第11课 winhex内存搜索法

WINHEX快速入门2010-05-25 18:52:39 来源：陕西同心数据恢复中心浏览：162次这个快速入门本人已经写完很久了，准备随着新版本推出逐步更新, 加入一些最新功能介绍。

喜欢X-Ways Forensics的朋友们可以关注一下。

第一章配置软件X-way Forensics软件可以通过setup.exe安装配置后使用，也可以通过运行xwforensics.exe直接使用。

具体使用方法可根据用户习惯来选择。

但通常来说，直接运行最为方便。

软件使用中，保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径，即只有该分区被允许写入数据。

因此，在选择X-way Forensics软件使用分区时，需要考虑好下一步数据分析的实际情况。

建议选择容量较大，数据较少的分区。

使用软件前，请预先X-ways目录下建立如下三个文件夹，分别用于保存案例文件、镜像文件和临时文件。

文件夹名称也可自定义一、第一次使用X-ways运行X-ways Forensic软件后，软件首次启动，出现英文用户界面。

当进入软件后，将设置更改为中文后，再次启动即可以看到右侧的中文界面。

当数据分析使用时，一定要选择计算机法证版用户界面。

简化界面为 X-ways Investigator 用户界面。

点击确定后，将出现“General Options”对话框。

此时软件界面仍为英文。

暂时关闭该对话框，选择调用中文界面。

点击菜单中的 |Help | Setup | Chinese,Please! ，软件界面即转为中文。

如果将来需要使用英文界面，可用同样方法转换回来。

二、设置使用X-ways Forensics进行各项操作之前，首先需要进行设置。

点击 |菜单|常规设置|，或直接按 F5 键，即可显示常规设置对话窗。

保存临时文件的目录：当前设置默认保存临时文件至C:\Documents and Settings\sprite\Local Settings\Temp。

巧用WinHex找回消失的分区数据由于我是个对磁盘空间过敏的人，每当磁盘空间少到几百兆，就会想办法删掉不用的软件，时间一长，系统会变的千疮百孔，直到有一天实在无法忍受，决定重装系统，麻烦极了。

与是想用Guest做个系统映象，没想到人世间最痛苦的事情发生了。

我有两个物理硬盘，主盘分了两个区，分别为一个C盘，一个E盘，所以把Guest这个软件放到第二个硬盘D盘的根目录下。

重起进入DOS进入到软件的画面，不管三七二十一，玩玩再说。

好奇的我直接选择第一项功能: To Disk，经过乱七八糟的英文提示后，毅然点了OK按扭，接下来两个硬盘开始狂响，我突然意识到事情不对，强行重起动后，打开资源管理器，点下D盘，发现已经空白一片了。

天哪！我的软件！我的游戏！我的一切！我浑身冒汗，好像做梦一样，早知道……咦，对了！好像WinHex有打开磁盘的功能，只要知道一些文件的开头标记，兴许能恢复一些文件。

小提示：硬盘修复是一个高危险的操作，在/YingJian/200808/107.ht m一文中介绍了硬盘主引导记录等多种不同故障的处理方法，希望对大家有所参考。

幸好WinHex装到C盘上了，启动后选“OpenDisk”打开D盘，在WinHex子窗口的表格内共有三个列，最左边的是偏移值，相当于行号；中间显示的是16进制代码，右边是每组代码对应显示的文字。

因为无论是那种格式的文件开头都会有特定的标记，所以只要知道对应的代码就能知到文件的类型。

由于我D盘上大部分是RAR压缩格式的文件，所以我先用WinRar创建一个RAR文件，再用WinHex打开，在右边开头显示出Rar!字样（图1），对应的16进制的值就是“52 61 72 21”，一同选中后按“Ctrl+Shift+C”把这串代码复制到剪贴板，然后切换到刚才打开D盘的窗口，依次选择“Search >> Find Hex Values”，按“Ctrl+V”或在输入框内点右键选择“粘贴”，确认无误后点“OK”开始搜索。

一、Winhex的使用二、用Winhex打开要修改的文件，显示如下界面：任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的，Winhex便是将这些文件以二进制形式打开。

不过显示的时候是十六进制，一位十六进制相当于四位二进制，两位十六进制相当于八位二进制即一个字节，每个字节即对应一个地址。

左边那一列是行标，上边那一行是列标，行标和列标便组成了地址。

如6BFA3003这个地址，其行标便是6BFA3000，列标为3。

想要修改数值，直接键盘输入即可。

一个基本常识：对于有多位的十六进制数值而言，存储方式是低位在前，高位在后。

如6e731f这么个值，存储方式便是1f 73 6e。

既然显示十六进制，那么自然存在一个十六进制和日常使用的十进制转化的问题。

通常可以靠Windows的计算器来完成，点击Winhex工具栏的图标即可打开。

在计算器的查看菜单里选择“科学型”，便有进制转换的功能。

其实Winhex自带的数据解释器也可以实现进制转换。

（看不到数据解释器的，单击视图——显示——数据解释器）把光标定在某一地址，数据解释器里便能显示对应的十进制数值。

在数据解释器里输入十进制值然后按回车，则那个地址的数值就会被改写成对应的十六进制。

在“选项——数据解释器”里还能对数据解释器的显示内容作设置，比如翻译无符号数、浮点数等，这个有兴趣的自己试试。

地址定位靠行标和列标来定位地址显然是愚蠢废力的。

Winhex的工具栏上有个图标，点击显示如下界面：此时直接在“新位置”里输入地址便可完成定位。

也可以定位相对地址。

比如此时位置在某ATK首地址，要往上移1000h到达MOV首地址，那么在“新位置”里输入1000，“相对于”选择“当前位置（P）（返回至）”就行了。

同理，到了MOV首地址后又要往下移960h到达一方地址，则可以在“新位置”里输入960，“相对于”选择“当前位置（C）”。

“位置”菜单里还有个很实用的功能：标记位置和转到标记，快捷键分别是Ctri+I和Ctrl+K。

winhex正则-概述说明以及解释1.引言1.1 概述概述部分：正文部分将首先对WinHex进行简介，然后重点介绍其正则表达式功能。

WinHex是一款功能强大的磁盘编辑器和数据恢复工具。

它具有多项功能，可以用于查找和修复文件系统错误、恢复删除的文件、进行磁盘和存储媒体的数据分析等。

同时，WinHex还提供了强大的正则表达式功能，可以在数据中进行查找和替换操作。

正则表达式是一种用于匹配、查找和替换字符串的工具。

它可以通过一系列的字符组合，来定义模式，并且可以利用这些模式在给定的文本中进行搜索和匹配操作。

WinHex的正则表达式功能提供了丰富的语法和选项，使用户可以根据具体需求进行高级的数据操作。

无论是在数据恢复过程中，还是在进行计算机取证或者数据分析时，WinHex的正则表达式功能都能帮助用户快速、准确地搜索和操作数据。

在接下来的正文部分，我们将详细介绍WinHex的正则表达式功能的使用方法和案例。

通过实际的操作演示，读者将能够全面了解和掌握WinHex正则表达式的应用。

同时，我们还将展望WinHex正则表达式的应用前景，探讨其在日常工作中的潜在用途和发展方向。

通过本文的阅读，读者将了解到WinHex作为一款磁盘编辑器和数据恢复工具的强大功能，并且对其正则表达式功能有更深入的了解。

希望读者能够通过本文获得实际操作的指导，提高在数据分析和处理方面的能力，并且能够在工作中充分发挥WinHex正则表达式的优势。

在结论部分，我们将对本文进行总结，并展望WinHex正则表达式在未来的应用前景。

1.2 文章结构文章结构主要分为引言、正文和结论三部分。

引言部分主要是对文章的背景和意义进行说明，概述整篇文章的内容，介绍WinHex正则表达式的重要性以及本文的目的和结构。

正文部分主要是对WinHex及其正则表达式功能进行详细介绍。

首先介绍WinHex的基本信息、用途和应用范围，然后重点阐述WinHex的正则表达式功能，包括其支持的正则表达式语法、常用功能的示例应用等。

扇区（512字节）。

在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。

WinhexWinhex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。

首先要安装Winhex，安装完了就可以启动winhex了，启动画面如下：首先出现的是启动中心对话框。

这里我们要对磁盘进行操作，就选择“打开磁盘”，出现“编辑磁盘”对话框：在这个对话框里，我们可以选择对单个分区打开，也可以对整个硬盘打开，HD0是我现在正用的西部数据40G系统盘，HD1是我们要分析的硬盘，迈拓2G。

这里我们就选择打开HD1整个硬盘，再点确定.然后我们就看到了Winhex的整个工作界面。

最上面的是菜单栏和工具栏，下面最大的窗口是工作区，现在看到的是硬盘的第一个扇区的内容，以十六进制进行显示，并在右边显示相应的ASCII码，右边是详细资源面板，分为五个部分：状态、容量、当前位置、窗口情况和剪贴板情况。

这些情况对把握整个硬盘的情况非常有帮助。

另外，在其上单击鼠标右键，可以将详细资源面板与窗口对换位置，或关闭资源面板。

（如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开）。

最下面一栏是非常有用的辅助信息，如当前扇区/总扇区数目……等向下拉拉滚动条，可以看到一个灰色的横杠，每到一个横杠为一个扇区，一个扇区共512字节，每两个数字为一个字节，比如00。

下面我们来分析一下MBR，因为前面我们说过，前446个字节为引导代码，对我们来说没有意义，这里我们只分析分区表中的64个字节。

winhex教程winhex数据恢复分类：硬恢复和软恢复。

所谓硬恢复就是硬盘出现物理性损伤，比如有盘体坏道、电路板芯片烧毁、盘体异响，等故障，由此所导致的普通用户不容易取出里面数据，那么我们将它修好，同时又保留里面的数据或后来恢复里面的数据，这些都叫数据恢复，只不过这些故障有容易的和困难的之分；所谓软恢复，就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复。

这里呢，我们主要介绍软恢复，因为硬恢复还需要购买一些工具设备（比如pc3000,电烙铁，各种芯片、电路板），而且还需要懂一点点电路基础，我们这里所讲到的所有的知识，涉及面广，层次深，既有数据结构原理，为我们手工准确恢复数据提供依据，又有各种数据恢复软件的使用方法及技巧，为我们快速恢复数据提供便利，而且所有软件均为网上下载，不需要我们投资一分钱。

数据恢复的前提：数据不能被二次破坏、覆盖！关于数码与码制：关于二进制、十六进制、八进制它们之间的转换我不想多说，因为他对我们数据恢复来说帮助不大，而且很容易把我们绕晕。

如果你感兴趣想多了解一些，可以到百度里面去搜一下，这方面资料已经很多了，就不需要我再多说了。

数据恢复我们主要用十六进制编辑器：Winhex （数据恢复首选软件）我们先了解一下数据结构：下面是一个分了三个区的整个硬盘的数据结构MBR C盘 EBR D盘 EBR E盘MBR，即主引导纪录，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但实际只使用了1个扇区（512字节）。

在总共512字节的主引导记录中，MBR又可分为三部分：第一部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节；第三部分：55AA，结束标志，占用了两个字节。

后面我们要说的用winhex软件来恢复误分区，主要就是恢复第二部分：分区表。

引导代码的作用：就是让硬盘具备可以引导的功能。

如果引导代码丢失，分区表还在，那么这个硬盘作为从盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进系统了。

使用winhex来恢复数据的方法一、数据丢失的痛与恢复的希望。

1.1 数据丢失那可真是个让人头疼的事儿啊。

不管是误删了重要文件，还是硬盘出了故障，感觉就像丢了宝贝一样心急如焚。

不过呢，先别慌，咱还有winhex这个得力助手。

1.2 winhex就像是数据世界里的神奇小魔杖。

它功能强大，能在看似绝望的数据丢失状况下，给我们带来恢复数据的曙光。

二、winhex初了解。

2.1 winhex是啥呢？简单说，它就是一款专门用来处理十六进制数据的软件。

这听起来有点高大上，但实际操作起来也没那么难。

就像学骑自行车，一开始觉得难，上手了就顺溜了。

2.2 你得先把winhex安装好。

这就好比给战士配上武器，安装过程也不复杂，按照提示一步步来就行，别像没头苍蝇似的乱点。

三、开始用winhex恢复数据。

3.1 打开winhex后，首先要做的就是找到你丢失数据的存储设备。

这就如同在茫茫大海里寻找一艘沉船，得找准目标。

比如说你的数据在硬盘里丢了，那就找到对应的硬盘分区。

这一步可不能马虎，要是找错了地儿，那可就是竹篮打水一场空了。

3.2 接下来就是重头戏了。

winhex有个很厉害的功能叫磁盘克隆。

这就像做备份一样，把有问题的磁盘克隆一份。

这时候你得小心翼翼的，就像捧着个易碎的瓷器。

因为这个过程要是出了岔子，那恢复数据就更难了。

克隆完成后，就可以在克隆的副本上进行数据恢复操作。

3.3 查找丢失的数据片段。

这有点像大海捞针，但winhex有它的办法。

它可以通过分析十六进制数据的特征，找到那些可能是你丢失文件的部分。

这就要求你得有点耐心，心急吃不了热豆腐嘛。

有时候可能要花费一些时间去比对和查找，但只要坚持，往往就能找到那些“失踪”的数据。

3.4 恢复数据的时候，也要注意一些细节。

比如说数据的完整性，可不能只恢复个半拉子工程。

要确保恢复出来的数据是可用的，就像检查一件修好的东西是不是真的修好了一样。

四、数据恢复后的检查与预防。

4.1 数据恢复成功后，可别以为就万事大吉了。