Winhex基础教程

一，winhex下载与安装

1. 下载winhex

官方下载地址http://www.x-ways.net/winhex/index-m.html
图例winhex版本下载地址https://download.csdn.net/download/qq_44440816/13076568

2. 安装

1).下载完成后出现winhex.zip文件，解压文件，放置到合适位置。如图为winhex.zip内的内容。

2).解压完成之后，我们有两种方式安装winhex。
（1）以管理员方式打开winhex.exe文件即可打开，若需要桌面发送快捷方式至桌面即可。

（2）首先管理员方式打开setup.exe文件。

然后确定好安装位置然后点击ok即可完成安装，桌面会出现快捷方式。

出现以下界面即为成功安装。

二，winhex基础使用

1. 设置为中文

点击help选项，选择setup，找到中文既可设置为中文。

2. 界面基础介绍

界面如图所示，部分功能介绍

三，使用winhex进行一次简单的数据恢复

利用案例对winhex进行初步掌握

1.打开winhex，打开实验磁盘

可以看到图中包含的多个信息，均可在上图中参数对应，重点介绍右侧磁盘信息表：

在这里面需要关注的是总容量,每扇区字节数，该参数主要应用于后期对DBR进行手工恢复。

2.进入到分区1

（1）DBR，常见打开分区后0扇区为DBR

接下来我们主要使用16进制区域也就是大部分红框所选中的区域，作为实验主要区域，上方文件信息作为辅助使用，真实数据恢复环境下不会有上方文件文档信息。

（2）FAT表

注意FAT32下的FAT表关键字F8FFFF0F，可以用搜索功能查找.根据知道的信息FAT表分为2个当前为表1后面扇区有表2，因为表2与表1相同不做展示。

（3）定位根目录

如图所示，根目录同样包含有关键信息，作为FAT32的标识42 20 00 49 00作为关键字搜索，其中红框表示一个文件或文件夹。我们进入到1231文件夹内。

（4）找到子文件夹

找到子文件夹中，根据文件夹内的区域参数，通过计算定位到文件。

（5）定位到文件

可以看到右侧ansi处为乱码，可以猜测数据为中文字符，此时可以调整编码。

由于文件编码的不确定性，我们可以依次尝试，但在本文件可以明确为utf-8编码，调整即可显示出。

四，winhex下常见文件系统

大体上Windows中常见的文件系统FAT类型和NTFS都遵循B树结构，如下图所示，都在一个DBR后放置系统关键子文件，然后就是根目录记载，在目录后方常规跟随着数据区。

1.FAT32

以FAT32为例子，我们可以画出以下图片

其中FAT1与FAT2功能相同，所以整体可以简化为DBR——FAT——FDT——DATA 模式，而其他文件系统例如EXFAT也是采用类似结构只是多了Bitmap元文件代替其中一个FAT，但是在NTFS中对其结构进行了大改，采用了MFT与目录相结合的方式来定位文件，定位逻辑相较于FAT系列有更高的复杂性，但也提高了读写效率，同时NTFS中包含有多个元文件来丰富文件系统的纠错性，例如日志元文件等，用力啊提高NTFS文件系统的稳定性和可恢复性。
整个文件系统看需要注意点：

（1）注意簇数，分区的簇数是可以自定义例如一扇区一个簇.
（2）默认扇区字节数，常见为512字节，但不排除非常见数字。多关注DBR信息
（3）FAT32有备份DBR一般DBR被损坏，备份DBR可以之间使用帮助Windows识别FAT32
（4）FAT32目录结构分为长文件名与短文件名、所占用大小存在差异，需要自行判断。
（5）FAT32文件被删除后存在E5标识，后续会被填充，在目录无法找到文件位置时，可以根据数据区逆推回文件。
（6）..........

2.EXFAT文件系统

根据相关Microsoft文档我们可以做出以下图例

从图中我们可以得出以下结论

同样与FAT系列文件系统一样都包含有DBR/FAT/FDT
引入了簇位图与大小写来提高文件系统可用性
同时FAT表与簇位图，大小写，根目录之间有固定的00参数填充
寻址逻辑依然通FAT系列文件系统相同，可看作FAT文件系统升级版