数据恢复笔记 - 图文

winhex中判断 MBR DBR EBR方法

MBR、 EBR、DBR他们都是以55AA结尾在winhex中搜索16进制：55AA 偏移512＝510

判别MBR的方法：

MBR就在LBA第一个扇区，打开物理硬盘，第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD，共64个字节，每项16个字节。1FE-1FF就是“55 AA” 判别EBR的方法：

EBR的结构和MBR的结构是一样的，在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0

(1)搜索DBR的标志： FAT16的DBR:EB 3C 90 没有备份的DBR

FAT32的DBR:EB 58 90 （备份的DBR在该分区的第６扇区）

NTFS的DBR: EB 52 90 （备份的DBR在该分区的最后一个扇区）

(2)查找DBR可以通过搜索本分区的EBR去找DBR. 可以搜索EBR,定位DBR. DBR相对于EBR后63号扇区。

(3)当某分区的DBR坏了，就提示：未格式化这个时候用winhex打开逻辑盘，就打不开。

我们只有通过打开物理驱动器，然后跳转到该分区。就可以查看DBR是否被破坏了。。。。

可物理驱动器的模式是从\扇区开始描述系统

而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).

五、重建分区表

1、硬盘的容量为80GB，共有4个NTFS分区。 2、通过定位、分析MBR、EBR、DBR得到分区参数分区类型主分区 (10GB) 扩展分区 (64.5GB) 分区号分区1 分区2 分区3 分区4 容量 10GB 15 GB 40 GB 9 GB MBR(EBR) 开始扇区 0 20980890 52468290 136375785 DBR 开始扇区 63 20980953 52468353 136375848 DBR中描述的分区扇区总数 20980826 31487336 83907431 19920536 分区表中应填写的分区扇区总数 20980827 31487337 83907432 19920537 3、分区表填写主分区 (占20980827扇区) 分区1分区表第1个分区项开始扇区第1个分区项大小第2个分区项开始扇区第2个分区项 63 20980827 20980890 分区2EBR开始扇区扩展分区(占135315495扇区) 136375848+19920537-20980890=135315495 分区2分区表 63 31487337 31487400 分区3EBR-分区2EBR 分区3分区表 63 83907432 115394895 分区4EBR-分区2EBR 19920600 =63+19920537 分区4分区表 63 19920537 0 0 135315495 83907495 大小扩展分区总扇区数 =63+83907432 引导标志：若值为80H表示活动分区；若值为00H表示非活动分区起始磁头号、扇区号、柱面号：

分区表的第1个分区表项填01 01 00 (1,1,0)，其它分区表项填FE FF FF（254，63，1023）结束磁头号、扇区号、柱面号：填FE FF FF（254，63，1023）分区类型填写：

分区1分区表：第1个分区项07，第2个分区项0F 分区2分区表：第1个分区项07，第2个分区项05 分区3分区表：第1个分区项07，第2个分区项05 分区4分区表：第1个分区项07，第2个分区项05

4、当硬盘总分区数≦4个时，为了节约时间可以不重建扩展分区表键，把所有的分区都当作主分区，只需通过定位、分析MBR和DBR重建分区表即可。分区表项1 分区表项2 分区表项3 分区表项4

分区开始(DBR) 63 20980953 52468353 136375848 分区大小 20980827 31487337 83907432 19920537 分区类型 07 07 07 07 活动分区标志 80 00 00 00

数据恢复笔记 - 图文

下载：数据恢复笔记 - 图文.doc

最近浏览

最新搜索

站内搜索