winhex数据恢复入门使用教程.docVIP

4.1 Winhex简介Winhex是X-Ways公司出品的一款十六进制编辑、磁盘编辑软件，其公司网站对其功能介绍如下：*? ? ? ? 可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑*? ? ? ? 支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统*? ? ? ? 可支持重组RAID及动态磁盘*? ? ? ? 附带数据恢复功能*? ? ? ? 可以访问物理内存及虚拟内存*? ? ? ? 内置数据解释器，可以识别解释20种数据类型*? ? ? ? 可以用数据结构模板查看、编辑结构数据*? ? ? ? 可以分割与合并文件*? ? ? ? 可以对文件进行分析与对比*? ? ? ? 具有灵活的搜索和替换功能*? ? ? ? 可以对磁盘进行克隆*? ? ? ? 可对磁盘进行压缩镜像备份，支持对备份文件进行分卷处理*? ? ? ? 具有编程接口，支持脚本操作*? ? ? ? 支持256位加密、校验和、CRC32、hash（MD5，SHA-1）计算*? ? ? ? 支持对磁盘进行数据安全销毁*? ? ? ? 包含ANSI ASCII, IBM ASCII, EBCDIC, Unicode字符集*? ? ? ? 支持文件大小超过4GB 4.2 软件的获取与安装读者可以在网络上搜索提供下载Winhex的网站，或直接到其公司网站 HYPERLINK \t _blank 下载试用版或购买正版。Winhex的安装与普通软件安装没有区别，以在Windows XP下为例，双击Setup.exe程序即可开始安装过程。如图4.1所示。 图4.1程序默认的安装路径是C:\Program Files\WinHex，当然也可以自行选择安装到其他位置。可以选择语言种类，不过用以选择中文的Chinese按钮处于灰色不可选状态，应该是尚不支持中文。用户可以选择其它语言，默认语言是英文。确定安装位置无误后，点击OK按钮，程序会弹出一个询问框，询问是否确定将程序安装到所选位置。如图4.2所示。 图4.2如果要对安装位置重新选择，可以按“否”按钮回到原界面进行设置。否则按“是”按钮继续安装。程序随即会弹出询问框询问是否要建立快捷方式。如图4.3所示。点击按钮“是”，程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。 图4.3最后，程序提示安装完毕，询问是否运行程序。如图4.4所示。 图4.4点击“是”按钮，程序即开始运行。如果不想立即运行程序，可以点击“否”按钮，在使用程序时从开始菜单中启动程序。 4.3软件使用4.3.1　启动软件以Winhex15.1为例，第一次运行程序，程序会给出一个设置窗(如图5所示)，有两个可选项：*? ? ? ? Write protection by default：设置写保护，即只可以对打开的对象进行查看，不可以进行修改；*? ? ? ? Computer forensics interface：如果要使用取证界面，则应该勾选项。我们是要使用底层分析及数据恢复功能，所以不需要在这个设置窗中进行任何设置，直接点击OK按钮即可，这样运行的程序默认允许对打开的对象进行读写操作。 图4.5程序运行后的界面如图4.6所示。现在还只是一个空的程序主界面，可以在这个界面中选择所需的各种功能。 图4.64.3.2　打开对象要对一个对象进行底层分析，首先要将其打开。下面我们以打开一个磁盘后的界面来介绍一下Winhex的十六进制编辑窗口。在Winhex主界面中打开一个磁盘可以有三种方式：1．点击工具栏中的 按钮。2．按键盘上的F9键。3．点击菜单Tools→Open Disk，如图4.7所示。 图4.7无论使用哪用方法，都会弹出磁盘选择框，如图4.8所示。 图4.8在磁盘选择框中，磁盘以两种形式分组，上面的一组是“逻辑磁盘”，下面的一组是“物理”磁盘。我们可以简单地理解“逻辑磁盘”就是我们在“我的电脑”界面中看到的一个个的分区，它们存在于物理磁盘中。打开逻辑磁盘和打开物理磁盘的区别在于：*? ? ? ? 打开逻辑磁盘时Winhex使用该分区内的文件系统参数遍历整个分区，可以从文件系统层解释分区内的数据；*? ? ? ? 打开物理磁盘时，Winhex不以任何文件系统为基础，只是简单地将整个磁盘的内容以十六进制的形式展现在我们面前。由于我们目前尚未接触到文件系统知识，所以在此我们不对此进行详细的介绍，在后面学习到文件系统的知识后自然会理解。图4.9可以帮助大家理解一下物理磁盘和逻辑磁盘的关系。 图4.94.3.4　界面布局现在我们打开物理磁盘中