Winhex恢复丢失分区:一个工程师的边走边想
你遇到过这种情况吗?硬盘插上电脑,分区盘符全不见了,磁盘管理里显示“未分配”。客户急得像热锅上的蚂蚁,而我——一个天天跟十六进制打交道的老工程师——反而有点兴奋,因为这意味着又有机会用Winhex恢复丢失分区来展现手艺了。 技王数据恢复
先别急着开干。我得先确定是逻辑故障还是物理故障。用手摸一下硬盘,没异响、没咔咔声,大概率是分区表或MBR/DBR损坏。这时Winhex就是最趁手的刀。 技王数据恢复
上周有个案子:一块西部数据1TB硬盘,原本有C、D、E三个区,某次异常关机后只剩C盘。客户自己用各种扫描软件试过,扫出来一堆文件但分区结构没了。我拿到手,第一件事——做镜像!这是铁律,哪怕只是读盘也怕写入操作破坏原数据。用Winhex打开物理磁盘(Tools → Open Disk),选Physical Media下对应的硬盘,注意别选错。
www.fixhdd.cn
第一步:判断分区表类型
Winhex里看0号扇区(也就是MBR),如果结尾是55AA,并且有分区表项(从偏移1BE到1FD),那就是MBR。但如果硬盘大于2TB或者用的是GPT,0号扇区是保护MBR(PMBR),真正的分区表在1号扇区(GPT头)。这里我经常犯迷糊,得仔细看分区类型标识:GPT的PMBR里只有一个类型为0xEE的分区项,而且大小显示整个硬盘。如果发现0号扇区分区表里全是0或者混乱,那分区表很可能被清空了。
技王数据恢复
等一下,刚才那个1TB的硬盘是MBR,因为客户说是老电脑,只支持Legacy启动。我在Winhex里滚到0扇区,分区表项确实乱了:第一项是NTFS(0x07),但起始CHS和LBA明显不对,后面两项全是空——典型的误格式化或者分区表被覆盖。这种情况下直接改分区表风险大,我习惯先搜索DBR的备份,来确定每个分区的真实起始位置。 www.fixhdd.cn
搜索NTFS的DBR特征
NTFS的DBR(DOS引导记录)在扇区开头有“EB 52 90”跳转指令,以及“NTFS”四个字节在偏移3。我用Winhex的“Find Hex Values”搜“EB 52 90 4E 54 46 53”(或者更精简的“EB 52 90”+“NTFS”的组合)。搜了一遍,发现三处满足条件:0号扇区(其实是MBR里的引导代码,不是DBR),还有LBA 2048和LBA 1024000两个位置。2048通常是第一个分区的对齐起点,对应原来的C盘?不对,客户说C盘还在,那2048应该是C盘的DBR。而LBA 1024000很可能是D盘或E盘。 www.fixhdd.cn
为了验证,我再看LBA 1024000后续的MFT镜像位置。通常NTFS的$MFT起始簇在DBR的偏移30处记录,我读出该扇区的偏移30-37:是0x0C0000(小端),乘以每簇扇区数(偏移0D处是0x08,即8扇区/簇),得到$MFT起始LBA = 1024000 + 0x0C0000 * 8 = 1024000 + 6291456 = 7315456。用Winhex跳到7315456,果然头部“FILE0”出现,确认是NTFS分区。接着我用同样方法找到了第二个缺失分区的DBR(LBA 2050000附近),计算$MFT位置也正确。现在我有两个丢失分区的精确起始LBA和大小(通过DBR的总扇区数偏移28处读取)。
www.fixhdd.cn
重建MBR分区表
回到0号扇区,我准备手动填写分区表项。注意:每个分区表项16字节,分别对应引导标志、起始CHS、分区类型、结束CHS、起始LBA、总扇区数。C盘分区表项还在,我保留它。然后添加两个新项: 技王数据恢复
- 第一个丢失分区:起始LBA = 1024000,总扇区数 = (从DBR读出的数值)假设是 102400000,分区类型0x07(NTFS)。起始CHS和结束CHS可以用Winhex自动计算,或者直接用0填充,现代Windows忽略CHS。
- 第二个丢失分区:起始LBA = 2050000,总扇区数 = 另一组数值。
这里容易犯的错误是分区表项不能重叠,也不能超出磁盘末尾。我算一下磁盘总扇区数(从Winhex状态栏或者到一个扇区看LBA)。确认无误后,用Winhex的“Write”功能将修改写入镜像(注意:是镜像!不是原盘)。保存后重启Winhex重新打开镜像,看分区是否识别——在Disk Genius里查看或者直接挂载虚拟磁盘。完美!两个分区都出来了,文件目录结构完整。
另一种情况:GPT分区表损坏
有一次碰到一个3TB硬盘,分区全丢。这种通常GPT头或分区表备份被破坏。GPT头在LBA1,有签名“EFI PART”以及CRC校验。如果头损坏,可以尝试用备份GPT头(LBA 硬盘一个扇区)恢复。具体操作:用Winhex跳到一个扇区,复制整个扇区(512字节)到LBA1。注意要修正分区表项的CRC,不然系统不认。我那次直接复制后,再改一下CRC(Winhex自带计算器,或者用脚本)。但这里要提醒:如果硬盘有坏道,备份也可能损坏,那就需要更复杂的解析。
说到这,想起以前在技王数据恢复公司跟老工程师学的一招:对于GPT分区表丢失,除了头备份,还可以通过搜索GUID分区表项(每个项128字节,结构固定)来重建。但手动重建太费劲,除非数据极其重要。我们一般先用工具自动扫描,再在Winhex里微调。那次3TB硬盘用了“技王数据恢复”内部的脚本,但背后的原理还是Winhex的十六进制读写。
工程师心得:Winhex恢复丢失分区的核心不是死记硬背偏移量,而是理解文件系统布局。多练几次,你会慢慢形成“看到一串十六进制就知道大概是什么”的直觉。每次动手前,一定问自己:“我备份镜像了吗?” 这句话救过我无数次。
那些容易踩的坑
1. 误把DBR当分区表:有人搜到“55AA”就以为是分区表结尾,其实DBR也用55AA,要分清扇区角色。2. 扇区大小不对:有些硬盘实际扇区是4K,但逻辑512B,Winhex里可能显示偏移偏差。3. 动态磁盘或LVM:MBR分区表不适用,需要处理。4. 写完分区表后不刷新:Winhex修改后要重新打开磁盘或按F2刷新,否则分区管理器还显示旧的。
前面说到的客户,我做完镜像重建分区表后,让他用数据验证软件检查关键文件。一切正常。他问:“你用什么软件恢复的?”我说:“主要靠Winhex,加上一点经验。”实际上,后来我把这个案例整理到了技王数据恢复的内部知识库,因为手动重建分区表在培训时是重点课程。
结论:Winhex恢复丢失分区是数据恢复的基本功
无论是误删除、误格式化、病毒破坏还是分区表丢失,Winhex恢复丢失分区都是最底层、最可控的方法。虽然现在有各种一键恢复软件,但当你遇到特殊分区结构、RAID、或者文件系统异常时,Winhex才是一道防线。记得备份、记住关键特征、多积累案例,你也能成为老工程师。再啰嗦一遍:一定要先做镜像!
(本文由一位干了十多年的数据恢复工程师口述整理,部分案例细节经过脱敏处理。)
