winhex数据恢复教程

2024-01-23 167 标准

一个专业的数据恢复技术员对于winhex一个并不陌生,winhex是一款专业的十六进制编辑器,它能够解决各种文件数据方面的紧急情况,使用软件可以诊断文件发生的各种错误问题,并且还能恢复用户不小心删除的文件,找回因文件损坏而丢失的数据等,但是很多朋友可能还不知道winhex怎么恢复数据,为此小编就给大家带来了winhex数据恢复教程,一起看一看吧!

winhex数据恢复教程

恢复图片

首先我们在系统H盘存放一个cat.jpg的图片文件,通过WinHex挂载该磁盘驱动器,如下图所示文件浏览窗口红色框中就是该cat.jpg文件,通过十六进制查看器,该文件存放的位置对应偏移地址为0058B000,其中jpg图片格式文件头对应的十六进制码为FFD8FF,如图中十六进制查看器的红色框中所示就是该cat.jpg文件头,后面的十六进制数就对应该cat.jpg文件。

按住Shift+Ctrl键彻底删除cat.jpg文件后,如下图所示在WinHex的文件浏览窗口已经看不到该cat.jpg文件,但是通过十六进制查看器在0058B000位置,仍然可以看到cat.jpg文件原本占据的位置数据没有变,这也证明了基础理论中删除的数据没有立刻被覆盖,只是文件索引标识为已删除,给后续数据恢复做好了准备。

WinHex在工具-磁盘工具-通过文件类型恢复中支持多种文件类型的数据恢复,如下图所示,仅图片类型就支持包括JPEG、PNG、GIF、TIFF等多种类型,此处选择恢复文件的输出位置,一定不要与已删除文件在一个盘符,防止已删除文件的存储位置被不小心覆盖,点击确定即可得到恢复文件,如下图。

恢复分区

通常情况下,EBR不会遭到破坏,或者被破坏的几率极低,因此实践中对MBR的修复比较常见,例如某硬盘的MBR由于病毒的破坏被删除了,针对分区的恢复,这里举个比较有代表性的例子,即针对分区表的恢复。

我们这里有一块测试磁盘如下图所示,提示异常分区未分配没有初始化,但是我们之前使用时这块磁盘有两块分区,存储的也都有数据,现在利用WinHex挂载起来看一看。

挂载之后在winhex的文件浏览窗口看到如下图所示该磁盘有I和J两个分区,但是该磁盘的分区表已经损坏,如图中红色框中,该分区表数据都变为0,这也是出现无法识别分区的主要原因。

下面就利用DBR分区数据来尝试恢复这两个分区,NTFS系统的DBR标志为EB 52 90在WinHex中搜索得到如下图结果其在第128扇区,dbr的28至2f保存的是文件系统扇区总数,通过数据解释器查看该分区扇区总数为409,599,这里使用当前扇区128加上409,599再加上1得到下一个分区的位于第409,728扇区。

跳转至第409,728扇区,该扇区头部发现DBR标志EB 52 90,验证了我们计算的扇区大小的正确性,如下图所示,查看该dbr的28至2f保存的是文件系统扇区总数,通过数据解释器查看该分区扇区总数为608,255,这里使用当前扇区409,728加上608,255再加上1得到结果1,017,984,第1,017,984扇区已经非常接近磁盘总扇区数1024000,通过WinHex查看后续也没有DBR了,则可验证该磁盘有两个分区。

后面利用上文找到的两个分区的起始扇区和分区包含的扇区总数来恢复MBR的分区表,分区1的起始扇区为128,分区1包含409,599个扇区,转换为十六进制起始扇区为80 00 00 00,扇区总数为FF 3F 06 00,分区2的起始扇区为409,728,分区2包含608,255个扇区,转换为十六进制起始扇区为80 40 06 00,扇区总数为FF 47 09 00,两个分区均为NTFS格式,对应标志为07,如图中红色框部分。

保存以上修改,重新挂载该磁盘后即可看到该磁盘两个分区恢复正常,分区中的文件也正常,如下图所示。

以上对数据恢复中涉及的基础知识,包括硬盘的寻址方式、分区结构以及WinHex的用法等进行了介绍,同时结合实际恢复删除的图片和被破坏的分区来进一步阐述理论的正确性,后续将展开对数据恢复的更多学习内容,大家一起学习交流。

展开内容

用户评论

0人评论
  • 评论需审核后才能显示