BR、 EBR、DBR他们都是以55AA结尾
在winhex中搜索16进制:55AA 偏移512=510
(1)搜索DBR的标志:
FAT16的DBR:EB 3C90 没有备份的DBR
FAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区
NTFS的DBR: EB52 90 (备份的DBR)在该分区的最后一个扇区
判别MBR的方法:
MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。1FE-1FF就是“55 AA”
Abc[/hide]判别EBR的方法:
EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0[/hide]
(2)查找DBR 可以通过搜索本分区的EBR去找DBR.
可以搜索EBR,定位DBR.
DBR相对于EBR后63号扇区。
(3)当某分区的DBR坏了,就提示:未格式化
这个时候用winhex打开逻辑盘,就打不开。
我们只有通过打开物理驱动器,然后跳转到该分区。
就可以查看DBR是否被破坏了。。。。
可物理驱动器的模式是从"0"扇区开始描述系统
而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).
winhex 教程 +应用+数据恢复-Doc文件恢复-MBR、EBR、DBR
字节位置 |
内容及含义 |
第1字节 |
引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。 |
第2、3、4字节 |
本分区的起始磁头号、扇区号、柱面号 |
第5字节 |
分区类型符: 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——(LBA模式)扩展分区 83H—— Linux分区 |
第6、7、8字节 |
本分区的结束磁头号、扇区号、柱面号 |
第9、10、11、12字节 |
本分区之前已用了的扇区数 |
第13、14、15、16字节 |
本分区的总扇区数 |
1、什么是逻辑驱动?
2、什么是物理驱动器?
3、怎么搜索MBR、 EBR、DBR?
MBR、 EBR、DBR他们都是以55AA结尾
在winhex中搜索16进制:55AA 偏移512=510
(1)搜索DBR的标志:
FAT16的DBR:EB 3C 90没有备份的DBR
FAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区
NTFS的DBR: EB 52 90 (备份的DBR)在该分区的最后一个扇区
判别MBR的方法:
MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。1FE-1FF就是“55 AA”
判别EBR的方法:
EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0
(2)查找DBR 可以通过搜索本分区的EBR去找DBR.
可以搜索EBR,定位DBR.
DBR相对于EBR后63号扇区。
(3)当某分区的DBR坏了,就提示:未格式化
这个时候用winhex打开逻辑盘,就打不开。
我们只有通过打开物理驱动器,然后跳转到该分区。
就可以查看DBR是否被破坏了。。。。
可物理驱动器的模式是从"0"扇区开始描述系统
而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).
用 winhex 做U盘免疫AUTO.INF
用WinHex制作无法修改的AutoRun.inf文件
在我们日常工作中,经常需要使用闪存(也称为U盘或者优盘)主要是AutoRun.inf文件在起作用,我们可以使用WinHex解决这一问题。首先格式化闪存,文件系统选择默认的FAT32格式即可(由于格式的通用性比较好,所以最好选择FAT32)。然后在闪存根目录下手工新建一个名为AutoRun.inf的文件(可以新建任何一个文件,然后改名为Autorun.inf就可以了。),接着打开WinHex,按下F9功能键,或者从“工具”菜单下选择“磁盘编辑器”,打开需要处理的闪存(如果你插了多个,请确定那个闪存的盘符),定位到AutoRun.inf文件,可以看到文件名中间有一个空格,文件名的后面也有一个空格,现在请将后面的空格(20)直接修改为“E5”,确认后保存再退出就可以了。
看起来AutoRun.inf的文件名没有发生任何变化,但这个时候,任何人都不能再打开它或者修改它了。或者,也可以将“20”更改为“E2”,这样可以将AutoRun.inf文件隐藏起来,使你不会每次都看见它而纳闷。
