精华内容
下载资源
问答
  • winhex数据恢复完整图文教程
    2021-05-16 00:07:48

    《winhex数据恢复完整图文教程》由会员分享,可在线阅读,更多相关《winhex数据恢复完整图文教程(44页珍藏版)》请在人人文库网上搜索。

    1、winhex数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有。

    2、数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪。

    3、录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会。

    4、引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。MBR、EBR是分区产生的。比如MBR和EBR各都占用63个扇区,C盘占用个扇区那么数据结构如下表:636363MBRC盘EBRD盘EBRE盘扩展分区而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C盘的数据结构:C 。

    5、盘DBRFAT1FAT2DIRDATAWinhexWinhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以。

    6、选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单“显示”命令“详细资。

    7、源面板”来打开)。最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目等向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)字节位置内容及含义第1。

    8、字节引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符:00H表示该分区未用06HFAT16基本分区0BHFAT32基本分区05H扩展分区07HNTFS分区0FH(LBA模式)扩展分区83H Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数此硬盘的第一分区表(即MBR)分析如下:第一个分区表项(C盘)第1字节80:表示此分区为活动分区;第5字节0B:表示分区类型为Fat32;第9、10、11、12字节 系。

    9、统隐含扇区3F 00 00 00:所谓系统隐含扇区就是本分区(C盘)之前已用了的扇区数,这是一个十六进制数,但要注意:真正的隐含扇区数应该反过来填写(比如:隐含扇区数为3E 4D 5A 6F,则反过来就是6F 5A 4D 3E ,这才是实际的隐含扇区数)。那么,3F 00 00 00反过来写就是00 00 003F,也就是3F,将他转成十进制数我们才能知道实际的隐含扇区数是多大。这可以使用计算器来算,单击工具栏上的“计算器”按钮,如下图:这样就启动了计算器计算器有两种型号,我们要进行进制转换,就要选择“科学型”比如我们要将十六进制3F转换为十进制,就要先选中“十六进制”,然后输入3F再选中“十。

    10、进制”,十六进制3F转为十进制等于63。想一想我们前面所讲的,MBR占用63个扇区,也就是C盘之前已用了的扇区数为63,第64个扇区就是C盘的第一个扇区,但要注意的是,整个硬盘的LBA地址是从零开始的,062的扇区为MBR。第13、14、15、16字节本分区总扇区数(当然,这也就是C盘的大小):C1 E6 15 00,同样,实际的十六进制数也要反过来才对,也就是00 15 E6 C1,将它转换成十六进制数是。给你出个题,你知道D盘的EBR在哪个扇区吗?我们一起来算一下,还记得前面数据结构那个表吗?C盘后面不就是D盘的EBR吗?D盘EBR的第一个扇区=MBR+C盘的大小,也就是 63+=。我们来。

    11、看看对不对,单击工具栏上的“转到扇区”按钮,出现一个“转到扇区”对话框然后输入,再点“确定”,就到了扇区了(你可以使用它再转回到0扇区)这个就是D盘的EBR,也就是D盘的分区表了,怎么知道的呢?因为MBR和EBR的结构是完全一样的,都是占用了63个扇区,但只用了第一个扇区,其余62个扇区填零不用。第一个扇区前446个字节都为引导代码,后64个字节为分区表,最后2个字节为55AA结束标志。因为EBR不是活动分区,不需要引导代码,所以前446个字节为零。还有另一种方法直接找到D盘的EBR,单击“访问”下拉按钮“分区二”“分区表”,直接就到扇区.这样,分区表中的第一个分区表项共十六个字节分析完毕,下。

    12、面我们再来看看第二个分区表项(扩展分区)。第1字节00:表示非活动分区第5字节05:表示扩展分区第9、10、11、12字节00 E7 15 00:本分区之前的扇区数(扩展分区前面也就是MBR和C盘,好像我们前面算过这个数?)同样,先将它反过来,就是00 15 E7 00 ,再转为十进制是,看来我们前面真的算过这个数。第13、14、15、16字节40 09 29 00:本分区的总扇区数。也就是扩展分区的总扇区数。转为十进制应该是。想一想,用这个数加上前面的,不正好是整个硬盘的总扇区数吗?这样,如果分区表被破坏,我们只要把这些数值都计算出来并填上,分区表不就恢复了?那么,这里我们为什么不分析第2、。

    13、3、4字节(本分区的起始磁头号、扇区号、柱面号)和第6、7、8字节(本分区的结束磁头号、扇区号、柱面号)呢?这是因为C/H/S(柱面/磁头/扇区)是老式硬盘的寻址方式,这种寻址方式来管理硬盘效率很低;而现在几乎所有的硬盘都支持LBA(全称是Logic Block Address,即扇区的逻辑块地址)寻址方式,这种管理方式简单高效。在LBA方式下,系统把所有的物理扇区都统一编号,按照从零到某个最大值排列,这样只用一个序数就确定了一个唯一的物理扇区。小知识:具体一个硬盘有多少个LBA(扇区)不需要我们去记忆,因为用各种工具软件(如MHDD WINHEX等)都可以检测到。我们只要知道个大概就行了:如。

    14、10G的硬盘大概有2000万个扇区;20G的硬盘大概有4000万个扇区;40G的硬盘大概有8000万个扇区那么,2G的硬盘大概有400万个扇区。那么,你可能要问了:如果要恢复分区表,这个起始磁头号、扇区号、柱面号还有结束磁头号、扇区号、柱面号应该怎么填呢?简单得很,在后面恢复分区表的时候我会告诉你,直接填,都不用计算。还有兴趣来分析一下D盘的EBR吗?其实D盘的EBR和盘的EBR我们不分析也罢,因为无非也是分区表,跟MBR的结构是一样的,但却很容易把我们绕晕,又因为EBR一般不容易被破坏,所以我不建议分析EBR。但如果你一定要分析,那就分析吧。单击“访问”下拉按钮“分区二”“分区表”,直接就到。

    15、扇区,即D盘的分区表EBR。第一个分区表项(D盘):第1个字节00:表示非活动分区第5个字节06:表示FAT16分区第9、10、11、12字节3F 00 00 00:本分区之前已用了的扇区数,也就是EBR的数目,63个。第13、14、15、16字节C1 E6 15 00:本分区的总扇区数,也就是D盘的扇区数,先反过来排列就是00 15 E6 C1,转为十进制就是。第二个分区表项(D盘后面的):第1个字节00:表示非活动分区第5个字节05:表示扩展分区第9、10、11、12字节00 E7 15 00:本分区之前已用了的扇区数,也就是D盘的EBR加D盘总共的大小, 63+=第13、14、15、16。

    16、字节40 22 13 00:本分区的总扇区数,,也就是E盘的大小再加上一个EBR的数目。单击“访问”下拉按钮“分区三”“分区表”,直接就到扇区,即E盘的分区表EBR。因为E盘后面没有分区了,所以没有第二个分区表项。这里我们就不再研究了,有兴趣的话可以自己多备一块硬盘作从盘,然后自己分分区研究研究。通过以上的研究我们总结一下,MBR在定义分区的时候,将多余的容量定义为扩展分区,指定该扩展分区的起止位置,根据起始位置指向硬盘的某一个扇区,作为下一个分区表项,接着在该扇区继续定义分区,如果只有一个分区,就定义该分区,然后结束;如果不止一个分区,就定义一个基本分区和一个扩展分区,扩展分区再指向下一个分。

    17、区描述扇区,在该分区上按照上述原则继续定义分区,直至分区定义结束。这些用来描述分区的扇区形成一个“分区链”,通过这个分区链,就可以描述所有的分区。系统在启动时按照分区链的连接顺序查找分区,直至找出所有分区。这个链显然是个开链结构,如果形成一个环,系统本身并不会去判断它,它只是按照这个链忠实的查找分区,而不进行任何额外的检测与处理。所谓硬盘逻辑锁,就是让分区链形成一个环,这样系统在启动时就在分区表内循环,表现为系统无法引导,就是从软盘启动,也不能进入硬盘。明白了其结构原理,解决这个问题就简单了,目前有很多种方法解决这个问题,后面我们还会讲到。系统就是利用这种方法使一个硬盘分区后看起来象多个硬盘。。

    18、系统能够找到C盘以外的其他逻辑盘的唯一办法就是,沿着EBR所描述的分区链查找分区。其实,通常情况下EBR是不会被破坏的,或者破坏的几率极低极低,通常情况下,都是只有MBR被破坏,那么这种情况下,我们只要把MBR的分区表64个字节复原,其他的分区顺着分区表所提供的链自然而然就出来了。那么,如何才能将分区表复原呢?这就要通过计算结合Winhex强大的功能来实现了。下面我们就来模仿分区表被病毒破坏的情况,将MBR全部填零。我们首先将MBR所在的扇区选中。鼠标指向第一个字节,单击右键,选择“选块开始”然后鼠标指向MBR的最后一个字节,单击右键,选择“选块结尾”然后我们在选区内部单击鼠标右键,选择“编辑。

    19、”这样就有出来一个菜单然后我们选“填充选块”,这样就出来一个填充选块对话框在“用十六进制填充”的输入框中输入“00”,再点“确定”这样MBR所在扇区全部被我们填充为“00”如果想取消选区,那就用鼠标拖动随便选中一块区域,那么原来的选区就会取消。注意,如果扇区数据被修改了而没有存盘就会变为别的颜色。修改了扇区,这时候还没有存盘生效,如果你想存盘生效的话,就选择“文件”菜单“保存扇区”命令。这时候就会出现一个提示,如果你不想存盘了就点取消,如果想存盘,就点确定,再点是。好,这样就存盘了,扇区被修改的数据又变为黑色。这样我们就把分区表给删除了,这时候必须重新启动才能生效,如果你打开我的电脑,会发现三。

    20、个分区(F 、G、 H)还在那里,并且里面的数据还能正常使用。现在,我们关闭所有程序将电脑重新启动经过不长时间的等待,电脑启动起来了,我们打开我的电脑看看,发现F 、G 、H三个分区不见了。再打开Winhex发现MBR全部为零了,下面我们就着手开始手工恢复分区表首先恢复引导代码,这最简单了,只要用Winhex到别的系统盘把引导代码复制过来就行了。我现在的机器上不是挂着两个硬盘吗?一个迈拓2G,一个西数40G,西数40G是我的系统盘,那就从这个盘上复制就行了。单击“磁盘编辑器”按钮出现“编辑磁盘”对话框选择“HD0 WDC WD400EB-00CPF0”,点“确定”这样我们就把系统盘的分区表给打。

    21、开了,注意,现在我们是打开了两个窗口,当前的窗口是“硬盘0”,在标题栏上有显示。另外,打开窗口菜单也能看出来,当前窗口被打上一个勾,如果想切换回原来的窗口,就点击“硬盘1”。首先选中系统盘的引导代码然后在选区中单击鼠标右键,选“编辑”又出来一个菜单,然后我们选“复制选块”“正常”然后我们切换回硬盘1窗口,在零扇区的第一个字节处单击鼠标右键,选“编辑”然后选“剪贴板数据”“写入”出现一个窗口提示,点“确定”这样,我们就把一个正常系统盘上的引导代码复制过来了。下面,我们就开始恢复分区表(共64个字节,分为4个分区表项,每个分区表项占用16个字节,一般只使用前两个分区表项),我们首先来恢复第一个分区。

    22、标项(也就是用来描述C盘的)。首先,在第1个字节处(0扇区倒数第五行,倒数第二个字节)填上分区引导标志,因为C盘是活动分区,所以填上80。接着是第2、3、4字节(本分区起始磁头号、扇区号、柱面号),填上:01 01 00。第5字节是分区类型符,因为原先C盘是Fat32格式,所以填上:0B。那么,如果你不知道C盘是什么格式怎么办呢?你会说问问客户呀,那么如果他也不知道呢?别着急,后面在说恢复DBR的时候我会教你怎么分辨分区的格式。第6、7、8字节是本分区的结束磁头号、扇区号、柱面号,这怎么知道呢?别着急,现在的磁盘都是按照LBA方式寻址,并不按照C/H/S(及柱面、磁头、扇区)方式寻址,所以这个。

    23、地方你填些什么一般关系不大,但是我要告诉你有一个通用的填法,那就是:FE FF FF。第9、10、11、12字节,本分区之前已用了的扇区数,也就是MBR所占用的扇区数,那不是63吗?对,但是要将63转为十六进制数,再反过来倒着填写上。还记得怎么用计算器吗?将63转为十六进制数是3F,不够四个字节前面加零,也就是00 00 00 3F,再将此数从右向左依次序反过来就是3F 00 00 00。第13、14、15、16字节是本分区的总扇区数,也就是C盘的大小,这就要通过稍微一点点计算来得到了。因为C盘是从第63个扇区开始,而C盘后面紧接着的是EBR,所以用EBR所在的第一个扇区数减去63就是C盘的大。

    24、小。那么如何才能找到EBR所在的第一个扇区呢?我们前面说过,EBR的结构和MBR是一样的,所以,EBR的结束标志也一定是55AA,那么,只要我们找到这个结束标志,再看看这个扇区是不是EBR不就行了?单击“搜索”“查找十六进制数值”,然后出来一个对话框在文本框中输入“55AA”,搜索框中选“全部”,然后选中“条件”,把偏移量设置为“512=510”。再单击“确定”。画面如下:首先找到第一个“55AA”,我们看到,个扇区在第63个扇区上,并不是我们要找的EBR,再按F3继续查找又找到好几个扇区,都不是,那么下面这个扇区是不是?前面我们说过,EBR的结构和MBR的结构是一样的,所以在倒数第五行倒数第。

    25、二个字节应该是00 01,并且前446个字节应该是0,显然这也不是EBR,继续按F3查找终于找到了真正的EBR,在扇区。小技巧:现在的硬盘都比较大,要逐个扇区的查找55AA确实太慢了,那么有没有办法快点呢?有,那就是先问问客户C盘大概有多大,大多数客户还是知道的,比如他说C盘大概有10个G,那么你就不要从头开始找了,因为那实在太慢了。10个G大概是2000万个扇区,那么你可以用转到扇区命令直接到1900万扇区,从那个地方再开始找不就省事多了。用减去63,得到,再转为16进制,就是15E6C1,将他倒转过来就是C1E61500,这就是C盘的大小。这样,第一个分区表项填写完毕,我们保存一下,再接着。

    26、填写第二个分区表项。第二个分区表第1个字节:因为是非活动分区,所以写00第2、3、4字节,填写01 01 00(通用的)第5字节:因为是扩展分区,所以填写0F第6、7、8字节:填写FE FF FF(通用)第9、10、11、12字节是本分区之前已用了的扇区数,应该就是C盘大小加63,也就是,前面刚计算出来的,转为十六进制数再反过来就是00 E7 15 00第13、14、15、16字节是本分区的总扇区数,也就是扩展分区的总扇区数,也就是用整个硬盘的大小减去C盘的大小再减去63,即-63=,转为十六进制就是,反过来就是。这样,第二个分区表项就填写完了。不要忘了把最后的结束标志55AA填上,这样,MB。

    27、R就全恢复完了,最后,保存,再重新启动启动完毕,迫不及待的打开我的电脑,发现三个分区全部又回来了,并且里面的数据完好无损。再右击“我的电脑”,选“管理”出现一个对话框,选“磁盘管理”,在右边可以看到磁盘一的三个分区(Fat32、Fat16、Ntfs)全部都回来了,至此,手工恢复分区表顺利完成。手工恢复数据恢复成功率比较高,而且比较有趣味和挑战性,能找回许多傻瓜似的软件所找不回来的文件,但是要求工程师一定要有耐性,而且一定要保持清醒,清楚自己正在操作什么,操作完了会有什么后果,能不能退回到上一步状态。特别是对一些破坏性操作,一定要考虑周到,只要条件允许,就一定要在操作之前进行备份,否则会造成“血”的教训,切记!下面我们会说到手工恢复DBR、FAT(此教程被收录在付费教程中),这些比手工恢复分区表还要复杂,更需要大量的计算。再说完了使用Winhex手工恢复数据之后,我们会说到一些数据恢复软件,结合数据恢复软件会使数据恢复成功率大大提高,但有一些软件在扫描过程中会对原盘破坏数据,在使用中一定要谨慎!而且同一个软件,一个新手用和一个老手用数据恢复成功率绝对是不一样的,这些软件我们会免费赠送,绝对不会让你学习了资料却找不到软件的。

    更多相关内容
  • winhex数据恢复教程

    2018-10-29 12:32:21
    本资源内容包括: 1.数据恢复基础课 2.FAT32数据恢复 3.NTFS数据恢复 4.EXFAT数据恢复 5.分区表数据恢复 6.数据恢复综合案例 本资源文件过大,上传乃是下载链接!!!
  • winhex数据恢复教程从入门到精通.pdf
  • WINHEX数据恢复教程

    2017-09-22 09:38:50
    运用WINHEX软件做数据恢复的详细教程,可以做删除恢复,也可以做格式化恢复,底层恢复技术,快速恢复,找回数据不难
  • 数据恢复软件之winhex的使用 1.4.通用的数据恢复方法 1.5.数据的存储形态 1.6.本套教程学习方法 2.FAT32数据恢复 3.NTFS数据恢复 4.EXFAT数据恢复 5.分区表数据恢复 6.数据恢复综合案例 附赠
  • winhex数据恢复教程1.数据恢复基础课 -2018-05-12 11:221.为什么要学winhex手工恢复数据-2018-05-12 11:222.数据恢复环境之虚拟磁盘-2018-05-12 11:223.数据恢复软件之winhex的使用-2018-05-12 11:224.通用的数据...

    winhex数据恢复教程

    1.数据恢复基础课    -2018-05-12 11:22

    1.为什么要学winhex手工恢复数据

    -2018-05-12 11:22

    2.数据恢复环境之虚拟磁盘

    -2018-05-12 11:22

    3.数据恢复软件之winhex的使用

    -2018-05-12 11:22

    4.通用的数据恢复方法

    -2018-05-12 11:22

    5.数据的存储形态

    -2018-05-12 11:22

    6.本套教程学习方法

    2.FAT32数据恢复    -2018-05-12 11:22

    1.FAT32文件系统数据结构

    -2018-05-12 11:22

    10.找出指定目录的所有子目录

    -2018-05-12 11:22

    11.创建一个文件对文件系统做了哪些操作

    -2018-05-12 11:22

    12.用winhex手工创建一个文件

    -2018-05-12 11:22

    13.删除一个文件对文件系统做了哪些操作

    -2018-05-12 11:22

    14.清空回收站对文件系统做了什么操作

    -2018-05-12 11:22

    15.按SHIFT彻底删除对文件系统做了什么操作

    -2018-05-12 11:22

    16.恢复删除的文件-用winhex显示删除过的文件

    -2018-05-12 11:22

    17.有高位簇的文件删除后对文件系统做了什么操作

    -2018-05-12 11:22

    18.恢复删除的文件-手工计算被清空的高位簇

    -2018-05-12 11:22

    19.剪切文件对文件系统做了什么操作

    -2018-05-12 11:22

    2.FSINFO扇区数据结构

    -2018-05-12 11:22

    20.格式化对文件系统做了什么操作

    -2018-05-12 11:22

    21.格式化的恢复-虚拟子目录

    -2018-05-12 11:22

    22.格式化的恢复-手工提取根目录下文件

    -2018-05-12 11:22

    23.格式化的恢复-手工计算DBR参数

    -2018-05-12 11:22

    24.格式化的恢复-取巧获得DBR参数

    -2018-05-12 11:22

    25.磁盘未被格式化恢复-利用备份的DBR恢复

    -2018-05-12 11:22

    26.磁盘未被格式化恢复-用系统格式化默认参数恢复

    -2018-05-12 11:22

    27.磁盘未被格式化恢复-手工计算DBR参数

    -2018-05-12 11:22

    28.文件或目录损坏的原因和恢复方法

    -2018-05-12 11:22

    29.文件名变乱码的恢复方法

    -2018-05-12 11:22

    3.FAT表的作用和特点

    -2018-05-12 11:22

    30.磁盘未被格式化恢复-根据FAT表算出簇大小

    -2018-05-12 11:22

    4.根目录和短文件名目录项

    -2018-05-12 11:22

    5.起始簇号的计算方法

    -2018-05-12 11:22

    6.利用FAT表找出目录的下个簇

    -2018-05-12 11:22

    7.长文件名目录项

    -2018-05-12 11:22

    8.根据两个子目录算出簇大小

    -2018-05-12 11:22

    9.搜索完整的长文件名方法

    -2018-05-12 11:22

    3.NTFS数据恢复     -2018-05-12 11:22

    1.NTFS文件系统的特性和数据结构

    -2018-05-12 11:22

    ?

    10.10H属性的数据结构

    -2018-05-12 11:22

    ?

    11.30H属性的数据结构

    -2018-05-12 11:22

    ?

    12.80H属性的数据结构

    -2018-05-12 11:22

    ?

    13.90H属性的数据结构

    -2018-05-12 11:22

    ?

    14.A0H属性的数据结构

    -2018-05-12 11:22

    ?

    15.把文件删除到回收站对文件系统做了什么改变

    -2018-05-12 11:22

    ?

    16.清空回收站对文件系统做了什么改变

    -2018-05-12 11:22

    ?

    17.恢复从回收站清空的文件

    -2018-05-12 11:22

    ?

    18.按住shift键删除文件对文件系统做了什么改变

    -2018-05-12 11:22

    ?

    19.手工恢复按shift键删除的文件

    -2018-05-12 11:22

    ?

    2.NTFS文件系统DBR的数据结构

    -2018-05-12 11:22

    ?

    20.磁盘未被格式化的恢复-利用备份DBR恢复

    -2018-05-12 11:22

    ?

    21.磁盘未被格式化的恢复-手工计算出DBR参数

    -2018-05-12 11:22

    ?

    22.MFT偏移文件或目录损坏且无法读取的修复方法-

    -2018-05-12 11:22

    ?

    23.文件或目录损坏且无法读取-手工修复MFT

    -2018-05-12 11:22

    ?

    24.文件或目录损坏且无法读取-手工修复后用命令直接修复分区

    -2018-05-12 11:22

    ?

    25.格式化对分区做了什么操作

    -2018-05-12 11:22

    ?

    26.恢复被格式化盘里的数据-修复MFT

    -2018-05-12 11:22

    ?

    27.恢复被格式化盘里的数据-手工计算簇大小

    -2018-05-12 11:22

    ?

    28.恢复被格式化盘里的数据-重组有片段的MFT

    -2018-05-12 11:22

    ?

    29.通过Bitmap算出文件系统的总扇区数

    -2018-05-12 11:22

    ?

    3.NTFS文件系统的元文件

    -2018-05-12 11:22

    ?

    30.通过日志恢复被删除的文件(包括大于4G的文件)

    -2018-05-12 11:22

    ?

    4.NTFS文件系统-主文件表MFT

    -2018-05-12 11:22

    ?

    5.NTFS文件系统-MFT的文件记录头数据结构

    -2018-05-12 11:22

    ?

    6.MFT的属性头数据结构

    -2018-05-12 11:22

    ?

    7.MFT的簇流运行数据结构

    -2018-05-12 11:22

    ?

    8.手工提取有片段数据实例

    -2018-05-12 11:22

    ?

    9.手工提取起始簇为负数的数据实例

    -2018-05-12 11:22

    4.EXFAT数据恢复    -2018-05-12 11:22

    1.初识EXFAT文件系统

    -2018-05-12 11:22

    ?

    10.文件或目录损坏且无法读取的恢复方法-EXFAT文件系统

    -2018-05-12 11:22

    ?

    2.DBR的数据结构-EXFAT文件系统

    -2018-05-12 11:22

    ?

    3.FAT表和簇位图-EXFAT文件系统

    -2018-05-12 11:22

    ?

    4.目录项数据结构-EXFAT文件系统

    -2018-05-12 11:22

    ?

    5.删除文件时有什么改变-EXFAT文件系统

    -2018-05-12 11:22

    ?

    6.恢复被删除的文件-EXFAT文件系统

    -2018-05-12 11:22

    ?

    7.格式化对分区有什么改变-EXFAT文件系统

    -2018-05-12 11:22

    ?

    8.恢复被格式化的文化-EXFAT文件系统

    -2018-05-12 11:22

    ?

    9.磁盘未格式化的恢复方法-EXFAT文件系统

    -2018-05-12 11:22

    5.分区表数据恢复    -2018-05-12 11:22

    ?

    1.MBR基本磁盘

    -2018-05-12 11:22

    ?

    2.GPT磁盘

    6.数据恢复综合案例    -2018-05-12 11:22

    ?

    1.重装系统只剩一个C盘-利用备份DBR找出分区

    -2018-05-12 11:22

    ?

    10.NTFS格式化成FAT32文件系统恢复方法

    -2018-05-12 11:22

    ?

    11.NTFS格式化成EXFAT文件系统恢复方法

    -2018-05-12 11:22

    ?

    12EXFAT格式化成NTFS文件系统恢复方法

    -2018-05-12 11:22

    ?

    2.重装系统只剩C盘-利用数据的存储原理

    -2018-05-12 11:22

    ?

    3.重装系统只剩C盘-根据子目录定位DBR

    -2018-05-12 11:22

    ?

    4.分区丢失根据Bitmap算出文件系统的总扇区数

    -2018-05-12 11:22

    ?

    5.分区丢失DBR损坏(FAT32)修复方法

    -2018-05-12 11:22

    ?

    6.移动硬盘的文件夹出现文件或目录损坏且无法读取修复方法

    -2018-05-12 11:22

    ?

    7.U盘文件夹打不开,双击无法进去恢复方法

    -2018-05-12 11:22

    ?

    8.FAT32格式化成NTFS文件系统恢复方法

    -2018-05-12 11:22

    ?

    9.FAT32格式化成EXFAT文件系统恢复方法

    -2018-05-12 11:22

    302bad67f9dda864b7616bad5169f95e.gif

    5.jpg (39.41 KB, 下载次数: 5)

    2019-5-5 10:31 上传

    d4450cbd56bf858437d27dd514ff7bc8.gif

    winhex数据恢复教程.txt

    (5.09 KB, 下载次数: 41, 售价: 20 金币)

    2019-5-5 10:31 上传

    点击文件名下载附件

    售价: 20 金币 [记录]

    展开全文
  • winhex数据恢复入门教程

    千次阅读 2020-11-15 13:52:10
    Winhex是X-Ways公司出品的一款十六进制编辑、磁盘编辑软件,其公司网站... 附带数据恢复功能 可以访问物理内存及虚拟内存 内置数据解释器,可以识别解释20种数据类型 可以用数据结构模板查看、编辑结构数据

    Winhex是X-Ways公司出品的一款十六进制编辑、磁盘编辑软件,其公司网站对其功能介绍如下:

    •    可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑
      
    •    支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统
      
    •    可支持重组RAID及动态磁盘
      
    •    附带数据恢复功能
      
    •    可以访问物理内存及虚拟内存
      
    •    内置数据解释器,可以识别解释20种数据类型
      
    •    可以用数据结构模板查看、编辑结构数据
      
    •    可以分割与合并文件
      
    •    可以对文件进行分析与对比
      
    •    具有灵活的搜索和替换功能
      
    •    可以对磁盘进行克隆
      
    •    可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理
      
    •    具有编程接口,支持脚本操作
      
    •    支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算
      
    •    支持对磁盘进行数据安全销毁
      
    •    包含ANSI ASCII, IBM ASCII, EBCDIC, Unicode字符集
      
    •    支持文件大小超过4GB
      

    4.2 软件的获取与安装
    读者可以在网络上搜索提供下载Winhex的网站,或直接到其公司网站www.winhex.com下载试用版或购买正版。
    Winhex的安装与普通软件安装没有区别,以在Windows XP下为例,双击Setup.exe程序即可开始安装过程。如图4.1所示
    在这里插入图片描述
    图4.1
    程序默认的安装路径是C:\Program Files\WinHex,当然也可以自行选择安装到其他位置。
    可以选择语言种类,不过用以选择中文的Chinese按钮处于灰色不可选状态,应该是尚不支持中文。用户可以选择其它语言,默认语言是英文。
    确定安装位置无误后,点击OK按钮,程序会弹出一个询问框,询问是否确定将程序安装到所选位置。如图4.2所示。在这里插入图片描述
    如果要对安装位置重新选择,可以按“否”按钮回到原界面进行设置。否则按“是”图4.2
    如果要对安装位置重新选择,可以按“否”按钮回到原界面进行设置。否则按“是”按钮继续安装。
    程序随即会弹出询问框询问是否要建立快捷方式。如图4.3所示。点击按钮“是”,程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。
    在这里插入图片描述
    图4.3
    最后,程序提示安装完毕,询问是否运行程序。如图4.4所示。在这里插入图片描述
    图4.4
    点击“是”按钮,程序即开始运行。如果不想立即运行程序,可以点击“否”按钮,在使用程序时从开始菜单中启动程序。
    4.3软件使用
    4.3.1 启动软件
    以Winhex15.1为例,第一次运行程序,程序会给出一个设置窗(如图5所示),有两个可选项:

    •    Write protection by default:设置写保护,即只可以对打开的对象进行查看,不可以进行修改;
      
    •    Computer forensics interface:如果要使用取证界面,则应该勾选项。
      

    我们是要使用底层分析及数据恢复功能,所以不需要在这个设置窗中进行任何设置,直接点击OK按钮即可,这样运行的程序默认允许对打开的对象进行读写操作。在这里插入图片描述
    图4.5
    程序运行后的界面如图4.6所示。现在还只是一个空的程序主界面,可以在这个界面中选择所需的各种功能。
    在这里插入图片描述
    图4.6
    4.3.2 打开对象
    要对一个对象进行底层分析,首先要将其打开。下面我们以打开一个磁盘后的界面来介绍一下Winhex的十六进制编辑窗口。
    在Winhex主界面中打开一个磁盘可以有三种方式:
    1.点击工具栏中的 按钮。
    2.按键盘上的F9键。
    3.点击菜单Tools→Open Disk,如图4.7所示。
    在这里插入图片描述
    图4.7
    无论使用哪用方法,都会弹出磁盘选择框,如图4.8所示。
    在这里插入图片描述
    图4.8
    在磁盘选择框中,磁盘以两种形式分组,上面的一组是“逻辑磁盘”,下面的一组是“物理”磁盘。我们可以简单地理解“逻辑磁盘”就是我们在“我的电脑”界面中看到的一个个的分区,它们存在于物理磁盘中。
    打开逻辑磁盘和打开物理磁盘的区别在于:

    •    打开逻辑磁盘时Winhex使用该分区内的文件系统参数遍历整个分区,可以从文件系统层解释分区内的数据;
      
    •    打开物理磁盘时,Winhex不以任何文件系统为基础,只是简单地将整个磁盘的内容以十六进制的形式展现在我们面前。
      

    由于我们目前尚未接触到文件系统知识,所以在此我们不对此进行详细的介绍,在后面学习到文件系统的知识后自然会理解。图4.9可以帮助大家理解一下物理磁盘和逻辑磁盘的关系。
    在这里插入图片描述
    图4.9在这里插入图片描述

    4.3.4 界面布局
    现在我们打开物理磁盘中的HD0,并以它为例对打开后的界面进行介绍。请看图4.10。
    在这里插入图片描述
    图4.10
    1.菜单栏
    菜单栏集合了程序提供的所有功能入口。
    2.案件数据
    主要用于取证,可以将一个磁盘装入到案件数据框中查看数据、进行取证记录等。这个功能在数据恢复中并不常用,可以通过勾选菜单栏中的View→Show→Case Data选项控制它的显
    在这里插入图片描述
    图4.11
    3.目录浏览器
    根据打开磁盘方式的不同,目录浏览器内显示的内容会有所不同:

    •    打开物理磁盘时,如果有可识别的分区,目录浏览器中会显示各个分区的类型、大小及起始扇区等信息。
      
    •    打开逻辑磁盘时,如果有可识别的文件系统,目录浏览器中会显示逻辑磁盘中的数据内容,显示效果与在“我的电脑”中打开一个分区后看到的内容相同。
      

    是否显示目录浏览器可以通过View→Show→Directory Browser控制。
    4.数据解释器
    数据解释器是一个浮动窗口,可以在屏幕窗口中任意拖拽到任何位置。是否显示数据解释器由View→Show→Data Interpreter控制。
    当鼠标指针位于十六进制区或文本字符区时,数据解释器可以很方便地将鼠标指针当前所处位置的字节(或字符区的字符在十六进制区的对应字节)及向后若干个字节的十六进制数解释成十进制数、八进制数或同步显示十六进制数。可以在数据解释器窗口中右击,在弹出的快捷菜单中进行相应的设置。快捷菜单如图4.12所示。
    在这里插入图片描述
    图4.12
    (1) Options:点击该选项(或在数据解释器窗口左半部分双击)会弹出数据解释设置框(如图4.13所示),可以在设置框中通过多选形式设置要在数据解释器中显示的内容、性质及类型。默认情况下数据解释器将十六进制解释为十进制,如勾选“8bit,signed”会在数据解释器中显示指针所处位置的这一个字节的十进制值,“signed”表示有符号,即数值有正负之分。如果选择了“8bit,unsigned”,数据解释器会将指针当前所在位置的字节解释成无符号的数值,即只将其当做正数。
    数据解释设置框中还可以设置数据解释的精度,设置解释成各种时间值,设置按Big-Endian顺序解释多字节数值(默认以Little-Endian解释多字节数值)等。
    在这里插入图片描述
    图4.13
    (2) Big Endian:点击该选项会在其前面显示对勾,表示以Big Endian顺序解释多字节数值(同样的设置功能在数据解释设置框中也有,直接将其放入快捷菜单中是为了便于使用)。在选项被勾选的情况下再次点击它,就会重新回到Little Endian解释状态。
    (3) Hexadecimal:点击该选项会在其前面显示对勾,表示将数值显示为十六进制(默认解释为十进制)。再次点击它,就会回到解释为十进制状态。
    (4) Octal:解释为八进制,该选项的使用方法与前两个选项相同。
    5.工具栏
    工具栏集合了一些常用功能的快捷图标。是否显示工具栏可以通过View→Show→Toolbar控制。随后我们会对工具栏进行专门的详细介绍。
    6.对象卡
    对象卡用于标识当前打开的对象窗口。是否显示对象卡可以通过是否勾选View→Show→Tab Control控制。在对象卡上右击会弹出关闭窗口快捷菜单,可通过该菜单关闭当前选项卡标识的对象窗口。
    7.详细面板
    详细面板用以显示当前活动窗口对象的详细信息,是否显示详细面板可以通过是否勾选View→Show→Details Panel控制。
    根据打开对象的不同,详细面板显示的内容会有所不同。
    打开一个物理磁盘时,详细面板会显示该物理磁盘的型号(Model)、序列号(Serial No)、固件版本(Firmware Rev)、当前编辑模式、当前状态(磁盘内容是否经过修改)、总容量、每扇区字节数、当前位置所属分区号、在分区中的扇区号、当前指针所在区域(十六进制区/文本区)、字符集、偏移坐标表示形式等一系列信息。
    打开一个逻辑磁盘时,详细面板会显示该逻辑分区在物理磁盘上的分区号、空闲百分比、文件系统类型、编辑模式、状态、当前簇号、当前扇区所属文件、当前扇区物理扇区号、当前扇区逻辑扇区号、分区已用空间、分区空闲空间、总容量、每簇扇区数、空闲簇数、总簇数、每扇区字节数等信息。
    8.偏移纵坐标
    与偏移横坐标配合,唯一地标识十六进制区域中每个字节的偏移地址。在偏移纵坐标区内单击,可以使偏移坐标的表示形式在十进制和十六进制间进行转换。
    9.偏移横坐标
    与偏移纵坐标配合,唯一地标识十六进制区域中每个字节的偏移地址。
    10.十六进制区
    以十六进制形式表示磁盘上的存储内容,是主要的工作区域。
    11.文本字符区
    根据选择的字符集,以文本字符形式显示磁盘上的内容。
    12.当前扇区号/总扇区数
    显示当前光标所在的的扇区号以及整个磁盘的总扇区数。在该区域单击会弹出“转到扇区”对话框。在该区域右击则会弹出拷贝当前扇区号或总扇区数快捷菜单。如图4.14所示。
    在这里插入图片描述
    图4.14
    13.光标当前位置偏移值及当前字节十进制值
    标明光标当前位置的偏移值以及由当前字节开始的若干个字节的十进制值。
    (1) 在偏移值部分单击会弹出转到偏移量对话框;在偏移值部分右击会弹出一个快捷菜单,如图4.15所示。
    在这里插入图片描述
    右键快捷菜单中,提供了拷贝光标当前位置偏移量的十进制值和十六进制值的菜单项,还提供了一个相对记录偏移菜单项Relative record offsets,点击该菜单项会弹出设置对话框,
    在这里插入图片描述
    图4.16

    •    Apply different background color:使用不同的背景颜色。勾选该项后,程序会按下面Fist record at offset框中设置的起始偏移位置和Record size in bytes框中设置的间隔记录大小字节数对显示内容使用不同的背景颜色,以便于用户区分。
      
    •    Relative record offsets:使用相对记录偏移。勾选该项后,程序会以下面Fist record at offset框中设置的起始偏移位置为相对偏移0,该偏移0后的字节偏移都以该偏移0位置为基准。
      
    •    Fist record at offset:起始偏移位置,十六进制。根据勾选项的不同,做为使用不同背景颜色的起始偏移,或做为相对偏移0的位置。
      
    •    Record size in bytes:记录大小,十进制。勾选了使用不同背景颜色项后,每隔这个“记录大小”的字节数,交替更换一次背景颜色。
      

    (2) 在“光标当前位置字节值(十进制)”区域单击,会弹出十进制解释器设置框,如图4.17所示。在这里插入图片描述
    十进制解释器设置框用于设置将光标当前所在位置开始的几个字节解释为十进制数值,以及将其做为有符号还是无符号数值进行解释。例如,设置为8bit,unsigned将光标当前所在位置的这一个字节当做无符号数解释为十进制。如果设置为32bit,unsined,则将光标当前所在位置开始的4个字节做为无符号数解释为十进制值。
    我们进行如下设置:

    •    以偏移0x21字节处为相对偏移0,同时它也做为使用不同背景颜色的起始处,每隔32个字节更换背景颜色;
      
    •    在十进制解释器中选择“32bit,unsigned”。
      

    图4.18为设置后的界面结果,我们可以看到虽然实际上光标的位置并没有移动,但“光标所在位置偏移量”处的值发生了变化,因为现在以0x21字节处为相对偏移0,光标现在恰好处于这个位置,所以它的偏移位置为0。
    同样,“光标当前位置字节值(十进制)”处的值也发生了变化,因为原来解释器解释的是1个字节,现在解释的是4个字节。
    在这里插入图片描述
    外,当设置了使用相对记录偏移后,在偏移值区域右击时弹出的快捷菜单中将增加一个“Absolute offsets”菜单项(见图4.19),它用于快速将“使用相对记录偏移”重新设置为“使用比对偏移”,即以磁盘的偏移0为偏移基准。在这里插入图片描述
    还有一点,选择了使用相对记录偏移后,“当前扇区/总扇区数”部分将变成“当前记录号/总记录数”,单击该区域时也会相应弹出“转到记录”对话框。如图4.20所示。在这里插入图片描述
    14.当前选块起/止偏移值及选块大小字节
    如果选择了选块,会在这个位置显示选块的范围及选块的大小字节数。如图4.21所示,选块起始于偏移0x21,结束于0x30,所以选块范围显示是“21-30”;共0x10个字节,所以选块大小字节数部分显示“10”。在这里插入图片描述
    图4.21
    在“当前选块起/止偏移值及选块大小字节”区域内单击,会弹出定义选块对话框,如图4.22所示。在这里插入图片描述
    图4.22
    (1) Beginning:选块开始偏移。可以直接输入偏移值,也可以在后面的选项框中选择一个选项对应的对象做为选块起始位置,如图4.23所示。

    •    Current position:光标当前位置。
      
    •    Beginning of file:文件或磁盘的起始0字节处。
      
    •    Middle of file:文件或磁盘的中部。
      
    •    End of file:文件或磁盘的尾部。
      
    •    Beginning of block:选块起始处。如果当前有选块被选中,则将选块的起始处做为新选块的起始。
      
    •    End of block:选块结尾处。如果当前有选块被选中,则将选块的结尾处做为新选块的起始。![在这里插入图片描述](https://img-blog.csdnimg.cn/20201115122400660.png#pic_center)
      

    图4.23
    (2) End:选块结束偏移。可以直接输入偏移值,也可以在后面的选项框中选择一个选项对应的对象做为选块结束位置,其选项内容与选项含义与定义选块起始位置相同。
    4.3.5 工具栏详解
    1.
    :新建文件
    用于新建一个RAW文件(也可以通过菜单File→New或快捷键Ctrl+N实现同样的功能)。点击该图标会弹出创建新文件对话框,如图4.24所示。可以通过在对话框中输入数值并选择单位(Bytes/KB/MB/GB)来创建一个新的文件。新建的文件会被程序直接打开,在对其进行保存前只存在于内存中。注意不要创建太大的文件,否则可能会造成资源耗尽。

    在这里插入图片描述

    图4.24
    2.
    :打开文件
    “打开文件”的菜单功能位于File→Open,快捷键Ctrl+O。用于打开一个已经存在的文件,Winhex程序打开文件时不关心它的文件类型,只是以十六进制形式打开它。
    3.
    :保存
    新建了一个文件,或对一个已经存在的文件或磁盘内容进行修改后,该按钮将处于活动状态,用于对未保存的内容进行保存。
    4.
    :打印
    用于发送打印指令。
    5.
    :文件属性
    用于对一个文件的大小、时间信息等进行编辑,如图4.25所示。编辑完成后按回车键,程序将提示编辑结果立即生效,如图4.26所示。

    图4.25

    在这里插入图片描述

    图4.26
    在这里插入图片描述

    .6.
    :打开文件夹
    用于同时打开一个文件夹下的多个文件。点击后弹出图4.27所示的文件夹选择窗口。

    在这里插入图片描述

    图4.27

    •    掩码:可以打开文件夹下的所有文件,也可以通过设置掩码打开某种指定的文件,例如设置掩码为“*.doc”打开所有的Word文档。
      
    •    打开方式:打开文件的方式,包括只读方式及可修改方式。
      
    •    Must contain specified test:包含指定的文本。点击后弹出查找文本对话框(对话框设置见后面的“文本搜索”),可以在对话框中输入文件中需要包含的文本。不过,Winhex对中文的搜索支持不好。
      
    •    Must contain specified hex values:包含指定的十六进制值。点击后弹出十六进制搜索对话框(对话框设置见后面的“十六进制搜索”),可以在对话框中输入需要包含在文件中的十六进制值。
      
    •    Include subfoders:包括子文件夹。勾选该项后,不只打开当前文件夹下的文件,还会打开当前文件夹下的子文件夹。
      

    7
    :撤销
    用以撤销刚进行的操作。比如对某个字节进行了修改后,想撤销修改,可以点击该按钮。
    8.
    :复制选块
    用以将选中的选块复制到剪贴板。该功能并不是太方便,我们将在后面介绍更为实用和方便的右键快捷菜单。
    9.
    :写入选块
    将剪贴板中的内容从指定当前所在位置写入。同样,我们建议使用后面介绍到的右键快捷菜单中的相同功能。
    10.
    :转换文件
    只对打开的文件有效。点击后弹出转换选择框,如图4.28所示,可以在转换选择框中选择需要进行的转换。

    在这里插入图片描述

    图4.28
    11.
    :修改数据
    用于对选块选或文件数据进行各种处理,可以用来对数据进行简单的加密。点击该按钮后将弹出修改数据设置框,如图4.29所示。

    在这里插入图片描述

    图4.29

    •    Add:将选块中的数值与Add后输入框中的值相加。
      

    ² 通过是否勾选后面的“hexadec”控制设定输入框中的值是十进制还是十六进制。
    ² 点击Integer type后的 按钮,可以弹出整数类型选择框(如图4.30所示),用于设定选块或文件中数据的单位长度,假设有一个数值0x940239F1C2040001,以Little-endian顺序存储在磁盘上为“01 00 04 C2 F1 39 02 94”加“1”为例,如果选择“8bit,signed”表示将“01 00 04 C2 F1 39 02 94”的每个字节做为一个单位长度,即每个字节加“1”,变成“02 01 05 C3 F2 3A 03 95”;如果选择“16bit,singned”则将“01 00 04 C2 F1 39 02 94”的每两个字节做为一个单位长度,将每个单位长度的数值加“1”,即将原数据分解成“0100”、“04C2”、“F139”、“0294”后对每个数值进行加“1”处理,因为是Little-endian存储顺序,所以每个单位的数值分别变为“0200”、“05C2”、“F239”和“0394”,即原数值在磁盘上的存储形式变为“02 00 05 C2 F2 39 03 94”。

    在这里插入图片描述

    图30
    ² Excess of integer type range部分用于设置当相加后的结果超出Integer type中设定的整数类型能够表示的数值大小范围时如何处理。以在integer type中选择了“8bit,unsigned”为例(可表示的数值范围是0~255),将0xFE(十进制为254)加“2”,由于254+2=256,超出了8bit可表示的最大值范围,如果选择“No,use limit as new value”,即不允许超出,而是将可表示的最大值做为结果,则计算结果为0xFF;如果选择了“Allowed”,则计算方式是将超出了最大表示范围的结果值减去可表示的最大值,即256-255=1,结果为1。同样,如果计算结果小于0时,选择“No,use limit as new value”则将0做为结果;选择“Allowed”将计算后小于0的结果加上可以表示的最大值。
    ² 如果要将通过Add处理后的结果回复原状态,使用同样的设置减去原来加上的值即可。

    •    16-bit byte swap:以16个bit为单位,将每个单位中的前后两个字节交换位置。假如有一个数值在磁盘上的存储形式为“01 02 03 04”,处理时将其分解为“01 02”和“03 04”,然后将每个单位中的两个字节交换位置,即分别变为“02 01”和“04 03”,再组合到一起成为“02 01 04 03”。
      
    •    32-bit byte swap:以32个bit为单位,将每个单位中的4个字节前后顺序交换。
      
    •    Left shift by 1 bit:左移一位,将每个字节左移一位。例如,如果某个字节的值为0x04,换算成二进制后是0000 0100,左移一位后变成0000 1000,即0x08。
      
    •    Right shift by 1 bit:右移一位,将每个字节右移一位。例如,将0x04右移一位变成0x02。
      
    •    Shitf by…byte(s):将选块内容向左或向右移动若干个字节,负数为向左,正数为向右。实际结果是将当前选块复制后从向左或向右后的若干个字节位置写入。
      
    •    Circular left rotation:左移本身个字节。例如,数值本身为4,则左称4个字节;数值本身为5,则左移5个字节。
      
    •    Invert bits:反转。用0xFF减去每个字节的当前值,将结果做为当前字节的新值。例如,当前字节为0x02,反转后的值是0xFF-0x02 = 0xFD。
      
    •    XOR:异或运算。将每个字节的当前值与设定的值进行异或,结果做为当前字节的新值。
      
    •    OR:或运算。将每个字节的当前值与设定的值进行或运算,结果做为当前字节的新值。
      
    •    AND:与运算。将每个字节的当前值与设定的值进行与运算,结果做为当前字节的新值。
      
    •    ROT13:字母置换。ROT13将26个英文字母分为两组,每组13个,然后将两组字母按先后顺序一一对应,置换时按这个对应关系进行置换。如图4.31所示。
      

    在这里插入图片描述

    图4.31
    12.
    :查找文本
    用于查找文本字符(对汉字搜索支持不好)。点击后弹出查找文本对话框,如图4.32所示。

    在这里插入图片描述

    图4.32

    •    Match case:区分大小写。勾选该项后,搜索中将完全匹配字母的大小写,默认是忽略大小写。例如,要搜索“Test”,但输入的是“test”,如果不勾选区分大小写选项,程序可以搜索到;如果勾选了区分大小写,则程序只严格搜索“test”,大小写不一致的将不会被做为结果目标。
      
    •    编码选择:设置搜索ASCII码/Unicode码。
      
    •    Use this as a wildcard:设置通配符。例如,要搜索所有后三个字母为“est”、由4个字母组成的单词,可以勾选该选项并设定一个通配符,同时配合勾选下面的Whole words only(全字符匹配)进行搜索。例如可以使用“?”做为通配符,搜索“?est”。
      
    •    Whole words only:全字符匹配,即搜索目标和结果需要整个单词完全匹配。
      
    •    搜索方向:用于设置在整个磁盘或文件范围内进行搜索,还是由当前位置开始向上或向下搜索。
      
    •    偏移设置:设定符合要求的目标位置,用以减少干扰信息。例如要搜索位于每个扇区偏移96字节处的某字符,可以设置为MOD 512 = 96,即只有偏移位置除以每扇区字节数512余数为96字节的位置才符合要求。这些位置的偏移可能会是0+96、512+96、1024+96等等,其他位置的相同字符将不在搜索结果内。
      
    •    Search in block only:只在选块内搜索。如果确定搜索目标就在某个范围内,可以选中该选块,这时Search in block only选项将变成可选状态,勾选后即可实现只在设定的范围内搜索目标。
      
    •    Search in all open windows:在所有打开的窗口中搜索。如果打开个一个以上的对象,则该选项处于可选状态,勾选后程序会在所有打开的窗口中搜索目标。
      
    •    List search hits,up to:将搜索结果列表显示,可以设定显示的搜索结果数量。
      

    :查找十六进制值
    用于查找指定的十六进制值。点击后弹出查找十六进制对话框,如图4.33所示。
    在这里插入图片描述

    图4.33
    相找十六进制对话框内的设置与查找文本对话框基本相同,不同的只是输入搜索的内容为十六进制值,而不再是文本。另外就是通配符要使用一个十六进制值,而不能使用文本。
    14.
    :替换文本
    用于搜索指定的文本内容,并将其替换为设定的文本。如果点击该按钮后弹出图4.34所示的“Only available in-place edit mode”提示框,说明当前操作对象要求程序处于in-place模式才可以运行。这时,可以点击菜单Options→Edit Mode(如图4.35所示),在弹出的模式选择框中选择“In-place Mode (=editable)”选项(如图4.36所示)。

    在这里插入图片描述

    图4.34
    在这里插入图片描述

    图4.35

    在这里插入图片描述

    图4.36
    点击替换文本按钮后会弹出替换文本对话框,如图4.37所示。

    在这里插入图片描述

    图4.37

    •    Search for:搜索目标,也是将要被替换的文本,如“test”。
      
    •    Replace with:做为替换结果的新文本,如“1111”。
      
    •    Prompt when found:搜索到目标后提示是否进行替换。选中该项后,程序搜索到符合被替换文本要求的目标时会弹出提示框,询问是否要对当前偏移位置的内容进行替换,按“Yes”按钮进行替换,按“No”不对当前位置的目标进行替换,继续搜索下一个位置的目标。如图4.38所示。
      

    在这里插入图片描述

    图4.38

    •    Peplace all occurrences:不提示,直接替换所有搜索到的符合替换要求的目标。
      

    :替换十六进制值
    用法与替换文本相同,只是该功能用于搜索和替换十六进制值。
    16.
    :同时搜索文本
    用于同时搜索两个以上文本对象。Winhex可以设置同时搜索两个以上文本对象,这在有多个对象需要搜索时非常有益。对于相互间没有关联的若干个文本对象,可以在一次搜索过程中完成对它们的搜索;对于某个搜索对象,如果由两个以上文本对其进行限定,使用“同时搜索”功能就可以大大增加搜索的精确度。
    大多数选项与前面介绍的其他搜索设置相同,我们只介绍几个该搜索功能特有的选项,如图4.39所示。

    在这里插入图片描述

    图4.39

    •    搜索内容框:搜索内容框用于输入要搜索的目标文本,每个目标文本占用一行。
      
    •    保存文件:可以将输入搜索内容框中的搜索内容保存成一个文件,以便于以后搜索相同(或包含部分相同内容)时减少输入量。
      
    •    打开文件:打开一个以前保存过的搜索内容文件。
      
    •    搜索方式:有两个单选项――逻辑搜索和物理搜索。只有打开磁盘时才会出现“搜索方式”选择项,如果目前打开的只是一个文件,则不会出现该选择项。
      
    •    Logical(file-wise):逻辑搜索。逻辑搜索是指按逻辑存储在文件中进行遍历搜索。
      
    •    Physical(sector-wise):物理搜索。物理搜索即不考虑逻辑存储关系,针对物理扇区进行搜索。
      

    :转到某偏移量
    用于将光标跳转到某偏移量位置。点击后弹出跳转到偏移量对话框,如图4.40所示。

    在这里插入图片描述

    图4.40

    •    New position:新位置,即要跳过的数量(单位以输入框后的单位设置按钮显示的单位为准)。输入的数值可以是十进制也可以是十六进制,这取决于偏移量坐标的表示形式――如果偏移量坐标是十进制,则此处输入的是十进制;如果偏移量坐标是十六进制,则此处输入的是十六进制。
      
    •    单位设置按钮:位于跳转数量输入框后面,每按一次,跳转单位在扇区(Sectors)、字节(Bytes)、字(Words)、双字(Dwords)之间循环变化。
      
    •    Beginning:从当前对象窗口的偏移0处向偏移量较大方向跳转。
      
    •    Current position:从光标所在的当前位置向偏移量较大的方向跳转。
      
    •    Current position (back from):从光标所在的当前位置向偏移量较小的方向跳转。
      
    •    End(back from):从当前对象窗口的最大偏移量处向偏移量较小方向跳转。
      

    :转到某扇区
    跳转到某个指定的扇区。根据打开的对象不同,界面输入框也略有不同――如果打开的是物理磁盘,则只可以输入扇区号(或输入三维在址号);如果打开的是一个可支持的逻辑磁盘,则既可以输入扇区号,也可以输入簇号(Cluster,簇号将在文件系统部分介绍)。如图4.41所示。
    在这里插入图片描述

    图4.41
    19.
    :到上一个位置
    回到前一个采样位置。
    20.
    :到下一个位置
    回到下一个采样位置。
    21.
    :打开磁盘
    打开一个物理或逻辑磁盘。
    22.
    :克隆磁盘
    用于无压缩的扇区级磁盘克隆,将在后面进行详细介绍。
    23.
    :打开内存
    Winhex支持直接对内存进行编辑,点击后将弹出编辑内存选择框,可以在选择框中选择要进行编辑的内存。如图4.44所示。

    在这里插入图片描述

    图4.44
    24.
    :计算器
    调用计算器。
    25.
    :磁盘或选块分析
    用于计算被分析对象中各个值出现的次数及占用的百分比等。
    26.
    :常规设置
    用于设置程序的一些常规属性,将在后面专门进行介绍。
    27.
    :减少一列
    每点击一次就会将界面中十六进制窗口显示的列数减少一列。
    28.
    :增加一列
    每点击一次就会将界面中十六进制窗口显示的列增加一列。
    29.
    :重新获取卷快照
    Winhex可以对卷进行快照,即记录卷中的管理信息。当卷发生改变后可以点击该按钮重新获取卷的快照。
    30.
    :目录浏览器设置
    用于设置目录浏览器的一些属性。
    31.
    :帮助
    用于调用帮助文件。
    4.3.6常规设置
    常规设置用于对Winhex程序中的一些常规属性进行设置,如程序启动反应、可运行程序数量、是否更新文件时间等。
    点击工具栏的常规设置按钮 ,或选择菜单项Otions→General,或者按快捷键F5都可以调出常规设置对话框,如图4.45所示。在这里插入图片描述

    1. Show Start Center at startup
      该条有两种选项,用鼠标点击时会在Show Start Center at startup和Restore last window arrangement间进行转换。
      u Show Start Center at startup:启动程序时显示启动中心。选中该项后,程序启动时会首先显示一个启动中心窗口,如图4.46所示。
      在这里插入图片描述

    图4.46
    ² 打开文件按钮Open Flie:用于打开一个文件。
    ² 打开磁盘按钮Open Disk:用于打开一个磁盘。
    ² 打开内存按钮Open RAM:用于打开内存。
    ² 打开文件夹按钮Open Foldder:用于打开一个文件夹。
    ² 最近打开的对象列表:用于显示最近打开过的对象,列表中可显示的最多数量由设置对话框中第二行的 项决定,用户可以自行设定可显示的对象最多数量。
    ² 脚本列表:显示可用的脚本,属于高级功能,用户可以自行编写脚本,以实现更为强大而细腻的功能。脚本编写完毕并放入相应的目录后,将会在该列表中显示。
    u Restore last Window arrangement:选中该项后,如果在关闭Winhex程序前没有将打开状态下的磁盘、文件或其他对象窗口关闭,重新运行Winhex程序时会自动打开这些对象,并保持上次关闭时该对象的状态。
    2. Items in Windows context menu
    在Windows上下文菜单中显示菜单条目。勾选该项后,将会在Windows中右击一个文件夹或文件时分别显示Open Folder in WinHex或Open in WinHex。如图4.47、图4.48所示。
    在这里插入图片描述

    图4.47
    在这里插入图片描述

    图4.48
    3. Allow multiple program instances
    允许多个程序实例。如果不勾选该项,在同一时刻只能运行一个Winhex程序。勾选该项后,可以同时运行多个Winhex程序。这个功能非常实用,假如用户正在用一个Winhex程序进行搜索或恢复数据,可以同时打开另一个Winhex程序对某个磁盘或文件进行分析。
    4. Do not update file time
    禁止更新文件时间。如果勾选了该项,在Winhex中对某个文件进行修改并保存后,文件的最后修改时间将保持上次修改时的时间值。如果不勾选该项,时间值将会修改为当前时间值。如图4.49所示,勾选该项后,对U.nrg文件进行修改并保存后,时间值仍然保持上次的修改时间值2009年12月1日;而不勾选该项再次对u.nrg文件修改并保存后,它的修改时间被设置为当前时间2009年12月25日。

    在这里插入图片描述

    图4.49
    5. Open data windows maximized
    打开数据窗口时最大化。勾选后,打开一个对象时,该对象窗口将最大化显示。
    6. WinHex context menu
    WinHex上下文菜单。勾选后,在打开的对象窗口中右击,会弹出右键快捷菜单,可以利用该菜单设定选块的起始结束位置、调出下一级编辑菜单等。如图4.50所示。
    在这里插入图片描述

    图4.50
    7. Show file jcons
    显示文件图标。如果勾选了该项,打开某个文件时,Winhex会在详细面板中显示该类文件的图标。
    8. Number partitions by disk location
    根据物理位置列出分区及对分区进行编号。勾选该项后,在打开一个物理磁盘时,如果该磁盘上存在分区,程序会按每个分区在磁盘上的物理前后位置显示它们并为它们编号,而不是用为它们分配的盘符顺序排列。如图4.51所示。

    在这里插入图片描述

    图4.51
    9. Auto-detect deleted pqrtitions
    自动检测被删除的分区。勾选后,打开一个物理磁盘时,程序会自动检测磁盘中被删除的分区。我们将一个磁盘的第三个分区删除(如图4.52所示),用Winhex打开物理磁盘后,Winhex可以自动识别到它,并将其标记为“lost”。如图4.53所示。

    在这里插入图片描述

    图4.52
    在这里插入图片描述

    图4.53
    10. Sector reading cache
    将读取的扇区保存在缓存中。该选项对于在Winhex窗口上下拉动查看光盘或软盘内容时很有用,如果每次拉动查看都去直接读取光盘或软盘,由于它们的访问速度有限,会造成反应迟缓。
    11. Check for suplus sectors
    检查剩余扇区,勾选该项可能会导致打开磁盘时延时较长。
    12. Aternative disk access method
    设置硬盘的访问方式,可以设定可读取非标准硬盘以及遇到坏扇区时的读取超时毫秒数。
    13. Substitute pattem for unreadable sectors
    当某扇区无法正确读取时,用该框中预先设置的内容对其进行填充,默认是“UNREADABLESECTOR”,即“无法读取的扇区”。
    14. Folder for temporary files
    临时文件目录,默认为“C:\Documents and Settings\“用户名”\Local Settings\Temp”,可以自行修改至其它位置。
    15. Folder for images and backup files
    镜象及备份文件存放路径,默认为“C:\Documents and Settings\“用户名”\Local Settings\Temp”,可以自行修改至其它位置。
    16. Folder for cases and projects
    案件及方案存放路径,默认位于程序安装目录内,可自行设置到其他位置。
    17. Folder for scripts
    脚本存放路径,默认位于程序安装目录内,可自行设置到其他位置。
    18. Gallery:Show pictures in archives
    在文档中显示图片。根据版本的不同,该功能可能会有所不同。
    19. Show video preview pictures
    显示图片预览。根据版本的不同,该功能可能会有所不同。
    20. Windows-styled progress bar
    Windows样式进度条。用以设置进度条的样式,勾选后会使用Windows样式。
    21. Display time zone
    时区设置。点击后会弹出时区设置选择框(见图4.54),可以在选择框中选择适当的时区。
    在这里插入图片描述

    图4.54
    22. Generate 0x…with Enter
    如果勾选了该项并在设置框中设置了某十六进制数值,那么当按下回车键时,程序会由当前光标所在位置写入设置框中所设置的内容。
    23. Generate Tabsb with Tab key
    不勾选该项,Tab键用于使光标在十六进制区和文本区进行跳转;勾选该项后按Tab键将会在光标当前位置写“09”。
    24. <0x20 substitute character
    小于0x20的非打印字符可以替换成用户自行指定的字符。
    25. Display bytes as test one by one
    将每个字节看做一个文本字符。这个选项是否勾选对文本区的内容显示有很大的影响,通常应该不勾选该项,这样Winhex就会尝试将字节组合起来形成一个可识别的文本字符。如图4.55所示,不勾选该选项和勾选该选项有时会有很大的区别,尤其是中文字符的显示。上方是未勾选的结果,下方是勾选后的结果。

    在这里插入图片描述

    图4.55
    26. Hexadecimal offsets
    用十六进制表示偏移量。勾选该项后,偏移量横、纵坐标使用十六进制值表示;否则使用十进制值表示。
    27. Virtual addresses in RAM editor
    编辑内存时使用基于0x00的虚拟地址,而不是被编辑对象在内存中的实际地址。
    28. Display page separators
    控制是否对磁盘或文件页面进行每512字节间隔。
    29. …bytes per line
    界面中每行显示的字节数,默认为16个字节。
    30. …byte groups
    每组字节数,默认为8个字节一组,分为左右两组。
    31. …units to scroll on a wheel roll
    鼠标滚轮每滚动一个齿格使界面内容上下移动的行数。
    32. Dialog window style
    按下键头按钮控制当前设置框窗口的外观样式。
    33. MFT FILE record auto coloring
    给NTFS文件系统的MFT记录加上颜色,以突出显示,便于区分。
    34. Block backgrornd color
    选块背景颜色。
    35. Record backgrnd color
    记录背景颜色。
    36. Annotation color
    标签颜色。
    37. Hilite modified bytes
    醒目显示修改过的内容。
    38. Font
    字体。
    4。.3。7 重新获取卷快照
    卷快照是文件系统分区在某个时刻的目录数据库,如果文件系统分区的内容发生了改变,就需要重新获取其快照。点击工具栏的 按钮或选择菜单Specialist→Refine Volume Snapshot即可弹出重新获取卷快照对话框,如图4.56所示。

    在这里插入图片描述

    图4.56

    1. Take New one
      重建快照。勾选该项后会获取并重新建立一个快照。
    2. Particularly thorough file data structure search
      搜索文件系统。勾选该项后会在重建快照的过程中搜索分区中未被元数据描述的数据。
    3. File header signature search
      搜索特定的文件头。勾选该项并在弹出的文件类型选择框中选择要搜索的文件头后,重建快照的过程中会搜索该文件类型。
    4. Compute hash
      计算hash值。勾选该项并在弹出的校验方式选择框中选择好校验方式后,在重建快照的过程中会同时计算并生成hash值。
      4.3.8 目录浏览器设置
      目录浏览器设置用于设置目录浏览器的一些功能属性。点击工具栏的 按钮或选择菜单Options→Directory Browser…即可调出目录浏览器设置框,如图4.57所示。
      在这里插入图片描述

    图4.57
    在此我们只介绍几个常用的选项。

    1. Group files and directories
      分组显示文件和目录。我勾选该项后目录浏览器中的内容将会按文件和目录进行分组显示。
    2. Group existing and deleted items
      分组显示存在和已删除的条目。勾选该项后,目录浏览器会将内容分为正常与已删除两组进行显示。
    3. With Ctrl+A include “x” files also
      勾选该项后,使用Ctrl+A对目录浏览器中的内容进行全选时会包括标识为“X”的内容(即已删除的内容)。如果不勾选该项,则按下Ctrl+A时只选中正常存在的内容。
    4. List previously ex.items
      列出曾经存在过的条目。勾选该项后,已被删除内容的条目将会显示在目录浏览器中。如果不勾选该项,则只显示正常存在的内容。
      4.3.9 克隆磁盘
      Winhex提供了克隆磁盘的功能,并单独提供了一个克隆磁盘菜单命令,不仅可以将磁盘克隆至磁盘、将磁盘克隆为文件,还可以将镜像文件回写至磁盘。
      克隆功能与后面将要介绍的Winhex镜象制作功能不同的是克隆功能不提供压缩选择,也就是完全按照1:1的比例进行克隆。
      步骤1:如图4.58所示选择Tools→Disk Tools→Clone Disk菜单命令,即弹出如图4.59所示的克隆磁盘对话框。
      在这里插入图片描述

    图4.58
    在这里插入图片描述

    图4.59
    步骤2:在克隆磁盘对话框中,可以进行相应的克隆设置。下面我们按图()所标注的标号进行解释。
    (1) 来源设置
    单击磁盘选择按钮 ,将弹出如图4.60所示的来源磁盘选择对话框,上半部分的Logical Drive Letters中显示的是各个逻辑分区;下半部分的Physical Media为物理磁盘。既可以在对话框中选择逻辑分区作为克隆操作的来源磁盘,也可以选择一个物理磁盘作为克隆操作的来源磁盘。双击要选择的磁盘或单击该磁盘后单击OK按钮,即可选中。
    单击文件选择按钮 将弹出文件路径选择对话框,可以选择一个已经存在的镜像文件作为镜像至磁盘的来源。
    (2) 目标设置
    单击磁盘按钮 将弹出目标磁盘选择对话框,目标磁盘可以是一个逻辑分区,也可以是一个物理磁盘。
    单击文件保存按钮 将弹出文件保存路径选择对话框。只有当来源为磁盘时,才可以进行保存镜像文件操作。如果在来源中选择了一个镜像文件,目标仍然选择文件时,克隆对话框中的OK按钮将显示为灰色不可操作状态。

    在这里插入图片描述

    图4.60
    (3) 克隆整个磁盘选项
    默认情况下该选项将会被勾选,在勾选状态下,根据来源与目标的选择情况不同,标注号4、5、6位置有可能处于灰色不可操作状态。
    (4) 克隆来源起始扇区号
    在未勾选“克隆整个磁盘”选项的情况下,可以设置来源磁盘或文件的起始扇区号,镜像将从该扇区位置向后进行。
    (5) 目标磁盘起始扇区号
    如果目标为磁盘,则可以在此处设置从磁盘的哪个扇区开始写入。
    (6) 克隆扇区数量
    可以在此处设定要克隆的扇区数。
    (7) 日志
    用于记录克隆结果,例如克隆扇区数、是否有无法读取的坏扇区及坏扇区的数量等。
    (8) 遇到坏扇区时跳过的扇区数
    如果勾选了此项,克隆过程中遇到无法读取的坏扇区时,程序将会跳过设定的扇区数量后继续进行克隆。
    (9) 为损坏的扇区写入标记
    如果勾选了此项,在读取来源磁盘时如果遇到无法读取的坏扇区,则会在目标盘的相应扇区中写入该标记。
    (10) 同时进行输入输出操作
    如果来源磁盘和目标磁盘为不同的物理磁盘时,勾选此项可以提高克隆的速度。
    了解了各个选项的含义后,我们来看一下使用默认参数将TF卡镜像成文件的设置界面内容,如图4.61所示。

    在这里插入图片描述

    图4.61
    步骤3:确认无误后,单击OK按钮,即开始镜像,如图4.62所示。

    在这里插入图片描述

    图4.62
    步骤4:镜像完毕后,将会给出提示并以文件形式给出克隆结果。
    4.3.10 创建磁盘镜象
    除了克隆功能菜单,Winhex还提供了制作磁盘镜象的功能菜单,用以将磁盘保存为可压缩的镜象文件(是否压缩可自行决定)。
    在打开一个磁盘后,选择菜单File→Create Disk Image,即可弹出建立磁盘镜象对话框,如图4.63所示。

    在这里插入图片描述

    图4.63

    1. Image file format
      镜象文件格式。可以选择制作成后缀名为.dd、.001、.img的Raw格式,也可以制作为以.whx为后缀的Winhex备份文件。
      如果选择了第一项的Raw image格式,制作完成后的镜象可以直接在Winhex中打开。但如果在制作镜象文件过程中使用了压缩功能,则文件的拷贝会稍有不便,因为虽然压缩过的镜象文件占用空间较小,但拷贝时会被解压缩,这也就意味着拷贝至的目标位置空间不能小于镜象未压缩前的原始大小。
      .whx备份文件可以视为由Winhex生成的一种专门的数据库文件,即便在镜象制作过程中对镜象文件进行了压缩,对镜象文件进行拷贝时也不存在被解压缩的问题,因为这种压缩是由Winhex本身完成的,对于系统而言它并不是压缩的,而只是一个普通的文件而已。但在Winhex中打开.whx文件时,要么需要回写入一个磁盘,要么需要建立一个临时文件,要么需要将其解压缩另存为一个Raw类型的镜象文件。
      提示:不需要进行拷贝传输或经常使用的,应该考虑制作成Raw格式镜象;如果需要拷贝传输,则应该考虑制作为.whx类型的备份文件。
    2. Path and filename
      路径及文件名。设定保存镜象文件的路径位置和文件名。
    3. Power down computer after completion
      任务完成后关闭计算机。如果勾选了此项,镜象制作完成后计算计算机将会自动关闭。
    4. Scope:sectors
      镜象扇区范围。如果选择制作Raw格式镜象,起始扇区处理不可选状态,只能由0号扇区开始。如果选择制作Winhex备份文件,则镜象扇区的起始和结束位置都可以自行设定。
    5. Compute hash
      计算hash值。勾选该项后,程序会按设定的校验方式计算hash值。
    6. Compression
      压缩方式。可以在此选择是否对镜象文件进行压缩,以及压缩的方式。
    7. Split image into segments of…
      将文件拆分为指定的大小。如果要使用光盘存储镜象文件,可以勾选此项并设定相应的单个文件大小,程序会按该指定的大小将镜象文件拆分成若干个文件,便于保存。
      4.3.11 回写磁盘镜象
      Winhex可以将镜象文件重新回写入一个指定的磁盘,该功能可以通过选择菜单File→Restore Image调用。
    8. 回写非.whx文件
      调用后将出现图4.64所示的文件选择框,默认文件类型为.whx,如果你的镜象文件是.001、.dd之类的非.whx备份文件,则可以在“文件类型”小窗口中进行类型选择,以使你所需要的文件出现在上面的文件选择窗口中。

    在这里插入图片描述

    图4.64
    选择好镜象文件后双击该文件或点击“打开”,就会弹出目标磁盘选择框,可以在选择框中选择镜象要恢复至的磁盘。
    选择好目标磁盘后点击OK,磁盘窗口关闭,显示克隆磁盘窗口,如图()所示。点击OK按钮即可开始写入磁盘。
    2. 回写.whx文件
    如果将.whx类型的文件回写入磁盘或试图将一个.whx类型文件拖入Winhex窗口将其打开时会弹出图()所示的对话框(使用Winhex的“打开文件”功能则不会弹出此对话框),由用户选择是否将其写回某磁盘以及写入磁盘的方式。
    在这里插入图片描述

    图4.65
    (1) Write to the disk only on save request
    只在接到写入请求后将数据写入磁盘。选择此项后,Winhex并不将数据直接写入磁盘,只有当用户下达保存入磁盘指令后才真正写入磁盘。
    (2) Write sectors directly and immediately to the disk
    直接写入磁盘。
    注意,选择此项后,镜象文件会被直接写入对话框下面设定的目标磁盘内。如果选择错了目标磁盘,被破坏的磁盘上的数据将无法恢复。
    (3) Export sector(s) into a raw,headerless image file
    将当前.whx文件转换成其它类型的镜象文件。选择该项后,程序会将当前的.whx文件输出为一个指定类型的镜象文件并保存在指定的路径。
    (4) Extract sectors
    提取扇区数。可以在此设定要从镜象中提取的扇区数量。
    (5) Base destination sector
    基准扇区号。即从哪个扇区开始提取。
    (6) Destination disk
    目标磁盘。可以在此选择将要写入的目标位置磁盘,一定要慎重选择,避免错写入其他磁盘造成数据破坏。
    用户可以根据需要自行选择相应的功能选项,具体操作不再赘述。
    4.3.12 右键定义选块
    Winhex中提供了很多右键菜单,使用起来非常方便。
    我们经常会在Winhex中对某一区块进行操作,比如复制、粘贴等。对于较小的选块,可以直接按住鼠标左键由起始偏移位置移动结束偏移位置进行选取;要选取整个文件或磁盘,可以按键盘上的Ctrl+A进行全选;但对于较大范围部分选块的选取,右键菜单中提供的定义选块功能就显得更加实用且方便了。
    在Winhex中打开一个文件或磁盘,在十六进制区或文本字符区内要做为选块起始的偏移位置右击,在弹出的菜单中选择Beginning of block(选块起始)或按键盘上的Alt+1将指针当前位置设定为选块的起始位置,如图4.66所示。
    在这里插入图片描述

    图4.66

             ![在这里插入图片描述](https://img-blog.csdnimg.cn/20201115125038728.png#pic_center)
    

    图4.67
    跳转到要做为选块结束位置的偏移字节处,在该位置右击,在弹出的菜单中选择End of block(选块结束)或按键盘上的Alt+2,将当前位置设定为选块结束位置,如图4.67所示。
    选块范围设定完毕后,被选中的部分将以设定的选块颜色醒目显示,这时就可以对其进行后续操作了。
    4.3.13 右键菜单之“撤销操作”
    在对某个文件或磁盘内容进行修改前,我们首先应该了解如何对已进行的修改操作进行撤销,以使我们可以有机会更改错误的操作。
    如果在Winhex内对文件或磁盘内容进行了更改后尚未关闭该操作对象,若要撤销该更改操作,可以右击,在弹出的菜单中选择Edit→Undo或按键盘上的Ctrl+Z进行回滚操作,如图4.68所示。
    撤销操作并不是可以无限制地进行的,所以在更改操作中应该尽可能地做到准确无误。
    在这里插入图片描述

    图4.68
    4.3.14 右键菜单之“剪切选块”
    在Winhex内,剪切操作只对文件有效,且被操作的文件必须以页面形成显示,不能被解释为磁盘。
    在要对其进行剪切操作的选块内右击,在弹出的菜单中选择Edit→Cut或按键盘上的Ctrl+X后,会弹出确认对话框,告知用户剪切掉当前选块内容将会使文件减小,是否确认进行剪切操作,点击Yes按钮确认后即开始剪切。
    剪切操作只在内存中进行,要保存剪切后的文件,需要对其进行保存操作。
    4.3.15右键菜单之“拷贝选块”
    Winhex提供的复制功能非常丰富而细腻,可以进行各种各样的复制操作。操作菜单位于右键菜单Edit→Copy Block菜单下,如图4.69所示。

    在这里插入图片描述

    图4.69
    下面我们对各个复制命令菜单进行介绍,操作时,在被操作的选块内右击,然后选择相应的操作命令即可。

    1. Normally
      常规复制。常规复制是Winhex中最普通、使用最为广泛的复制方式。它适合在Winhex窗口的工作区内进行复制、粘贴、写入操作。
      如图4.70所示。我们要将偏移0x00处起始的16个字节复制后写到偏移0x20处起始的16个字节,可以首先选中0x00~0x0F这16个字节,然后在选块内右击,选择Edit→Copy Block→Normally菜单项,内容即被复制到剪贴板。

    在这里插入图片描述

    图4.70
    然后在要写入的位置0x20处右击,选择Edit→Clipboard Data→Write将内容写入到该位置起始的16个字节处,如图4.71所示。关于clipboard Data内的菜单项,我们将在后面进行详细介绍。
    在这里插入图片描述

    图4.71
    图4.72显示了写入后的情形,可以看到,0x00~0x0F字节处的16个字节已经被成功复制并写入到了0x20~0x2F处的16个字节处。但这个操作只是在内存中发生了改变,如果要将改变结果写入磁盘,需要进行保存操作。

    在这里插入图片描述

    图4.72
    2. Into new file
    右键菜单Edit→Copy Block→Into new file用于将选块内容重新写入、保存为一个新的文件。
    例如,如图4.73所示,我们要将0x00~0x2F保存成一个新的文件,可以在选块内右击,选择Edit→Copy Block→Into new file。

    在这里插入图片描述

    图4.73
    随后会弹出文件名设置与保存路径选择对话框,如图4.74所示。
    在这里插入图片描述

    图4.74
    默认的文件名是noname,用户可以根据自己的需要对文件名进行设置,在此我们使用默认名,点击“保存”按钮后,文件保存成功并自动在Winhex中打开,如图4.75所示。
    在这里插入图片描述

    图4.75
    3. Hex Values
    拷贝十六进制值。假如我们要将Winhex的十六进制窗口中的十六进制数据拷贝到一个文档内,就必须使用Winhex提供的拷贝十六进制值的功能。
    图4.76显示了使用Edit→Copy Block→Normally进行常规拷贝和使用Edit→Copy Block→Hex Values进行十六进制值拷贝的不同结果,上面的Winhex窗口中是被复制的内容,记事本中上面的一行是常规拷贝的结果,下面一行是进行十六进制值拷贝的结果。

    在这里插入图片描述

    图4.76
    4. Editor Display
    按编辑窗口显示的样式进行复制。该菜单项可以将Winhex窗口中显示的内容按其布局样式复制到文档中,如图4.77所示。
    可以看到,记事本中精确地复制了Winhex窗口中的偏移值、十六进制内容及文本字符内容。
    在这里插入图片描述

    图4.77
    5. GREP Hex
    复制十六进制值为GREP语法形式。该菜单项是便于使用GREP语法工作的用户将Winhex窗口中的十六进制值直接拷贝并转换成相应的十六进制书写形式,复制结果如图4.78所示。

    在这里插入图片描述

    图4.78
    6. C Source
    复制十六进制值为C语言源码形式。该菜单项是便于使用C语言进行编程工作的用户将Winhex窗口中的十六进制值直接拷贝并转换成C语言源码形式。如图()所示,程序直接将复制的十六进制值做为无符号的字符数组输出。
    在这里插入图片描述

    图4.79
    7. Pascal Source
    复制十六进制值为Pascal语言源码形式。该菜单项是便于使用Pascal语言进行编程工作的用户将Winhex窗口中的十六进制值直接拷贝并转换成Pascal语言源码形式,复制转换结果如图4.80所示。
    在这里插入图片描述

    图4.80
    4.3.16 右键菜单之“剪贴板数据处理”
    在Winhex中,复制的数据暂时保存在剪贴板中,右键菜单Edit→Clipboard Data菜单下的菜单项用于对这些数据进行处理。它包含Paste(粘贴)、Write(写入)、Paste Into New File(粘贴进新文件)和Empty Clipboard(清空剪贴板)四项,如图4.81所示。

    在这里插入图片描述

    图4.81
    1.Paste
    粘贴。用于将剪贴板内的数据粘贴到一个指定的位置,该操作只对文件有效,对磁盘无效。粘贴操作会增加目标文件的大小,因为粘贴时剪贴板内的内容被写入指定位置,指定位置原来的数据将向文件尾部移动。
    假设有一个文件在Winhex中打开如图()上半部分所示,我们要将0x00~0x0F处的这16个字节复制后粘贴到0x20处。请注意,现在0x20~0x27处的8个字节内容是“01 02 03 04 05 06 07 08”, 该文件的大小字节数目前为0x9F个字节。
    图4.82下半部分是粘贴后的结果,可以看到,0x20处被粘贴进了与0x00~0x0F的16个字节相同的内容,0x20处原来的“01 02 03 04 05 06 07 08”向后顺延了16个字节到了0x30处,文件大小字节数也由原来的0x90个字节增加了16个字节,变成0xA0个字节。

    在这里插入图片描述

    图4.82
    2.Write
    写入。“写入”操作与“粘贴”操作不同的地方在于,“粘贴”操作“插入”指定的位置,该位置的原有数据向后移动,无论粘贴的内容是多少(不为0字节)都会改变文件的大小;“写入”操作则是由指定的写入位置开始“覆盖”,如果由写入位置开始至文件结尾处的空间大于或等于要写入的内容,则文件的大小不会改变。如果由写入位置开始至文件结尾处的空间小于要写入的内容,文件则会被增大,增加的数量是写入的内容与写入点至文件结尾处的空间大小之差。
    3.Paste Into New File
    粘贴进新文件。如果剪贴板中的内容是Winhex十六进制值,则粘贴进新文件命令与前面介绍的拷贝菜单中的粘贴入新文件命令功能相同。如果剪贴板中的内容不是Winhex十六进制值,比如从其他文档中复制的数据,对其进行“粘贴进新文件”操作时会弹出格式选择框,如图4.83所示,应该根据需要选择相应的格式。

    在这里插入图片描述

    图4.83
    4.Empty Clipboard
    清空剪贴板。该菜单项用于清空剪贴板中的内容,以释放内存资源。
    4.3.17 右键菜单之“移除选块”
    右键菜单Edit→Remove用于删除选块内容,该菜单项只对文件有效。
    移除选块操作将会减小文件的大小。如图4.84所示,我们要移除0x00~0x07字节处的8个字节,移除前该文件大小为0x9F个字节。移除后,原0x08至文件结尾处的所有字节向文件头部移动8个字节,文件大小也就为0x97个字节,减小了8个字节。
    在这里插入图片描述

    图4.84
    4.3.18 右键菜单之“粘贴零字节”
    右键菜单Edit→Paste Zero Bytes用于在指定的位置插入指定数量的“00”,该操作只对文件有效,且会增加文件的大小字节数。如图4.85(A)所示,我们要在偏移0x10的位置插入16个字节的“00”,则在该偏移位置右击,然后选择Edit→Paste Zero Bytes。
    随后,程序会弹出对话框询问要插入的“00”的数量,以十进制计数,在此我们输入“16”,如图4,85(B)所示。
    然后点击OK,程序即会向指定位置插入指定数量的“00”,如图4.85©所示,可以看到,文件由原来的0x95个字节增加为0xA5个字节。

    在这里插入图片描述

    图4.85
    4.3.19 右键菜单之“填充选块”
    有时候,由于各种原因我们可能需要对磁盘上的的某些数据进行清除,比如对一些敏感数据进行销毁,对干扰数据进行清零等。Winhex 提供的右键菜单项Edit→Fill Block可以满足这些需求。
    要对某选块进行清零或使用其他数据进行填充,可以在选块内右击,然后选择Edit→Fill Block菜单项,随后会弹出填充选块设置对话框,如图4.86所示。
    在这里插入图片描述

    图4.86

    1. Fill with hex values
      填充内容,可以自行设定任意十六进制值,默认为“00”。

    2. Simple pseudo-random numbers
      使用随机数据。如果选择了该项,其下的随机数字设定范围将会处于可填写状态,可以在其中填入0~255间的任意数值范围。
      后面的两个选项为使用加密数据填充,不再详细介绍。
      设置完毕后点击OK按钮即开始填充操作。
      4.3.20 跳转到页
      在Winhex中打开一个文件后,如果要跳转到某页,可以选择Position→Go To Page菜单项(如图4,87),在弹出的跳转到页窗口中输入要跳转到的页号(如图4.88所示),即可精确地跳转到目标页。

      在这里插入图片描述

    图4.87

    在这里插入图片描述

    图4.88
    不过,更多的时候我们会在Winhex中将文件解释为磁盘,具体操作见下一小节。
    4.3.21 将文件解释为磁盘
    有时候我们需要在Winhex中将打开的文件视为磁盘对待,比如磁盘镜象文件解释为磁盘后可以自动识别其中可识别的分区、文件系统;某些格式的文件其内部结构与大多数磁盘一样使用512字节为最小块等等。
    Winhex将文件解释为磁盘的菜单项为Specialist→Interpret Image File As Disk,如图4.89所示。

    在这里插入图片描述

    图4.89
    将一个包含Winhex可识别的正常的分区或文件系统结构的镜象文件解释为磁盘后,不仅便于使用Winhex直接加载其分区,更为重要的是在使用Winhex重组RAID时可以使该镜象文件象一个磁盘一样出现在Winhex的阵列成员盘选择框中。
    如图4.90所示,SD_Format.img就是一个镜象文件,将其解释为磁盘后,在Winhex的阵列成员盘选择框中可以看到它的存在,如果不将其解释为镜象,它将无法出现在该对话框中。关于使用Winhex恢复RAID数据,我们将在后面的章节中专门介绍。

    在这里插入图片描述

    图4.90
    4.3.22 调整选块选取位置
    在Winhex中可以在不改变选块的选取范围大小的情况下对选块的选取位置进行调整,菜单项为Position→Move Block。
    举例说明,如图4.91所示,我们现在选取的选块为0x10~0x2F,要将选取的范围调整为0x30~0x4F,也就是将选块的选取范围向向下移动0x20个字节,可以点击菜单项Position→Move Block,如图4.92所示。

    在这里插入图片描述

    图4.91
    在这里插入图片描述

    图4.92
    随后会弹出图4.93所示的设置对话框,其中:
    Distance:调整的距离,单位为字节数,单位根据Winhex的偏移坐标不同而不同,如果Winhex正在使用的坐标值是十六进制,则该窗口使用十六进制;如果Winhex正在使用的坐标值是十进制,则该窗口使用十进制。我们现在使用的坐标是十六进制,所以在窗口中输入十六进制值“20”。
    Direction:方向,有forward(前进、向下)和backward(后退、向上)两个选项。在此我们要向下移动0x20个字节,所以选择forward。
    在这里插入图片描述

    图4.93
    设置好后点击OK,选块的选取范围即被调整为0x30~0x4F,如图4.94所示。

    在这里插入图片描述

    图4.94
    4.3.23 转到…
    Winhex提供了快速跳转到某些特定位置的功能,它们的菜单项位Position→Go To菜单下,如图4.95所示。

    在这里插入图片描述

    图4.95

    1. Beginning Of File
      跳转到文件开始处。打开着一个文件时用于跳转到该文件的偏移0字节处。
    2. End Of File
      跳转到文件结尾处。打开着一个文件时用于跳转到该文件的最后一个字节处。
    3. Beginning Of Block
      跳转到选块开始处。如果定义了选块,该功能用于跳转到该选块的第一个字节处。
    4. End Of Block
      跳转到选块结尾处。如果定义了选块,该功能用于跳转到该选块的最后一个字节处。
    5. Beginning Of Page
      跳转到页起始处。如果打开着一个文件,用于跳转到当前页的偏移0字节处。
    6. End Of Page
      跳转到页结尾处。如果打开着一个文件,用于跳转到当前页的最后一个字节处。
    7. Beginning Of Ling
      跳转到行起始处。用于跳转到光标当前所在行的行首,即第一个字节处。
    8. End Of Ling
      跳转到行结尾处。用于跳转到光标当前所在行的行尾,即最后一个字节处。
      4.3.24 标记位置
      使用Winhex进行工作的过程中,我们可能需要对某个特定的位置进行标记,便于稍后能够很快地重新找到这个位置;如果标记的位置不再需要时,就需要取消对它的标记,这些功能可以通过菜单项Position→Mark Position和位于其下的Delete Marker进行,如图4.96所示。

    在这里插入图片描述

    图4.96
    Mark Position用于对当前光标所在处的字节进行醒目标记,为了节省篇幅,对此功能不再配图显示。
    Delete Marker用于取消标记,而位于其下的Go To Marker则用于直接跳转到处于标记状态的字节处。
    4.3.25位置管理器
    在实际工作中,我们可能需要使用Winhex在磁盘或文件中对某个特定的值进行搜索,我们可以在搜索时设置自动记录搜索到的目标位置,搜索完毕后程序会自动打开位置管理器,搜索到的目标在管理器中顺序排列,第一列为偏移值,第二列为搜索到的目标对象。
    如图4.97所示,这是我们设定的搜索位于每个扇区结尾的可能存在的十六进制“55AA”的搜索结果。

    在这里插入图片描述

    图4.97
    记录在Winhex位置管理器中的内容,即使在关闭Winhex程序后也不会消失。但如果再次使用Winhex时,位置管理器可能并不会自动打开,如果要使用位置管理器中保存的内容,可以通过单击菜单项Position→Position Manager打开它,如图4.98所示。
    在这里插入图片描述

    图4.98
    4.3.26 分割文件
    有时候,我们可能需要将一个文件分割成几个部分进行存放,比如保密需要、存储需要等。Winhex中的菜单项Tools→File Tools→Split提供了这项功能,即将一个文件按先后顺序、以设定的单元大小进行拆分,比如要将一个450MB的文件按每部分100MB分割,分被分割为四个100MB和一个50MB的文件单元,原理如图4.99所示。

    在这里插入图片描述

    图4.99
    点击Tools→File Tools→Split菜单项后会弹出分割文件选择框,可以在选择框中选择要分割的文件并单击Split按钮,随即会弹出分割单元设置框,如图4.100所示。
    在这里插入图片描述

    图4.100
    可以根据需要设置分割单元的大小,设置好后点击OK按钮,程序会再弹出一个文件保存对话框,需要在这个对话框中设置第一个分割单元的文件名和保存路径,设置好后即可开始进行分割。
    当第一个单元保存完毕后,程序会暂停并再次弹出文件保存路径对话框,这次是要求设置第二个分割单元的文件名及保存路径,设置好后程序会继续进行,这个过程反复进行直到文件被分割完毕。
    4.3.27 交叉拆分文件
    交叉拆分文件与分割文件不同,分割文件是将一个文件按先后顺序进行分块,而交叉拆分文件则是将一个文件按要求以8位或16位为单元交替拆分成两个文件,比如要将“01 02 03 04 05 06 07 08 09 0A”进行拆分,拆分后的结果就是“01 03 05 07 09”和“02 04 06 08 0A”。
    交叉拆分文件菜单项是Tools→File Tools→Dissect,如果按8Bit(1个字节)为拆分单元则选择Bytevise(8-Bit),若要按16Bit(2个字节)为拆分单元则选择Bytevise(16-Bit),如图4.101所示。

    在这里插入图片描述

    图4.101
    在随后弹出的各个对应窗口中依次选择被拆分的文件、保存为的第一个文件名及路径、保存为的第二个文件名及路径即可开始拆分。
    4.3.28 连接文件
    连接文件与分割文件的过程相反,是将若干个文件首尾相接连接起来。
    连接文件菜单项为Tools→File Tools→Concatenate,点击后首先弹出的是文件名设置及保存路径对话框,用于设置连接后生成的文件的文件名及存储位置。
    设置好后点击“保存”按钮,随即弹出基础文件选择框,也就是要进行连接的第一个文件,如图4.102所示。
    在这里插入图片描述

    图4.102
    选择好第一个文件后点击Append按钮,会再次弹出该对话框,用于选择第二个文件、也就是连接在第一个文件之后的下一个文件,选择好后点击Append…,该过程反复进行直到将所有要连接的文件选择完毕。
    最后点击Done按钮,程序即开始连接所有文件。
    4.3.29交叉合并文件
    交叉合并文件是交叉拆分文件的反过程,它是按设定的单元大小(8Bit或16Bit)从两个文件中交叉提取字节后写入一个新的文件的过程。
    交叉合并文件的菜单项是Tools→File Tools→Unify,如图4.103所示。
    在这里插入图片描述

    图4.103
    点击菜单项后首先弹出的是要被合并的第一个文件的选择框,选择好后点击OK,程序会再次弹出文件选择框让用户选择用于合并的第二个文件,选择好后点击OK,会弹出合并后文件的文件名设置及保存路径对话框,用于设置合并后生成的文件的文件名及存储位置。
    设置好后点击“保存”按钮,程序即开始合并文件。
    4.3.30自动比较文件或磁盘
    使用比较功能,可以根据需要寻找出两个比较对象间的不同之处或相同之处,在数据恢复分析过程中非常实用。
    Winhex提供了对两个文件或磁盘进行比较以查找相同位置的不同点或相同点的功能,菜单项为Tools→File Tools→Compare,如图4.104所示。该功能不仅可以对两个磁盘进行比较、对两个文件进行比较,还可以进行磁盘与文件间的比较。
    在这里插入图片描述

    图4.104
    点击菜单项后会弹出比较设置对话框,如图4.105所示。

    在这里插入图片描述

    图4.105
    u 可以通过单击1st file或2nd file后的 按钮调出相应的第一比较对象及第二比较对象选择对话框。
    u 在相应目标后的From offset框中可以分别输入开始比较的字节偏移位置。
    u 单击Search differences前的 按钮,可以在“搜索不同点”和“搜索相同点”间进行循环转换,其后的Compare框中是需要比较的字节数,如果是对所有字节进行比较,通常可以不进行设置,单击OK后会自动填入相应值。
    u 如果勾选了Discontinue comparison after,可以在框中设置一个字节数,根据搜索相同点或不同点的设置,相同字节数量或不同字节数量达到这个数值时即暂停比较,然后以文本方式给出相同点或不同点的字节位置及内容。如果不勾选此项,将会对两个对象进行完全比较后给出比较结果。
    单击1st file后的 按钮,弹出第一比较对象选择对话框,如图4.106所示。

    在这里插入图片描述

    图4.106
    u 如果第一对象为文件,可以单击Open File按钮,在弹出的Open File对话框中选择一个文件。
    u 如果第一对象为磁盘,则单击Open Disk按钮,在弹出的Open Disk对话框中选择一个磁盘,可以是逻辑分区,也可以是一个物理磁盘。
    选择好第一对象后,设置开始比较的字节位置,默认为偏移0字节处。
    单击2nd file后的 按钮,调出第二比较对象选择对话框,与第一对象的选择方式相同。选择第二比较对象并设置好起始字节后,设置寻找相同点还是不同点及寻找的字节数量。在此,我们以在一个文件和一个磁盘间寻找第一个内容相同的字节为例,设置如图4.107所示。
    确认设置无误后,单击OK按钮并对警告框进行确认后即开始比较。比较完成或达到寻找目的后,即会给出结果报告,如图4.108所示。
    在这里插入图片描述

    图4.107
    在这里插入图片描述

    图4.108
    我们可以看到,文件1.IS0和磁盘2间的第一个内容相同的字节位置为偏移0x05处,内容都为“00”。
    4.3.31同步比较文件或磁盘
    与自动比较不同,Synchronize & Compare(同步比较)功能是对已经在Winhex中打开的界面内容进行直观的同步比较。例如,我们在界面中打开了文件1.ISO和磁盘2,选择View→Synchronize & Compare菜单命令即可实现对两个界面中的内容进行同步比较,如图4.109所示。

    在这里插入图片描述

    图4.109
    同步比较分别以各界面显示的第一个字节偏移位置为比较基准点,然后将各界面中的其他字节按相对偏移进行对号入座。例如,在选择同步比较功能时,1.ISO当前界面显示的第一个字节偏移为0xB0,磁盘2显示的第一个字节偏移为0xD0,则将1.ISO的字节偏移0xB0与磁盘2的字节偏移0xD0作为比较基准点,也就是1.ISO字节偏移0xB0处的内容与磁盘2字节偏移0xD0处的内容进行对比,相应地1.ISO字节偏移0xB1处的内容则和磁盘2字节偏移0xD1处的内容进行对比,依此类推。内容不同的字节将会进行加黑处理,如图4.110所示。
    在这里插入图片描述

    图4.110
    提示:同步比较的最大优点就是可以对各个比较对象进行界面“同步”,即当移动查看一个界面中的内容时,参与同步比较的其他界面内容也将同步移动,同时进行异同比较,从而可以非常方便、直观地查看对象间存在的相同之处与不同之处。
    4.3.32 安全擦除文件
    Winhex提供了对文件进行安全擦除的功能,用于对数据进行安全销毁,原理就是对销毁对象进行覆盖。
    其菜单项是Tools→File Tools→Wipe Securely,如图4.111所示。

    在这里插入图片描述

    图4.111
    点击菜单项后会弹出删除对象选择框,用于选择被安全擦除的文件,可以同时选择一个目录下的多个文件,如图4.112所示。
    在这里插入图片描述

    图4.112
    选择好要安全擦除的文件后点击Delete按钮,程序会弹出擦除设置对话框,该对话框实际上就是前面介绍过的“填充选块”设置框,可以在其中选择使用什么十六进制值对销毁对象进行覆盖。
    设置完成后即可开始对文件进行擦除。
    4.3.33 进制转换器
    数据恢复要经常与十六进制打交道,而我们正常生活中习惯使用十进制,就必然会有许多十六进制与十进制间的转换问题,Winhex就提供了这样一个进制转换器,它的菜单项是Tools→Hex Converter,如图4.113所示。
    点击菜单项后会弹出十六进制与十进制转换器窗口,如图4.114所示。左边的输入框是十六进制输入框,右边的输入框是十进制输入框,在任何一个窗口中输入数值后按回车键,都会在另一个窗口中显示相应转换后的进制数值。
    在这里插入图片描述

    图4.113
    在这里插入图片描述

    图4.114
    4.3.34 校验计算器
    Winhex提供的功能不可谓不多,甚至包含一个功能强大的校验计算器,它的菜单项是Tools→Compute Hash,如图4.115所示。

    在这里插入图片描述

    图4.115
    点击菜单项后即弹出校验计算器,计算器中包括了8位校验和、16位校验和、32位校验和、64位校验和、16位CRC校验等多种校验选项,如图4.116所示。
    在这里插入图片描述

    图4.116
    要对磁盘或文件中的字节进行校验计算,可以将参加校验的部分选中为选块,然后调出校验计算器,设置要使用的校验方式后按OK键,即可得到校验结果。如图4.117所示,我们对一个文件的前32个字节进行8位校验和计算的结果是0x30。
    在这里插入图片描述

    图4.117
    4.3.35选择字符集
    不同的平台、不同的程序生成的数据可能会使用不同的字符集,不能正确地选择字符集会造成某些字体无法正常显示。例如,一个Word文档,选择使用Unicode字符集会在文本字符区显示可识别的汉字(图4.118),而使用其它字符集则会显示为不可识别的乱码(图4.119)。

    在这里插入图片描述

    图4.118

    在这里插入图片描述

    图4.119
    字符集选择菜单项位于Options→Character Set下,可选项有ANSI ASCII、IBM ASCII、EBCDIC和Unicode,如图4.120所示。
    在这里插入图片描述

    图4.120
    4.3.36 窗口管理
    最后,我们来看一下Winhex窗口管理的几个菜单项,所有与窗口有关的菜单项都位于Window菜单下,如图4.121所示。

    在这里插入图片描述

    图4.121
    在此我们只介绍几个重要的菜单项,其他各项由读者自行研究。

    1. Close All
      关闭所有窗口。有时我们会同时打开着很多个目标磁盘或文件,如果在退出Winhex时不关闭所有窗口,再次打开Winhex时可能会自动重新打开这些窗口。而一个一个关闭这些窗口又太麻烦了,所以Winhex提供了这个Close All菜单项,用于一次关闭所有打开着的窗口。
    2. Tile Horizontally
      水平平铺窗口。水平平铺窗口用于将各个打开着的目标磁盘或文件窗口水平平铺,效果如图4.122所示。
      该功能可以用于同时查看多个窗口,尤其在阵列分析时非常方便。

    在这里插入图片描述

    图4.122
    3. Tile Vertically
    垂直平铺窗口。垂直平铺窗口用于将各个打开着的目标磁盘或文件窗口垂直平铺,效果如图4.123所示。
    与水平平铺相同,该功能可以用于同时查看多个窗口,尤其在阵列分析时非常方便。
    在这里插入图片描述

    图4.123

    展开全文
  • winhex数据恢复教程

    2011-03-29 01:55:17
    很好的winhex数据恢复教程,软件恢复不了时手工用。
  • winhex数据恢复视频教程,手把手教您数据恢复-附赠软件,让您不再为找不到软件发愁,更不用担心操作步骤不对啦!
  • 对于才开始学习数据恢复的小白可以看看,都是数据恢复入门知识。这几章讲解了FAT32的文件系统结构。博主个人整理记录,如需转载请发布原文链接。

    第5章《起始簇号的计算方法》

    就算起始簇号有两种方法,1是公式计算,2是组合数值。

    第一个公式:起始簇号等于低16位的数值+(高16位的数值*65536)

    注意:当高16位为0的时候,那么只需要看低16位的数值

    位置:高16位在左,低16位在右。

    1. 让数据区先转到根目录
    2. 在高低位中找到的是起始起始簇号而不是扇区,扇区要利用算出的簇号转化,在跳至扇区中转成扇区。
    3. 在数据存储中数值是相反的-----例如:00 00 05 09 00   00 00 05 0E 00 提取出来就是09 05 0E 05

    第二个组合数值

    1. 把提取出来的数输入到计算机十六进制里面转换成十进制,然后再把转换好的数值复制到跳至扇区中簇的框中在扇区框中的数值就是文件的数据扇区。
    2. 手工提取数据字符串,点击要复制数值的第一位按住ALT+1键选中,然后再单击数值末尾字符按ALT+2选中再单击右键编辑-复制选块-至新文件,然后文件名和扩展名一定要与提取前的数据一样。

    注意:手工提取的数据没有扩展名。

    注:提取的数据是在扇区中提取的不是在根目录中提取的。

    第6章《利用FAT表找出目录的下个簇》

    • 当第一个目录里的文件比较多时,一个簇存不下所有文件,就会增加一个簇来存放文件。但这两个簇往往不是连续的,就需要FAT表来定位目录的下个簇是第几号簇。
    • 打开字符转换器,然后把汉字输入到里面,把它的ANSI码复制到查找十六进制里面去找
    • 一切开始都是从2号簇开始找,把光标放到2号簇的第一位记录它的32bit数值,然后在跳至扇区中把数值输入到簇的框中搜索,搜索到的就是根目录的下一个簇。找到下一个簇后就跳至扇区看能否搜索到要找的数据,如果能那么就提取出来如果不能就继续找下个簇。

    例如:找到的是3号簇,那么就看32bit,如果32bit是3614,那么就跳至扇区去查找十六进制。看能否一至两秒能否找到,如不能就继续找下一个簇。

    注意:如果还要找下一个簇一定要回到FAT1里面来找也就是一定要回到原始位置,光标也一定要放到第一位的数值上。这里是开始第二个簇的查找,第一个不用这样,第一个是光标放在2号簇的第一个数值上,不要混淆了。

    注意:每找到一个簇就要跳至扇区去开一下能否搜索到。

    • 如果要找下一个簇那么把(原来的32bit的数值*4),然后再把计算出的结果放到(转到偏移量)中的新位置框中,相对于哪里选择当前位置也就是光标所放的位置。

    位置:选项下面第一个

    注意:通常我们用的都是十进制,如果一开始用的是十六进制那么一直都要用十六进制查找、搜索等,要不然找出来的是错的。

    这样以此类推直到找到为止

    以上转到偏移量都是十进制

    第七章《长文件名目录项》

    • 当文件名超过8个字节时,就需要用长文件名目录项来存储文件名。
    • 长文件名目录项的0B位置标志一定是0F。
    • 长文件名目录项使用Unicode编码存储文件名的
    • 长文件名目录项数据结构:

    偏移字节(16进制)

    描述

    00-00

    状态码(E5:删除;01表示目录项序号;42前面的4是表示最后一个目录项,后面的2是表示序号为2的目录项)。

    01-0A

    长文件名的第1-5个字符

    0B-0B

    长文件名目录项的标志为0F

    0C-0C

    保留

    0D-0D

    校验和

    0E-19

    文件名的第6-11个字符

    1A-1B

    保留

    1C-1F

    文件名的第12-13个字符

    注意:找到长文件名的目录项后,找到的那个里面没有有用的数据,只不过是记录文件名的,有用的在长文件名的下一项数值才有用,也就是说只有它的短文件名目录项才有高16位和低16位

    • Unicode编码中每个字符都会用两个字节来表示。
    • 长文件名是用Unicode编码,短文件名用的是ANSI编码。

    第八章《根据两个子目录算出簇大小》

    • 子目录:

    每个文件夹的最前面两个目录项,一定是“.”和“..”目录项,分别表示子目录本身和父目录。

    • 簇大小计算公式:

    两个扇区相减,两个簇相减;然后它们的和相除,然后结果就是簇的大小。

    例如:扇区:40992,,238208;簇:131080,4。     就是:2138208-40992=2097216,131080-4=131076再然后就是 2097216除以4=16;那么就表明每个簇有16个扇区。

               以上都是在十进制里面进行的

    第九章《搜索完整的长文件名》

    1、WinHex搜索限制:

    Winhex搜索十六进制数值最多只能搜索50个字节,如果超过50个字节winhex将自动把多余的字节忽略掉

    2、50个字节只能容纳20个字符的长文件名目录项

    3、一个文件名目录项的长度是32个字节,所以50个字节的话那后面的就还剩下18个字节也就是说第二个文件名目录项也可以查找它前面18个字节的十六进制,那么前面的18个字节的话是到偏移11的位置。

    4、在Unicode编码中两个字节对应的是文件名一个符

    5、如果要复制搜索的话一定要从下向上复制慢50个字节也是可以搜索,不过太过于复杂,通常一般都是复制的是前面的32个字节来查找十六进制。

    注:(1)、先把字符转换成Unicode编码

    1. 、转换完好后复制并记录Unicode编码
    2. 在winhex中找一个全为0的扇区,然后选一小部分来填充成“3F”--3F名为通配符。
    3. 再按长文件名目录项数据结构图标来把转换好的十六进制填在“3F”中。
    4. 填充完成后复制第一项的十六进制数值来查找长文件名目录项。

    6、长文件名目录项数据结构:

    偏移字节(16进制)

    描述

    00-00

    状态码(E5:删除;01表示目录项序号;42前面的4是表示最后一个目录项,后面的2是表示序号为2的目录项)。

    01-0A

    长文件名的第1-5个字符

    0B-0B

    长文件名目录项的标志为0F

    0C-0C

    保留

    0D-0D

    校验和

    0E-19

    文件名的第6-11个字符

    1A-1B

    保留

    1C-1F

    文件名的第12-13个字符

    注:填充Ctrl + B然后选择ASCII Hex选项!还有在搜索的时候记得勾上“用作通配符”。

    注:因为一个字符对应的是两个字节,所以看图表的时候遇到字符时都要乘以2.例如:0E-19;6-11个字符,那么就是6*2=12那么就是要数12个字节填充才可以。

    第十章《找出指定目录的所有子目录》

    • (1)每个文件夹的最前面两个目录项,一定是“.”和“..”目录项,分别表示子目录项本身和父目录
    1. 在根目录下的文件夹父目录的簇号是0不是2。
    2. 在别的文件夹里的文件夹,它的父目录就是父目录文件夹的本身簇号。
    • 如果根目录损坏,那么我们可以直接通过搜索子目录,也就是直接搜索根目录下的所有子目录。具体方法:所有目录项的前面一定是“.”目录项,“.”目录项的文件头是2E 20 20 20 20 20 20 20 20 20 20,所以我们搜索十六进制数值时只需要搜索这个就可以了。

    注:但是如果这样去搜索的话是搜索里面所有的文件夹,不仅仅是子目录还有目录里面的目录,这样一层一层的全部都会被搜索出来。

    • 记住在查找十六进制时在有通配符“3F”的时候才勾上,如果没有就别勾,还有条件偏移计算填上512=32然后再勾上

    解释:因为每个扇区有512个字节而字符所占用的最少都是两行也就是32个字节,所以512=32。

    • 在根目录没有损坏的情况下是可以显示文件夹路径的。
    • 在故意损坏根目录时填充的数一般都是00不是“3F”因为“3F”是通配符。
    • 再要搜索时我们应该到根目录里面去向下搜索要么就是在查找十六进制数值里选择搜索选项点击全部也是可以的。
    • 在父目录里面如果高16位和第16位都为0的话那么说明这个文件夹就位于根目录下;如果高16位为0,低16位为03 00那么这个文件夹就位于子目录下而不是根目录下。

    注:根目录下的子目录它的父目录的簇号都为00,因为根目录比较特殊。

    • 搜索快捷径:
    1. 、选择任何一个扇区全为0的部分,然后填上2E 2E 20 20 20 20 20 20 20 20 20然后其它全部填充为“3F”通配符。注意不能保存。
    2. 、注意高16位和低16位一定要填00 00------因为根目录下的子目录它的父目录的簇号都为0,根目录比较特殊。
    3. 、填充完成后单击右键复制选块- -十六进制数值。
    4. 、然后在查找十六进制数值里面去搜索。

    重要注意:在搜索的时候一定要全部搜索完才行,不能半途终止不然恢复后的数据不完整。

    以上是在根目录损坏的情况下进行的。

    • 《创建一个文件对系统做了哪些操作》
    • 找一个为FAT32的空盘,注:一定要是空盘不然不好比较。
    • 把空盘里面的数值复制出来也就是把数值提取出来。
    • 提取出来后点击专业工具---将镜像文件转换为磁盘这样就生出了一个和原盘一模一样的磁盘,包括扇区、数据、数值、字符等都是一样的,相当于克隆。
    • 做比较的工具:查看---同步窗口、同步和比较
    • 做实验:
    1. 在实验盘中存放一个aaa.txt的文档。注:一定要在桌面上创建后复制到盘里,不然比较的时候较复杂。
    2. 做数据比较:工具---文件工具----比较。注:另存报告的框中建的文本文档不能是汉字。
    3. 记住比较完成后点击取消如果点击确定那么比较的数值就会被删除。
    4. 用比较完成后数据的第一个偏移地址进行转移到偏移量。注:相对于选项选开始。例如:数据偏移为800020: 41 00  那么就转到偏移量800020。
    5. 比较开始转到偏移量完成后点击查看---同步窗口、同步窗口和比较勾上,这样就可以很清楚的看到哪里不同了,黑色为不同,无颜色为相同。
    • 在文档里增加内容,内容为123再进行比较。
    1. 在文档aaa.txt里增加123然后保存
    2. 跟上一次一样一定要保存空文档的状态也就是说空盘里所建立的txt文档是在空盘里增加的一个文档,现在要做另一个比较,所以要在从新提取一遍。这样好做比较。
    3. 比较完成后跳转第一个偏移量。
    4. 改变:第一个改变的是文件系统的空闲簇号,因为我们给aaa.txt文档里增加了一个内容所以会占用一个簇的大小,作比较后发现没存内容前与存内容后,存后的数值要比存之前的数值要小。也就是减少了。然后下一个可用簇号发生了改变;第二个改变从00 00 00 00变成了FF FF FF 0F也就是FAT表的结束标志,也就是说文档里的内容到FF FF FF 0F就结束了。因为我们只增加了123这几个内容所以占用一个簇的大小足够了;第三个改变FAT2的数值,因为FAT2是FAT1的备份所以FAT1改变FAT2也会跟着改变;第四个改变是内容的数据从00 00 00 到有数值,这个数值就是我们增加123内容的数值。注:有些数值是在偏移量的同一行不是同一个位置,这些同一行的数值就不用去跳转了。
    • 直接在空盘里创建文本文档再重命名的结果比较。
    1. 在根目录下的新建重命名的文档多了两个是删除的目录项“E5”

    八、总结:

    1. 新建一个名aaa.txt的空文档,只是多了一条目录项。
    2. 给aaa.txt增加内容时,一号扇区文件系统的空闲簇号减少,下个可用簇发生改变;FAT1、FAT2多了个FAT表项数据区的数据发生改变。

    以上是在十六进制下进行的

    第十二章《用winhex手工创建一个文件》

    • 直接在winhex中创建一个文档实验
    1. 在根目录或文件夹下创建一个文档
    2. 00-07是文档的名称如果文档的数值没有占用完8个字节那么就用20来填充。
    3. 08-0A是扩展名。
    4. 0B是表示是什么类型文件,这里我们填20表示普通文件。
    5. 0E-01前两个字节表示时分秒,后两个字节表示日期(注:在数据解释器中DOS Date表示时间和日期;第一个是日期,第一个是时间。)。
    6. 02-03也表示日期
    7. 06-09也表示时间和日期只不过一个表示创建的时间和日期一个表示修改的时间和日期。
    8. 写入完成后保存(注:保存是在文件下的第二个)保存后再更新磁盘快照才行。
    • 在建立文档中用winhex增加内容。

            1、0A是填簇号的

            2、0C是表示内容的字节数

    3、填写完成后保存,然后保存完成后再跳转簇的位置。

            4、跳转到后用字符转换器将汉字、英文或数字转换成十六进制来填写到簇里面。

            5、最后一个千万不能忘记,也就是FAT表,在内容填写完后点击到FAT表里面去把簇激活也就是结束标志FF FF FF 0F。例如:我们填写的是5号簇那么就到5号簇里面去填写内容然后再到FAT表里找到5号簇的位置填写结束标志FF FF FF 0F,这样才可以。

    三、指定小写扩展名或英文小写名称

       1、0C的意义就是可以改变这一项大小写的显示。

       2、0C要填什么数才是小写呢?

       答:我们把想到的数值输入到十六进制里然后把十六进制转换成二进制,如果转换出来的结果为1那么就是小写(原理:第一个1为扩展名小写,第二个1为名称小写;也就是说1为是,0为否)。

    四 、总结:(1)、新建一个目录项。

                  (2) 给数据区的内容赋值。

                  (3)、给FAT1表相应的FAT标记簇已用。

        五、目录项0C位置第5位二进制如果为1,那么扩展名小写;第4位二进制位如果是1那么文件名小写。(注:这是从后往前数的)

    以上一般都会用到字符转换器

    第十三章《删除一个文件对文件系统做了哪些操作》

    • 删除文件到回收站做了哪些操作实验。
    1. 、在FAT32的盘里创建一个文档。
    2. 、将还没有删除文档之前的数据区给镜像出来;这样好对删除后进行比较。
    3. 、打开winhex更新磁盘快照(补:在更目录下显示的带有问号或红叉的表示已经被删除的文件或文档,如果想让被删除的文档不显示在更目录下那么点击更新磁盘快照右面的第一个里面的(列出曾经存在过的项目)的勾给去掉。
    4. 、镜像出来后再把建立的文档给删除掉。
    5. 、删除完成后进行比较。
    6. 、从第一个偏移开始跳转比较,后面有些是在同一行的所以在同一行的偏移就不用去一个一个的去跳转了。
    7. 、删除后发现第一个不同:删除文件后发现FAT表的空闲簇号变小了,已用簇号多了一个簇,已用空间也变大了。(注:每删除一个簇就会用下一个簇来存储删除到回收站的文件。)
    8. 第二个不同:发现FAT1又多了一项已被激活的簇(注:FAT2表也会跟着变。)
    9. 、第三个不同:目录区的数据被标记成“E5”也就是表示已被删除
    10. 、第四个不同:删除文档后发现原本空闲的目录增加了一些内容,这些内容也就是被删除文档的内容,这个文档被删除到了一个隐藏的回收站里也就是说winhex中有一个专门装被删除的文档的分区,也就是隐藏分区。
    • 总结:

    (1)、1号扇区的空闲簇号-1

    (2)、下个可用簇向下移了一个簇。

    (3)、FAT1和FAT2多了一个FAT表项。

    (4)、文件目录项第一个字节变成了“E5”也就是表示已被删除。

    (5)、回收站的目录里多了两个目录项。

        (6)、数据区多了一个配置内容文件。

    第十四章《清空回收站做了什么操作》

    • 建立一些文档在文档里加一些内容然后再把文档删除在去把回收站清空实验。(注意:在还没有删除之前一定要把数据给镜像出来)
    1. 、删除后更新磁盘快照然后滚动一下数据区让数据刷新一遍。
    2. 、把镜像出来的文件转换为磁盘。
    3. 、刷新后开始进行比较删除前与删除后有哪些变化。
    4. 、复制比较完的偏移的第一位,发现第一个不同:清空回收站后空闲簇数比原来少了两个簇。(其中一个簇是文件真正存放地址的簇,还有一个簇是配置文件的簇)。然后下个可用簇减少。
    5. 、 第二个不同:就是FAT表原本被激活的FAT表项变成了00 00 00 00因为把文件删除到回收站会产生一个配置文件所以也就会再占用一个簇,如果我们把回收站清空了的话原本的文档和配置所占用的簇也会被删除所以在FAT1表中就会出现两个结束标志被删除。
    6. 、第三个不同:是原本存在的数值开头变成了“E5”也就是表示被删除(注意:加上配置文件共两个,所以有两项显示“E5”)。
    • 总结:
    1. 、一号扇区空闲簇数减少。
    2. 、下个可用簇号改变。
    3. 、FAT1和FAT2相应的表项改变。
    4. 、回收站的子目录里的相应的两个目录项第一个字节变成了“E5”。

    第十五章《按ShIFT键彻底删除对文件系统做了哪些操作》

    • 在盘中创建一个文件重命名然后在里面添加一些内容。
    1. 、创建完成后打开winhex把还未删除的状态给镜像出来。
    2. 、镜像出来后再将镜像转换为磁盘。
    3. 、然后再将盘里的文件按住Shift键给删除掉(注意这样直接删除是不经过回收站的)。
    4. 、删除后打开winhex更新快照滚动一下数据区让它刷新一下。
    5. 、刷新完成后开始比较(注意保存路径)。
    6. 、第一个不同:删除之后空闲簇数变大了也就是说删除之后这个文件本身所占用的簇号被释放。
    7. 、FAT1和FAT2被占用的簇删除之后也被释放。
    8. 、删除之后winhex中文件开头的字节变成了“E5”也就是表明已被删除。
    • 总结:
    1. 、一号扇区的空闲簇数变大(注:变大多少由文件所占用多少个簇来决定
    2. 、下个可用簇也会发生改变。
    3. 、FAT1和FAT2会释放相应的FAT表项。
    4. 、目录项的第一个字节变成了0XE5。

    第十六章《恢复删除的文件》

    • 按住Shift键删除恢复实验
    1. 、用字符转换器将汉字或英文转换成十六进制,然后再到查找十六进制数值里去搜索。(注:不管以前的文件是大写还是小写在转换的时候一定要填大写)。
    2. 、转换好后复制到查找十六进制数值里去搜索(注意:因为文件是已被删除的所以在搜索的时候一定要把前面第一个字节给去掉再搜索,因为删除后文件名的第一个字节会变成“E5”所以在搜索是一定要把第一个字节给去掉)。
    3. 计算出簇大小后跳转到簇的位置(注:这一节讲的是在高位簇为0的时候)。
    4. 、然后将光标放在第一个字节处,将偏移变成十进制。
    5. 、然后点击转到偏移量,相对于选择当前位置。
    6. 、转到后按住ALT+2选择尾部。
    7. 、然后右击编辑--复制选块--至新文件也就是将选择后的数据提取出来(注:文件大小数是0C)。

    以上是在高16位为0的时候操作的

    第十七章《有高位簇的文件删除后对文件系统做了哪些操作》

    • 在要做实验的盘里存入一个文档(注:在文档里存入的内容一定要使它的高位簇有数值)实验。
    1. 、将还没有删除之前的状态给镜像出来,然后再将镜像转换成磁盘。
    2. 、转换完成后再将文件永久性删除(注:如果在高位簇有数值的情况下直接在根目录下恢复是没有用的,通过这样恢复的数据是一串乱码)。
    3. 、开始进行比较,第一个不同:空闲簇数变大,删除之后原本所使用的簇号被空闲出来,下个可用簇也改变了。
    4. 、第二个不同:FAt1原本被占用的FAT表项删除之后被释放(注:因为高位簇是有数值的也就表明这个文件里的内容所占用的字节比较多,所以FAT1表所占用的FAT表项也就越多)。
    5. 、第三个不同:目录项的第一个字节变成了“E5”。也就是表明已被删除。
    6. 、这一个不同是这一节的重要;第四个不同:高16位由原本得有数值变成了0(所以这就是为什么我们直接通过恢复根目录下的数据没用的原因了,因为高位簇变成了0所以它用它计算出来的簇也就是错的)。
    • 总结:
    1. 、一号扇区和下个可用簇发生改变。
    2. 、文件对应的FAT1和FAT2的FAT表项清空。
    3. 、文件目录项的第一个字节变成了0xE5。
    4. 、目录项的高位簇被清0。

    第十八章《恢复删除文件---手工计算被清空的高位簇》

    • 当高位簇有数值为0时的情况下恢复实验。
    1. 、在需要恢复实验的盘里增加一些文件或者压缩包,这样才可以使要做实验的文件的高位簇有数值。(注:因为winHex中只有低位簇不够存放时高位簇才会开始存放数据)
    2. 、到winhex里面去看一下文件是否是用高位簇进行存放,如果是那么就按住ShiFt键把文件删除。
    • 恢复实验开始:
    1. 、删除文件后到winhex中更新磁盘快照、滚动数据区让数据进行刷新。(注:当我们把文件删除后根目录下显示的是红叉,也就是表明高位簇被清0,所以直接在根目录下恢复的文件是损坏的)。
    • 高位簇计算:
    1. 、点击被删除文件然后将文件所在的扇区号进行复制,再将复制的扇区号复制到跳至扇区扇区的位置,然后下面簇的框中显示的就是低位簇的结果。
    2. 、用假设法假设高位簇为1,那么就是1乘以65563等于65536(注:每加一个簇那么就要在原有的基础上再加一个1乘以65536,以此类推)。
    3. 、算高位簇公式:用低位簇的数值加上假设的数(注:再假设高位簇的时候只能在原有的1x65536上叠加一个1x65536)。例如:低位簇为:18344       高位簇假设为1那么高位簇就是1x65536;18344+65536=83880;  如果假设高位簇为2,那么就是83880+1x65536=149416就这样以此类推直到找到为止。
    4. 、将算出的结果复制到跳至扇区簇的框中进行跳转看是否在这个簇里面,如果没有在里面,那么再找下一个簇。(注:我们在这里算出的结果是簇的结果而不是扇区的)。
    5. 、找到后将数据提取出来就可以了(注:如果要它的字节数,那么就用字符转换器将汉字会英文转换成十六进制,然后查找到后,到1C位置查看字节数)。

    第十九章《剪切文件对文件系统做了哪些操作》

    • 剪切分为两种情况:第一种:剪切到其他数据盘;第二种:剪切到其他文件夹。
    • 将文件剪切到其他数据盘实验
    1. 、在实验盘里存入一个文件。
    2. 、再将winhex中的数据给镜像出来,然后再将镜像转换为磁盘。
    3. 、把数据镜像出来后,在到实验盘里把文件剪切到其它盘中,剪切完成后再到winhex中更新快照、滚动一下数据区让数据刷新一遍。
    4. 开始进行比较:第一个不同:剪切后空闲簇数变多了,就是文件系统已占用的簇数变少了,也就是说这个文件原本所占用的空间被释放了,下个可用簇也发生了改变。
    5. 、第二个不同:剪切之后这个文件所占用的FAT表项被清空了。
    6. 、第三个不同:文件名目录项开头的第一个字节变成了0xE5。
    7. 、第四个不同:剪切之后高位簇被清零了(注:所以我们直接在根目录下恢复的话是没用的;还有高位簇被清零,数据区也会发生改变)。
    • 总结:
    1. 、一号扇区空闲簇数和下个可用簇号发生改变。
    2. 、文件所对应的FAT1和FAT2的FAT表项被清空。
    3. 、目录项开头的第一个字节变成了0xE5。
    4. 、目录项的高位簇被清零。
    • 将文件夹里的文件剪切到其它文件夹做了哪些操作。
    1. 、在实验盘里存入一个文件。
    2. 、再将winhex中的数据给镜像出来,然后再将镜像转换成磁盘。
    3. 、然后将文件剪切到其它文件夹中。
    4. 、开始进行比较;第一个不同:文件名目录项的第一个字节变成了0xE5。
    5. 、第二个不同:把A文件夹里的文件剪切到B文件夹里面的时候B文件夹里的子目录里多了一行目录项。(注:这个实验是在两个文件夹都在一个盘里的情况下)。
    • 总结:
    1. 、将原先的目录项第一个字节变成了0xE5。
    2. 、在剪切后的子目录里生成了一个目录项。

    第二十章《格式化对文件系统做了什么操作》

    • 格式化实验:
    1. 、在要准备实验的盘里放入一些文件。
    2. 、然后到winhex中将数据给镜像出来,再然后将镜像转换为磁盘。
    3. 、开始比较;第一个不同:格式化后DBR里面的数据会发生改变。
    4. 、第二个不同:空闲簇数和下个可用簇号的数据发生改变。
    5. 、第三个不同:FAT1和FAT2的FAT表项也全部被清零。
    6. 、第四个不同:格式化后根目录下的目录项被清空,然后格式化后会给盘默认起一个名字。
    • 总结:
    1. DBR里面的参数改变。
    2. 一号扇区里面的参数改变
    3. 、FAT1和FAT2的FAT表项被清零。
    4. 根目录也被清空,如果有卷标,那么会有一条目录项。

    第二十一章《格式化恢复-虚拟子目录》

    • 恢复实验:
    1. 、在盘中存储一些文件,然后再将实验盘给格式化。
    2. 、搜索根目录下的所有子目录(因为格式化的话只会破坏根目录和根目录之前的那些区域,也就是说用户真正的数据区并没有被破坏)。
    3. 、开始搜索;1、找一个为0的扇区偏移:00-01填2E 2E;偏移:02-0A填充20;偏移:0B-19填充3F通配符(注:高位簇和低位簇填0)。
    4. 、填充完成后开始搜索(注:一定要复制到低位簇)。
    5. 、复制到查找十六进制数值里面去查找(注:要勾上通配符、偏移条件512=32、然后还要选择全部搜索、再勾上列出搜索结果)。
    6. 、然后再跳转到2号簇(因为DBR里面的关键参数并没有改变,所以它们的根目录、FAT表那些位置都是完全重叠的)。
    7. 、跳转到后将虚拟子目录放入到WinHex中然后再将里面的数值复制到2号簇(注:复制多少目录项要看搜索到的子目录有多少来决定的)。
    8. 、如果搜索到的是3个子目录那么就到虚拟子目录里去复制3个目录项到2号簇。
    9. 、在2号簇的空闲区域写进去(注意:写进去的位置一定要是32=0)。
    10. 、保存,保存完成后又回到搜索到子目录里。
    11. 、回到后将它们的高位簇和低位簇写入到虚拟子目录里也就是我们复制到2号簇的目录项里的高位簇和低位簇的位置。
    12. 、填写完成后保存,更新磁盘快照。
    13. 、更新完成后发现根目录下多了几个文件,这几个文件就是我们虚拟的子目录,然后将它们恢复就可以了。
    • 总结:
    1. 、在根目录下虚拟子目录。

    第二十二章《格式化恢复-手工提取根目录下文件》

    • 直接手工提取根目录下文件:
    1. 、在盘中存放一些文件(注:不是文件夹)。
    2. 、将实验盘中的数据给格式化,(注:格式化要在磁盘管理中去格式化)。
    3. 、查找文件的文件头的开头的四个字节,找到它复制到查找十六进制数值里面去搜索。(注:如果在不知道它是什么类型文件的情况下,那么就到外面去创建一个一模一样的文件,让后再将创建好的文件拉倒winhex中看它开头的四个字节,将那四个字节复制到查找十六进制数值里面去搜索)。(注意:一定要全部搜索)。
    4. 、搜索到后再将数据提取出来就可以了。
    • TXT类型搜索实验:
    1. 因为文档比较特殊,它没有文件头,所以在恢复的时候只能通过文档里面的任何汉字、代码、英文、数字等一些内容用字符转换器来将它们转换成十六进制然后到查找十六进制数值里面去搜索进行定位。(注:在搜索的时候什么都不用勾)。
    2. 、找到后将数据提取出来就可以了。

    第二十三章《格式化恢复-手工计算DBR参数》

    • 修改DBR参数恢复实验:
    1. 、先搜索出子目录下所有父目录。
    2. 、搜索完成后再将它的簇大小算出然后再将结果放到跳转至扇区簇的框中看一下显示的扇区号与数据区的扇区号是否能对上,如果能那么就直接在根目录下虚拟子目录然后恢复,如果不能那么就要修改DBR参数。
    • DBR修改实验:
    1. 、将找出的子目录的簇大小与数据区的扇区数进行记录(注:记录的是左下角的哪一个)。
    2. 计算公式:扇区与扇区对减;簇大小与簇大小对减,再然后扇区的结果除以簇的结果(例如:扇区是40976和41008;簇大小是3和5那么就是40976-41008=32;5-3=2;32/2=16)。
    3. 、计算根目录所在扇区号:用3号簇的扇区减去我们算出的簇大小的结果等于根目录所在扇区(因为数据存储是有顺序的,所以2号簇过了就是3号簇)。
    4. 、完成后跳转到0号扇区。
    5. 、修改0号扇区簇大小偏移:0D,点击0D位置将我们算出的的簇大小填入到数据解释器中。
    6. FAT表大小计算公式:我们算出根目录所在的扇区号减去FAT表的起始扇区扇区号除以2。(注:FAT表的起始扇区号在已经格式化后的偏移:0E-0F位置,也就是说将已经格式化的磁盘的DBR中的偏移:0E-0F数据解释器中的数值来减去我们算出的根目录结果就等于FAT表大小)。
    7. 算出结果后将结果填到FAT表大小的位置,偏移:24-25,将结果填到数据解释器中
    8. 、然后更新,如果更新不出来那么就关掉再打开。
    9. 、在计算:FAT起始扇区号加FAT大小乘以2(例:FAT起始扇区为6158;FAT表的大小为:17401;6158+17401*2=40960)。
    10. 、验证完成后到2号簇虚拟一个子目录然后将簇号填上,然后恢复就可以了。

    第二十四章《格式化恢复-巧取DBR参数》

    • 巧取实验:
    1. 、搜索子目录下所有父目录。
    2. 、搜索到后,在其中选择一个来验证一下看这个子目录的扇区能否与数据区的扇区号对上,如果不能那么表示DBR里面的参数被改变。
    • 恢复实验:
    1. 、在磁盘管理中或分区工具中再创建一个与实验盘一样大小的盘(注:一定要是FAT32格式的)。
    2. 、创建完成后到WinHex中将我们创建的盘中的DBR复制到实验盘中DBR的位置(注:定要从第0个字节开始写入)。
    3. 如写入完成后到搜索到的子目录里面再将子目录的簇大小放入到跳至扇区里面簇的框中,如果扇区的框中显示的结果与数据的扇区号不能对上的话,那么就说明我们创建的盘中的DBR的参数是错的。
    4. 、然后再到0号扇区去看一下它的簇大小,然后再到磁盘管理中再将它给格式化(注:要格式化的是我们创建的哪个盘,在格式化分配单元框中选择一个与上一个不同的簇大小;8192是16;4092是10;因为上一个的簇大小是16,它的DBR参数是不对的,所以我们要选择一个与上一个不同的簇大小,再格式化)。
    5. 、如果是对的那么子目录的扇区与数据区的扇区号是可以对上的,根目录下也会自动恢复被格式化的文件,如果对不上那么就再去格式化再换一个簇大小,直到对的上为止。

              三、注意:在复制的时候一定要注意,不能把分区1的DBR复制到引导扇区里去。

    第二十五章《磁盘未被格式化-利用备份的DBR恢复》

    • 如果在打开磁盘或U盘的时候提示“格式化”那么就表明盘中0号扇区的DBR参数被破坏了。
    • 打开winhex到六号扇区直接将六号扇区的十六进制复制到0号扇区就可以了(因为每个分区的DBR都有一个它的备份分区,所以直接将六号扇区的数据复制到0号扇区就可以了,注:前提是磁盘未被格式化,打开winhex到根目录下去看一下,如果还能看见文件那么表明磁盘未被格式化。之所以能看见是因为备份DBR起的作用,所以在winhex中能看见但在计算机中不能打开就是这个原因了。

    第二十六章《磁盘未被格式化恢复-用系统格式化默认恢复》

    • 恢复前准备:
    1. 、打开磁盘的时候提示说“格式化”那么表明磁盘中的零号扇区的DBR被损坏。
    2. 我们打开0号扇区和六号扇区去看一下,发现0号和六号的DBR参数都被损坏掉了
    3. 、看“分区”栏中扩展名的位置下显示的是什么,如果显示FAT32那么就表明备份的DBR没有被损坏;如果显示的是问号那么表明备份的DBR也被损坏了。(注:所以在winhex中数据也提取不出来)。
    4. 、然后再去搜索FAT表,搜索“F8FFFF0F”因为它是FAT表开头的4个字节。偏移条件选择512=0。
    5. 、搜索到后看一下它是FAT1的还是FAT2的(注:FAT表有两个FAT1和FAT2,FAT1在前面FAT2在后面,所以我们如果搜索到后看一下它的前面和后面一个扇区,如果前面为0后面也为0的话那么就表明我们搜索到的是FAT2,因为数据损坏是有顺序的都是从前面一个先开始)。
    • 开始恢复
    1. 在磁盘管理或分区工具中创建一个与实验盘大小一模一样的,然后再到winhex中打开我们创建的盘中,将盘中的DBR参数复制到实验盘中DBR的位置,然后发现实验盘的“分区”框中扩展名显示的是FAT32,那么表明实验盘的DBR被恢复了,但是磁盘还是不能读写,只能将在根目录下直接提取出来。

    第二十七章《磁盘未被格式化恢复-手工计算DBR参数》

    • 恢复实验:
    1. 、先在实验盘里存入一些文件,然后再将磁盘里的DBR参数给损坏掉。
    2. 、损坏完成后打开winhex的物理驱动器的实验盘(注:因为备份的DBR也被损坏,所以直接在逻辑驱动器里无法打开)。
    3. 、打开分区1,打开后在里面搜索我们需要的数据;比如备份DBR,FAT表等。(注:不能直接在物理驱动器下搜索,一定要打开分区1里面去搜;因为如果直接在磁盘下搜索的话那么我们搜索的时候都会以第2048个扇区为起点开始搜索,这样的话我们计算起来会很麻烦的,所以我们为了简单一点都打开分区1到里面去搜索)。
    4. 、找:0号扇区与六号扇区DBR参数;然后找FAT表,搜索“F8FFFF0F”,如果搜索不到,那么就搜“FFFFFF0F”偏移条件:4=0、全部搜索
    5. 、搜索到后将光标放在第一个字节看数据解释器中的数值,如果是129那么就是第二个FAT表的扇区(因为一个FAT表的一个扇区所容纳的FAT表项数是128个,所以129的话是第二个FAT表扇区)。
    6. 然后记录搜索到的扇区的上一个扇区号。
    7. 、然后复制我们搜索到扇区的上一个扇区的开头的8个字节进行搜索。
    8. 、搜索到后记录它的扇区号
    9. 将两个扇区号相减那么就是FAT表大小(7186-19977=12791)
    10. 、FAT表大小加上FAT表2的起始位置等于根目录所在扇区号(12791+19977=32768)。
    11. 、然后随便搜索两个子目录。
    12. 、搜索到后随意点击一个,记录它的扇区号和簇大小;(3;32800).
    13. 、然后随意点击一个,记录它的扇区号和簇大小。(131;36896)。
    14. 再然后扇区与扇区对减;簇大小与簇大小对减;扇区结果除以簇大小结果(32800-36896=4096;131-3=128;4096/128=32)
    15. 、然后再到磁盘管理或分区工具中去创建一个盘,多大都可以。
    16. 、创建完成后再将创建好的盘的DBR参数复制到实验盘DBR的位置。
    17. 然后修改复制完成的DBR参数,偏移:0D填簇大小;偏移:0E-0F填FAT表的起始扇区号也就是我们搜FAT表最前面的FAT表扇区;偏移:24-25填FAT表大小;偏移:20-23填文件系统总扇区数。
    18. 、然后填写完成后更新快照就可以了。

    第二十八章《文件和目录损坏的原因和恢复方法》

    • 一般出现提示“格式化”时都是根目录FAT表项损坏了。
    • 如果是NTFS提示格式化表明MFT损坏。
    • 打不开磁盘是因为根目录的FAT表项被清零,如果是其他FAT表项的话也就是个别文件打不开而已。
    • 恢复方法:
    1. 将根目录所占用的FAT表项改变“FF FF FF 0F”表示2号簇已被占用
    2. 、将修复好的FAT表项更新磁盘快照,再到计算机中将实验盘弹出然后在读取一遍就可以了。

    第二十九章《文件名变乱码的原因及恢复方法》

    • 文件名变乱码的原因是因为文件夹所在的数据区损坏了。
    • 利用21张所学虚拟子目录,恢复方法:
    1. 、点击文件夹所在的数据区。
    2. 、发现数据区内的数据显示的是一堆乱码,(注:因为如果子目录和父目录正常的话子目录开头用“2E 20 20 20 20 20 20 20 20 20 20开头;父目录用2E 2E 20 20 20 20 20 20 20 20 20 开头”)。
    3. 、看文件夹在那个簇号的方法:点击变成乱码的文件夹,然后将文件夹所在的扇区号复制到跳至扇区扇区的框中,下面的结果就是文件夹所在的簇号。(注:点击的是根目录下的文件夹)。
    4. 、再然后将簇框中显示的结果放到计算器十进制里面转换成十六进制。
    5. 、搜索父目录在2B 7C的所有父目录;方法:找一个部分为0的扇区将它们填为“2E 2E 20 20 20 20 20 20 20 20 20 3F 3F 3F 3F 3F 3F 3F 3F 3F 00 00 3F 3F 3F 3F 7C 2B”(注:因为在winhex中的数值与外界的数值是相反的;又因为数值是从低位簇开始填写的,所以这里高位簇为0)。
    6. 再然后复制选块---十六进制数值,复制到查找十六进制数值里面进行搜索----勾上通配符、全部搜索、偏移条件:512=32、列出结果可随意
    7. 、搜索到后将子目录的高低位簇数值做好记录。(注:这里写出来可不用相反)。
    8. 、然后再点击变乱码的文件夹将文件夹的数据区清零,然后再将虚拟的子目录复制到文件夹的数据区中,再将记录好的高低位簇填入到虚拟子目录的高低位簇中。
    9. 、填充完成后跟新就可以了。
    • 如果文件直接在根目录下或直接在变成乱码的文件夹中,恢复方法:
    1. 、搜索压缩包开头的4个字节。(注:如果不知道4个字节是那4个,那么可在外界创建一个与被变乱码压缩包一样的压缩包,然后再将创建好的压缩包拉到winhex中,即可知道,这里一定要创建与要被恢复压缩包一样类型的)。
    2. 、然后复制开头4个字节到查找十六进制数值里面去搜索。
    3. 、搜索到后将数据提取出来就可以了。

    第三十章《根据FAT表算出簇大小》

    • 没有子目录,用FAT表算出簇大小实验:
    1. 、 直接在实验盘内存入一些文件或压缩包。
    2. 、然后打开winhex将实验盘的DBR给破坏掉。
    3. 、找FAT表,在查找十六进制数值中搜索“F8 FF FF 0F”全部搜索、偏移条件:512=0
    4. 、搜索到后第一个就是FAT1,然后按F3继续搜索到后第一个就是FAT2,记录它们所在的扇区号。
    5. 、算出FAT表大小:用FAT1的位置减去FAT2的位置(4170-18469=14299)
    6. 、算出根目录所在扇区号:用FAT表大小加上FAT2的起始位置等于根目录所在扇区号(14299+18469=32768)
    7. 、算出根目录所在扇区号后复制结果到跳转至扇区进行跳转。
    8. 、跳转到后记录根目录所在扇区号也就是我们算出的结果。
    9. 、算出文件系统有多大:用总扇区号减去根目录所在位置(14673920-32768=14641152)。
    10. 、算出有多少个FAT表项:用FAT表大小乘以128因为每个扇区可以容纳128个FAT表项(14299*128=1830272)。
    11. 、算出簇大小:用总扇区号除以FAT表项=簇大小(1830272/14641152=7.9994...)簇大小只有1、2、4、8、、16、32、64、128这几个,因为我们算出的结果接近于8,所以它的簇大小就是8。
    12. 、都算完成后再去创建一个为FAT32格式的磁盘,然后再到winhex中将创建的磁盘的DBR参数复制到实验盘DBR参数的位置。
    13. DBR参数写入完成后再将它们的偏移:0D填簇大小;偏移:0E-0F填FAT表的起始扇区号;偏移:24-25填FAT表大小;偏移:20-23填文件系统总扇区号。
    14. 、填入完成后数据就恢复了。
    • FAT表的0号扇区损坏恢复实验。
    1. 、当FAT表的0号扇区损坏了,我们又急需寻找FAT表的话,那么只能搜索“FF FF FF 0F”来查找了,全部不勾。
    2. 、有时候搜索到的第一个并不是FAT表的结束标志,所以要按F3继续搜索。
    3. 、搜索到后,将光标放到第一个字节处看数据解释器的数值。
    4. 、再用第一个字节的数值除以128就是结果。(10625/128=83.00781)。
    5. 、再用所在的扇区号减去算出的结果=FAT1表的起始位置(4253-83=4170)。
    6. 、算出后跳到算出的扇区号的位置。
    7. 、跳转后如发现没多少数据那么向下拉一点就可以看见了。
    8. 、看见以后将光标放在第一个字节发现是FAT表的第二个扇区。也就是129。也就是说我们搜索到的就是FAT表的起始位置了。
    9. 、再将找到的FAT1表的起始位置的前几个字节复制到查找十六进制数值里搜索,搜索到后就是FAT2表的起始位置了。

    以上都要注意记录

    完结

    展开全文
  • winhex的使用教程,有了它自己也能做数据恢复
  • 软件介绍: 这个视频录像教程非常难得哦!教程内容:打开某一磁盘分区时,提示“磁盘未格式化”,可以在...大小70MB,非常详细,特别对于想学winhex数据恢复的朋友来讲,非常不错!格式为AVI,高清晰,全程语音讲解。
  • 使用WinHex恢复U盘数据的方法,U盘数据丢失,可以利用改方法进行修复
  • 本套课程从基础的内容开始讲解,一步一步教你用winhex手工恢复出数据,课程包含分区表、FAT32文件系统、和NTFS文件系统的数据结构和数据恢复方法
  • WinHex一直以来广受赞誉,是软件破解、BIOS修改等方面的必备工具,其对十六进制数据的处理能力即使是常用的UltraEdit也无法望其项背的。
  • 实战课是实际演示数据恢复过程,实战课会用课堂练习.vhd和课后练习.vhd 这两个虚拟磁盘镜像文件,您可以把这两个文本在自己的电脑加载然后,自己动手恢复一遍。如果能一次性恢复成功好,如果恢复不出来,那么再看...
  • winhex 数据恢复

    2018-05-17 09:40:36
    一款功能强大的十六进制编码器,能够提供数据恢复等的功能
  • 实战课是实际演示数据恢复过程,实战课会用课堂练习.vhd和课后练习.vhd 这两个虚拟磁盘镜像文件,您可以把这两个文本在自己的电脑加载然后,自己动手恢复一遍。如果能一次性恢复成功好,如果恢复不出来,那么再看...
  • 数据恢复软件之winhex的使用;目录中文件数:2个(4)\4.通用的数据恢复方法;目录中文件数:2个(5)\5.数据的存储形态;目录中文件数:2个(6)\6.本套教程学习方法;目录中文件数:2个(7)\4.通用的数据恢复方法\课后练习;...
  • winHex数据恢复(第一篇)

    千次阅读 2022-03-22 23:34:41
    利用WinHex恢复删除数据和被破坏分区
  • FSINFO扇区数据结构 短文件名目录项数据结构 第长文件名目录项 标准子目录格式 ※公式区 注意事项: 规律 1块物理硬盘 MBR分区(引导系统;DPT(分区表)硬盘内部参数) DBR扇区 MBR扇区 DBR扇区结构 ...
  • 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容 易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来...
  • 采用Winhex恢复数据,从原理到过程,图文并茂,值得一读。
  • winhex数据恢复精华图解,图文并茂,实在难得!
  • 很适合新手的数据恢复基础教程,自己编辑。
  • 非常详细的PDF文档,图文并茂 主要讲解分区表的手动重建

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 389
精华内容 155
关键字:

winhex数据恢复教程