硬盘突然提示需要格式化才能使用？你是要格式化呢？还是...呢？（下篇）

admin

101095
文章

87
评论

2021年8月7日05:09:18评论116 views字数 2291阅读7分38秒阅读模式

本文由实习生彭诗雨原创，转载请注明。

前文回顾

日常生活中大家也可能遇到到这样的场景：一直使用的硬盘，磁盘中明明是存在了很多数据的；某一天不知道经过了什么操作，再连接到Windows计算机，突然提示:驱动器需要格式化才能使用，是否将其格式化？

上一篇小编以现实场景为基础，跟大家一起学习了WinHex的基本使用方法、引入了DBR的相关知识，那么这一篇我们就一起实操一下，看能否在案例中找到DBR备份。

搜索DBR和DBR备份

我们可以通过搜索结束标志“55AA”帮助来搜索DBR备份。

需要注意的是，结束标志55AA位于扇区末尾，一个扇区有512字节，也就是说，从0扇区开始计算，55AA位于第510和511字节，所以可以勾上“Cond.:offset mod”，并填写需要搜索的对应的位置510。

如果磁盘很大，搜索会花费较长时间。好在这个案例小，很快就搜索完了。查看搜索结果，发现没有搜索到任何有关DBR备份的信息。这个案例比较极端，DBR备份也被破坏了，无法使用DBR备份修复DBR。

没有了DBR备份，我们还可以通过重建一个大小一模一样、分区文件系统相同的磁盘来修复DBR。在重建前，我们需要知道如何辨别每个分区是哪种文件系统。

FAT32有一个特点可以利用起来：FAT32中的FAT表的表头用十六进制表示，都是F8FFFF。所以，我们可以搜索F8FFFF，通过是否存在特定文件头的FAT表来确定分区的文件系统类型是否为FAT32。在搜索F8FFFF的过程中还要观察，FAT表是否有两个（通俗来说也就是看F8FFFF是否出现两次），若其中一个也被填充，则需要先将FAT表恢复完整，再修复DBR。

NTFS同样也有它的特点可供利用：将一个分区格式化为NTFS后，格式化程序会往该分区中写入很多重要的系统信息，这些系统信息在NTFS文件系统中称为元文件。元文件主要有16个，其中包括MFT（学名是$MFT）以及其备份MFT镜像（$MFTMirr）。$MFT在此不做赘述，我们直入主题，元文件的个数和顺序是一定的，也就是说，使用NTFS的分区，第一个文件就是$MFT。同样的，$MFT也有标志文件头：46494C45。

使用WinHex十六进制搜索寻找到每个分区和它对应的文件系统类型，这里我们用案例进行演示。

首先在分区二进行搜索F8FFFF：后如下图所示，搜索发现FAT表表头两次，非常幸运，FAT表完整！（FAT表不完整的情况，怎么办呢？放心，小编过后会在后续文章：利用模板修复DBR中详细介绍的。）

再搜索46494C45，没有发现NTFS元文件文件头都搜索结果。这说明，分区二的文件系统就是FAT32。