数据恢复软件Winhex使用说明书

《数据恢复软件Winhex使用说明书》由会员分享，可在线阅读，更多相关《数据恢复软件Winhex使用说明书（60页珍藏版）》请在金锄头文库上搜索。

1、1目录目录Winhex 概述.3 1、软件的安装.3 2、软件使用及介绍.42Winhex 概述Winhex 概述WinHex 是一个专门用来对付各种日常紧急情况的小工具。它可以用来检查和修复各种 文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起 来的文件和数据。具体功能如下： *可以对硬盘、软盘、CD-ROM、DVD、ZIP 及各种存储卡进行编辑 *支持 FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF 等文件系统 *可支持重组 RAID 及动态磁盘 *附带数据恢复功能 *可以访问物理内存及虚拟内存 *内置数据解释器，

2、可以识别解释 20 种数据类型 *可以用数据结构模板查看、编辑结构数据 *可以分割与合并文件 *可以对文件进行分析与对比 *具有灵活的搜索和替换功能 *可以对磁盘进行克隆 *可对磁盘进行压缩镜像备份，支持对备份文件进行分卷处理 *具有编程接口，支持脚本操作 *支持 256 位加密、校验和、CRC32、hash（MD5，SHA-1）计算 *支持对磁盘进行数据安全销毁 *包含 ANSI ASCII, IBM ASCII, EBCDIC, Unicode 字符集 *支持文件大小超过 4GB1、软件的安装1、软件的安装Winhex 的安装与普通软件安装没有区别，以在 Windows XP 下为例，双击

3、 Setup.exe 程序即可开始安装过程。如图 1.1 所示。图 1.13程序默认的安装路径是 C:Program FilesWinHex，当然也可以自行选择安装到其他位置。可以选择语言种类，不过用以选择中文的 Chinese 按钮处于灰色不可选状态，应该是尚不支持中文。用户可以选择其它语言，默认语言是英文。确定安装位置无误后，点击 OK 按钮，程序会弹出一个询问框，询问是否确定将程序安装到所选位置。如图 1.2 所示。图 1.2如果要对安装位置重新选择，可以按“否”按钮回到原界面进行设置。否则按“是”按钮继续安装。程序随即会弹出询问框询问是否要建立快捷方式。如图 1.3 所示。点击按钮“是

4、”，程序安装完毕后会在“开始”“所有程序”中添加程序启动快捷方式。图 1.3最后，程序提示安装完毕，询问是否运行程序。如图 1.4 所示。图 1.4点击“是”按钮，程序即开始运行。如果不想立即运行程序，可以点击“否”按钮，在使用程序时从开始菜单中启动程序。2、软件使用及介绍2、软件使用及介绍2.1启动软件2.1启动软件以 Winhex15.1 为例，第一次运行程序，程序会给出一个设置窗(如图 2.1.1 所示)，有两个可选项：*Write protection by default：设置写保护，即只可以对打开的对象进行查看，不可以进行修改；*Computer forensics interfa

5、ce：如果要使用取证界面，则应该勾选项。我们是要使用底层分析及数据恢复功能， 所以不需要在这个设置窗中进行任何设置， 直接点击 OK 按钮即可，这样运行的程序默认允许对打开的对象进行读写操作。4图 2.1.1程序运行后的界面如图 2.1.2 所示。 现在还只是一个空的程序主界面， 可以在这个界面中选择所需的各种功能。图 2.1.22.2打开对象2.2打开对象要对一个对象进行底层分析， 首先要将其打开。 下面我们以打开一个磁盘后的界面来介绍一下 Winhex 的十六进制编辑窗口。在 Winhex 主界面中打开一个磁盘可以有三种方式：1点击工具栏中的 按钮。2按键盘上的 F9 键。3点击菜单 To

6、olsOpen Disk，如图 2.2.1 所示。图 2.2.1无论使用哪用方法，都会弹出磁盘选择框，如图 2.2.2 所示。5图 2.2.2在磁盘选择框中， 磁盘以两种形式分组， 上面的一组是“逻辑磁盘”， 下面的一组是“物理”磁盘。 我们可以简单地理解“逻辑磁盘”就是我们在“我的电脑”界面中看到的一个个的分区，它们存在于物理磁盘中。打开逻辑磁盘和打开物理磁盘的区别在于：*打开逻辑磁盘时 Winhex 使用该分区内的文件系统参数遍历整个分区， 可以从文件系统层解释分区内的数据；*打开物理磁盘时，Winhex 不以任何文件系统为基础，只是简单地将整个磁盘的内容以十六进制的形式展现在我们面前。图

7、 2.2.3 可以帮助理解一下物理磁盘和逻辑磁盘的关系。图 2.2.362.3界面布局2.3界面布局打开物理磁盘中的 HD0，看图 2.3.1。图 2.3.11菜单栏菜单栏集合了程序提供的所有功能入口。2案件数据主要用于取证，可以将一个磁盘装入到案件数据框中查看数据、进行取证记录等。这个功能在数据恢复中并不常用，可以通过勾选菜单栏中的 ViewShowCase Data 选项控制它的显示与否。如图 2.3.2 所示。图 2.3.23目录浏览器根据打开磁盘方式的不同，目录浏览器内显示的内容会有所不同：*打开物理磁盘时，如果有可识别的分区，目录浏览器中会显示各个分区的类型、大小及起始扇区等信息。*

8、打开逻辑磁盘时，如果有可识别的文件系统，目录浏览器中会显示逻辑磁盘中的数据内容，显示效果与在“我的电脑”中打开一个分区后看到的内容相同。7是否显示目录浏览器可以通过 ViewShowDirectory Browser 控制。4数据解释器数据解释器是一个浮动窗口， 可以在屏幕窗口中任意拖拽到任何位置。 是否显示数据解释器由 ViewShowData Interpreter 控制。当鼠标指针位于十六进制区或文本字符区时，数据解释器可以很方便地将鼠标指针当前所处位置的字节 （或字符区的字符在十六进制区的对应字节） 及向后若干个字节的十六进制数解释成十进制数、 八进制数或同步显示十六进制数。可以在数据

9、解释器窗口中右击，在弹出的快捷菜单中进行相应的设置。快捷菜单如图2.3.3 所示。图 2.3.3(1) Options：点击该选项（或在数据解释器窗口左半部分双击）会弹出数据解释设置框（如图 2.3.4 所示），可以在设置框中通过多选形式设置要在数据解释器中显示的内容、性质及类型。默认情况下数据解释器将十六进制解释为十进制，如勾选“8bit，signed”会在数据解释器中显示指针所处位置的这一个字节的十进制值， “signed”表示有符号， 即数值有正负之分。如果选择了“8bit，unsigned”，数据解释器会将指针当前所在位置的字节解释成无符号的数值，即只将其当做正数。数据解释设置框中还可

10、以设置数据解释的精度，设置解释成各种时间值，设置按 Big-Endian 顺序解释多字节数值（默认以 Little-Endian解释多字节数值）等。图 2.3.4(2) Big Endian：点击该选项会在其前面显示对勾，表示以 Big Endian 顺序解释多字节数值 （同样的设置功能在数据解释设置框中也有， 直接将其放入快捷菜单中是为了便于使8用）。在选项被勾选的情况下再次点击它，就会重新回到 Little Endian 解释状态。(3) Hexadecimal：点击该选项会在其前面显示对勾，表示将数值显示为十六进制（默认解释为十进制）。再次点击它，就会回到解释为十进制状态。(4) Oct

11、al：解释为八进制，该选项的使用方法与前两个选项相同。5工具栏工 具 栏 集 合 了 一 些 常 用 功 能 的 快 捷 图 标 。 是 否 显 示 工 具 栏 可 以 通 过ViewShowToolbar 控制。随后我们会对工具栏进行专门的详细介绍。6对象卡对 象卡 用于 标识 当 前打 开的 对 象窗 口。 是否 显 示对 象卡 可 以通 过是 否勾 选ViewShowTab Control 控制。在对象卡上右击会弹出关闭窗口快捷菜单，可通过该菜单关闭当前选项卡标识的对象窗口。7详细面板详细面板用以显示当前活动窗口对象的详细信息， 是否显示详细面板可以通过是否勾选ViewShowDetai

12、ls Panel 控制。 根据打开对象的不同， 详细面板显示的内容会有所不同。打开一个物理磁盘时，详细面板会显示该物理磁盘的型号（Model）、序列号（Serial No）、固件版本（Firmware Rev）、当前编辑模式、当前状态（磁盘内容是否经过修改）、总容量、每扇区字节数、当前位置所属分区号、在分区中的扇区号、当前指针所在区域（十六进制区/文本区）、字符集、偏移坐标表示形式等一系列信息。打开一个逻辑磁盘时，详细面板会显示该逻辑分区在物理磁盘上的分区号、空闲百分比、文件系统类型、编辑模式、状态、当前簇号、当前扇区所属文件、当前扇区物理扇区号、当前扇区逻辑扇区号、分区已用空间、分区空闲空间

13、、总容量、每簇扇区数、空闲簇数、总簇数、每扇区字节数等信息。8.偏移纵坐标与偏移横坐标配合， 唯一地标识十六进制区域中每个字节的偏移地址。 在偏移纵坐标区内单击，可以使偏移坐标的表示形式在十进制和十六进制间进行转换。9偏移横坐标与偏移纵坐标配合，唯一地标识十六进制区域中每个字节的偏移地址。10十六进制区以十六进制形式表示磁盘上的存储内容，是主要的工作区域。11文本字符区根据选择的字符集，以文本字符形式显示磁盘上的内容。12当前扇区号/总扇区数显示当前光标所在的的扇区号以及整个磁盘的总扇区数。 在该区域单击会弹出“转到扇区”对话框。 在该区域右击则会弹出拷贝当前扇区号或总扇区数快捷菜单。 如图

14、2.3.5 所示。9图 2.3.513光标当前位置偏移值及当前字节十进制值标明光标当前位置的偏移值以及由当前字节开始的若干个字节的十进制值。(1) 在偏移值部分单击会弹出转到偏移量对话框；在偏移值部分右击会弹出一个快捷菜单，如图 2.3.6 所示。图 2.3.6右键快捷菜单中，提供了拷贝光标当前位置偏移量的十进制值和十六进制值的菜单项，还提供了一个相对记录偏移菜单项 Relative record offsets，点击该菜单项会弹出设置对话框，如图 2.3.7 所示。图 2.3.7*Apply different background color：使用不同的背景颜色。勾选该项后，程序会按下面

15、Fist record at offset 框中设置的起始偏移位置和 Record size in bytes 框中设置的间隔记录大小字节数对显示内容使用不同的背景颜色，以便于用户区分。10*Relative record offsets：使用相对记录偏移。勾选该项后，程序会以下面 Fistrecord at offset 框中设置的起始偏移位置为相对偏移 0，该偏移 0 后的字节偏移都以该偏移 0 位置为基准。*Fist record at offset：起始偏移位置，十六进制。根据勾选项的不同，做为使用不同背景颜色的起始偏移，或做为相对偏移 0 的位置。*Record size in bytes：记录大小，十进制。勾选了使用不同背景颜色项后，每隔这个“记录大小”的字节数，交替更换一次背景颜色。(2) 在“光标当前位置字节值（十进制）”区域单击，会弹出