1、對(duì)于我們?nèi)粘Ｉ钪谐３霈F(xiàn)的，誤刪除、誤分區(qū)或誤格式化了磁盤，此實(shí)驗(yàn)?zāi)康氖菍⒋疟P中丟失的數(shù)據(jù)進(jìn)行恢復(fù)。

2、學(xué)習(xí)和掌握使用Winhex各項(xiàng)操作的方法，動(dòng)手實(shí)踐。

3、學(xué)會(huì)創(chuàng)建磁盤、初始化磁盤和創(chuàng)建卷等操作，對(duì)磁盤的概念更清晰。

• 實(shí)驗(yàn)環(huán)境

操作環(huán)境：Windows10

實(shí)驗(yàn)工具：Winhex

• 實(shí)驗(yàn)原理

創(chuàng)建虛擬磁盤，手動(dòng)刪除MBR所在扇區(qū)的全部數(shù)據(jù)，然后新建一個(gè)虛擬磁盤，將新的磁盤的MBR扇區(qū)的數(shù)據(jù)復(fù)制到損壞的磁盤中，然后通過(guò)修改它分區(qū)表中的磁盤簽名、文件系統(tǒng)類型、扇區(qū)起始位置、扇區(qū)大小等數(shù)據(jù)，來(lái)實(shí)現(xiàn)恢復(fù)已損壞的磁盤。

• 實(shí)驗(yàn)過(guò)程與分析

• 創(chuàng)建虛擬磁盤

?

如圖1-1所示，在電腦上打開(kāi)計(jì)算機(jī)管理，雙擊點(diǎn)入磁盤管理，在這里可以對(duì)我們電腦磁盤進(jìn)行管理。?

?如圖1-2所示，右鍵磁盤管理，選擇創(chuàng)建VHD（即虛擬磁盤）。

?

如圖1-3所示，指定磁盤位置，選擇虛擬磁盤大小、磁盤格式為VHD、磁盤類型為動(dòng)態(tài)擴(kuò)展。?

?如圖1-4所示，虛擬磁盤已經(jīng)創(chuàng)建好了。

?如圖1-5所示，右鍵磁盤1，進(jìn)行初始化磁盤。

如圖1-6所示，選擇磁盤1，使用MBR磁盤分區(qū)形式。

?

?如圖1-7所示，右鍵選擇新建簡(jiǎn)單卷。

?

?

?

?

如圖1-8、1-9、1-10、1-11、1-12所示，選擇FAT32的卷，完成新建卷操作。

?

?

如圖1-13、1-14所示，磁盤創(chuàng)建已經(jīng)成功。在此電腦中可以看見(jiàn)新加卷（G:)。接著我放了一張照片進(jìn)去。

• 用Winhex打開(kāi)新建的磁盤并分析

?

?如圖2-1所示，在Winhex中選擇并打開(kāi)剛剛新建的磁盤。

?如圖2-2所示，為新建磁盤的數(shù)據(jù)，向下拉滾動(dòng)條，可以看到一個(gè)灰色的橫杠，每到一個(gè)橫杠為一個(gè)扇區(qū)，一個(gè)扇區(qū)共512字節(jié)，每?jī)蓚€(gè)數(shù)字為一個(gè)字節(jié)，比如00，接下來(lái)分析一下它的數(shù)據(jù)結(jié)構(gòu)。

?

如圖2-3所示，為磁盤MBR扇區(qū)的數(shù)據(jù)結(jié)構(gòu)。MBR又分為三個(gè)部分：第一部分為引導(dǎo)代碼，占用446個(gè)字節(jié)；第二部分為分區(qū)表，占用了64字節(jié)；第三部分為55 AA，結(jié)束標(biāo)志，占用了兩個(gè)字節(jié)。后面我要說(shuō)的用Winhex軟件來(lái)恢復(fù)誤刪分區(qū)，主要就是恢復(fù)第二部分：分區(qū)表。

引導(dǎo)代碼的作用：就是讓磁盤具備可以引導(dǎo)的功能。如果引導(dǎo)代碼丟失，分區(qū)表還在，那么這個(gè)磁盤作為從盤所有分區(qū)數(shù)據(jù)都還在，只是這個(gè)磁盤自己不能夠用來(lái)啟動(dòng)系統(tǒng)了。

但如果分區(qū)表丟失，后果就是整個(gè)磁盤一個(gè)分區(qū)都沒(méi)有，就好像剛買來(lái)一個(gè)新的硬盤，沒(méi)有分過(guò)區(qū)一樣。是很多病毒喜歡破壞的區(qū)域。

?

如圖2-4所示，為分區(qū)表各個(gè)字節(jié)含義。其中文件類型可按下表：

表2-1

從圖2-4和表2-1可以看出，0C就是FAT32的文件類型。

第13、14、15、16字節(jié)的是本分區(qū)的總扇區(qū)數(shù)（即分區(qū)1的扇區(qū)大小）；而前面的四個(gè)字節(jié)是已用的扇區(qū)數(shù)（即扇區(qū)起始位置），用這兩個(gè)扇區(qū)數(shù)相加，就正好是整個(gè)磁盤的總扇區(qū)數(shù)。

知道了這個(gè)信息，如果分區(qū)表被破壞，我們只要通過(guò)計(jì)算這些數(shù)值，就可以自己填上，將分區(qū)表恢復(fù)。

如圖2-5所示接下來(lái)，我將磁盤1扇區(qū)0的數(shù)據(jù)都刪除。

?

?

?

如圖2-6、2-7所示，磁盤1已經(jīng)損壞，顯示沒(méi)有初始化。已經(jīng)無(wú)法打開(kāi)，里面的圖片也找不回來(lái)了。

• 新建磁盤并用Winhex恢復(fù)損壞磁盤

按照之前創(chuàng)建虛擬磁盤的方法，再創(chuàng)建一個(gè)4GB大小的文件系統(tǒng)為FAT32的磁盤，然后用Winhex打開(kāi)新建磁盤。

如圖3-1所示，這是新建的磁盤2。接下來(lái)我們將磁盤2的數(shù)據(jù)復(fù)制給損壞的磁盤1。（有一個(gè)需要注意的問(wèn)題：要從后往前寫入數(shù)據(jù)）

?

?如圖3-2所示，復(fù)制過(guò)來(lái)之后，進(jìn)行保存，再去磁盤管理器里刷新一下。

?如圖3-3所示，磁盤1雖然已經(jīng)初始化了，但是磁盤被分成了兩部分，不是當(dāng)初創(chuàng)建的那樣。雖然打開(kāi)磁盤后，圖片已經(jīng)恢復(fù)了，但是如果文件大小大于磁盤2的話，還是不能夠恢復(fù)，所以我們需要修改它的分區(qū)表，讓磁盤恢復(fù)原始狀態(tài)。由于已經(jīng)分析過(guò)分區(qū)表的組成，接下來(lái)進(jìn)行MBR的恢復(fù)。（共64字節(jié)，分為4個(gè)分區(qū)，每個(gè)分區(qū)占用16字節(jié)，一般只使用前兩個(gè)分區(qū)表項(xiàng)）

?

如圖3-4所示，首先，在第一個(gè)字節(jié)處填上分區(qū)引導(dǎo)標(biāo)志，若值為80表示活動(dòng)分區(qū)，若值為00表示非活動(dòng)分區(qū)。我這個(gè)是非活動(dòng)分區(qū)。所以就是00。

接著是第2、3、4字節(jié)（本分區(qū)起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)），磁盤1與磁盤2是一樣的，所以我們不用改。

第5字節(jié)是分區(qū)類型符，因?yàn)槲覄?chuàng)建的是FAT32格式，所以是0C。

第6、7、8字節(jié)是本分區(qū)的結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)。現(xiàn)在的磁盤都是按照LBA方式尋址，并不按照C/H/S（及柱面、磁頭、扇區(qū)）方式尋址，所以這里填什么一般關(guān)系不大。

?

如圖3-5所示，第9、10、11、12字節(jié)，本分區(qū)已用的扇區(qū)數(shù)，也就是MBR所占用的扇區(qū)數(shù)，在查看—顯示—表單控制項(xiàng)中可以查看，為2048（或者在表單控制欄中點(diǎn)分區(qū)1，就可以看到下面顯示了分區(qū)1的起始扇區(qū)）。然后打開(kāi)查看—顯示—數(shù)據(jù)解釋器，在32bite中填寫2048（為什么是在32bit中填寫呢，因?yàn)?個(gè)字節(jié)，一個(gè)字節(jié)8bite，所以就是32bite），就可以轉(zhuǎn)換成十六進(jìn)制。或者用計(jì)算機(jī)轉(zhuǎn)換得到的十六進(jìn)制數(shù)為800，但是我們要將它反過(guò)來(lái)，變成00 08 00 00，不足的地方補(bǔ)0。

?

?如圖3-6所示，第13、14、15、16字節(jié)是本分區(qū)的總扇區(qū)數(shù)，winhex最下面有顯示分區(qū)1扇區(qū)總數(shù)為20.971.520，我們要用20.971.520這個(gè)數(shù)減去前面本分區(qū)已用的扇區(qū)數(shù)（即分區(qū)1扇區(qū)起始位置2048），就可以得到本分區(qū)總扇區(qū)數(shù)為20.969.472,轉(zhuǎn)為十六進(jìn)制為13FF800，反過(guò)來(lái)就是00 F8 3F 01。

如圖3-7所示，已經(jīng)將分區(qū)表修改完成，接下來(lái)保存，去磁盤管理器刷新看看。?

?

?

如圖3-8所示，磁盤1已經(jīng)恢復(fù)。但是為了實(shí)驗(yàn)的準(zhǔn)確性，再試著恢復(fù)文件系統(tǒng)為NTFS的磁盤。

由于操作相同，所以步驟省略，最后使用NTFS格式的MBR也同樣恢復(fù)了，所以本次用Winhex恢復(fù)磁盤的實(shí)驗(yàn)成功。

• 實(shí)驗(yàn)總結(jié)

通過(guò)這次實(shí)驗(yàn)，我對(duì)Winhex這個(gè)軟件有了很大的認(rèn)識(shí)，對(duì)我以后打ctf也很有幫助，這個(gè)軟件以后應(yīng)該也會(huì)經(jīng)常使用。我會(huì)繼續(xù)深入學(xué)習(xí)如何使用Winhex，多點(diǎn)動(dòng)手實(shí)操。另外，我學(xué)會(huì)了如何對(duì)損壞的磁盤進(jìn)行恢復(fù)，對(duì)MBR的結(jié)構(gòu)有了一定的了解，也學(xué)習(xí)到了磁盤的一些知識(shí)。

這次實(shí)驗(yàn)是在Windows操作系統(tǒng)下完成的，可以再嘗試一下在Linux操作系統(tǒng)下對(duì)MBR進(jìn)行模擬損壞并修復(fù)。

還有一點(diǎn)需要注意的是，做這個(gè)實(shí)驗(yàn)時(shí)要關(guān)閉電腦的防火墻和實(shí)時(shí)掃描工具，還有殺毒軟件，不然一打開(kāi)Winhex就會(huì)報(bào)錯(cuò)，并且Winhex會(huì)被刪掉。

總結(jié)

以上是生活随笔為你收集整理的数据存储与容灾实验 用Winhex恢复磁盘的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。