winhex脚本命令教程--中文版

脚本命令适用的环境比较多。脚本文件中的注释以为双斜杠开头。脚本支持的最长255字符的参数。有疑点的地方是十六进制，文

本字符串（甚至10进制数值）都可以作为参数，你可以使用引号强制转换数字参数为文本参数。如果文本或者变量名中存在空格，

则引号是必须的，在引号中的所有字符都被被识别成一个参数而存在。

当在winhex中使用数学表达式的时候，可以引用数学表达式，但是必须用括号括起来。在数学表达式中不能有空格。同样可以在数

学表达式中应用数字变量。支持的操作有，加法（+），减法（-），乘法（*），整除（/），模除（%），逻辑运算符AND（&），

OR（|），以及XOR（^）。以下是有效的数学表达式：(5*2+1), (MyV ar1/(MyV ar2+4)), or (-MyV ar)。

以下是目前支持的脚本命令的详细描述以及使用实例。

Create "D:\My File.txt" 1000

创建一个1000字节的新文件，如果已经存在同名文件，则将其覆盖。

Open "D:\My File.txt"

Open "D:\*.txt"

打开指定格式的文件，如果通配符为“?”则winhex会让用户选择要打开的文件。

Open C:

Open D:

打开指定的逻辑驱动器。如果通配符为“:?”则winhex会让用户选择要打开的逻辑驱动器或者磁盘。

Open 80h

Open 81h

Open 9Eh

打开指定的物理介质。软盘的为00h，硬盘与u盘为80h，光盘为9Eh。

可以增加第二个参数来设定文件或者介质的编辑模式（“in-place”或者“read-only”）

CreateBackup

为活动文件的当前状态创建WHX备份。

CreateBackupEx 0 100000 650 true "F:\My backup.whx"

备份当前活动磁盘中从0扇区到100000扇区的数据。备份文件将自动分割成650M大小。并且选择了压缩选项。输出文件的路径以及

名称作为最后的参数写入。

如果备份文件不需要分割，则第三个参数的数值该为0即可。如果不启动压缩功能则将“true”改为

“false”。如果需要自动分配

文件名以及文件路径则最后的参数表示为“""”即可。

Goto 0x128

Goto MyV ariable

将光标的位置移动到偏移量0x128位置（16进制表示）。同样也可以用数字变量（最长8字节）来定义光标移动的位置。

Move -100

将当前光标的位置向后移动100字节（16进制）。

Write "T est"

Write 0x0D0A

Write MyV ariable

在光标当前位置（以覆盖模式）写入ASCII字符“Test”或者两个字节的16进制数“0D0A”。这里同样可以写入数字变量中的值。

同时将光标移动到被覆盖部分的后面。当到达文件的结尾时，将在文件尾部添加空字节以完成操作。下一个写命令将不会在文件尾

巴

Write2

和“Write”的功能类似，当时当到达文件结尾的时候，不会在文件添加空字节。So it is

not safe to assume that Write2 always moves the current position forward by the number of bytes

written.

Insert "Test"

功能与“Write”类似，但是在“insert”模式只能应用于文件。

Read MyV ariable 10

从当前位置读入10个字节的数据到“MyV ariable”变量中。如果变量不存在，它将会创建一个。winhex 同时可以支持48个不同的变

量。另一个创建变量的命令是“Assi gn”。

ReadLn MyV ariable

从当前位置读入一整行的数据到“MyV ariable”变量中直到遇到换行符。如果变量已经存在了，则变量的大小将会被从新调整。

Close

不保存的关闭当前活动窗口。

CloseAll

不保存的关闭所有窗口。

Save

保存当前活动窗口中打开的文件或磁盘的修改。

SaveAs "C:\New Name.txt"

将当前活动窗口打开的文件另存为指定目录下的文件。如果通配符为“?”，则winhex会让用户自己选择保存的路径以及文件名。

SaveAll

保存所有窗口中修改。

Terminate

中断脚本的执行。

Exit

中断脚本的执行并且关闭winhex。

ExitIfNoFilesOpen

如果在winhex中没有打开的文件将终止脚本文件的执行。

Block 100 200

Block "My V ariable 1" "My V ariable 2"

在当前活动窗口中定义一个偏移量从100到200的选块（10进制）。下一行命令表示定义从变量"My V ariable 1"到"My V ariable 2" 的选块（最长8字节）

Block1 0x100

在偏移量0x100处定义一个字节的选块。同样可以使用变量。

Block2 0x200

定义一个从开头到偏移量0x200部分的选块。同样可以使用变量。

Copy

将当前选块复制进剪切板中。如果没有定义选块，其功能和编辑菜单中的复制命令相同。

Cut

将当前选块中的文件剪切到剪切板中。

Remove

将当前选块中的数据从文件中移除。

CopyIntoNewFile "D:\New File.dat"

CopyIntoNewFile "D:\File +MyV ariable+.dat"

将当前选块中的数据复制进指定的新文件，而不复制进剪切板。如果没有定义选块，其功能和编辑菜单中的复制命令相同。同样可

以复制磁盘扇区中的数据作为一个新文件。新建的文件不会自动在winhex的编辑窗口中打开。可以在“+”之间加入变量，变量名

将被解释为不大于2^24（16M）的整数。通常在循环应用以及文件恢复中比较有用。

Paste

将剪切板中的数据粘贴入文件中，并且不改变光标当前位置。

WriteClipboard

将剪切板中的数据写入文件或磁盘扇的当前位置中，不改变光标当前位置，并且覆盖从当前光标所在位置以后的数据。

Convert Param1 Param2

将当前活动文件中的数据从一种格式转换成另一种格式。有效的参数是ANSI，IBM，EBCDIC，Binary，HexASCII，IntelHex，

MotorolaS, Base64, UUCode, LowerCase, 以及UpperCase，与转换菜单中的转换菜单命令功能相同。

AESEncrypt "My Password"

使用AES加密当前活动文件或者磁盘，或其选块，使用指定的密钥（最高32位）。

AESDecrypt "My Password"

解密当前活动文件或磁盘。

Find "John" [MatchCase MatchWord Down Up BlockOnly SaveAllPos Unicode Wildcards]

Find 0x1234 [Down Up BlockOnly SaveAllPos Wildcards]

分别搜索当前活动窗口中名为“john”的字符串或16进制值数0x1234，并且在第一个搜索到的地方停下来。其他的参数是可选的。

默认的winhex搜索整个文件或磁盘。其他的可选参数功能和通常的winhex搜索选项相同。

ReplaceAll "Jon" "Don" [MatchCase MatchWord Down Up BlockOnly Unicode Wildcards]

ReplaceAll 0x0A 0x0D0A [Down Up BlockOnly Wildcards]

在当前活动窗口中使用其他的值替换所有存在上述字符串或16进制数值的地方。在“i n-place”模式下只能应用与磁盘。

IfFound

如果发现了值则执行下面的命令。

IfEqual MyV ariable "Hello World"

IfEqual 0x12345678 MyV ariable

IfEqual MyV ariable 1000

IfEqual MyV ariable MyOtherV ariable

IfEqual MyV ariable (10*MyOtherV ariable)

比较两个整数值（其中每个值可以是常量，整数变量或者数学表达式）或者两个变量，ASCII字符串，或16进制数值（2进制模式）。比较两个对象的2进制数值长度，如果不相同的话则返回结果为false。只有返回值为true时，下面的命令才会被执行。if条件不可以镶套使用。

IfGreater MyV ariable "Hello World"

IfGreater 0x12345678 MyV ariable

IfGreater MyV ariable 1000

IfGreater MyV ariable MyOtherV ariable

IfGreater MyV ariable (10*MyOtherV ariable)

和IfEqual拥有相同的参数。第一个参数大于第二个参数，返回值为true，则下面的命令才能被执行。if条件不可以镶套使用。

Else

应用在IfFound或IfEqual之后。如果没有任何对象被搜索到或者比较的目标不相同，则执行else后面的代码。

EndIf

结束if条件命令执行（在IfFound或IfEqual之后）。

{...

ExitLoop

...}

退出循环。其后会有一个方括号来定义其循环次数，可以是变量也可以是关键字“unlimited”（无限循环）。winhex脚本中循环只能使用ExitLoop命令来退出。循环不可以镶套使用。

举例：

{ Write "Loop" }[10] 将输出“Loop”字符串10次。

Label ContinueHere

创建一个标签并命名为“ContinueHere”

JumpTo ContinueHere

脚本跳转到标签处继续执行.

NextObj

循环在所有窗口中进行切换“活动”窗口。如果有三个窗口被打开，并且窗口#3状态为活动窗口，则“NextObj”命令将会让窗口

#1变为活动窗口。

ForAllObjDo

在ForAllObjDo与EndDo之间的脚本代码将在所有打开的文件或者磁盘中执行。

CopyFile C:\A.dat D:\B.dat

将C:\A.dat文件中的内容复制到D:\B.dat中。

MoveFile C:\A.dat D:\B.dat

将C:\A.dat文件转移到D盘中并命名为D:\B.dat。

DeleteFile C:\A.dat

将C:\A.dat文件删除。

InitFreeSpace

InitSlackSpace

使用当前初始化设置清理当前逻辑驱动器中的所有自由空间或松散空间，InitSlackSpace将驱动器的模式临时转换为“in-place”

模式，以保存未保存的修改。

InitMFTRecords

使用当前初始化设置在当前NTFS格式的逻辑驱动器中清理未使用的MFT FILE记录。对于其他的文件系统无效。修改立即就会写入硬

盘中。

Assign MyV ariable 12345

Assign MyV ariable 0x0D0A

Assign MyV ariable "I like WinHex"

Assign MyV ariable MyOtherV ariable

将整数，二进制数值，ASCII文本，或其他变量内容保存到“MyV ariable”变量中。如果这个变量不存在，将会被自动创建。其他的创建变量的方法：Read，GetUserInput，InttoStr。同时可以允许有48个变量存在。

Release MyV ariable

删除一个已存在的变量，因为winhex脚本中只支持48个变量存在，所以用过的不再使用变量我们可以将其删除以释放变量空间。

GetUserInput MyV ariable "Please enter your name:"

在脚本运行期间，保存用户指定的ASCII文本或二进制数据（0x...）到变量“MyV ariable”中。第二个参数给除了用户提示。如果变量不存在，它将重新创建一个。其他创建变量的方式：Assign，Read。

GetUserInputI MyIntegerV ariable "Please enter your age:"

与GetUserInput功能相同，但是只允许整数型变量。

Inc MyV ariable

将变量解释为整数（不大于8位）并且每运行一次变量自动加1。在循环中有用。

Dec MyV ariable

将变量解释为整数（不大于8位）并且每运行一次变量自动减1。在循环中有用。

IntT oStr MyStr MyInt

IntT oStr MyStr 12345

将第一个变量中的ASCII文本转换成整数并保存到第二个变量中。

StrToInt MyInt MyStr

将第一个变量中的整数转换成ASCII文本并保存到第二个变量中。

GetClusterAlloc MyStr

在逻辑卷中，找回哪个文件被储存在当前簇中的文本描述，然后将描述保存到指定的变量中。

GetClusterAllocEx IntV ar

在逻辑卷中，找回一个整数值指示簇是否被分配，1或者非0，表示该簇已被分配。并且将描述保存在指定变量中。

GetClusterSize IntV ar

返回逻辑卷中簇的大小，并将数值保存到指定的变量中。

InterpretImageAsDisk

将磁盘镜像或证据文件作为原始物理磁盘或分区一样对待。需要specialist或forensic许可。

CalcHash HashType MyV ariable

CalcHashEx HashType MyV ariable

与工具菜单中的hash命令功能相同并且将变量储存在指定变量中（如果变量不存在，则会自动创建）。HashT ype参数必须为以下类

型中的一种：CS8, CS16, CS32, CS64, CRC16, CRC32, MD5, SHA-1, SHA-256, PSCHF。CalcHashEx命令将在windows窗口中显示

hash值。

MessageBox "Caution"

显示信息对话框，并且提供ok和cancel两个按钮。按下cancel按脚本本。

ExecuteScript "ScriptName"

在脚本的当前运行处运行另一个脚本。调用其他外部脚本可以镶套使用。当被调用的脚本执行完成以后，脚本继续执行下面的命令

。这个特征可以帮助用户清楚的了解脚本的结构。

Turbo On

Turbo Off

管理道模式开关。

Debug

用户可以利用该命令确定脚本中的每一条命令都是否有效。

UseLogFile

错误信息被写入当前文件夹下的日志文件“scripting.log”。这些信息不会显示在信息对话框中。非常有用，特别在运行的脚本

主机无法远程连接的时候。

CurrentPos

GetSize

unlimited

以上三个是winhex脚本中的关键字，可以被使用在应用数字参数的地方。在脚本执行过程中，CurrentPos表示当前活动文件或者磁盘窗口中光标的偏移地址，GetSize表示了它的大小。unlimited 实际上表示的是整数2,147,483,647。

最完整的winhex教程

winhex教程 winhex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构

MB R C 盘 EB R D 盘 EB R E 盘 MBR，即主引导记录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、WINHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR 的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区，C盘占用1435329个扇区……那么数据结构如下表： 63 1435329 63 1435329 63 1253889 MBR C盘EBR D盘EBR E盘 扩展分区

winhex数据恢复完整图文教程

winhex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构 MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、WINHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区，C盘占用1435329个扇区……那么数据结构如下表： 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成：比如C 盘的数据结构： Winhex Winhex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。 首先要安装Winhex，安装完了就可以启动winhex了，启动画面如下：首先出现的是启动中心对话框。

运用WinHex破解软件图解教程

例1:运用WinHex破解软件图解教程 一、首先安装软件！！ 二、注册软件！！先添入假的注册信息！！点击注册！ 三、出现“系统注册失败”对话框！！ 四、不要关掉“系统注册失败”对话框，运行WinHex软件[WinHex 13.6 绿色破解版]，下面有此软件的汉化版下载！

六、找到列表中的你安装的软件名称,然后点击进入，安装的软件下又出现一个列表,选择[整个内存],点击进入，稍等一下程序读取目前的动态内存中的数据,数据出来了。 七、选则[搜索]调出菜单，选择其中的第一项[搜索],在最上面的空白处输入先前添入假的注册信息！！

八、点OK开始搜索，搜到第一组同样的不要理会，按F3继续往下搜第二组，看能用的注册码就在这组号的下面。

九、复制找到的注册信息，填入到注册框内，点击注册，注册成功！！ 大功告成，如果在熟练的情况下你很快就能完成这个过程！

例2:WINHEX内存真实注册码教程 【软件名称】秘书 【软件大小】2.66MB 【软件限制】这是一个共享软件 【注册类型】机器码+注册码 【破解工具】WINHEX 主程序：Insure.exe 【破解过程】 1.Winrar双击打开（不要解开一定要在winrar在打开Insure.exe） 关于壳这里就不需要了 2.出现注册对话框:我这里是5位机器码。也许有的机器是6位，机器码是不一样的。 这里我输入5位假码:88888 点击注册出现错误提示切记不要关闭对话框，因为下面是我们的WINHEX要登场了. 3.不关闭对话框的情况下,我们运行winhex: 选择“ tools--Open ram"出现的对话框就是让我们选择打开哪个程序的内存我们打开的是Insure.exe所以我们在这里就要选择Insure! 然后选择“Entire Memory” 4.选择“Entire Memory”出现的界面就是有关Insure这个线程的内存情况了.在这个界面我们看到上面一个“望远镜”的图标（也就是查看）我们点击它--出现的对话框中输入刚才的假码。（我的是88888）点击OK 5.出现的第一个不要理它，按现F3键（下一个）在这个假码的旁边也是这个假码，不要理它还是F3。在这里出现了数字78414这就是这个软件的真码，把它记下来，放到注册对话框试一下哈哈，果然成功了 6.如果你想使用这个软件那就可以把它解压出来，进行运行记住你的注册码。输入就可以了！ 7.在WINHEX找真码的时候一定要有耐心，不过我相信都会成功的。这是我以前迈向解密软件的第一步。记得那是一个装柜的软件 图片附件: 1.JPG (2007-4-19 10:40, 82.99 K)

UltraEdit和 WinHex使用简介及十六进制转换说明.

UltraEdit和WinHex使用简介及十六进制转换说明 UltraEdit 简介 如果你经常进行一些文本文件的编辑,那你一定不太满意Windows自带的文本编辑器NotePad和WordPad。这两个编辑器只提供了一些最基本、最简单的功能,用起来总是有些不太方便。目前比较流行的文本编辑器有UltraEdit、TextPad、Turbro-Edit、Yeah Write等,下面我们主要介绍一下UltraEdit-32 1120a。 UltraEdit是一套功能强大的文本编辑器,可以编辑文字、Hex、ASCII 码,可以取代记事本,内建英文单字检查、C++ 及 VB 指令突显,可同时编辑多个文件,而且即使开启很大的文件速度也不会慢。软件附有 HTML Tag 颜色显示、搜寻替换以及无限制的还原功能,一般大家喜欢用其来修改EXE 或 DLL 文件,众多的游戏玩家喜欢用它来修改存盘文件或是可执行文件。 怎么样不错吧,下面我们就从菜单和工具栏开始我们的UltraEdit之旅。 菜单及工具栏 UltraEdit的启动很简单,可以选择要编辑的文件,然后在右键菜单中选择“UltraEdit-32”即可,使用起来简单、方便。 这就是UltraEdit的主界面,上面是标题栏、菜单和工具栏,下部左侧为驱动器文件列表,方便文件的查看;右侧为文本编辑区,我们打开的文件就显示在这里。 我们看一下UltraEdit工具条上的这些按钮,里面包含了UltraEdit的常用命令。

用于新建一个文件,可以是一个Txt文件,也可以是十六进制文件,C、HTML等格式的文件; 用于打开一个文件; 关闭已打开文件; 保存正在编辑的文件; 打印文件; 打印预览; 插入一个分页符; 设置是否自动折行; 这个按钮上写个H,作用就是将文件转为十六进制文件; 剪切; 复制;

winhex使用教程

winhex使用教程 WinHex 教程WinHex WinHex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、 电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将 它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所 造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如电烙Pc3000,铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及 面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投 资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制：

关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这 方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：（数据恢复首选软件）WinHex 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘 EBR D盘 EBR E盘 ，即主引导纪录，位于整个硬盘的柱面磁道扇区，共占用了个扇区，但实MBR00163际只使用了个扇区（字节）。在总共字节的主引导记录中，又可分为三部分：1512512MBR第一部分：引导代码，占用了个字节；第二部分：分区表，占用了字节；第三部分：446645 ，结束标志，占用了两个字节。后面我们要说的用软件来恢复误分区，主要就是恢5AAWinHex 复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那 么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要 恢复引导代码，可以用下的命令：；这个命令只是用来恢复引导代码，不会DOSFDISK /MBR 引起分区改变，丢失数据。另外，也可以用工具软件，比如、等。DISKGENWINHEX

winhex恢复mbr的方法

winhex恢复mbr的方法 恢复mbr实际就是恢复主引导扇区，在出现开机自检过后，系统提示“I/O错误”，即使是你重新安装操作系统也没用。或系统启动蓝屏，将硬盘挂到其他计算机上，检测到的硬盘容量异常；譬如：明明是大容量硬盘，突然变成很小的容量，而且只有一个分区。很多人都认为该硬盘没救了，里面的数据也完了；其实，还是可以修好的，除硬件故障外恢复mbr后就会和以前一样好用。 那么什么是MBR，怎样恢复mbr。先说一下mbr：即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。 我们使用Winhex硬盘数据恢复软件来恢复MBR，并恢复数据的具体步骤：（再恢复前要用Winhex镜像文件《Winhex镜像文件教程》，这样可保证数据完好）。 第一步：把好硬盘上的MBR的前446字节复制到要恢复的硬盘的0扇区前446 字节； 第二步：在倒数第二行倒数第二个字节，输入活动分区8001，再输入本分区的起始磁头柱面0100； 第三步：输入分区类型0B FF FF FF . 第四步：输入C盘前的扇区数，实际就是MBR，63个扇区转换16进制是3F，在此位置输入3F 00 00 00； 第五步：搜索EBR起始位置，16进制查找“55AA”加条件512＝510，EBR倒数第五行倒数第二个字节是0001，找到后记下所在扇区，然后减去MBR所占的扇区数63，转换16进制，跳转0扇区，输入相应位置； 第六步：输入分本区的起始位置和非活动分区的起始位置0001和0100； 第七步：输入分区类型10G以上的硬盘0F FE FF FF,10G以下的硬盘输入05 FE FF FF； 第八步：输入扩展分区前的扇区数，刚找到的EBR的起始位置，转换16进制输入相应位置； 第九步：扩展分区的扇区数，左下角的总扇区数-ERR之前的扇区数，转换16进制输入相应位置； 第十步：以下全部填充0，结束必须为55AA保存退出，这样恢复mbr完成。

WinHex使用教程

一、Winhex的使用 二、用Winhex打开要修改的文件，显示如下界面： 任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的，Winhex便是将这些文件以二进制形式打开。不过显示的时候是十六进制，一位十六进制相当于四位二进制，两位十六进制相当于八位二进制即一个字节，每个字节即对应一个地址。 左边那一列是行标，上边那一行是列标，行标和列标便组成了地址。如6BFA3003这个地址，其行标便是6BFA3000，列标为3。 想要修改数值，直接键盘输入即可。 一个基本常识：对于有多位的十六进制数值而言，存储方式是低位在前，高位在后。如6e731f这么个值，存储方式便是1f 73 6e。 既然显示十六进制，那么自然存在一个十六进制和日常使用的十进制转化的问题。通常可以靠Windows的计算器来完成，点击Winhex工具栏的图标即可打开。在计算器的查看菜单里选择“科学型”，便有进制转换的功能。 其实Winhex自带的数据解释器也可以实现进制转换。（看不到数据解释器的，单击视图——显示——数据解释器）把光标定在某一地址，数据解释器里便能显示对应的十进制数值。在数据解释器里输入十进制值然后按回车，则那个地址的数值就会被改写成对应的十六进制。在“选项——数据解释器”里还能对数据解释器的显示内容作设置，比如翻译无符号数、浮点数等，这个有兴趣的自己试试。 地址定位 靠行标和列标来定位地址显然是愚蠢废力的。Winhex的工具栏上有个图标，点击显示如下界面：

此时直接在“新位置”里输入地址便可完成定位。 也可以定位相对地址。比如此时位置在某ATK首地址，要往上移1000h到达MOV首地址，那么在“新位置”里输入1000，“相对于”选择“当前位置（P）（返回至）”就行了。 同理，到了MOV首地址后又要往下移960h到达一方地址，则可以在“新位置”里输入960，“相对于”选择“当前位置（C）”。 “位置”菜单里还有个很实用的功能：标记位置和转到标记，快捷键分别是Ctri+I和Ctrl+K。这个功能就不用多解释了吧，我是经常用的。 定义选块 定义选块主要是用来导出特定数据或缩小搜索范围，定义完成之后可以在“位置”菜单里快速定位到选块头和选块尾。 这个操作很简单。在选块头右键点击，选择“选块开始”，选块尾右键点击，选择“选块结尾”就完成了。

WinHex数据恢复教程笔记

WinHex数据恢复教程笔记 WinHex是在Windows下运行的十六进制编辑软件，此软件功能非常强大。 有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘； 它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。 数据恢复的前提:数据不能被二次破坏、覆盖！ 数据恢复首选软件用十六进制编辑器:WinHex MBR、EBR是分区产生的。 MBR主引导记录大小是固定的，位于整个硬盘的0柱面0磁道1扇区。共占用了63个扇区，实际只使用了1个扇区，即硬盘第一扇区中的512字节。 DBR是分区引导扇区，是由FORMAT高级格式化命令写到该扇区的内容，DBR是由硬盘的MBR装载的程序段。DBR装入内存后，即开始执行该引导程序段，其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区，但只有被设为活动分区才会被MBR装的DBR入内存运行 FAT16文件跳转指令EB 3C 90 FAT16 没有备份DBR FAT32文件跳转指令EB 58 90 DBR备份在第6扇区有第一扇区的备份。FAT表32扇区 NTFS文件跳转指令EB 52 90 DBR备份在最后一个扇区 ntfs格式没有FAT表。 04H 分区系统标志 当该值为00H时，表示此分区为不可识别的系统； 为04H时该分区为FAT16分区； 为05H或0FH该分区为扩展分区； 为0B时该分区为FAT32分区; F8H FFH FFH 0FH 开始的FAT表，（对于FAT16是以F8H FFH开始的），每个FAT项占32位（4个字节），FAT16的每个FAT项占16位（2个字节）， 也就是说FAT和簇是一一对应的关系，对于FAT32的FAT来说每4个字节为1个FAT项. （对于FAT16的FAT每2个字节为一个FAT项） 512字节的MBR主引导记录又分为三部分: 1.主引导扇区里的主引导程序代码（boot loader），占446个字节； 2.硬盘分区表DPT（Disk Partition table），占64字节； 主分区表项1占16字节，447-461 每一个分区表项各占16个字节. 硬盘中分区有多少以及每一分区的大小都记在其中。 3.硬盘55AA有效结束标志magic number，占两个字节。 MBR被清零的话，硬盘将不能引导。 如果0号扇区被清零，硬盘分区将不被系统识别。提示未初始化。 备份MBR只要备份前512字节就可以了，包含分区表。 用WinHex软件来恢复误分区，主要就是恢复第二部分:分区表。 主引导程序代码（boot loader）的作用:就是让硬盘具备可以引导的功能。 如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码，可以用DOS下的命令:FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。也可以用工具软件,比如:DiskGenius、WinHex等。 EBR，也叫做扩展MBR（Extended MBR）。占63个扇区。因为主引导记录MBR最多只能描述4个分区项，如果一个硬盘上分多于4个区，就用EBR. EBR的结构和MBR的结构是一样的，所以在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0。 DBR的备份: 分区格式是FAT32的话，备份在分区的6扇区。 NTFS分区格式的话，在分区的最后一个扇区。

winhex脚本命令教程--中文版

winhex脚本命令教程--中文版<转> 2009-06-09 18:09 脚本命令适用的环境比较多。脚本文件中的注释以为双斜杠开头。脚本支持的最长255方是十六进制，文本字符串（甚至10进制数值）都可以作为参数，你可以使用引号强数。如果文本或者变量名中存在空格，则引号是必须的，在引号中的所有字符都被被识 当在winhex中使用数学表达式的时候，可以引用数学表达式，但是必须用括号括起来空格。同样可以在数学表达式中应用数字变量。 支持的操作有，加法（+），减法（-），乘法（*），整除（/），模除（%），逻辑运算以及XOR（^）。 以下是有效的数学表达式：(5*2+1), (MyVar1/(MyVar2+4)), or (-MyVar)。 以下是目前支持的脚本命令的详细描述以及使用实例。 Create "D:\My File.txt" 1000 创建一个1000字节的新文件，如果已经存在同名文件，则将其覆盖。 Open "D:\My File.txt" Open "D:\*.txt" 打开指定格式的文件，如果通配符为“?”则winhex会让用户选择要打开的文件。 Open C: Open D: 打开指定的逻辑驱动器。如果通配符为“:?”则winhex会让用户选择要打开的逻辑驱动器

Open 80h Open 81h Open 9Eh 打开指定的物理介质。软盘的为00h，硬盘与u盘为80h，光盘为9Eh。 可以增加第二个参数来设定文件或者介质的编辑模式（“in-place”或者“read-only”）CreateBackup 为活动文件的当前状态创建WHX备份。 CreateBackupEx 0 100000 650 true "F:\My backup.whx" 备份当前活动磁盘中从0扇区到100000扇区的数据。备份文件将自动分割成650M大输出文件的路径以及名称作为最后的参数写入。 如果备份文件不需要分割，则第三个参数的数值该为0即可。如果不启动压缩功能则将要自动分配文件名以及文件路径则最后的参数表示为“""”即可。 Goto 0x128 Goto MyVariable 将光标的位置移动到偏移量0x128位置（16进制表示）。同样也可以用数字变量（最动的位置。Move -100 将当前光标的位置向后移动100字节（16进制）。 Write "Test" Write 0x0D0A Write MyVariable

WinHEX磁盘工具使用教程

WinHEX磁盘工具使用教程 【关键字】winhex ghost 误克隆数据恢复数据恢复工具误操作 【简介】WinHex以文件小、速度快，功能不输其它的Hex十六进位编辑器工具得到了ZDNetSoftwareLibrary五颗星最高评价，可做Hex与ASCII码编辑修改，多文件寻替换功能，一般运算及逻辑运算，磁盘磁区编辑（支持FA T16、FA T32和NTFS）自动搜寻编辑，文件比对和析等功能，另外8.3版新增了RAM编辑功能! Winhex是一个很不错的16进制文件编辑与磁盘编辑软件。 WinHex以文件小、速度快，功能不输其它的Hex十六进位编辑器工具得到了ZDNetSoftwareLibrary五颗星最高评价，可做Hex与ASCII码编辑修改，多文件寻替换功能，一般运算及逻辑运算，磁盘磁区编辑（支持FA T16、FA T32和NTFS）自动搜寻编辑，文件比对和析等功能，另外8.3版新增了RAM编辑功能! 下面我们来看看该软件的使用。 标题栏：与一般的应用软件一样，标题栏中显示软件名称和当前打开的文件名称； 菜单栏：Winhex的菜单栏由八个菜单项组成－文件菜单、编辑菜单、搜索、定位、工具、选项菜单、文件管理、窗口和帮助菜单。 在文件菜单中，除了常规的新建、打开文件和保存以及退出命令以外，还有备份管理、创建备份和载入备份功能。选择文件菜单中的属性项，弹出文件属性窗口，包括文件路径、名称、大小、创建时间和修改日期等内容。在编辑菜单中，除了常规的复制、粘贴和剪切功能外，还有数据格式转换和修改的功能。在搜索菜单中，你可以查找或替换文本内容和十六进制文件，搜索整数值和浮点数值。在定位菜单中，你可以根据偏移地址和区块的位置快速定位。在工具菜单中，包括磁盘编辑工具、文本编辑工具、计算器、模板管理工具和Hex 转换器，使用十分方便。在选项菜单中，包括常规选项设置、安全性设置和还原选项设置。在文件管理菜单中，你可以对文件进行分割、比较、复制和剖析，功能十分强大。 在Winhex的工具栏中，包括文件新建、打开、保存、打印、属性工具；剪切、粘贴和复制编辑工具；查找文本和Hex值，替换文本和Hex值；文件定位工具、RAM编辑器、计算器、区块分析和磁盘编辑工具；选项设置工具和帮助工具按钮。通过使用工具栏中的快捷按钮可以更方便的进行操作，这些和菜单中相应的命令是一样的。 在使用Winhex之前需要进行相应的选项设置，点击工具栏中的选项设置快捷图标按钮，弹出选项设置对话框.它包括是否将WinHex作为默认关联，是否添加WinHex到上下文菜单，是否不更新文件名，是否快速打开文件以及是否显示文件图标和工具栏。而且你还可以设置最近打开的文件列表中文件的数目，选择是否用TAB键产生标记，设置临时文件夹、备份文件夹和文本编辑的路径。在常规设置中，你可以选择是否选择显示双光标和页分隔符，是否逐行滚动，是否显示Windows进度条，此外你还可以设置字体类型和颜色,相信你很快就学会了。执行选项菜单中的安全项，弹出安全保护选项设置窗口，你可以选择是否限制驱动控制，是否计算标准检查和扇区读入缓存以及是否确认更新文件。另外你可以选择是否自动检查磁簇，是否总显示恢复报告，是否对下个会话保持驱动映像，是否隐蔽输入加密关键码（*****）以及检查虚拟内存变换和在RAM中是否保留密匙。在所有设置完成后，点击保存按钮，然后按确定按钮返回主窗口。 在使用Winhex时首先打开一个需要处理的文件，窗口中显示十六进制HEX格式的数值和地址。在旁边的区域显示文件名称、大小、创建时间、最后修改日期，窗口属性以及相关信息。利用鼠标拖放功能你可以选择一块数值进行修改编辑。按Ctrl+T，弹出数据修改对话框，选择数据类型和字节变换方式，可以方便的修改区块中的数据。执行文件菜单中的创建备份命令，弹出备份对话框，你可以指定备份的文件名和路径、备份说明，还可以选择是否

winhex 教程 +应用+数据恢复-Doc文件恢复-MBR、EBR、DBR

winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR 字节位置 内容及含义 第1字节 引导标志。若值为80H表示活动分区；若值为00H表示非活动分区。 第2、3、4字节 本分区的起始磁头号、扇区号、柱面号 第5字节 分区类型符： 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——（LBA模式）扩展分区 83H——Linux分区 第6、7、8字节 本分区的结束磁头号、扇区号、柱面号 第9、10、11、12字节 本分区之前已用了的扇区数 第13、14、15、16字节 本分区的总扇区数

1、什么是逻辑驱动？ 2、什么是物理驱动器？ 3、怎么搜索MBR、EBR、DBR? MBR、EBR、DBR他们都是以55AA结尾 在winhex中搜索１６进制：55AA 偏移５１２＝５１０ （１）搜索DBR的标志： FAT16的DBR:EB 3C 90没有备份的DBR FAT32的DBR:EB 58 90 （备份的DBR）在该分区的第６扇区 NTFS的DBR: EB 52 90（备份的DBR）在该分区的最后一个扇区 判别MBR的方法： MBR就在LBA第一个扇区，打开物理硬盘，第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD，共64个字节，每项16个字节。1FE-1FF就是“55 AA” 判别EBR的方法： EBR的结构和MBR的结构是一样的，在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0 （２）查找DBR可以通过搜索本分区的EBR去找DBR. 可以搜索EBR,定位DBR. DBR相对于EBR后６３号扇区。 (3)当某分区的DBR坏了，就提示：未格式化 这个时候用winhex打开逻辑盘，就打不开。 我们只有通过打开物理驱动器，然后跳转到该分区。 就可以查看DBR是否被破坏了。。。。

WinHex使用教程

一、Winhex的使用 353时代的主流修改工具是UE，可惜UE在打开linkdata.bin这种超大文件时的速度令人难以忍受，于是狂派都投入了Winhex的怀抱。 用Winhex打开要修改的文件，显示如下界面： 任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的，Winhex 便是将这些文件以二进制形式打开。不过显示的时候是十六进制，一位十六进制相当于四位二进制，两位十六进制相当于八位二进制即一个字节，每个字节即对应一个地址。 左边那一列是行标，上边那一行是列标，行标和列标便组成了地址。如6BFA3003这个地址，其行标便是6BFA3000，列标为3。 想要修改数值，直接键盘输入即可。 一个基本常识：对于有多位的十六进制数值而言，存储方式是低位在前，高位在后。如6e731f这么个值，存储方式便是1f 73 6e。 既然显示十六进制，那么自然存在一个十六进制和日常使用的十进制转化的问题。通常可以靠Windows的计算器来完成，点击Winhex工具栏的图标即可打开。在计算器的查看菜单里选择“科学型”，便有进制转换的功能。 其实Winhex自带的数据解释器也可以实现进制转换。（看不到数据解释器的，单击视图——显示——数据解释器）把光标定在某一地址，数据解释器里便能显示对应的十进制数值。在数据解释器里输入十进制值然后按回车，则那个地址的数值就会被改写成对应的十六进制。在“选项——数据解释器”里还能对数据解释器的显示内容作设置，比如翻译无符号数、浮点数等，这个有兴趣的自己试试。

地址定位 靠行标和列标来定位地址显然是愚蠢废力的。Winhex的工具栏上有个图标，点击显示如下界面： 此时直接在“新位置”里输入地址便可完成定位。 也可以定位相对地址。比如此时位置在某ATK首地址，要往上移1000h到达MOV 首地址，那么在“新位置”里输入1000，“相对于”选择“当前位置（P）（返回至）”就行了。 同理，到了MOV首地址后又要往下移960h到达一方地址，则可以在“新位置”里输入960，“相对于”选择“当前位置（C）”。 “位置”菜单里还有个很实用的功能：标记位置和转到标记，快捷键分别是Ctri+I和Ctrl+K。这个功能就不用多解释了吧，我是经常用的。 定义选块 定义选块主要是用来导出特定数据或缩小搜索范围，定义完成之后可以在“位置”菜单里快速定位到选块头和选块尾。 这个操作很简单。在选块头右键点击，选择“选块开始”，选块尾右键点击，选择“选块结尾”就完成了。

WinHex简体中文版教程 入门教程

WinHex简体中文版教程入门教程 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、WINHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是

U盘-WinHex数据恢复使用教程

WinHex数据恢复使用教程 WinHex教程 WinHex 数据恢复分类：硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。 这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如Pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数码与码制： 关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。 数据恢复我们主要用十六进制编辑器：WinHex （数据恢复首选软件） 我们先了解一下数据结构： 下面是一个分了三个区的整个硬盘的数据结构

MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。后面我们要说的用WinHex软件来恢复误分区，主要就是恢复第二部分：分区表。 引导代码的作用：就是让硬盘具备可以引导的功能。如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码，可以用DOS下的命令：FDISK /MBR；这个命令只是用来恢复引导代码，不会引起分区改变，丢失数据。另外，也可以用工具软件，比如DISKGEN、W INHEX等。 但分区表如果丢失，后果就是整个硬盘一个分区没有，就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR，也叫做扩展MBR（Extended MBR）。因为主引导记录MBR最多只能描述4个分区项，如果想要在一个硬盘上分多于4个区，就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区，C盘占用1435329个扇区……那么数据结构如下表： 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成：比如C 盘的数据结构： WinHex WinHex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方

winhex模板的使用方法

winhex模板的使用方法 winhex有很多的官方winhex模板，可以在网上下载（后缀tpl）并放至它的安装目录，即可使用。不过要是自己能自己制作，这才好玩，不是么？！ 打开winhex模板管理器，可以选中其中一个winhex模板，下面有应用，有编辑，你点开编辑按钮，就可以看到对应的winhex模板源码。而你点开那个新建按钮，就可以自己写winhex模板了，最后保存到安装目录即可。海天数据恢复小提示（按住CTRL+FA12 是模板管理器的快捷键可以快速打开模板管理器）提醒一点，我是在记事本下写好粘贴到新建后那个面板上的，因为我发现有好些符号它不支持，比如下划线、引号等，maybe是我自己没设置的原因，不过，这不是重点，略过。写好后，那个面板下有检查语法的按钮，通过它可判断你的代码是否语法正确。 闲话不多说，下面，我来讲解下winhex模板编程的语法： winhex模板头的常用关键字： 1.template:声明模板的名字 eg：template “海天数据恢复的winhex模板1″ 2.description:描述参数，描述这个winhex模板的用途。(保存好后，你可以在winhex模板管理器里看到你自定义的模板的名字，描述等信息。)eg：description “这个winhex模板是用来。。。” 3.applies_to:参数可以是file/disk/RAM。指定该winhex模板的适用对象时文件、磁盘还是内存。eg：applies_to disk 4.fixed_start offset:winhex模板的默认起始偏移量取决于光标停留的位置，而这个关键字是来指定偏移量起始位置。eg：fixed_start 0x040 5.sector-aligned:作用是指定winhex模板从当前扇区的偏移0位置运行。无参数。 6.requires offset:匹配数据，若发现指定偏移量的位置的数据不匹配，就会报错。注意：这里的偏移量是相对于winhex模板起始偏移量计算的。eg：requires 0x1fe 55aa 7.big-endian/little-endian:规定读取的字节顺序，也就是平日说的小端机、大端机的区别，内存的数据存储方向不一样。无参数。 8.hexadecimal:使winhex模板中读到的数据都以十六进制方式显示，octal为八进制，decimal为十进制。无参数。 9.read-only/read-write：规定读取权限。无参数。

winhex数据恢复完整图文教程.docx

winhex 数据恢复分：硬恢复和恢复。所硬恢复就是硬出物理性，比如有体坏道、路板芯片、体异响，等 故障，由此所致的普通用不容易取出里面数据，那么我将它修好，同又保留里面的数据或后来恢复里面的数据， 些都叫数据恢复，只不些故障有容易的和困的之分；所恢复，就是硬本身没有物理，而是由于人或者病 毒破坏所造成的数据失（比如格式化，分区），那么的数据恢复就叫恢复。 里呢，我主要介恢复，因硬恢复需要一些工具（比如pc3000, 烙，各种芯片、路板），而且需要懂一点点路基，我里所到的所有的知，涉及面广，次深，既有数据构原理，我手工准确恢复数据 提供依据，又有各种数据恢复件的使用方法及技巧，我快速恢复数据提供便利，而且所有件均网上下，不需要我投一分。 数据恢复的前提：数据不能被二次破坏、覆盖！ 关于数与制： 关于二制、十六制、八制它之的我不想多，因他我数据恢复来帮助不大，而且很容易把我。如果你感趣想多了解一些，可以到百度里面去搜一下，方面料已很多了，就不需要我再多了。 数据恢复我主要用十六制器：Winhex （数据恢复首件） 我先了解一下数据构： 下面是一个分了三个区的整个硬的数据构 MBR C EBR D EBR E MBR，即主引，位于整个硬的0 柱面 0 磁道 1 扇区，共占用了63 个扇区，但只使用了 1 个扇区（ 512 字）。在共 512 字的主引中， MBR又可分三部分：第一部分：引代，占用了446 个字；第二部分：分区表，占用了 64 字；第三部分： 55AA，束志，占用了两个字。后面我要的用winhex 件来恢复分区，主要就是恢复第二部分：分区表。 引代的作用：就是硬具可以引的功能。如果引代失，分区表在，那么个硬作从所有分区数据 都在，只是个硬自己不能用来启系了。如果要恢复引代，可以用DOS下的命令： FDISK /MBR；个命令只是用来恢复引代，不会引起分区改，失数据。另外，也可以用工具件，比如DISKGEN、WINHEX等。 但分区表如果失，后果就是整个硬一个分区没有，就好象来一个新硬没有分区一。是很多病毒喜破坏的区域。 EBR，也叫做展 MBR（Extended MBR）。因主引MBR最多只能描述 4 个分区，如果想要在一个硬上分多于4个区，就要采用展 MBR的法。 MBR、EBR是分区生的。 比如 MBR和 EBR各都占用 63 个扇区， C 占用 1435329 个扇区??那么数据构如下表： 631435329631435329631253889 MBR C EBR D EBR E 展分区 而每一个分区又由DBR、 FAT1、FAT2、 DIR、DATA5部分成：比如C?的数据构： C DBR FAT1FAT2DIR DATA Winhex Winhex 是使用最多的一款工具件，是在Windows 下运行的十六制件，此件功能非常大，有完善的分区管理 功能和文件管理功能，能自分析分区和文件簇，能硬行不同方式不同程度的份，甚至克隆整个硬；它能 任何一种文件型的二制内容（用十六制示）其磁器可以物理磁或磁的任意扇区，是手工恢复数据的首工具件。 首先要安装Winhex，安装完了就可以启winhex 了，启画面如下：首先出的是启中心框。 里我要磁行操作，就“打开磁”，出“ 磁” 框：