计算机检测维修与数据恢复（上册）课件 任务2 MBR磁盘分区恢复.pptx

子任务1利用WinHex读取MBR分区表参数任务2MBR磁盘分区恢复项目6磁盘分区恢复

01利用Winhex直接和数据解释器读取MBR分区表参数02利用Winhex直接和数据解释器读取EBR分区表参数03利用Winex直接和数据解释器读取各分区DBR参数目录contents

利用Winhex直接和数据解释器读取MBR分区表参数01

任务实施1（一）利用Winhex直接和数据解释器读取MBR分区表参数（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：读取和记录MBR分区表参数

一步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“6任务2-1-1.vhd”，然后转到电脑桌面，以管理员身份运行Winhex，弹出Winhex界面，点击“打开磁盘”功能按键，弹出“选择磁盘”窗口，选择物理驱动器“HD1”，点击“确定”，在驱动器窗口显示该硬盘信息，此虚拟磁盘共分有3个主分区，2个逻辑分区。如图6-25所示。利用Winhex直接和数据解释器读取MBR分区表参数图6-25Winhex驱动器窗口信息（6任务2-1-1.vhd）

一步骤二：读取和记录MBR分区表参数（一）活动分区类型参数在编辑窗口中，显示的是0扇区MBR，偏移0XBE?0XFD是MBR分区表区域。在MBR分区表中，“活动分区类型”的偏移分别是0XBE、0XCE、0XDE、0XEE,直接读取对应的值分别为0X80、0X00、0X00、0X00，0X80表示是活动分区，0X00表示是非活动分区。如图6-26所示。利用Winhex直接和数据解释器读取MBR分区表参数图6-26Winhex编辑窗口信息“活动分区类型”图

一步骤二：读取和记录MBR分区表参数（二）读取分区类型参数4个分区类型的偏移分别是0XC2、0XD2、0XE2、0XF2，直接读取对应的值分别为0X07、0X07、0X0C、0X0F，0X07表示分区1、2是NTFS类型主分区，0X0C表示分区3是FAT32类型主分区，0X07表示最后一分区是扩展分区，其管理2个逻辑分区（分区4和分区5）。如图6-27所示。利用Winhex直接和数据解释器读取MBR分区表参数图6-27Winhex编辑窗口信息（分区类型）图

一步骤二：读取和记录MBR分区表参数（三）读取分区第一扇区1.启用“数据解释器”点击Winhex“查看”菜单，弹出下拉菜单，移动鼠标光标至“显示”，弹出其下拉菜单，光标再移到“数据解释器”，如图6-28所示。利用Winhex直接和数据解释器读取MBR分区表参数图6-28Winhex“查看”-“显示”-“数据解释器”菜单图（二）读取分区第一扇区2.修改“数据解释器”的解释方式方法若需要修改某个参数的解释方式方法，用右键点击其数值，弹出解释方式方法下拉菜单，点击选择所要的解释方式方法就可以了。比如右键点数据解释器32Bit上的数值（63）处，弹出“解释方式方法”菜单，光标移到“插入Unicode控制字符”，继续弹出下拉菜单，光标移到想要选的“LRM”,点击它就可以了，如图6-30所示。图6-30Winhex“数据解释器”解释方式方法下拉菜单

一步骤二：读取和记录MBR分区表参数（三）读取分区第一扇区3.修改“数据解释器”选项若需要增减解释选项，点击“选项”菜单，弹出下拉菜单，光标移到“数据解释器”，点击“数据解释器”，弹出“数据解释器”选项对话框，勾选所需选项，比如选定“64bit，有符号的”，如图6-31所示。利用Winhex直接和数据解释器读取MBR分区表参数图6-31Winhex“数据解释器”选项对话框（二）读取分区第一扇区4.利用数据解释器来读取各分区第一扇区4个分区分区的第一扇区（在整盘内）的偏移分别是0XC6?9、0XD6?9、0XE6?9、0XF6?9，每个占32Bit（4字节），直接读取对应的值分别为0X3F、0XC80343F、0X1900687E、0X25809CBD，这几个数是按照小端字节位存储的，高位的字节出现在低位，没有特别说明的，都是这种小端，如图6-32所示。图6-32Winhex编辑窗口信息（分区表各分区第一扇区）图

一步骤二：读取和记录MBR分区表参数（三）读取分区第一扇区3.修改“数据解释器”选项若需要增减解释选项，点击“选项”菜单，弹出下拉菜单，光标移到“数据解释器”，点击“数据解释器”，弹出“数据解释器”选项对话框，勾选所需选项，比如选定“64bit，有符号的”，如图6-31所示。利用Winhex直接和数据解释器读取MBR分区表参数图6-31Winhex“数据解释器”选项对话框（二）读取分区第一扇区4.利用数据解释器来读取各分区第一扇区4个分区分区的第一扇区（在整盘内）的偏移分别是0XC6?9、0XD6?9、0X