您所在的位置: 主页 > 恢复软件 > 软件使用说明书 >

产品信息

Winhex使用说明
语言种类:简体中文
文件大小:3.13MB
软件类型:国产软件
所需费用:
下载次数:
下载地址:
  • 本地下载
  • 下载地址2
  • 软件的获取与安装

    Winhex的安装与普通软件安装没有区别,以在Windows X P下为例,双击Setup.exe程序即可开始安装过程,如图所示。
    yle="width: 729px; height: 355px;" />
    程序默认的安装路径是CAProgram Files\WinHex当然也可以自行选择安装到其他位置。
    可以选择语言种类,不过用以选择中文的Chinese按钮处于灰色不可选状态,应该是尚不支持中文。用户可以选择其他语言,默认语言是英文。
    确定安装位置无误后,单击OK按钮,程序会弹出一个询问框,询问是否确定将程序安装到所选位置如果要对安装位贾重新选择,可以单击“否” 按钮回到原界面进行设置:否则单击“是”按钮继续安装。
    程序随即会弹出询问框询问是否要建立快捷方式。如图所示。单击“是” 按钮,程序安装完毕后会在“开始” — “所有程序” 菜单中添加程序启动快捷方式。
    最后,程序提示安装完毕,询问是否运行程序,单击“是” 按钮,程序即开始运行。如果不想立即运行程序,可以申击“否” 按钮,在使用程序时从幵始菜单中启动程序。

    软件使用
    启动软件以WinheXl 5 . l为例,第一次运行程序,程序会给出一个设置窗,如图所示,
    yle="width: 719px; height: 157px;" />
    有两个可选项:
    ① Write protection by default:设贾写保护,即只可以对打开的对象进行查看,不可以进行修改;
    ② Computer forensics interface:如果要使用取证界面,则应该勾选此复选框。
    由于是要使用底层分析及数据恢复功能,所以不需要在这个设W.对话框中进行任何设靑,直接单击O K 按钮即可,这样运行的程序默认允许对打开的对象进行读、写操作。
    程序运行后的界面如图4 . 6所示。
    yle="width: 668px; height: 197px;" />
    现在还只是一个空的程序主界面,可以在这个界面中选择所需的各种功能。
    打开对象
    要对一个对象进行底层分析,首先要将其打开。下面以打开一个磁盘后的界面为例来介绍一 Winhex的十六进制编辑窗口。
    在Winhex主界面中打开一个磁盘,可以有3 种方式:
    ( 1 ) 单击工具栏中的d 按钮。
    ( 2 ) 按键盘上的F 9 键。
    ( 3 ) 选择菜单中Tools—Open Disk命令,如图4.7所示。
    无论使用哪用方法,都会弹出磁盘选择框,如图4.8所示。
    在磁盘选择框中,磁盘以两种形式分组,上面的一组是“逻辑”磁盘,下面的一组是“物理”磁盘。可以简单地理解“逻辑”磁盘就是在“我的电脑”界面中看到的各个分区,它们存在于物
    理磁盘中。
    打开逻辑磁盘和打开物理磁盘的区别在于以下两点。
    ①打开逻辑磁盘时,Winhex使用该分区内的文件系统参数遍历整个分区,可以从文件系统层解释分区内的数据。
    ②打开物理磁盘时,Winhex不以任何文件系统为基础,只是简单地将整个磁盘的内容以十六进制的形式展现在我们面前。
    由于目前尚未接触到文件系统知识,所以在此不对其进行详细的介绍,在后面学习到文件系统的知识后自然会理解。如图可以帮助大家理解一下物理磁盘和逻辑磁盘的关系。
    界面布局
    现在打开物理磁盘中的H D 0 并以它为例对打开后的界面进行介绍,如图所示。
    yle="width: 809px; height: 430px;" />
    1. 菜单栏
    菜单栏集合了程序提供的所有功能入口
    2. 案件数据
    它主要用于取证,可以将一个磁盘装入到案件数据框中查看数据,进行取证记录等。这个功能在数据恢复中并不常用,可以通过勾选菜单栏中的View—Show—Case Data命令控制它的显示与否,如图所示。
    yle="width: 848px; height: 652px;" />
    3 . 目录浏览器
    根据打开磁盘方式的不同,目录浏览器内显示的内容会有所不同。
    ( 1 )打开物理磁盘时,如果有可识别的分区,Q录浏览器中会显示各个分区的类型、大小及起始扇区等信息。
    ( 2 )打开逻辑磁盘时,如果有可识别的文件系统,0 录浏览器中会显示逻辑磁盘中的数据内容,显示效果与在“我的电脑” 中打开一个分区后看到的内容相同。是否显示目录浏览器可以通过View—Show—Directory Browser菜单命令控制。
    4 . 数据解释器
    数据解释器是一个浮动窗口,可以在屏幕窗口中任意拖拽到任何位置。是否显示数据解释器由 View—Show—Data Interpreter 菜单命令控制。
    当鼠标指针位于十六进制区或文本字符区时,数据解释器可以很方便地将鼠标指针当前所处位置的字节(或字符区的字符在十六进制区的对应字节)及向后若干个字节的十六进制数解释成十进制数、八进制数或同步显示十六进制数。可以在数据解释器窗口中右击,在弹出的快捷菜单中进行相应的设置。快捷菜单如图所示。
    (1 ) Options:单击该命令(或在数据解释器窗口左半部分双击)会弹 Options...出数据解释对话框,如图4 .1 3所示,可以在对话框中通过多选形式设置要 在数据解释器中显示的内容、性质及类型。默认情况下,数据解释器将十六| L xadeeimal进制解释为十进制,如勾选“ 8bit signed”复选框会在数据解释器中显示 Qctal指针所处位置的这一个字节的十进制值, “ signed” 表示有符号,即数值有 gelp正负之分。如果选择了 “ 8bit,unsigned"复选框,数据解释器会将指针当一1-------------------前所在位置的字节解释成无符号的数值,即只将其当作正数。
    数据解释对话框中还可以设置数据解释的精度,设置解释成各种时间值,设置按Big-Endian顺序解释多字节数值(默认以Little-Endian解释多字节数值)等。
    (2) Big Endian:选择该命令会在其前面显示对勾,表示以Big Endian顺序解释多字节数值(同样的设置功能在数据解释对话框中也有,直接将其放入快捷菜单中是为了便于使用)。在命令被勾选的情况下再次单击它,就会重新回到Little Endian解释状态。
    (3) Hexadecimal:选择该命令会在其前面显示对勾,表示将数值显示为十六进制(默认解释为十进制)。再次单击它,就会回到解释为十进制状态。
    (4 ) Octal:解释为八进制,该命令的使用方法与前两个命令相同。
    5. 工具栏
    工具栏集合了一些常用功能的快捷图标。是否显示工具栏可以通过View—Show—Toolbar菜单命令控制。随后会对工具栏进行专门的详细介绍。
    6 . 对象卡
    对象卡用于标识当前打开的对象窗口。是否显示对象卡可以通过是否勾选View—Show—Tab Control菜单命.令控制。在对象卡上右击会弹出关闭窗口快捷菜单,可通过该菜单关闭当前选项卡标识的对象窗口。
    7 . 详细面板
    详细面板用以显示当前活动窗U对象的详细信息,是否显示详细面板可以通过是否勾选View—>Show—`58;Details Panel 菜单命令控制。
    根据打开对象的不同,详细面板显示的内容会有所不同。
    打开一个物理磁盘时,详细面板会显示该物理磁盘的型号(M o d e l)、序列号(Serial No) 、固件版本(Firmware R e v )、当前编辑模式、当前状态(磁盘内容是否经过修改)、总容量、每扇区字节数、当前位置所属分区号、在分区中的扇区号、当前指针所在区域(十六进制区/文本R )、字符集和偏移坐标表示形式等一系列信息。
    打开- 个逻辑磁盘时,洋细面板会显示该逻辑分区在物理磁盘卜.的分区号、空闲百分比、文件系统类型、编辑模式、状态、当前簇号、当前扇区所属文件、当前扇区物理扇区号、当前扇区 逻辑扇区号、分区已用空间、分区空闲空间、总容量、毎簇扇区数、空闲簇数和总簇数和每扇区字节数等信息。
    8 . 偏移纵坐标
    与偏移横坐标配合,唯一地标识十六进制区域中每个字节的偏移地址。在偏移纵坐标区内单击,可以使偏移坐标的表示形式在十进制和十六进制间进行转换
    9 . 偏移横坐标
    与偏移纵坐标配合,唯一地标识十六进制区域中每个字节的偏移地址。
    10. 十六进制区
    以十六进制形式表示磁盘上的存储内容,是主要的工作区域。
    11. 文本字符区
    根据选择的字符集,以文本字符形式显示磁盘上的内容。
    1 2 .当前扇区号/总扇区数
    显示当前光标所在的扇区号以及整个磁盘的总扇区数。在该区域单击会弹出“转到扇区” 对话框。在该区域右击则会弹出复制当前扇区号或总扇区数快捷菜单,如图所示。
    13. 光标当前位置偏移值及当前字节十进制值
    标明光标当前位置的偏移值以及由当前字节开始的若干个字节的十进制值。
    ( 1 )在偏移值部分单击会弹出转到偏移量对话框;在偏移值部分右击会弹出一个快捷菜单,如图所示。
    右键快捷菜单中,提供了复制光标当前位H 偏移量的十进制值和十六进制值的菜单项,还提供了一个相对记录偏移命令Relative record o ffs e ts 单击该命令会弹出设置对话框,如图所示。
    ① Apply different background c o lo r :使用不同的背景颜色。勾选该复选框后,程序会按下面Fist record at offset文本框中设置的起始偏移位置和Record size in bytes文本框中设置的间隔记录大小字节数对显示内容使用不同的背景颜色,以便于用户区分。
    ② Relative record o ffse ts:使用相对记录偏移。勾选该复选框后,程序会以下面Fist record at offset文本框中设置的起始偏移位置为相对偏移0 该偏移0 后的字节偏移都以该偏移0 位置为基准。
    ③ Hst record at o ffse t:起始偏移位置,十六进制。根据勾选项的不同,作为使用不同背景颜色的起始偏移,或作为相对偏移0 的位置。
    ④ Record size in b y te s:记录大小,十进制。勾选了使用不同背景颜色项后,每隔这个“记录大小” 的字节数,交替更换一次背景颜色。
    ( 2 )在“光标当前位置字节值(十进制)” 区域单击,会弹出十进制解释器对话框,如图所示。
    yle="width: 746px; height: 505px;" />
    十进制解释器对话框用于设置将光标当前所在位置开始的几个字节解释为十进制数值,以及将其作为有符号还是无符号值进行解释。例如,选中为SbiUmsigned单选按钮将光标当前所在位置的这一个字节当作无符号数解释为十进制。如果选中2bitunsigned单选按钮,则将光标当前所在位置开始的4 个字节作为无符号数解释为十进制值。
    进行以下设置:
    ①以偏移0 x 2 1字节处为相对偏移0,同时它也作为使用不同背景颜色的起始处,每隔32个字节更换背景颜色。
    ②在十进制解释器对话框中选择“ 32bit,unSigned” 单选按钮。图4.18所示为设置后的界面结果,可以看到,虽然实际上光标的位K 并没有移动,但“光标
    所在位置偏移量” 处的值发生了变化,因为现在以0x21字节处为相对偏移0,光标现在恰好处于这个位置,所以它的偏移位置为0。.
    同样, “光标当前位置字节值(十进制)” 处的值也发生了变化,因为原来解释器解释的是1个字节,现在解释的是4 个字节。
    另外,当设贾了使用相对记录偏移后,在偏移值区域右击时弹出的快捷菜单中将增加一个Absolute offsets命令,如图所示,它用于快速将“使用相对记录偏移” 重新设置为“使用比对偏移” ,即以磁盘的偏移0 为偏移基准。
    还有一点,选择了使用相对记录偏移后, “当前扇区/总扇区数” 部分将变成“当前记录号/总记录数” ,单击该区域时也会相应弹出“转到记录” 对话框,如图所示。
    yle="width: 789px; height: 553px;" />
    如果选择了选块,会在这个位置显示选块的范围及选块的大小字节数,如图所示,选块起始于偏移0 x 2 1 结束于0x30,所以选块范围显示是“21-30” ;共0x10个字节,因此选块大小字节数部分显示10。
    在“当前选块起/止偏移值及选块大小字节” 区域内单击,会弹出定义选块对话框,如图所示。
    (1) Beginning:选块开始偏移。可以直接输入偏移值,也可以在后面的下拉列表框中选择一个选项对应的对象作为选块起始位置,如图所示。Beginning
    ① Current position:光标当前位置。
    ② Beginning of f i l e :文件或磁盘的起始0 字节处。
    ③ Middle of f i l e :文件或磁盘的中部。
    ④ End of f i l e :文件或磁盘的尾部。
    ⑤ Beginning of b lo ck :选块起始处。如果当前有选块被选中,则将选块的起始处作为新选块的起始。
    ⑥ End of block:选块结尾处。如果当前有选块被选中,则将选块的结尾处作为新选块的起始。
    (2 ) End:选块结束偏移。可以直接输入偏移值,也可以在后面的下拉列表框中选择一个选项对应的对象作为选块结束位置,其选项内容与选项含义与定义选块起始位置相同。

    产品中心

    在线咨询
    软件文档MORE+