数据恢复基础和进阶教程（三）

在上节课中，我们简单介绍了下winhex下，按数据类型恢复的一个简单的例子，希望大家能有个简单的认识。今天我们学习的内容分两个部分，一是补充完善上节课留下的一个小知识点，那就是虚拟磁盘的建立和使用。二是介绍下winhex下，数据的存储形态。
如上节课所述，我们知道，数据的固定和恢复是直接与硬盘底层打交道的，如果我们直接对本机硬盘进行操作，不采取保护措施，那么很容易导致原有数据丢失和系统损害。工作中，尤其是在做证据的取证和分析中，我们常常需要对需要固定的硬盘进行全盘镜像处理，对镜像进行分析，而我们学习和练习中，我们也要养成这个良好的学习习惯，所以我们需要建立虚拟磁盘以便我们进行操作和练习，话不多说，直接上图。
虚拟磁盘的建立
第一我们进入磁盘管理

第二步创建VHD
第三步建立VHD和分配大小
第四步创建VHD前后对比
虚拟磁盘容量可根据需要，调整大小。创建完成后，我们可以在这里尽情的增、删操作。需要注意一点，当我们重新启动电脑，这个虚拟磁盘就会消失，所以请大家提前进行必要的数据处理，以便造成不必要的麻烦。

介绍完以上内容，下面我们继续介绍winhex数据恢复之数据存储形态：
数据存储，其实就是数在计算机是如何组织存放的，或者说是采用何种方式存储的，在计算机基础中，我们知道，高低电平代表0和1，所以我么经常用到二进制、八进制、十六进制来表示一段具有特定意义的代码段，这个代码段可是只是一个跳转指令也可以只是一段简单的数据，关于二进制、八进制我们不做过多介绍，我么介绍一下winhex中，最主要的数据表示方法，十六进制表示。十六进制（英文bai名称：Hexadecimal），是计算du机中数据的一种表示方zhi法。同我们日常生活中的表示法不一样。它由0-9，A-F组成，字母不区分大小写。16进制与10进制的对应关系是：0-9对应0-9；A-F对应10-15。
下面，我们打开winhex，在winhex中的操作区，我们看到，整个数据操作区是由多行和多列构成的数据组合而成，我们发现，这里用的是十六进制，那么为什么要用十六进制呢？因为十六进制也是是计算机常用的一种计数方法，它可以弥补二进制中数据书写位数过长的不足。长度相同的二进制和十六进制数据段，肯定是后者承载的信息更多，所以得到了广泛的应用。这些数据代码段按照长短、所处的位置进行组合，就构成了我们的硬盘数据表示。数据操作区中，数据按照以我们可见和可操作的方式，客观的表示了出来。当然，而我们可以在这些数据段上，进行数据的复制，和修改。下图中间部分为数据操作区。

由于一个字节最大只能表示255个数，这是远远不够的，所以计算机只能用2个、3个、4个甚至是8个字节表示数值大小，对于使用多个字节表示数值的情况，就存在顺序问题，计算机中有两种顺序存储数值。
第一种，big-endian ,称之为“大头位序”，高位在左，低位在右边
第二种，little-endian，也叫“小头位序”，低位在左，高位在右边
在winhex采用的是小头位序
在不同文件系统中，存储数据的格式不尽相同，
big-endian 用于 FAT32 、NTFS 、EXFAT 、EXTX
little-endian 用于HFS 、EXT3中
下面用WINHEX举例，这里，为了方便大家理解小头位序概念和预习这里面用到的是后面学习的重点，我们结合NTFS文件系统-主文件表MFT中的80属性的数据结构来进行介绍（这个后面会重点介绍）这里只是简单的说一下小头位序。直接上图。

21014541H这一串十六进制数中 01 H 代表数据的大小（簇或者是扇区），45 41代表起始簇，按照常规，前面大后面小的顺序，将45 41H转换成十进制，如下：

转换结果为：

这里是17729，但是我们从数据解释器里看到的是：16709，这是为什么呢？如下图

然后我们将45 41 H 变成 41 45H 然后再转换成十进制数，如下图

通过对比，我们知道，在winhex中数据表示默认是“小头位序”，这里，给大家提个醒，以后数据恢复的实践操作中，大家一定要养成低位在前，高位在后的习惯，否则在手工计算地址和偏移的时候，有可能出错。在winhex中，我们也可修改数据表现为“大头位序”。修改方法下图，供大家了解。

本次我们主要介绍了虚拟磁盘的建立和winhex中数据的表现形式，有空大家可以简单的操作一下以便熟悉和巩固。下次内容，我们开始介绍NTFS文件系统下的数据恢复。
能力有限，欢迎大家留言批评和指正，下次见！

数据恢复基础和进阶教程（三）相关推荐

数据恢复基础和进阶教程（四）---NTFS文件系统的特点及几种常用的数据恢复方法
数据恢复基础和进阶教程(四)-NTFS文件系统的特点及几种常用的数据恢复方法 *在每逢年底必加班的大环境下,这两天单位比较忙,就连中午和晚上基本都不能按时休息,所以没及时更新最新的课程,抱歉.今天工作 ...
php后台幻灯片管理,wordpress进阶教程(三十七)：wordpress后台添加幻灯片板块
本站框架有提供添加幻灯片的步骤,请直接前往本站框架栏目->幻灯片插件. 网页幻灯片(slider)应用很广泛,很多博客也喜欢在首页弄一个特色文章切换. 不管是文章切换还是图片切换,或者是图文混 ...
autojs入门视频教程,Auto.js Pro安卓全分辨率免ROOT引流脚本开发零基础到进阶教程,飞云脚本学院2019年全力打造高清品质,不容错过的年度大作
课程大纲(更新中-) 基础课程 [已完成]01安装Visual Studio Code(时长9分33秒)在线观看 [已完成]02安装Auto.js Pro(时长5分48秒)在线观看 [已完成]03解读 ...
C语言基础及进阶教程(视频教程地址)
嵌入式高级C语言进阶 C语言概述-01C语言概念.发展历史.特点 http://you.video.sina.com.cn/pg/topicdetail/topicPlay.php?tid=34635 ...
第二章网站开发基础之HTML教程 - 三、HTML及网页相关的知识点：img图片标签的宽度属性（width）和高度属性（height）
(二)img图片标签的宽度属性(width)和高度属性(height) 归纳起来讲,img图片标签的宽度属性(width)和高度属性(height)在指定值时,会有四种情况. 1.通常情况下填写的是: ...
前端基础——css进阶（三）
关于定位,就是把某个对象固定再页面的特定地方,不管页面其他显示如何变化,都不会影响到该对象. 定位-position 书写语法说明文档流偏移位置时候的参照物(top left right bot ...
威纶通屏幕（HMI）开发进阶教程三：数据地址格式的讲解
首选在EasyBuiler Pro中,菜单"检视"中勾选"地址检视",才能把地址栏显示出来.今天我们主要说说HMI的地址: 这里地址模式分为Word Addre ...
NSIS进阶教程(一)～(五)
这问是在学NSIS的时候发现的,一篇绝顶好文,当时没转过来,现在美化完程序了,想着不美化安装包也太不厚道了点...所以... NSIS进阶教程(一) 来自: http://www.pylife.net ...
Android高手进阶教程(四)之----Android 中自定义属性(attr.xml,TypedArray)的使用!
今天我们的教程是根据前面一节扩展进行的,如果你没有看,请点击 Android高手进阶教程(三) 查看第三课,这样跟容易方便你的理解! 在xml 文件里定义控件的属性,我们已经习惯了android:at ...

数据恢复基础和进阶教程（三）

数据恢复基础和进阶教程（三）

数据恢复基础和进阶教程（三）相关推荐

最新文章

热门文章