winhex数据恢复分：硬恢复和恢复。

所硬恢复就是硬出物理性，比如有体坏道、路板芯片、体异响，等故障，由此所致的普通用不容易取出里面数据，那么我将它修好，同又保留里面的数据或后来恢复里面的数据，些都叫数据恢复，只不些故障有容易的和困的之分；所恢复，就是硬本身没有物理，而是由于人或者病毒破坏所造成的数据失（比如格式化，分区），那么的数据恢复就叫恢复。

里呢，我主要介恢复，因硬恢复需要一些工具（比如 pc3000, 烙，各种芯片、路板），而且需要懂一点点路基，我里所到的所有的知，涉及面广，次深，既有数据构原理，我手工准确恢复数据提供依据，又有各种数据恢复件的使用方法及技巧，我快速恢复数据提供便利，而且所有件均网上下，不需要我投一分。

数据恢复的前提：数据不能被二次破坏、覆盖！关于数与制：关于二制、十六制、八制它之的我不想多，因他我数据恢复来帮助不大，而且很容易把我。

如果你感趣想多了解一些，可以到百度里面去搜一下，方面料已很多了，就不需要我再多了。

数据恢复我主要用十六制器： Winhex （数据恢复首件）我先了解一下数据构：下面是一个分了三个区的整个硬的数据构MBR C EBR D EBR EMBR，即主引，位于整个硬的0 柱面 0 磁道 1 扇区，共占用了 63 个扇区，但只使用了 1 个扇区（512 字）。

在共 512 字的主引中，MBR又可分三部分：第一部分：引代，占用了446 个字；第二部分：分区表，占用了64 字；第三部分：55AA，束志，占用了两个字。

后面我要的用winhex 件来恢复分区，主要就是恢复第二部分：分区表。

引代的作用：就是硬具可以引的功能。

如果引代失，分区表在，那么个硬作从所有分区数据都在，只是个硬自己不能用来启系了。

如果要恢复引代，可以用DOS下的命令： FDISK /MBR；个命令只是用来恢复引代，不会引起分区改，失数据。

另外，也可以用工具件，比如DISKGEN、WINHEX等。

但分区表如果失，后果就是整个硬一个分区没有，就好象来一个新硬没有分区一。

是很多病毒喜破坏的区域。

EBR，也叫做展MBR（ Extended MBR）。

因主引MBR最多只能描述4 个分区，如果想要在一个硬上分多于4 个区，就要采用展MBR的法。

MBR、EBR是分区生的。

比如MBR和EBR各都占用63 个扇区， C 占用1435329 个扇区⋯⋯那么数据构如下表：63 1435329 63 1435329 63 1253889MBR C EBR D EBR E展分区而每一个分区又由DBR、 FAT1、 FAT2、 DIR、DATA5部分成：比如C?的数据构：CDBR FAT1FAT2DIR DATAWinhexWinhex 是使用最多的一款工具件，是在Windows下运行的十六制件，此件功能非常大，有完善的分区管理功能和文件管理功能，能自分析分区和文件簇，能硬行不同方式不同程度的份，甚至克隆整个硬；它能任何一种文件型的二制内容（用十六制示）其磁器可以物理磁或磁的任意扇区，是手工恢复数据的首工具件。

首先要安装Winhex，安装完了就可以启winhex 了，启画面如下：首先出的是启中心框。

里我要磁行操作，就“打开磁”，出“ 磁” 框：在个框里，我可以个分区打开，也可以整个硬打开，HD0是我在正用的西部数据40G 系，HD1是我要分析的硬，拓2G。

里我就打开HD1整个硬，再点确定. 然后我就看到了Winhex 的整个工作界面。

最上面的是菜和工具，下面最大的窗口是工作区，在看到的是硬的第一个扇区的内容，以十六制行示，并在右示相的ASCII ，右是源面板，分五个部分：状、容量、当前位置、窗口情况和剪板情况。

些情况把握整个硬的情况非常有帮助。

另外，在其上鼠右，可以将源面板与窗口位置，或关源面板。

（如果关了源面板可以通“察看”菜——“ 示”命令——“ 源面板”来打开）。

最下面一是非常有用的助信息，如当前扇区/ 扇区数目⋯⋯等向下拉拉条，可以看到一个灰色的横杠，每到一个横杠一个扇区，一个扇区共512 字，每两个数字一个字，比如 00。

下面我来分析一下MBR，因前面我，前446 个字引代，我来没有意，里我只分析分区表中的 64 个字。

分区表 64 个字，一共可以描述 4 个分区表，每一个分区表可以描述一个主分区或一个展分区（比如上面的分区表，第一个分区表描述主分区C，第二个分区表描述展分区，第三第四个分区表填零未用）每一个分区表各占16 个字，各字含如下：（H表示 16 制）字位置第 1 字内容及含引志。

若80H 表示活分区；若00H 表示非活分区。

第2、 3、 4 字本分区的起始磁号、扇区号、柱面号第 5 字分区型符：00H——表示分区未用06H—— FAT16 基本分区0BH—— FAT32 基本分区05H——展分区07H—— NTFS分区0FH——（ LBA模式）展分区83H——Linux 分区第6、 7、 8 字本分区的束磁号、扇区号、柱面号第9、 10、 11、本分区之前已用了的扇区数12字第 13、14、15、本分区的扇区数16字此硬的第一分区表（即MBR）分析如下：第一个分区表（ C ）第 1 字80：表示此分区活分区；第 5 字0B：表示分区型 Fat32 ；第 9、 10、 11、 12 字系含扇区 3F 00 00 00 ：所系含扇区就是本分区（ C ）之前已用了的扇区数，是一个十六制数，但要注意：真正的含扇区数反来填写（比如：含扇区数3E 4D 5A 6F ，反来就是 6F 5A 4D 3E ，才是的含扇区数）。

那么，3F 00 00 00 反来写就是 00 00 003F ，也就是3F，将他成十制数我才能知道的含扇区数是多大。

可以使用算器来算，工具上的“ 算器”按，如下：就启了算器算器有两种型号，我要行制，就要“科学型”比如我要将十六制3F 十制，就要先中“十六制”，然后入3F再选中“十进制”，十六进制3F 转为十进制等于63。

想一想我们前面所讲的，MBR占用 63 个扇区，也就是 C 盘之前已用了的扇区数为63，第 64 个扇区就是 C 盘的第一个扇区，但要注意的是，整个硬盘的LBA 地址是从零开始的，0~62 的扇区为 MBR。

第 13、14、15、16 字节本分区总扇区数( 当然，这也就是 C 盘的大小 ) ： C1 E6 15 00 ，同样，实际的十六进制数也要反过来才对，也就是00 15 E6 C1 ，将它转换成十六进制数是1435329 。

给你出个题，你知道D盘的 EBR在哪个扇区吗？我们一起来算一下，还记得前面数据结构那个表吗？ C 盘后面不就是 D 盘的 EBR吗？ D 盘 EBR的第一个扇区 =MBR+C盘的大小，也就是63+1435329=1435392 。

我们来看看对不对，单击工具栏上的“转到扇区”按钮，出现一个“转到扇区”对话框然后输入1435392，再点“确定”，就到了1435392 扇区了（你可以使用它再转回到0 扇区）这个就是 D 盘的 EBR，也就是 D 盘的分区表了，怎么知道的呢？因为MBR和 EBR的结构是完全一样的，都是占用了63 个扇区，但只用了第一个扇区，其余62个扇区填零不用。

第一个扇区前446 个字节都为引导代码，后64个字节为分区表，最后 2 个字节为 55AA结束标志。

因为EBR不是活动分区，不需要引导代码，所以前446 个字节为零。

还有另一种方法直接找到D盘的 EBR，单击“访问”下拉按钮——“分区二”——“分区表”，直接就到1435392 扇区 . 这样，分区表中的第一个分区表项共十六个字节分析完毕，下面我们再来看看第二个分区表项（扩展分区）。

第1 字节 00：表示非活动分区第5 字节 05：表示扩展分区第 9、 10、 11、 12 字 00 E7 15 00 ：本分区之前的扇区数（展分区前面也就是MBR和 C ，好像我前面算个数？）同，先将它反来，就是00 15 E7 00 ，再十制是1435392，看来我前面真的算个数。

第 13、14、15、16 字 40 09 29 00 ：本分区的扇区数。

也就是展分区的扇区数。

十制是2689344。

想一想，用个数加上前面的1435392，不正好是整个硬的扇区数4124736 ？，如果分区表被破坏，我只要把些数都算出来并填上，分区表不就恢复了？那么，里我什么不分析第 2、3、4 字（本分区的起始磁号、扇区号、柱面号）和第6、7、8 字（本分区的束磁号、扇区号、柱面号）呢？是因 C/H/S( 柱面 / 磁 / 扇区 ) 是老式硬的址方式，种址方式来管理硬效率很低；而在几乎所有的硬都支持 LBA(全称是 Logic Block Address ，即扇区的地址) 址方式，种管理方式高效。

在LBA方式下，系把所有的物理扇区都一号，按照从零到某个最大排列，只用一个序数就确定了一个唯一的物理扇区。

小知：具体一个硬有多少个LBA(扇区 ) 不需要我去，因用各种工具件（如MHDD WINHEX等）都可以到。

我只要知道个大概就行了：如10G的硬大概有 2000 万个扇区； 20G的硬大概有4000 万个扇区； 40G的硬大概有 8000 万个扇区⋯⋯那么，2G的硬大概有 400 万个扇区。

那么，你可能要了：如果要恢复分区表，个起始磁号、扇区号、柱面号有束磁号、扇区号、柱面号怎么填呢？得很，在后面恢复分区表的候我会告你，直接填，都不用算。

有趣来分析一下D的 EBR？其 D 的 EBR和Ｅ的EBR我不分析也，因无非也是分区表，跟MBR的构是一的，但却很容易把我，又因 EBR一般不容易被破坏，所以我不建分析EBR。

但如果你一定要分析，那就分析吧。

“ ”下拉按——“分区二”——“分区表”，直接就到1435392 扇区，即 D 的分区表EBR。

第一个分区表（ D ）：第 1 个字 00：表示非活分区第 5 个字 06：表示 FAT16分区第 9、 10、 11、 12 字 3F 00 00 00 ：本分区之前已用了的扇区数，也就是EBR的数目， 63 个。

第 13、14、15、16 字 C1 E6 15 00 ：本分区的扇区数，也就是 D 的扇区数，先反来排列就是00 15 E6 C1 ，十制就是 1435329。

第二个分区表（ D 后面的）：第1 个字 00：表示非活分区第5 个字 05：表示展分区第9、10、11、12 字 00 E7 15 00：本分区之前已用了的扇区数，也就是 D的 EBR加 D共的大小， 63+1435329=1435392第 13、14、15、16 字 40 22 13 00：本分区的扇区数，1253952, 也就是 E 的大小再加上一个EBR的数目。