winhex系列1—-软件介绍

偶然发现了一本比较不错的书《数据恢复技术-深度揭秘》，今天看了其中讲winhex软件的章节，才发现自己以前连winhex入门的使用功能都没有掌握，汗啊！看了之后，对winhex有了较深入的了解。

1.软件安装

略（需要注意的是如果安装的是非注册版本，使用时会有些限制，比如不能保存超过512字节 的文件、菜单栏中专业工具选项中有些功能不能使用等等，所以建议还是安装注册版本）；

2.软件使用

2.1 启动软件

一些比较方便的地方如右边的详细资源面板和下方的底边栏，

1.详细资源面板可显示磁盘参数（磁盘型 ，序列 ，固件版本 和接口类型），状态（状态为原始代表内容没做修改，如果修改了会显示被修改），容量信息，分区信息（当前位置之前的分区数，有关的扇区），窗口情况，剪切板情况等；

2.底边栏，在选择磁盘情况下，这里显示有扇区，偏移量，选快，鼠标点击相应位置，可进行扇区跳转，偏移量偏转，块选择窗口，很方便。

2.3 工具栏介绍

新建：略

打开：打开任意一个16进制文件，但是如果打开的是一个sd卡的镜像文件，这样子打开后不按照扇区结构进行显示（即看不到文件系统的结构信息，例如根目录，fat表，内部文件信息），需要在菜单栏中的专业工具—-将镜像文件转换为磁盘，然后就能很方便看到文件系统结构信息；

属性：查看文件字节大小，创建时间，最后写入时间，最后访问时间；

撤销：撤销修改；

复制扇区：复制鼠标所在的扇区；

粘贴和写入剪切板：粘贴相当于在当前位置插入了之前复制的内容，写入剪切板相当于从当前位置替换掉后面的内容；

修改数据：这里可进行对单个或整个字节做加法，给单个或整个字节做翻转、16字节交换（每两个字节左右交换位置）、32字节交换、XOR、OR、AND、循环左移、循环右移、位移、ROT13以及左旋圆运算；

查找文本：可在hex文件中查找对应的ascii值，因为很多格式文件有对应特殊的hex值（对应特殊的ASCII码值），其中可以选择是否匹配大小写，选择编码类型（ASCII和UNICODE），也可以加通配符，可以要求完整语句搜索，可以选择搜索方向或全局搜索，可以设置偏移（相当于在每512字节中搜第1个字节是否为匹配值，这个对扇区搜索很方便，例如在一个硬盘某个扇区的前四个字节有file这四个ascii字符，如果这里条件：偏移计算设置为512和0，那么久能实现我们的搜索）；

查找16进制，同查找文本；

同步搜索：可以实现多字符串的同时搜索，即同时完成多个搜索任务，目前仅限于文本方式，文本框用来输入字符串，这里对格式有一定要求，如果要进行多任务搜索，每个任务必须占用独立的一行；

转移到偏移量：略

转移到扇区：略

光标回到前一步操作位置；

光标回到后一步操作位置；

打开磁盘：略；

磁盘克隆：这一步可以将一个硬盘或一个分区或一个文件克隆到 另一个硬盘或做成镜像文件，可以选择全部克隆，或者克隆部分扇区，另外如果有坏扇区，可选择跳过的数目，还能定义坏扇区所对应目标盘中填入的信息值。

常规设置：略

减小一列：水平坐标原本16列，这里可设置减小显示列数；

增大一列：略

进行磁盘快照：是对整个文件系统进行一次遍历，从而列出分区下目录和文件，另外文件恢复也可以在这里设置；

另外一个需要说明的地方是菜单栏-查看—-模板管理器，这是winhex对数据恢复工作最有帮助的功能之一，提供了对分区表，DBR，目录项，文件记录，超级块等结构的解释，非常好用，后续可以专门章节解释。