winhex与磁盘格式与 数据恢复

第一阶段：

熟悉WinHex的使用。

n 熟悉磁盘工具的使用。

n 利用WinHex查看物理磁盘和逻辑磁盘。

n 了解WinHex中相关工具的用法。

以管理员身份运行winhex（以便之后修改）

上方工具栏，工具，打开磁盘，可以按逻辑盘和物理盘来打开磁盘。

位置可以按扇区，偏移，FAT表跳转。

右键单击分区，点击template可以查看一些信息。

第二阶段：

分析本地硬盘的主引导扇区

利用

n 主引导扇区由哪些部分组成？

n 四个主分区项的内容各代表什么？

n 分析主扩展分区表的结构。

n 通过分区项来确定每个本地逻辑盘的位置以及大小，并画出本地硬盘的逻辑结构。

n 每个本地盘的开始扇区位置，总扇区数，结束扇区位置，各扩展分区表扇区位置，保留空间数量。

下图为实验室虚拟机的磁盘。

下图为主引导扇区，主分区表

 

从1B行E列开始为分区信息。

第一个分区：80 01 01 00 07 FE FF FF 3F 00 00 00 00 00 80 02

80代表为主分区，07表示为NTFS格式。00 00 00 3f H为起始扇区。（因为有一个扇区为主引导扇区，且有62个扇区保留，固从3fH即63号扇区开始）。02800000H是扇区数，一扇区512字节，计算后为20.0GB

类似的，0b表示为FAT32格式，0f表示扩展分区。

0000003fH + 02800000H即为0280003fH，是下个分区的起始扇区号，与图中显示一致。

第二个分区：00 FE FF FF 07 FE FF FF 3F 00 80 02 00 00 40 01

起始扇区 0280003FH，与上面的计算一致。 大小01400000H，为第一个分区的一半，10G。

第三个分区类似，大小为C00000H个扇区，6G，起始扇区03C0003FH。

值得注意的是第4个分区，大小为02FFEFC0H，计算为50327488个扇区，23.998016357421875GB，不是恰好24GB。起始位置0480003FH。

打开第四个分区，可见分区表。

有G盘，H盘的信息。

G盘大小01400000H个扇区，10GB，起始位置0000003FH。这里的起始位置是相对于主分区表中0480003FH的偏移。

H盘大小01BFEF81H，29335905个扇区，13.99844GB，起始位置0140003FH。

第三阶段：

熟悉FAT32文件格式。

n 用WinHex打开某个FAT32分区格式的逻辑盘。

n 查看该逻辑盘的起始扇区，分析起始扇区中的相关字段（BPB:BIOS Parameter Block）。

n 查看FAT1和FAT2的内容和大小。

n 查看该逻辑盘的根目录区。

n 查看某个文件的目录项结构和FAT链以及具体存储位置。

n 在根目录下建立文本文件test.txt，其中填充60K左右的文本字符保存。

n 查看该文件的目录项，对其进行分析，并得到该文件所在位置以及大小。

n 查看首簇位置，并得到簇链表。通过簇链表查看该文件内容。

n 记录首簇位置（14H-15H,1AH-1BH）和文件大小（1CH-1FH）。

这里F盘就是FAT32格式的盘。00行，BC列0200H代表一个扇区512字节，D行20H代表一簇32扇区。于是一簇16kb。

F盘6GB，计算6*1024*1024/16得簇数，一簇在FAT表中占4字节，故计算得FAT表大小应为1.5M，事实上查看下图，确实为1.5M，计算正确。

以上信息也可以在Disk中右键template查看。

在F盘建立txt文件，test.txt，大小为57kb。

右键test.txt，go to directory entry可以查看目录项。

八位00H-07H文件正名，08H-0AH三位扩展名，14H-15H为起始簇号高16位。1AH-1BH为起始簇号低十六位。1CH-1FH为文件字节长度。这里0000E219H，为57881字节。起始簇号000003C9H，为969号。

然后点击FAT32，右键go to FAT entry，输入969，可以转到test.txt的簇链表。如下图。

注意簇号从零开始，四字节一个簇号。然后每个位置的内容指向下一簇。最后一簇内容为0FFFFFFFH。

第四阶段：

手工恢复被删除的文件

n 删除前面所建立的文件test.txt。(del&shift+del)

n 利用WinHex在该文件所在盘符查找test.txt文件的目录项。

n 查看目录项的变化。

n 利用该残余目录项来计算被删除的文件所在的位置。

n 手工恢复该文件（文件名、首簇高位、簇链表修复）。

Shift+delete彻底删除。

删除后查看目录项变化。

可见第一个字节变为E5。同时首簇号高位清零。（这里原本就是0，固待会恢复时无需再改）

看一下簇链表，发现被清空。

然后开始恢复。

E5改为54（T）。然后修复簇链表。

由于文件大小57kb，固分配四簇。

到000003C9H处，根据上文，填上CA 03 00 00...

第四簇填0FFFFFFF。

恢复完毕，这时打开F盘可以查看test.txt。

磁盘结构分析

（1）磁盘结构图

 

 

（2）磁盘结构分析重要过程、数据及分析结果

Winhex打开物理磁盘。查看start sectors

LBA0即为设备的第0个逻辑存储块。

由LBA0可知格式为0xEE，为GPT分区表。

LBA1

02 00 00 00 00 00 00 00表示分区表项从LBA2开始。0x250行0-3列，80 00 00 00 表示共128个分区。4-7列，80 00 00 00表示每个分区表项大小128字节。

LBA2

8A800H为分区3（C盘，系统盘）起始扇区，结束扇区为C88A7FFH，计算得共99.999999523162841796875GB。

还有分区名。

类似的有F盘，分区6，起始扇区5788E800H,结束扇区74511FFFH，共482883583扇区，230.256835460662841796875GB。

其余扇区类似，不再赘述。

打开C盘观察DBR。

可知文件系统ID为NTFS，每扇区占用字节数为0200H,512字节。每簇扇区数08H，故每簇4kb。

在hard disk 右键template也可查看相关信息。

0x30开始8字节为MFT起始簇号。C0000H为786432。 786432*8 = 6291456扇区(字节偏移为 6291456*512= 3221225472 （ 十六进制0xC0000000）)。

Go to sector 转到 MFT表

MFT表一项1kb，固下一项偏移为1024/16=40H。

再看F盘。与C盘类似。

FAT32分区数据恢复

在虚拟机格式为FAT32的H盘进行操作。

（1）FAT32逻辑磁盘基本信息描述

在H盘新建了2017301510029.txt，大小103kb。

FAT32数据恢复过程

Shift+delete删除

打开winhex。

查看到每扇区512字节，一簇8扇区。即4kb。

用winhex查看目录项

修改首字节，首簇高位。

E5改为32（2），高位仍为00 00（这里是推测原来就是0000而不是不改）

得首簇号0000000AH。转到FAT表，第10簇。

103kb为26簇。

恢复簇链表。

恢复成功。