整理winhex数据恢复工具使用.docx
- 文档编号:10193718
- 上传时间:2023-02-09
- 格式:DOCX
- 页数:9
- 大小:1.26MB
整理winhex数据恢复工具使用.docx
《整理winhex数据恢复工具使用.docx》由会员分享,可在线阅读,更多相关《整理winhex数据恢复工具使用.docx(9页珍藏版)》请在冰豆网上搜索。
整理winhex数据恢复工具使用
(完整)winhex数据恢复工具使用
编辑整理:
尊敬的读者朋友们:
这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)winhex数据恢复工具使用)的内容能够给您的工作和学习带来便利。
同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。
本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)winhex数据恢复工具使用的全部内容。
Winhex工具使用
一、Winhex工具介绍
Winhex是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
二、数据恢复的分类
数据恢复分类:
硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),这样的数据恢复就叫软恢复.
在此主要介绍软恢复,硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板).
三、MBR和EBR
MBR,即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:
第一部分:
引导代码,占用了446个字节;第二部分:
分区表,占用了64字节;第三部分:
55AA,结束标志,占用了两个字节.后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:
分区表。
引导代码的作用:
就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
如果要恢复引导代码,可以用DOS下的命令:
FDISK/MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。
另外,也可以用工具软件,比如DISKGEN、WINHEX等。
但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。
是很多病毒喜欢破坏的区域.
EBR,也叫做扩展MBR(ExtendedMBR).因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。
MBR、EBR是分区产生的。
每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分。
四、Winhex菜单和界面
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:
状态、容量、当前位置、窗口情况和剪贴板情况。
这些情况对把握整个硬盘的情况非常有帮助。
另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。
(如果关闭了资源面板可以通过“察看”菜单——“显示"命令—-“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等.向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,
每两个数字为一个字节,比如00.
五、使用Winhex恢复文件
下面列举一个简单的例子来说明如何使用winhex来恢复NTFS分区中被删除的文件的,为了使这上篇的文章的知识尽量的简单,这里所恢复的条件有这么几个:
1、格式化了一个分区,所以这个分区中是没有任何文件的.
2、使用的文件大小小于1K,所以这个文件在NTFS分区的文件记录中的数据属性中是个常驻属性。
所以这里不涉及到运行计算的问题,应该最简单的文件恢复了,以这个恢复例子的过程,可以建立一个数据恢复的大体原理了。
下面开始.
第一:
建立一个文本文件
首先格式化预先准备的分区G,分区类型是NTFS,使用快速格式化。
之后,在这个分区建了一个文本文件,如下图所示:
这个文件很简单,内容也很少,保存这个文件后,然后我们来看看这个文件大小信息,如下图所示:
我们看到,这个文件大小是224个字节,等下恢复这个文件的时候就可以对比一下了。
之后删除了这个文件,现在,我们看看怎么恢复这个文件!
第二:
用winhex打开分区
我们运行winhex,然后点击菜单:
工具-—〉打开磁盘,来打开G盘。
如下图所示:
我们可以找到$MFT这个文件,然后右击它,然后点击打开,之后就会打开这个文件MFT.如下面两个图所示:
这里为什么要这么做呢?
因为,我们只需要在MFT找到我们丢失的文件,如果我们在整个分区里搜索并且这个分区很大的话,会要很多时间的,而MFT文件就小得多了,最大也就1G左右,这是人为弄出来的,一般系统是很难见到这么大的MFT文件的,除非你是做服务器,有很多磁盘碎片和小文件。
之后,我们可以点击菜单中的:
搜索——〉查找文本。
如下图所示:
我们输入我们想要恢复的文件名HelloWorld,而且注意,要选择Unicode。
因为MFT的文件名是Unicode形式的,之后就是查找了!
一会我们就找到了这个文件,如下图所示:
为了能使用WinHex的颜色,我们转到分区去看这个文件记录!
首先,我们看到这个文件记录在MFT的偏移地址是7450H,然后我们在winhex中转到我们分区的视图,然后点击MFT文件,这样就偏移到了我们MFT文件的位置,然后选择菜单中的:
位置-—>转到偏移位置。
然后输出7450,位置是从当前位置开始!
如下图所示:
之后,我们就找到了这个文件记录,如下图所示:
我们看图的左边,文件记录号是29,我们看上图的蓝色框,那个是文件记录的标识:
FILE.那么我们怎么知道这是个被删除的文件呢,一种办法是直接在文件记录头上看,如上图的红色框,那2字节为文件记录偏移16H处,0表示文件已被删除,1表示这个文件在使用,2表示是个目录等等.
好,现在我们去查找文件记录中的数据属性,这个属性是80H开头,好在winhex有这个颜色分类,很容易找到,如上图的橙色框所示。
下面我们集中抽取这个数据属性来分析,如下图所示:
我们一个一个来分析框中的内容表示的意思,第一个红色的框表示这是个数据属性,值是80H。
橙色框:
0表示这是个常驻属性,即这个文件的内容就在这个文件记录中,如果是1就表示这是个非常驻属性,那么我们要获取数据就得从运行中一个一个的计算获得,这个不在此次讨论范围。
蓝色框的4个字节表示这个文件的数据大小:
E0H,折合十进制就是224,即这个文件大小是224个自己,记得在前面讲过的吗,上面还有文件大小的截图呢!
绿色框的4个字节表示这个文件的数据的偏移位置18H,这个偏移从这个数据属性的开始位置计算,就是上图中的80H位置,这个位置这样计算:
75b0H+18H=75c8H。
然后,我们就可以由这个数据的偏移位置和大小得到这个文件的数据,如紫色框表示.
最后,我们用鼠标来选择这些数据(选择的数据的颜色会变的),然后点击右键,选择:
编辑——〉复制选项块—->植入新文件,如下图所示:
在这里,我们最好就选择另外一个分区,不要在要恢复的分区中保存文件,已保证我们的数据不会被覆盖掉!
这里,我把文件保存在D盘中,也命名为HelloWorld。
txt。
最后,我们来看下我们恢复的文件:
文件被恢复了!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 整理 winhex 数据 恢复 工具 使用