WinHex解析RAW文件:一块硬盘突然变RAW之后
上周五快下班的时候,同事递过来一块西部数据2TB移动硬盘。插上电脑,磁盘管理里显示状态“RAW”,文件系统识别不了,双击弹出“需要格式化”。客户急得不行——里面全是施工图纸和项目照片。我没有急着点任何格式化按钮,而是直接打开了WinHex。今天的任务就是:用WinHex解析RAW文件,看看底层的真实情况。
技王数据恢复
说实话,遇到RAW盘第一反应不是数据恢复软件扫一遍,而是先看扇区布局。很多同行会直接上R-Studio,但我习惯用WinHex做第一手诊断。原因很简单:WinHex能让你看到最原始的字节,而RAW的本质就是文件系统结构被破坏,或者MBR/DBR参数出错。你猜怎么着?这次恰好是后者。 技王数据恢复
第一步:先判断故障类型
在WinHex里打开物理磁盘(注意别选逻辑驱动器,RAW盘在系统里可能会被识别为未分配空间,选物理盘更保险),直接看0号扇区。MBR还在,分区表条目也没有明显损坏,说明分区表没问题。然后跳转到分区起始扇区(比如LBA 2048),查看DBR(DOS启动记录)——等等,这里出现了一个常见失误:我一开始按常规跳到了2048,却发现那是个NTFS的$MFT镜像备份位置,结果分析半天不对。实际上这块盘的分区起始是LBA 4096,因为高级格式化硬盘(4K对齐)有时偏移会更大。判断DBR位置是解析RAW文件的关键第一步。
www.fixhdd.cn
经验教训:不要拿到盘后就默认分区起始是2048扇区。先在0扇区读取分区表,用WinHex的“分区表查看”功能(Alt+F9)计算真实起始LBA,否则可能白忙一场。
技王数据恢复
找到正确的DBR后发生了什么?
跳转到LBA 4096,一看DBR签名“EB 52 90”还在,但后面的BPB参数明显有问题——媒体描述符是0xF8没问题,但扇区数、簇大小等等完全不对。比如一个2TB的盘,BPB里总扇区数居然只有2GB的数值,很明显是BPB被改写了。这种情况下操作系统就会认为文件系统不合法,从而标成RAW。其实数据都还在,只是目录入口找不到了。 技王数据恢复
修复BPB vs 直接解析
很多人会试图修复BPB,然后让系统识别。但风险在于:如果写错一个参数,可能彻底破坏原有结构。我的习惯是——在WinHex里通过模板解析RAW文件系统,也就是手动找到MFT或FAT表,直接提取文件。 技王数据恢复
当然,如果盘是FAT32,那就找FAT表;如果是NTFS,找$MFT。你看,这一步就回到了WinHex解析RAW文件的核心:脱离操作系统对文件系统的依赖,直接从扇区层面重建目录树。 www.fixhdd.cn
实战:从RAW的NTFS分区里捞出图纸
回到这块2TB硬盘。确认是NTFS后,我直接从$MFT的起始簇入手。NTFS的$MFT位置记录在DBR的偏移0x30处。但DBR参数已经被改,怎么办?这时可以用WinHex的“搜索”功能——搜索文件记录签名“FILE”或“BAAD”。注意,如果$MFT本身也损坏,可能需要搜索“FILE0”或“FILE ”(带空格)。我尝试搜索“FILE”,结果在LBA 123456处找到了大量标记为“FILE0”的扇区。很好,$MFT没有被覆盖,只是DBR串了。 技王数据恢复
接下来利用WinHex的“数据解释器”功能,把找到的MFT条目解析出来。每个文件记录头有固定偏移,比如0x00-0x03是“FILE”签名,0x14-0x17是序列号。我按照标准NTFS结构手动填写偏移,逐个读出文件名、大小、起始簇。这个过程很繁琐,但准确。忽然想起之前处理一个类似的案例,用“技王数据恢复”工具直接扫描也成功了,但客户的文件有中文名乱码,还是靠WinHex手动修正的属性才搞定。说WinHex解析RAW文件虽然慢,但可控性最强。
- 关键步骤:找到$MFT之后,将数据保存为镜像文件(物理盘只读打开,避免二次伤害)。
- 注意事项:如果$MFT有碎片,可能需要借助WinHex的“克隆”功能先做完整镜像,再进行碎片拼接。
- 故障判断:如果DBR和MFT都不存在,那可能是物理坏道干扰,先做镜像再分析。
一个小插曲:簇大小猜错了
在解析过程中,我一开始默认簇大小是4KB(NTFS常见值),结果读出的文件内容全是乱码。然后想起来,有些2TB移动盘出厂时簇大小是8KB或16KB。于是我在WinHex里重新设置“每簇扇区数”为16(即8KB),重新加载$MFT,文件目录立刻变得正常。这个例子说明——即使你拿到正确的MFT,如果簇大小参数不对,解析也是无效的。
,WinHex解析RAW文件时,务必要先验证DBR中残留的BPB字段(即使是错的,也能给一个范围),或者通过$BITMAP文件来确定簇大小。
实际输出结果
最终我成功提取了1142个文件,包括JPG、DWG、PDF。客户验收时说图纸都是可打开的,只是文件名有些变成了乱码(因为MFT里的Unicode名称部分字节被覆盖),但内容完整。我帮客户用“技王数据恢复”的附带功能批量重命名了一部分,剩下的手动改——没办法,这就是RAW恢复的现实。
结论:WinHex是RAW文件解析的终极利器
说到底,WinHex解析RAW文件是一种底层思维:不依赖操作系统、不依赖文件系统驱动,直接面对十六进制字节。无论是MBR损坏、DBR参数错误、还是$MFT偏移错位,你都能通过手动搜索签名、分析模板来恢复。当然,这不是点一下鼠标就能完成的——需要熟悉NTFS/FAT32结构,甚至要懂一些汇编级别的标志位。但如果你认真走一遍这个过程,以后遇到任何RAW盘都不会慌了。
给我的同行一个建议:备份、备份、备份。就算你WinHex用得再溜,物理损伤的盘还是先做全镜像。今天这个案例算幸运,只是逻辑故障。如果遇到坏道成片,再神的解析也扛不住读取错误。保持冷静,一步步来,WinHex会告诉你底层真相。
