用Winhex手动修复分区表以提取数据.doc

一初步应用——双分区恢复实例及分析现场重现：提示，切勿随意使用自己的硬盘进行试验，切记试验前保存重要数据。对于移动硬盘，损坏往往发生于硬盘传输数据中断电。现在我将一个有问题的移动硬盘接到电脑上，在“计算机管理”--“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色（打开磁盘工具时它会提示你要初始化，不理它，点“取消”） ，在“计算机”中也找不到这个磁盘。 手动修复：（阅读有困难的朋友可以先读完第三节再回过头来看这一节，本节的另一个作用是让新手对Winhex界面有一个初步了解）打开Winhex--菜单栏--选择“工具”--打开磁盘（F9）--选择要修复的硬盘，这里是HD2。 2、打开之后图中显示从0000H--01ffH（16进制）之间的数据全部为0。 现在我从一个运转良好的硬盘分区表中将0000H--01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。操作步骤为：在良好硬盘中拉选0000--01bd之间的区块，被选中区块呈亮蓝色； 复制选块； 接下来在损坏硬盘中拉选相应区域，将光标定位至0000；右键--编辑--粘贴板数据--写入。将01fe，01ff填写为55AA，到这里一定保存。 点击黄色区域的图标并转移至63号扇区 菜单“视图”--模板管理（Alt+F12）--NTFS引导扇区??。 打开如下图 ，并记录黄色方框内的两个数值（63 631跳转区 。 稍微向下滚动一点，看到那个粉色框标识出的55AA了嘛？往前找到黄色框内的部分，显示为3F 00 00 00，将其进行反向排列，变为 00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。接下来跳转63区，我们又发现了一个EB开头的扇 再次选择菜单“视图”--模板管理（Alt+F12）--主引导记录NTFS引导扇区。打开如下图 ，同样记录一下黄色方框中的数值（63 跳转至0扇区。菜单“视图”--模板管理（Alt+F12）--主引导记录， 打开如下图。填上如图所示的几个数据 ： 至于为什么是这些数据，下节会提到。填写完之后千万别忘了保存哦～好了，在设备管理器里禁用损坏硬盘再启用。再从磁盘管理里看看结果 ，嗯，一切复原 看，数据都在过程看上去有些复杂，其实熟练的话可以控制在5分钟之内，所以它并不难～下面就看看我做了些什么，以及那些数据是怎么来的，做什么用的。我做了什么？其实只有3步上面所做的其实就是修复了硬盘的MBR（主引导分区记录），为什么MBR对于硬盘如此重要呢？看过我前面文章的朋友应该知道分区表就是硬盘的名单：作为一个名单当然不是姓名的简单堆砌，名单也是有分类的，比如哪些人是管理员，哪些人是学生等等～请先看一下刚才修复好的硬盘的MBR全图 (注意其中用亮蓝色、黄色、绿色将512字节的分区表分为了三个部分） 硬盘的MBR在启动时大约是起到下面的一个作用： 可见作为一个MBR，必须要有以下的三个部分：446字节的启动描述；64字节的分区描述（包括分区格式、分区大小等参数）；以及最后的55AA结束表示。于是，只要我们能按照一定格式和规律填写这些项目，我们就能自己制作分区表了。对于恢复分区表，我们要做的就是下面的流程： 不难发现，这其中前面的446字节的引导文件和最后添加的“55AA”标识都是ctrl+c然后ctrl+v 的事情，因此修复分区表的关键在于那64个字节的参数是如何寻找及填写的——好在我们利用Winhex自身提供的模板，再加上一点简单的加法运算，就能非常轻松地获得这些参数。如下图，其实需要填写的参数不过8个，而且都非常有规律性：（该图很重要，它显示了那些参数是如何得来的） 上文的（3）（4）两步正是我在计算参数所在的位置，而一旦我定位准确，就调用对应的模板去查看参数，随后在（5）里填写参数（别忘了NTFS+1的问题）至于第一行活动分区：80表示可以从这个分区启动，00表示不从这个分区启动（这个参数决定电脑能否从该分区引导，和446字节不同，如果没有那个446字节，硬盘都无法识别了）。一般装有系统的主分区需要填写80，其他的00即可。而硬盘参数这一栏：Fat32的代码是0B，NTFS是07，扩展分区是0F～～这些边边角角都很简单，这里就不多说了～至此，分区表修复工作大功告成～～小结恢复原理：硬盘上的文件是链式的，可以顺藤摸瓜。此外，硬盘损坏的往往是MBR，后面各分区的虚拟MBR都完好无损，可以通过计算后面各分区的参数，逆向推出MBR的参数，从而实现硬盘的修复。大致步骤：填写446字节引导文件--填写64字节分区参数--55AA结束标志--别忘保存所需参数：活动分区与否（80）；分区类型参数