winhex數(shù)據(jù)恢復(fù)工具使用

Winhex工具使用Winhex工具介紹Winhex是在Windows下運行的十六進制編輯軟件，此軟件功能非常強大，有完善的分區(qū)管理功能和文件管理功能， 能自動分析分區(qū)鏈和文件簇鏈， 能對硬盤進行不同方式不同程度的備份， 甚至克隆整個硬盤； 它能夠編輯任何一種文件類型的二進制內(nèi)容 （用十六進制顯示） 其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任意扇區(qū)，是手工恢復(fù)數(shù)據(jù)的首選工具軟件。數(shù)據(jù)恢復(fù)的分類數(shù)據(jù)恢復(fù)分類：硬恢復(fù)和軟恢復(fù)。所謂硬恢復(fù)就是硬盤出現(xiàn)物理性損傷，那么我們將它修好，同時又保留里面的數(shù)據(jù)或后來恢復(fù)里面的數(shù)據(jù)；所謂軟恢復(fù)，TOC\o"1-5"\h\z就是硬盤本身沒有物理損傷， 而是由于人為或者病毒破壞所造成的數(shù)據(jù)丟失 （比如誤格式化，誤分區(qū)） ，這樣的數(shù)據(jù)恢復(fù)就叫軟恢復(fù)。在此主要介紹軟恢復(fù)，硬恢復(fù)還需要購買一些工具設(shè)備（比如 pc3000,電烙鐵，各種芯片、電路板） 。MBR和EBRMBR，即主引導(dǎo)記錄，位于整個硬盤的 0柱面0磁道1扇區(qū)，共占用了 63個扇區(qū)，但實際只使用了 1個扇區(qū)（512字節(jié)）。在總共 512字節(jié)的主引導(dǎo)記錄中， MBR又可分為三部分：第一部分：引導(dǎo)代碼，占用了 446個字節(jié)；第二部分：分區(qū)表，占用了 64字節(jié)；第三部分： 55AA，結(jié)束標志，占用了兩個字節(jié)。后面我們要說的用 winhex軟件來恢復(fù)誤分區(qū)， 主要就是恢復(fù)第二部分： 分區(qū)表。引導(dǎo)代碼的作用：就是讓硬盤具備可以引導(dǎo)的功能。如果引導(dǎo)代碼丟失，分區(qū)表還在， 那么這個硬盤作為從盤所有分區(qū)數(shù)據(jù)都還在， 只是這個硬盤自己不能夠用來啟動進系統(tǒng)了。 如果要恢復(fù)引導(dǎo)代碼， 可以用 DOS下的命令： FDISK/MBR；這個命令只是用來恢復(fù)引導(dǎo)代碼，不會引起分區(qū)改變，丟失數(shù)據(jù)。另外，也可以用工具軟件，比如 DISKGEN、WINHEX等。但分區(qū)表如果丟失，后果就是整個硬盤一個分區(qū)沒有，就好象剛買來一個新硬盤沒有分過區(qū)一樣。是很多病毒喜歡破壞的區(qū)域。EBR，也叫做擴展 MBR（ExtendedMBR）。因為主引導(dǎo)記錄 MBR最多只能描述4個分區(qū)項，如果想要在一個硬盤上分多于 4個區(qū)，就要采用擴展 MBR的辦法。MBR、EBR是分區(qū)產(chǎn)生的。每一個分區(qū)又由 DBR、FAT1、FAT2、DIR、DATA5部分。Winhex菜單和界面最上面的是菜單欄和工具欄， 下面最大的窗口是工作區(qū)， 現(xiàn)在看到的是硬盤的第一個扇區(qū)的內(nèi)容，以十六進制進行顯示，并在右邊顯示相應(yīng)的 ASCII碼，右邊是詳細資源面板，分為五個部分：狀態(tài)、容量、當(dāng)前位置、窗口情況和剪貼板情況。這些情況對把握整個硬盤的情況非常有幫助。另外，在其上單擊鼠標右鍵， 可以將詳細資源面板與窗口對換位置， 或關(guān)閉資源面板。 （如果關(guān)閉了資源面板可以通過“察看”菜單——“顯示”命令——“詳細資源面板”來打開）。最下面一欄是非常有用的輔助信息，如當(dāng)前扇區(qū) /總扇區(qū)數(shù)目,,等。向下拉拉滾動條， 可以看到一個灰色的橫杠， 每到一個橫杠為一個扇區(qū)， 一個扇區(qū)共512字節(jié)，每兩個數(shù)字為一個字節(jié)，比如 00。使用 Winhex恢復(fù)文件下面列舉一個簡單的例子來說明如何使用 winhex來恢復(fù) NTFS分區(qū)中被刪除的文件的， 為了使這上篇的文章的知識盡量的簡單， 這里所恢復(fù)的條件有這么幾個：1、格式化了一個分區(qū)，所以這個分區(qū)中是沒有任何文件的。2、使用的文件大小小于 1K，所以這個文件在 NTFS分區(qū)的文件記錄中的數(shù)據(jù)屬性中是個常駐屬性。 所以這里不涉及到運行計算的問題， 應(yīng)該最簡單的文件恢復(fù)了，以這個恢復(fù)例子的過程，可以建立一個數(shù)據(jù)恢復(fù)的大體原理了。下面開始。第一：建立一個文本文件

首先格式化預(yù)先準備的分區(qū) G，分區(qū)類型是 NTFS，使用快速格式化。之后，在這個分區(qū)建了一個文本文件，如下圖所示：這個文件很簡單， 內(nèi)容也很少， 保存這個文件后， 然后我們來看看這個文件大小信息，如下圖所示：我們看到， 這個文件大小是 224個字節(jié)，等下恢復(fù)這個文件的時候就可以對比一下了。之后刪除了這個文件，現(xiàn)在，我們看看怎么恢復(fù)這個文件！第二：用 winhex打開分區(qū)我們運行 winhex，然后點擊菜單： 工具 --＞打開磁盤， 來打開 G盤。 如下圖所示：我們可以找到 $MFT這個文件，然后右擊它，然后點擊打開，之后就會打開這個文件 MFT。如下面兩個圖所示：7010-05-2ZZl2010-C6-ZZZl...SK629347820：0-C5221..2010-C6-2221...SX341400201C-CE-2221..201C-C6-2221...SK6291510Z010-CB-?Zl2010-Ce-ZZZl...SK6Z3)?02010-CS-^21..201C-C6-2221...SK2010-05^2221..201CH.6-2221...JIS)2010-C5-2Z212010-C6-2221...SK102415042010-CS-^21...201C-C6-2221...SK02010-06^2221..2010-05-2221...計6L8491220：C-C5221一zoic-ce-zz21...th629J76一鼠分邪際??萬耳濘同 一國吐一3七卜尸。=20)0-05-224.1KB2010-05-22Zl21...<0Styte=2010-08222125KBZ010-05-ZZZlCbyg201C-0S-2221...、U"to=2010-05-2221...313KB2010-05-222t8.CKB201C-OS-2221...52.1MB2U!U-U-221...32.CKB2010-05-2221￡lytes2010-05-2221..2010-CS-2221.??2010-C6-2221...3IM)620144840KBZOJ0-05-ZZ212010-CB-ZZZL2010-€fe-zzZl...SK102414100CUtes2010OS-2221..2010-05^21...2010-C6-2221...SK4.CKB201C-0E-2221.201C-CS-222L...201C-C6-2221...J1TX)10241408257KB2O)0-0b-ZZ2120]0-Cfir2ZZL20W-€fe-ZZZl...CAIS)U85)96812EKD2010-05-2221.2010-CE-^21..2010Ce-2221...SK102421%0by、。=2010-05-2221..201C-C6-2221..201C-C6-2221...SKtxt224bytesZOJO-OSrSZl?ZOJO-Cer?Zl..2010-C6-SZl...A6Z9J5Hg?gb8CKB1024MM??????????????Fooooo1oooooOEoooooAoooooCDO4ooO9oooooFcccooOV2DOO613B1OOOOB000005AooooO3oooooc9mloooco000004￡9￡￡0F9o1631oooA00000c4303800000032Offset文件€_3Exfat?d一派目&_jSy=tcn?Ix.￡crm^tio^JlAttrDef_J3l?ddus」Skd-2u=$3ad[SEitrMp|jEcot)3Lc#1qpm[3NFI:JBitr?

jiNFIMirr_JjSecureJSSecwc：JSDXJjVpCaStt|SVdw?oMlWorldtxt空氏田間二角空間:五fl值的星性於45G0(xl0(l0c5Bc1-oo834ooo1c9oDDo8400004B6D1D0O3O0灰ocoooooooOCOOOOOIO0C0D0002OOCOOOOOSOOCOOOOOIOUC000Q05O幽珈中伴系蘇卷母網(wǎng)空用RTFS2默1、的除￡程式牘：原始DcRAg2765432OOODOAAOOOIAAOOOIOODDOOOOO^oooooccoonvoccooooooooooooo-0004000000四四oo88gF9的oooooooooooooooooooo000080^200889-20000000800000G1EBO061EE000OOOO4-O0nlrOOOOBBOOOOBBOO

00005500005500Ooooooooc3c3oogO0O0C3C3O0CI00008800008800Q004100004440fio8OOOOOAOOO6014-2200342200nooo0045oooooooooooo400000000000oooooooo3oo170000ooooBouugJunVouuTOOQ8uCM300)Bo-uo《Fo-Fo《?Q<Fo-1o《00(1o-34《Jo3ooo54dr49ooo83OODLLDOOOOLLOoooooooooooooOOOAADOO35AAOoooccoooooccolnWQ9921叼町町9910oraoFFJOJaaFFol0002200000220OOOBnDOOOOOEEO004600曲OOOOBBOOOOOBBOO000055000005500olcloDOlscscsoogg18ooc3c3oo24000088000008803000044000004440OD0000150000-ooooooonvoo-000000000000008ooocoo4000000oooooouoooooooIXIoolwooDOlooo0000800ooooooou8800“ooo-000LooF-ooF《gooEloooYu^ln30006Q0050004000011uu8F-0000022000002200804030uOOF-Offset0000000000000010onooon20000000300000004000300050U000006000000070。。加008000(X)0093000000X0OOOOOOBOoooooocoOOOOOODOOOOOOOECiOOOOOOFOoooooiao0000011000000120000001300000014000000150U00Q016J000001700009018000000190驅(qū)動抽：1 SRFTk文件大?。?2.0n32TM宇節(jié)‘有君模式"f.l津囪間??D10-05-2Z2126:17位后夕人時閭:?010-05-222126：17隹后訪問HIM(L)ZUI0-05-222126:17星性SK顯示四(Z：Lire*08:00模式：16進制字符集.酈二ASCIIifi稱如16進制字節(jié)/貝面：45116-720SC*2囹口編號：2剪貼松可用的工件頭：1gGB空陽3CCIME」3H二町~1\LXXLS，\?5這里為什么要這么做呢？因為，我們只需要在 MFT找到我們丟失的文件，如果我們在整個分區(qū)里搜索并且這個分區(qū)很大的話，會要很多時間的，而 MFT文件就小得多了，最大也就 1G左右，這是人為弄出來的，一般系統(tǒng)是很難見到這么大的 MFT文件的，除非你是做服務(wù)器，有很多磁盤碎片和小文件。之后，我們可以點擊菜單中的：搜索 --＞查找文本。如下圖所示：我們輸入我們想要恢復(fù)的文件名 HelloWorld，而且注意，要選擇 Unicode。因為MFT的文件名是 Unicode形式的，之后就是查找了！一會我們就找到了這個文件，如下圖所示：為了能使用 WinHex的顏色，我們轉(zhuǎn)到分區(qū)去看這個文件記錄！首先，我們看到這個文件記錄在 MFT的偏移地址是 7450H，然后我們在 winhex中轉(zhuǎn)到我們分區(qū)的視圖，然后點擊 MFT文件，這樣就偏移到了我們 MFT文件的位置，然后選擇菜單中的：位置 --＞轉(zhuǎn)到偏移位置。然后輸出 7450，位置是從當(dāng)前位置開始！如下圖所示：之后，我們就找到了這個文件記錄，如下圖所示：29，我們看上圖的藍色框，那個是文件記錄的FILE。那么我們怎么知道這是個被刪除的文件呢，一種辦法是直接在文件2字節(jié)為文件