图解WinHex使用入门

一 Winhex和相关概念简介

1 Winhex

是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。

2 数据恢复概念

数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),这样的数据恢复就叫软恢复。

主要介绍软恢复,硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板)。

3 MBR和EBR

MBR,即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。

引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。

但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。

EBR
EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。

MBR、EBR是分区产生的。

每一个分区又由DBR、FAT1、FAT2、DIR、DATA 5部分。

4 Winhex菜单和界面

最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。 最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等

向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。

5 中文菜单

选择下图中的Chinese,please!,可转为中文菜单;不过下了个17.x版本的,需要注册才能转为中文菜单;又下了个18.x版本的,可转为中文菜单;







二 使用入门

1 打开磁盘

菜单:工具-打开磁盘;


选择要打开的磁盘;

2 界面

上方是目录和文件情况;下边是打开磁盘的16进制数值;


3 找下MBR的结束标志

按前文所述,MBR占1个扇区,512字节,结束标志是55AA;可从Winhex直接打开计算器,10进制的512转换为16进制是200;


找到偏移00000200,如下图,每个扇区结束有一个横线标志;偏移从00000000开始,那么第二个扇区的起始偏移是00000200;看下下图,Offset列值为000001F0所对应行的最后2个字节,为55 AA,正是MBR的结束标志;这样就找到了MBR所在区域;


4 查看分区表

分区表位于结束标志之前的64个字节;每行16字节,4*16=64;那么第一扇区倒数第五行,倒数的第2个字节,就是分区表的起始;如下图;其值为0D;

到此就出现问题了;

按网上资料,分区表第一字节是引导标志;若值为80H表示活动分区;若值第1字节 为00H表示非活动分区。那么我的0D是表示什么?

第五字节是分区类型;按网上资料,

00H——表示该分区未用
06H——FAT16基本分区
0BH——FAT32基本分区
05H——扩展分区
07H——NTFS分区
0FH——(LBA模式)扩展分区
83H—— Linux分区

数到第五个字节,我的为什么是4F?



刚才打开的C盘,再打开B盘,是一样的;


到此就搞不下去;下次再说吧;

如下图的箭头按钮,可以输入偏移值,进行跳转;


相关推荐
具体来说,WinHex 是一款以通用的 16 进制编辑器为核心,专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具: 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。功能包括 (依照授权类型):   - 硬盘,软盘,CD-ROM和 DVD,ZIP,Smart Media,Compact Flash,等磁盘编辑器...   - 支持 FAT,NTFS,Ext2/3/4,ReiserFS,Reiser4,UFS,CDFS,UDF 文件系统   - 支持对磁盘阵列 RAID 系统和动态磁盘的重组、分析和数据恢复   - 多种数据恢复技术   - RAM编辑器,可以编辑物理内存和其他进程的虚拟内存   - 可分析 RAW 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件   - 数据解释器,已知 20 种数据类型   - 使用模板编辑数据结构(例如: 修复分区表/引导扇区)   - 连接和分割、以奇数偶数字节或字的方式合并、分解文件   - 分析和比较文件   - 搜索和替换功能尤其灵活   - 磁盘克隆 (可在 DOS 环境下使用 X-Ways Replica)   - 驱动器镜像和备份 (可选压缩或分割成 650 MB 的档案)   - 程序接口 (API) 和脚本   - 256 位 AES 加密,校验和,CRC32,哈希算法 (MD5,SHA-1,...)   - 数据擦除功能,可彻底清除存储介质中残留数据   - 可导入剪贴板所有格式数据,包括 ASCII、16 进制数据   - 可进行 2 进制、16 进制 ASCII,Intel 16 进制,和 Motorola S 转换   - 字符集: ANSI ASCII,IBM ASCII,EBCDIC,(Unicode)   - 立即窗口切换、打印、生成随机数字   - 支持打开大于 4 GB 的文件,非常快速,容易使用。   - 广泛的联机帮助
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页