winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR - 图文

更新时间：2023-11-26 02:10:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

winhex数据恢复教程推荐度：
相关推荐

winhex 教程 +应用+数据恢复-Doc文件恢复-MBR、EBR、DBR 2011-07-26 17:07 转载自 thangou 最终编辑 thangou 字节位置第1字节第2、3、4字节第5字节内容及含义引导标志。若值为80H表示活动分区；若值为00H表示非活动分区。本分区的起始磁头号、扇区号、柱面号分区类型符： 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——（LBA模式）扩展分区 83H—— Linux分区第6、7、8本分区的结束磁头号、扇区号、柱面号字节第9、10、本分区之前已用了的扇区数 11、12字节第13、14、本分区的总扇区数 15、16字节 1、什么是逻辑驱动？ 2、什么是物理驱动器？ 3、怎么搜索MBR、 EBR、DBR? MBR、 EBR、DBR他们都是以55AA结尾

在winhex中搜索１６进制：55AA 偏移５１２＝５１０（１）搜索DBR的标志：

FAT16的DBR:EB 3C 90 没有备份的DBR

FAT32的DBR:EB 58 90 （备份的DBR）在该分区的第６扇区 NTFS的DBR: EB 52 90 （备份的DBR）在该分区的最后一个扇区判别MBR的方法：

MBR就在LBA第一个扇区，打开物理硬盘，第一个扇区就是了。MBR的分区表在1BE偏移往后到AA”

判别EBR的方法：

EBR的结构和MBR的结构是一样的，在倒数第五行倒数第二个字节应该是00 01，并且前446个（２）查找DBR 可以通过搜索本分区的EBR去找DBR.

可以搜索EBR,定位DBR. DBR相对于EBR后６３号扇区。

(3)当某分区的DBR坏了，就提示：未格式化这个时候用winhex打开逻辑盘，就打不开。我们只有通过打开物理驱动器，然后跳转到该分区。就可以查看DBR是否被破坏了。。。。可物理驱动器的模式是从\扇区开始描述系统

而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述). 用 winhex 做U盘免疫AUTO.INF

用WinHex制作无法修改的AutoRun.inf文件

在我们日常工作中，经常需要使用闪存（也称为U盘或者优盘）主要是AutoRun.inf文件在起作用，我统选择默认的FAT32格式即可（由于格式的通用性比较好，所以最好选择FAT32）。然后在闪存根目录下手件，然后改名为Autorun.inf就可以了。），接着打开WinHex，按下F9功能键，或者从“工具”菜单下选请确定那个闪存的盘符），定位到AutoRun.inf文件，可以看到文件名中间有一个空格，文件名的后面也有认后保存再退出就可以了。

看起来AutoRun.inf的文件名没有发生任何变化，但这个时候，任何人都不能再打开它或者修改它了。或者文件隐藏起来，使你不会每次都看见它而纳闷。

Doc文件恢复一例,(其他数据恢复

故障描述：客户从电脑拷到U盘两个Doc文件，文件名和内容都是英文的，放在U盘根目录下，当时曾刷新件不存在了。

恢复软件：EasyRecovery，FinalData ，WinHex

恢复思路：盘体正常，其他文件完好，感觉属于一般性文件丢失，用常规软件EasyRecovery，FinalData恢恢复过程：

一、用EasyRecovery恢复，过滤器用“*.doc”,搜索结果如下图：

有大量曾删除的Doc文件，经客户一一确认，没有找到要找的文件。

二、用FinalData恢复，如下图，搜索的比EasyRecovery的还要多，但同样没找到要找的文件。三、关键时刻，还得用WinHex。

1、用WinHex打开U盘，搜索Doc文件头D0CF11E0A1B11AE1，如下图：

2、再搜文件尾，如下图：

4D6963726F736F6674204F666669636520576F72642039372D3230303320CEC4B5B5000A0000004D53576F7264446

这是一个误区，我在这里耽误很多时间，细心一点你就会发现这个文件尾是用Office2007保存的Word97-2