官方下载地址http://www.x-ways.net/winhex/index-m.html
图例winhex版本下载地址https://download.csdn.net/download/qq_44440816/13076568
1).下载完成后出现winhex.zip文件,解压文件,放置到合适位置。如图为winhex.zip内的内容。
2).解压完成之后,我们有两种方式安装winhex。
(1)以管理员方式打开winhex.exe文件即可打开,若需要桌面发送快捷方式至桌面即可。
(2)首先管理员方式打开setup.exe文件。
然后确定好安装位置然后点击ok即可完成安装,桌面会出现快捷方式。
出现以下界面即为成功安装。
界面如图所示,部分功能介绍
利用案例对winhex进行初步掌握
1.打开winhex,打开实验磁盘可以看到图中包含的多个信息,均可在上图中参数对应,重点介绍右侧磁盘信息表:
在这里面需要关注的是总容量,每扇区字节数,该参数主要应用于后期对DBR进行手工恢复。
(1)DBR,常见打开分区后0扇区为DBR
接下来我们主要使用16进制区域也就是大部分红框所选中的区域,作为实验主要区域,上方文件信息作为辅助使用,真实数据恢复环境下不会有上方文件文档信息。
(2)FAT表
注意FAT32下的FAT表关键字F8FFFF0F,可以用搜索功能查找.根据知道的信息FAT表分为2个当前为表1后面扇区有表2,因为表2与表1相同不做展示。
(3)定位根目录
如图所示,根目录同样包含有关键信息,作为FAT32的标识42 20 00 49 00作为关键字搜索,其中红框表示一个文件或文件夹。我们进入到1231文件夹内。
(4)找到子文件夹
找到子文件夹中,根据文件夹内的区域参数,通过计算定位到文件。
(5)定位到文件
可以看到右侧ansi处为乱码,可以猜测数据为中文字符,此时可以调整编码。
由于文件编码的不确定性,我们可以依次尝试,但在本文件可以明确为utf-8编码,调整即可显示出。
以FAT32为例子,我们可以画出以下图片
其中FAT1与FAT2功能相同,所以整体可以简化为DBR——FAT——FDT——DATA 模式,而其他文件系统例如EXFAT也是采用类似结构只是多了Bitmap元文件代替其中一个FAT,但是在NTFS中对其结构进行了大改,采用了MFT与目录相结合的方式来定位文件,定位逻辑相较于FAT系列有更高的复杂性,但也提高了读写效率,同时NTFS中包含有多个元文件来丰富文件系统的纠错性,例如日志元文件等,用力啊提高NTFS文件系统的稳定性和可恢复性。
整个文件系统看需要注意点: