBR 签名（0xAA55） [1][1]0x01FE 是 55，0x01FF 是 AA分区表项表项内偏移 描述0x00 可引导标志0x01 起始 CHS 地址0x04 分区类型0x05 结束 CHS 地址0x08 4 字节起始 LBA 地址0x0C 4 字节分区大小，以扇区计算3. 修复过程理解了 MBR 和 Partition Table，修复思路就很清晰了。

我的数据分区大概是占用 250G 硬盘的后 180G，所以从硬盘头六分之一的位置开始，搜索分区表的明显标志 0x55AAWinHex 的方便的搜索功能还可以设置只搜索存在于整数倍于 512 字节块的末尾的 0x55AA，速度快很多每找到一个最后两字节为0x55AA 的扇区，就分析 4 个分区表项是不是合理的，以及它所描述的分区大小，终于找到一个扇区，含有一个分区表项，大小 180G，哈哈，肯定就是它了这个扇区肯定就是扩展分区的起始扇区，它含有的那个分区表项肯定就是它唯一包含的一个逻辑分区了在 MBR 中创建一条属性为扩展分区（05）的分区表项，填入其他相关位置信息，以描述刚才找到的这个扩展分区：CHS 起始位置：一般是逻辑分区表项中的 CHS 起始位置，把磁头数改为 0CHS 结束位置：照抄逻辑分区表项中的 CHS 结束位置LBA 偏移量，写入那个扩展分区相对磁盘起始位置的扇区偏移量分区大小：应该是逻辑分区表项中逻辑分区大小加上 63 个扇区存盘，运行 Windows 管理工具，查看磁盘信息，数据分区赫然在目4. 备份 MBR终于找回我的电影和 mp3 了，激动啊赶紧做个备份MBR 本来没有第二份拷贝，不像 FAT，所以用 winhex 把 MBR 复制一份到磁盘最后一个扇区，这个扇区一般不可能被用到。

好了，再也不怕你硬盘掉电了相信听说过硬盘 MBR、硬盘分区表、DBR 的朋友一定都不少可是，你清楚它们分别起什么作用吗？它们的具体位置又在哪里呢？硬盘上的 MBR 只有一份吗？什么是硬盘逻辑锁？如何制造和破解它呢？？别急，让我们一步步来搞清楚吧！==必备基础知识：==以下先介绍一下有关扇区编号的基本知识：介绍一下有关硬盘扇区编号规则的 3 个易混淆的术语“物理扇区编号”、“绝对扇区编号”和“逻辑扇区编号”我们都知道硬盘扇区的定位有两种办法：1、直接按柱面、磁头、扇区 3 者的组合来定位（按这种编号方式得到的扇区编号称为物理扇区编号）；2、按扇区编号来定位（又分“绝对扇区编号“和“逻辑扇区编号“两种）这两种定位办法的换算关系如下图：（设图中所示硬盘每道扇区数均为 63） 如图所示，由于目前大多数硬盘采用的是一种“垂直分区结构“，故左图一磁头数为 2、盘片数为 1 的硬盘，图中 0 磁头所对扇区的表示方法就有 2 种，即：0 柱面 0 磁头 1 扇区=绝对 0 扇区，而 1 磁头所对扇区的表示方法也有 2 种，即：1 柱面 0 磁头 1 扇区=绝对 63 扇区如果是如右图所示磁头数为 4、盘片数为 2 的硬盘，那么则顺着垂直于盘片的箭头线方向进行如图的绝对扇区的编号。

以上，我们说了物理扇区、绝对扇区的编号方式，而逻辑扇区编号由于是操作系统采用的扇区编号方式，而操作系统只能读取分区内部的数据内容，故逻辑扇区是从各分区内的第一个扇区开始编号，如我们下文对 mbr 的说明可以知道：mbr 这个扇区所在硬盘磁道是不属于分区范围内的，紧接着它后面的才是分区的内容,因此一般来说绝对 63 扇区= c:分区逻辑 1 扇区以下让我们总结一下 3 种编号方式的不同：编号方式 表示方法 采用该种方式编号的对象 起始编号物理扇区编号 0 柱面 0 磁头 1 扇区 BIOS 内置中断服务程序 0柱面 0 磁头 1 扇区绝对扇区编号 绝对 X 扇区 人们为方便所采用的办法 绝对0 扇区逻辑扇区编号 逻辑 X 扇区 操作系统 逻辑1 扇区需要说明的是：本文假设所使用的硬盘每道扇区数都为 63各位手头上所使用的硬盘具体的每道扇区数则可以在 BIOS 设置内有关硬盘参数的设置内查到有关 MBR、分区表、DBR 的基本知识：==硬盘 MBR(硬盘主引导记录)及硬盘分区表介绍硬盘 MBR 就是我们经常说的“硬盘主引导记录”，简单地说，它是由FDISK 等磁盘分区命令写在硬盘绝对 0 扇区的一段数据，它由主引导程序、硬盘分区表及扇区结束标志字（55AA）这 3 个部分组成，如下：组成部分 所占字节数 内容、功能详述主引导程序区 446 负责检查硬盘分区表、寻找可引导分区并负责将可引导分区的引导扇区（DBR）装入内存；硬盘分区表区 16X4=64 每份 16 字节的 4 份硬盘分区表,里面记载了每个分区的类型、大小和分区开始、结束的位置等重要内容；结束标志字区 2 内容总为”55AA”。

结束标志字区 2 内容总为”55AA”这 3 部分的大小加起来正好是 512 字节=1 个扇区（硬盘每扇区固定为 512个字节），因此，人们又形象地把 MBR 称为“硬盘主引导扇区”这个扇区所在硬盘磁道上的其它扇区一般均空出，且这个扇区所在硬盘磁道是不属于分区范围内的，紧接着它后面的才是分区的内容（也就是说假如该盘每磁道扇区数为 63，那么从绝对 63 扇区开始才是分区的内容）硬盘 DBR(硬盘分区引导记录)介绍DBR 是各个分区自己的引导记录,又称“分区引导记录”,它是由 FORMAT高级格式化命令写在各个分区开始处第一个扇区(比如说:主分区 C:从 1 磁头 0柱面 1 扇区=逻辑 1 扇区=绝对 63 扇区）开始,那么 C:区逻辑 1 扇区就是 DBR 所存放的位置)的一段数据.这段数据主要由以下几个部分组成:1、占 3 个字节的跳转指令；2、占 8 个字节的操作系统厂商标识及版本号;3、占 19 个字节的分区参数表(又称 BPB),里面存放着对该分区进行读写操作时所必备的参数 (如该分区内每扇区所包含的字节数、每簇扇区数、每个磁道的扇区数、该分区 FAT 份数等)；4、占 480 个字节的 DOS 引导代码,它负责把 DOS 引导文件 IO.SYS、MSDOS.SYS装入内存；5、占 2 个字节的结束标志字”55AA”.以上 5 个部分也正好占 1 个扇区；和 MBR 有所不同的是：DBR 扇区后面一般就紧接着存放该分区的 FAT（文件分配表，共 2 份）。

综上所述，我们知道硬盘 MBR 负责总管硬盘分区，只有分区工具才能对它进行读写（如 FDISK）；而 DBR 则负责管理某个具体的分区，它是用操作系统的高级格式化命令（如 FORMAT）来写入硬盘的在系统启动时，最先读取的硬盘信息是 MBR，然后由 MBR 内的主引导程序读出 DBR，最后才由 DBR 内的 DOS 引导代码读取操作系统的引导程序，其中任何一个环节出了问题，操作系统都无法正常启动成功，如果是 MBR 部分出了问题,即使只是”55AA”标志字丢失或被改为其他值，通常都会出现“无效分区表“、逻辑盘丢失、启动死机等现象；而如果是 DBR 部分出了问题，通常会出现“未格式化的分区”的错误提示实际上，在每一个分区的前面，都有一份 MBR,在每一个分区的开始处，都有一份 DBR通常我们把存放在绝对 0 扇区的那份 MBR 称为主 MBR 或 C 分区MBR这样我们就能画出如下的 MBR、DBR 的存放位置表：市面上很多分区表保存软件（如 KV3000 的分区表保存功能）实际上保存的就是表中各个分区前 MBR区的数据在中篇里，我们将来看看怎样实际操作，观察我们硬盘上的 MBR、DBR。

动手观察 MBR、DBR：近距离观察 MBR、DBR：口说无凭，眼见为实还是让我们用工具来具体观察一下吧：）我们要观察的盘全部分作 DOS 区，在 DOS 区内共分 C：、D：、E：三个盘1、观察主 MBR：首先得准备工具,这里我们推荐 DISKEDIT 兼容 FAT32 的版本,可以到 搜索 DISKEDIT 并下载该程序启动后界面如下： 选“PHYSICAL DEVICE”按 OK 进入这时候，DISKEDIT 首先显示的就是硬盘绝对 0 扇区的 MBR 信息，如下图：从图中我们可以看到 MBR 的 0~01BD 字节为主引导程序；01BE~01FD 这 64字节为硬盘分区表信息，每项分区表占 16 字节；最后是结束标志字 55AA下面我们详细分析一下分区表各个字节所表示的意思：注 1：此处第一个字节存放磁头号（01、0B），第二字节低六位存放扇区号 01=00（00 0001）=00（01）、FE=11（11 1110）=11（3F），第二字节高 2位+第三字节为柱面号 00（00）=000、11（7F）=37F还需要说明的是 01BF—01C1 这 3 个字节在分区表里面，视后面 01C2 字节所示分区类型的不同而代表不同的含义。

如果 01C2 是代表主分区的 01、04、06 或 0B，那么 01BF—01C1所表示的就是该分区 DBR 所在的位置，如果 01C2 是代表扩展分区的 05 或 0F，那么 01BF—01C1 所表示的就是该分区 MBR 所在的位置看完上面我们给出的第一份 MBR，不知道大家注意到没有，在硬盘分区表数据区里面只有两个分区表项，而我们的盘明明是分成 C：、D：、E：三个盘的，怎么回事呢？再仔细观察一下分区表，我们还会发现在这份 MBR 里，第一个分区表项（01BE—01CD）描述的是 C：盘的信息，第二个分区表项（01CE—01DD）描述的是整个扩展分区的信息，它把剩下的 D：、E：全部包含在里面了！未免太笼统了点吧那么，如果我们要查看 D：、E：各自详细的分区情况怎么办呢？参考上一段我们给出的 01BF—01C1 这 3 个字节所代表的不同含义，我们发现，第二个分区表项的分区类型符为 0F，也就是说是扩展分区，那么分区类型符前面 3 个字节所代表的应该是扩展分区 MBR 所在的位置可见不光是全盘最前面的 0 磁头 0 柱面 1 扇区有一份主 MBR，扩展分区的最前面也有一份 MBR！还是让我们顺着系统启动的顺序先到 1 磁头 0 柱面 1 扇区去看看主分区DBR，然后再看扩展分区的 MBR 是什么样的吧！2、观察 C 分区 DBR：在 DISKEDIT 界面输入“ALT+S”，在出现的菜单内选“GOTO。

如下图：接下来，按表 1 内 01BF—01C1 字节所示的主分区 DBR 位置，在出现的菜单内依次输入。