• 咨詢熱線:4006-759388  
    分部: 杭州 | 上海 | 武漢 | 深圳 | 北京 | 沈陽
    華軍科技數據恢復
    數據恢復
    成功案例
     
     當前位置: 首頁 > 數據恢復 > 正文

     聯系我們

     4006-759388

    想學好數據恢復,學會用這款磁盤工具,WinHex使用方法詳解

     瀏覽量:次  來源:華軍科技數據恢復  發布日期:2021-08-30 00:22:36

    WinHex是由X-Ways軟件技術公司開發的一款專業的磁盤編輯工具,該工具文如其名,是在Windows下運行的十六進制(hex)編輯軟件,能夠支持Windows XP、Windows 2003、Windows 7、Windows 8等操作系統。

    WinHex磁盤編輯工具

    WinHex磁盤編輯工具

    該軟件功能非常強大,有著完善的分區管理功能和文件管理功能,能自動分析分區表鏈和文件簇鏈,并能以不同的方式進行不同程度的備份,直至克隆整個硬盤。作為一款磁盤編輯軟件,具有所有編輯軟件所具有的通用功能如查找、替換等,它能夠完整地顯示和編輯任何一種文件類型的二進制內容(用十六進制方式顯示),其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任一扇區,內存編輯器可以直接編輯內存,是非常好用的一款磁盤編輯軟件。

    本書以WinHex15中文版為例介紹WinHex的用法。因為該軟件原版為英文版,中文版都是漢化過來的,漢化中某些詞條的翻譯不一定很精確,所以英文好的讀者還是盡量使用英文版。

    WinHex“啟動中心”對話框

    啟動WinHex后首先彈出“啟動中心”對話框,如圖3-1所示。

    \

    圖3-1 WinHex“啟動中心”對話框

    可以在“啟動中心”對話框選擇所要打開的項目,包括“打開文件”、“打開磁盤”、“打開RAM(內存)”和“打開文件夾”,也可以直接從“最近打開的數據”中選擇所要打開的項目。左邊是“方案”和“腳本”選項,“方案”為用戶有選擇地保留操作成果提供便利條件;“腳本”是一個批處理腳本編輯系統,可以調用WinHex已經開發并集成的各種函數指令進行編程工作。

    在“啟動中心”對話框中的四個選項中,“打開磁盤”是數據恢復中最常用的一項,選擇“打開磁盤”后出現如圖3-2所示的對話框。

    \

    圖3-2 “編輯 磁盤”選擇界面

    這里可以選擇打開“邏輯驅動器”,也可以選擇打開“物理驅動器”。選擇打開“物理驅動器”后彈出WinHex的主窗口界面,如圖3-3所示。

    \

    圖3-3 WinHex主窗口

    對WinHex主窗口中各個區域定義如下:

    ①詳細資源面板;

    ②偏移量的縱坐標;

    ③偏移量的橫坐標;

    ④菜單欄;

    ⑤工具欄;

    ⑥十六進制數據編輯區;

    ⑦文本區;

    ⑧底邊欄。

    WinHex主窗口介紹

    詳細資源面板

    WinHex主窗口的左邊是“詳細資源面板”,分為6個部分:硬盤參數、狀態、容量、當前位置、窗口情況和剪貼板情況。

    ①硬盤參數。包括硬盤的型號、序列號、固件版本號和接口類型。

    ②狀態。狀態為“原始的”。如果對內容進行過修改,這里就會顯示“被修改”。此外還有撤銷級別(0)、反向撤銷(由“n/a”→“鍵盤輸入”)。

    ③容量。包括總容量,112GB/120 033 041 920字節,每扇區512字節,放棄尾部扇區2990(這里指因為分區粒度的原因導致硬盤最后一個分區之后剩余的扇區)。

    ④當前位置。包括當前位置之前的分區數、有關的扇區號。

    ⑤窗口情況。包括當前窗口號、窗口數、模式、字符集設置、偏移地址、每一頁的字節數。

    ⑥剪貼板情況。包括剪貼板狀態、臨時文件夾可用大?。ㄖ饕Q于所在分區的空閑空間)。

    這些參數對把握整個硬盤的情況非常有幫助,其屬性值隨打開內容的不同而變化。另外,在其上單擊鼠標右鍵,可將“詳細資源面板”與編輯窗口對換位置,或關閉“詳細資源面板”。

    “訪問”功能菜單

    編輯窗口的右上角有一個向下的三角形,這就是“訪問”功能菜單,如圖3-4所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-4 WinHex“訪問”功能菜單

    “訪問”功能菜單是恢復分區的最好工具,它把每一個分區按照順序排成一串。如果分區表有問題,該處也會有一定的反映,而且通過這個菜單可以直接查看分區文件系統類型、打開各個分區、直接轉移到各個分區的分區表、開始扇區等,并都有相應模板,可以非常直觀地顯示分區和啟動扇區參數,而且可直接在模板上修改、創建備份。

    對于每個區域,軟件都提供有右鍵彈出菜單。如在編輯區單擊鼠標右鍵,會彈出定義選塊和編輯菜單,如圖3-5所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-5 WinHex編輯區的彈出菜單

    WinHex的偏移量(Offset)

    偏移量(Offset)是指某個地址相對于一個指定的起始地址所發生的位移,也就是“距離”。WinHex的偏移量由橫坐標和縱坐標構成,用來具體定位十六進制數據編輯區中每個字節的地址。

    偏移量的橫坐標和縱坐標中的數值默認為十六進制,如果需要改成十進制,只需在縱坐標處的任意位置單擊鼠標左鍵即可。

    WinHex的十六進制數據編輯區

    當用WinHex打開一個編輯目標時,編輯目標中存儲的所有數據都會以十六進制的形式顯示在WinHex的十六進制數據編輯區。編輯區的右側有滾動條,可以上下拖動,這樣就可以方便地查看和編輯這些數據了。

    文本區

    文本區的作用是將十六進制數據編輯區中的數據按照一定的編碼解釋為相應的字符。這里的編碼種類是可以在菜單中選擇的,這個在后面講解。

    底邊欄

    主窗口的最下邊一欄是一些非常有用的輔助信息,圖3-3左下角的“0/234439535”是指當前的邏輯扇區號/總扇區數。

    “偏移地址”是光標在十六進制數據編輯區中停留處所在字節的偏移地址,后面等號處的數值是該光標處十六進制字節的十進制值。

    “選塊”后的數據是指在十六進制數據編輯區中所選擇的一片數據的起始偏移地址和結束偏移地址;“大小”后的數據是選擇的數據塊中包含的字節數。

    這些區域也都有相應的快捷方式,如單擊扇區/總扇區區域的任一地方,都會彈出“跳至扇區”對話框,如圖3-6所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-6 WinHex“跳至扇區”對話框

    單擊“偏移地址”區域,會彈出“轉到偏移量”對話框,如圖3-7所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-7 WinHex“轉到偏移量”對話框

    單擊“選塊”區域會彈出“定義選塊”對話框,如圖3-8所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-8 WinHex“定義選塊”對話框

    WinHex工具欄介紹

    WinHex工具欄中排列的都是WinHex最常用的一些功能,這些功能也是WinHex的使用基礎,我們用大寫字母A~Y對應給每一個功能編號,進行一一講解,如圖3-9所示。

    \

    圖3-9 WinHex的工具欄

    A.“新建”。單擊“新建”圖標,出現“建立新文件”對話框,如圖3-10所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-10 “建立新文件”對話框

    對話框中提示輸入要創建文件的大小,單位可以是字節、KB、MB、GB。如輸入512Bytes,單擊“OK”按鈕就創建了一個以“未命名”為文件名、大小為512個零值字的文件。此時就可以為這些零字節賦予有意義的值,然后另存為文件。

    B.打開。單擊“打開”圖標,出現一個文件選擇對話框,如圖3-11所示。

    \

    圖3-11 文件選擇對話框

    這時可以選擇一個任意文件,然后單擊右下角的“打開”按鈕,便可以瀏覽該文件的十六進制編碼。打開文件后就可以進行各種修改、查找、替換及銷毀工作了。

    需要注意的是,普通文件被打開后將不再按照扇區的結構進行顯示,而是采用“頁面”方式,就無法看到原本扇區之間的分割線。單個頁面沒有固定大小,純粹是顯示單位。如果打開的是一個原始磁盤鏡像文件,按頁面瀏覽就會產生諸多不便,會讓分析、定位扇區及解釋文件系統等常規工作無法完成,這時就需要將此文件強制按照每512字節/扇區進行處理,WinHex的介質管理器就會視此文件為一個標準磁盤,從而激活許多針對磁盤操作的特殊功能。該功能在菜單欄的“專業工具”→“將鏡像文件轉換為磁盤”這個選項中,如圖3-12所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-12 將鏡像文件轉換為磁盤

    C.保存。在WinHex的默認編輯模式,數據修改后不是直接存盤,而是寫入臨時文件中,編輯好后如果需要存盤,就單擊一下“保存”圖標即可。

    WinHex的編輯模式有三種,分別為只讀模式、默認編輯模式、替換模式:在只讀模式下不能修改只能查看;在替換模式下,所有的修改即時寫入立即生效。

    編輯模式可以在菜單欄的“選項”→“編輯模式”這個選項中設置,如圖3-13所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-13 編輯模式菜單

    打開編輯模式菜單后出現如圖3-14所示的選框。

    WinHex使用方法詳解-數據恢復迷

    圖3-14 編輯模式選框

    選中需要的模式后單擊“確定”按鈕即可生效。

    D.文件屬性。該功能可以顯示指定文件的基本屬性,如文件字節大小、創建時間、最后寫入時間、最后訪問時間等,打開后如圖3-15所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-15 “文件屬性”信息框

    E.打開文件夾。這是WinHex的特色功能之一,可以對某一文件夾內某類型的文件進行批量展開,以方便后續的同步、對比、批量修改等工作。

    打開此功能后出現如圖3-16所示的對話框。

    \

    圖3-16 “打開文件夾”對話框

    F.撤銷。該功能比較好理解,當我們做了某些錯誤的修改,想更正回來,就可以用到,這與Word軟件中的撤銷是一個意思,但是已經保存的修改就不能撤銷了。

    G.復制扇區。該功能是最常用到的選項之一。在數據恢復工作中往往需要選定一定的字節并復制到合適的地方。例如,需要把6號扇區的內容復制到0號扇區,可以先把6號扇區的全部字節選中,選中的方法可以采用拖動鼠標的方式選中整個扇區的字節,也可以采用定義“選塊開始”和“選塊結尾”的方式選中整個扇區的字節,選中后單擊“復制扇區”圖標,就可以把選中的信息存入剪貼板中了,以備隨后的操作使用這些信息。

    H.寫入剪貼板。這是指將已經復制到剪貼板中的數據寫入目標位置。例如,剛才把6號扇區的全部字節選中后,返回到0號扇區,光標放在該扇區第一個字節處,單擊鼠標“寫入剪貼板”圖標,就可以把6號扇區的信息寫入0號扇區了。

    I.修改數據。該功能可以改變數據的排列規律,打開此功能后出現如圖3-17所示的對話框。

    WinHex使用方法詳解-數據恢復迷

    圖3-17 WinHex“修改數據”對話框

    “修改數據”功能應用到了邏輯數學的許多知識,具體功能有給單個或批量字節做指定加數(整數,可以是正負值或是16進制數值)的加法、給單個或批量字節做反轉位(0~255元素集合內的補碼運算)、16位字節交換(每兩個字節左右交換位置)、32位字節交換(每四個字節左右交換位置)、XOR運算、OR運算、AND運算、循環左移一位運算、循環右移一位運算、位移運算、ROT13運算和左旋圓運算。

    J.查找文本。該功能的主要作用就是搜索、定位操作對象中存在的特定字符串。很多文件系統中的特殊結構及大多數文件,如Office文檔、數據庫文件等,都是以某種字符串作為起始的,此時只要查找這些字符串就可以在字節的海洋中輕易找到我們需要的結構。

    打開“查找文本”出現如圖3-18所示的對話框。

    WinHex使用方法詳解-數據恢復迷

    圖3-18 “查找文本”對話框

    在對話框的最上方是一個文本填寫框,用來輸入想要搜索的字符。下方都是為搜索任務量身定做的各種條件,用戶可以選擇搜索目標大小寫的匹配要求、兩大字符編碼(ASCII和UNICODE)類型,可以在搜索表達式中加入一個通配符,可以要求完整語句搜索,可以選擇搜索方向或全局搜索,可以在指定范圍內為搜索對象確定方位(偏移計算)、可以選擇只在選塊中搜索,可以在所有打開的窗口中進行搜索,可以給出并保存搜索列表。

    其中“條件:偏移計算”這個設置很重要。這里設定得越精確,在搜索中效率越高。這個設置中有兩個表框需要我們填寫,第一個表框的含義是搜索單元包含的字節數(十進制),第二個表框的含義是搜索的目標字符在搜索單元中的起始偏移量。

    例如,在一個硬盤某個扇區的前四個字節處有“file”這四個ASCII的字符,但我們不知道它在哪個扇區,需要去搜索,那么我們把“file”這四個ASCII的字符填入文本填寫框,“條件:偏移計算”的第一個表框填寫“512”,因為我們需要以扇區為單位搜索,而每個扇區的字節數為512;第二個表框填寫“0”,因為搜索目標“file”這四個ASCII的字符開始于扇區的第一個字節處。

    K.查找十六進制數值。這與“查找文本”用法非常相似,打開后界面如圖3-19所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-19 “查找十六進制數值”對話框

    L.同步搜索。該功能可以實現多字符串的同時搜索,也就是說它可以同時完成多個搜索任務,打開后界面如圖3-20所示。

    \

    圖3-20 “同步搜索”對話框

    同步搜索的對象目前僅限于文本,文本框用來輸入字符串。這里對格式有一定要求,如果要進行多任務搜索,每個任務必須占用獨立的一行。此外還可以從外部導入文本文件來定義搜索內容。

    M.轉到偏移量。這是一個用來定位的跳轉工具,用法非常靈活,打開后界面如圖3-21所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-21 WinHex“轉到偏移量”對話框

    最上面“新位置”表框填入想跳轉的目標位置偏移值,這個值可以是十六進制,也可以是十進制,這里進制的選擇跟主窗口的偏移量所用進制保持一致。另外,這個值的單位可以選擇字節、字、雙字、扇區。

    跳轉的目標位置可以選擇四個起始點,分別為從最開始處、從光標當前所在位置往后跳轉、從光標當前所在位置往前跳轉、從結尾處往前跳轉。

    N.跳至扇區。該功能的使用可謂是最多的,打開后界面如圖3-22所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-22 “跳至扇區”對話框

    該功能用于絕對扇區號的跳轉,其中的“邏輯扇區”是指LBA地址的扇區號,“物理”則指C/H/S地址。

    O.向前。指讓光標回到上一步的操作位置處。

    P.向后。指讓光標回到后一步的操作位置處。

    Q.打開磁盤。該功能在WinHex中使用也很多,打開后界面如圖3-23所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-23 打開磁盤對話框

    對話框中可以根據需求選擇需要編輯的邏輯磁盤或者物理磁盤。

    R.磁盤克隆。該工具可以很方便地將一塊硬盤或一個分區克隆到另一個硬盤上或做成鏡像文件,如圖3-24所示。

    \

    圖3-24 “磁盤克隆”對話框

    對話框中的來源和目標可以是硬盤、分區或者文件,可以根據實際情況進行選擇??寺r還能夠選擇完整復制或者自定義扇區進行復制。另外,如果介質中有壞扇區,可以選擇跳過的數目,還能定義壞扇區所對應的目標盤中填入的信息值。

    S.打開RAM。該功能也就是打開內存,如圖3-25所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-25 打開RAM對話框

    這是一個很強大的功能,它可以對計算機系統當前正在運行的進程進行查看和編輯。

    T.計算器。該功能是直接調用操作系統下的計算器工具來進行計算。

    U.常規設置。在該選項中可以進行很多基本的設置,如圖3-26所示,其含義很明確,這里就不再詳細介紹。

    \

    圖3-26 “常規設置”對話框

    V.減小一列。該功能是把主窗口界面偏移量的橫坐標減少一列數值。

    W.增大一列。該功能是把主窗口界面偏移量的橫坐標增加一列數值。

    X.“進行磁盤快照”。磁盤快照是指對整個文件系統做一次完整遍歷,從而能夠像資源管理器一樣列出分區下的目錄及文件。WinHex做完磁盤快照的結果如圖3-27所示。

    \

    圖3-27 磁盤快照的結果

    Y.目錄瀏覽器?!澳夸洖g覽器”是對“磁盤快照”后所列目錄的設置,打開“目錄瀏覽器”功能后的界面如圖3-28所示。

    \

    圖3-28 “目錄瀏覽器及過濾設置”界面

    WinHex菜單欄介紹

    WinHex菜單欄介紹中的大多常用功能都集中在工具欄中了,這里再補充幾個比較重要而工具欄中沒有的功能。

    “查看”菜單

    “查看”菜單中幾個比較重要的功能如圖3-29所示。

    \

    圖3-29 “查看”菜單

    ①僅顯示文本。當選中該功能時,WinHex將隱藏主窗口的十六進制數據編輯區,而只顯示文本區,如圖3-30所示。

    \

    圖3-30 “僅顯示文本”視圖

    該功能在字符串查看和識別、編輯、編碼轉換工作時可以有效排除十六進制數值帶來的干擾,更加一目了然。

    ②僅顯示十六進制。當選中該功能時,WinHex將隱藏主窗口的文本區,而只顯示十六進制數據編輯區,如圖3-31所示。

    \

    圖3-31 “僅顯示十六進制”視圖

    在分析十六進制數值時選中該功能可以減少文本帶來的干擾。

    ③模板管理器。這是WinHex中對數據恢復工作最有幫助的功能之一,其中提供了對分區表、文件系統中的DBR、目錄項、文件記錄、超級塊等重要結構的解釋,非常好用。

    打開“模板管理器”后出現如圖3-32所示的對話框。

    \

    圖3-32 “模板管理器”視圖

    “模板管理器”中各個模板的使用方法將在本書的后面章節詳細講解。

    ④同步窗口。該功能可以讓多個窗口在主窗口中同時顯示,如圖3-33所示。

    \

    圖3-33 “同步窗口”視圖

    “同步窗口”后,拖動某一窗口的滾動條,所有窗口都同步滾動。

    ⑤同步和比較。該功能在“同步窗口”的基礎之上增加了對比功能,可以讓多個窗口在主窗口中同時顯示并且標示出有差異的字節,如圖3-34所示。

    \

    圖3-34 “同步和比較”視圖

    “同步和比較”功能在對比分析時非常有用,尤其是在分析RAID時更加有效。

    “專業工具”菜單

    “專業工具”菜單中幾個比較重要的功能如圖3-35所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-35 “專業工具”菜單

    ①重組RAID。該功能在恢復RAID數據時非常有用,支持RAID-0和五種RAID-5結構,打開后如圖3-36所示?!爸亟MRAID”功能也將在后面的章節詳細講解。

    \

    圖3-36 “重組RAID”視圖

    ②收集空余空間信息。該功能是將分區中未被使用的扇區收集起來,執行后WinHex將自動開始分析和收集,如圖3-37所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-37 “收集空余空間信息”視圖

    分析完畢后,WinHex會將分析的結果保存為文件。

    ③收集殘余空間信息?!皻堄嗫臻g”是指文件分配的簇中沒有用完的字節,“收集殘余空間信息”就是把分區中的這些字節收集起來。執行該功能后將有兩個選項需要設置,如圖3-38和圖3-39所示。

    \ \
    圖3-38 “收集殘余空間信息”的設置1 圖3-39 “收集殘余空間信息”的設置2

    設置完后WinHex將自動開始在每個簇中分析和收集,如圖3-40所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-40 “收集殘余空間信息”視圖

    “收集殘余空間信息”功能在電子取證中比較多用。

    ④高亮顯示空余空間。該功能是指把分區中未使用的扇區用更加明亮的方式顯示出來,如圖3-41所示。

    \

    圖3-41 高亮顯示空余空間

    圖3-41中上半部分是正在使用的空間,下半部分比較明亮的是空余空間。

    提示

    “高亮顯示空余空間”功能必須在對分區做完“磁盤快照”后才能生效。

    ⑤高亮顯示殘余空間。該功能是指把分區中每個簇里未使用的字節用更加明亮的方式顯示出來,如圖3-42所示。

    \

    圖3-42 高亮顯示殘余空間

    圖3-42中下半部分是正在使用的空間,上半部分比較明亮的是殘余空間。

    提示

    “高亮顯示殘余空間”功能必須在對分區做完“磁盤快照”后才能生效。

    WinHex的“數據解釋器”

    數據解釋器是WinHex中非常重要的功能模塊,它可以解析多種編碼并且進行運算,同時也能對時間進行解釋?!皵祿忉屍鳌惫δ茉凇安榭础辈藛沃?,如圖3-43所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-43 “查看”菜單

    只要選擇“數據解釋器”,就會在WinHex主窗口界面出現“數據解釋器”的工具框,如圖3-44所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-44 “數據解釋器”工具框

    “數據解釋器”最常用的功能有兩種,一是把十六進制數值換算為十進制數值,二是把時間的十六進制代碼解釋為標準的時間表示形式。

    在使用“數據解釋器”時需要注意,不管是對數值還是時間進行解釋,都必須把光標放在該字段的第一個字節處,也就是最前面,然后去查看解釋器中的結果即可。

    另外,在解釋數值時,注意數值的存儲有Little-endian和Big-endian之分,這兩種字節序在前面的章節中講解過,并且數值還有無符號和帶符號之分,這些都需要特別留意。

    有關“數據解釋器”的設置在“選項”菜單中,如圖3-45所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-45 “選項”菜單

    單擊“數據解釋器”選項后,出現設置界面,如圖3-46所示。

    WinHex使用方法詳解-數據恢復迷

    圖3-46 WinHex“數據解釋器選項”設置界面

    在該界面中根據需要選中相應的選項即可。



    相關推薦:
    国产嗷嗷叫高潮视频,欧美一级级在线视频观看,啦啦啦在线观看视频播放1