文件系统:

NTFS存储较有逻辑性

分配内存大小

创建虚拟磁盘:

1:右键此电脑
2:管理
3:右键磁盘管理,点击创建VHD
4:右键新创建的磁盘,初始化1选择MBR(不是GPT)
5:新建简单卷(简单卷大小不用管,NTFS可以选FAT32)

底层数据MBR:

——————————————————————————

第二个是启动某一个文件功能,打开后可以查看到底层数据

——————————————————————————
##

  1. 查找中含有区分大小写,按照ASCII码(美国信息交换标准代码)和UNICODE两种编码,因为大多数是美国微软公司,所以可以
  2. 选择ASCII;查找中按f3即可启动查找,当找到一个目标值的时候即会暂停,再次点击f3即可再次启动搜索

    注意区分搜索文本和搜索十六进制数值

  3. Find hex values:
    可以搜索底层数据中十六进制的某一个数值(记住,十六进制每一位数都是偶数位,不会出现奇数的情况)
  4. 扇区:

    每512个字节是一个扇区,

  5. ——————————————————————————————————————

    查找时可以选择偏移变量:

  6. 即到那个字节,从哪个字节,可以提高搜索速度,缩短搜索时间
  7. 跳转功能:
  8. 点击左边可以十进制和十六进制互相转换:
  9. 也可以使用导航——》跳至——》选择文本开始或末尾
  10. 看最上面的一栏即可判断是十进制还是十六进制:
  11. 跳转到某一个扇区功能: ,单位如果是sector则为以分区为单位
  12. 返回上一步或下一步操作:

———————————————————————————————————————

Datainterpreter:数据解释器,视图(V)——>显示(Show)——数据解释器

另:winhex自带计算器caculator;

注意,这里的粘贴时ctrl+B!!!!!!!!!!!!!!!!!不是ctrl+V

1. 意思和写入相同

MBR:计算机开机访问硬盘时所必须要读取的首个扇区(0柱面,0磁头,1扇区)

2. 硬盘是由多个盘片组成的,每个盘片是由多个扇区组成的,每个盘片上由多个磁道(同心圆

MBR扇区分为

  1. 引导程序,计算机启动后读取,如果磁盘数据不对的话会死机,如果非虚拟磁盘的MBR清除的话会死机
  2. 磁盘签名:系统在对硬盘初始化时写入的标签,系统依靠标签来识别磁盘(如果磁盘签名丢失会认为硬盘未初始化)
  3. 分区表:管理硬盘的分区,如果被破坏则分区会丢失
  4. 55AA:结束标志,执行MBR引导程序时,如果最后是55AA才会继续读取下一个分区
  5. 从后往前看,最后两个字节为结束标志,再往前走64个字节是分区表(往前走三行),再往前走两个是磁盘签名。再往前是引导程序

字节偏移:

十六进制表示,0x后面两位是横向表示,后面的是纵向表示

0x01BE:01B是横向,E是纵向

修复MBR:

正常的磁盘都是初始化的,如果不小心按了初始化则相当于格式化了磁盘,MBR全部清0,

分区总大小 – 分区的起始分区好==分区的大小

修复中最重要的是修复文件系统类型,分区扇区号和分区总大小,注意最后的55AA

最后两位是55AA,固定的

往前走64个字节是分区表,管理磁盘的分区

再往前走4个字节是磁盘签名

**********

硬盘分区详解:
硬盘分区表由四项组成,每项共16个字节,共4*16==64个字节,每项描述一个分区的基本信息(80) (01 01 00) (07) (FE FF FF) (3F 00 00 00) (82 C1 3B 3A)
磁头,扇区,柱面

*****存贮字节位******

第1字节:引导标志。若值为80H表示活动分区,若值为00H表示非活动分区。

第2、3、4字节:本分区的起始磁头号、扇区号、柱面号。其中:

磁头号——第2字节;

扇区号——第3字节的低6位;

柱面号——为第3字节高2位+第4字节8位。

第5字节分区类型符。

00H——表示该分区未用(即没有指定);

06H——FAT16基本分区;

0BH——FAT32基本分区;

05H——扩展分区;

07H——NTFS分区;

0FH——(LBA模式)扩展分区(83H为Linux分区等)。

第6、7、8字节

本分区的结束磁头号、扇区号、柱面号。其中:

磁头号——第6字节;

扇区号——第7字节的低6位;

柱面号——第7字节的高2位+第8字节。

第9、10、11、12字节

逻辑起始扇区号 ,本分区之前已用了的扇区数。

第13、14、15、16字节

本分区的总扇区数。

紫色的是分盘区,蓝色的是磁盘签名

磁盘签名可能会每一次打开都不一样,视情况而定

分区表:

这里不同的分区我打上了不同的颜色书签,从磁盘签名往后空两个字节开始是磁盘分区的地方,
第三个扇区是逻辑扇区:EBR

数据解释器: 第一位是数据转为10进制后的大小第二位是扇区位置,第三位是扇区大小

磁盘总大小减去分区的起始扇区号 == 分区大小

概要:

1:创建一个新的磁盘
2:将新建磁盘的MBR赋值到被破坏的磁盘的MBR
3:修改被破坏的磁盘的MBR磁盘签名(只需要和复制的不一样即可)
4:找到该磁盘第一个分区的起始扇区
5:从该起始扇区得知文件系统,起始扇区号,分区大小
6:将这些数据填入MBR的分区表中
7:保存,在磁盘管理出进行刷新