winhex教程
winhex教程WinHex是一款十六进制编辑器和磁盘编辑器,它带有许多高级
winhex教程WinHex是一款十六进制编辑器和磁盘编辑器,它带有许多高级WinHex是一款十六进制编辑器和磁盘编辑器,它带有许多高级功能,也被广泛应用于数字证据分析、数据恢复和计算机取证等领域。
一些WinHex的基本使用教程:1. 打开文件:打开WinHex软件,选择File > Open,选择需要编辑的文件。
2. 显示文件内容:在菜单栏中,选择View > Data,即可显示文件内容。
可以在十六进制视图和ASCII视图之间切换。
3. 编辑文件:WinHex可以进行磁盘和文件的编辑和修复。
在编辑之前,可以选择Protect or Read-Only Mode以防止意外更改。
在编辑时,可以通过Insert特定字符、Overwrite字符以及Pasting ASCII or Unicode文本等方式进行文件修改,改动后可以选择Save选项。
4. 查找和替换:可以选择Search&Replace菜单项,然后输入搜索词并选择选项,如IgnoreCase、Whole Words Only等等。
可以通过Replace All/Replace One进行替换操作。
5. 分析文件:WinHex提供了许多分析文件的工具,如查找ASCII 串、统计字符、计算哈希值、数据恢复等等功能。
这些可以通过菜单栏的Analyze选项实现。
6. 磁盘操作:WinHex可以对磁盘进行读取、写入和恢复等操作。
在菜单栏中,选择Extras > Disk Tools,即可进行各种磁盘操作。
以上是WinHex的基本使用方法,需要注意的是,WinHex是一款功能强大的软件,需要谨慎使用防止意外操作。
同时,建议在使用前先阅读其使用手册,掌握更多信息。
winhex使用教程
winhex使用教程WinHex教程WinHexWinHex数据恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如电烙Pc3000,铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:(数据恢复首选软件)WinHex我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBR C盘 EBR D盘 EBR E盘,即主引导纪录,位于整个硬盘的柱面磁道扇区,共占用了个扇区,但实MBR00163际只使用了个扇区(字节)。
在总共字节的主引导记录中,又可分为三部分:1512512MBR第一部分:引导代码,占用了个字节;第二部分:分区表,占用了字节;第三部分:446645,结束标志,占用了两个字节。
后面我们要说的用软件来恢复误分区,主要就是恢5AAWinHex复第二部分:分区表。
引导代码的作用:就是让硬盘具备可以引导的功能。
WinHex使用教程
一、Winhex的使用二、用Winhex打开要修改的文件,显示如下界面:任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的,Winhex便是将这些文件以二进制形式打开。
不过显示的时候是十六进制,一位十六进制相当于四位二进制,两位十六进制相当于八位二进制即一个字节,每个字节即对应一个地址。
左边那一列是行标,上边那一行是列标,行标和列标便组成了地址。
如6BFA3003这个地址,其行标便是6BFA3000,列标为3。
想要修改数值,直接键盘输入即可。
一个基本常识:对于有多位的十六进制数值而言,存储方式是低位在前,高位在后。
如6e731f这么个值,存储方式便是1f 73 6e。
既然显示十六进制,那么自然存在一个十六进制和日常使用的十进制转化的问题。
通常可以靠Windows的计算器来完成,点击Winhex工具栏的图标即可打开。
在计算器的查看菜单里选择“科学型”,便有进制转换的功能。
其实Winhex自带的数据解释器也可以实现进制转换。
(看不到数据解释器的,单击视图——显示——数据解释器)把光标定在某一地址,数据解释器里便能显示对应的十进制数值。
在数据解释器里输入十进制值然后按回车,则那个地址的数值就会被改写成对应的十六进制。
在“选项——数据解释器”里还能对数据解释器的显示内容作设置,比如翻译无符号数、浮点数等,这个有兴趣的自己试试。
地址定位靠行标和列标来定位地址显然是愚蠢废力的。
Winhex的工具栏上有个图标,点击显示如下界面:此时直接在“新位置”里输入地址便可完成定位。
也可以定位相对地址。
比如此时位置在某ATK首地址,要往上移1000h到达MOV首地址,那么在“新位置”里输入1000,“相对于”选择“当前位置(P)(返回至)”就行了。
同理,到了MOV首地址后又要往下移960h到达一方地址,则可以在“新位置”里输入960,“相对于”选择“当前位置(C)”。
“位置”菜单里还有个很实用的功能:标记位置和转到标记,快捷键分别是Ctri+I和Ctrl+K。
winhex脚本命令教程--中文版
winhex脚本命令教程--中文版<转>2009-06-09 18:09脚本命令适用的环境比较多。
脚本文件中的注释以为双斜杠开头。
脚本支持的最长255方是十六进制,文本字符串(甚至10进制数值)都可以作为参数,你可以使用引号强数。
如果文本或者变量名中存在空格,则引号是必须的,在引号中的所有字符都被被识当在winhex中使用数学表达式的时候,可以引用数学表达式,但是必须用括号括起来空格。
同样可以在数学表达式中应用数字变量。
支持的操作有,加法(+),减法(-),乘法(*),整除(/),模除(%),逻辑运算以及XOR(^)。
以下是有效的数学表达式:(5*2+1), (MyVar1/(MyVar2+4)), or (-MyVar)。
以下是目前支持的脚本命令的详细描述以及使用实例。
Create "D:\My File.txt" 1000创建一个1000字节的新文件,如果已经存在同名文件,则将其覆盖。
Open "D:\My File.txt"Open "D:\*.txt"打开指定格式的文件,如果通配符为“?”则winhex会让用户选择要打开的文件。
Open C:Open D:打开指定的逻辑驱动器。
如果通配符为“:?”则winhex会让用户选择要打开的逻辑驱动器Open 80hOpen 81hOpen 9Eh打开指定的物理介质。
软盘的为00h,硬盘与u盘为80h,光盘为9Eh。
可以增加第二个参数来设定文件或者介质的编辑模式(“in-place”或者“read-only”)CreateBackup为活动文件的当前状态创建WHX备份。
CreateBackupEx 0 100000 650 true "F:\My backup.whx"备份当前活动磁盘中从0扇区到100000扇区的数据。
备份文件将自动分割成650M大输出文件的路径以及名称作为最后的参数写入。
WinHex操作说明
3
打开了某个分区的 模板,能定位到该 分区的引导扇区, 还能弹出模板对话 框,方便我们查看 和编辑分区的参数 信息。
左边的信息面板也 会显示出当前分区 的一些信息。
WinHex个逻辑驱动器的 情况。
上面的目录浏览器 会分析出当前分区 的目录结构,方便 我们查找和分析文 件。
WinHex操作说明
6
复制选中的数据,然后 将光标移动到扇区4的起 始位置,也就是偏移 800H处。
执行粘贴命令,将主引 导扇区(扇区0)的内容 备份到扇区4中。
Winhex会提示要写入的 位置。
WinHex操作说明
7
写入后,做过修改的位 置数据的颜色会变为蓝 色。此时的写入只在缓 冲区中进行,并未真正 写入到磁盘中。
一旦选择了保存指令, Winhex会提示写入操 作的危险性,是否真要 写入,回答完对话框提 示后,数据就写入到磁 盘中了。
任务总结
8
本堂课我们学习了
1、如何应用WinHex 2、了解了WinHex的操作页面 3、了解了其功能区
数据解释器会给出 当前光标位置数据 所对应的十进制数 值。
WinHex操作说明
5
下面我们来学习对磁盘 数据的操作吧。
首先打开一个物理磁盘, Winhex会自动定位到 它的0扇区,也就是主 引导扇区。
然后将鼠标定位在偏移 0的位置,拖动鼠标, 一直到1FFH,也就是该 扇区末尾,选择该片区 域。
数据备份与恢复技术
WinHex操作说明
WinHex操作说明 1
点击工具-打开磁盘,可以选择一个磁盘来进行编辑。
WinHex操作说明
2
打开磁盘后,在视 图窗口中:
上部:磁盘的分区 情况。
左边:磁盘的整体 信息。
实验一 WinHex的使用
当WinHex打开一个编辑目标时,编辑目 标中存储的所有数据都会以十六进制的形 式显示在WinHex的十六进制数据编辑区。 编辑区的右侧有滚动条,可以上下拖动, 这样就方便查看和编辑数据了。
文本区
文本区的作用:将十六进制数据编辑区 中的数据按照一定的编码解释为相应的字 符。这里的编码种类是可以在菜单中选择 的。 底边栏 主窗口下边一栏是非常有用的辅助信息, 如:0/976773168是指: 逻辑扇区号/总扇区号。
详细 资源 面板
偏 移 量 纵 坐 标
十六进制 数据编辑区
文本区
底边栏
详细资源面板
WinHex主窗口的左边是“详细资源面 板”,分为六个部分:硬盘参数、状态、 容量、当前位置、窗口情况和剪贴板情况。 “访问”功能菜单 编辑窗口的右上角有一个向下的三角 形,这就是访问功能菜单,如图:
“访问”功能菜单是数据分区的最好工 具,把每一个分区按照顺序排除一串。如 果分区表有问题,该处也会有一段反映, 而且通过这个菜单可以直接查看分区文件 系统类型、打开各个分区、直接转移到各 个分区的分区表、开始扇区等,并有相应 的模板,可以非常直观的显示分区和启动 扇区的参数,而且可直接在模板上修改、 创建备份。
新建
输入新建文件的大小,单位是字节、KB、 MB、GB。此时会出现输入大小的零值字的 文件。此时可以为这些零字节赋予有意义 的值,然后另存为文件。
打开 打开,可以选择任一文件,便可以浏览该文件的十六进 制编码。打开后的文件可以进行各种修改、查找、替换及 销毁工作。 注意:普通文件被打开后不再按照扇区的结构进行显示,而 是采用“页面”方式,就无法看到原本扇区之间的分割线。 单个页面没有固定大小,纯粹是显示单位。如果是镜像文 件,按照页面浏览会不方便,会让分析、定位扇区及解释 文件系统等常规工作无法完成。这时就需要强制按照每 512字节/扇区进行处理,WinHex的介 保存
winhex比较详细的图文使用教程
winhex⽐较详细的图⽂使⽤教程下⾯我们就来模仿分区表被病毒破坏的情况,将MBR全部填零。
我们⾸先将MBR所在的扇区选中。
⿏标指向第⼀个字节,单击右键,选择“选块开始”然后⿏标指向MBR的最后⼀个字节,单击右键,选择“选块结尾”然后我们在选区内部单击⿏标右键,选择“编辑”这样就有出来⼀个菜单然后我们选“填充选块”,这样就出来⼀个填充选块对话框在“⽤⼗六进制填充”的输⼊框中输⼊“00”,再点“确定”这样MBR所在扇区全部被我们填充为“00”如果想取消选区,那就⽤⿏标拖动随便选中⼀块区域,那么原来的选区就会取消。
注意,如果扇区数据被修改了⽽没有存盘就会变为别的颜⾊。
修改了扇区,这时候还没有存盘⽣效,如果你想存盘⽣效的话,就选择“⽂件”菜单“保存扇区”命令。
这时候就会出现⼀个提⽰,如果你不想存盘了就点取消,如果想存盘,就点确定,再点是。
好,这样就存盘了,扇区被修改的数据⼜变为⿊⾊。
这样我们就把分区表给删除了,这时候必须重新启动才能⽣效,如果你打开我的电脑,会发现三个分区(F 、G、 H)还在那⾥,并且⾥⾯的数据还能正常使⽤。
现在,我们关闭所有程序将电脑重新启动……经过不长时间的等待,电脑启动起来了,我们打开我的电脑看看,发现F 、G 、H三个分区不见了。
再打开Winhex发现MBR全部为零了,下⾯我们就着⼿开始⼿⼯恢复分区表⾸先恢复引导代码,这最简单了,只要⽤Winhex到别的系统盘把引导代码复制过来就⾏了。
我现在的机器上不是挂着两个硬盘吗?⼀个迈拓2G,⼀个西数40G,西数40G是我的系统盘,那就从这个盘上复制就⾏了。
单击“磁盘编辑器”按钮出现“编辑磁盘”对话框选择“HD0 WDC WD400EB---00CPF0”,点“确定”这样我们就把系统盘的分区表给打开了,注意,现在我们是打开了两个窗⼝,当前的窗⼝是“硬盘0”,在标题栏上有显⽰。
另外,打开窗⼝菜单也能看出来,当前窗⼝被打上⼀个勾,如果想切换回原来的窗⼝,就点击“硬盘1”。
超全WinHex教程
本教程是作者困惑的浪漫(高志鹏)耗费大量心血原创,拥有完全的著作权和知识产权,任何人未经同意不得擅自转载、抄录、或用于营利目的。
WINHEX 启动中心已经可以大致反映出它的强大功能,正上方有Open File、Open Disk、Open RAM、Open Folder 四个控件,可以对文件、磁盘、内存、文件夹进行十六机制或文字编码的编辑工作。
WINHEX 支持除加密文件外的所有已知文件格式,可以静态地编辑文件中的任意字节,改变文件结构,跟踪文件各部分在处理器中的协调过程和状态,或是对文件内容进行不可逆转的擦除工作。
WINHEX 支持除非标准硬盘(每扇区不是512 字节的特殊硬盘,一般为光纤接口)外的所有介质,可以静态地改变磁盘数据的排列、状态、属性等。
可以改变除ECC 区外任意扇区任意字节的内容。
WINHEX 还提供高访问级别的内存编辑功能,可以对当前操作系统进程进行在线、动态地编辑工作,可以更改内存变量在磁盘保留区的映射值。
WINHEX 可以对文件夹内部所有指定文件进行动态、同步的比较和集体修改工作。
从Recently opened 中可以看出WINHEX 对以往操作工程的智能记忆,Case/Projects 则为用户有选择地保留操作成果提供便利条件。
Scripts 是一个类似于流水程序模型的批处理脚本编辑系统,可以调用WINHEX 已经开发并集成的各种函数指令进行编程工作(已经有三个实验脚本),指令将不折不扣地按先后顺序依次执行,以后篇章中我们将详细介绍。
选择任意硬盘双击展开,我们就可以看到 WINHEX 的主编辑窗口,最上方的WINDOWS窗体显示当前任务对象为Hard disk 1,接下来是菜单栏,集成了文件操作、编辑、搜索查找、方位、视图、工具、特殊工具、设置、窗口和帮助等十大主菜单。
菜单栏下方为工具栏,提供了WINHEX 操作中使用率很高的各种功能键,依次是创建新文件、打开文件、保存文件、打印、文件属性、打开文件夹、撤消操作、拷贝扇区、剪切板操作、数据转换、修改数据、查找文本、查找16 进制编码、替换文本、替换16 进制编码、同步查找、转到偏移量、转到扇区、光标向回移动、光标向前移动、打开磁盘、复制磁盘、编辑内存、调用计算器、数据图像化分析、HEX 区减少一列、HEX 区增加一列、文件系统快照和目录浏览器选项、帮助调用等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
winhex教程
WinHex是一款功能强大的十六进制编辑器,主要用于处理二进制文件和磁盘。
它可以帮助用户查看和编辑十六进制数据,分析磁盘、文件系统和媒体等问题。
下面是一个简单的WinHex教程。
首先,下载和安装WinHex软件。
你可以从官方网站或其他可信的源下载WinHex的安装包。
下载完后,双击打开安装包并按照指示进行安装。
启动WinHex软件后,你会看到一个初始界面。
在菜单栏上,你可以看到一系列选项和功能。
现在,我们将介绍一些基本的操作:
1. 打开文件:点击“文件”菜单,选择“打开”选项。
然后,浏览到你想要打开的文件,选择它并点击“确定”按钮。
这样,你就可以在WinHex中查看这个文件的十六进制数据了。
2. 编辑数据:在WinHex中,你可以直接在编辑窗口中修改数据。
选中你想要修改的字节或字节块,然后用键盘上的相应键输入新的数值。
当你完成修改后,记得保存你的更改。
3. 查找和替换:点击“搜索”菜单,选择“查找和替换”选项。
在弹出的对话框中,输入你要查找的十六进制值或文本,并选择搜索的模式(十六进制、文本等)。
你还可以选择是否只在选定区域内搜索,以及是否区分大小写等选项。
4. 分析文件:WinHex还可以帮助你分析文件的结构和特征。
通过点击“工具”菜单,你可以访问各种工具,如磁盘分析工具、文件浏览器和文件恢复工具等。
这些工具可以帮助你深入了解文件的组成和特点,并帮助你解决问题。
5. 导出数据:如果你想将WinHex中的数据导出到其他程序中
使用,可以点击“文件”菜单,选择“导出”的选项。
在弹出的对
话框中,选择数据导出的格式和目标路径,然后点击“确定”按钮。
以上就是一个简单的WinHex教程,介绍了一些基本的操作和
功能。
WinHex拥有众多高级功能,如数据恢复、数据分析和
数据安全等,可以帮助用户处理复杂的二进制数据和磁盘问题。
希望这篇教程能对你有所帮助。