返回
winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR.doc

winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR.doc

ID:55931762

大小:572.00 KB

页数:6页

时间:2020-06-16

winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR.doc_第1页
winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR.doc_第2页
winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR.doc_第3页
winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR.doc_第4页
winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR.doc_第5页
资源描述:

《winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、winhex教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR字节位置内容及含义第1字节引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符:00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区05H——扩展分区07H——NTFS分区0FH——(LBA模式)扩展分区83H——Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分

2、区的总扇区数1、什么是逻辑驱动?2、什么是物理驱动器?3、怎么搜索MBR、EBR、DBR?MBR、EBR、DBR他们都是以55AA结尾在winhex中搜索16进制:55AA偏移512=510(1)搜索DBR的标志:FAT16的DBR:EB3C90   没有备份的DBRFAT32的DBR:EB5890 (备份的DBR)在该分区的第6扇区NTFS的DBR:EB5290  (备份的DBR)在该分区的最后一个扇区判别MBR的方法:MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD,共64个字节,

3、每项16个字节。1FE-1FF就是“55AA”判别EBR的方法:EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是0001,并且前446个字节应该是0(2)查找DBR 可以通过搜索本分区的EBR去找DBR.可以搜索EBR,定位DBR.DBR相对于EBR后63号扇区。(3)当某分区的DBR坏了,就提示:未格式化 这个时候用winhex打开逻辑盘,就打不开。我们只有通过打开物理驱动器,然后跳转到该分区。就可以查看DBR是否被破坏了。。。。可物理驱动器的模式是从"0"扇区开始描述系统而逻辑驱动模式是从系统的DBR开始描述系

4、统(从第64扇区开始描述).用winhex做U盘免疫AUTO.INF用WinHex制作无法修改的AutoRun.inf文件  在我们日常工作中,经常需要使用闪存(也称为U盘或者优盘)主要是AutoRun.inf文件在起作用,我们可以使用WinHex解决这一问题。首先格式化闪存,文件系统选择默认的FAT32格式即可(由于格式的通用性比较好,所以最好选择FAT32)。然后在闪存根目录下手工新建一个名为AutoRun.inf的文件(可以新建任何一个文件,然后改名为Autorun.inf就可以了。),接着打开WinHex,按下F9功能键,或者

5、从“工具”菜单下选择“磁盘编辑器”,打开需要处理的闪存(如果你插了多个,请确定那个闪存的盘符),定位到AutoRun.inf文件,可以看到文件名中间有一个空格,文件名的后面也有一个空格,现在请将后面的空格(20)直接修改为“E5”,确认后保存再退出就可以了。看起来AutoRun.inf的文件名没有发生任何变化,但这个时候,任何人都不能再打开它或者修改它了。或者,也可以将“20”更改为“E2”,这样可以将AutoRun.inf文件隐藏起来,使你不会每次都看见它而纳闷。Doc文件恢复一例,(其他数据恢复软件无效)故障描述:客户从电脑拷到U

6、盘两个Doc文件,文件名和内容都是英文的,放在U盘根目录下,当时曾刷新确认过其存在,但未打开过,两天后打开U盘发现这两个文件不存在了。恢复软件:EasyRecovery,FinalData,WinHex恢复思路:盘体正常,其他文件完好,感觉属于一般性文件丢失,用常规软件EasyRecovery,FinalData恢复即可,实在不行就用WinHex喽。恢复过程:一、用EasyRecovery恢复,过滤器用“*.doc”,搜索结果如下图:有大量曾删除的Doc文件,经客户一一确认,没有找到要找的文件。二、用FinalData恢复,如下图,搜

7、索的比EasyRecovery的还要多,但同样没找到要找的文件。三、关键时刻,还得用WinHex。1、用WinHex打开U盘,搜索Doc文件头D0CF11E0A1B11AE1,如下图:2、再搜文件尾,如下图这才是Word2003的文件尾4D6963726F736F6674204F666669636520576F726420CEC4B5B5000A0000004D53576F7264446F630010000000576F72642E446F63756D656E742E3800F439B271.到这里也许你会认为能轻而易举的找到要找的文

8、件了,事实相反,由于文件较多,一个一个傻找的话会很浪费时间。根据本人对Doc文件的研究,英文的句号以及后面的空格的16进制数据是2E2020202020,有多少空格就有多少20。如下图所示3、于是就搜索2E2020202

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。