最新消息:

<转>用WINHEX手动查找分区表的尝试

数据恢复 大步 1209浏览 0评论
前言: 以前查找分区表,恢复分区表都是用DISKGEN。简单一点的分区表重建还是很不错的,但复杂情况的恢复一直没有什么心得。并且DISKGEN搜索分区表毕竟是软件自动为主,而自己掌握的分区表知识并没有找到可以让DISKGEN加速搜索的目的。
学习分区表知识,一定要学会使用WINHEX,借助WINHEX,手动查找恢复分区表,才能让知识真正成为自己的。
手头上有一个HP的MINI110 笔记本,带有XP正版系统,品牌机一般来说,带有正版系统的机器一般都会有一个专门的恢复分区,HP的一般都是在硬盘的最后面空间划分一个分区做为恢复分 区,前面一大块分一个大区,为系统分区。查看了一下机器当前的分区情况,为CDEF,四个分区,用户已经重新分区并重装系统了,原来的恢复分区肯定是没有 了。另外,原来是否有恢复分区,现在也无法确定。

正题:现在有一个很不错的实验学习环境。重新分区并重装系统,已经无法知道原来的分区状况,通过实验尝试恢复原来的恢复分区。

方法:采取从硬盘后面往前面查找关键字的方法来尝试搜索恢复分区。

用WINHEX打开硬盘,直接定位到硬盘的最后一个扇区,然后,搜索十六进制数值55AA,偏移位置512字节为单位的510字节。 从当前位置向上面(前面)搜索。

过一会儿找到了55AA,查看扇区数据,是NTFS的DBR扇区描述。直接应用摸板查看数据。分析如下:
隐藏扇区数 2048
扇区总数 312558591
上面是两个关键的数值,我们来分析一下,整个硬盘总的扇区数是312581808,而当前我们所在的扇区(DBR)位置是312560639
312581808-312560639=21169剩余扇区数
21169*512/1024/1024=10.33642578125 M

也就是说整个硬盘的扇区总数减去DBR当前所在扇区,剩余的扇区数为21169,大约10.3M,而上面DBR描述的分区大小为312558591,由此可以推定该DBR扇区应该为NTFS的备份DBR
当前DBR所在位置 312560639-312558591=2048正好对应上面的隐藏扇区数2048。继续推测,这是一个开始于2048扇区,大小为312558591的NTFS分区,几乎占用了整个硬盘的所有扇区,未占用的扇区容量为10M多一点。

如果以上推论成立,那么原来的分区状况就是只有一个大分区,开始于2048扇区,大小为312558591.

相关图片请查看附件。

转用WINHEX手动查找分区表的尝试 - ksharp_dabu - ksharp_dabu的博客

转用WINHEX手动查找分区表的尝试 - ksharp_dabu - ksharp_dabu的博客

转用WINHEX手动查找分区表的尝试 - ksharp_dabu - ksharp_dabu的博客

 

转用WINHEX手动查找分区表的尝试 - ksharp_dabu - ksharp_dabu的博客

 

 

转载请注明:大步's Blog » <转>用WINHEX手动查找分区表的尝试

SiteMap