winhex中判断 MBR DBR EBR方法
MBR、 EBR、DBR他们都是以55AA结尾 在winhex中搜索16进制:55AA 偏移512=510
判别MBR的方法:
MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。1FE-1FF就是“55 AA” 判别EBR的方法:
EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0
(1)搜索DBR的标志: FAT16的DBR:EB 3C 90 没有备份的DBR
FAT32的DBR:EB 58 90 (备份的DBR在该分区的第6扇区)
NTFS的DBR: EB 52 90 (备份的DBR在该分区的最后一个扇区)
(2)查找DBR可以通过搜索本分区的EBR去找DBR. 可以搜索EBR,定位DBR. DBR相对于EBR后63号扇区。
(3)当某分区的DBR坏了,就提示:未格式化 这个时候用winhex打开逻辑盘,就打不开。
我们只有通过打开物理驱动器,然后跳转到该分区。 就可以查看DBR是否被破坏了。。。。
可物理驱动器的模式是从\扇区开始描述系统
而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).
五、重建分区表
1、硬盘的容量为80GB,共有4个NTFS分区。 2、通过定位、分析MBR、EBR、DBR得到分区参数 分区类型 主分区 (10GB) 扩展分区 (64.5GB) 分区号 分区1 分区2 分区3 分区4 容量 10GB 15 GB 40 GB 9 GB MBR(EBR) 开始扇区 0 20980890 52468290 136375785 DBR 开始扇区 63 20980953 52468353 136375848 DBR中描述的分区扇区总数 20980826 31487336 83907431 19920536 分区表中应填写的 分区扇区总数 20980827 31487337 83907432 19920537 3、分区表填写 主分区 (占20980827扇区) 分区1分区表 第1个分区项 开始扇区 第1个分区项 大小 第2个分区项 开始扇区 第2个分区项 63 20980827 20980890 分区2EBR开始扇区 扩展分区(占135315495扇区) 136375848+19920537-20980890=135315495 分区2分区表 63 31487337 31487400 分区3EBR-分区2EBR 分区3分区表 63 83907432 115394895 分区4EBR-分区2EBR 19920600 =63+19920537 分区4分区表 63 19920537 0 0 135315495 83907495 大小 扩展分区总扇区数 =63+83907432 引导标志:若值为80H表示活动分区;若值为00H表示非活动分区 起始磁头号、扇区号、柱面号:
分区表的第1个分区表项填01 01 00 (1,1,0),其它分区表项填FE FF FF(254,63,1023) 结束磁头号、扇区号、柱面号:填FE FF FF(254,63,1023) 分区类型填写:
分区1分区表:第1个分区项07,第2个分区项0F 分区2分区表:第1个分区项07,第2个分区项05 分区3分区表:第1个分区项07,第2个分区项05 分区4分区表:第1个分区项07,第2个分区项05
4、当硬盘总分区数≦4个时,为了节约时间可以不重建扩展分区表键,把所有的分区都当作主分区,只需通过定位、分析MBR和DBR重建分区表即可。 分区表项1 分区表项2 分区表项3 分区表项4
分区开始(DBR) 63 20980953 52468353 136375848 分区大小 20980827 31487337 83907432 19920537 分区类型 07 07 07 07 活动分区标志 80 00 00 00