工具

Winhex
Beyond Compare
Kalkules
www.google.com
互聯(lián)網(wǎng)
耐心

不想閱讀長(zhǎng)篇大論的直接跳到結(jié)尾 不花錢(qián)恢復(fù)數(shù)據(jù) 那里，有好東西可以拿。

軟件是人設(shè)計(jì)的，所以軟件要比人傻得多。比如恢復(fù)數(shù)據(jù)，winhex手工恢復(fù)絕對(duì)是一流技術(shù)，軟件做得到嗎

做不到我跟你講！

前奏

一個(gè)扇區(qū)=512字節(jié)=winhex橫線隔間=offset 1FF
一個(gè)字節(jié)=8bit=2x4bit=2個(gè)16進(jìn)制數(shù)

硬盤(pán)物理結(jié)構(gòu)就不詳細(xì)描述了，大概就是扇面，柱面，磁道這些，類(lèi)似（0,0,1）三維坐標(biāo)確定一個(gè)物理存儲(chǔ)位置。
而操作系統(tǒng)將硬盤(pán)存儲(chǔ)虛擬成一個(gè)連續(xù)完整的整體，隱藏復(fù)雜結(jié)構(gòu)。。
winhex對(duì)應(yīng)下，0X連續(xù)單元為0000000000-..從左到右閱，從上到下閱讀

安全注意！入門(mén)Winhex最好不要用實(shí)際磁盤(pán)操作，閱讀分析則無(wú)關(guān)，記得調(diào)編輯模式。沒(méi)有熟悉經(jīng)驗(yàn)下直接操作物理硬盤(pán)的我敬你是大哥。

在新一代的MBR分區(qū)結(jié)構(gòu)下，現(xiàn)有網(wǎng)上的winhex結(jié)構(gòu)分析存在很多錯(cuò)誤。原因是硬盤(pán)邏輯已經(jīng)更新了，不再是起始扇區(qū)占64扇區(qū)，而是2048個(gè)扇區(qū)。如下圖

2048扇區(qū)(起始扇區(qū))-分區(qū)容量1(尾部55AA于852500479扇區(qū))-2048扇區(qū)(分區(qū)間隙)-分區(qū)容量2-...
資源管理器容量=（分區(qū)容量扇區(qū)數(shù)-8個(gè)扇區(qū)）*512bit/扇區(qū)

新一代硬盤(pán)邏輯結(jié)構(gòu)

構(gòu)建虛擬硬盤(pán)文件來(lái)分析

vhd

創(chuàng)建VHD即可

分析

未初始化硬盤(pán)全0000..
初始化后扇區(qū)1均完成，以55AAH結(jié)束

初始化后扇區(qū)1

新建卷分區(qū)，未格式化時(shí),0X000-1BD均不變，引導(dǎo)作用，1BE以下是重點(diǎn)關(guān)注地方。

扇區(qū)1比較

區(qū)分MBR，DBR，EBR

網(wǎng)上的教程很多都是你抄我我抄你的，要不就是胡亂編寫(xiě)一通，把DBR寫(xiě)作MBR層出不窮。
結(jié)構(gòu)來(lái)自前面的圖：新一代硬盤(pán)邏輯結(jié)構(gòu)
主引導(dǎo)MBR是起始扇區(qū)中第一扇區(qū)的。00000001BE-00000001FF

主引導(dǎo)

第1字節(jié)(也就是1BD+1，以下類(lèi)推)
引導(dǎo)標(biāo)志。若值為80H表示活動(dòng)分區(qū)；若值為00H表示非活動(dòng)分區(qū)。
第2、3、4字節(jié)
本分區(qū)的起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)
第5字節(jié)
分區(qū)類(lèi)型符：
00H——表示該分區(qū)未用
06H——FAT16基本分區(qū)
0BH——FAT32基本分區(qū)
05H——擴(kuò)展分區(qū)
07H——NTFS分區(qū)
0FH——（LBA模式）擴(kuò)展分區(qū)
83H—— Linux分區(qū)
第6、7、8字節(jié)
本分區(qū)的結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)
第9、10、11、12字節(jié)
本分區(qū)之前已用了的扇區(qū)數(shù)
第13、14、15、16字節(jié)
本分區(qū)的總扇區(qū)數(shù)
計(jì)算實(shí)例：
第9、10、11、12字節(jié) 系統(tǒng)隱含扇區(qū)00 08 00 00：所謂系統(tǒng)隱含扇區(qū)就是本分區(qū)（C盤(pán)）之前已用了的扇區(qū)數(shù)，這是一個(gè)十六進(jìn)制數(shù)，但要注意：真正的隱含扇區(qū)數(shù)應(yīng)該反過(guò)來(lái)填寫(xiě)（比如：隱含扇區(qū)數(shù)為3E 4D 5A 6F，則反過(guò)來(lái)就是6F 5A 4D 3E ，這才是實(shí)際的隱含扇區(qū)數(shù)）。那么，3F 00 00 00反過(guò)來(lái)寫(xiě)就是00 00 003F，也就是3F，將他轉(zhuǎn)成十進(jìn)制數(shù)我們才能知道實(shí)際的隱含扇區(qū)數(shù)是多大。這可以使用計(jì)算器來(lái)算，推薦Kalkules。

藍(lán)色，看清楚了嗎

資源管理器容量

1CA-1CD:第一主分區(qū)
0X32d01800=852498432
852498432*512=436 479 197 184
與資源管理器容量相差（多）4096字節(jié)，8個(gè)扇區(qū)

重點(diǎn)：
28A03002h+4BD037FEh= 1 953 523 712
是最后一個(gè)分配的邏輯分區(qū)的尾部
J盤(pán)尾部

MBR只能容納4個(gè)主分區(qū)，
主分區(qū)-主分區(qū)-主分區(qū)-主分區(qū)
那我們可以從其中任意一個(gè)分區(qū)建立邏輯分區(qū)，按指針式遞進(jìn)，就變成了
主分區(qū)-主分區(qū)-【邏輯分區(qū)——>邏輯分區(qū)——>邏輯分區(qū)——>邏輯分區(qū)——>邏輯分區(qū)——>邏輯分區(qū)。。。。】-主分區(qū)

https://blog.csdn.net/u011164819/article/details/50501743

$Boot or DBR

DBR存在于各個(gè)分區(qū)第一個(gè)扇區(qū)。
http://www.blogfshare.com/detail-ntfs-filesys.html

分區(qū)DBR

Winhex模板可以加載DBR

需要關(guān)注的有幾個(gè)

紅色標(biāo)注的

各分區(qū)DBR主要差異

可以發(fā)現(xiàn)，一個(gè)分區(qū)頭部和尾部完全一致

分區(qū)有DBR備份功能

刪除分區(qū)后，變動(dòng)的主要有兩個(gè)地方：
扇區(qū)1（MBR）恢復(fù)到和原先創(chuàng)始?jí)嚎s之后一樣；
該分區(qū)頭部被注入000...

不小心刪除分卷的恢復(fù)辦法：
到第一扇區(qū)（MBR）修改第5字節(jié)為07H（NTFS）
拉到被刪除分卷尾部，復(fù)制該一個(gè)扇區(qū)，DBR到前部，寫(xiě)入
在原可用空間上建立新分區(qū)，并且一定不要格式化下建立新分區(qū)，這樣容量就能自動(dòng)分配在MBR。
如果格式化可能破壞$MFT，那手動(dòng)修復(fù)就非常麻煩，最好軟件修復(fù)。
如果不加載，就脫機(jī)再聯(lián)機(jī)。

關(guān)于MFTMirr是非常復(fù)雜的，手工修復(fù)很麻煩。

文件加載

文件初探索：

網(wǎng)上說(shuō)直接通過(guò)搜索關(guān)鍵字的十六進(jìn)制Unicode是很不靠譜的，花費(fèi)時(shí)間精力大，而且只能對(duì)txt等直接存儲(chǔ)的數(shù)據(jù)有效。
docx實(shí)際上是zip打包文件，其中文本內(nèi)容存儲(chǔ)在\word\document.xml下，經(jīng)過(guò)一次zip加密，呵呵，想手工直接搜索，沒(méi)門(mén)
Docx恢復(fù)技術(shù)：
被徹底刪除的docx一般可以直接winhex找回
如果另存為替換Docx，被覆蓋一次仍會(huì)在窗口中顯示，后綴為tmp
替換更新第二次之后，仍存在與硬盤(pán)中，但是窗口不顯示

Txt另存為替換則會(huì)重新寫(xiě)入原EA，要恢復(fù)估計(jì)得靠物理手段了。
比如弱磁技術(shù)
硬盤(pán)銷(xiāo)毀一般要多次復(fù)寫(xiě)，30次以上絕無(wú)恢復(fù)可能。
比如你把硬盤(pán)拿給FBI說(shuō)這里面有機(jī)密資料，估計(jì)FBI可以一路還原到出廠的所有數(shù)據(jù)（笑）

不花錢(qián)恢復(fù)數(shù)據(jù)：

免費(fèi)難出好貨，如果不小心硬盤(pán)出了各種問(wèn)題，又不想花錢(qián)恢復(fù)數(shù)據(jù)，當(dāng)你滿頭大汗去找網(wǎng)上的數(shù)據(jù)恢復(fù)軟件時(shí)，一般會(huì)發(fā)現(xiàn)便宜的幾乎沒(méi)什么用，付費(fèi)的找到的破解版很多都是假的（比如某某recovery，看一下exe的簽名就知道是官方的了，掃描文件試用，要恢復(fù)，對(duì)不起，打錢(qián)）。具體什么原因，為了人身安全我就不說(shuō)具體是哪家公司了，我怕收到律師函（笑），請(qǐng)翻到最后兩張圖。

但是秉著造福大眾的XX，我還是選擇了分享。
用BaiduPCS-Go秒傳的方法分享一下兩個(gè)恢復(fù)數(shù)據(jù)的軟件，如果不懂怎么用，點(diǎn)擊
http://www.itdecent.cn/p/8396a982e748
或者https://github.com/iikira/BaiduPCS-Go
下面兩個(gè)軟件我推薦的是第一個(gè)：
保存：

BaiduPCS-Go ru -length=22348040 -md5=4e2c96bf379313effba36e720c222378 "/Data.Recovery.7.0.0.2.rar"
BaiduPCS-Go ru -length=24978990 -md5=7ed028442340de7ee6644c3a3765cde5 "/Ontrack家的軟件.rar"

下載：

BaiduPCS-Go d "/Data.Recovery.7.0.0.2.rar"
BaiduPCS-Go d "/Ontrack家的軟件.rar"

關(guān)于某數(shù)據(jù)恢復(fù)軟件

關(guān)于某公司