當前位置:首頁 > 資訊教程 > 軟件教程 > winhex數(shù)據(jù)恢復教程

winhex數(shù)據(jù)恢復教程

2024-01-23163次佚名

winhex官方版(16進制編輯器) v20.9
類型:文字處理
時間:2023-09-03
標簽:編輯器,文本編輯

一個專業(yè)的數(shù)據(jù)恢復技術員對于winhex一個并不陌生,winhex是一款專業(yè)的十六進制編輯器,它能夠解決各種文件數(shù)據(jù)方面的緊急情況,使用軟件可以診斷文件發(fā)生的各種錯誤問題,并且還能恢復用戶不小心刪除的文件,找回因文件損壞而丟失的數(shù)據(jù)等,但是很多朋友可能還不知道winhex怎么恢復數(shù)據(jù),為此小編就給大家?guī)砹藈inhex數(shù)據(jù)恢復教程,一起看一看吧!

winhex數(shù)據(jù)恢復教程

恢復圖片

首先我們在系統(tǒng)H盤存放一個cat.jpg的圖片文件,通過WinHex掛載該磁盤驅動器,如下圖所示文件瀏覽窗口紅色框中就是該cat.jpg文件,通過十六進制查看器,該文件存放的位置對應偏移地址為0058B000,其中jpg圖片格式文件頭對應的十六進制碼為FFD8FF,如圖中十六進制查看器的紅色框中所示就是該cat.jpg文件頭,后面的十六進制數(shù)就對應該cat.jpg文件。

按住Shift+Ctrl鍵徹底刪除cat.jpg文件后,如下圖所示在WinHex的文件瀏覽窗口已經(jīng)看不到該cat.jpg文件,但是通過十六進制查看器在0058B000位置,仍然可以看到cat.jpg文件原本占據(jù)的位置數(shù)據(jù)沒有變,這也證明了基礎理論中刪除的數(shù)據(jù)沒有立刻被覆蓋,只是文件索引標識為已刪除,給后續(xù)數(shù)據(jù)恢復做好了準備。

WinHex在工具-磁盤工具-通過文件類型恢復中支持多種文件類型的數(shù)據(jù)恢復,如下圖所示,僅圖片類型就支持包括JPEG、PNG、GIF、TIFF等多種類型,此處選擇恢復文件的輸出位置,一定不要與已刪除文件在一個盤符,防止已刪除文件的存儲位置被不小心覆蓋,點擊確定即可得到恢復文件,如下圖。

恢復分區(qū)

通常情況下,EBR不會遭到破壞,或者被破壞的幾率極低,因此實踐中對MBR的修復比較常見,例如某硬盤的MBR由于病毒的破壞被刪除了,針對分區(qū)的恢復,這里舉個比較有代表性的例子,即針對分區(qū)表的恢復。

我們這里有一塊測試磁盤如下圖所示,提示異常分區(qū)未分配沒有初始化,但是我們之前使用時這塊磁盤有兩塊分區(qū),存儲的也都有數(shù)據(jù),現(xiàn)在利用WinHex掛載起來看一看。

掛載之后在winhex的文件瀏覽窗口看到如下圖所示該磁盤有I和J兩個分區(qū),但是該磁盤的分區(qū)表已經(jīng)損壞,如圖中紅色框中,該分區(qū)表數(shù)據(jù)都變?yōu)?,這也是出現(xiàn)無法識別分區(qū)的主要原因。

下面就利用DBR分區(qū)數(shù)據(jù)來嘗試恢復這兩個分區(qū),NTFS系統(tǒng)的DBR標志為EB 52 90在WinHex中搜索得到如下圖結果其在第128扇區(qū),dbr的28至2f保存的是文件系統(tǒng)扇區(qū)總數(shù),通過數(shù)據(jù)解釋器查看該分區(qū)扇區(qū)總數(shù)為409,599,這里使用當前扇區(qū)128加上409,599再加上1得到下一個分區(qū)的位于第409,728扇區(qū)。

跳轉至第409,728扇區(qū),該扇區(qū)頭部發(fā)現(xiàn)DBR標志EB 52 90,驗證了我們計算的扇區(qū)大小的正確性,如下圖所示,查看該dbr的28至2f保存的是文件系統(tǒng)扇區(qū)總數(shù),通過數(shù)據(jù)解釋器查看該分區(qū)扇區(qū)總數(shù)為608,255,這里使用當前扇區(qū)409,728加上608,255再加上1得到結果1,017,984,第1,017,984扇區(qū)已經(jīng)非常接近磁盤總扇區(qū)數(shù)1024000,通過WinHex查看后續(xù)也沒有DBR了,則可驗證該磁盤有兩個分區(qū)。

后面利用上文找到的兩個分區(qū)的起始扇區(qū)和分區(qū)包含的扇區(qū)總數(shù)來恢復MBR的分區(qū)表,分區(qū)1的起始扇區(qū)為128,分區(qū)1包含409,599個扇區(qū),轉換為十六進制起始扇區(qū)為80 00 00 00,扇區(qū)總數(shù)為FF 3F 06 00,分區(qū)2的起始扇區(qū)為409,728,分區(qū)2包含608,255個扇區(qū),轉換為十六進制起始扇區(qū)為80 40 06 00,扇區(qū)總數(shù)為FF 47 09 00,兩個分區(qū)均為NTFS格式,對應標志為07,如圖中紅色框部分。

保存以上修改,重新掛載該磁盤后即可看到該磁盤兩個分區(qū)恢復正常,分區(qū)中的文件也正常,如下圖所示。

以上對數(shù)據(jù)恢復中涉及的基礎知識,包括硬盤的尋址方式、分區(qū)結構以及WinHex的用法等進行了介紹,同時結合實際恢復刪除的圖片和被破壞的分區(qū)來進一步闡述理論的正確性,后續(xù)將展開對數(shù)據(jù)恢復的更多學習內(nèi)容,大家一起學習交流。

關文章

  • 教程
  • winhex數(shù)據(jù)恢復教程
    winhex數(shù)據(jù)恢復教程

    一個專業(yè)的數(shù)據(jù)恢復技術員對于winhex一個并不陌生,winhex是一款專業(yè)的十六進制編輯器,它能夠解決各種文件數(shù)據(jù)方面的緊急情況,使用軟件可以診斷文件發(fā)生的各種錯誤問題,并且還能恢復用戶不小心刪除的文件,找回因文件損壞而丟失的數(shù)據(jù)等

網(wǎng)友評論

0條評論
(您的評論需要經(jīng)過審核才能顯示)

近期熱點

  • 不同型號的電腦vt開啟方法介紹
    不同型號的電腦vt開啟方法介紹

    VT(Virtualization Technology)是一種虛擬化技術,允許一個平臺同時運行多個操作系統(tǒng),本身對電腦不會有任何負面影響,開啟后可以大幅提升模擬器性能,減少畫面卡頓、游戲運行更流暢,因此強烈建議開啟VT!那么如何開啟

  • 華碩(ASUS)主板開啟vt教程
    華碩(ASUS)主板開啟vt教程

    華碩主板怎么開啟VT,如何操作?3322軟件站整理了華碩(ASUS)主板開啟vt教程供大家閱讀分享,快來看看吧! 第一步,重啟電腦,進入BIOS 屏幕亮起后不斷按下“Del”或者”F2“鍵進入BIOS頁面,開啟