797
winhex中判斷+MBR+DBR+EBR方法
BR、 EBR、DBR他們都是以55AA結尾
在winhex中搜索16進製:55AA 偏移512=510
(1)搜索DBR的標誌:
FAT16的DBR:EB 3C90 沒有備份的DBR
FAT32的DBR:EB 58 90 (備份的DBR)在該分區的第6扇區
NTFS的DBR: EB52 90 (備份的DBR)在該分區的最後一個扇區
判別MBR的方法:
MBR就在LBA第一個扇區,打開物理硬盤,第一個扇區就是了。MBR的分區表在1BE偏移往後到1FD,共64個字節,每項16個字節。1FE-1FF就是“55 AA”
Abc[/hide]判別EBR的方法:
EBR的結構和MBR的結構是一樣的,在倒數第五行倒數第二個字節應該是00 01,並且前446個字節應該是0[/hide]
(2)查找DBR 可以通過搜索本分區的EBR去找DBR.
可以搜索EBR,定位DBR.
DBR相對於EBR後63號扇區。
(3)當某分區的DBR壞了,就提示:未格式化
這個時候用winhex打開邏輯盤,就打不開。
我們隻有通過打開物理驅動器,然後跳轉到該分區。
就可以查看DBR是否被破壞了。。。。
可物理驅動器的模式是從"0"扇區開始描述係統
而邏輯驅動模式是從係統的DBR開始描述係統(從第64扇區開始描述).
winhex 教程 +應用+數據恢複-Doc文件恢複-MBR、EBR、DBR
字節位置 | 內容及含義 |
第1字節 | 引導標誌。若值為80H表示活動分區;若值為00H表示非活動分區。 |
第2、3、4字節 | 本分區的起始磁頭號、扇區號、柱麵號 |
第5字節 |
分區類型符: 00H——表示該分區未用 06H——FAT16基本分區 0BH——FAT32基本分區 05H——擴展分區 07H——NTFS分區 0FH——(LBA模式)擴展分區 83H—— Linux分區 |
第6、7、8字節 | 本分區的結束磁頭號、扇區號、柱麵號 |
第9、10、11、12字節 | 本分區之前已用了的扇區數 |
第13、14、15、16字節 | 本分區的總扇區數 |
1、什麼是邏輯驅動?
2、什麼是物理驅動器?
3、怎麼搜索MBR、 EBR、DBR?
MBR、 EBR、DBR他們都是以55AA結尾
在winhex中搜索16進製:55AA 偏移512=510
(1)搜索DBR的標誌:
FAT16的DBR:EB 3C 90沒有備份的DBR
FAT32的DBR:EB 58 90 (備份的DBR)在該分區的第6扇區
NTFS的DBR: EB 52 90 (備份的DBR)在該分區的最後一個扇區
判別MBR的方法:
MBR就在LBA第一個扇區,打開物理硬盤,第一個扇區就是了。MBR的分區表在1BE偏移往後到1FD,共64個字節,每項16個字節。1FE-1FF就是“55 AA”
判別EBR的方法:
EBR的結構和MBR的結構是一樣的,在倒數第五行倒數第二個字節應該是00 01,並且前446個字節應該是0
(2)查找DBR 可以通過搜索本分區的EBR去找DBR.
可以搜索EBR,定位DBR.
DBR相對於EBR後63號扇區。
(3)當某分區的DBR壞了,就提示:未格式化
這個時候用winhex打開邏輯盤,就打不開。
我們隻有通過打開物理驅動器,然後跳轉到該分區。
就可以查看DBR是否被破壞了。。。。
可物理驅動器的模式是從"0"扇區開始描述係統
而邏輯驅動模式是從係統的DBR開始描述係統(從第64扇區開始描述).
用 winhex 做U盤免疫AUTO.INF
用WinHex製作無法修改的AutoRun.inf文件
在我們日常工作中,經常需要使用閃存(也稱為U盤或者優盤)主要是AutoRun.inf文件在起作用,我們可以使用WinHex解決這一問題。首先格式化閃存,文件係統選擇默認的FAT32格式即可(由於格式的通用性比較好,所以最好選擇FAT32)。然後在閃存根目錄下手工新建一個名為AutoRun.inf的文件(可以新建任何一個文件,然後改名為Autorun.inf就可以了。),接著打開WinHex,按下F9功能鍵,或者從“工具”菜單下選擇“磁盤編輯器”,打開需要處理的閃存(如果你插了多個,請確定那個閃存的盤符),定位到AutoRun.inf文件,可以看到文件名中間有一個空格,文件名的後麵也有一個空格,現在請將後麵的空格(20)直接修改為“E5”,確認後保存再退出就可以了。
看起來AutoRun.inf的文件名沒有發生任何變化,但這個時候,任何人都不能再打開它或者修改它了。或者,也可以將“20”更改為“E2”,這樣可以將AutoRun.inf文件隱藏起來,使你不會每次都看見它而納悶。
最後更新:2017-04-03 05:40:06