图解WinHex使用入门

一 Winhex和相关概念简单介绍

1 Winhex

是在Windows下执行的十六进制编辑软件，此软件功能很强大，有完好的分区管理功能和文件管理功能。能自己主动分析分区链和文件簇链。能对硬盘进行不同方式不同程度的备份。甚至克隆整个硬盘；它可以编辑不论什么一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的随意扇区。是手工恢复数据的首选工具软件。

2 数据恢复概念

数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤。那么我们将它修好。同一时候又保留里面的数据或后来恢复里面的数据。所谓软恢复。就是硬盘本身没有物理损伤。而是因为人为或者病毒破坏所造成的数据丢失（比方误格式化，误分区），这种数据恢复就叫软恢复。



主要介绍软恢复，硬恢复还须要购买一些工具设备（比方pc3000,电烙铁。各种芯片、电路板）。

3 MBR和EBR

MBR，即主引导记录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际仅仅使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表。占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区。主要就是恢复第二部分：分区表。



引导代码的作用：就是让硬盘具备能够引导的功能。假设引导代码丢失，分区表还在。那么这个硬盘作为从盘全部分区数据都还在。仅仅是这个硬盘自己不能够用来启动进系统了。假设要恢复引导代码。能够用DOS下的命令：FDISK /MBR；这个命令仅仅是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也能够用工具软件，比方DISKGEN、WINHEX等。



但分区表假设丢失。后果就是整个硬盘一个分区没有。就好象刚买来一个新硬盘没有分过区一样。

是非常多病毒喜欢破坏的区域。



EBR

EBR。也叫做扩展MBR（Extended MBR）。由于主引导记录MBR最多仅仅能描写叙述4个分区项，假设想要在一个硬盘上分多于4个区，就要採用扩展MBR的办法。



MBR、EBR是分区产生的。



每个分区又由DBR、FAT1、FAT2、DIR、DATA 5部分。

4 Winhex菜单和界面

最上面的是菜单条和工具栏，以下最大的窗体是工作区，如今看到的是硬盘的第一个扇区的内容。以十六进制进行显示。并在右边显示对应的ASCII码，右边是具体资源面板。分为五个部分：状态、容量、当前位置、窗体情况和剪贴板情况。这些情况对把握整个硬盘的情况很有帮助。另外。在其上单击鼠标右键，能够将具体资源面板与窗体对换位置。或关闭资源面板。（假设关闭了资源面板能够通过“察看”菜单——“显示”命令——“具体资源面板”来打开）。 最以下一栏是很实用的辅助信息。如当前扇区/总扇区数目……等



向下拉拉滚动栏。能够看到一个灰色的横杠，每到一个横杠为一个扇区，一个扇区共512字节，每两个数字为一个字节，比方00。

5 中文菜单

选择下图中的Chinese,please!。可转为中文菜单；只是下了个17.x版本号的，须要注冊才干转为中文菜单；又下了个18.x版本号的。可转为中文菜单；

二 使用入门

1 打开磁盘

菜单：工具-打开磁盘；

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

选择要打开的磁盘；

2 界面

上方是文件夹和文件情况；下边是打开磁盘的16进制数值。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

3 找下MBR的结束标志

按前文所述，MBR占1个扇区，512字节，结束标志是55AA。可从Winhex直接打开计算器，10进制的512转换为16进制是200；

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

找到偏移00000200，例如以下图，每一个扇区结束有一个横线标志；偏移从00000000開始，那么第二个扇区的起始偏移是00000200；看下下图，Offset列值为000001F0所相应行的最后2个字节。为55 AA，正是MBR的结束标志。这样就找到了MBR所在区域；

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

4 查看分区表

分区表位于结束标志之前的64个字节；每行16字节，4*16=64；那么第一扇区倒数第五行，倒数的第2个字节，就是分区表的起始；例如以下图。其值为0D;

到此就出现故障了；

按网上资料，分区表第一字节是引导标志。若值为80H表示活动分区。若值第1字节 为00H表示非活动分区。那么我的0D是表示什么？

第五字节是分区类型；按网上资料，

00H——表示该分区未用

06H——FAT16基本分区

0BH——FAT32基本分区

05H——扩展分区

07H——NTFS分区

0FH——（LBA模式）扩展分区

83H—— Linux分区

数到第五个字节，我的为什么是4F？

刚才打开的C盘，再打开B盘。是一样的。

到此就搞不下去。下次再说吧。

例如以下图的箭头button。能够输入偏移值，进行跳转；