《2022年2022年计算机芯片级维修实训系列之硬盘维修与数据恢复系列 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年计算机芯片级维修实训系列之硬盘维修与数据恢复系列 .pdf(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机芯片级维修实训系列之硬盘维修与数据恢复系列三MHDD 4.6 使用方法硬盘专业检测维修软件MHDD 使用方法 1、MHDD 是俄罗斯 Maysoft 公司出品的专业硬盘工具软件,具有很多其他硬盘工具软件所无法比拟的强大功能,它分为免费版和收费的完整版,本文介绍的是免费版的详细用法。 2、MHDD 无论以 CHS 还是以 LBA模式,都可以访问到128G的超大容量硬盘(可访问的扇区范围从512 到 137438953472 ),即使你用的是 286 电脑,无需BIOS支持,也无需任何中断支持; 3、MHDD 最好在纯 DOS 环境下运行; 4、MHDD 可以不依赖于主板BIOS直接访问 I
2、DE 口,但要注意不要使用原装Intel品牌主板; 5、不要在要检测的硬盘中运行MHDD; 6、MDD 在运行时需要记录数据,因此不能在被写保护了的存储设备中运行(比如写保护的软盘、光盘等); MHDD命令详解 EXIT(热键 Alt+X ):退出到 DOS 。 ID:硬盘检测,包括硬盘容量、磁头数、扇区数、SN序列号、 Firmware固件版本号、 LBA数值、支持的 DMA 级别、是否支持 HPA 、是否支持 AAM 、SMART开关状态、安全模式级别及开关状态等)。 INIT:硬盘初始化,包括Device Reset (硬盘重置)、 Setting Drive Parameters(设定
3、硬盘参数)、 Recalibrate(重校准)。 I(热键 F2):同时执行 ID 命令和 INIT 命令。 ERASE:快速删除功能,每个删除单位等于255 个扇区(数据恢复无效)。 AERASE : 高级删除功能,可以将指定扇区段内的数据逐扇区地彻底删除(比ERASE 慢,数据恢复同样无效),每个删除单位等于1 个扇区。 HPA:硬盘容量剪切功能,可以减少硬盘的容量,使BIOS检测容量减少,但 DM 之类的独立于 BIOS检测硬盘容量的软件仍会显示出硬盘原始容量。 NHPA:将硬盘容量恢复为真实容量。 RHPA:忽略容量剪切,显示硬盘的真实容量。 CLS:清屏。 PWD:给硬盘加 USER
4、 密码,最多 32位,什么也不输入表示取消。被锁的硬盘完全无法读写,低格、分区等一切读写操作都无效。如果加密码成功,按F2键后可以看到 Security一项后面有红色的ON 。要注意,设置完密码后必须关闭电源后在开机才会使密码起作用; UNLOCK :对硬盘解锁。先选择0(USER ),再正确输入密码。注意:选择1名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 12 页 - - - - - - - - - (Master)无法解开密码。 DISPWD :解除密码,先选择0
5、(USER ),再正确输入密码。在用DISPWD 之前必须先用 UNLOCK 命令解锁。要注意,除了用 UNLOCK 和 DISPWD 命令可以解密码之外,没有任何办法可以解锁。而且一旦将密码遗忘(或输入错误),也没有任何办法可以解锁。如果解密码成功,按F2键后可以看到 Security一项后面有灰色的 OFF 。注意:选择 1(Master)无法解开密码。 RPM:硬盘转速度量(非常不准,每次测量数值都不同)。 TOF:为指定的扇区段建立映像文件(最大2G )。 FF:从映像文件(最大2G )恢复为扇区段。 AAM:自动噪音管理。可以用AAM (自动噪音管理)命令 “所听即所得 ”式的调节硬
6、盘的噪音。 按 F2 键后如果有 AAM 字样,就表示硬盘支持噪音调节。 键入 AAM 命令后,会显示出当前硬盘的噪音级别,并且可以马上就听到硬盘的读写噪音,要注意硬盘的噪音和性能是成正比的,噪音越大,性能越高,反之亦然。进入 AAM 命令后,按 0 键可以关闭 AAM 功能,按 M键可以将噪音调至最小(性能最低),按 P键可以将噪音调至最大(性能最高),按+加号和 -减号可以自由调整硬盘的噪音值(数值范围从0 到 126),按 L 键可以获得噪音和性能的中间值(对某些硬盘如果按+加号和 -减号无效,而又不想让噪音级别为最大或最小,可以按 L 键取噪音中间值),按D键表示关闭 AAM 功能,按
7、 ENTER键表示调整结束; FDISK:快速地将硬盘用 FAT32格式分为一个区(其实只是写入了一个MBR主引导记录),并设为激活,但要使用还需用FORMAT 完全格式化。 SMART :显示 SMART 参数,并可以对 SMART 进行各项相关操作。 SMART ON可以开启 SMART 功能, SMART OFF可以关闭 SMART 功能, SMART TEST可以对 SMART进行检测。 PORT(热键 Shift+F3 ):显示各 IDE 口上的硬盘,按相应的数字即可选择相应口的硬盘,之后该口会被记录在/CFG目录下的 MHDD.CFG文件中, 1 表示IDE1口主,2 表示 IDE
8、1 口从, 3 表示 IDE2口主, 4 表示 IDE2 口从,下次再进入 MHDD 后此口就成了默认口,编辑MHDD.CFG 文件改变该值就可以改变MHDD默认的检测端口。所以,如果进入MHDD 后按 F2 提示 Disk Not Ready ,就说明当前硬盘没有接在上次MHDD 默认的那个口上,此时可以使用PORT 命令重新选择硬盘(或更改 MHDD.CFG 文件)。 CX:对昆腾 CX和 LCT (包括 LA、LB、LC)系列硬盘进行寻道测试,可以考验这两类硬盘上的飞利浦TDA5247芯片的稳定性(因为质量不好的 5247 芯片在频繁寻道时最容易露出马脚)。按ESC键停止。此命令也可用在
9、其他硬盘上,它主要通过频繁随机寻道来提升硬盘电机驱动芯片的温度,从而测试硬盘在强负荷下的稳定性。 WAIT:等待硬盘就位。 STOP(热键 Shift+F4 ):关闭硬盘马达。 IBME:查看 IBM硬盘缺陷表( P-LIST)。此时要记录大量数据,缺陷表越大,生成的文件(在IBMLST目录下)越大,如果MHDD 存在软盘上的话,有可能会空间不足; FUJLST:查看富士通硬盘缺陷表(P-LIST)。此时要记录大量数据,缺陷表越大,生成的文件(在FUJLST目录下)越大,如果MHDD 存在软盘上的话,有可能会空间不足;名师资料总结 - - -精品资料欢迎下载 - - - - - - - - -
10、 - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 12 页 - - - - - - - - - MAKEBAD :人为地在某个指定区域内制造坏道。注意,由它生成的坏道很难修复。 RANDOMBAD: 随机地在硬盘的各个地方生成坏道,按 ESC键停止生成。注意,由它生成的坏道很难修复。 BATCH(热键 F5):批处理。 R(热键 F3):硬盘复位。比如使用了PWD 加密码后,为了使密码马上生效,可以用此命令。 F*U*FUJ、KILLFUJ、AKILLFUJ :都是刻意破坏富士通硬盘的命令,一定谨慎使用,否则硬盘将被彻底损坏,无法修复。某一切正常的
11、富士通硬盘,在使用 F*U*FUJ命令后,仅一、两秒种,就提示破坏成功,重新启动后,连自检动作都消失了,主板检测不到,硬盘彻底报废。 SCAN(热键 F4):盘面扫描,可以用特定模式来修复坏扇区,其中: Scan in: CHS/LBA:以 CHS 或 LBA模式扫描。 CHS 只对 500M以下的老硬盘有效。 Starting CYL:设定开始扫描的柱面。 Starting LBA:设定开始扫描的LBA值。 Log: On/Off:是否写入日志文件。 Remap: On/Off(重新映像):是否修复坏扇区。 Ending CYL:设定终止扫描的柱面 Ending LBA:设定终止扫描的LBA
12、值。 Timeout(sec):设定超时值,从1 到 200,默认值为 30。 Advanced LBA log(高级 LBA日志):此项不支持。 Standby after scan:扫描结束后关闭硬盘马达,这样即可使SCAN 扫描结束后,硬盘能够自动切断供电,但主机还是加电的(属于无人职守功能)。 Loop the test/repair:循环检测和修复,主要用于反复地修复顽固型坏道。 Erase WAITs(删除等待):此项主要用于修复坏道,而且修复效果要比REMAP 更为理想,尤其对IBM硬盘的坏道最为奏效,但要注意被修复的地方的数据是要被破坏的(因为Erase WAITS的每个删除单
13、位是 255 个扇区)。 Erase WAITS 的时间默认为 250 毫秒,数值可设置范围从10 到 10000。要想设置默认时间,可以打开 /CFG目录下的 MHDD.CFG 文件,修改相应项目即可更改Erase WAITS 数值。此数值主要用来设定MHDD 确定坏道的读取时间值(即读取某扇区块时如果读取时间达到或超过该数值,就认为该块为坏道, 并开始试图修复) ,一般情况下,不必更改此数值,否则会影响坏道的界定和修复效果。屏幕第一行的左半部分为为状态寄存器,右半部分为错误寄存器;在屏幕第一行的中间 (在 BUSY 和 AMNF 之间)有一段空白区域, 如果硬盘被加了密码,此处会显示 PW
14、D ;如果硬盘用 HPA做了剪切,此处会显示HPA ;屏幕第二行的左半部分为当前硬盘的物理参数,右半部分为当前正在扫描的位置;屏幕右下角为计时器, Start表示开始扫描的时间, Time表示已消耗的时间,End表示预计结束的时间,结束后会再显示Time Count ,表示总共耗费了多长的时间;在扫描时, 每个长方块代表 255 个扇区(在 LBA模式下)或代表 63 个扇区(在 CHS 模式下);名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 12 页 - - - -
15、- - - - - 扫描过程可随时按ESC 键终止;方块从上到下依次表示从正常到异常,读写速度由快到慢。正常情况下,应该只出现第一个和第二个灰色方块;如果出现浅灰色方块(第三个方块),则代表该处读取耗时较多;如果出现绿色和褐色方块 (第三个和第四个方块) ,则代表此处读取异常,但还未产生坏道;如果出现红色方块(第六个,即最后一个方块),则代表此处读取吃力,马上就要产生坏道;如果出现问号?,则表示此处读取错误,有严重物理坏道,无法修复。注 1: 有些读写速度奇慢的硬盘如果用MHDD 的 F4 SCAN 扫描并把 EraseWAITS打开就可以看到,要么均匀分布着很多W ,要么就是遍布着很多五颜六
16、色的方块,这说明这类硬盘之所以读写速度奇慢,就是因为大量的盘片扇区有瑕疵,造成读写每个扇区都会耗费较长的时间,综合到一起就导致了整个硬盘读写速度奇慢。注 2:老型号硬盘(2、3G以下)由于性能较低、 速度较慢, 因此在 F4 SCAN检测时很少出现第一个方块,而出现第二和第三个方块,甚至会出现第四个方块(绿色方块),这种情况是由于老硬盘读写速度慢引起的,并不说明那些扇区读写异常。在扫描时使用箭头键可以灵活地控制扫描的进程,很象VCD 播放机:快进 2% ;后退 2% ;后退 0.1%;快进 0.1%。灵活运用箭头键,可以对不稳定、坏道顽固的区段进行反复扫描和修复mhdd4.6 擦除速度到 60
17、000 的方法方法:先把待修硬盘在BIOS 里认一下,然后再进mhdd,按下 F2 会发现 “work with bios functions”。之后再行擦除,速度至少块5-6 倍,快的能到60000!而且擦除效果不使用 WinHex手工恢复 MBR 使用WinHex 手工恢分类 : 硬盘数据恢复分类: 硬恢复和软恢复。 所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据, 那么我们将它修好, 同时又保留里面的数据或后来恢复里面的数名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -
18、 - - - - - 名师精心整理 - - - - - - - 第 4 页,共 12 页 - - - - - - - - - 据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤, 而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000, 电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据, 又有各种数据恢复软件的使用方法及技巧,为我们
19、快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、 十六进制、 八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大, 而且很容易把我们绕晕。 如果你感兴趣想多了解一些, 可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR , 即主引导纪录, 位于整个硬盘的 0 柱面 0 磁道 1 扇区,共占用了 63 个
20、扇区,但实际只使用了 1 个扇区( 512字节)。在总共512字节的主引导记录中, MBR又可分为三部分: 第一部分:引导代码,占用了 446 个字节;第二部分:分区表,占用了 64 字节;第三部分: 55AA ,结束标志,占用了两个字节。后面我们要说的用 winhex 软件来恢复误分区,主要就是恢复第二部分:分区表。引导代码的作用: 就是让硬盘具备可以引导的功能。如果引导代码丢失, 分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS 下的命令: FDISK /MBR ;这个命令只是用来恢复引导代码,不会引起分区改变,丢
21、失数据。另外,也可以用工具软件,比如 DISKGEN 、WINHEX 等。但分区表如果丢失, 后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。EBR ,也叫做扩展 MBR (Extended MBR )。因为主引导记录MBR 最多只能描述 4个分区项,如果想要在一个硬盘上分多于4 个区,就要采用扩展MBR 的办法。MBR 、EBR 是分区产生的。比如 MBR 和 EBR各都占用 63 个扇区, C盘占用 1435329个扇区 那么数据结构如下表:63 1435329 63 1435329 63 1253889 MBR C盘EBR D盘EBR E盘扩
22、展分区名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 12 页 - - - - - - - - - 而每一个分区又由DBR 、FAT1 、FAT2 、DIR、DATA5 部分组成:比如 C 盘的数据结构:C 盘DBR FAT1 FAT2 DIR DATA WinhexWinhex是使用最多的一款工具软件, 是在 Windows下运行的十六进制编辑软件,此软件功能非常强大, 有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链, 能对硬盘进行不同方式不同程度的备份
23、,甚至克隆整个硬盘; 它能够编辑任何一种文件类型的二进制内容(用十六进制显示) 其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。首先要安装 Winhex,安装完了就可以启动winhex 了,启动画面如下:首先出现的是启动中心对话框。这里我们要对磁盘进行操作,就选择“打开磁盘 ”,出现 “编辑磁盘 ”对话框:这样,分区表中的第一个分区表项共十六个字节分析完毕,下面我们再来看看第二个分区表项(扩展分区)。第 1 字节 00:表示非活动分区第 5 字节 05:表示扩展分区第 9、10、11、12 字节 00 E7 15 00 :本分区之前的扇区数(扩展分区前面也就是
24、MBR 和 C盘,好像我们前面算过这个数?)同样,先将它反过来,就是00 15 E7 00 ,再转为十进制是1435392,看来我们前面真的算过这个数。第 13、14、15、16 字节 40 09 29 00 :本分区的总扇区数。也就是扩展分区的总扇区数。 转为十进制应该是2689344。想一想,用这个数加上前面的1435392,不正好是整个硬盘的总扇区数4124736吗?这样,如果分区表被破坏, 我们只要把这些数值都计算出来并填上,分区表不就恢复了?那么,这里我们为什么不分析第2、3、4 字节(本分区的起始磁头号、扇区号、柱面号)和第6、7、8 字节(本分区的结束磁头号、扇区号、柱面号)呢?
25、这是因为 C/H/S( 柱面/ 磁头/ 扇区)是老式硬盘的寻址方式, 这种寻址方式来管理硬盘效率很低;而现在几乎所有的硬盘都支持LBA(全称是 Logic Block Address,即扇区的逻辑块地址 )寻址方式, 这种管理方式简单高效。 在 LBA方式下,系统把所有的物理扇区都统一编号,按照从零到某个最大值排列, 这样只用一个序数就确定了一个唯一的物理扇区。小知识:具体一个硬盘有多少个LBA(扇区) 不需要我们去记忆,因为用各种工具软件(如 MHDD WINHEX等)都可以检测到。我们只要知道个大概就行了:如10G的硬盘大概有 2000 万个扇区; 20G的硬盘大概有 4000万个扇区;
26、40G的硬盘大概有 8000 万个扇区 那么, 2G的硬盘大概有 400万个扇区。那么,你可能要问了:如果要恢复分区表,这个起始磁头号、扇区号、柱面号还名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 12 页 - - - - - - - - - 有结束磁头号、 扇区号、柱面号应该怎么填呢?简单得很,在后面恢复分区表的时候我会告诉你,直接填,都不用计算。还有兴趣来分析一下D盘的 EBR吗?其实 D盘的 EBR和盘的 EBR我们不分析也罢,因为无非也是分区表,跟MBR的结构是
27、一样的, 但却很容易把我们绕晕, 又因为 EBR一般不容易被破坏, 所以我不建议分析 EBR 。但如果你一定要分析,那就分析吧。单击“访问”下拉按钮 “ 分区二 ”“ 分区表”,直接就到 1435392扇区,即 D盘的分区表 EBR 。第一个分区表项( D盘):第 1 个字节 00:表示非活动分区第 5 个字节 06:表示 FAT16分区第 9、10、11、12 字节 3F 00 00 00 :本分区之前已用了的扇区数,也就是EBR的数目, 63个。第 13、14、15、16 字节 C1 E6 15 00 :本分区的总扇区数,也就是D盘的扇区数,先反过来排列就是00 15 E6 C1 ,转为十
28、进制就是1435329。第二个分区表项( D盘后面的):第 1 个字节 00:表示非活动分区第 5 个字节 05:表示扩展分区第 9、10、11、12 字节 00 E7 15 00 :本分区之前已用了的扇区数,也就是D盘的 EBR加 D盘总共的大小, 63 1435329=1435392 第 13、14、15、16 字节 40 22 13 00 :本分区的总扇区数, 1253952,也就是 E盘的大小再加上一个EBR的数目。单击“访问”下拉按钮 “ 分区三 ”“ 分区表”,直接就到 2870784扇区,即 E 盘的分区表 EBR 。因为 E盘后面没有分区了,所以没有第二个分区表项。这里我们就不
29、再研究了, 有兴趣的话可以自己多备一块硬盘作从盘,然后自己分分区研究研究。通过以上的研究我们总结一下,MBR 在定义分区的时候,将多余的容量定义为扩展分区,指定该扩展分区的起止位置,根据起始位置指向硬盘的某一个扇区,作为下一个分区表项, 接着在该扇区继续定义分区,如果只有一个分区, 就定义该分区,然后结束;如果不止一个分区,就定义一个基本分区和一个扩展分区,扩展分区再指向下一个分区描述扇区,在该分区上按照上述原则继续定义分区,直至分区定义结束。 这些用来描述分区的扇区形成一个“分区链 ”,通过这个分区链,就可以描述所有的分区。 系统在启动时按照分区链的连接顺序查找分区,直至找出所有分区。 这个
30、链显然是个开链结构, 如果形成一个环, 系统本身并不会去判断它,它只是按照这个链忠实的查找分区, 而不进行任何额外的检测与处理。所谓硬盘逻辑锁, 就是让分区链形成一个环, 这样系统在启动时就在分区表内循名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 12 页 - - - - - - - - - 环,表现为系统无法引导,就是从软盘启动,也不能进入硬盘。明白了其结构原理,解决这个问题就简单了, 目前有很多种方法解决这个问题,后面我们还会讲到。系统就是利用这种方法使一个硬盘分区
31、后看起来象多个硬盘。系统能够找到C盘以外的其他逻辑盘的唯一办法就是,沿着EBR 所描述的分区链查找分区。其实,通常情况下 EBR 是不会被破坏的, 或者破坏的几率极低极低, 通常情况下,都是只有 MBR 被破坏,那么这种情况下,我们只要把MBR 的分区表 64 个字节复原,其他的分区顺着分区表所提供的链自然而然就出来了。那么,如何才能将分区表复原呢?这就要通过计算结合Winhex 强大的功能来实现了。下面我们就来模仿分区表被病毒破坏的情况,将MBR 全部填零。我们首先将MBR所在的扇区选中。鼠标指向第一个字节,单击右键,选择“选块开始 ” 然后鼠标指向 MBR 的最后一个字节,单击右键,选择“
32、选块结尾 ” 然后我们在选区内部单击鼠标右键,选择“编辑” 这样就有出来一个菜单然后我们选 “填充选块 ”,这样就出来一个填充选块对话框在“用十六进制填充 ”的输入框中输入 “00”,再点“确定” 这样 MBR 所在扇区全部被我们填充为“00” 如果想取消选区,那就用鼠标拖动随便选中一块区域, 那么原来的选区就会取消。注意,如果扇区数据被修改了而没有存盘就会变为别的颜色。修改了扇区, 这时候还没有存盘生效, 如果你想存盘生效的话, 就选择 “文件”菜单“保存扇区 ”命令。这时候就会出现一个提示, 如果你不想存盘了就点取消, 如果想存盘,就点确定,再点是。好,这样就存盘了,扇区被修改的数据又变为
33、黑色。这样我们就把分区表给删除了, 这时候必须重新启动才能生效, 如果你打开我的电脑,会发现三个分区( F 、G 、 H)还在那里,并且里面的数据还能正常使用。现在,我们关闭所有程序将电脑重新启动 经过不长时间的等待,电脑启动起来了,我们打开我的电脑看看, 发现 F 、G 、H 三个分区不见了。再打开 Winhex发现 MBR 全部为零了,下面我们就着手开始手工恢复分区表首先恢复引导代码,这最简单了,只要用Winhex 到别的系统盘把引导代码复制过来就行了。我现在的机器上不是挂着两个硬盘吗?一个迈拓2G , 一个西数 40G ,西数 40G是我的系统盘,那就从这个盘上复制就行了。单击“磁盘编辑
34、器 ”按钮出现“编辑磁盘 ”对话框名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 12 页 - - - - - - - - - 选择“HD0 WDC WD400EB-00CPF0”,点“确定” 这样我们就把系统盘的分区表给打开了,注意,现在我们是打开了两个窗口, 当前的窗口是 “硬盘 0”,在标题栏上有显示。另外,打开窗口菜单也能看出来,当前窗口被打上一个勾,如果想切换回原来的窗口,就点击“硬盘 1”。首先选中系统盘的引导代码然后在选区中单击鼠标右键,选“编辑” 又出来一
35、个菜单,然后我们选“复制选块 ”“ 正常” 然后我们切换回硬盘1 窗口,在零扇区的第一个字节处单击鼠标右键,选“编辑” 然后选 “剪贴板数据 ”“ 写入” 出现一个窗口提示,点 “确定” 这样,我们就把一个正常系统盘上的引导代码复制过来了。下面,我们就开始恢复分区表(共64 个字节,分为 4 个分区表项,每个分区表项占用 16 个字节,一般只使用前两个分区表项),我们首先来恢复第一个分区标项(也就是用来描述C盘的)。首先,在第 1 个字节处( 0 扇区倒数第五行,倒数第二个字节)填上分区引导标志,因为 C盘是活动分区,所以填上80。接着是第 2、3、4 字节(本分区起始磁头号、 扇区号、柱面号
36、),填上:01 01 00。第 5 字节是分区类型符,因为原先C盘是 Fat32 格式,所以填上: 0B。那么,如果你不知道 C盘是什么格式怎么办呢?你会说问问客户呀,那么如果他也不知道呢?别着急,后面在说恢复DBR的时候我会教你怎么分辨分区的格式。第 6、7、8 字节是本分区的结束磁头号、扇区号、柱面号,这怎么知道呢?别着急,现在的磁盘都是按照LBA方式寻址,并不按照C/H/S( 及柱面、磁头、扇区 )方式寻址,所以这个地方你填些什么一般关系不大,但是我要告诉你有一个通用的填法,那就是: FE FF FF。第 9、10、11、12字节,本分区之前已用了的扇区数,也就是MBR 所占用的扇区数,
37、那不是 63 吗?对,但是要将 63 转为十六进制数,再反过来倒着填写上。还记得怎么用计算器吗?将63 转为十六进制数是 3F,不够四个字节前面加零,也就是 00 00 00 3F ,再将此数从右向左依次序反过来就是3F 00 00 00 。第 13、14、15、16 字节是本分区的总扇区数,也就是C盘的大小,这就要通过稍微一点点计算来得到了。因为C盘是从第 63 个扇区开始,而 C盘后面紧接着的是 EBR ,所以用 EBR 所在的第一个扇区数减去63就是 C盘的大小。那么如何才能找到 EBR 所在的第一个扇区呢?我们前面说过, EBR 的结构和 MBR 是一样的,所以,EBR 的结束标志也一
38、定是55AA ,那么,只要我们找到这个结束标志,再看看这个扇区是不是EBR不就行了?单击“搜索”“ 查找十六进制数值 ” ,然后出来一个对话框在文本框中输入 “55AA ”,搜索框中选 “全部”,然后选中 “条件”,把偏移量设置为 “512=510”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 12 页 - - - - - - - - - 再单击 “确定”。画面如下:首先找到第一个 “55AA ”,我们看到,个扇区在第63 个扇区上,并不是我们要找的 EBR ,再按
39、F3继续查找又找到好几个扇区,都不是,那么下面这个扇区是不是?前面我们说过, EBR的结构和 MBR 的结构是一样的,所以在倒数第五行倒数第二个字节应该是 00 01 ,并且前 446 个字节应该是 0,显然这也不是 EBR ,继续按F3查找终于找到了真正的EBR ,在 1435392扇区。小技巧:现在的硬盘都比较大,要逐个扇区的查找55AA确实太慢了,那么有没有办法快点呢?有,那就是先问问客户C盘大概有多大,大多数客户还是知道的,比如他说 C盘大概有 10 个 G ,那么你就不要从头开始找了,因为那实在太慢了。10 个 G大概是 2000万个扇区,那么你可以用转到扇区命令直接到1900万扇区
40、,从那个地方再开始找不就省事多了。用 1435392减去 63,得到 1435329,再转为 16 进制,就是 15E6C1 ,将他倒转过来就是 C1E61500 ,这就是 C盘的大小。这样,第一个分区表项填写完毕,我们保存一下,再接着填写第二个分区表项。第二个分区表第 1 个字节:因为是非活动分区,所以写00 第 2、3、4 字节,填写 01 01 00 (通用的)第 5 字节:因为是扩展分区,所以填写0F 第 6、7、8 字节:填写 FE FF FF( 通用) 第 9、10、11、12 字节是本分区之前已用了的扇区数,应该就是C盘大小加 63,也就是 1435392,前面刚计算出来的,转为
41、十六进制数再反过来就是00 E7 15 00 第 13、14、15、16 字节是本分区的总扇区数,也就是扩展分区的总扇区数,也就是用整个硬盘的大小减去C盘的大小再减去 63,即4124736-1435329-63=2689344,转为十六进制就是290940,反过来就是40092900。这样,第二个分区表项就填写完了。不要忘了把最后的结束标志55AA填上,这样, MBR 就全恢复完了,最后,保存,再重新启动 启动完毕, 迫不及待的打开我的电脑, 发现三个分区全部又回来了, 并且里面的数据完好无损。再右击 “我的电脑 ”,选“管理” 出现一个对话框,选 “磁盘管理 ”,在右边可以看到磁盘一的三个
42、分区(Fat32 、Fat16、Ntfs) 全部都回来了,至此,手工恢复分区表顺利完成。手工恢复数据恢复成功率比较高,而且比较有趣味和挑战性, 能找回许多傻瓜似的软件所找不回来的文件, 但是要求工程师一定要有耐性, 而且一定要保持清醒,清楚自己正在操作什么, 操作完了会有什么后果, 能不能退回到上一步状态。 特别是对一些破坏性操作, 一定要考虑周到, 只要条件允许, 就一定要在操作之前进行备份,否则会造成 “血”的教训,切记!名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,
43、共 12 页 - - - - - - - - - 下面我们会说到手工恢复DBR 、FAT (此教程被收录在付费教程中),这些比手工恢复分区表还要复杂,更需要大量的计算。再说完了使用Winhex手工恢复数据之后,我们会说到一些数据恢复软件, 结合数据恢复软件会使数据恢复成功率大大提高,但有一些软件在扫描过程中会对原盘破坏数据,在使用中一定要谨慎!而且同一个软件,一个新手用和一个老手用数据恢复成功率绝对是不一样的,这些软件我们会免费赠送,绝对不会让你学习了资料却找不到软件的在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析
44、的硬盘, 迈拓 2G 。这里我们就选择打开 HD1整个硬盘,再点确定 . 然后我们就看到了Winhex的整个工作界面。最上面的是菜单栏和工具栏, 下面最大的窗口是工作区, 现在看到的是硬盘的第一个扇区的内容, 以十六进制进行显示, 并在右边显示相应的ASCII 码,右边是详细资源面板, 分为五个部分: 状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键, 可以将详细资源面板与窗口对换位置,或关闭资源面板。 (如果关闭了资源面板可以通过“察看”菜单“ 显示”命令“ 详细资源面板 ”来打开)。最下面一栏是非常有用的辅助信息,如当前扇区/ 总
45、扇区数目 等向下拉拉滚动条, 可以看到一个灰色的横杠, 每到一个横杠为一个扇区, 一个扇区共 512 字节,每两个数字为一个字节,比如00。下面我们来分析一下MBR ,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64 个字节。分区表 64 个字节,一共可以描述4 个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)每一个分区表项各占16 个字节,各字节含义如下:(H表示 16 进制)字节位置内容及含义第 1 字节 引导标志。若值为 80H表
46、示活动分区;若值为00H表示非活动分区。第 2、3、4字节本分区的起始磁头号、扇区号、柱面号第 5 字节 分区类型符:00H 表示该分区未用06H FAT16基本分区0BH FAT32基本分区05H 扩展分区07H NTFS分区0FH (LBA模式)扩展分区83H Linux 分区名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 12 页 - - - - - - - - - 第 6、7、8字节本分区的结束磁头号、扇区号、柱面号第 9、10、11、12 字节本分区之前已用了的扇区数第 13、14、15、16 字节本分区的总扇区名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 12 页 - - - - - - - - -