返回
winhex数据恢复工具使用.doc

winhex数据恢复工具使用.doc

ID:50537200

大小:1.50 MB

页数:12页

时间:2020-03-10

winhex数据恢复工具使用.doc_第1页
winhex数据恢复工具使用.doc_第2页
winhex数据恢复工具使用.doc_第3页
winhex数据恢复工具使用.doc_第4页
winhex数据恢复工具使用.doc_第5页
资源描述:

《winhex数据恢复工具使用.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Winhex工具使用一、Winhex工具介绍Winhex是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。二、数据恢复的分类数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据;所谓软恢复,

2、就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),这样的数据恢复就叫软恢复。在此主要介绍软恢复,硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板)。三、MBR和EBRMBR,即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们

3、要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK/MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。EBR,也叫

4、做扩展MBR(ExtendedMBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。MBR、EBR是分区产生的。每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分。四、Winhex菜单和界面最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在

5、其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目……等。向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节, 每两个数字为一个字节,比如00。一、使用Winhex恢复文件下面列举一个简单的例子来说明如何使用winhex来恢复NTFS分区中被删除的文件的,为了使这上篇的文章的知识尽量的简单,这里所恢复的条件有这么几个:1、格式化了一个

6、分区,所以这个分区中是没有任何文件的。2、使用的文件大小小于1K,所以这个文件在NTFS分区的文件记录中的数据属性中是个常驻属性。所以这里不涉及到运行计算的问题,应该最简单的文件恢复了,以这个恢复例子的过程,可以建立一个数据恢复的大体原理了。下面开始。第一:建立一个文本文件首先格式化预先准备的分区G,分区类型是NTFS,使用快速格式化。之后,在这个分区建了一个文本文件,如下图所示:这个文件很简单,内容也很少,保存这个文件后,然后我们来看看这个文件大小信息,如下图所示:我们看到,这个文件大小是224个字节,等下恢复这个文件的

7、时候就可以对比一下了。之后删除了这个文件,现在,我们看看怎么恢复这个文件!第二:用winhex打开分区我们运行winhex,然后点击菜单:工具-->打开磁盘,来打开G盘。如下图所示:我们可以找到$MFT这个文件,然后右击它,然后点击打开,之后就会打开这个文件MFT。如下面两个图所示:这里为什么要这么做呢?因为,我们只需要在MFT找到我们丢失的文件,如果我们在整个分区里搜索并且这个分区很大的话,会要很多时间的,而MFT文件就小得多了,最大也就1G左右,这是人为弄出来的,一般系统是很难见到这么大的MFT文件的,除非你是做服务器

8、,有很多磁盘碎片和小文件。之后,我们可以点击菜单中的:搜索-->查找文本。如下图所示:我们输入我们想要恢复的文件名HelloWorld,而且注意,要选择Unicode。因为MFT的文件名是Unicode形式的,之后就是查找了!一会我们就找到了这个文件,如下图所示:为了能使用WinHex的颜色,我们转到分

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。