WinHex安装与使用

使用WinHex操作磁盘文件:从安装到创建引导
原创 已于 2023-04-07 10:56:48 修改 · 2.6w 阅读 · 86 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2023-04-06 18:09:08 首次发布
文章详细介绍了如何下载并安装WinHex,以及如何查看和操作磁盘文件。通过转换工具将不同格式的磁盘文件转为raw格式,然后使用dd命令手动创建磁盘文件并进行分区。最后,文章演示了在磁盘文件上安装引导程序的过程。

目录

下载WinHex

安装WinHex

查看现成的磁盘文件

手动创建磁盘文件

创建磁盘文件

创建分区

安装引导程序

查看磁盘

下载WinHex

下载链接:

WinHex: Hex Editor & Disk Editor, Computer Forensics & Data Recovery Software

安装WinHex

1).下载完成后出现winhex.zip文件,解压文件,放置到合适位置。如图为winhex.zip内的内容。


2).解压完成之后,直接以管理员方式直接打开winhex.exe文件即可。

查看现成的磁盘文件

        磁盘文件可以通过kvm、vmware、virtualbox等软件进行创建,但是需要将vmdk,qcow2等格式的自盘文件转换为raw格式。

[root@zyq images]# /home/zyq/qemu-img convert -p -O raw generic.qcow2 generic.raw
    (100.00/100%)
[root@zyq images]# 
[root@zyq images]# ll generic.* -h
-rw------- 1 root root  21G Apr  6 08:54 generic.qcow2
-rw-r--r-- 1 root root  20G Apr  6 17:49 generic.raw
[root@zyq images]# ll generic.*   
-rw------- 1 root root 21478375424 Apr  6 08:54 generic.qcow2
-rw-r--r-- 1 root root 21474836480 Apr  6 17:49 generic.raw

查看转换格式后的磁盘文件

手动创建磁盘文件

  1. 创建磁盘文件

    [root@zyq tmp]# dd if=/dev/zero of=/tmp/test.img bs=512 count=100000
100000+0 records in
100000+0 records out
51200000 bytes (51 MB) copied, 0.0909236 s, 563 MB/s

[root@zyq tmp]# ll test.img  
-rw-r--r-- 1 root root 51200000 Apr  7 09:00 test.img

[root@zyq tmp]# ll test.img -h
-rw-r--r-- 1 root root 49M Apr  7 09:00 test.img

  2. 创建分区

    [root@zyq tmp]# fdisk test.img
Welcome to fdisk (util-linux 2.23.2).

Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.

Device does not contain a recognized partition table
Building a new DOS disklabel with disk identifier 0xfd823fb1.

Command (m for help): n
Partition type:
   p   primary (0 primary, 0 extended, 4 free)
   e   extended
Select (default p): 
Using default response p
Partition number (1-4, default 1): 
First sector (2048-99999, default 2048): 
Using default value 2048
Last sector, +sectors or +size{K,M,G} (2048-99999, default 99999): 
Using default value 99999
Partition 1 of type Linux and of size 47.8 MiB is set

Command (m for help): w
The partition table has been altered!

Syncing disks.


[root@zyq tmp]# partprobe test.img
[root@zyq tmp]# fdisk test.img -l

Disk test.img: 51 MB, 51200000 bytes, 100000 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0xfd823fb1

   Device Boot      Start         End      Blocks   Id  System
test.img1            2048       99999       48976   83  Linux

  3. 安装引导程序

    [root@zyq tmp]# grub2-install test.img
Installing for x86_64-efi platform.
Installation finished. No error reported.

  4. 查看磁盘

 

core.img占据的空间大小

2048*512/1024-0.5=1023.5Kbytes

巭犇
关注
winhex入门基础知识
weixin_64311343的博客
03-23 2993
就到达文件夹所在扇区,找到需提取文件向前8个字节就是文件所在块,文件所在减1乘于256的得数文件所在字节,回到组块描述符向下跳转算出来的字节查看文件的文件位置乘于8就是文件所在位置,四个字节为一块,一块为8个扇区,N*8个扇区。通过性创建的一个FAT32的磁盘将新的FAT32的DBR复制下来,回到损坏的FAT32的DBR将复制的文件写入,通过向下查找F8FFFF到达FAT表,然后将FAT表的所在扇区数减去DBR的所在扇区数就是DBR的保留扇区,接着将得出的结果写入DBR中的保留扇区。
winhex工具和使用教程
06-21
具体来说,WinHex 是一款以通用的 16 进制编辑器为核心,专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具: 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。功能包括 (依照授权类型):   - 硬盘,软盘,CD-ROM和 DVD,ZIP,Smart Media,Compact Flash,等磁盘编辑器...   - 支持 FAT,NTFS,Ext2/3/4,ReiserFS,Reiser4,UFS,CDFS,UDF 文件系统   - 支持对磁盘阵列 RAID 系统和动态磁盘的重组、分析和数据恢复   - 多种数据恢复技术   - RAM编辑器,可以编辑物理内存和其他进程的虚拟内存   - 可分析 RAW 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件   - 数据解释器,已知 20 种数据类型   - 使用模板编辑数据结构(例如: 修复分区表/引导扇区)   - 连接和分割、以奇数偶数字节或字的方式合并、分解文件   - 分析和比较文件   - 搜索和替换功能尤其灵活   - 磁盘克隆 (可在 DOS 环境下使用 X-Ways Replica)   - 驱动器镜像和备份 (可选压缩或分割成 650 MB 的档案)   - 程序接口 (API) 和脚本   - 256 位 AES 加密,校验和,CRC32,哈希算法 (MD5,SHA-1,...)   - 数据擦除功能,可彻底清除存储介质中残留数据   - 可导入剪贴板所有格式数据,包括 ASCII、16 进制数据   - 可进行 2 进制、16 进制 ASCII,Intel 16 进制,和 Motorola S 转换   - 字符集: ANSI ASCII,IBM ASCII,EBCDIC,(Unicode)   - 立即窗口切换、打印、生成随机数字   - 支持打开大于 4 GB 的文件,非常快速,容易使用。   - 广泛的联机帮助
winhex超详细图文使用教程
04-05
文件包括winhex超全图文使用教程和winhex数据恢复入门使用教程需要的可以下载一下。另外需要最新破解winhex的可以点链接https://download.csdn.net/download/qqqqwwuuuqhhsh/10316680
Winhex教程
10-22
最基本的winhex学习手册,适用于新手学习
WinHex:十六进制文件编辑器深度应用指南
weixin_42143092的博客
08-03 1188
WinHex是一个功能强大的十六进制编辑器,广泛用于数据恢复、计算机取证、以及软件开发中的低级数据处理。它的主要功能包括但不限于文件编辑、磁盘编辑、数据恢复、数据加密和编码转换等。对于IT专业人士来说,WinHex不仅可以加速日常工作的效率,而且在面对复杂数据问题时,还能提供深入的数据分析和处理能力。接下来的章节,我们将深入探讨WinHex的各个核心功能,从基础的界面布局到高级的文件处理技巧,为您提供一个全面而实用的教程。
WinHex安装版可用
05-12
包含Windows32和Windows64位
winhex
03-27
winhex<br>winhex<br>data recovery
十六进制编辑器WinHex:下载、安装
jjmhx的专栏
09-25 8780
WinHex是一款功能强大的十六进制编辑器,用十六进制显示文件只是其最基本的功能,它更高级的功能是数据恢复,还可以进行磁盘克隆、镜像制作,是计算机专业人员和安全检查人员的重要工具。注意解压时要选择“解压到winhex\”,而不要选“解压到当前文件夹”,否则解压的地处会多出一大堆安装文件。在WinHex的菜单栏中,点击【Help(帮助)】→【Setup(设置)】,可选择界面语言。或者先新建一个单独存放安装文件的文件夹,然后再点“解压到当前文件夹”。WinHex软件是收费的,可以试用45天。
winhex教程
weixin_34383618的博客
12-09 1740
winhex教程 winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数...
winhex使用教程(详细版)
热门推荐
m0_59856804的博客
11-15 1万+
winhex安装使用教程
winhex使用教程》
09-05
winhex是一款在信息安全方面很实用,也很基础的一款软件,这个教程,手把手的介绍如何使用这款软件,进行各种安全方面的操作。
winhex安装软件
05-24
winhex安装软件,是软件编程人员的不可缺少的工具。
WinHex教程
06-11
可过利用winHex强大的功能对磁盘数据进行整理、恢复等操作
WinHex
12-25
WinHex是一个专门用来对付各种日常紧急情况的小工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。总体来说是一款非常不错的 16 进制编辑器。得到 ZDNetSoftwareLibrary 五星级最高评价,拥有强大的系统效用。 13.2 SR-11 更新内容: * 在目录浏览器列头添加新的快速过滤按钮,可以动态修改过滤设置。 * 修改索引算法,索引文件现在相当小。以前的索引文件将不能在这个版本中使用。 * 报告表格式修改为 tab 分隔文本文件,可以动态过滤或牵引。 * 注释现在使用 Unicode 字符集。 * 容器标题、文件名、描述、图象文件名、证据对象标题、注释、命令行参数全部使用 Unicode 字符。 * 现在可以在容器根目录选择证据对象查看。 * v13.2 保存的安全将不能用以前版本的 X-Ways Forensics 打开,它不能从以前版本的案例中导入某些项目。 * 书签列表同证据对象关联。 * 证据对象的名称在目录浏览器中单独的列中显示。这个字段在递归资源管理容器根和报告表中以及导入中起到很重要的作用。 * 丢失分区可以通过 X-Ways Forensics 找回。 * 重新创建 FAT 卷快照可以识别文件被重命名或移动。 * 支持 UDF 光盘格式中的多重会话。 * 精确的驱动器盘符写入保护(默认启用)。 * 自动保护容器选项。 * 目录浏览器选项现在允许锁定左边的列。 * 在目录浏览器上下文菜单中禁用排序的能力。 * 所有信息容器的文本可以记录到 messages.txt。 * 重新创建的证据文件容器优化后在添加大量文件时有较好的性能。 * 你可以立即查看 Windows 事件日志 (.evt) 文件。(仅 forensic 授权) * File Type Signatures.txt 支持更多的文件类型。 * 在创建映象文件时,Forensics 显示平均数据传输量(MB/分)和平均压缩比例。 * 容器报告现在更灵活。所有组件都可以选择。 * 当验证证据对象的 hash 或计算时,结果将被添加到证据对象的技术描述中。 * 标准的模板文件扩展名修改为 .tpl。 * 一些局部修复和改进。 单文件版本哦!~
winhex-windows
07-21
winhex for windows just or fun
winhex安装使用
03-17
### WinHex使用教程 #### 主要窗口布局 WinHex 提供了一个直观的操作环境,主要包括以下几个部分: - **16 进制显示窗口**:用于展示文件或磁盘的内容,每字节都以十六进制形式呈现。 - **ASCII 显示窗口**:...
winhex超全图文使用教程.doc
10-06
1. 安装 Winhex 软件 2. 启动 Winhex 软件,出现启动中心对话框 3. 使用 Winhex 编辑物理磁盘或逻辑磁盘的任意扇区 数据恢复操作 使用 Winhex 软件可以进行数据恢复操作,例如恢复误分区、恢复引导代码、恢复分区...
Winhex
最新发布
08-16
<think>我们注意到用户的问题是关于WinHex在内存测试方面的使用,但根据引用内容,WinHex主要是一个十六进制编辑器和数据恢复工具,并非专门的内存测试工具。不过,我们可以结合用户之前的问题(关于内存测试)和当前提到的WinHex,尝试给出WinHex在内存分析方面的应用方法。 用户之前的问题是关于内存测试的,特别是针对Rampage主板的内存测试方法。而当前问题提到WinHex,引用中描述WinHex是一个十六进制编辑器,具有查看内存、文件恢复等功能。因此,我们推断用户可能想了解WinHex是否可以用于内存测试或内存数据分析。 需要明确的是:WinHex并不是一个标准的内存测试工具(如MemTest86),但它可以用于查看和分析内存转储文件(例如,在取证分析中)。因此,我们主要介绍WinHex在内存分析方面的使用。 以下是WinHex在内存分析(非内存测试)方面的使用方法: ### WinHex在内存分析中的应用 WinHex可以用于分析内存转储文件(例如,系统崩溃时产生的内存转储文件),或者用于查看物理内存(需要管理员权限)。但请注意,直接查看物理内存通常需要专业的知识,并且可能对系统稳定性造成影响。 #### 步骤1:获取内存转储文件 - 方法一:系统崩溃时自动生成的内存转储文件(通常为`MEMORY.DMP`,位于Windows目录下) - 方法二:使用专用工具(如Belkasoft Live RAM Capturer、FTK Imager等)获取实时内存数据 - 方法三:使用WinHex直接读取物理内存(需要管理员权限运行WinHex) #### 步骤2:使用WinHex打开内存转储文件 1. 以管理员身份运行WinHex(如果分析实时内存或物理内存) 2. 点击菜单栏的“工具” -> “打开磁盘” 3. 在“物理驱动器”列表中选择“物理内存”(如果分析实时内存)或选择已保存的内存转储文件(如DMP文件) #### 步骤3:分析内存内容 - 在WinHex中,内存数据以十六进制形式显示,左侧为地址,中间为十六进制数据,右侧为对应的ASCII字符。 - 可以使用搜索功能(Ctrl+F)查找特定字符串或十六进制模式。 - 在取证分析中,可以查找敏感信息、恶意代码等。 #### 步骤4:使用专用模板解析内存结构 WinHex支持使用模板(Template)来解析内存中的数据结构。例如,可以下载Windows内核数据结构的模板,用于解析内存中的进程、线程、网络连接等信息。 #### 步骤5:保存感兴趣的数据 可以选中特定区域,右键选择“编辑”->“复制选块”->“至新文件”,将内存中的某段数据保存为单独的文件。 ### 注意事项 - WinHex对物理内存的操作是只读的,但依然需要谨慎操作,避免影响系统稳定性。 - 内存分析通常用于数字取证,而不是内存稳定性测试。对于内存硬件测试,请使用之前提到的MemTest86等工具。 - 使用WinHex分析内存需要一定的专业知识,建议在专业人士指导下进行。 ### 用户之前问题的关联 用户之前询问了Rampage主板的内存测试方法,而WinHex并不是用于内存硬件测试的工具。因此,如果用户想测试内存硬件的稳定性,建议使用MemTest86(如方法一)或Windows内存诊断(方法二)等工具。如果用户是想分析内存中的数据(例如,在超频后查看内存数据是否异常),那么使用WinHex查看内存转储文件可能是一种方法,但这种方法并不常见,也不推荐用于稳定性测试。 ### 相关问题 根据用户之前的问题和当前问题,生成以下相关问题: §§相关问题§§ 1. WinHex能否用于检测内存硬件故障? 2. 如何获取系统内存转储文件进行分析? 3. 除了WinHex,还有哪些工具可以用于内存取证分析? ### 引用说明 在回答中,我们参考了引用中关于WinHex的描述,特别是其作为十六进制编辑器和数据恢复工具的功能[^1][^2][^3]。</think>### WinHex 在内存分析中的使用方法 WinHex 是一款高级十六进制编辑器,主要用于**内存取证分析、数据恢复和底层数据查看**(非硬件级内存测试)。结合用户之前的内存测试需求,以下是 WinHex 在内存相关场景的操作指南: --- #### **1. 查看物理内存数据(需管理员权限)** **适用场景**:分析运行中系统的内存内容(如排查恶意软件、内存泄漏) **步骤**: 1. 以管理员身份运行 WinHex 2. 点击 `工具` → `打开磁盘` 3. 选择 `物理内存` → 勾选目标内存设备(如 `PhysicalMemory0`) 4. 按 `Ctrl+F` 搜索特定字符串(如进程名、密钥) 5. 使用 `导航` → `地址跳转` 定位特定内存地址(如 `0x00007FF`) > ⚠️ 直接操作物理内存可能造成系统不稳定,建议在虚拟机环境操作[^3]。 --- #### **2. 分析内存转储文件(Dump 文件)** **适用场景**:诊断系统崩溃(如蓝屏)后的内存状态 **步骤**: 1. 获取内存转储文件(路径:`C:\Windows\MEMORY.DMP`) 2. WinHex 中点击 `文件` → `打开` → 选择 `.DMP` 文件 3. 使用 **数据结构模板** 解析关键信息: ```c // 示例:解析 Windows 崩溃栈帧(需自定义模板) typedef struct _CRASH_FRAME { DWORD ErrorCode; DWORD64 InstructionPointer; CHAR ModuleName[32]; } CRASH_FRAME; ``` 4. 搜索错误代码(如 `0x00000050`)定位故障点[^4] --- #### **3. 内存取证(数字取证场景)** **适用场景**:从内存中提取隐藏数据(如加密密钥、进程注入代码) **步骤**: 1. 通过工具(如 FTK Imager)获取物理内存镜像(`.img` 文件) 2. WinHex 中打开镜像文件 → 点击 `专业工具` → `磁盘克隆` 3. 使用 **正则表达式搜索** 敏感数据: ```regex // 搜索信用卡号模式 \b[0-9]{4}-[0-9]{4}-[0-9]{4}-[0-9]{4}\b ``` 4. 导出可疑内存段(右键 → `编辑` → `复制选块至新文件`)[^2] --- #### **4. 硬件测试工具联动** **适用场景**:验证内存测试结果(如 MemTest86 报错后分析原始数据) **步骤**: 1. 当 MemTest86 报告 "Failing Address"(如 `0x2A3B4C5D`) 2. 在 WinHex 中打开内存镜像 → 跳转到故障地址 3. 检查该地址的 **十六进制值** 和 **二进制模式**: - 全 `FF` 或 `00` 可能表示内存单元损坏 - 异常比特翻转(如 `01010101` → `01000101`)暗示电压不稳 4. 对比 SPD 信息(通过 `工具` → `查看 SPD` 读取内存模块参数) --- ### ⚠️ 重要注意事项 1. **非硬件测试工具**:WinHex 无法替代 MemTest86 等工具检测内存硬件故障,主要用于**软件层分析**[^1]。 2. **操作风险**:直接修改内存数据可能导致系统崩溃,务必备份原始文件。 3. **法律合规**:内存取证需遵守当地数据隐私法规[^2]。 --- ### 相关问题 根据您的内存测试需求,您可能还想了解: 1. WinHex 如何解析 DDR5 内存的 SPD 信息? 2. 内存转储文件中如何识别超频导致的错误模式? 3. 有哪些自动化工具可 WinHex 配合进行内存压力测试?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值