winhex模板的使用方法

winhex模板的使用方法
winhex模板的使用方法

winhex模板的使用方法

winhex有很多的官方winhex模板,可以在网上下载(后缀tpl)并放至它的安装目录,即可使用。不过要是自己能自己制作,这才好玩,不是么?!

打开winhex模板管理器,可以选中其中一个winhex模板,下面有应用,有编辑,你点开编辑按钮,就可以看到对应的winhex模板源码。而你点开那个新建按钮,就可以自己写winhex模板了,最后保存到安装目录即可。海天数据恢复小提示(按住CTRL+FA12 是模板管理器的快捷键可以快速打开模板管理器)提醒一点,我是在记事本下写好粘贴到新建后那个面板上的,因为我发现有好些符号它不支持,比如下划线、引号等,maybe是我自己没设置的原因,不过,这不是重点,略过。写好后,那个面板下有检查语法的按钮,通过它可判断你的代码是否语法正确。

闲话不多说,下面,我来讲解下winhex模板编程的语法:

winhex模板头的常用关键字:

1.template:声明模板的名字 eg:template “海天数据恢复的winhex模板1″

2.description:描述参数,描述这个winhex模板的用途。(保存好后,你可以在winhex模板管理器里看到你自定义的模板的名字,描述等信息。)eg:description “这个winhex模板是用来。。。”

3.applies_to:参数可以是file/disk/RAM。指定该winhex模板的适用对象时文件、磁盘还是内存。eg:applies_to disk

4.fixed_start offset:winhex模板的默认起始偏移量取决于光标停留的位置,而这个关键字是来指定偏移量起始位置。eg:fixed_start 0x040

5.sector-aligned:作用是指定winhex模板从当前扇区的偏移0位置运行。无参数。

6.requires offset:匹配数据,若发现指定偏移量的位置的数据不匹配,就会报错。注意:这里的偏移量是相对于winhex模板起始偏移量计算的。eg:requires 0x1fe 55aa

7.big-endian/little-endian:规定读取的字节顺序,也就是平日说的小端机、大端机的区别,内存的数据存储方向不一样。无参数。

8.hexadecimal:使winhex模板中读到的数据都以十六进制方式显示,octal为八进制,decimal为十进制。无参数。

9.read-only/read-write:规定读取权限。无参数。

10.multiple:作用是使winhex模板上出现左右键来让你可以选择读取上一条或下一条记录,记录之间的跨度是该winhex模板涉及的所有字节的长度。无参数。

11.begin与end:之间的区域用于存放程序主干。

这里作下winhex模板头知识总结:首先,winhex模板的命名需要关键字template加引号

完成。description参数可以补充描述。applies_to(RAM、file、disk)后面可以用于指定访

问对象的类型,使winhex模板适应当前工程的根本环境。fixed_start可以为winhex模板

指定起始偏移量。requires则制定更严格的winhex模板运行条件,要求winhex模板作用

范围内指定位置必须匹配指定数据。big-endian、hexadecimal、read-only等都是作用于

显示输出的可选参数。头部关键字没有强制规定“出场顺序”,对引号的要求也不严格。此外,winhex模板可以用双斜杠添加注释,这是一个很好的编程习惯。

注意:数制属性关键字(hexadecimal等)、显示方向属性关键字(big-endian等)、读写属性

关键字(read-only等)都可以插入begin与end之间,用于临时改变数据的属性,注意这种

改变仅仅作用于紧随它们的数据类型声明语句,而并非全局。

下面说下程序主干里的常用关键字:

1.int8:带符号的8位整型,占用一字节,范围-128~127。eg:int8 “身高”

2.uint8:无符号的8为整型,占用一字节,范围0~255。同byte类型。

3.int16:带符号的16位整型,占用2字节。

不赘述了,与前面这些类似的还有:uint16, int32, uint32, int64, int24, uint24。

4.unit_flex:类似于c语言里位域的概念。其语法是:unit_flex “要解释的位” “title”

例如:unit_flex “8,7,6,5,4,3,2,1,0” “permissions”,表示读取一个32位无符号整数并解释其

低9位。

注意,尽管unit_flex所表示的数据长度可能小于4个字节,但每次读取仍然按照4个字节

来计算,故而要特别注意位域的实际长度。比如,我们要解释一个16位整型数值的前4

位和后12位,应当首先解释前4位,这时光标移动4字节。unit_flex “3,2,1,0” “flexlow”

因为还有数据要从该16位整型数值中提取,故回退4个字节。move -4 。解释后12位。unit_flex “15,14,13,12,11,10,9,8,7,6,5,4” “flexhigh” 由于16位整型数值只占用两个字节,

而实际光标移动4字节,故需要回退2字节:move -2, 否则会占用下一个数据的空间。

5.binary:每次读取一个字节,并解释为二进制样式。

6.char:读取一个字节,ascii码显示。也可以用char[len]读取字符数组(字符串),len表示长度。

7.char16:读取两个字节,Unicode字符显示。

8.string:ascii字符串。语法为string len “title”

9.string16:unicode字符串。

10.zstring:表示不管长度读取一个ascii字符串,遇到”NULL”时结束。zstring16为其Unicode版本。

11.hex:表示直接读取字节而且并不将其解释为任何数据类型,直接显示。

12.float:占用4字节,浮点数,同c语言。

13.real:占用6字节,浮点数。

14.double:占用8字节,浮点数。

15.longdouble:占用10字节,浮点数。

16.Loop:实现简单的循环。中括号中可以存放常量表示循环次数,也可以直接引用前面数据类型的title。

17.IfEqual:简单的if语句,判断是否相等。比较的对象可以是常量,也可以是前面数据类型的title。

18.~:占位符。一般用于循环内部数据类型的标题中,以形成数字递增的效果。常常与numbering配合使用。numbering可以用来指定占位符的初始值。

海天数据恢复提醒您:winhex模板使用方法讲解完毕,希望大家灵活运用,打造出属于自己的个性模板。

最完整的winhex教程

winhex教程 winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构

MB R C 盘 EB R D 盘 EB R E 盘 MBR,即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR 的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 63 1435329 63 1435329 63 1253889 MBR C盘EBR D盘EBR E盘 扩展分区

winhex数据恢复完整图文教程

winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: Winhex Winhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。

winhex脚本的编写方法

第一章winnhex 常用关键字 关键字用法解释open open :? open d: 用于打开磁盘或逻辑分区 goto goto (0x000或标签、已声明的变量) 跳转的位置XXX或标签处 move move 10 and move -10 向前或向后移动字节 read read x1 2 读取2个字节到变量x1、变量不存在会自动创建 write write xx 写入xx save save 保存 exit exit 中断脚本关闭winhex assign assign xx 声明变量xx注:xx不能为脚本关键字 blokc block1 block2 and block x2 x3 选块或选块变量的地址 copy copy 复制copyintonewfile copyintonowfile +保存路径和属性复制到新的文件并指定路径属性存放 find find +条件+ [关键字down up word blockonly等] 可按要求查找指定的条件 iffound iffound 如果发现则执行下面的命令 else else 否则之下后面的语句 endif endif 和iffound组合语句有iffound必须有endif ifequal ifequal xx xx 比较两个数值、变量、16进制如果相同则只之下下面的语句反之不执行 ifgreater ifgreater xx xx 当一个参数大于第二个参数执行下面语句反之不执行 label label xx 建立一个xx标签jumpto jumpto xx 跳转到xx标签处继续执行脚本 forallobjdo forallobjdo 在打开所有的文件或磁盘中运行脚本 getuserinput getuserinput xx "11111" 用户可输入ASCII 或HEX到变量xx inc inc xx 变量xx每运行一次变量xx+1 messagebox messagebox "xx" 显示“xx”对话框

运用WinHex破解软件图解教程

例1:运用WinHex破解软件图解教程 一、首先安装软件!! 二、注册软件!!先添入假的注册信息!!点击注册! 三、出现“系统注册失败”对话框!! 四、不要关掉“系统注册失败”对话框,运行WinHex软件[WinHex 13.6 绿色破解版],下面有此软件的汉化版下载!

六、找到列表中的你安装的软件名称,然后点击进入,安装的软件下又出现一个列表,选择[整个内存],点击进入,稍等一下程序读取目前的动态内存中的数据,数据出来了。 七、选则[搜索]调出菜单,选择其中的第一项[搜索],在最上面的空白处输入先前添入假的注册信息!!

八、点OK开始搜索,搜到第一组同样的不要理会,按F3继续往下搜第二组,看能用的注册码就在这组号的下面。

九、复制找到的注册信息,填入到注册框内,点击注册,注册成功!! 大功告成,如果在熟练的情况下你很快就能完成这个过程!

例2:WINHEX内存真实注册码教程 【软件名称】秘书 【软件大小】2.66MB 【软件限制】这是一个共享软件 【注册类型】机器码+注册码 【破解工具】WINHEX 主程序:Insure.exe 【破解过程】 1.Winrar双击打开(不要解开一定要在winrar在打开Insure.exe) 关于壳这里就不需要了 2.出现注册对话框:我这里是5位机器码。也许有的机器是6位,机器码是不一样的。 这里我输入5位假码:88888 点击注册出现错误提示切记不要关闭对话框,因为下面是我们的WINHEX要登场了. 3.不关闭对话框的情况下,我们运行winhex: 选择“ tools--Open ram"出现的对话框就是让我们选择打开哪个程序的内存我们打开的是Insure.exe所以我们在这里就要选择Insure! 然后选择“Entire Memory” 4.选择“Entire Memory”出现的界面就是有关Insure这个线程的内存情况了.在这个界面我们看到上面一个“望远镜”的图标(也就是查看)我们点击它--出现的对话框中输入刚才的假码。(我的是88888)点击OK 5.出现的第一个不要理它,按现F3键(下一个)在这个假码的旁边也是这个假码,不要理它还是F3。在这里出现了数字78414这就是这个软件的真码,把它记下来,放到注册对话框试一下哈哈,果然成功了 6.如果你想使用这个软件那就可以把它解压出来,进行运行记住你的注册码。输入就可以了! 7.在WINHEX找真码的时候一定要有耐心,不过我相信都会成功的。这是我以前迈向解密软件的第一步。记得那是一个装柜的软件 图片附件: 1.JPG (2007-4-19 10:40, 82.99 K)

UltraEdit和 WinHex使用简介及十六进制转换说明.

UltraEdit和WinHex使用简介及十六进制转换说明 UltraEdit 简介 如果你经常进行一些文本文件的编辑,那你一定不太满意Windows自带的文本编辑器NotePad和WordPad。这两个编辑器只提供了一些最基本、最简单的功能,用起来总是有些不太方便。目前比较流行的文本编辑器有UltraEdit、TextPad、Turbro-Edit、Yeah Write等,下面我们主要介绍一下UltraEdit-32 1120a。 UltraEdit是一套功能强大的文本编辑器,可以编辑文字、Hex、ASCII 码,可以取代记事本,内建英文单字检查、C++ 及 VB 指令突显,可同时编辑多个文件,而且即使开启很大的文件速度也不会慢。软件附有 HTML Tag 颜色显示、搜寻替换以及无限制的还原功能,一般大家喜欢用其来修改EXE 或 DLL 文件,众多的游戏玩家喜欢用它来修改存盘文件或是可执行文件。 怎么样不错吧,下面我们就从菜单和工具栏开始我们的UltraEdit之旅。 菜单及工具栏 UltraEdit的启动很简单,可以选择要编辑的文件,然后在右键菜单中选择“UltraEdit-32”即可,使用起来简单、方便。 这就是UltraEdit的主界面,上面是标题栏、菜单和工具栏,下部左侧为驱动器文件列表,方便文件的查看;右侧为文本编辑区,我们打开的文件就显示在这里。 我们看一下UltraEdit工具条上的这些按钮,里面包含了UltraEdit的常用命令。

用于新建一个文件,可以是一个Txt文件,也可以是十六进制文件,C、HTML等格式的文件; 用于打开一个文件; 关闭已打开文件; 保存正在编辑的文件; 打印文件; 打印预览; 插入一个分页符; 设置是否自动折行; 这个按钮上写个H,作用就是将文件转为十六进制文件; 剪切; 复制;

winhex使用教程

winhex使用教程 WinHex 教程WinHex WinHex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、 电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将 它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所 造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如电烙Pc3000,铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及 面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投 资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制:

关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这 方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:(数据恢复首选软件)WinHex 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘 EBR D盘 EBR E盘 ,即主引导纪录,位于整个硬盘的柱面磁道扇区,共占用了个扇区,但实MBR00163际只使用了个扇区(字节)。在总共字节的主引导记录中,又可分为三部分:1512512MBR第一部分:引导代码,占用了个字节;第二部分:分区表,占用了字节;第三部分:446645 ,结束标志,占用了两个字节。后面我们要说的用软件来恢复误分区,主要就是恢5AAWinHex 复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那 么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要 恢复引导代码,可以用下的命令:;这个命令只是用来恢复引导代码,不会DOSFDISK /MBR 引起分区改变,丢失数据。另外,也可以用工具软件,比如、等。DISKGENWINHEX

winhex恢复mbr的方法

winhex恢复mbr的方法 恢复mbr实际就是恢复主引导扇区,在出现开机自检过后,系统提示“I/O错误”,即使是你重新安装操作系统也没用。或系统启动蓝屏,将硬盘挂到其他计算机上,检测到的硬盘容量异常;譬如:明明是大容量硬盘,突然变成很小的容量,而且只有一个分区。很多人都认为该硬盘没救了,里面的数据也完了;其实,还是可以修好的,除硬件故障外恢复mbr后就会和以前一样好用。 那么什么是MBR,怎样恢复mbr。先说一下mbr:即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。 我们使用Winhex硬盘数据恢复软件来恢复MBR,并恢复数据的具体步骤:(再恢复前要用Winhex镜像文件《Winhex镜像文件教程》,这样可保证数据完好)。 第一步:把好硬盘上的MBR的前446字节复制到要恢复的硬盘的0扇区前446 字节; 第二步:在倒数第二行倒数第二个字节,输入活动分区8001,再输入本分区的起始磁头柱面0100; 第三步:输入分区类型0B FF FF FF . 第四步:输入C盘前的扇区数,实际就是MBR,63个扇区转换16进制是3F,在此位置输入3F 00 00 00; 第五步:搜索EBR起始位置,16进制查找“55AA”加条件512=510,EBR倒数第五行倒数第二个字节是0001,找到后记下所在扇区,然后减去MBR所占的扇区数63,转换16进制,跳转0扇区,输入相应位置; 第六步:输入分本区的起始位置和非活动分区的起始位置0001和0100; 第七步:输入分区类型10G以上的硬盘0F FE FF FF,10G以下的硬盘输入05 FE FF FF; 第八步:输入扩展分区前的扇区数,刚找到的EBR的起始位置,转换16进制输入相应位置; 第九步:扩展分区的扇区数,左下角的总扇区数-ERR之前的扇区数,转换16进制输入相应位置; 第十步:以下全部填充0,结束必须为55AA保存退出,这样恢复mbr完成。

WinHex使用教程

一、Winhex的使用 二、用Winhex打开要修改的文件,显示如下界面: 任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的,Winhex便是将这些文件以二进制形式打开。不过显示的时候是十六进制,一位十六进制相当于四位二进制,两位十六进制相当于八位二进制即一个字节,每个字节即对应一个地址。 左边那一列是行标,上边那一行是列标,行标和列标便组成了地址。如6BFA3003这个地址,其行标便是6BFA3000,列标为3。 想要修改数值,直接键盘输入即可。 一个基本常识:对于有多位的十六进制数值而言,存储方式是低位在前,高位在后。如6e731f这么个值,存储方式便是1f 73 6e。 既然显示十六进制,那么自然存在一个十六进制和日常使用的十进制转化的问题。通常可以靠Windows的计算器来完成,点击Winhex工具栏的图标即可打开。在计算器的查看菜单里选择“科学型”,便有进制转换的功能。 其实Winhex自带的数据解释器也可以实现进制转换。(看不到数据解释器的,单击视图——显示——数据解释器)把光标定在某一地址,数据解释器里便能显示对应的十进制数值。在数据解释器里输入十进制值然后按回车,则那个地址的数值就会被改写成对应的十六进制。在“选项——数据解释器”里还能对数据解释器的显示内容作设置,比如翻译无符号数、浮点数等,这个有兴趣的自己试试。 地址定位 靠行标和列标来定位地址显然是愚蠢废力的。Winhex的工具栏上有个图标,点击显示如下界面:

此时直接在“新位置”里输入地址便可完成定位。 也可以定位相对地址。比如此时位置在某ATK首地址,要往上移1000h到达MOV首地址,那么在“新位置”里输入1000,“相对于”选择“当前位置(P)(返回至)”就行了。 同理,到了MOV首地址后又要往下移960h到达一方地址,则可以在“新位置”里输入960,“相对于”选择“当前位置(C)”。 “位置”菜单里还有个很实用的功能:标记位置和转到标记,快捷键分别是Ctri+I和Ctrl+K。这个功能就不用多解释了吧,我是经常用的。 定义选块 定义选块主要是用来导出特定数据或缩小搜索范围,定义完成之后可以在“位置”菜单里快速定位到选块头和选块尾。 这个操作很简单。在选块头右键点击,选择“选块开始”,选块尾右键点击,选择“选块结尾”就完成了。

Winhex的使用

WinHex是一个很不错的16进制文件编辑与磁盘编辑软件。WinHex以文件小、速度快,功能不输其它的Hex十六进位编辑器工具得到了ZDNet Software Library五颗星最高评价,可做Hex与ASCII码编辑修改,多文件寻替换功能,一般运算及逻辑运算,磁盘磁区编辑(支持FAT16、FAT32和NTFS)自动搜寻编辑,文件比对和分析等功能。 一、Winhex的使用 353时代的主流修改工具是UE,可惜UE在打开linkdata.bin这种超大文件时的速度令人难以忍受,于是狂派都投入了Winhex的怀抱。 用Winhex打开要修改的文件,显示如下界面:

任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的,Winhex便是将这些文件以二进制形式打开。不过显示的时候是十六进制,一位十六进制相当于四位二进制,两位十六进制相当于八位二进制即一个字节,每个字节即对应一个地址。

左边那一列是行标,上边那一行是列标,行标和列标便组成了地址。如6BFA3003这个地址,其行标便是6BFA3000,列标为3。 想要修改数值,直接键盘输入即可。 一个基本常识:对于有多位的十六进制数值而言,存储方式是低位在前,高位在后。如6e731f这么个值,存储方式便是1f 73 6e。 既然显示十六进制,那么自然存在一个十六进制和日常使用的十进制转化的问题。通常可以靠Windows的计算器来完成,点击Winhex工具栏的图标即可打开。在计算器的查看菜单里选择“科学型”,便有进制转换的功能。 其实Winhex自带的数据解释器也可以实现进制转换。(看不到数据解释器的,单击视图——显示——数据解释器)把光标定在某一地址,数据解释器里便能显示对应的十进制数值。在数据解释器里输入十进制值然后按回车,则那个地址的数值就会被改写成对应的十六进制。在“选项——数据解释器”里还能对数据解释器的显示内容作设置,比如翻译无符号数、浮点数等,这个有兴趣的自己试试。 地址定位

WinHex数据恢复教程笔记

WinHex数据恢复教程笔记 WinHex是在Windows下运行的十六进制编辑软件,此软件功能非常强大。 有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘; 它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 数据恢复的前提:数据不能被二次破坏、覆盖! 数据恢复首选软件用十六进制编辑器:WinHex MBR、EBR是分区产生的。 MBR主引导记录大小是固定的,位于整个硬盘的0柱面0磁道1扇区。共占用了63个扇区,实际只使用了1个扇区,即硬盘第一扇区中的512字节。 DBR是分区引导扇区,是由FORMAT高级格式化命令写到该扇区的内容,DBR是由硬盘的MBR装载的程序段。DBR装入内存后,即开始执行该引导程序段,其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区,但只有被设为活动分区才会被MBR装的DBR入内存运行 FAT16文件跳转指令EB 3C 90 FAT16 没有备份DBR FAT32文件跳转指令EB 58 90 DBR备份在第6扇区有第一扇区的备份。FAT表32扇区 NTFS文件跳转指令EB 52 90 DBR备份在最后一个扇区 ntfs格式没有FAT表。 04H 分区系统标志 当该值为00H时,表示此分区为不可识别的系统; 为04H时该分区为FAT16分区; 为05H或0FH该分区为扩展分区; 为0B时该分区为FAT32分区; F8H FFH FFH 0FH 开始的FAT表,(对于FAT16是以F8H FFH开始的),每个FAT项占32位(4个字节),FAT16的每个FAT项占16位(2个字节), 也就是说FAT和簇是一一对应的关系,对于FAT32的FAT来说每4个字节为1个FAT项. (对于FAT16的FAT每2个字节为一个FAT项) 512字节的MBR主引导记录又分为三部分: 1.主引导扇区里的主引导程序代码(boot loader),占446个字节; 2.硬盘分区表DPT(Disk Partition table),占64字节; 主分区表项1占16字节,447-461 每一个分区表项各占16个字节. 硬盘中分区有多少以及每一分区的大小都记在其中。 3.硬盘55AA有效结束标志magic number,占两个字节。 MBR被清零的话,硬盘将不能引导。 如果0号扇区被清零,硬盘分区将不被系统识别。提示未初始化。 备份MBR只要备份前512字节就可以了,包含分区表。 用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。 主引导程序代码(boot loader)的作用:就是让硬盘具备可以引导的功能。 如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。也可以用工具软件,比如:DiskGenius、WinHex等。 EBR,也叫做扩展MBR(Extended MBR)。占63个扇区。因为主引导记录MBR最多只能描述4个分区项,如果一个硬盘上分多于4个区,就用EBR. EBR的结构和MBR的结构是一样的,所以在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0。 DBR的备份: 分区格式是FAT32的话,备份在分区的6扇区。 NTFS分区格式的话,在分区的最后一个扇区。

winhex脚本命令教程--中文版

winhex脚本命令教程--中文版<转> 2009-06-09 18:09 脚本命令适用的环境比较多。脚本文件中的注释以为双斜杠开头。脚本支持的最长255方是十六进制,文本字符串(甚至10进制数值)都可以作为参数,你可以使用引号强数。如果文本或者变量名中存在空格,则引号是必须的,在引号中的所有字符都被被识 当在winhex中使用数学表达式的时候,可以引用数学表达式,但是必须用括号括起来空格。同样可以在数学表达式中应用数字变量。 支持的操作有,加法(+),减法(-),乘法(*),整除(/),模除(%),逻辑运算以及XOR(^)。 以下是有效的数学表达式:(5*2+1), (MyVar1/(MyVar2+4)), or (-MyVar)。 以下是目前支持的脚本命令的详细描述以及使用实例。 Create "D:\My File.txt" 1000 创建一个1000字节的新文件,如果已经存在同名文件,则将其覆盖。 Open "D:\My File.txt" Open "D:\*.txt" 打开指定格式的文件,如果通配符为“?”则winhex会让用户选择要打开的文件。 Open C: Open D: 打开指定的逻辑驱动器。如果通配符为“:?”则winhex会让用户选择要打开的逻辑驱动器

Open 80h Open 81h Open 9Eh 打开指定的物理介质。软盘的为00h,硬盘与u盘为80h,光盘为9Eh。 可以增加第二个参数来设定文件或者介质的编辑模式(“in-place”或者“read-only”)CreateBackup 为活动文件的当前状态创建WHX备份。 CreateBackupEx 0 100000 650 true "F:\My backup.whx" 备份当前活动磁盘中从0扇区到100000扇区的数据。备份文件将自动分割成650M大输出文件的路径以及名称作为最后的参数写入。 如果备份文件不需要分割,则第三个参数的数值该为0即可。如果不启动压缩功能则将要自动分配文件名以及文件路径则最后的参数表示为“""”即可。 Goto 0x128 Goto MyVariable 将光标的位置移动到偏移量0x128位置(16进制表示)。同样也可以用数字变量(最动的位置。Move -100 将当前光标的位置向后移动100字节(16进制)。 Write "Test" Write 0x0D0A Write MyVariable

WinHEX磁盘工具使用教程

WinHEX磁盘工具使用教程 【关键字】winhex ghost 误克隆数据恢复数据恢复工具误操作 【简介】WinHex以文件小、速度快,功能不输其它的Hex十六进位编辑器工具得到了ZDNetSoftwareLibrary五颗星最高评价,可做Hex与ASCII码编辑修改,多文件寻替换功能,一般运算及逻辑运算,磁盘磁区编辑(支持FA T16、FA T32和NTFS)自动搜寻编辑,文件比对和析等功能,另外8.3版新增了RAM编辑功能! Winhex是一个很不错的16进制文件编辑与磁盘编辑软件。 WinHex以文件小、速度快,功能不输其它的Hex十六进位编辑器工具得到了ZDNetSoftwareLibrary五颗星最高评价,可做Hex与ASCII码编辑修改,多文件寻替换功能,一般运算及逻辑运算,磁盘磁区编辑(支持FA T16、FA T32和NTFS)自动搜寻编辑,文件比对和析等功能,另外8.3版新增了RAM编辑功能! 下面我们来看看该软件的使用。 标题栏:与一般的应用软件一样,标题栏中显示软件名称和当前打开的文件名称; 菜单栏:Winhex的菜单栏由八个菜单项组成-文件菜单、编辑菜单、搜索、定位、工具、选项菜单、文件管理、窗口和帮助菜单。 在文件菜单中,除了常规的新建、打开文件和保存以及退出命令以外,还有备份管理、创建备份和载入备份功能。选择文件菜单中的属性项,弹出文件属性窗口,包括文件路径、名称、大小、创建时间和修改日期等内容。在编辑菜单中,除了常规的复制、粘贴和剪切功能外,还有数据格式转换和修改的功能。在搜索菜单中,你可以查找或替换文本内容和十六进制文件,搜索整数值和浮点数值。在定位菜单中,你可以根据偏移地址和区块的位置快速定位。在工具菜单中,包括磁盘编辑工具、文本编辑工具、计算器、模板管理工具和Hex 转换器,使用十分方便。在选项菜单中,包括常规选项设置、安全性设置和还原选项设置。在文件管理菜单中,你可以对文件进行分割、比较、复制和剖析,功能十分强大。 在Winhex的工具栏中,包括文件新建、打开、保存、打印、属性工具;剪切、粘贴和复制编辑工具;查找文本和Hex值,替换文本和Hex值;文件定位工具、RAM编辑器、计算器、区块分析和磁盘编辑工具;选项设置工具和帮助工具按钮。通过使用工具栏中的快捷按钮可以更方便的进行操作,这些和菜单中相应的命令是一样的。 在使用Winhex之前需要进行相应的选项设置,点击工具栏中的选项设置快捷图标按钮,弹出选项设置对话框.它包括是否将WinHex作为默认关联,是否添加WinHex到上下文菜单,是否不更新文件名,是否快速打开文件以及是否显示文件图标和工具栏。而且你还可以设置最近打开的文件列表中文件的数目,选择是否用TAB键产生标记,设置临时文件夹、备份文件夹和文本编辑的路径。在常规设置中,你可以选择是否选择显示双光标和页分隔符,是否逐行滚动,是否显示Windows进度条,此外你还可以设置字体类型和颜色,相信你很快就学会了。执行选项菜单中的安全项,弹出安全保护选项设置窗口,你可以选择是否限制驱动控制,是否计算标准检查和扇区读入缓存以及是否确认更新文件。另外你可以选择是否自动检查磁簇,是否总显示恢复报告,是否对下个会话保持驱动映像,是否隐蔽输入加密关键码(*****)以及检查虚拟内存变换和在RAM中是否保留密匙。在所有设置完成后,点击保存按钮,然后按确定按钮返回主窗口。 在使用Winhex时首先打开一个需要处理的文件,窗口中显示十六进制HEX格式的数值和地址。在旁边的区域显示文件名称、大小、创建时间、最后修改日期,窗口属性以及相关信息。利用鼠标拖放功能你可以选择一块数值进行修改编辑。按Ctrl+T,弹出数据修改对话框,选择数据类型和字节变换方式,可以方便的修改区块中的数据。执行文件菜单中的创建备份命令,弹出备份对话框,你可以指定备份的文件名和路径、备份说明,还可以选择是否

WinHex使用教程

一、Winhex的使用 353时代的主流修改工具是UE,可惜UE在打开linkdata.bin这种超大文件时的速度令人难以忍受,于是狂派都投入了Winhex的怀抱。 用Winhex打开要修改的文件,显示如下界面: 任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的,Winhex 便是将这些文件以二进制形式打开。不过显示的时候是十六进制,一位十六进制相当于四位二进制,两位十六进制相当于八位二进制即一个字节,每个字节即对应一个地址。 左边那一列是行标,上边那一行是列标,行标和列标便组成了地址。如6BFA3003这个地址,其行标便是6BFA3000,列标为3。 想要修改数值,直接键盘输入即可。 一个基本常识:对于有多位的十六进制数值而言,存储方式是低位在前,高位在后。如6e731f这么个值,存储方式便是1f 73 6e。 既然显示十六进制,那么自然存在一个十六进制和日常使用的十进制转化的问题。通常可以靠Windows的计算器来完成,点击Winhex工具栏的图标即可打开。在计算器的查看菜单里选择“科学型”,便有进制转换的功能。 其实Winhex自带的数据解释器也可以实现进制转换。(看不到数据解释器的,单击视图——显示——数据解释器)把光标定在某一地址,数据解释器里便能显示对应的十进制数值。在数据解释器里输入十进制值然后按回车,则那个地址的数值就会被改写成对应的十六进制。在“选项——数据解释器”里还能对数据解释器的显示内容作设置,比如翻译无符号数、浮点数等,这个有兴趣的自己试试。

地址定位 靠行标和列标来定位地址显然是愚蠢废力的。Winhex的工具栏上有个图标,点击显示如下界面: 此时直接在“新位置”里输入地址便可完成定位。 也可以定位相对地址。比如此时位置在某ATK首地址,要往上移1000h到达MOV 首地址,那么在“新位置”里输入1000,“相对于”选择“当前位置(P)(返回至)”就行了。 同理,到了MOV首地址后又要往下移960h到达一方地址,则可以在“新位置”里输入960,“相对于”选择“当前位置(C)”。 “位置”菜单里还有个很实用的功能:标记位置和转到标记,快捷键分别是Ctri+I和Ctrl+K。这个功能就不用多解释了吧,我是经常用的。 定义选块 定义选块主要是用来导出特定数据或缩小搜索范围,定义完成之后可以在“位置”菜单里快速定位到选块头和选块尾。 这个操作很简单。在选块头右键点击,选择“选块开始”,选块尾右键点击,选择“选块结尾”就完成了。

WinHex简体中文版教程 入门教程

WinHex简体中文版教程入门教程 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是

U盘-WinHex数据恢复使用教程

WinHex数据恢复使用教程 WinHex教程 WinHex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如Pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:WinHex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构

MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、W INHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: WinHex WinHex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方

winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR

winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR 字节位置 内容及含义 第1字节 引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。 第2、3、4字节 本分区的起始磁头号、扇区号、柱面号 第5字节 分区类型符: 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——(LBA模式)扩展分区 83H—— Linux分区 第6、7、8字节 本分区的结束磁头号、扇区号、柱面号 第9、10、11、12字节 本分区之前已用了的扇区数 第13、14、15、16字节 本分区的总扇区数 1、什么是逻辑驱动 2、什么是物理驱动器 3、怎么搜索MBR、 EBR、DBR MBR、 EBR、DBR他们都是以55AA结尾 在winhex中搜索16进制:55AA 偏移512=510 (1)搜索DBR的标志: FAT16的DBR:EB 3C 90 没有备份的DBR FAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区 NTFS的DBR: EB 52 90 (备份的DBR)在该分区的最后一个扇区 判别MBR的方法: MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。1FE-1FF就是“55 AA” 判别EBR的方法: EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0 (2)查找DBR 可以通过搜索本分区的EBR去找DBR. 可以搜索EBR,定位DBR. DBR相对于EBR后63号扇区。 (3)当某分区的DBR坏了,就提示:未格式化 这个时候用winhex打开逻辑盘,就打不开。 我们只有通过打开物理驱动器,然后跳转到该分区。 就可以查看DBR是否被破坏了。。。。

数据恢复软件Winhex使用说明书

目录 Winhex概述 (3) 1、软件的安装 (3) 2、软件使用及介绍 (4)

Winhex概述 WinHex是一个专门用来对付各种日常紧急情况的小工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。 具体功能如下: *可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑 *支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统 *可支持重组RAID及动态磁盘 *附带数据恢复功能 *可以访问物理内存及虚拟内存 *内置数据解释器,可以识别解释20种数据类型 *可以用数据结构模板查看、编辑结构数据 *可以分割与合并文件 *可以对文件进行分析与对比 *具有灵活的搜索和替换功能 *可以对磁盘进行克隆 *可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理 *具有编程接口,支持脚本操作 *支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算 *支持对磁盘进行数据安全销毁 *包含ANSI ASCII,IBM ASCII,EBCDIC,Unicode字符集 *支持文件大小超过4GB 1、软件的安装 Winhex的安装与普通软件安装没有区别,以在Windows XP下为例,双击Setup.exe程序即可开始安装过程。如图1.1所示。 图1.1

程序默认的安装路径是C:\Program Files\WinHex,当然也可以自行选择安装到其他位置。可以选择语言种类,不过用以选择中文的Chinese按钮处于灰色不可选状态,应该是尚不支持中文。用户可以选择其它语言,默认语言是英文。确定安装位置无误后,点击OK按钮,程序会弹出一个询问框,询问是否确定将程序安装到所选位置。如图1.2所示。 图1.2 如果要对安装位置重新选择,可以按“否”按钮回到原界面进行设置。否则按“是”按钮继续安装。程序随即会弹出询问框询问是否要建立快捷方式。如图1.3所示。点击按钮“是”,程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。 图1.3 最后,程序提示安装完毕,询问是否运行程序。如图1.4所示。 图1.4 点击“是”按钮,程序即开始运行。如果不想立即运行程序,可以点击“否”按钮,在使用程序时从开始菜单中启动程序。 2、软件使用及介绍 2.1启动软件 以Winhex15.1为例,第一次运行程序,程序会给出一个设置窗(如图2.1.1所示),有两个可选项: *Write protection by default:设置写保护,即只可以对打开的对象进行查看,不可以进行修改; *Computer forensics interface:如果要使用取证界面,则应该勾选项。 我们是要使用底层分析及数据恢复功能,所以不需要在这个设置窗中进行任何设置,直接点击OK按钮即可,这样运行的程序默认允许对打开的对象进行读写操作。

相关文档
最新文档