winhex 扫描丢失的分区:一个不敢完全相信工具的恢复过程
说实话,上周有个客户抱着一块2TB的西数黑盘过来,说分区突然变成了“未分配”。我第一反应不是直接拿winhex扫,而是先问:你动过分区表吗?客户说没有,就是开机进不了系统,用PE一看,整个盘空了。我心里咯噔一下——这种场景,十有八九是分区表损坏或者MBR被盖了。但也不能排除是硬盘物理坏道导致的分区信息读取失败。,我决定用winhex 扫描丢失的分区来快速定位。
www.fixhdd.cn
但别急,直接扫?不,得先看。打开winhex,加载磁盘,先看一眼MBR区域:55 AA还在,但分区表项全部是零。这个情况太典型了——分区表被清空,但DBR扇区很可能还活着。于是我才正式开始winhex 扫描丢失的分区,进入“工具”->“磁盘工具”->“扫描丢失的分区”。注意,这一步,很多人急着点“搜索”,结果扫出来一堆假分区,浪费时间。 技王数据恢复
扫描前的判断:先别让工具牵着鼻子走
扫描前,我通常会做两件事:第一,去0扇区看MBR/EBR链是否完整;第二,跳到63号扇区(旧式对齐)或者2048扇区(现代对齐)看一眼,如果那里有NTFS的DBR标志“EB 52 90”,那基本可以确认分区没有被删除,只是分区表丢了。上面那个客户的盘,我跳到2048扇区,直接看到“EB 52 90”和后面的NTFS字符串,心里就有底了。 技王数据恢复
一个常见误区:很多人用winhex 扫描丢失的分区时,把“搜索条件”设得太大,比如搜“55 AA”这种,结果扫出来几百个疑似分区,其实是误判。正确做法是先确定文件系统格式,NTFS就搜“EB 52 90”,FAT32就搜“EB 3C 90”或者“EB 58 90”。
扫描参数设置:官方教程不会告诉你的细节
在winhex里,“扫描丢失的分区”对话框有一个“类型”下拉,默认是“所有已知文件系统”。我通常改成“NTFS”或者“FAT32”来减少干扰。还有一个关键参数:对齐扇区大小。对于现在的大硬盘,2048扇区对齐最普遍,但老盘可能是63扇区对齐。如果不确定,就勾选“自动检测对齐”,虽然慢一点,但准。那次扫描,自动检测花了大概40分钟,2TB盘,扫出来3个候选分区。 技王数据恢复
候选区分辨:真假分区一眼看出
扫描结果里,每个候选区都会显示起始扇区、大小和文件系统。我一般按大小排序,排除明显不对的(比如只有几MB的碎片)。剩下两个:一个起始在2048,大小约1.8TB;另一个起始在976765952,大小约200GB。显然第一个才是原分区,第二个可能是以前残留的备份分区或者误判。我直接选中第一个,点击“保存为分区”或者手动添加分区表项。但这里有个坑——保存后重启电脑,磁盘管理里还是未分配?那是因为winhex只是生成一个虚拟分区,你需要手动把分区表写回磁盘。我一向习惯用“编辑”->“恢复分区表”功能,或者直接复制修改MBR表项。 www.fixhdd.cn
案例分享:技王数据恢复的一次远程指导
前年有个做设计的哥们,移动硬盘被分区“误删除”,他用第三方软件扫了半天没结果。后来远程给我看,他用winhex 扫描丢失的分区时,把“搜索”范围设成了“整个磁盘”,结果扫出来一堆乱码分区。我让他重置参数,只搜“EB 52 90”,起始扇区从0到1000,结果一秒钟就找到了正确的NTFS DBR。这就是典型的参数不当导致的“工具盲”。 技王数据恢复
类似案例在技王数据恢复的工单里很常见,很多人以为winhex是万能药,其实它只是手术刀,关键还是医生的经验。那次我远程教他手动计算分区表参数,然后写回MBR,分区秒恢复。整个过程我没动任何其他软件,只用了winhex的十六进制编辑和计算器。 技王数据恢复
扫出多个候选分区?试试“逻辑分析”过滤法
当winhex 扫描丢失的分区结果里出现NTFS和FAT32候选时,别盲目选大小最大的。举个例子,我遇到过一块硬盘,扫描出来三个NTFS候选,大小分别是1TB、800GB、200GB。实际上分区只有一个,但前两个都是因为DBR备份扇区被误认。判断方法:看候选分区内部的起始扇区是否与备份DBR一致?NTFS在DBR的末尾(Sector 0的0x30偏移处)会记录自身的扇区总数,把这个数值与实际大小对比,偏差超过0.5%基本就是假的。那次我把三个候选的DBR都读了一遍,只有第一个的扇区总数与硬盘总容量匹配,其他两个明显是碎片。
www.fixhdd.cn
切记:不要相信扫描结果里“文件系统显示正确”就完事。一定要验证关键元数据,比如$MFT的位置、$LogFile的起始。winhex可以在“位置”->“转到扇区”里输入计算出的MFT起始,如果看到FILE0记录,才算真。
写回分区表:一步往往是翻车现场
找到正确分区后,接下来的操作有两种:一是用winhex直接写MBR(修改0扇区的分区表项);二是通过“工具”->“磁盘工具”->“恢复分区表”,它会自动把扫描结果写入磁盘。我偏向前者,因为可控。写之前,一定要备份当前MBR(扇区0到0)。然后根据扫描到的起始LBA、扇区总数,计算并填写分区表项。注意:NTFS的起始扇区通常就是DBR所在扇区,但如果是扩展分区或逻辑分区,还需要处理EBR链。
那次西数黑盘,我手动写回分区表项后,关闭winhex,重新插拔硬盘,直接识别出了原来的分区。客户看到两个盘符出现,差点哭了。
意外情况:扫描后识别为RAW怎么办?
这时不要慌。RAW通常意味着DBR损坏而不是分区表问题。winhex的扫描虽然找到了分区起始,但DBR的BPB可能被破坏。你需要手动重建DBR。找到分区起始扇区,如果原有DBR里的“EB 52 90”没了但周围数据对,可以尝试从同型号硬盘的备份DBR复制,或者使用winhex的“NTFS修复”功能。最笨的方法:把起始扇区offset 0x00-0x0B写一个NTFS的BPB模板(网上有通用模板),但注意要修改扇区总数字段,否则系统无法识别。这部分比较繁琐,技王数据恢复内部有专门的工具链来处理,但这里不展开。
结论:winhex 扫描丢失的分区 是起点不是终点
,winhex 扫描丢失的分区是一个极其强大的功能,但它的有效性完全取决于使用者的前置判断和后续手动验证。如果你只是点一下“开始扫描”,然后凭感觉选一个结果,失败率很高。真正的数据恢复工程师,会把这个功能当作快速定位分区起始的工具,然后用十六进制现场验证、手动修正。文章开头的那位客户,后来请我吃饭,我问他还敢不敢自己用winhex扫,他说:“再也不敢了,下次直接找你。”我笑着答:“其实你可以的,前提是先把本文打印出来贴墙上。”
来点干货:如果你遇到分区丢失,可以按这个决策链操作——先确认物理状态(有没有异响),再备份镜像,然后用winhex 扫描丢失的分区并设置窄搜索条件,验证候选区的DBR和MFT,手动写回或使用恢复功能。这套流程,我用了十几年,翻车率不到5%。记住,工具是死的,脑子是活的。
本文由 技王数据恢复 工程师团队经验整理,转载需注明出处。更多winhex 扫描丢失的分区实战案例,欢迎交流。
