winhex偏移量
移动硬盘坏了,用WinHex修复
打开时会出现这个提示,至少说明 MFT 是损坏了,把 offset C0000000 记下来,这个就是 MFT 的起始行号。后面的 offset 3A380D4000 是 MFTMirr,可以不管它。 提示要”格式化”和”文件或目录损坏且无法读取”最大可能就是硬盘启动扇区或者是分 区表或者是 MFT 的数据被损坏了,所以必须先要检查 MBR(启动扇区)和 EBR(分区表)是否 正常。 2).检查 MBR 正常 3).检查 EBR 正常 4).检查 MFT 是否正常
如果 MFT 起始扇区的 4 个开头字节不是 46 49 4C 45,说明 MFT 损坏,必须修复。 $MFTMirr 是 MFT 的镜像,可以不必理会。 三、修复过程 1.检查硬盘盒是否正常 移动硬盘提示要格式化,有一种可能是 USB 口坏了,如果有另一个硬盘盒,可以 换个硬盘盒试下。 如果有光驱位硬盘架, 最好用换到光驱位硬盘架上, 这样硬盘读取速度快, 比 USB 口至少快 4 倍。 如果换了硬盘插口后如果可以正常打开硬盘,数据访问正常,说明是硬盘盒坏了, 重新买个好的就行了,下面的步骤就不必做了。 2.检查硬盘本身是否坏了 用 HDTunePro 软件检测硬盘健康信息和坏区.
再定位到 MFT 起始簇,选择第 1 个位置,点右键,选 EditClipboard DataWrite, 将,复制的内容写入。
这样就把 MFT 恢复到起始位置了,写入后被写入的地方都显示为蓝色,这时实际 还没写入磁盘,需要保存才能生效。 3).保存修改。 4).重启电脑 电脑再次启动时自动检查磁盘, 重建索引, 待启动完成, 打开问题磁盘, 一切正常, 磁盘修复成功。
选择打开物理磁盘(Physical)
下面总结有关 MBR、MFT 的几个关键内容: 1.点分区,或点右边下三角下拉 Boot sector(启动扇区)到能直接定位到 MBR 起始扇区
《WinHex》找回闪存盘的丢失数据 winhex数据恢复案例
《WinHex》找回闪存盘的失意数据 winhex数据恢复案例2009-11-03 17:59前几天,一个朋友的重要文稿不见了,系统提示存放文件的U盘没有格式化,所以不能读出任何有效的文件,情急之下只得请我出马。
下面就给大家说说笔者从U盘上找回丢失文件的过程。
小知识:删除的文件为什么可以恢复?存储一个文件的时候,操作系统首先在记录所有空间使用情况的文件分配表(FAT)中找到足够容纳文件的空间,然后把文件内容写到相对应的硬盘扇区上,并在文件分配表中标出该空间已经被占用。
删除文件的时候,一般并不对文件所占用的扇区进行操作,而仅仅是在文件分配表中指明哪些空间可以分配给别的文件使用。
这个时候,被删除文件的实际内容仍然存在,可以被恢复。
如果删除文件后又创建了新文件,那么被删文件所占用的扇区就有可能被新文件所使用,这时候就无法恢复被删文件的数据了。
所以一旦误删除了文件,就不要再对该文件所在的分区进行写操作了,否则有可能覆盖原有数据,造成文件无法恢复。
小知识:恢复文件的三个阶段1.使用自动化恢复软件恢复软件(如Finaldata或EasyRecovery等)使用很简单,根据向导的指示操作就可以了。
2.手工恢复被删除数据手工恢复的原理是直接在存储设备上寻找被删除文件的关键内容。
这种方法适合恢复有明显特征而且结构简单的文件,如文本文件。
如果文件很大,且分散于磁盘的不同位置,还需要根据文档的内部结构重新组织文档,才能彻底恢复数据。
3.找专业的数据恢复公司备份数据由于数据很重要,所以首先要进行备份,万一出现误操作,还可以把U盘恢复到最初的状态。
这一步很重要,并且U盘容量不大,备份不会占用太大磁盘空间。
进行扇区级别的磁盘数据备份有很多工具,如Ghost、WinHex和DiskExplorer,下面主要介绍WinHex。
WinHex是一个16进制文件编辑工具,可以跳过操作系统的文件系统直接读取磁盘和U盘等设备,从而进行数据恢复。
WINHEX软件使用
55AA结束标志:
所有MBR, DBR, EBR的 结束标志都相同,都为 55AA。
常用的分区表类型
00H---------表示该分区未用 06H---------FAT16分区类型 0CH---------FAT32分区类型(EB 58 90) 07H--------NTFS分区类型(EB 52 90) 05H--------逻辑分区
0FH--------扩展分区
83H--------Linux分区
该功能最常用于:将十六进制转换为十进制数值;将十六进制解析为标准的 时间表示形式。
MBR (Master Boot Record)主引导记录
MBR的总体结构
引导代码:占用446字节
MBR可分为三大 部分:(重点)
分区表:占用64字节
55AA结束标志,占用两个字节
引导代码:
计算机主板的BIOS程序在自检通过后,会将MBR整个扇区读取到内
的备份,直接克隆整个硬盘,还可以编辑物理磁盘或
逻辑磁盘的任一个扇区,是一款很好的磁盘编辑软件。
底层数据编辑软件界面
打开磁盘
底层数据编辑软件界面
底层数据编辑软件界面
底层数据编辑软件界面
跳转到某个具体扇区和偏移量
底层数据编辑软件界面
文本搜索和十六进制搜索
底层数据编辑软件界面
数据解释器 这个功能是winhex中非常重要的一个功能模块,它可以解析多种编码并进行 运算包括时间。数据解释器是在查看菜单栏中的显示选项下面的,如下图:
winhex正则-概述说明以及解释
winhex正则-概述说明以及解释1.引言1.1 概述概述部分:正文部分将首先对WinHex进行简介,然后重点介绍其正则表达式功能。
WinHex是一款功能强大的磁盘编辑器和数据恢复工具。
它具有多项功能,可以用于查找和修复文件系统错误、恢复删除的文件、进行磁盘和存储媒体的数据分析等。
同时,WinHex还提供了强大的正则表达式功能,可以在数据中进行查找和替换操作。
正则表达式是一种用于匹配、查找和替换字符串的工具。
它可以通过一系列的字符组合,来定义模式,并且可以利用这些模式在给定的文本中进行搜索和匹配操作。
WinHex的正则表达式功能提供了丰富的语法和选项,使用户可以根据具体需求进行高级的数据操作。
无论是在数据恢复过程中,还是在进行计算机取证或者数据分析时,WinHex的正则表达式功能都能帮助用户快速、准确地搜索和操作数据。
在接下来的正文部分,我们将详细介绍WinHex的正则表达式功能的使用方法和案例。
通过实际的操作演示,读者将能够全面了解和掌握WinHex正则表达式的应用。
同时,我们还将展望WinHex正则表达式的应用前景,探讨其在日常工作中的潜在用途和发展方向。
通过本文的阅读,读者将了解到WinHex作为一款磁盘编辑器和数据恢复工具的强大功能,并且对其正则表达式功能有更深入的了解。
希望读者能够通过本文获得实际操作的指导,提高在数据分析和处理方面的能力,并且能够在工作中充分发挥WinHex正则表达式的优势。
在结论部分,我们将对本文进行总结,并展望WinHex正则表达式在未来的应用前景。
1.2 文章结构文章结构主要分为引言、正文和结论三部分。
引言部分主要是对文章的背景和意义进行说明,概述整篇文章的内容,介绍WinHex正则表达式的重要性以及本文的目的和结构。
正文部分主要是对WinHex及其正则表达式功能进行详细介绍。
首先介绍WinHex的基本信息、用途和应用范围,然后重点阐述WinHex的正则表达式功能,包括其支持的正则表达式语法、常用功能的示例应用等。
winhex脚本命令教程--中文版
winhex脚本命令教程--中文版<转>2009-06-09 18:09脚本命令适用的环境比较多。
脚本文件中的注释以为双斜杠开头。
脚本支持的最长255方是十六进制,文本字符串(甚至10进制数值)都可以作为参数,你可以使用引号强数。
如果文本或者变量名中存在空格,则引号是必须的,在引号中的所有字符都被被识当在winhex中使用数学表达式的时候,可以引用数学表达式,但是必须用括号括起来空格。
同样可以在数学表达式中应用数字变量。
支持的操作有,加法(+),减法(-),乘法(*),整除(/),模除(%),逻辑运算以及XOR(^)。
以下是有效的数学表达式:(5*2+1), (MyVar1/(MyVar2+4)), or (-MyVar)。
以下是目前支持的脚本命令的详细描述以及使用实例。
Create "D:\My File.txt" 1000创建一个1000字节的新文件,如果已经存在同名文件,则将其覆盖。
Open "D:\My File.txt"Open "D:\*.txt"打开指定格式的文件,如果通配符为“?”则winhex会让用户选择要打开的文件。
Open C:Open D:打开指定的逻辑驱动器。
如果通配符为“:?”则winhex会让用户选择要打开的逻辑驱动器Open 80hOpen 81hOpen 9Eh打开指定的物理介质。
软盘的为00h,硬盘与u盘为80h,光盘为9Eh。
可以增加第二个参数来设定文件或者介质的编辑模式(“in-place”或者“read-only”)CreateBackup为活动文件的当前状态创建WHX备份。
CreateBackupEx 0 100000 650 true "F:\My backup.whx"备份当前活动磁盘中从0扇区到100000扇区的数据。
备份文件将自动分割成650M大输出文件的路径以及名称作为最后的参数写入。
实验一 WinHex的使用
当WinHex打开一个编辑目标时,编辑目 标中存储的所有数据都会以十六进制的形 式显示在WinHex的十六进制数据编辑区。 编辑区的右侧有滚动条,可以上下拖动, 这样就方便查看和编辑数据了。
文本区
文本区的作用:将十六进制数据编辑区 中的数据按照一定的编码解释为相应的字 符。这里的编码种类是可以在菜单中选择 的。 底边栏 主窗口下边一栏是非常有用的辅助信息, 如:0/976773168是指: 逻辑扇区号/总扇区号。
详细 资源 面板
偏 移 量 纵 坐 标
十六进制 数据编辑区
文本区
底边栏
详细资源面板
WinHex主窗口的左边是“详细资源面 板”,分为六个部分:硬盘参数、状态、 容量、当前位置、窗口情况和剪贴板情况。 “访问”功能菜单 编辑窗口的右上角有一个向下的三角 形,这就是访问功能菜单,如图:
“访问”功能菜单是数据分区的最好工 具,把每一个分区按照顺序排除一串。如 果分区表有问题,该处也会有一段反映, 而且通过这个菜单可以直接查看分区文件 系统类型、打开各个分区、直接转移到各 个分区的分区表、开始扇区等,并有相应 的模板,可以非常直观的显示分区和启动 扇区的参数,而且可直接在模板上修改、 创建备份。
新建
输入新建文件的大小,单位是字节、KB、 MB、GB。此时会出现输入大小的零值字的 文件。此时可以为这些零字节赋予有意义 的值,然后另存为文件。
打开 打开,可以选择任一文件,便可以浏览该文件的十六进 制编码。打开后的文件可以进行各种修改、查找、替换及 销毁工作。 注意:普通文件被打开后不再按照扇区的结构进行显示,而 是采用“页面”方式,就无法看到原本扇区之间的分割线。 单个页面没有固定大小,纯粹是显示单位。如果是镜像文 件,按照页面浏览会不方便,会让分析、定位扇区及解释 文件系统等常规工作无法完成。这时就需要强制按照每 512字节/扇区进行处理,WinHex的介 保存
WinHex精彩技巧1
就可以不让它修改主页了。
具体方法:运行WinHex,打开QQ安装目录下的QQ.exe文件,单击“搜索”菜单下的“查找文本”,会弹出“查找文本”窗口,在“下列文本字符将被搜寻(S):”栏中输入:AD\(如图1),注意一定不要选“区分大小写”。然后单击“确定”按钮,会找到四处结果,把AD\替换为其他字符如CC\,只要字符位数一样多就可以。
切换到WinHex另外一个打开了G盘的窗口,点击“搜索ห้องสมุดไป่ตู้菜单下的“查找文本”,在“下列文本字符串将被搜索”一栏中输入:Rar!,单击“确定”开始查找。找到后在代码串的开头部分按鼠标右键,在弹出的快捷菜单中选择“选块开始”(图2)。按F3键继续搜索,很快找到了第二个相同的代码串,在最前面的代码之前的那个代码处点击右键,在弹出的快捷菜单中选择“选块结尾”,被选中的区域会变成浅蓝色,这样就成功地选择了一个RAR文件,不过里面都是十六进制代码。
三 找回遗忘的Foxmail邮箱口令
如果忘记了Foxmail邮箱口令该怎么办呢?首先用WinHex打开Foxamil5.0的主程序foxmail.exe文件,单击“搜索”菜单下的“查找16进制数值”,在出现的对话框中输入以下代码:E82978E4FF7515,点击“确定”按钮可以在WinHex中发现这些代码,把它们修改为:E82978E4FF9090。再单击“文件”菜单中的“保存”即可。如果你使用的是Foxmail 4.2,则搜索E81DE7E9FF7515,找到后将它们修改为E81DE7E9FF9090并保存就可以了。
五、用WinHEX修复受损的MPEG文件
有时我们会遇到这种情况:从网上下载的MPEG文件用某些MPEG播放工具打开时会提示“不能识别的格式”或“格式不对”,从而无法播放。有趣的是同样的文件用其他播放软件也有能播放的时候,但开始的几秒钟画面总要一跳一闪的,从中可以看出是MPEG文件头数据有所损坏。如果能修复受损的MPEG文件头就可以用任何MPEG播放软件来播放了,我们可以用WinHex来实现这个目的。
winhex模板的使用方法
winhex模板的使用方法winhex有很多的官方winhex模板,可以在网上下载(后缀tpl)并放至它的安装目录,即可使用。
不过要是自己能自己制作,这才好玩,不是么?!打开winhex模板管理器,可以选中其中一个winhex模板,下面有应用,有编辑,你点开编辑按钮,就可以看到对应的winhex模板源码。
而你点开那个新建按钮,就可以自己写winhex模板了,最后保存到安装目录即可。
海天数据恢复小提示(按住CTRL+FA12 是模板管理器的快捷键可以快速打开模板管理器)提醒一点,我是在记事本下写好粘贴到新建后那个面板上的,因为我发现有好些符号它不支持,比如下划线、引号等,maybe是我自己没设置的原因,不过,这不是重点,略过。
写好后,那个面板下有检查语法的按钮,通过它可判断你的代码是否语法正确。
闲话不多说,下面,我来讲解下winhex模板编程的语法:winhex模板头的常用关键字:1.template:声明模板的名字 eg:template “海天数据恢复的winhex模板1″2.description:描述参数,描述这个winhex模板的用途。
(保存好后,你可以在winhex模板管理器里看到你自定义的模板的名字,描述等信息。
)eg:description “这个winhex模板是用来。
”3.applies_to:参数可以是file/disk/RAM。
指定该winhex模板的适用对象时文件、磁盘还是内存。
eg:applies_to disk4.fixed_start offset:winhex模板的默认起始偏移量取决于光标停留的位置,而这个关键字是来指定偏移量起始位置。
eg:fixed_start 0x0405.sector-aligned:作用是指定winhex模板从当前扇区的偏移0位置运行。
无参数。
6.requires offset:匹配数据,若发现指定偏移量的位置的数据不匹配,就会报错。
注意:这里的偏移量是相对于winhex模板起始偏移量计算的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
winhex偏移量
一、WinHex偏移量的定义和作用
在WinHex中,偏移量用来表示文件中的位置或偏移。
它是一个以十六进制表示的数字,用于定位和访问文件中的特定位置。
偏移量从0开始,逐渐增加,指示了相对于文件开头的位置。
WinHex中的偏移量对于编辑和分析二进制数据尤为重要。
用户可以通过设置偏移量,直接定位到文件中的特定位置,并对该位置处的数据进行修改或分析。
偏移量可以帮助用户快速定位到感兴趣的数据,并对其进行操作和处理。
二、WinHex偏移量的使用方法
1. 在WinHex中,用户可以通过直接输入偏移量的值来定位到文件中的特定位置。
用户只需在界面上的偏移量输入框中输入偏移量的值,然后按下回车键即可跳转到相应的位置。
2. 用户还可以通过拖动光标来改变偏移量的值。
在WinHex的编辑模式下,用户可以通过拖动光标来选择要编辑的数据,同时也可以通过拖动光标来改变偏移量的值,从而实现对文件中不同位置的快速定位。
3. WinHex还提供了一些快捷键来帮助用户在文件中进行偏移量的导航。
例如,用户可以使用Ctrl+G快捷键来弹出跳转对话框,输入
要跳转的偏移量的值,然后按下回车键即可跳转到相应的位置。
三、WinHex偏移量的应用场景
WinHex偏移量的应用场景非常广泛,下面列举了一些常见的应用场景:
1. 数据恢复:当文件损坏或丢失时,用户可以使用WinHex来恢复丢失的数据。
通过设置正确的偏移量,用户可以定位到文件中被破坏或删除的数据,并进行修复或恢复。
2. 文件编辑:WinHex可以用作文件编辑器,用户可以使用偏移量来定位到文件中的特定位置,并对该位置处的数据进行修改。
用户可以在文件中插入、删除或替换数据,实现对文件的编辑操作。
3. 数据分析:WinHex可以用作数据分析工具,用户可以使用偏移量来定位到文件中感兴趣的数据,并对其进行分析和解析。
通过对数据的分析,用户可以获取有关文件结构、数据格式和数据类型等信息。
4. 文件比较:WinHex可以用来比较两个文件的差异。
用户可以通过设置偏移量,将两个文件中相同偏移量处的数据进行比较,从而找出两个文件之间的差异和变化。
四、WinHex偏移量的注意事项
在使用WinHex的偏移量时,需要注意以下几点:
1. 确保设置的偏移量值正确无误。
如果偏移量值错误,可能会导致对错误位置的数据进行操作,从而造成数据损坏或错误。
2. 在进行文件编辑和修改操作时,最好先备份原始文件。
这样可以在操作出错时,恢复到原始文件,避免数据丢失。
3. 在进行数据分析和解析时,需要对数据的结构和格式有一定的了解。
否则,可能会对数据进行错误的解析和分析,导致得到错误的结果。
总结:
WinHex偏移量在二进制数据编辑和分析中起着重要的作用。
通过设置偏移量,用户可以快速定位到文件中的特定位置,并对该位置处的数据进行编辑、分析和处理。
在使用WinHex的偏移量时,需要确保设置的偏移量值正确无误,并注意备份原始文件和对数据结构和格式的了解。
通过合理使用WinHex的偏移量,用户可以更加高效地进行二进制数据编辑和分析。