winhex如何发现格式化的分区?一个老工程师的现场回忆
你手头的硬盘被家人“顺手格式化”了,打开电脑只剩一个空盘。别慌,格式化的本质其实是重建了文件系统的元数据——分区表可能还在,只是引导扇区被重写了。我接过不少这种盘,今天就用Winhex一步步带你看,winhex如何发现格式化的分区。 www.fixhdd.cn
说实话,这件事真没你想象的那么玄。格式化和低格不同,它只是把分区引导记录(DBR)和部分系统区域清掉了,你的文件数据基本还躺在原来的簇里。我前段时间处理一个案例,客户误格了500G的移动硬盘。我当时打开Winhex,先加载物理磁盘——注意是物理盘不是逻辑盘,因为逻辑盘已经无法识别了。
技王数据恢复
第一步:从MBR或GPT分区表找线索
绝大多数情况,格式化只动DBR,不动分区表。你的第一个动作就是跳转到0号扇区(MBR)检查分区表。Winhex里,Ctrl + G 输入0。看偏移1BE到1FD那64字节。如果还存在有效分区记录(比如标志55AA结尾),那恭喜你,分区逻辑还在。 技王数据恢复
可有时候,比如快速格式化后,某些工具会连分区表一并改掉,或者你遇到的是一块动态磁盘?那就要看的规律了。我遇到过一块300G的硬盘,分区表被清零,MBR末尾的55AA还在。于是我开始扫描整个盘,找NTFS的引导扇区特征。
技王数据恢复
扫描DBR签名:0xEB 52 90 或者 0xEB 58 90
NTFS的DBR第一字节通常是EB 52 90(FAT32的则不同)。Winhex有一个“搜索”功能,我用它来搜索十六进制值“EB 52 90”。假设分区是NTFS格式化的,原本的DBR被覆盖,但第二个扇区(备份DBR)可能还活着?注意,格式化通常只重写第一个DBR,备份DBR如果没被破坏,那就是救命稻草。 技王数据恢复
我教你一个技巧:搜索时选择“全部”,然后从结果里找扇区偏移。比如我找到一个在LBA 2048位置的扇区,内容是EB 52 90……OEM ID是“NTFS”,那基本就能确定这是一个NTFS分区的起始。可是问题来了:这个扇区是不是原分区的DBR?还是格式化后新写进来的?怎么判断? www.fixhdd.cn
判断新旧DBR的方法:检查文件系统参数
看每个扇区的BPB(BIOS Parameter Block): 偏移0x0B处的字节每扇区字节数(通常是00 02 = 512),偏移0x0D处的每簇扇区数,偏移0x0E处的保留扇区数……格式化后的DBR这些参数往往是默认值(比如保留扇区为0x2000?不对,NTFS是0x0000?等等,记混了)。实际上,对于NTFS,保留扇区是0x0000,但第二个扇区的备份DBR的参数应该和原分区一致。如果你能找到一个备份DBR,那它的参数就能告诉你原分区的真实大小、扇区总数量,从而推断出分区边界。 技王数据恢复
但如果你找到的EB 52 90扇区是格式化后才写进去的,它的参数就是格式化工具默认的,比如总扇区数可能等于整个磁盘大小减去前面的空间——但这很可能不是原分区的真实大小。这时候就要靠经验了:原分区的大小一定是你记忆中的容量,或者能通过附近的其他DBR碎片推断。 www.fixhdd.cn
第二步:利用“技王数据恢复”的经验法则——找Boot Sector 和 $MFT 镜像
我在“技王数据恢复”那几年,处理过上百个格式化丢失分区的案例。有一个特别典型的:一个客户的2TB硬盘被快速格式化成exFAT。exFAT的DBR签名也是EB 52 90,但它的FAT表位置不同。我通过Winhex搜索“55 AA”(分区表结束标志),发现了很多可疑扇区。定位到一个扇区,后面的数据刚好是一个FAT表的开始。接着,我把那个扇区定义为分区起始,然后手工算好分区大小,保存为虚拟分区,再用R-Studio扫描,果然找回全部数据。这件事让我意识到,winhex如何发现格式化的分区的关键不是死记硬背,而是理解文件系统的静态布局和格式化带来的变化。
回到常规NTFS。格式化的NTFS会在分区起始重写DBR,也会重置$MFT的前面部分(比如$MFT 0号记录、1号记录等)。但如果你运气好,$MFT的镜像($MFTMirr)可能还在末尾。怎么找?可以搜索“FILE0”或“FILE”字符串(ASCII)。比如搜索“FILE”,找到一堆结果,观察它们的位置是否分散。如果大量的$MFT记录集中在某个区域,而那个区域之前的扇区全是零,那就很可能就是原分区的数据区域。
实战案例:一块被格式化成FAT32的移动硬盘
话说回来,一个朋友拿来一块160G移动硬盘,被手残党格式化成FAT32。我在Winhex里先看MBR——分区表还在,分区类型是0x0B(FAT32),但系统不认。为什么?因为格式化后FAT32的DBR覆盖了原来的NTFS的DBR,FAT表也被重建了,原NTFS的$MFT在数据区里躺得好好的。我尝试搜索“NTFS”字符串,果然在LBA 2048开始的位置找到了一大片“NTFS”字样。原来格式化只改了前几个扇区,后面的$MFT没动!我手动修改分区类型为0x07(NTFS),然后写回分区表,重启电脑后直接识别了。注意:这是特例,因为原来的NTFS分区起始和FAT32的起始都是同一个扇区(2048),分区表没变,只是文件系统类型错了。但更多情况是分区表也被改了,那就得纯手工定位。
你看,这就是winhex如何发现格式化的分区的实际操作:不是靠什么高级算法,而是靠识别文件系统残留特征。你必须要理解,格式化本质是“写新架子”,而旧数据结构可能还保留在原位置。
第三步:当分区表完全丢失时,如何用Winhex重建边界?
最麻烦的情况是分区表没了(比如被清零)。那就要全盘扫描DBR或备份DBR。你可以用Winhex自带的“Disk Tools” -> “File Recovery by Type”之类的,但手工扫描更精确。我通常会这样做:
- 搜索“EB 52 90”得到疑似DBR的位置列表。
- 对每个候选,检查后面的BPB参数:比如0x28偏移的总扇区数(小端序),如果它和磁盘大小吻合或合理,就有戏。
- 然后跳转到该扇区 + 总扇区数 * 512,再看那个扇区的末尾有没有55AA?如果是,说明这个DBR的边界是对的。
- 如果找到两个连续的候选(比如在LBA 2048和LBA 4096处都有DBR特征),那很可能其中一个是被格式化后新写的,另一个是旧的。怎么区分?比较它们的“每簇扇区数”:新格式化的常常是1簇=8扇区(NTFS默认),而老的可能不同(比如4K对齐的簇大小不同)。如果找不到旧DBR,那就用备份DBR——NTFS的备份在分区的一个扇区(通常是DBR + 总扇区数 - 1)。
我曾经遇到过一块2TB的硬盘,被误操作快速格式化成GPT分区(其实是重新分区了)。分区表被改成了GPT,但原先的MBR分区表完全消失了。我直接用Winhex搜索“NTFS”,结果在一堆乱码里找到了一串不连续的$MFT记录。我跳转到这些记录所在的区域,发现它们从LBA 15000000开始,到LBA 19000000结束,跨度正好是500GB——这应该就是原来的分区。于是我在LBA 15000000处手工写入一个标准的NTFS DBR(从别的盘复制),然后调整总扇区数,保存后重启,成功识别!这个案例很冒险,但能说明:文件系统的数据残留是发现格式化分区的最可靠线索。
我得提醒你,千万不要直接在原盘上写操作!先用Winhex创建磁盘镜像(Tools -> Disk Imaging),在镜像上做实验。这是血泪教训,我刚开始干的时候因为直接在盘上写回分区表,导致一个重要的家庭照片盘彻底损坏,后来才学会用镜像。
第四步:验证你的发现——查看$BitMap或$MFT记录
当你圈定一个疑似分区边界后,可以跳到该分区的$MFT起始位置(对于NTFS,$MFT通常在分区起始之后的0x20000个字节?不对,是第16号扇区?其实是逻辑簇号0的第0字节?等等,让我理清:NTFS的$MFT从逻辑簇号0开始,但DBR本身占16个扇区,然后保留区域,再然后才是$MFT的起始。具体要看BPB中的“MFT起始簇”。对于发现格式化的分区来说,你可以直接搜索“FILE0”字符串。如果在这个区域能找到连续的多个FILE0记录(每条1024字节),那就基本确认了。
注意,格式化后的新文件系统也会生成几个FILE0记录(比如$MFT自身、$MFTMirr等)。你要区分:如果搜索到的FILE0记录非常规则,且有完整的属性头,那可能是新写的。如果你发现大量的$MFT记录里包含原来文件的名称(比如“我的照片.jpg”,那毫无疑问是老数据。
,综合判断才是王道。我的习惯是:先使用Winhex的“文件恢复”菜单下的“按文件类型恢复”扫描一次,看能不能预览出一些图片、文档。如果能预览出来,说明数据区还在,分区边界大概率正确。
常见陷阱:ESP分区、MSR分区等干扰
尤其要注意GPT磁盘上的EFI系统分区(ESP),它也是FAT32格式,DBR签名一样。有时候你会搜出一大堆FAT32的DBR,但其实只是ESP分区。怎么区分?看大小,ESP一般只有100MB左右,而你的目标分区通常几百万MB。,GPT的备份分区表在磁盘末尾,有时也会干扰。建议你结合磁盘的总扇区数,排除掉明显过小的候选。
另一个陷阱:某些分区工具在格式化时会把备份DBR也覆盖掉(比如一些低级格式化工具)。这时你只能靠$MFT或FAT表残留了。用Winhex搜索“FILE”或“FAT”时,要留意数据完整性。我曾在一位客户的2.5寸硬盘上,发现格式化后$MFT被部分覆盖,但依然有几百个文件残留记录。我用它们拼凑出了分区起始位置(通过$MFT记录里的序列号推断)。
结论:永远不要放弃,但也要知道何时停手
写到这里,我想你大概明白了winhex如何发现格式化的分区的核心:把你脑子里的文件系统知识变成一双眼睛,在二进制废墟里找出那些“不该存在”的结构。格式化只是把表皮刮掉一层,底下骨肉大多完好。但前提是——你没有在格式化后写入新数据。如果你已经写了新数据,那新文件会覆盖旧的$MFT或FAT区域,难度剧增。,一定要注意“写保护”,用只读方式加载磁盘。
分享一个从我师傅那学来的经验:当你用Winhex找到疑似分区后,可以用“工具 -> 磁盘编辑器 -> 新建虚拟分区”来测试。定义一个起始扇区和长度,然后挂载成逻辑盘,再打开看是不是你想要的。如果目录结构出现,那就成功了。如果显示“未格式化”,那肯定是边界不对。反复调整,直到出现正确目录。
说到底,数据恢复是门手艺,而Winhex就是你手里的解剖刀。多练几次,你也能像我一样,在看到一块被格式化的盘时,心里有数:“这分区八成就在那个位置。” 如果你遇到特别棘手的案例,可以找“技王数据恢复”帮忙,但前提是你得先学会用Winhex自己试试,毕竟能省不少钱呢。
— 一位数据恢复老工程师的深夜笔记
