恢复教程

对传统BIOS+MBR分区的磁盘，关键在于第0扇区（LBA0），这个扇区的前446字节通常是引导代码，而从偏移0x1BE开始的64字节正是分区表，包含四个16字节的分区项。学会解析这16字节结构，就能读出分区类型、是否可引导、起始LBA和分区扇区数。

具体来看，分区项的第一个字节是状态标志（0x80表示可引导），接下来的3字节为起始CHS（历史遗留），第5字节是分区类型（如0x07表示NTFS/HPFS，0x0B/0x0C表示FAT32等），第6-8字节为结束CHS，接着4字节是起始LBA（小端序），再后4字节是分区大小（扇区数，小端序）。

在WinHex中你可以用“转到偏移/GoToOffset”直接跳到0x1BE位置，或按扇区定位到LBA0，然后在十六进制窗格中逐字节读取。小技巧：将十六进制窗格切换到ASCII显示，能更容易发现文件系统签名（如NTFS的“NTFS”在分区起始偏移处）。

如果看到分区类型为0xEE，说明可能是GPT，别急，下一部分讲GPT的识别与定位。练习建议：先在一个虚拟机磁盘镜像上操作，熟悉LBA与偏移的换算（LBA×扇区大小），再到真实磁盘上查阅，减少风险。

WinHex查看GPT时，先跳转到LBA1（如果每扇区512字节，偏移即512），在十六进制窗格寻找“4546492050415254”对应的ASCII“EFIPART”。头部之后会有分区条目数组的起始LBA、每项大小与项数。按头部提示跳转到分区条目起始偏移，可以看到每项包含分区类型GUID、唯一GUID、起始LBA、结束LBA以及分区名称（UTF-16LE）。

在WinHex里，使用“转到扇区/GoToSector”功能，直接输入扇区号能避免复杂的十六进制偏移换算。换算公式很简单：偏移字节=扇区号×每扇区字节数。另一个常见问题是扇区大小不是512而是4096，这时务必以实际扇区大小计算偏移，否则容易跳到错误位置。

实用技巧包括：用只读方式备份整个磁盘为镜像文件（Image），这样可在镜像上反复练习而不影响原盘；用字符串搜索功能查找“NTFS”或“FAT32”标识快速定位文件系统起始；必要时导出分区表信息为文本，便于与工具或同事共享。遇到看不懂的分区类型码，可对照常见分区类型表查询GUID或类型码含义。

查看分区时保持谨慎、优先备份、在虚拟环境中多练习，会让你在WinHex中查看分区既高效又放心得多。