购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

3.4 WinHex简介

WinHex是一款非常优秀的磁盘编辑软件,同时也具有数据恢复功能。该软件功能非常强大,有着完善的分区管理和文件管理功能;能自动分析分区链表和文件簇链;并能以不同的方式进行不同程度的备份;具有不同方式的查找、替换功能;能显示和编辑任何一种文件类型的二进制内容(注:以十六进制方式显示);磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任何一个扇区;内存编辑器可以直接编辑内存。

WinHex软件可以在Windows 98、Windows 2000、Windows XP、Windows 2003等平台上运行(注:本书以WinHex 15.1 SR-8汉化版为例)。

3.4.1 安装WinHex

WinHex 15.1 SR-8汉化版只是一文件,文件名为ha_winhex.exe。安装过程非常简单,安装步骤如下:

(1)双击ha_winhex.exe,出现第1个窗口后,单击“下一步( N )>”按钮。

(2)出现“选择安装位置”窗口,目标文件夹选择默认(即C:\Program Files\Winhex),单击“安装( I )”按钮。

(3)出现“正在完成WinHex V15.1 SR-8汉化版安装向导”窗口。单击“完成( F )”按钮,完成WinHex软件的安装过程。

WinHex软件安装完成后,程序图标就会出现在“开始→程序→WinHex”菜单和桌面上。

3.4.2 启动WinHex

双击桌面上的WinHex图标,或者选择“开始→程序→WinHex”即可启动WinHex。第一次启动WinHex后,会弹出“启动中心”窗口,如图3.19所示。

图3.19 “启动中心”对话框

如果以后要启动“启动中心”,可在菜单栏中选择“工具→启动中心( S )…”即可。在“启动中心”窗口上方,有4个按钮,即“Open File”“打开磁盘”“打开RAM内存”“打开文件夹”。也可以直接从“Recently opened:”来选择需要打开的项目。

右边中间的“Cases/Projects:”为用户有选择保留操作成果提供便利条件;右边下方的“Scripts:”是一个批处理脚本编辑系统,可以调用WinHex已经开发并集成的各种函数指令进行编辑。

用户可以通过启动中心来完成对文件、磁盘、内存和文件夹的打开,也可以通过菜单或工具栏上相应按钮来完成。其中,打开磁盘是数据恢复工作中最常用的一项。用户可以在启动中心窗口中选择“打开磁盘”按钮或选择菜单栏上的“工具→打开磁盘( D )…”来打开磁盘。

打开磁盘的方式有两种,即打开“Logical Drive Letters”(逻辑驱动器)和“Physical Media”(物理磁盘);打开逻辑磁盘和物理磁盘的区别如下。

(1)打开逻辑磁盘时,WinHex使用该分区内的文件系统参数来遍历整个分区,可以从文件系统层面解释分区内的数据,即该文件系统的开始扇区为逻辑0号扇区。注:每个逻辑盘都有自己的逻辑0号扇区,该逻辑0号扇区为整个物理盘中的某一扇区,其位置由该分区对应分区表的相对扇区来确定。

(2)打开物理磁盘时,WinHex软件不以任何文件系统为基础,只是简单地将整个物理磁盘的内容以十六进制的形式展现在用户面前,物理磁盘的开始扇区为整个磁盘的逻辑0号扇区,该逻辑0号扇区不同于逻辑盘中的逻辑0号扇区。

3.4.3 WinHex主界面

WinHex主界面由菜单栏、工具栏、目录浏览、细目面板、偏移量纵坐标、偏移量横坐标、十六进制数据编辑区、十六进制数据对应文本区和底边栏等组成。

例3.7 使用WinHex软件打开H盘(注:H盘为素材文件abcd31.vhd附加后产生的虚拟逻辑盘,以下类同),其WinHex主界面如图3.20所示,功能说明如下:

(1)菜单栏:是WinHex所有菜单的集合,由文件菜单、编辑菜单、搜索菜单等组成。

(2)工具栏:是菜单栏各项常用工具按钮的集合。

(3)目录浏览:与用户打开的对象有关;当用户打开一个物理磁盘时,显示磁盘分区情况;当用户打开一个逻辑盘时,显示当前磁盘的当前目录;当用户打开一个文件时,没有目录浏览。

图3.20 WinHex主界面

(4)细目面板:通过细目面板可观察WinHex主界面的系统分布信息。

①用户打开一个物理硬盘时,在细目面板中显示以下信息:

· 硬盘参数:包括硬盘的型号(Model)、序列号(Serial No.)、固件版本号和接口类型。

· 硬盘状态:状态为“原始的”;如果对内容进行修改,这里就会显示“被修改”。此外还有撤销级别(0)、反向撤销(由“n/a”→“键盘输入”)。

· 容量:包括物理硬盘的总容量,每个扇区的字节数,最后的剩余扇区(即指分区完成后,最后没有被分区的扇区数)。

· 分区和相对扇区:在目录浏览中选择分区时,在这里显示分区情况和相对扇区。

· 窗口情况:包括当前窗口号、窗口数、模式、字符集设置情况、偏移地址、每页的字节数。

· 剪贴板情况:包括剪贴板状态、临时文件夹可用大小等等。

例3.8 使用WinHex打开某硬盘,操作步骤:“工具→打开磁盘( D )...”,在弹出的编辑磁盘窗口“Physical Media”下选择要打开的物理硬盘后,“细目面板”如图3.21所示。

图3.21 某物理硬盘的细目面板

硬盘参数如下:

Hard Disk 1:所打开的物理硬盘为1号硬盘;

Model:硬盘型号是IBM-DTLA-305040;

Serial No:硬盘序列号是YJEYJ1Z4292;

Firmware Rev:固件版本号是TW4OA68A;

Bus:硬盘数据总线接口是ATA;

Default Edit Mode(缺省编辑模式);

State:original(状态为原始状态);

Undo level:0(撤销级别为0级);

Undo reverses:(撤销翻页);

Total capacity:物理硬盘容量:38.3GB=41 174 138 880B;

Bytes per sector:每个扇区的字节数为512;

Surplus sectors at end:最后剩余结束扇区有12915个;

Partition:当前光标所在分区,“<1”即当前光标在第1分区前;

Relative sector No.:当前光标在逻辑盘的相对扇区数,“n/a”表示光标在逻辑盘DBR之前,注:DBR在逻辑盘的0号扇区;

Mode:十六进制数据编辑区显示模式,此处为十六进制显示模式;

Character set:十六进制所对应的文本区字符集为ANSI ASCII;

Offsets:偏移量纵坐标和横坐标的显示模式,此处为十六进制显示模式;

Bytes per page:每页显示的字节数,此处是一页显示26行,每行16列,每页显示416字节;

Window#:WinHex所打开的窗口数,此处是打开一个窗口;

No.of windows:当前在第一窗口;

Clipboard:剪切板的情况,此处是可用的;

TEMP folder:临时文件夹的情况,此处是临时文件夹有15.1GB的自由空间。

②当用户打开一个逻辑盘时,在细目面板中显示以下信息:

· 逻辑驱动器、文件系统、卷标;

· 缺省编辑模式、状态、撤销级别(0)、反向撤销(由“n/a”→“键盘输入”);

· 当前光标所在的簇号(如果是光标所在位置是文件,则再显示文件名和文件所在路径)、物理扇区号(即当前光标在整个硬盘中的扇区号)、逻辑扇区号;

· 逻辑盘已使用的空间、自由空间和总容量;

· 逻辑盘中每个簇的扇区数、自由簇数、总簇数、每个扇区的字节数、可使用的扇区数、第一个数据所在扇区号(对于FAT32文件系统而言,该值等于DBR中的每个FAT表占用扇区数×2+保留扇区数;对于NTFS文件系统没有该项)等等。

例3.9 使用WinHex打开H盘,其“细目面板”如图3.22所示。

图3.22 H盘的细目面板

H盘的参数如下:

Drive H:用户打开的逻辑驱动器是H驱动器,有100%的自由空间;

File system:文件系统是FAT32;

Default Edit Mode:缺省编辑模式;

State:状态;

Undo Level:撤销级别,此处为0级;

Undo reverses:反向撤销(由“n/a”→“键盘输入”);

Alloc.of visible drive space;

Cluster No.:当前光标所在簇号,n/a表示当前光标在簇号之前,Boot sector即光标在Boot sector区;

Snapshot taken:2 min.ago获取快照,此处是2分钟之前;

Physical sector No.:当前光标在整个物理盘的扇区号,此处是当前光标在128号扇区;

Logical sector No.:当前光标在逻辑盘的扇区号,此处是0号扇区,即H盘的DBR处;

Used space:已使用的空间占44.0KB(即45 056B);

Free space:自由空间是193MB(即202 330 112B);

Total capacity:H盘总共容量是197MB(即206 569 472B);

Bytes per cluster:每个簇的字节数,此处是2048;

Free clusters:自由簇数,此处是98 794;

Total clusters:总共簇数,此处是98 816;

Bytes per sector:每个扇区的字节,此处是512;

Usable sectors:可用扇区数,此处是395 264;

First data sector:第1个数据扇区号,此处是8192,在FAT32文件系统中,该值=保留扇区数+每个FAT表占用扇区数×FAT表数;

Physical disk:物理硬盘为1号盘;

Display time zone:original显示时间区域为原始;

Mode:十六进制数据编辑区显示模式,此处为十六进制显示模式;

Character set:十六进制数据对应的文本区字符集为ANSI ASCII;

Offsets:偏移量纵坐标和横坐标的显示模式,此处为十六进制显示;

Bytes per page:每页显示的字节数,此处是一页显示34行,每行16列,每页显示544字节;

Window#:WinHex所打开的窗口数,此处是打开一个窗口;

No.of windows:当前在第一窗口。

③当用户打开逻辑盘上的一个文件时,在细目面板中将显示以下信息:

· 文件名、所在盘符、路径、文件大小。

· 缺省编辑模式、状态、撤销级别(0)、反向撤销(由“n/a”→“键盘输入”)。

· 文件建立、最后修改的日期、时间,文件属性等等。

(5)“访问”功能菜单:在编辑窗口的右上角有一个倒三角形的白色按钮,该按钮就是“访问”功能菜单。

①当用户打开一个文件时,没有“访问”功能菜单,只有打开一个物理盘或逻辑盘时,才有“访问”功能菜单。

②当用户打开一个逻辑盘(注:文件系统为FAT32)时,功能菜单如下:

· Boot sector:将光标移动到FAT32_DBR处(即逻辑盘0号扇区)。

· Boot sector(template):用模板显示FAT32_DBR。

· FAT1:将光标移动到FAT1表开始扇区处。

· FAT2:将光标移动到FAT2表开始扇区处。

· Root directory:将光标移动到FAT32根目录开始扇区处,即2号簇的开始扇区处。

· Root directory(template):用模板显示根目录文件名及其属性情况。

· Search directory(up):向前搜索子目录项。

· Search directory(down):向后搜索子目录项。

③当用户打开一个逻辑盘(注:文件系统为NTFS)时,功能菜单如下:

· Boot sector:将光标移动到NTFS_DBR处(即逻辑盘0扇区)。

· Boot sector(template):用模板显示NTFS_DBR。

· Master File Table($MFT):将光标移动到元文件$MFT开始扇区处,并弹出一个显示“元文件$MFT占用簇数和占用段数”的窗口。

· Search File record(up):向前搜索文件记录。

· Search File record(down):向后搜索文件记录。

· Volume slack:将光标移动到卷忽略扇区处即剩余扇区处。

· Template(NTFS FILE Record):弹出一个窗口,用模板显示元文件$MFT当前记录情况。

④当用户打开一个物理盘时,显示该物理盘的分区数和Go To Unpartitionable space;如果物理硬盘有4个分区,则出现4个分区选项,即Partition1(容量、文件系统),Partition2(容量、文件系统),Partition3(容量、文件系统),Partition4(容量、文件系统)和Go To Unpartitionable space。

选择一个选项,例如:选择Partition1(容量、文件系统)功能菜单如下:

· Open:打开Partition1,与在菜单栏中选择“工具→打开磁盘→在Edit Disk中的Logical Drive Letters选择Partition1”所对应的逻辑盘相同。

· Partition table:将光标移动到所选分区的分区表所在扇区。

· Partition table(template):用模板显示分区表。

· Boot sector:将光标移动到所打开分区的DBR所在扇区。

· Boot sector(template):用模板显示分区的DBR情况。

· Clone Partition(as source)…:将分区作为源盘刻录。

· Clone Partition(as destination)…:将分区作为目标盘刻录。

· Go To Unpartitionable space:将光标移动到磁盘未分区的开始扇区处,与在“目录浏览”中选择“Unpartitionable space”作用相同。

(6)偏移量:偏移量(Offset)是指某个地址相对于一个指定的开始地址所发生的位移。WinHex的偏移量由纵坐标与横坐标构成,用来具体定位十六进制数据编辑区中每个字节的地址。偏移量的纵坐标和横坐标所显示的地址默认为是十六进制数,如果需要改为十进制数则只需在纵坐标处的任意位置单击鼠标即可。

(7)十六进制数据编辑区:当用WinHex打开一个编辑目标时,编辑目标中存储的所有数据都会以十六进制的形式显示在该区中。

(8)十六进制数据对应的文本区:该区的作用是将十六进制数据编辑区的数据按一定的编码解释为相应的字符。所显示的字节集可以通过菜单栏中的“选项→字符集”来进行选择。

(9)底边栏:底边栏位于主窗口的最下边,主要显示打开的文件或者物理磁盘或者逻辑盘的总扇区数以及当前光标所在扇区和偏移地址。

3.4.4 WinHex菜单介绍

WinHex菜单栏是所有菜单的集合,由文件菜单栏、编辑菜单栏、搜索菜单栏等组成。

1.文件菜单栏是由新建、打开、存储扇区等组成

(1)新建:该命令用于建立一个文件,新建文件以缺省编辑模式打开。新建文件时,必须指定文件的大小,单位可以选择:B、KB、MB或者GB,默认文件名为noname。

(2)打开:以十六进制形式打开一个已经存在的文件。这种打开文件的方式与其他编辑软件打开文件的方式不同。使用其他编辑软件打开文件不能看到文件的原代码,而使用WinHex软件打开文件则可以查看到文件的原代码。

例3.10 使用记事本打开素材文件chapter3.txt,其内容如图3.23所示。

图3.23 使用记事本打开Chapter3.txt文件

从图3.23可知,该文本文件只有3行;第1行显示的是26个大写英文字母;第2行显示的是“0~9”这10个数字;第3行显示的是“云南大学”这4个汉字。

例3.11 使用WinHex打开素材文件chapter3.txt,其内容如图3.24所示。

图3.24 使用WinHex打开chapter3.txt文件

从图3.24可以看到26个大写英文字母、“0~9”这10个数字和“云南大学”这4个汉字的内码(即ASCII码)。

即“A~Z”的ASCII码分别为“41~5A”;“0~9”的ASCII码分别为“30~39”;“云南大学”这4个汉字的内码(即ASCII码)分别为“D4 C6”“C4 CF”“B4 F3”和“D1 A7”(存储形式);在代码“5A”与“30”之间、“39”与“D4”之间存在有代码“0D”和“0A”,分别为回车符和换行符的ASCII码,正是因为这两个代码的存在才使得用记事本打开该文件后,“0~9”这10个数字在第2行显示;而“云南大学”这4个汉字则在第3行显示。

(3)保存:存储当前打开的文件到磁盘上。当对磁盘进行编辑时,该命令为“存储扇区”。

(4)另存为:以别的文件名存储当前打开的文件。

(5)建立磁盘镜像/做备份副本。

(6)打印:用于发送打印指令。

(7)属性:用于对一个文件的大小、时间信息等进行编辑。编辑完成后按回车键,程序将提示编辑结果立即生效。

(8)打开文件夹:用于同时打开一个文件夹下的多个文件,单击后弹出Open Folder文件夹选择窗口,如图3.25所示,说明如下。

图3.25 文件夹选择窗口

①mask(掩码):可以打开文件夹下的所有文件,也可以通过设置掩码打开某种指定的文件。例如:设置掩码为“∗.doc”,则打开当前文件夹下的所有Word文档。

②打开方式:选择打开文件的方式,包括只读方式(Read-Only Mode)、缺省编辑方式(Default Edit Mode)和输入方式(In-place Mode)。

③Must contain specified text:包含指定文本。单击后,弹出查找文本对话框(对话框设置见后面的“文本搜索”),可以在对话框中输入文件中包含的文本。

④Must contain specified hex values:包含指定的十六进制值。单击后,弹出十六进制搜索对话框(对话框设置见后面的“十六进制搜索”),可以在对话框中输入包含在文件中的十六进制值。

⑤Include subfolders:包括子文件夹。选择该项后,不只打开当前文件夹下的文件,还会打开当前文件夹下的子文件夹。

2.编辑菜单栏是由撤销、复制选块、写入选块等组成

(1)撤销:用以撤销刚才进行的操作。如:对某个字节进行了修改后,想撤销修改,可以单击该按钮。

(2)复制选块:用以将选中的选块复制到剪贴板。

(3)写入选块:将剪贴板中的内容从指定当前所在位置写入。

(4)转换文件:只对打开的文件有效,单击后,弹出转换选择框,如图3.26所示,可以在转换选择框中选择需要进行的转换。

(5)修改数据:用于对选块或文件数据进行各种处理,可以用来对数据进行简单的加密。

3.搜索菜单栏是由查找文本、查找Hex数值等组成

(1)查找文本:用于查找文本字符;在“The following text string will be searched:”列表框中输入要查找的文本,如图3.27所示。

图3.26 转换文件

图3.27 查找文本

①Match case:区分大小写。选择该项后,搜索中将完全匹配字母的大小写,默认是忽略大小写。例如:要搜索“Test”,但输入的是“test”,如果不选择区分大小写选项,可以搜索到;如果选择了区分大小写(即选择Match case前的复选框),则只严格搜索“test”,大小写不一致的将搜索不到。

②编码选择:选择ASCII/Code page与Unicode码。如果选择ASCII/Code page,则以ASCII码的形式进行搜索;如果选择Unicode,则以Unicode码的形式进行搜索。

③Use this as a wildcard:设置通配符。例如:要搜索由4个字母组成的单词,但是单词的后3个字母为“est”;可以选择该复选框,并设定一个通配符;同时配合Whole words only(全字符匹配)进行搜索;例如:可以使用“?”作为通配符,搜索“?est”。

④Whole words only:全字符匹配,即搜索目标和结果需要整个单词完全匹配。

⑤Search:用于设置在整个磁盘或文件范围内进行搜索的方向;如果选择“All”,则在打开的物理盘或者逻辑盘或者文件中搜索;如果选择“Up”,则从光标所在位置开始向前搜索;如果选择“Down”,则从光标所在位置开始向后搜索。

⑥Cond:设定符合要求的目标位置。例如:要搜索位于每个扇区偏移82字节处的某字符,可以设置为“Cond:offset mod 512=82”,即只有偏移位置除以每扇区字节数512余数为82字节的位置才符合要求,其他位置的相同字符将不在搜索结果内。

⑦Search in block only:只在选块内搜索。如果确定搜索目标就在某个范围内,可以选中该选块,这时Search in block only选项将变成可选状态,选择该项后即可实现只在设定的范围内搜索目标。

⑧Search in all open windows:在所有打开的窗口中搜索。如果打开一个以上的对象,则该选项处于可选状态,选择该项后程序会在所有打开的窗口中搜索目标。

⑨List search hits,up to:将搜索结果列表显示,可以设定显示的搜索结果数量。

(2)查找Hex数值:用于查找十六进制值;在“The following hex values will be searched:”列表框中输入要查找的十六进制值,如图3.28所示,其他选项与查找文本相同。

图3.28 查找十六进制值

(3)替换文本:用于搜索指定的文本内容,并将其替换为设定的文本。

①Search for:搜索目标,也就是将要被替换的文本。

②Replace with:作为替换结果的新文本。

③Prompt when found:搜索到目标后提示:“是否进行替换?”。

④Replace all occurrences:不提示,直接替换所有搜索到的符合替换要求的目标。

(4)替换十六进制值:用法与替换文本相同,只是该功能用于搜索和替换十六进制值。

(5)同时搜索:用于同时搜索两个以上的对象。WinHex可以设置同时搜索两个以上的对象,这在有多个对象需要同时搜索时是非常有用的。对于相互间没有关联的若干个文本对象,可以在一次搜索过程中完成对它们的搜索;对于某个搜索对象,如果由两个以上文本对其进行限定,使用“同时搜索”功能就可以大大增加搜索的精确度。

大多数选项与前面介绍的其他搜索设置相同,这里只介绍7个该搜索功能特有的选项:

①搜索内容框:搜索内容框用于输入要搜索的目标文本,每个目标文本占用一行。

②保存文件:可以将输入搜索内容框中的搜索内容保存成一个文件,以便于以后搜索相同(或包含部分相同内容)时减少输入量。

③打开文件:打开一个以前保存过的搜索内容文件。

④搜索方式:有两个单选项——逻辑搜索和物理搜索。只有打开磁盘时才会出现“搜索方式”选择项,如果目前打开的只是一个文件,则不会出现该选择项。

⑤Logical(file-wise):逻辑搜索。逻辑搜索是指按逻辑存储在文件中进行遍历搜索。

⑥Physical(sector-wise):物理搜索。物理搜索即不考虑逻辑存储关系,针对物理扇区进行搜索。

4.位置菜单栏是由转到偏移、Go to Sector、Go to FAT Entry等组成

(1)New position:新位置,即要跳过的数量(单位以输入框后的单位设置按钮显示的单位为准)。输入的数值可以是十进制也可以是十六进制,这取决于偏移量坐标的显示形式——如果偏移量坐标是十进制,则此处输入的是十进制;如果偏移量坐标是十六进制,则此处输入的是十六进制。

①转到某偏移量:用于将光标跳转到某偏移量位置,单击后弹出跳转到偏移量对话框。

②单位设置按钮:位于跳转数量输入框后面,每按一次,跳转单位在扇区(Sectors)、字节(Bytes)、字(Words)、双字(Dwords)之间循环变化。

③Beginning:从当前对象窗口的偏移0处向偏移量较大方向跳转。

④Current position:从光标所在的当前位置向偏移量较大的方向跳转。

⑤Current position(back from):从光标所在的当前位置向偏移量较小的方向跳转。

⑥End(back from):从当前对象窗口的最大偏移量处向偏移量较小方向跳转。

(2)转到某扇区:跳转到某个指定的扇区。根据打开的对象不同,界面输入框也略有不同。

如果打开的是物理盘,则只可以输入逻辑扇区号(或输入物理地址,即柱面号、磁头号和扇区号),如图3.29所示;如果打开的是逻辑磁盘,则既可以输入扇区号,也可以输入簇号,如图3.30所示。

图3.29 打开物理盘,转到某扇区号

图3.30 打开逻辑盘,转到某扇区号

①Go to FAT Entry.../Go to FILE Record

如果打开的是FAT32文件系统,此项为“Go to FAT Entry...”,其作用是:将光标移动到簇号项在FAT1表中的位置,用户需要输入簇号;

如果打开的是NTFS文件系统,此项为“Go to FILE Record...”,其作用是:将光标移动到元文件$MFT某个记录号的位置,用户需要输入记录号。

②←倒退(B):将光标移动到上一个位置。

③→前进(F):将光标移动到下一个位置。

④转到:转到包括8个子菜单,即文件头( B )、文件尾( E )、选块头( L )、选块尾(K)、页面头( A )、页面尾( N )、行首( G )和行末( O )。如果打开的是文件,可以将光标移动到文件头或文件尾;如果选择的是块,可以将光标移动到选块头或选块尾;也可以将光标移动到页面头或页面尾;也可以将光标移动到行首或行末。

5.视图菜单栏是由仅显示文本、仅显示Hex、记录简报、显示、模板管理器等组成

特别要注意显示下一级菜单下的数据解释器( D ),该功能所显示的值与选项中“数据解释器”中的选择有关,默认为小头位序。当选中数据解释器中的“Big Endian”时为大头位序显示光标所在位置的数值。将光标移动到要解释数值的开始位置,则将以8位、16位、24位、32位、64位显示该数值十进制值或者显示日期时间值。

WinHex提供了以模板的形式显示硬盘MBR分区表、FAT32_DBR、NTFS_DBR等的详细信息,以供用户参考。

6.工具菜单栏是由打开磁盘、磁盘工具等组成

(1)打开磁盘:用于打开一个物理磁盘或一个逻辑磁盘。

磁盘工具与打开的磁盘有关;如果打开的是物理磁盘,则包括:克隆磁盘、按类型恢复文件、获取新建卷快照、扫描丢失分区、设置磁盘参数。

如果打开的是逻辑磁盘,则包括:克隆磁盘、按类型恢复文件、获取新建卷快照、初始化自由空间、初始化备用空间、初始化目录项和设置磁盘参数。

(2)克隆磁盘:可以很方便地将一块硬盘或一个分区克隆到另一个硬盘上,或作为镜像文件。对话框中的来源和目标可以是硬盘、分区或者文件,可以根据实际情况进行选择,克隆时还能选择完整复制或者自定义扇区进行复制。另外,如果介质中有坏扇区,可以选择跳过的数目,还能定义坏扇区所对应的目标盘中填入的值。

例3.12 将U盘以文件的形式克隆到D盘的根目录下,文件名为U_disk2015-11-25。操作步骤如下:

①“工具(T)→磁盘工具( O )→“克隆磁盘( D )...”。

②出现克隆界面,如图3.31所示,单击“Source:medium”后“磁盘”图标,弹出“选择磁盘”窗口,选择“Logical Drive Letters”下的“Removable medium(H:),HD1”后,单击“OK”按钮,如图3.32所示。

图3.31 克隆磁盘窗口

图3.32 选择磁盘窗口

③单击“Destination:raw image file”后“文件”图标,弹出“Make Backup/CreateImage Files”窗口,在“保存在(I)”后的下拉式列表框中选择“D:\”,在文件名右边的文本框中输入文件名“U_disk2015-11-25”,即U盘克隆后的文件名为“U_disk2015-11-25”,存储在D盘的根目录下,单击“保存”按钮,返回到克隆窗口。

④从图3.31可知,U盘的开始扇区号(Start sector(so u rce):)为0,结束扇区号为2064351;总扇区数( N umber of sectors to copy:)为2064352。

⑤单击“OK”按钮,开始克隆,克隆完成后,U盘的数据便以文件的形式存储在D盘的根目录下,文件名为“U_disk2015-11-25”。

(3)按类型恢复文件:在恢复文件时,如果文件名已经被覆盖或者用户不知道要恢复的文件名时,可选择该功能来恢复所需文件,前提是文件内容必须连续存储且文件内容没有被覆盖过;如果文件内容不连续存储,所恢复出来的文件内容将不完整。WinHex可以按类型恢复“.jpg”“.png”“GIF”等文件。

(4)打开内存:WinHex支持直接对内存进行编辑。

(5)计算器:调用Windows的计算器功能。

7.专家菜单栏是由获取卷快照、技术细目报告等组成

(1)重新获取卷快照:WinHex可以对卷进行快照,即记录卷中的管理信息。当卷发生改变后,可以单击该按钮,重新获取卷的快照。

(2)技术细目报告:显示当前打开的物理盘、逻辑盘或文件有关的技术参数。

对于打开物理盘而言,显示硬盘序列号、硬盘总线类型、硬盘总容量、每个扇区字节数、硬盘分区类型及分区情况等参数。

对于打开逻辑盘而言,显示逻辑盘文件系统类型、总容量、总扇区数、每个扇区字节数和每个簇的字节数等参数。

对于打开文件而言,显示文件所在的盘符、路径、文件名、文件大小(单位:字节)、文件建立的时间、文件最后写入的时间和文件属性。

(3)映像文件为磁盘:当使用菜单栏中的“文件→打开”打开一个文件后,使用该功能可以将文件映像为磁盘。

(4)重建RAID系统:WinHex提供了对RAID-0和RAID-5服务器磁盘阵列进行重建的功能。

对于RAID-0的重建只需要分析磁盘的盘序、MBR开始扇区号、每个条带的扇区数(即条带大小),即可完成对RAID-0的重建工作。而对于RAID-5服务器磁盘阵列进行重建,则要比RAID-0复杂一些,需要分析磁盘的盘序、MBR开始扇区号、每个条带的扇区数(即条带大小)、数据校验方向(数据校验方向一般分为同步和异步两种)和磁盘结构(磁盘结构一般分为左结构和右结构)。

8.选项菜单栏是由常规、目录浏览器、数据解释器等组成

(1)常规选项主要是对WinHex进行常规设置,包括临时文件夹的位置、图像和备份文件位置等设置。

(2)目录浏览器选项主要是对目录浏览的一些参数设置,包括显示或隐藏项目的设置等。

(3)数据解释器选项主要是对所显示的数据解释器进行设置;包括大头位序设置,8位、16位、24位、32位显示设置,日期时间显示设置等等;数据解释器是一个浮动窗口,可以在屏幕窗口中任意拖拽;当鼠标指针位于十六进制区或文本字符区时,数据解释器可以很方便地将鼠标指针当前所处位置的字节(或字符区的字符在十六进制区的对应字节)及向后若干个字节的十六进制数解释成十进制数、八进制数和日期等数据显示出来。

(4)编辑模式选项主要是对编辑方式进行选择,编辑模式主要有:只读(即写保护)模式、缺省(可编辑)模式和读/写(可编辑)模式。

(5)字符集选项主要是在“十六进制数据所对应的文本区”以什么样的字节集进行显示,选项有:ANSI ASCII码、IBM ASCII码、EBCDIC码和Unicode(UCS-2LE)码。例如:如果选择ANSI ASCII码,则在“十六进制数据对应的文本区”中以ANSI ASCII码进行显示。

3.4.5 使用WinHex注意事项

WinHex是一款非常优秀的磁盘编辑软件,在使用该软件时一定要小心、谨慎;稍有不慎将会给用户带来难以弥补的损失。作者经过多年的实践,总结出使用WinHex软件时的如下几点注意事项,供读者参考。

(1)在使用WinHex前,用户需要具有一定的硬盘结构、数据存储、硬盘分区、文件系统等相关知识作为基础。

(2)在使用WinHex软件搜索文本功能时,要注意搜索的文本是“ASCII/Code page”还是“Unicode”,即要注意搜索文本窗口中的文本选项。

(3)在使用WinHex软件查看磁盘扇区数据时,最好将编辑模式设置为“只读(写保护)”,以免由于误操作造成损失。

操作方式:菜单栏上的“选项(O)”→“编辑模式( M )...”,在弹出的“编辑模式( M )”窗口中选择“Read-only Mode(Write Protected)”。

(4)在对硬盘的扇区进行编辑前,最好先将要编辑的扇区以文件的形式存储到其他硬盘上,文件名最好以扇区号命名。

(5)定期或者不定期地将WinHex“临时文件夹”中存储的所有文件删除,并清空回收站;否则可能会影响到数据的正确性。

注: “临时文件夹”的位置可以通过菜单栏上的“选项(O)→常规(G)...”,在弹出的“常规选项”窗口中获得。

(6)对要恢复数据的磁盘,严禁再在该盘上存储新的文件,更不要对磁盘进行整理。

(7)在使用“克隆磁盘( D )...”功能对磁盘进行克隆时; 切记:一定要区分清楚“哪个是源盘”“哪个是目标盘”

(8)在使用“数据解释器”功能显示数据的十进制或日期时间时,请将光标移动到要解释数值的开始位置,同时还要注意数据的存储形式,即是小头位序还是大头位序。注:系统默认为是小头位序;当选中数据解释器中的“Big Endian”时为大头位序显示光标所在位置的数值。 oQXblNfPEM8qNx1SBdYbJ1k/C7BB3NSrWXspy/amm7TgoOzKicl5jWebD8tIt4Pz

点击中间区域
呼出菜单
上一章
目录
下一章
×