br、 ebr、dbr他們都是以55aa結尾
在winhex中搜尋16進制:55aa 偏移512=510
(1)搜尋dbr的标志:
fat16的dbr:eb 3c90 沒有備份的dbr
fat32的dbr:eb 58 90 (備份的dbr)在該分區的第6扇區
ntfs的dbr: eb52 90 (備份的dbr)在該分區的最後一個扇區
判别mbr的方法:
mbr就在lba第一個扇區,打開實體硬碟,第一個扇區就是了。mbr的分區表在1be偏移往後到1fd,共64個位元組,每項16個位元組。1fe-1ff就是“55 aa”
abc[/hide]判别ebr的方法:
ebr的結構和mbr的結構是一樣的,在倒數第五行倒數第二個位元組應該是00 01,并且前446個位元組應該是0[/hide]
(2)查找dbr 可以通過搜尋本分區的ebr去找dbr.
可以搜尋ebr,定位dbr.
dbr相對于ebr後63号扇區。
(3)當某分區的dbr壞了,就提示:未格式化
這個時候用winhex打開邏輯盤,就打不開。
我們隻有通過打開實體驅動器,然後跳轉到該分區。
就可以檢視dbr是否被破壞了。。。。
可實體驅動器的模式是從"0"扇區開始描述系統
而邏輯驅動模式是從系統的dbr開始描述系統(從第64扇區開始描述).
winhex 教程 +應用+資料恢複-doc檔案恢複-mbr、ebr、dbr
位元組位置
内容及含義
第1位元組
引導标志。若值為80h表示活動分區;若值為00h表示非活動分區。
第2、3、4位元組
本分區的起始磁頭号、扇區号、柱面号
第5位元組
分區類型符:
00h——表示該分區未用
06h——fat16基本分區
0bh——fat32基本分區
05h——擴充分區
07h——ntfs分區
0fh——(lba模式)擴充分區
83h—— linux分區
第6、7、8位元組
本分區的結束磁頭号、扇區号、柱面号
第9、10、11、12位元組
本分區之前已用了的扇區數
第13、14、15、16位元組
本分區的總扇區數
1、什麼是邏輯驅動?
2、什麼是實體驅動器?
3、怎麼搜尋mbr、 ebr、dbr?
mbr、 ebr、dbr他們都是以55aa結尾
在winhex中搜尋16進制:55aa 偏移512=510
fat16的dbr:eb 3c 90沒有備份的dbr
fat32的dbr:eb 58 90 (備份的dbr)在該分區的第6扇區
ntfs的dbr: eb 52 90 (備份的dbr)在該分區的最後一個扇區
判别ebr的方法:
ebr的結構和mbr的結構是一樣的,在倒數第五行倒數第二個位元組應該是00 01,并且前446個位元組應該是0
用 winhex 做u盤免疫auto.inf
用winhex制作無法修改的autorun.inf檔案
在我們日常工作中,經常需要使用閃存(也稱為u盤或者優盤)主要是autorun.inf檔案在起作用,我們可以使用winhex解決這一問題。首先格式化閃存,檔案系統選擇預設的fat32格式即可(由于格式的通用性比較好,是以最好選擇fat32)。然後在閃存根目錄下手工建立一個名為autorun.inf的檔案(可以建立任何一個檔案,然後改名為autorun.inf就可以了。),接着打開winhex,按下f9功能鍵,或者從“工具”菜單下選擇“磁盤編輯器”,打開需要處理的閃存(如果你插了多個,請确定那個閃存的盤符),定位到autorun.inf檔案,可以看到檔案名中間有一個空格,檔案名的後面也有一個空格,現在請将後面的空格(20)直接修改為“e5”,确認後儲存再退出就可以了。
看起來autorun.inf的檔案名沒有發生任何變化,但這個時候,任何人都不能再打開它或者修改它了。或者,也可以将“20”更改為“e2”,這樣可以将autorun.inf檔案隐藏起來,使你不會每次都看見它而納悶。
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)