winhex数据恢复入门教程

Winhex是X-Ways公司出品的一款十六进制编辑、磁盘编辑软件，其公司网站对其功能介绍如下：

4.2 软件的获取与安装 读者可以在网络上搜索提供下载Winhex的网站，或直接到其公司网站www.winhex.com下载试用版或购买正版。 Winhex的安装与普通软件安装没有区别，以在Windows XP下为例，双击Setup.exe程序即可开始安装过程。如图4.1所示 图4.1 程序默认的安装路径是C:\Program Files\WinHex，当然也可以自行选择安装到其他位置。 可以选择语言种类，不过用以选择中文的Chinese按钮处于灰色不可选状态，应该是尚不支持中文。用户可以选择其它语言，默认语言是英文。 确定安装位置无误后，点击OK按钮，程序会弹出一个询问框，询问是否确定将程序安装到所选位置。如图4.2所示。 如果要对安装位置重新选择，可以按“否”按钮回到原界面进行设置。否则按“是”图4.2 如果要对安装位置重新选择，可以按“否”按钮回到原界面进行设置。否则按“是”按钮继续安装。 程序随即会弹出询问框询问是否要建立快捷方式。如图4.3所示。点击按钮“是”，程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。 图4.3 最后，程序提示安装完毕，询问是否运行程序。如图4.4所示。 图4.4 点击“是”按钮，程序即开始运行。如果不想立即运行程序，可以点击“否”按钮，在使用程序时从开始菜单中启动程序。 4.3软件使用 4.3.1　启动软件 以Winhex15.1为例，第一次运行程序，程序会给出一个设置窗(如图5所示)，有两个可选项：

我们是要使用底层分析及数据恢复功能，所以不需要在这个设置窗中进行任何设置，直接点击OK按钮即可，这样运行的程序默认允许对打开的对象进行读写操作。 图4.5 程序运行后的界面如图4.6所示。现在还只是一个空的程序主界面，可以在这个界面中选择所需的各种功能。 图4.6 4.3.2　打开对象 要对一个对象进行底层分析，首先要将其打开。下面我们以打开一个磁盘后的界面来介绍一下Winhex的十六进制编辑窗口。 在Winhex主界面中打开一个磁盘可以有三种方式： 1．点击工具栏中的 按钮。 2．按键盘上的F9键。 3．点击菜单Tools→Open Disk，如图4.7所示。 图4.7 无论使用哪用方法，都会弹出磁盘选择框，如图4.8所示。 图4.8 在磁盘选择框中，磁盘以两种形式分组，上面的一组是“逻辑磁盘”，下面的一组是“物理”磁盘。我们可以简单地理解“逻辑磁盘”就是我们在“我的电脑”界面中看到的一个个的分区，它们存在于物理磁盘中。 打开逻辑磁盘和打开物理磁盘的区别在于：

由于我们目前尚未接触到文件系统知识，所以在此我们不对此进行详细的介绍，在后面学习到文件系统的知识后自然会理解。图4.9可以帮助大家理解一下物理磁盘和逻辑磁盘的关系。 图4.9

4.3.4　界面布局 现在我们打开物理磁盘中的HD0，并以它为例对打开后的界面进行介绍。请看图4.10。 图4.10 1．菜单栏 菜单栏集合了程序提供的所有功能入口。 2．案件数据 主要用于取证，可以将一个磁盘装入到案件数据框中查看数据、进行取证记录等。这个功能在数据恢复中并不常用，可以通过勾选菜单栏中的View→Show→Case Data选项控制它的显 图4.11 3．目录浏览器 根据打开磁盘方式的不同，目录浏览器内显示的内容会有所不同：

是否显示目录浏览器可以通过View→Show→Directory Browser控制。 4．数据解释器 数据解释器是一个浮动窗口，可以在屏幕窗口中任意拖拽到任何位置。是否显示数据解释器由View→Show→Data Interpreter控制。 当鼠标指针位于十六进制区或文本字符区时，数据解释器可以很方便地将鼠标指针当前所处位置的字节（或字符区的字符在十六进制区的对应字节）及向后若干个字节的十六进制数解释成十进制数、八进制数或同步显示十六进制数。可以在数据解释器窗口中右击，在弹出的快捷菜单中进行相应的设置。快捷菜单如图4.12所示。 图4.12 (1) Options：点击该选项（或在数据解释器窗口左半部分双击）会弹出数据解释设置框（如图4.13所示），可以在设置框中通过多选形式设置要在数据解释器中显示的内容、性质及类型。默认情况下数据解释器将十六进制解释为十进制，如勾选“8bit，signed”会在数据解释器中显示指针所处位置的这一个字节的十进制值，“signed”表示有符号，即数值有正负之分。如果选择了“8bit，unsigned”，数据解释器会将指针当前所在位置的字节解释成无符号的数值，即只将其当做正数。 数据解释设置框中还可以设置数据解释的精度，设置解释成各种时间值，设置按Big-Endian顺序解释多字节数值（默认以Little-Endian解释多字节数值）等。 图4.13 (2) Big Endian：点击该选项会在其前面显示对勾，表示以Big Endian顺序解释多字节数值（同样的设置功能在数据解释设置框中也有，直接将其放入快捷菜单中是为了便于使用）。在选项被勾选的情况下再次点击它，就会重新回到Little Endian解释状态。 (3) Hexadecimal：点击该选项会在其前面显示对勾，表示将数值显示为十六进制（默认解释为十进制）。再次点击它，就会回到解释为十进制状态。 (4) Octal：解释为八进制，该选项的使用方法与前两个选项相同。 5．工具栏 工具栏集合了一些常用功能的快捷图标。是否显示工具栏可以通过View→Show→Toolbar控制。随后我们会对工具栏进行专门的详细介绍。 6．对象卡 对象卡用于标识当前打开的对象窗口。是否显示对象卡可以通过是否勾选View→Show→Tab Control控制。在对象卡上右击会弹出关闭窗口快捷菜单，可通过该菜单关闭当前选项卡标识的对象窗口。 7．详细面板 详细面板用以显示当前活动窗口对象的详细信息，是否显示详细面板可以通过是否勾选View→Show→Details Panel控制。 根据打开对象的不同，详细面板显示的内容会有所不同。 打开一个物理磁盘时，详细面板会显示该物理磁盘的型号（Model）、序列号（Serial No）、固件版本（Firmware Rev）、当前编辑模式、当前状态（磁盘内容是否经过修改）、总容量、每扇区字节数、当前位置所属分区号、在分区中的扇区号、当前指针所在区域（十六进制区/文本区）、字符集、偏移坐标表示形式等一系列信息。 打开一个逻辑磁盘时，详细面板会显示该逻辑分区在物理磁盘上的分区号、空闲百分比、文件系统类型、编辑模式、状态、当前簇号、当前扇区所属文件、当前扇区物理扇区号、当前扇区逻辑扇区号、分区已用空间、分区空闲空间、总容量、每簇扇区数、空闲簇数、总簇数、每扇区字节数等信息。 8.偏移纵坐标 与偏移横坐标配合，唯一地标识十六进制区域中每个字节的偏移地址。在偏移纵坐标区内单击，可以使偏移坐标的表示形式在十进制和十六进制间进行转换。 9．偏移横坐标 与偏移纵坐标配合，唯一地标识十六进制区域中每个字节的偏移地址。 10．十六进制区 以十六进制形式表示磁盘上的存储内容，是主要的工作区域。 11．文本字符区 根据选择的字符集，以文本字符形式显示磁盘上的内容。 12．当前扇区号/总扇区数 显示当前光标所在的的扇区号以及整个磁盘的总扇区数。在该区域单击会弹出“转到扇区”对话框。在该区域右击则会弹出拷贝当前扇区号或总扇区数快捷菜单。如图4.14所示。 图4.14 13．光标当前位置偏移值及当前字节十进制值 标明光标当前位置的偏移值以及由当前字节开始的若干个字节的十进制值。 (1) 在偏移值部分单击会弹出转到偏移量对话框；在偏移值部分右击会弹出一个快捷菜单，如图4.15所示。 右键快捷菜单中，提供了拷贝光标当前位置偏移量的十进制值和十六进制值的菜单项，还提供了一个相对记录偏移菜单项Relative record offsets，点击该菜单项会弹出设置对话框， 图4.16

(2) 在“光标当前位置字节值（十进制）”区域单击，会弹出十进制解释器设置框，如图4.17所示。 十进制解释器设置框用于设置将光标当前所在位置开始的几个字节解释为十进制数值，以及将其做为有符号还是无符号数值进行解释。例如，设置为8bit,unsigned将光标当前所在位置的这一个字节当做无符号数解释为十进制。如果设置为32bit,unsined，则将光标当前所在位置开始的4个字节做为无符号数解释为十进制值。 我们进行如下设置：

图4.18为设置后的界面结果，我们可以看到虽然实际上光标的位置并没有移动，但“光标所在位置偏移量”处的值发生了变化，因为现在以0x21字节处为相对偏移0，光标现在恰好处于这个位置，所以它的偏移位置为0。 同样，“光标当前位置字节值（十进制）”处的值也发生了变化，因为原来解释器解释的是1个字节，现在解释的是4个字节。 外，当设置了使用相对记录偏移后，在偏移值区域右击时弹出的快捷菜单中将增加一个“Absolute offsets”菜单项（见图4.19），它用于快速将“使用相对记录偏移”重新设置为“使用比对偏移”，即以磁盘的偏移0为偏移基准。 还有一点，选择了使用相对记录偏移后，“当前扇区/总扇区数”部分将变成“当前记录号/总记录数”，单击该区域时也会相应弹出“转到记录”对话框。如图4.20所示。 14．当前选块起/止偏移值及选块大小字节 如果选择了选块，会在这个位置显示选块的范围及选块的大小字节数。如图4.21所示，选块起始于偏移0x21，结束于0x30，所以选块范围显示是“21-30”；共0x10个字节，所以选块大小字节数部分显示“10”。 图4.21 在“当前选块起/止偏移值及选块大小字节”区域内单击，会弹出定义选块对话框，如图4.22所示。 图4.22 (1) Beginning：选块开始偏移。可以直接输入偏移值，也可以在后面的选项框中选择一个选项对应的对象做为选块起始位置，如图4.23所示。

图4.23 (2) End：选块结束偏移。可以直接输入偏移值，也可以在后面的选项框中选择一个选项对应的对象做为选块结束位置，其选项内容与选项含义与定义选块起始位置相同。 4.3.5　工具栏详解 1． ：新建文件 用于新建一个RAW文件（也可以通过菜单File→New或快捷键Ctrl+N实现同样的功能）。点击该图标会弹出创建新文件对话框，如图4.24所示。可以通过在对话框中输入数值并选择单位（Bytes/KB/MB/GB）来创建一个新的文件。新建的文件会被程序直接打开，在对其进行保存前只存在于内存中。注意不要创建太大的文件，否则可能会造成资源耗尽。

图4.24 2． ：打开文件 “打开文件”的菜单功能位于File→Open，快捷键Ctrl+O。用于打开一个已经存在的文件，Winhex程序打开文件时不关心它的文件类型，只是以十六进制形式打开它。 3． ：保存 新建了一个文件，或对一个已经存在的文件或磁盘内容进行修改后，该按钮将处于活动状态，用于对未保存的内容进行保存。 4． ：打印 用于发送打印指令。 5． ：文件属性 用于对一个文件的大小、时间信息等进行编辑，如图4.25所示。编辑完成后按回车键，程序将提示编辑结果立即生效，如图4.26所示。

图4.25

图4.26

.6. ：打开文件夹 用于同时打开一个文件夹下的多个文件。点击后弹出图4.27所示的文件夹选择窗口。

图4.27

7 ：撤销 用以撤销刚进行的操作。比如对某个字节进行了修改后，想撤销修改，可以点击该按钮。 8. ：复制选块 用以将选中的选块复制到剪贴板。该功能并不是太方便，我们将在后面介绍更为实用和方便的右键快捷菜单。 9. ：写入选块 将剪贴板中的内容从指定当前所在位置写入。同样，我们建议使用后面介绍到的右键快捷菜单中的相同功能。 10. ：转换文件 只对打开的文件有效。点击后弹出转换选择框，如图4.28所示，可以在转换选择框中选择需要进行的转换。

图4.28 11. ：修改数据 用于对选块选或文件数据进行各种处理，可以用来对数据进行简单的加密。点击该按钮后将弹出修改数据设置框，如图4.29所示。

图4.29

² 通过是否勾选后面的“hexadec”控制设定输入框中的值是十进制还是十六进制。 ² 点击Integer type后的 按钮，可以弹出整数类型选择框（如图4.30所示），用于设定选块或文件中数据的单位长度，假设有一个数值0x940239F1C2040001，以Little-endian顺序存储在磁盘上为“01 00 04 C2 F1 39 02 94”加“1”为例，如果选择“8bit,signed”表示将“01 00 04 C2 F1 39 02 94”的每个字节做为一个单位长度，即每个字节加“1”，变成“02 01 05 C3 F2 3A 03 95”；如果选择“16bit,singned”则将“01 00 04 C2 F1 39 02 94”的每两个字节做为一个单位长度，将每个单位长度的数值加“1”，即将原数据分解成“0100”、“04C2”、“F139”、“0294”后对每个数值进行加“1”处理，因为是Little-endian存储顺序，所以每个单位的数值分别变为“0200”、“05C2”、“F239”和“0394”，即原数值在磁盘上的存储形式变为“02 00 05 C2 F2 39 03 94”。

图30 ² Excess of integer type range部分用于设置当相加后的结果超出Integer type中设定的整数类型能够表示的数值大小范围时如何处理。以在integer type中选择了“8bit,unsigned”为例（可表示的数值范围是0～255），将0xFE（十进制为254）加“2”，由于254＋2＝256，超出了8bit可表示的最大值范围，如果选择“No,use limit as new value”，即不允许超出，而是将可表示的最大值做为结果，则计算结果为0xFF；如果选择了“Allowed”，则计算方式是将超出了最大表示范围的结果值减去可表示的最大值，即256－255＝1，结果为1。同样，如果计算结果小于0时，选择“No,use limit as new value”则将0做为结果；选择“Allowed”将计算后小于0的结果加上可以表示的最大值。 ² 如果要将通过Add处理后的结果回复原状态，使用同样的设置减去原来加上的值即可。

图4.31 12. ：查找文本 用于查找文本字符（对汉字搜索支持不好）。点击后弹出查找文本对话框，如图4.32所示。

图4.32

：查找十六进制值 用于查找指定的十六进制值。点击后弹出查找十六进制对话框，如图4.33所示。

图4.33 相找十六进制对话框内的设置与查找文本对话框基本相同，不同的只是输入搜索的内容为十六进制值，而不再是文本。另外就是通配符要使用一个十六进制值，而不能使用文本。 14. ：替换文本 用于搜索指定的文本内容，并将其替换为设定的文本。如果点击该按钮后弹出图4.34所示的“Only available in-place edit mode”提示框，说明当前操作对象要求程序处于in-place模式才可以运行。这时，可以点击菜单Options→Edit Mode(如图4.35所示)，在弹出的模式选择框中选择“In-place Mode (=editable)”选项(如图4.36所示)。

图4.34

图4.35

图4.36 点击替换文本按钮后会弹出替换文本对话框，如图4.37所示。

图4.37

图4.38

：替换十六进制值 用法与替换文本相同，只是该功能用于搜索和替换十六进制值。 16. ：同时搜索文本 用于同时搜索两个以上文本对象。Winhex可以设置同时搜索两个以上文本对象，这在有多个对象需要搜索时非常有益。对于相互间没有关联的若干个文本对象，可以在一次搜索过程中完成对它们的搜索；对于某个搜索对象，如果由两个以上文本对其进行限定，使用“同时搜索”功能就可以大大增加搜索的精确度。 大多数选项与前面介绍的其他搜索设置相同，我们只介绍几个该搜索功能特有的选项，如图4.39所示。

图4.39

：转到某偏移量 用于将光标跳转到某偏移量位置。点击后弹出跳转到偏移量对话框，如图4.40所示。

图4.40

：转到某扇区 跳转到某个指定的扇区。根据打开的对象不同，界面输入框也略有不同――如果打开的是物理磁盘，则只可以输入扇区号（或输入三维在址号）；如果打开的是一个可支持的逻辑磁盘，则既可以输入扇区号，也可以输入簇号（Cluster，簇号将在文件系统部分介绍）。如图4.41所示。

图4.41 19. ：到上一个位置 回到前一个采样位置。 20. ：到下一个位置 回到下一个采样位置。 21. ：打开磁盘 打开一个物理或逻辑磁盘。 22. ：克隆磁盘 用于无压缩的扇区级磁盘克隆，将在后面进行详细介绍。 23. ：打开内存 Winhex支持直接对内存进行编辑，点击后将弹出编辑内存选择框，可以在选择框中选择要进行编辑的内存。如图4.44所示。

图4.44 24. ：计算器 调用计算器。 25. ：磁盘或选块分析 用于计算被分析对象中各个值出现的次数及占用的百分比等。 26. ：常规设置 用于设置程序的一些常规属性，将在后面专门进行介绍。 27. ：减少一列 每点击一次就会将界面中十六进制窗口显示的列数减少一列。 28. ：增加一列 每点击一次就会将界面中十六进制窗口显示的列增加一列。 29. ：重新获取卷快照 Winhex可以对卷进行快照，即记录卷中的管理信息。当卷发生改变后可以点击该按钮重新获取卷的快照。 30. ：目录浏览器设置 用于设置目录浏览器的一些属性。 31. ：帮助 用于调用帮助文件。 4.3.6常规设置 常规设置用于对Winhex程序中的一些常规属性进行设置，如程序启动反应、可运行程序数量、是否更新文件时间等。 点击工具栏的常规设置按钮 ，或选择菜单项Otions→General，或者按快捷键F5都可以调出常规设置对话框，如图4.45所示。

图4.46 ² 打开文件按钮Open Flie：用于打开一个文件。 ² 打开磁盘按钮Open Disk：用于打开一个磁盘。 ² 打开内存按钮Open RAM：用于打开内存。 ² 打开文件夹按钮Open Foldder：用于打开一个文件夹。 ² 最近打开的对象列表：用于显示最近打开过的对象，列表中可显示的最多数量由设置对话框中第二行的 项决定，用户可以自行设定可显示的对象最多数量。 ² 脚本列表：显示可用的脚本，属于高级功能，用户可以自行编写脚本，以实现更为强大而细腻的功能。脚本编写完毕并放入相应的目录后，将会在该列表中显示。 u Restore last Window arrangement：选中该项后，如果在关闭Winhex程序前没有将打开状态下的磁盘、文件或其他对象窗口关闭，重新运行Winhex程序时会自动打开这些对象，并保持上次关闭时该对象的状态。 2. Items in Windows context menu 在Windows上下文菜单中显示菜单条目。勾选该项后，将会在Windows中右击一个文件夹或文件时分别显示Open Folder in WinHex或Open in WinHex。如图4.47、图4.48所示。

图4.47

图4.48 3. Allow multiple program instances 允许多个程序实例。如果不勾选该项，在同一时刻只能运行一个Winhex程序。勾选该项后，可以同时运行多个Winhex程序。这个功能非常实用，假如用户正在用一个Winhex程序进行搜索或恢复数据，可以同时打开另一个Winhex程序对某个磁盘或文件进行分析。 4. Do not update file time 禁止更新文件时间。如果勾选了该项，在Winhex中对某个文件进行修改并保存后，文件的最后修改时间将保持上次修改时的时间值。如果不勾选该项，时间值将会修改为当前时间值。如图4.49所示，勾选该项后，对U.nrg文件进行修改并保存后，时间值仍然保持上次的修改时间值2009年12月1日；而不勾选该项再次对u.nrg文件修改并保存后，它的修改时间被设置为当前时间2009年12月25日。

图4.49 5. Open data windows maximized 打开数据窗口时最大化。勾选后，打开一个对象时，该对象窗口将最大化显示。 6. WinHex context menu WinHex上下文菜单。勾选后，在打开的对象窗口中右击，会弹出右键快捷菜单，可以利用该菜单设定选块的起始结束位置、调出下一级编辑菜单等。如图4.50所示。

图4.50 7. Show file jcons 显示文件图标。如果勾选了该项，打开某个文件时，Winhex会在详细面板中显示该类文件的图标。 8. Number partitions by disk location 根据物理位置列出分区及对分区进行编号。勾选该项后，在打开一个物理磁盘时，如果该磁盘上存在分区，程序会按每个分区在磁盘上的物理前后位置显示它们并为它们编号，而不是用为它们分配的盘符顺序排列。如图4.51所示。

图4.51 9. Auto-detect deleted pqrtitions 自动检测被删除的分区。勾选后，打开一个物理磁盘时，程序会自动检测磁盘中被删除的分区。我们将一个磁盘的第三个分区删除（如图4.52所示），用Winhex打开物理磁盘后，Winhex可以自动识别到它，并将其标记为“lost”。如图4.53所示。

图4.52

图4.53 10. Sector reading cache 将读取的扇区保存在缓存中。该选项对于在Winhex窗口上下拉动查看光盘或软盘内容时很有用，如果每次拉动查看都去直接读取光盘或软盘，由于它们的访问速度有限，会造成反应迟缓。 11. Check for suplus sectors 检查剩余扇区，勾选该项可能会导致打开磁盘时延时较长。 12. Aternative disk access method 设置硬盘的访问方式，可以设定可读取非标准硬盘以及遇到坏扇区时的读取超时毫秒数。 13. Substitute pattem for unreadable sectors 当某扇区无法正确读取时，用该框中预先设置的内容对其进行填充，默认是“UNREADABLESECTOR”,即“无法读取的扇区”。 14. Folder for temporary files 临时文件目录，默认为“C:\Documents and Settings\“用户名”\Local Settings\Temp”,可以自行修改至其它位置。 15. Folder for images and backup files 镜象及备份文件存放路径，默认为“C:\Documents and Settings\“用户名”\Local Settings\Temp”,可以自行修改至其它位置。 16. Folder for cases and projects 案件及方案存放路径，默认位于程序安装目录内，可自行设置到其他位置。 17. Folder for scripts 脚本存放路径，默认位于程序安装目录内，可自行设置到其他位置。 18. Gallery:Show pictures in archives 在文档中显示图片。根据版本的不同，该功能可能会有所不同。 19. Show video preview pictures 显示图片预览。根据版本的不同，该功能可能会有所不同。 20. Windows-styled progress bar Windows样式进度条。用以设置进度条的样式，勾选后会使用Windows样式。 21. Display time zone 时区设置。点击后会弹出时区设置选择框（见图4.54），可以在选择框中选择适当的时区。

图4.54 22. Generate 0x…with Enter 如果勾选了该项并在设置框中设置了某十六进制数值，那么当按下回车键时，程序会由当前光标所在位置写入设置框中所设置的内容。 23. Generate Tabsb with Tab key 不勾选该项，Tab键用于使光标在十六进制区和文本区进行跳转；勾选该项后按Tab键将会在光标当前位置写“09”。 24.