winhex数据恢复工具使用

精品文档 1欢迎下载 WinhexWinhex 工具使用工具使用 一 一 WinhexWinhex 工具介绍工具介绍 Winhex 是在 Windows 下运行的十六进制编辑软件 此软件功能非常强大 有完善的分区管理功能和文件管理功能 能自动分析分区链和文件簇链 能对 硬盘进行不同方式不同程度的备份 甚至克隆整个硬盘 它能够编辑任何一种 文件类型的二进制内容 用十六进制显示 其磁盘编辑器可以编辑物理磁盘或 逻辑磁盘的任意扇区 是手工恢复数据的首选工具软件 二 二 数据恢复的分类数据恢复的分类 数据恢复分类 硬恢复和软恢复 所谓硬恢复就是硬盘出现物理性损伤 那么我们将它修好 同时又保留里面的数据或后来恢复里面的数据 所谓软恢 复 就是硬盘本身没有物理损伤 而是由于人为或者病毒破坏所造成的数据丢 失 比如误格式化 误分区 这样的数据恢复就叫软恢复 在此主要介绍软恢复 硬恢复还需要购买一些工具设备 比如 pc3000 电烙 铁 各种芯片 电路板 三 三 MBRMBR 和和 EBREBR MBR 即主引导记录 位于整个硬盘的 0 柱面 0 磁道 1 扇区 共占用了 63 个扇区 但实际只使用了 1 个扇区 512 字节 在总共 512 字节的主引导记录 中 MBR 又可分为三部分 第一部分 引导代码 占用了 446 个字节 第二部 分 分区表 占用了 64 字节 第三部分 55AA 结束标志 占用了两个字节 后面我们要说的用 winhex 软件来恢复误分区 主要就是恢复第二部分 分区表 引导代码的作用 就是让硬盘具备可以引导的功能 如果引导代码丢失 分区表还在 那么这个硬盘作为从盘所有分区数据都还在 只是这个硬盘自己 不能够用来启动进系统了 如果要恢复引导代码 可以用 DOS 下的命令 FDISK 精品文档 2欢迎下载 MBR 这个命令只是用来恢复引导代码 不会引起分区改变 丢失数据 另外 也可以用工具软件 比如 DISKGEN WINHEX 等 但分区表如果丢失 后果就是整个硬盘一个分区没有 就好象刚买来一个 新硬盘没有分过区一样 是很多病毒喜欢破坏的区域 EBR 也叫做扩展 MBR Extended MBR 因为主引导记录 MBR 最多只能描述 4 个分区项 如果想要在一个硬盘上分多于 4 个区 就要采用扩展 MBR 的办法 MBR EBR 是分区产生的 每一个分区又由 DBR FAT1 FAT2 DIR DATA 5 部分 四 四 WinhexWinhex 菜单和界面菜单和界面 最上面的是菜单栏和工具栏 下面最大的窗口是工作区 现在看到的是硬盘的 第一个扇区的内容 以十六进制进行显示 并在右边显示相应的 ASCII 码 右 边是详细资源面板 分为五个部分 状态 容量 当前位置 窗口情况和剪贴板情况 这些情况对把握整个硬盘的 情况非常有帮助 另外 在其上单击鼠标右键 可以将详细资源面板与窗口对换位置 或关闭资 源面板 如果关闭了资源面板可以通过 察看 菜单 显示 命令 详细资源面板 来打开 最下面一栏是非常有用的辅助信息 如当前扇区 总扇区数目 等 向下拉拉滚动条 可以看到一个灰色的横杠 每到一个横杠为一个扇区 一个 扇区共 512 字节 每两个数字为一个字节 比如 00 精品文档 3欢迎下载 五 五 使用使用 WinhexWinhex 恢复文件恢复文件 下面列举一个简单的例子来说明如何使用 winhex 来恢复 NTFS 分区中被删 除的文件的 为了使这上篇的文章的知识尽量的简单 这里所恢复的条件有这 么几个 1 格式化了一个分区 所以这个分区中是没有任何文件的 2 使用的文件大小小于 1K 所以这个文件在 NTFS 分区的文件记录中的数据属 性中是个常驻属性 所以这里不涉及到运行计算的问题 应该最简单的文件恢 复了 以这个恢复例子的过程 可以建立一个数据恢复的大体原理了 下面开始 第一 建立一个文本文件 首先格式化预先准备的分区 G 分区类型是 NTFS 使用快速格式化 之后 在 这个分区建了一个文本文件 如下图所示 精品文档 4欢迎下载 这个文件很简单 内容也很少 保存这个文件后 然后我们来看看这个文件大 小信息 如下图所示 精品文档 5欢迎下载 我们看到 这个文件大小是 224 个字节 等下恢复这个文件的时候就可以对比 一下了 之后删除了这个文件 现在 我们看看怎么恢复这个文件 第二 用 winhex 打开分区 我们运行 winhex 然后点击菜单 工具 打开磁盘 来打开 G 盘 如下图所 示 精品文档 6欢迎下载 我们可以找到 MFT 这个文件 然后右击它 然后点击打开 之后就会打开这个 文件 MFT 如下面两个图所示 精品文档 7欢迎下载 精品文档 8欢迎下载 这里为什么要这么做呢 因为 我们只需要在 MFT 找到我们丢失的文件 如果我们在整个分区里搜索并 且这个分区很大的话 会要很多时间的 而 MFT 文件就小得多了 最大也就 1G 左右 这是人为弄出来的 一般系统是很难见到这么大的 MFT 文件的 除非你 是做服务器 有很多磁盘碎片和小文件 之后 我们可以点击菜单中的 搜索 查找文本 如下图所示 我们输入我们想要恢复的文件名 HelloWorld 而且注意 要选择 Unicode 因 为 MFT 的文件名是 Unicode 形式的 之后就是查找了 一会我们就找到了这个文件 如下图所示 精品文档 9欢迎下载 为了能使用 WinHex 的颜色 我们转到分区去看这个文件记录 首先 我们看到 这个文件记录在 MFT 的偏移地址是 7450H 然后我们在 winhex 中转到我们分区 的视图 然后点击 MFT 文件 这样就偏移到了我们 MFT 文件的位置 然后选择 菜单中的 位置 转到偏移位置 精品文档 10欢迎下载 然后输出 7450 位置是从当前位置开始 如下图所示 之后 我们就找到了这个文件记录 如下图所示 精品文档 11欢迎下载 我们看图的左边 文件记录号是 29 我们看上图的蓝色框 那个是文件记录的 标识 FILE 那么我们怎么知道这是个被删除的文件呢 一种办法是直接在文 件记录头上看 如上图的红色框 那 2 字节为文件记录偏移 16H 处 0 表示文 件已被删除 1 表示这个文件在使用 2 表示是个目录等等 好 现在我们去查找文件记录中的数据属性 这个属性是 80H 开头 好在 winhex 有这个颜色分类 很容易找到 如上图的橙色框所示 精品文档 12欢迎下载 下面我们集中抽取这个数据属性来分析 如下图所示 我们一个一个来分析框中的内容表示的意思 第一个红色的框表示这是个数据 属性 值是 80H 橙色框 0 表示这是个常驻属性 即这个文件的内容就在这个 文件记录中 如果是 1 就表示这是个非常驻属性 那么我们要获取数据就得从 运行中一个一个的计算获得 这个不在此次讨论范围 蓝色框的 4 个字节表示这个文件的数据大小 E0H 折合十进制就是 224 即这 个文件大小是 224 个自己 记得在前面讲过的吗 上面还有文件大小的截图呢 绿色框的 4 个字节表示这个文件的数据的偏移位置 18H 这个偏移从这个数据 属性的开始位置计算 就是上图中的 80H 位置 这个位置这样计算 75b0H 18H 75c8H 然后 我们就可以由这个数据的偏移位置和大小得到这个文件的数据 如紫色 框表示 最后 我们用鼠标来选择这些数据 选择的数据的颜色会变的 然后点击右键 选择 编辑 复制选项块 植入新文件 如下图所示 精品文档 13欢迎下载 在这里 我们最好就选择另外一个分区 不要在要