(完整word版)winhex数据恢复工具使用

Winhex工具使用

一、Winhex工具介绍

Winhex是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。

二、数据恢复的分类

数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），这样的数据恢复就叫软恢复。

在此主要介绍软恢复，硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板）。

三、MBR和EBR

MBR，即主引导记录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。

引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、WINHEX等。

但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。

EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。

MBR、EBR是分区产生的。

每一个分区又由DBR、FAT1、FAT2、DIR、DATA 5部分。

四、Winhex菜单和界面

最上面的是菜单栏和工具栏，下面最大的窗口是工作区，现在看到的是硬盘的第

一个扇区的内容，以十六进制进行显示，并在右边显示相应的ASCII码，右边是详细资源面板，分为五个部分：

状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。

另外，在其上单击鼠标右键，可以将详细资源面板与窗口对换位置，或关闭资源面板。（如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开）。最下面一栏是非常有用的辅助信息，如当前扇区/总扇区数目……等。

向下拉拉滚动条，可以看到一个灰色的横杠，每到一个横杠为一个扇区，一个扇区共512字节，

每两个数字为一个字节，比如00。

五、使用Winhex恢复文件

下面列举一个简单的例子来说明如何使用winhex来恢复NTFS分区中被删除的文件的，为了使这上篇的文章的知识尽量的简单，这里所恢复的条件有这么几个：

1、格式化了一个分区，所以这个分区中是没有任何文件的。

2、使用的文件大小小于1K，所以这个文件在NTFS分区的文件记录中的数据属性中是个常驻属性。所以这里不涉及到运行计算的问题，应该最简单的文件恢复了，以这个恢复例子的过程，可以建立一个数据恢复的大体原理了。

下面开始。

第一：建立一个文本文件

首先格式化预先准备的分区G，分区类型是NTFS，使用快速格式化。之后，在这个分区建了一个文本文件，如下图所示：

这个文件很简单，内容也很少，保存这个文件后，然后我们来看看这个文件大小信息，如下图所示：

我们看到，这个文件大小是224个字节，等下恢复这个文件的时候就可以对比一下了。之后删除了这个文件，现在，我们看看怎么恢复这个文件！

第二：用winhex打开分区

我们运行winhex，然后点击菜单：工具-->打开磁盘，来打开G盘。如下图所示：

我们可以找到$MFT这个文件，然后右击它，然后点击打开，之后就会打开这个文件MFT。如下面两个图所示：

这里为什么要这么做呢？

因为，我们只需要在MFT找到我们丢失的文件，如果我们在整个分区里搜索并且这个分区很大的话，会要很多时间的，而MFT文件就小得多了，最大也就1G 左右，这是人为弄出来的，一般系统是很难见到这么大的MFT文件的，除非你是做服务器，有很多磁盘碎片和小文件。

之后，我们可以点击菜单中的：搜索-->查找文本。如下图所示：

我们输入我们想要恢复的文件名HelloWorld，而且注意，要选择Unicode。因为MFT的文件名是Unicode形式的，之后就是查找了！

一会我们就找到了这个文件，如下图所示：

为了能使用WinHex的颜色，我们转到分区去看这个文件记录！首先，我们看到这个文件记录在MFT的偏移地址是7450H，然后我们在winhex中转到我们分区的视图，然后点击MFT文件，这样就偏移到了我们MFT文件的位置，然后选择菜单中的：位置-->转到偏移位置。

然后输出7450，位置是从当前位置开始！如下图所示：

之后，我们就找到了这个文件记录，如下图所示：

我们看图的左边，文件记录号是29，我们看上图的蓝色框，那个是文件记录的标识：FILE。那么我们怎么知道这是个被删除的文件呢，一种办法是直接在文件记录头上看，如上图的红色框，那2字节为文件记录偏移16H处，0表示文件已被删除，1表示这个文件在使用，2表示是个目录等等。

好，现在我们去查找文件记录中的数据属性，这个属性是80H开头，好在winhex 有这个颜色分类，很容易找到，如上图的橙色框所示。