winhex数据恢复工具使用

Winhex工具使用Winhex工具介绍Winhex是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能， 能自动分析分区链和文件簇链， 能对硬盘进行不同方式不同程度的备份， 甚至克隆整个硬盘； 它能够编辑任何一种文件类型的二进制内容 （用十六进制显示） 其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。数据恢复的分类数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据；所谓软恢复，TOC\o"1-5"\h\z就是硬盘本身没有物理损伤， 而是由于人为或者病毒破坏所造成的数据丢失 （比如误格式化，误分区） ，这样的数据恢复就叫软恢复。在此主要介绍软恢复，硬恢复还需要购买一些工具设备（比如 pc3000,电烙铁，各种芯片、电路板） 。MBR和EBRMBR，即主引导记录，位于整个硬盘的 0柱面0磁道1扇区，共占用了 63个扇区，但实际只使用了 1个扇区（512字节）。在总共 512字节的主引导记录中， MBR又可分为三部分：第一部分：引导代码，占用了 446个字节；第二部分：分区表，占用了 64字节；第三部分： 55AA，结束标志，占用了两个字节。后面我们要说的用 winhex软件来恢复误分区， 主要就是恢复第二部分： 分区表。引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在， 那么这个硬盘作为从盘所有分区数据都还在， 只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码， 可以用 DOS下的命令： FDISK/MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如 DISKGEN、WINHEX等。但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。EBR，也叫做扩展 MBR（ExtendedMBR）。因为主引导记录 MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于 4个区，就要采用扩展 MBR的办法。MBR、EBR是分区产生的。每一个分区又由 DBR、FAT1、FAT2、DIR、DATA5部分。Winhex菜单和界面最上面的是菜单栏和工具栏， 下面最大的窗口是工作区， 现在看到的是硬盘的第一个扇区的内容，以十六进制进行显示，并在右边显示相应的 ASCII码，右边是详细资源面板，分为五个部分：状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外，在其上单击鼠标右键， 可以将详细资源面板与窗口对换位置， 或关闭资源面板。 （如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开）。最下面一栏是非常有用的辅助信息，如当前扇区 /总扇区数目,,等。向下拉拉滚动条， 可以看到一个灰色的横杠， 每到一个横杠为一个扇区， 一个扇区共512字节，每两个数字为一个字节，比如 00。使用 Winhex恢复文件下面列举一个简单的例子来说明如何使用 winhex来恢复 NTFS分区中被删除的文件的， 为了使这上篇的文章的知识尽量的简单， 这里所恢复的条件有这么几个：1、格式化了一个分区，所以这个分区中是没有任何文件的。2、使用的文件大小小于 1K，所以这个文件在 NTFS分区的文件记录中的数据属性中是个常驻属性。 所以这里不涉及到运行计算的问题， 应该最简单的文件恢复了，以这个恢复例子的过程，可以建立一个数据恢复的大体原理了。下面开始。第一：建立一个文本文件

首先格式化预先准备的分区 G，分区类型是 NTFS，使用快速格式化。之后，在这个分区建了一个文本文件，如下图所示：这个文件很简单， 内容也很少， 保存这个文件后， 然后我们来看看这个文件大小信息，如下图所示：我们看到， 这个文件大小是 224个字节，等下恢复这个文件的时候就可以对比一下了。之后删除了这个文件，现在，我们看看怎么恢复这个文件！第二：用 winhex打开分区我们运行 winhex，然后点击菜单： 工具 --＞打开磁盘， 来打开 G盘。 如下图所示：我们可以找到 $MFT这个文件，然后右击它，然后点击打开，之后就会打开这个文件 MFT。如下面两个图所示：7010-05-2ZZl2010-C6-ZZZl...SK629347820：0-C5221..2010-C6-2221...SX341400201C-CE-2221..201C-C6-2221...SK6291510Z010-CB-®Zl2010-Ce-ZZZl...SK6Z3)«02010-CS-^21..201C-C6-2221...SK2010-05^2221..201CH.6-2221...JIS)2010-C5-2Z212010-C6-2221...SK102415042010-CS-^21...201C-C6-2221...SK02010-06^2221..2010-05-2221...计6L8491220：C-C5221一zoic-ce-zz21...th629J76一鼠分邪际•・万耳泞同 一国吐一3七卜尸。=20)0-05-224.1KB2010-05-22Zl21...<0Styte=2010-08222125KBZ010-05-ZZZlCbyg201C-0S-2221...、U"to=2010-05-2221...313KB2010-05-222t8.CKB201C-OS-2221...52.1MB2U!U-U-221...32.CKB2010-05-2221£lytes2010-05-2221..2010-CS-2221.・・2010-C6-2221...3IM)620144840KBZOJ0-05-ZZ212010-CB-ZZZL2010-€fe-zzZl...SK102414100CUtes2010OS-2221..2010-05^21...2010-C6-2221...SK4.CKB201C-0E-2221.201C-CS-222L...201C-C6-2221...J1TX)10241408257KB2O)0-0b-ZZ2120]0-Cfir2ZZL20W-€fe-ZZZl...CAIS)U85)96812EKD2010-05-2221.2010-CE-^21..2010Ce-2221...SK102421%0by、。=2010-05-2221..201C-C6-2221..201C-C6-2221...SKtxt224bytesZOJO-OSrSZl・ZOJO-Cer®Zl..2010-C6-SZl...A6Z9J5Hg?gb8CKB1024MM••••••••••••••Fooooo1oooooOEoooooAoooooCDO4ooO9oooooFcccooOV2DOO613B1OOOOB000005AooooO3oooooc9mloooco000004£9££0F9o1631oooA00000c4303800000032Offset文件€_3Exfat»d一派目&_jSy=tcn»Ix.£crm^tio^JlAttrDef_J3l«ddus」Skd-2u=$3ad[SEitrMp|jEcot)3Lc#1qpm[3NFI:JBitr»

jiNFIMirr_JjSecureJSSecwc：JSDXJjVpCaStt|SVdw»oMlWorldtxt空氏田间二角空间:五fl值的星性於45G0(xl0(l0c5Bc1-oo834ooo1c9oDDo8400004B6D1D0O3O0灰ocoooooooOCOOOOOIO0C0D0002OOCOOOOOSOOCOOOOOIOUC000Q05O幽珈中伴系苏卷母网空用RTFS2默1、的除£程式牍：原始DcRAg2765432OOODOAAOOOIAAOOOIOODDOOOOO^oooooccoonvoccooooooooooooo-0004000000四四oo88gF9的oooooooooooooooooooo000080^200889-20000000800000G1EBO061EE000OOOO4-O0nlrOOOOBBOOOOBBOO

00005500005500Ooooooooc3c3oogO0O0C3C3O0CI00008800008800Q004100004440fio8OOOOOAOOO6014-2200342200nooo0045oooooooooooo400000000000oooooooo3oo170000ooooBouugJunVouuTOOQ8uCM300)Bo-uo《Fo-Fo《?Q<Fo-1o《00(1o-34《Jo3ooo54dr49ooo83OODLLDOOOOLLOoooooooooooooOOOAADOO35AAOoooccoooooccolnWQ9921叼町町9910oraoFFJOJaaFFol0002200000220OOOBnDOOOOOEEO004600曲OOOOBBOOOOOBBOO000055000005500olcloDOlscscsoogg18ooc3c3oo24000088000008803000044000004440OD0000150000-ooooooonvoo-000000000000008ooocoo4000000oooooouoooooooIXIoolwooDOlooo0000800ooooooou8800“ooo-000LooF-ooF《gooEloooYu^ln30006Q0050004000011uu8F-0000022000002200804030uOOF-Offset0000000000000010onooon20000000300000004000300050U000006000000070。。加008000(X)0093000000X0OOOOOOBOoooooocoOOOOOODOOOOOOOECiOOOOOOFOoooooiao0000011000000120000001300000014000000150U00Q016J000001700009018000000190驱动抽：1 SRFTk文件大小：32.0n32TM宇节‘有君模式"f.l津囱间•?D10-05-2Z2126:17位后夕人时闾:?010-05-222126：17隹后访问HIM(L)ZUI0-05-222126:17星性SK显示四(Z：Lire*08:00模式：16进制字符集.郦二ASCIIifi称如16进制字节/贝面：45116-720SC*2囹口编号：2剪贴松可用的工件头：1gGB空阳3CCIME」3H二町~1\LXXLS，\?5这里为什么要这么做呢？因为，我们只需要在 MFT找到我们丢失的文件，如果我们在整个分区里搜索并且这个分区很大的话，会要很多时间的，而 MFT文件就小得多了，最大也就 1G左右，这是人为弄出来的，一般系统是很难见到这么大的 MFT文件的，除非你是做服务器，有很多磁盘碎片和小文件。之后，我们可以点击菜单中的：搜索 --＞查找文本。如下图所示：我们输入我们想要恢复的文件名 HelloWorld，而且注意，要选择 Unicode。因为MFT的文件名是 Unicode形式的，之后就是查找了！一会我们就找到了这个文件，如下图所示：为了能使用 WinHex的颜色，我们转到分区去看这个文件记录！首先，我们看到这个文件记录在 MFT的偏移地址是 7450H，然后我们在 winhex中转到我们分区的视图，然后点击 MFT文件，这样就偏移到了我们 MFT文件的位置，然后选择菜单中的：位置 --＞转到偏移位置。然后输出 7450，位置是从当前位置开始！如下图所示：之后，我们就找到了这个文件记录，如下图所示：29，我们看上图的蓝色框，那个是文件记录的FILE。那么我们怎么知道这是个被删除的文件呢，一种办法是直接在文件2字节为文件