winhex教程全
winhex数据恢复入门教程
Winhex是X-Ways公司出品的一款十六进制编辑、磁盘编辑软件,其公司网站对其功能介绍如下:* 可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑* 支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统* 可支持重组RAID及动态磁盘* 附带数据恢复功能* 可以访问物理内存及虚拟内存* 内置数据解释器,可以识别解释20种数据类型* 可以用数据结构模板查看、编辑结构数据* 可以分割与合并文件* 可以对文件进行分析与对比* 具有灵活的搜索和替换功能* 可以对磁盘进行克隆* 可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理* 具有编程接口,支持脚本操作* 支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算* 支持对磁盘进行数据安全销毁* 包含ANSI ASCII, IBM ASCII, EBCDIC, Unicode字符集* 支持文件大小超过4GB4.2 软件的获取与安装读者可以在网络上搜索提供下载Winhex的网站,或直接到其公司网站下载试用版或购买正版。
Winhex的安装与普通软件安装没有区别,以在Windows XP下为例,双击Setup.exe程序即可开始安装过程。
如图 4.1所示。
图4.1程序默认的安装路径是C:\Program Files\WinHex,当然也可以自行选择安装到其他位置。
可以选择语言种类,不过用以选择中文的Chinese按钮处于灰色不可选状态,应该是尚不支持中文。
用户可以选择其它语言,默认语言是英文。
确定安装位置无误后,点击OK按钮,程序会弹出一个询问框,询问是否确定将程序安装到所选位置。
如图 4.2所示。
图4.2如果要对安装位置重新选择,可以按“否”按钮回到原界面进行设置。
否则按“是”按钮继续安装。
程序随即会弹出询问框询问是否要建立快捷方式。
如图 4.3所示。
点击按钮“是”,程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。
winhex教程WinHex是一款十六进制编辑器和磁盘编辑器,它带有许多高级
winhex教程WinHex是一款十六进制编辑器和磁盘编辑器,它带有许多高级WinHex是一款十六进制编辑器和磁盘编辑器,它带有许多高级功能,也被广泛应用于数字证据分析、数据恢复和计算机取证等领域。
一些WinHex的基本使用教程:1. 打开文件:打开WinHex软件,选择File > Open,选择需要编辑的文件。
2. 显示文件内容:在菜单栏中,选择View > Data,即可显示文件内容。
可以在十六进制视图和ASCII视图之间切换。
3. 编辑文件:WinHex可以进行磁盘和文件的编辑和修复。
在编辑之前,可以选择Protect or Read-Only Mode以防止意外更改。
在编辑时,可以通过Insert特定字符、Overwrite字符以及Pasting ASCII or Unicode文本等方式进行文件修改,改动后可以选择Save选项。
4. 查找和替换:可以选择Search&Replace菜单项,然后输入搜索词并选择选项,如IgnoreCase、Whole Words Only等等。
可以通过Replace All/Replace One进行替换操作。
5. 分析文件:WinHex提供了许多分析文件的工具,如查找ASCII 串、统计字符、计算哈希值、数据恢复等等功能。
这些可以通过菜单栏的Analyze选项实现。
6. 磁盘操作:WinHex可以对磁盘进行读取、写入和恢复等操作。
在菜单栏中,选择Extras > Disk Tools,即可进行各种磁盘操作。
以上是WinHex的基本使用方法,需要注意的是,WinHex是一款功能强大的软件,需要谨慎使用防止意外操作。
同时,建议在使用前先阅读其使用手册,掌握更多信息。
winhex教程全
winhex教程winhex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
winhex脚本命令教程--中文版
winhex脚本命令教程--中文版<转>2009-06-09 18:09脚本命令适用的环境比较多。
脚本文件中的注释以为双斜杠开头。
脚本支持的最长255方是十六进制,文本字符串(甚至10进制数值)都可以作为参数,你可以使用引号强数。
如果文本或者变量名中存在空格,则引号是必须的,在引号中的所有字符都被被识当在winhex中使用数学表达式的时候,可以引用数学表达式,但是必须用括号括起来空格。
同样可以在数学表达式中应用数字变量。
支持的操作有,加法(+),减法(-),乘法(*),整除(/),模除(%),逻辑运算以及XOR(^)。
以下是有效的数学表达式:(5*2+1), (MyVar1/(MyVar2+4)), or (-MyVar)。
以下是目前支持的脚本命令的详细描述以及使用实例。
Create "D:\My File.txt" 1000创建一个1000字节的新文件,如果已经存在同名文件,则将其覆盖。
Open "D:\My File.txt"Open "D:\*.txt"打开指定格式的文件,如果通配符为“?”则winhex会让用户选择要打开的文件。
Open C:Open D:打开指定的逻辑驱动器。
如果通配符为“:?”则winhex会让用户选择要打开的逻辑驱动器Open 80hOpen 81hOpen 9Eh打开指定的物理介质。
软盘的为00h,硬盘与u盘为80h,光盘为9Eh。
可以增加第二个参数来设定文件或者介质的编辑模式(“in-place”或者“read-only”)CreateBackup为活动文件的当前状态创建WHX备份。
CreateBackupEx 0 100000 650 true "F:\My backup.whx"备份当前活动磁盘中从0扇区到100000扇区的数据。
备份文件将自动分割成650M大输出文件的路径以及名称作为最后的参数写入。
winhex的使用
1.备份手机资料' T/ _3 f( r1 w7 {, z( ]
1).将手机关机,并按住音量上+开机,短震动后连接到电脑。
(注意:弹出格式化选项后,一定要选择取消,否则你的手机将变砖损坏)
.使用管理员权限运行Winhex软件,选择“克隆磁盘功能”
.在该功能界面内,选择好“来源(手机磁盘)”、“目标(备份文件的保存位置,保存为dd 后缀格式即可)”,开始扇区(来源)项内填写1441792,复制扇区数填写13713408,完成后,点击确定开始备份。
如图示:
备份时间约为15分钟左右。
(视个人电脑配置决定)请耐心等待,完成后,Winhex会弹出记录消息。
备份文件大小约为(6.5GB)
刷写自制固件(参考相关教程,不赘述)" o4 b: @2 J. p
3.恢复手机资料
.将手机关机,并按住音量上+开机,短震动后连接到电脑。
(注意:弹出格式化选项后,一定要选择取消,否则你的手机将变砖损坏)2).使用管理员权限运行Winhex软件,选择“克隆磁盘功能”
在该功能界面内,选择好“来源(dd格式的备份文件)”、“目标(手机磁盘)”,开始扇区(目标)项内填写1441792,复制扇区数填写13713408,完成后,点击确定开始恢复,无视弹出的警告信息,如图示:
)
.恢复时间约为18分钟左右。
(视个人电脑配置决定)请耐心等待,完成后,Winhex会弹出记录消息。
, l# t M+ o. ]8 @* X; @
扣掉电池,重新安装,启动手机即可,启动后请放置片刻(1-5分钟)再使用。
winhex比较详细的图文使用教程
winhex⽐较详细的图⽂使⽤教程下⾯我们就来模仿分区表被病毒破坏的情况,将MBR全部填零。
我们⾸先将MBR所在的扇区选中。
⿏标指向第⼀个字节,单击右键,选择“选块开始”然后⿏标指向MBR的最后⼀个字节,单击右键,选择“选块结尾”然后我们在选区内部单击⿏标右键,选择“编辑”这样就有出来⼀个菜单然后我们选“填充选块”,这样就出来⼀个填充选块对话框在“⽤⼗六进制填充”的输⼊框中输⼊“00”,再点“确定”这样MBR所在扇区全部被我们填充为“00”如果想取消选区,那就⽤⿏标拖动随便选中⼀块区域,那么原来的选区就会取消。
注意,如果扇区数据被修改了⽽没有存盘就会变为别的颜⾊。
修改了扇区,这时候还没有存盘⽣效,如果你想存盘⽣效的话,就选择“⽂件”菜单“保存扇区”命令。
这时候就会出现⼀个提⽰,如果你不想存盘了就点取消,如果想存盘,就点确定,再点是。
好,这样就存盘了,扇区被修改的数据⼜变为⿊⾊。
这样我们就把分区表给删除了,这时候必须重新启动才能⽣效,如果你打开我的电脑,会发现三个分区(F 、G、 H)还在那⾥,并且⾥⾯的数据还能正常使⽤。
现在,我们关闭所有程序将电脑重新启动……经过不长时间的等待,电脑启动起来了,我们打开我的电脑看看,发现F 、G 、H三个分区不见了。
再打开Winhex发现MBR全部为零了,下⾯我们就着⼿开始⼿⼯恢复分区表⾸先恢复引导代码,这最简单了,只要⽤Winhex到别的系统盘把引导代码复制过来就⾏了。
我现在的机器上不是挂着两个硬盘吗?⼀个迈拓2G,⼀个西数40G,西数40G是我的系统盘,那就从这个盘上复制就⾏了。
单击“磁盘编辑器”按钮出现“编辑磁盘”对话框选择“HD0 WDC WD400EB---00CPF0”,点“确定”这样我们就把系统盘的分区表给打开了,注意,现在我们是打开了两个窗⼝,当前的窗⼝是“硬盘0”,在标题栏上有显⽰。
另外,打开窗⼝菜单也能看出来,当前窗⼝被打上⼀个勾,如果想切换回原来的窗⼝,就点击“硬盘1”。
超全WinHex教程
本教程是作者困惑的浪漫(高志鹏)耗费大量心血原创,拥有完全的著作权和知识产权,任何人未经同意不得擅自转载、抄录、或用于营利目的。
WINHEX 启动中心已经可以大致反映出它的强大功能,正上方有Open File、Open Disk、Open RAM、Open Folder 四个控件,可以对文件、磁盘、内存、文件夹进行十六机制或文字编码的编辑工作。
WINHEX 支持除加密文件外的所有已知文件格式,可以静态地编辑文件中的任意字节,改变文件结构,跟踪文件各部分在处理器中的协调过程和状态,或是对文件内容进行不可逆转的擦除工作。
WINHEX 支持除非标准硬盘(每扇区不是512 字节的特殊硬盘,一般为光纤接口)外的所有介质,可以静态地改变磁盘数据的排列、状态、属性等。
可以改变除ECC 区外任意扇区任意字节的内容。
WINHEX 还提供高访问级别的内存编辑功能,可以对当前操作系统进程进行在线、动态地编辑工作,可以更改内存变量在磁盘保留区的映射值。
WINHEX 可以对文件夹内部所有指定文件进行动态、同步的比较和集体修改工作。
从Recently opened 中可以看出WINHEX 对以往操作工程的智能记忆,Case/Projects 则为用户有选择地保留操作成果提供便利条件。
Scripts 是一个类似于流水程序模型的批处理脚本编辑系统,可以调用WINHEX 已经开发并集成的各种函数指令进行编程工作(已经有三个实验脚本),指令将不折不扣地按先后顺序依次执行,以后篇章中我们将详细介绍。
选择任意硬盘双击展开,我们就可以看到 WINHEX 的主编辑窗口,最上方的WINDOWS窗体显示当前任务对象为Hard disk 1,接下来是菜单栏,集成了文件操作、编辑、搜索查找、方位、视图、工具、特殊工具、设置、窗口和帮助等十大主菜单。
菜单栏下方为工具栏,提供了WINHEX 操作中使用率很高的各种功能键,依次是创建新文件、打开文件、保存文件、打印、文件属性、打开文件夹、撤消操作、拷贝扇区、剪切板操作、数据转换、修改数据、查找文本、查找16 进制编码、替换文本、替换16 进制编码、同步查找、转到偏移量、转到扇区、光标向回移动、光标向前移动、打开磁盘、复制磁盘、编辑内存、调用计算器、数据图像化分析、HEX 区减少一列、HEX 区增加一列、文件系统快照和目录浏览器选项、帮助调用等。
winhex教程(下)
然后在选区中单击鼠标右键,选“编辑”又出来一个菜单,然后我们选“复制选块”——“正常”然后我们切换回硬盘1窗口,在零扇区的第一个字节处单击鼠标右键,选“编辑”然后选“剪贴板数据”——“写入……”出现一个窗口提示,点“确定”这样,我们就把一个正常系统盘上的引导代码复制过来了。
下面,我们就开始恢复分区表(共64个字节,分为4个分区表项,每个分区表项占用16个字节,一般只使用前两个分区表项),我们首先来恢复第一个分区标项(也就是用来描述C盘的)。
首先,在第1个字节处(0扇区倒数第五行,倒数第二个字节)填上分区引导标志,因为C盘是活动分区,所以填上80。
接着是第2、3、4字节(本分区起始磁头号、扇区号、柱面号),填上:01 01 00。
第5字节是分区类型符,因为原先C盘是Fat32格式,所以填上:0B。
那么,如果你不知道C盘是什么格式怎么办呢?你会说问问客户呀,那么如果他也不知道呢?别着急,后面在说恢复DBR的时候我会教你怎么分辨分区的格式。
第6、7、8字节是本分区的结束磁头号、扇区号、柱面号,这怎么知道呢?别着急,现在的磁盘都是按照LBA方式寻址,并不按照C/H/S(及柱面、磁头、扇区)方式寻址,所以这个地方你填些什么一般关系不大,但是我要告诉你有一个通用的填法,那就是:FE FF FF。
第9、10、11、12字节,本分区之前已用了的扇区数,也就是MBR所占用的扇区数,那不是63吗?对,但是要将63转为十六进制数,再反过来倒着填写上。
还记得怎么用计算器吗?将63转为十六进制数是3F,不够四个字节前面加零,也就是00 00 00 3F,再将此数从右向左依次序反过来就是3F 00 00 00。
第13、14、15、16字节是本分区的总扇区数,也就是C盘的大小,这就要通过稍微一点点计算来得到了。
因为C盘是从第63个扇区开始,而C盘后面紧接着的是EBR,所以用EBR所在的第一个扇区数减去63就是C盘的大小。
那么如何才能找到EBR所在的第一个扇区呢?我们前面说过,EBR的结构和MBR是一样的,所以,EBR的结束标志也一定是55AA,那么,只要我们找到这个结束标志,再看看这个扇区是不是EBR不就行了?单击“搜索”——“查找十六进制数值……”,然后出来一个对话框在文本框中输入“55AA”,搜索框中选“全部”,然后选中“条件”,把偏移量设置为“512=510”。
(完整版)winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR
winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR字节位置内容及含义第1字节引导标志。
若值为80H表示活动分区;若值为00H表示非活动分区。
第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符:00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区05H——扩展分区07H——NTFS分区0FH——(LBA模式)扩展分区83H—— Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数1、什么是逻辑驱动?2、什么是物理驱动器?3、怎么搜索MBR、EBR、DBR?MBR、EBR、DBR他们都是以55AA结尾在winhex中搜索16进制:55AA 偏移512=510(1)搜索DBR的标志:FAT16的DBR:EB 3C 90 没有备份的DBRFAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区NTFS的DBR: EB 52 90 (备份的DBR)在该分区的最后一个扇区判别MBR的方法:MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。
MBR的分区表在1BE 偏移往后到1FD,共64个字节,每项16个字节。
1FE-1FF就是“55 AA”判别EBR的方法:EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0(2)查找DBR 可以通过搜索本分区的EBR去找DBR.可以搜索EBR,定位DBR.DBR相对于EBR后63号扇区。
(3)当某分区的DBR坏了,就提示:未格式化 这个时候用winhex打开逻辑盘,就打不开。
我们只有通过打开物理驱动器,然后跳转到该分区。
就可以查看DBR是否被破坏了。
可物理驱动器的模式是从"0"扇区开始描述系统而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).用winhex 做U盘免疫AUTO.INF用WinHex制作无法修改的AutoRun.inf文件 在我们日常工作中,经常需要使用闪存(也称为U盘或者优盘)主要是AutoRun.inf 文件在起作用,我们可以使用WinHex解决这一问题。
winhex教程
winhex教程winhex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘 EBR D盘 EBR E盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
《WinHEX》使用教程
◇在使用Winhex时首先打开一个需要处理的文件,窗口中显示十六进制HEX格式的数值和地址。在旁边的区域显示文件名称、大小、创建时间、最后修改日期,窗口属性以及相关信息。利用鼠标拖放功能你可以选择一块数值进行修改编辑。按Ctrl+T,弹出数据修改对话框,选择数据类型和字节变换方式,可以方便的修改区块中的数据。执行文件菜单中的创建备份命令,弹出备份对话框,你可以指定备份的文件名和路径、备份说明,还可以选择是否自动由备份管理指定文件夹,是否保存检查和摘要,是否压缩备份和加密备份,这样你可以方便的将你的文件进行备份,下次执行文件菜单中的装载备份就可以打开备份文件了,十分方便。
◇Winhex集成了强大的工具,包括磁盘编辑器,计算器,Hex转换器和RAM编辑工具,使用十分方便。按F9,弹出磁盘编辑器对话框,首先选择磁盘分区,然后按确定按钮就可以方便的对磁盘的空余空间进行清理。点击工具栏中的RAM编辑工具按钮,弹出RAM编辑器,选择需要浏览或编辑修改的RAM区,选择确定就可以了,RAM的内容就显示在主窗口了。
在Winhex的工具栏中,包括文件新建、打开、保存、打印、属性工具;剪切、粘贴和复制编辑工具;查找文本和Hex值,替换文本和Hex值;文件定位工具、RAM编辑器、计算器、区块分析和磁盘编辑工具;选项设置工具和帮助工具按钮。通过使用工具栏中的快捷按钮可以更方便的进行操作,这些和菜单中相应的命令是一样的。
作为一个16进制文件编辑与磁盘编辑软件。WinHex以文件小、速度快,功能强大而著称,连ZDNetSoftwareLibrary也给了他5星的最高评价。它可以胜任Hex和ASCII码编辑修改,多文件寻替换功能,一般运算及逻辑运算,磁盘磁区编辑(支持FAT16、FAT32和NTFS)自动搜寻编辑,文件比对和分析,编辑内存里面的资料等功能,现在最新的版本是9.54。
数据恢复软件Winhex使用说明书
目录Winhex概述 (3)1、软件的安装 (3)2、软件使用及介绍 (4)Winhex概述WinHex是一个专门用来对付各种日常紧急情况的小工具。
它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。
同时它还可以让你看到其他程序隐藏起来的文件和数据。
具体功能如下:*可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑*支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统*可支持重组RAID及动态磁盘*附带数据恢复功能*可以访问物理内存及虚拟内存*内置数据解释器,可以识别解释20种数据类型*可以用数据结构模板查看、编辑结构数据*可以分割与合并文件*可以对文件进行分析与对比*具有灵活的搜索和替换功能*可以对磁盘进行克隆*可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理*具有编程接口,支持脚本操作*支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算*支持对磁盘进行数据安全销毁*包含ANSI ASCII,IBM ASCII,EBCDIC,Unicode字符集*支持文件大小超过4GB1、软件的安装Winhex的安装与普通软件安装没有区别,以在Windows XP下为例,双击Setup.exe程序即可开始安装过程。
如图1.1所示。
图1.1程序默认的安装路径是C:\Program Files\WinHex,当然也可以自行选择安装到其他位置。
可以选择语言种类,不过用以选择中文的Chinese按钮处于灰色不可选状态,应该是尚不支持中文。
用户可以选择其它语言,默认语言是英文。
确定安装位置无误后,点击OK按钮,程序会弹出一个询问框,询问是否确定将程序安装到所选位置。
如图1.2所示。
图1.2如果要对安装位置重新选择,可以按“否”按钮回到原界面进行设置。
否则按“是”按钮继续安装。
程序随即会弹出询问框询问是否要建立快捷方式。
使用winhex手动合并与分离文件
机计算网络安全技术计算机使用winhex手动合并与分离文件面对一个合并文件的二进制流,如何找出哪里是前一个文件结尾,哪里是后一个文件的开头。
可以联想到文件头标志,这方面的知识,利用不同类型的文件头标志,做为分离的依据。
以word文档为例,word文档稍微复杂一点,这是因为word文档的文件头和压缩文件的文件头用Winhex打开合并后的文件,查找docx的文件头标志:壹MS Word/Excel(xlsx.or.docx),文件头:504B0304贰ZIP Archive(zip),文件头:504B0304zip格式的文件头和word的docx一样,这是为什么呢,因为DOCX和XLSX本质上就是一个压缩文件呀。
修改docx后缀为zip等压缩格式,然后用压缩工具解压查看,可以看到清晰的多个文件和目录结构。
过程提示:Array①将合并后的文件,根据文件头标志,手动搜索,找到另一个文件头,手动分离。
查看分离后的2个文件是否能正常查看。
查找菜单,“搜索”-“查找十六进制数值”保存为2.docx,打开后看到之前写入的flag。
1.1实验案例使用winhex手动分离,找到flagdfg-05D1.jpgdfg-05D2.jpg2.1实验案例①新建一个word文档,写下flag。
②找一张图片,用winhex打开,③新建一个word文档,写下flag,并保存,④用winhex打开此word文档,将word文档的二进制流复制到图片文件的尾部⑤使用图片查看器观察是否能正常浏览。
⑥使用binwalk工具扫描,然后分离,看是否能成功分离。
也可以使用copy命令,linux cat命令进行合并。
使用binwalk扫描,得知文档类型根据类型,使用dd从指定字节处分离出文件。
谢谢观看计算机。
实验一 WinHex的使用
当WinHex打开一个编辑目标时,编辑目 标中存储的所有数据都会以十六进制的形 式显示在WinHex的十六进制数据编辑区。 编辑区的右侧有滚动条,可以上下拖动, 这样就方便查看和编辑数据了。
文本区
文本区的作用:将十六进制数据编辑区 中的数据按照一定的编码解释为相应的字 符。这里的编码种类是可以在菜单中选择 的。 底边栏 主窗口下边一栏是非常有用的辅助信息, 如:0/976773168是指: 逻辑扇区号/总扇区号。
详细 资源 面板
偏 移 量 纵 坐 标
十六进制 数据编辑区
文本区
底边栏
详细资源面板
WinHex主窗口的左边是“详细资源面 板”,分为六个部分:硬盘参数、状态、 容量、当前位置、窗口情况和剪贴板情况。 “访问”功能菜单 编辑窗口的右上角有一个向下的三角 形,这就是访问功能菜单,如图:
“访问”功能菜单是数据分区的最好工 具,把每一个分区按照顺序排除一串。如 果分区表有问题,该处也会有一段反映, 而且通过这个菜单可以直接查看分区文件 系统类型、打开各个分区、直接转移到各 个分区的分区表、开始扇区等,并有相应 的模板,可以非常直观的显示分区和启动 扇区的参数,而且可直接在模板上修改、 创建备份。
新建
输入新建文件的大小,单位是字节、KB、 MB、GB。此时会出现输入大小的零值字的 文件。此时可以为这些零字节赋予有意义 的值,然后另存为文件。
打开 打开,可以选择任一文件,便可以浏览该文件的十六进 制编码。打开后的文件可以进行各种修改、查找、替换及 销毁工作。 注意:普通文件被打开后不再按照扇区的结构进行显示,而 是采用“页面”方式,就无法看到原本扇区之间的分割线。 单个页面没有固定大小,纯粹是显示单位。如果是镜像文 件,按照页面浏览会不方便,会让分析、定位扇区及解释 文件系统等常规工作无法完成。这时就需要强制按照每 512字节/扇区进行处理,WinHex的介 保存
WinHEX初级使用手册
标题栏:与一般的应用软件一样,标题栏中显示软件名称和当前打开的文件名称;菜单栏:WinHEX的菜单栏由八个菜单项组成-文件菜单、编辑菜单、搜索、定位、工具、选项菜单、文件管理、窗口和帮助菜单。
在文件菜单中,除了常规的新建、打开文件和保存以及退出命令以外,还有备份管理、创建备份和载入备份功能。
选择文件菜单中的属性项,弹出文件属性窗口,包括文件路径、名称、大小、创建时间和修改日期等内容。
在编辑菜单中,除了常规的复制、粘贴和剪切功能外,还有数据格式转换和修改的功能。
在搜索菜单中,你可以查找或替换文本内容和十六进制文件,搜索整数值和浮点数值。
在定位菜单中,你可以根据偏移地址和区块的位置快速定位.在工具菜单中,包括磁盘编辑工具、文本编辑工具、计算器、模板管理工具和Hex转换器,使用十分方便。
在选项菜单中,包括常规选项设置、安全性设置和还原选项设置.在文件管理菜单中,你可以对文件进行分割、比较、复制和剖析,功能十分强大。
在WinHEX的工具栏中,包括文件新建、打开、保存、打印、属性工具;剪切、粘贴和复制编辑工具;查找文本和Hex值,替换文本和Hex值;文件定位工具、RAM编辑器、计算器、区块分析和磁盘编辑工具;选项设置工具和帮助工具按钮。
通过使用工具栏中的快捷按钮可以更方便的进行操作,这些和菜单中相应的命令是一样的。
在使用WinHEX之前需要进行相应的选项设置,点击工具栏中的选项设置快捷图标按钮,弹出选项设置对话框。
它包括是否将WinHEX 作为默认关联,是否添加WinHEX到上下文菜单,是否不更新文件名,是否快速打开文件以及是否显示文件图标和工具栏。
而且你还可以设置最近打开的文件列表中文件的数目,选择是否用TAB键产生标记,设置临时文件夹、备份文件夹和文本编辑的路径。
在常规设置中,你可以选择是否选择显示双光标和页分隔符,是否逐行滚动,是否显示Windows进度条,此外你还可以设置字体类型和颜色,相信你很快就学会了。
winhex脚本命令教程--中文版
脚本命令适用的环境比较多。
脚本文件中的注释以为双斜杠开头。
脚本支持的最长255字符的参数。
有疑点的地方是十六进制,文本字符串(甚至10进制数值)都可以作为参数,你可以使用引号强制转换数字参数为文本参数。
如果文本或者变量名中存在空格,则引号是必须的,在引号中的所有字符都被被识别成一个参数而存在。
当在winhex中使用数学表达式的时候,可以引用数学表达式,但是必须用括号括起来。
在数学表达式中不能有空格。
同样可以在数学表达式中应用数字变量。
支持的操作有,加法(+),减法(-),乘法(*),整除(/),模除(%),逻辑运算符AND(&),OR(|),以及XOR(^)。
以下是有效的数学表达式:(5*2+1), (MyV ar1/(MyV ar2+4)), or (-MyV ar)。
以下是目前支持的脚本命令的详细描述以及使用实例。
Create "D:\My File.txt" 1000创建一个1000字节的新文件,如果已经存在同名文件,则将其覆盖。
Open "D:\My File.txt"Open "D:\*.txt"打开指定格式的文件,如果通配符为“?”则winhex会让用户选择要打开的文件。
Open C:Open D:打开指定的逻辑驱动器。
如果通配符为“:?”则winhex会让用户选择要打开的逻辑驱动器或者磁盘。
Open 80hOpen 81hOpen 9Eh打开指定的物理介质。
软盘的为00h,硬盘与u盘为80h,光盘为9Eh。
可以增加第二个参数来设定文件或者介质的编辑模式(“in-place”或者“read-only”)CreateBackup为活动文件的当前状态创建WHX备份。
CreateBackupEx 0 100000 650 true "F:\My backup.whx"备份当前活动磁盘中从0扇区到100000扇区的数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
winhex教程winhex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。
如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。
另外,也可以用工具软件,比如DISKGEN、WINHEX等。
但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。
是很多病毒喜欢破坏的区域。
EBR,也叫做扩展MBR(Extended MBR)。
因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。
MBR、EBR是分区产生的。
比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表:而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构:WinhexWinhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。
首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。
这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。
这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。
最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。
这些情况对把握整个硬盘的情况非常有帮助。
另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。
(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。
分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)此硬盘的第一分区表(即MBR)分析如下:第一个分区表项(C盘)第1字节80:表示此分区为活动分区;第5字节0B:表示分区类型为Fat32;第9、10、11、12字节系统隐含扇区3F 00 00 00:所谓系统隐含扇区就是本分区(C盘)之前已用了的扇区数,这是一个十六进制数,但要注意:真正的隐含扇区数应该反过来填写(比如:隐含扇区数为3E 4D 5A 6F,则反过来就是6F 5A 4D 3E ,这才是实际的隐含扇区数)。
那么,3F 00 00 00反过来写就是00 00 003F,也就是3F,将他转成十进制数我们才能知道实际的隐含扇区数是多大。
这可以使用计算器来算,单击工具栏上的“计算器”按钮,如下图:这样就启动了计算器计算器有两种型号,我们要进行进制转换,就要选择“科学型”比如我们要将十六进制3F转换为十进制,就要先选中“十六进制”,然后输入3F再选中“十进制”,十六进制3F转为十进制等于63。
想一想我们前面所讲的,MBR占用63个扇区,也就是C盘之前已用了的扇区数为63,第64个扇区就是C盘的第一个扇区,但要注意的是,整个硬盘的LBA地址是从零开始的,0~62的扇区为MBR。
第13、14、15、16字节本分区总扇区数(当然,这也就是C盘的大小):C1 E6 15 00,同样,实际的十六进制数也要反过来才对,也就是00 15 E6 C1,将它转换成十六进制数是1435329。
给你出个题,你知道D盘的EBR在哪个扇区吗?我们一起来算一下,还记得前面数据结构那个表吗?C盘后面不就是D盘的EBR 吗?D盘EBR的第一个扇区=MBR+C盘的大小,也就是 63+1435329=1435392。
我们来看看对不对,单击工具栏上的“转到扇区”按钮,出现一个“转到扇区”对话框然后输入1435392,再点“确定”,就到了1435392扇区了(你可以使用它再转回到0扇区)这个就是D盘的EBR,也就是D盘的分区表了,怎么知道的呢?因为MBR和EBR 的结构是完全一样的,都是占用了63个扇区,但只用了第一个扇区,其余62个扇区填零不用。
第一个扇区前446个字节都为引导代码,后64个字节为分区表,最后2个字节为55AA结束标志。
因为EBR不是活动分区,不需要引导代码,所以前446个字节为零。
还有另一种方法直接找到D盘的EBR,单击“访问”下拉按钮——“分区二”——“分区表”,直接就到1435392扇区.这样,分区表中的第一个分区表项共十六个字节分析完毕,下面我们再来看看第二个分区表项(扩展分区)。
第1字节00:表示非活动分区第5字节05:表示扩展分区第9、10、11、12字节00 E7 15 00:本分区之前的扇区数(扩展分区前面也就是MBR和C盘,好像我们前面算过这个数?)同样,先将它反过来,就是00 15 E7 00 ,再转为十进制是1435392,看来我们前面真的算过这个数。
第13、14、15、16字节40 09 29 00:本分区的总扇区数。
也就是扩展分区的总扇区数。
转为十进制应该是2689344。
想一想,用这个数加上前面的1435392,不正好是整个硬盘的总扇区数4124736吗?这样,如果分区表被破坏,我们只要把这些数值都计算出来并填上,分区表不就恢复了?那么,这里我们为什么不分析第2、3、4字节(本分区的起始磁头号、扇区号、柱面号)和第6、7、8字节(本分区的结束磁头号、扇区号、柱面号)呢?这是因为C/H/S(柱面/磁头/扇区)是老式硬盘的寻址方式,这种寻址方式来管理硬盘效率很低;而现在几乎所有的硬盘都支持LBA(全称是Logic Block Address,即扇区的逻辑块地址)寻址方式,这种管理方式简单高效。
在LBA方式下,系统把所有的物理扇区都统一编号,按照从零到某个最大值排列,这样只用一个序数就确定了一个唯一的物理扇区。
小知识:具体一个硬盘有多少个LBA(扇区)不需要我们去记忆,因为用各种工具软件(如MHDD WINHEX等)都可以检测到。
我们只要知道个大概就行了:如10G的硬盘大概有2000万个扇区;20G的硬盘大概有4000万个扇区;40G的硬盘大概有8000万个扇区……那么,2G的硬盘大概有400万个扇区。
那么,你可能要问了:如果要恢复分区表,这个起始磁头号、扇区号、柱面号还有结束磁头号、扇区号、柱面号应该怎么填呢?简单得很,在后面恢复分区表的时候我会告诉你,直接填,都不用计算。
还有兴趣来分析一下D盘的EBR吗?其实D盘的EBR和E盘的EBR我们不分析也罢,因为无非也是分区表,跟MBR 的结构是一样的,但却很容易把我们绕晕,又因为EBR一般不容易被破坏,所以我不建议分析EBR。
但如果你一定要分析,那就分析吧。
单击“访问”下拉按钮——“分区二”——“分区表”,直接就到1435392扇区,即D盘的分区表EBR。
第一个分区表项(D盘):第1个字节00:表示非活动分区第5个字节06:表示FAT16分区第9、10、11、12字节3F 00 00 00:本分区之前已用了的扇区数,也就是EBR 的数目,63个。
第13、14、15、16字节C1 E6 15 00:本分区的总扇区数,也就是D盘的扇区数,先反过来排列就是00 15 E6 C1,转为十进制就是1435329。
第二个分区表项(D盘后面的):第1个字节00:表示非活动分区第5个字节05:表示扩展分区第9、10、11、12字节00 E7 15 00:本分区之前已用了的扇区数,也就是D盘的EBR加D盘总共的大小, 63+1435329=1435392第13、14、15、16字节40 22 13 00:本分区的总扇区数,1253952,也就是E 盘的大小再加上一个EBR的数目。