偶然发现了一本比较不错的书《数据恢复技术-深度揭秘》,今天看了其中讲winhex软件的章节,才发现自己以前连winhex入门的使用功能都没有掌握,汗啊!看了之后,对winhex有了较深入的了解。
WINHEX不仅仅是一个16进制文件编辑器,还可以作为磁盘编辑软件(或者说磁盘备份,修复相关软件),速度快,功能强大!,UE和winhex有些类似,但是UE偏向于全功能文本编辑器,二winhex更偏向检查和修复各种文件、硬盘检查和修复等功能。
1.软件安装
略(需要注意的是如果安装的是非注册版本,使用时会有些限制,比如不能保存超过512字节 的文件、菜单栏中专业工具选项中有些功能不能使用等等,所以建议还是安装注册版本);
2.软件使用
2.1 启动软件
如上图,打开软件后,在软件界面回车键即可打开启动中心,可以选择打开文件、磁盘、RAM(内存)、文件夹功能,另外还可以看到最近打开的文件,右边的案件/方案为用户有选择的保留操作成果提供便利条件(这个功能还不知道怎么使用),脚本功能(是一个批处理脚本编辑系统,可以调用winhex内部集成的各种函数指令进行编程工作,这个功能看起来很方便和强大,值得深入学习一下)。
2.2 软件界面
以在启动中心界面选择打开一个物理驱动器(sd卡,fat32)为例进行说明
一些比较方便的地方如右边的详细资源面板和下方的底边栏,
1.详细资源面板可显示磁盘参数(磁盘型号,序列号,固件版本号和接口类型),状态(状态为原始代表内容没做修改,如果修改了会显示被修改),容量信息,分区信息(当前位置之前的分区数,有关的扇区),窗口情况,剪切板情况等;
2.底边栏,在选择磁盘情况下,这里显示有扇区,偏移量,选快,鼠标点击相应位置,可进行扇区跳转,偏移量偏转,块选择窗口,很方便。
2.3 工具栏介绍
新建:略
打开:打开任意一个16进制文件,但是如果打开的是一个sd卡的镜像文件,这样子打开后不按照扇区结构进行显示(即看不到文件系统的结构信息,例如根目录,fat表,内部文件信息),需要在菜单栏中的专业工具----将镜像文件转换为磁盘,然后就能很方便看到文件系统结构信息;
保存:winhex有三种编辑模式(菜单栏选项----编辑模式。只读模式,默认编辑模式,替换模式),只读模式下只能查看不能修改,替换模式所有修改即时写入立即生效,默认编辑模式修改不是直接写盘,而是写入临时文件,保存后才会存盘;
属性:查看文件字节大小,创建时间,最后写入时间,最后访问时间;
撤销:撤销修改;
复制扇区:复制鼠标所在的扇区;
粘贴和写入剪切板:粘贴相当于在当前位置插入了之前复制的内容,写入剪切板相当于从当前位置替换掉后面的内容;
修改数据:这里可进行对单个或整个字节做加法,给单个或整个字节做翻转、16字节交换(每两个字节左右交换位置)、32字节交换、XOR、OR、AND、循环左移、循环右移、位移、ROT13以及左旋圆运算;
查找文本:可在hex文件中查找对应的ascii值,因为很多格式文件有对应特殊的hex值(对应特殊的ASCII码值),其中可以选择是否匹配大小写,选择编码类型(ASCII和UNICODE),也可以加通配符,可以要求完整语句搜索,可以选择搜索方向或全局搜索,可以设置偏移(相当于在每512字节中搜第1个字节是否为匹配值,这个对扇区搜索很方便,例如在一个硬盘某个扇区的前四个字节有file这四个ascii字符,如果这里条件:偏移计算设置为512和0,那么久能实现我们的搜索);
查找16进制,同查找文本;
同步搜索:可以实现多字符串的同时搜索,即同时完成多个搜索任务,目前仅限于文本方式,文本框用来输入字符串,这里对格式有一定要求,如果要进行多任务搜索,每个任务必须占用独立的一行;
转移到偏移量:略
转移到扇区:略
光标回到前一步操作位置;
光标回到后一步操作位置;
打开磁盘:略;
磁盘克隆:这一步可以将一个硬盘或一个分区或一个文件克隆到 另一个硬盘或做成镜像文件,可以选择全部克隆,或者克隆部分扇区,另外如果有坏扇区,可选择跳过的数目,还能定义坏扇区所对应目标盘中填入的信息值。
打开ram:这是一个很轻大功能,可以对计算机系统当前正在运行进程进行查看和编辑;
常规设置:略
减小一列:水平坐标原本16列,这里可设置减小显示列数;
增大一列:略
进行磁盘快照:是对整个文件系统进行一次遍历,从而列出分区下目录和文件,另外文件恢复也可以在这里设置;
另外一个需要说明的地方是菜单栏-查看----模板管理器,这是winhex对数据恢复工作最有帮助的功能之一,提供了对分区表,DBR,目录项,文件记录,超级块等结构的解释,非常好用,后续可以专门章节解释。
