Winhex как восстановить замененный файл

Обновлено: 04.07.2024

Winhex — это небольшой инструмент, предназначенный для решения различных ежедневных чрезвычайных ситуаций. Его можно использовать для проверки и восстановления различных файлов, восстановления и удаления файлов, а также для устранения потери данных, вызванной повреждением жесткого диска. Это также позволяет вам видеть файлы и данные, скрытые другими программами. В целом, это очень хороший шестнадцатеричный редактор. Zdnetsoftwarelibrary имеет самый высокий рейтинг и обладает мощными системными функциями.

Сначала поговорим о восстановлении файлов. Откройте меню программы-«Инструменты»-«Открыть диск». Вы можете выбрать диск для восстановления файлов и нажать «Открыть», чтобы просмотреть все файлы диска в верхней части, найти файл для восстановления, щелкнуть его правой кнопкой мыши и выбрать «Восстановить». Установите место восстановления. (Примечание: в удаленный файл новые данные не записываются).

Далее поговорим о восстановлении информации о разделе. В этом примере подключены два жестких диска.

Запустите winhex и обнаружите, что все экземпляры MBR равны нулю. Далее мы начнем вручную восстанавливать таблицу разделов.

Сначала восстановите загрузочный код. Это самое простое. Вам нужно только использовать winhex для копирования загрузочного кода на другой системный диск. Разве на моей текущей машине не висит два жестких диска? Maxcompute 2G, Western data 40g и Western data 40g — мои системные диски. Скопируйте их с этого диска.

Нажмите "Редактор диска".

Появится диалоговое окно "Редактировать диск".

Выберите hd0 WDC WD400EB---00CPF0 и нажмите "ОК"

Так мы открываем таблицу разделов системного диска. Обратите внимание, что теперь мы открываем два окна. Текущее окно — «Жесткий диск 0», которое отображается в строке заголовка. Кроме того, вы также можете видеть, что текущее окно проверено. Если вы хотите вернуться к исходному окну, нажмите «Жесткий диск 1».

Сначала выберите загрузочный код для системного диска.

Щелкните правой кнопкой мыши область выделения и выберите "Изменить"

Далее выберите "копировать и выделить блок"-"обычный"

Вернитесь к жесткому диску 1, щелкните правой кнопкой мыши первый байт нулевого сектора и выберите "изменить"

Выберите "Данные буфера обмена" – "Записать".

Появится окно с приглашением. Нажмите "ОК"

Таким образом, мы скопируем загрузочный код на обычный системный диск.

Далее мы начнем восстанавливать таблицу разделов (всего 64 байта, разделенных на 4 элемента таблицы разделов, каждый элемент таблицы разделов занимает 16 байт, обычно используются только первые два элемента таблицы разделов). восстановить первый элемент раздела (то есть используемый для описания диска C).

Сначала заполните флаг указателя раздела во втором байте (пятая строка до конца сектора 0, а вторая до последнего байта). Поскольку диск C является активным разделом, введите 80.

Далее идут 2-й, 3-й и 4-й байты (начальный номер головки, номер зоны вентилятора и номер цилиндра раздела). Введите: 01 01 00.

5-й байт — это символы типа раздела. Поскольку исходный формат диска C — FAT32, введите 0b. Что делать, если вы не знаете формат диска C? Вы спросите у заказчика. А если он не знает? Не волнуйтесь. Я научу вас различать формат раздела, когда мы поговорим о восстановлении DBR позже.

6-й, 7-й и 8-й байты — это конечный номер заголовка, номер веерной области и цилиндрический номер текущего раздела. Как решить эту проблему? Не волнуйся. Текущие диски все ориентированы на LBA, а не на C/h/s (и цилиндр, головку и сектор), так что неважно, что вы здесь заполняете, но я хочу вам сказать, что есть общее заполнение метод: Fe ff.

9-й, 10, 11, 12 байт. Номер слайса, использованного перед текущим разделом, то есть номер слайса, занятого MBR. Разве это не 63? Да, но вам нужно преобразовать 63 в шестнадцатеричное число, а затем ввести его в обратном порядке. Вы все еще помните, как пользоваться калькулятором? Преобразуйте 63 в шестнадцатеричное значение 3f и добавьте ноль перед четырьмя байтами, то есть 00 00 00 3f. Затем преобразуйте число справа налево в 3f 00 00.

13-й, 14-й, 15-й и 16-й байты — это общее количество слайсов в текущем разделе, то есть размер диска С, который вычисляется по биту. Поскольку диск C начинается с 63-го сектора, а за диском C следует EBR, первый сектор, в котором находится EBR минус 63, является размером диска C. Так как же нам найти первый слайс, где находится EBR? Как мы уже говорили, структура EBR такая же, как и у MBR. Следовательно, конечная метка EBR должна быть 55aa. Если мы найдем эту конечную метку, давайте посмотрим, не является ли этот срез EBR?

Нажмите «Поиск» -- «Поиск шестнадцатеричного значения .», после чего отобразится диалоговое окно.

Введите "55aa" в текстовое поле, выберите "все" в поле поиска, выберите "условие" и установите смещение на "512 = 510".

Нажмите "ОК". Рисунок выглядит следующим образом:

Сначала найдите первое "55aa". Мы видим, что слайс находится на первом 63-м слайсе, а не на том EBR, который мы ищем. Затем нажмите F3, чтобы продолжить поиск.

Я нашел несколько других секторов, ни одного из них. Этот сектор находится ниже?

Как мы упоминали выше, структура EBR такая же, как и у MBR, поэтому второй и последний байты в последних пяти строках должны быть 00 01, а первые 446 байт должны быть 0, очевидно, это не ЭБР. Продолжайте поиск по F3. Наконец, мы нашли настоящий ebr в секторе 1435392.

СОВЕТЫ. Сейчас жесткие диски относительно велики. Слишком медленно искать 55аа по секторам. Есть ли способ поторопиться? Да, вы должны сначала спросить клиента о размере диска C. Большинство клиентов до сих пор это знают. Например, если он говорит, что на диске С около 10 Гб, не стоит начинать с нуля, потому что он слишком медленный. 10 Gb — это около 20 миллионов секторов, поэтому вы можете использовать команду для преобразования в сектор непосредственно в 19-миллионный сектор. С этого места гораздо проще начать поиск.

Используйте 1435392 минус 63, чтобы получить 1435329, а затем преобразуйте его в шестнадцатеричный формат, то есть 15e6c1. если вы перевернете его, это будет c1e61500, что соответствует размеру диска C. В этом случае заполняется первый пункт таблицы разделов. Сохраните элемент и введите второй элемент таблицы разделов.

Вторая таблица разделов содержит 1-й байт: запишите 00, потому что это неактивный раздел.

2-й, 3, 4 байт, заполните 01 01 00 (общий)

5-й байт: заполните 0f, потому что это расширенный раздел.

6-й, 7-й, 8-й байты: заполните Fe FF (общие)

9-й, 10-й, 11-й и 12-й байты — это количество слайсов, используемых перед текущим разделом, которое должно равняться размеру диска C плюс 63, то есть 1435392, которое было только что рассчитано выше, преобразовать в шестнадцатеричное число, а затем преобразовать его в 00 E7 15 00.

13-й, 14, 15 и 16 байт — это общее количество слайсов в текущем разделе, то есть общее количество слайсов в расширенном разделе, то есть размер всего жесткого диска минус размер диск С и затем 63, то есть 4124736-1435329-63 = 2689344. Если перевести в шестнадцатеричную систему, то это 290940, а другое 40092900.

Таким образом, вторая таблица разделов готова.

Не забудьте поставить последний знак окончания 55aa. Таким образом, MBR будет полностью восстановлен. Наконец, сохраните и перезапустите .

После завершения загрузки мне не терпится открыть компьютер и обнаружить, что все три раздела восстановлены, а данные не повреждены.

Щелкните правой кнопкой мыши мой компьютер и выберите "Управление"

В появившемся диалоговом окне выберите «Управление дисками». С правой стороны вы можете видеть, что все три раздела (FAT32, fat16 и NTFS) Диска 1 вернулись. На этом этапе таблица разделов успешно восстановлена.

Восстановление данных вручную имеет высокий уровень успеха, что интересно и сложно. Он может извлекать файлы, которые многие глупые программы не могут найти. Однако инженеры должны набраться терпения и бодрствовать, ясно, чем вы оперируете, что будет после операции и можно ли вернуться в прежнее состояние. Особенно для некоторых разрушительных операций мы должны быть внимательны. пока позволяют условия, мы должны сделать резервную копию данных перед операцией. В противном случае это вызовет «кровавый» урок. Помните!

WinHex по своей сути является универсальным шестнадцатеричным редактором, особенно полезным в области компьютерной криминалистики, восстановления данных, низкоуровневой обработки данных и ИТ-безопасности. Усовершенствованный инструмент для повседневного и экстренного использования: проверяйте и редактируйте все типы файлов, восстанавливайте удаленные файлы или потерянные данные с жестких дисков с поврежденной файловой системой или с карт цифровых камер. Возможности зависят от типа лицензии (сравнение типов лицензий), среди них:

  • Редактор дисков для жестких дисков, гибких дисков, CD-ROM и DVD, ZIP, Smart Media, Compact Flash, .
  • Встроенная поддержка FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3®, CDFS, UDF
  • Встроенная интерпретация RAID-систем и динамических дисков
  • Различные методы восстановления данных
  • Редактор оперативной памяти, обеспечивающий доступ к физической оперативной памяти и виртуальной памяти других процессов
  • Интерпретатор данных, знающий 20 типов данных.
  • Редактирование структур данных с использованием шаблонов (например, для восстановления таблицы разделов/загрузочного сектора)
  • Объединение и разделение файлов, объединение и разделение нечетных и четных байтов/слов
  • Анализ и сравнение файлов
  • Особенно гибкие функции поиска и замены
  • Клонирование диска (под DOS с X-Ways Replica)
  • Образы и резервные копии дисков (можно сжать или разделить на архивы по 650 МБ)
  • Простой скрипт
  • 256-битное шифрование AES, контрольные суммы, CRC32, хэши (MD5, SHA-1, . )
  • Надежное стирание конфиденциальных файлов, очистка жесткого диска для защиты вашей конфиденциальности.
  • Импорт всех форматов буфера обмена, в т.ч. Шестнадцатеричные значения ASCII
  • Преобразование между двоичным, шестнадцатеричным ASCII, Intel Hex и Motorola S.
  • Наборы символов: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)
  • Мгновенное переключение окон. Печать. Генератор случайных чисел.
  • Поддерживает файлы любого размера. Очень быстро. Легко использовать. Обширная справка по программе.
  • Еще

К зарегистрированным профессиональным пользователям относятся:
Microsoft Corp., Hewlett Packard, Deloitte & Touche, KPMG Forensic, Ernst & Young,
Toshiba Europe, Ericsson, National Semiconductor, Siemens AG, Lockheed Martin, BAE Systems. ,
США федеральные правоохранительные органы, . (подробнее)

Что? Пожалуйста, ознакомьтесь с архивом новостей или форумом поддержки.

Пользовательский интерфейс и справка по программе полностью доступны на английском и немецком языках.
Пользовательский интерфейс также частично доступен на китайском, японском, французском, испанском, итальянском и португальском языках.

*Ограничения для Windows Vista/2008 Server/7: невозможно открыть физическую память. Невозможно записать сектора в разделы, содержащие Windows и WinHex.

Когда вы теряете данные на жестком диске, редактор секторов позволяет просматривать данные почти везде на диске. Вот как вы можете использовать WinHex для восстановления данных в любом месте на жестком диске.

У Кота Феликса был целый набор волшебных трюков, которые выручали его из затруднительных ситуаций. У всех хороших специалистов службы поддержки есть свой волшебный набор приемов, но обычно он содержит различные программные утилиты, которые помогают им решать сложные технические проблемы. Одной из самых удобных утилит, которые могут быть у специалиста службы поддержки, является редактор секторов. С помощью редактора правого сектора специалист службы поддержки может восстановить данные или даже прочитать области диска, содержащие удаленные или поврежденные данные. WinHex — это удобный редактор секторов, который прекрасно впишется в ваш набор хитростей.

Что такое WinHex и сколько это будет стоить?
WinHex, созданный X-Ways Software Technology AG из Германии, представляет собой мощное приложение, которое можно использовать в качестве расширенного шестнадцатеричного редактора, инструмента для анализа, редактирования и восстановления данных, инструмента для очистки данных и судебной экспертизы. инструмент, используемый для сбора доказательств. В число клиентов, использующих WinHex, входят Национальная лаборатория Ок-Риджа, Hewlett Packard, National Semiconductor, несколько правоохранительных органов и многие другие компании, нуждающиеся в восстановлении и защите данных.

WinHex, совместимый с Windows 95 и Windows XP, предлагает следующие возможности:

Криминалистические функции (для которых требуется лицензия Specialist) включают следующие возможности:

  • Освободите свободное место.
  • Поиск текста по ключевым словам.
  • Создавайте таблицы содержимого диска с разделителями табуляции. Эти таблицы можно импортировать в электронную таблицу, например Microsoft Excel, и отсортировать.

Лицензии стоят 44 доллара США (частная, 25 долларов США за дополнительную лицензию), 84 доллара (профессиональная, 48 долларов США за дополнительную лицензию) и 126 долларов США (специалист, 67 долларов США за дополнительную лицензию), что делает это приложение выгодным приобретением для предлагаемых функций.

Загрузка и установка
Если вы хотите попробовать WinHex, загрузите ознакомительную версию Winhex.zip. Эта версия работает по большей части, но функции Professional и Specialist отключены. После загрузки Winhex.zip разархивируйте содержимое во временный каталог на рабочей станции администратора.

Запустите программу установки и выберите папку и язык для установки. WinHex поставляется на английском, немецком, французском, испанском, итальянском и португальском языках. (Последний выпуск — версия 10.75.) Программа установки WinHex работает так же, как и любой другой мастер установки Windows, который вы когда-либо использовали. Просто следуйте инструкциям на экране, и вы не ошибетесь.

WinHex не хранит информацию о конфигурации в реестре или файлы конфигурации в папках ОС Windows, что делает его переносимым и помогает уменьшить размер реестра.

Чтобы пользователи Windows 9x и Me могли напрямую обращаться к секторам компакт-диска, должен присутствовать файл Windows wnaspi32.dll. Файл обычно устанавливается вместе с Windows. Если это не так, вы можете найти его на установочном компакт-диске Windows.

Для редактирования секторов жесткого диска в Windows NT, 2000 или XP вам потребуются права администратора.

Использование WinHex
На самом базовом уровне WinHex представляет собой шестнадцатеричный редактор. То есть, как и большинство шестнадцатеричных редакторов, он отображает три столбца: адрес, 16-байтовый шестнадцатеричный дисплей и 16-символьный текстовый дисплей.

Просмотрщик данных можно настроить в широких пределах. Например, щелкая стрелки вверх, вниз, вправо и влево на панели инструментов, вы можете добавлять строки, удалять строки, добавлять столбцы и удалять столбцы из отображения данных. Вы можете просмотреть только шестнадцатеричный формат, только текст или и то, и другое, установив флажки в меню «Вид». Общие параметры позволяют установить цвета и шрифт, а щелчок по столбцу «Смещение» позволяет переключаться между десятичными и шестнадцатеричными значениями адреса.

Сеансы WinHex начинаются с Центра запуска, показанного на рисунке A, где вы можете открывать файлы, диски, ОЗУ и ранее отредактированные файлы, которые можно выбрать из списка.WinHex запоминает последнюю позицию редактирования предыдущих файлов и состояние последнего сеанса и позволяет вам открыть весь предыдущий сеанс, щелкнув «Продолжить последний сеанс» в окне «Проекты» Центра запуска. Вы также можете открывать проекты и запускать скрипты (редактор скриптов включен в версиях Professional и Specialist).

Как и другие шестнадцатеричные редакторы, WinHex может открывать файлы как редактируемые или только для чтения. Отредактированные данные хранятся во временном файле до тех пор, пока они не будут сохранены, после чего ваши изменения будут зафиксированы. Существует также режим редактирования на месте, в котором все изменения вносятся непосредственно в режиме реального времени (по умолчанию при редактировании ОЗУ). Вы можете выбрать режим редактирования в диалоговом окне «Открыть файл». При открытии всего диска или раздела по умолчанию используется режим редактирования.

Внимание! Использование дискового редактора может привести к фатальным последствиям.

Изменение значений, отличных от текстовых строк, может испортить исполняемый (программный) файл. Непосредственное редактирование диска или оперативной памяти может повредить операционную систему или целостность диска. При редактировании исполняемого файла, dll или другого файла программы всегда работайте с копией. Сохраните оригинал на случай, если файл программы потребуется восстановить. Никогда не изменяйте длину исполняемого файла или его инструкций и данных, если вы не абсолютно уверены в результате. В противном случае это приведет к тому, что код пропустит инструкции и, возможно, испортит файл до такой степени, что он больше не будет работать. К счастью, WinHex содержит 25 уровней отмены, так что в большинстве случаев можно восстановить свои модификации.

На рис. B показана строка состояния WinHex, расположенная справа от шестнадцатеричного дисплея. В дополнение к привычной информации о состоянии, такой как имя файла, дата создания и время, в строке состояния также отображается состояние файла (исходное/измененное) и уровни отмены.

Рисунок A
Начните сеанс WinHex в Start Center.
Рисунок B
В строке состояния отображается основная статистика по редактируемым данным.

Редактирование дисков и других носителей
При использовании WinHex в качестве редактора дисков вы можете получить доступ к носителям через операционную систему (логически) или через BIOS (физически). Логический доступ позволяет просматривать диск по кластерам. Вы можете просматривать файловую систему и получать доступ к загрузочным секторам разделов и таблицам размещения файлов. С профессиональной лицензией вы также можете просматривать свободное и свободное пространство.

При физическом доступе к диску часто можно редактировать диск, к которому операционная система не может получить доступ по какой-либо причине. Также можно просматривать, редактировать и создавать резервные копии таблиц разделов и загрузочных секторов основной загрузочной записи (MBR).

Откройте Редактор дисков, выбрав Редактор дисков в меню Инструменты. Появится окно Edit Disk, показанное на рис. D, и вы сможете выбрать, какой диск, логический или физический, вы хотите отредактировать. Теперь диск открыт в режиме редактирования. Изменения не вносятся на месте, а только когда вы выбираете Сохранить.

Рисунок D
Используйте Disk Editor для логического или физического доступа к диску.

Чтобы восстановить диск с помощью WinHex, важно знать разницу между просмотром данных диска, отображаемых логически, и просмотром данных диска, отображаемых физически.

Когда вы открываете диск C: с помощью логического доступа, то, что отображается как адрес 00 диска, на самом деле является первым байтом загрузочного сектора этого раздела, а не первым байтом диска. . Снова обратившись к рисунку D, вы можете видеть, что логический доступ к моему диску предлагает два варианта: C:\ и D:\ (жесткий диск этой машины разделен на C:, отформатированный в FAT32, и D:, отформатированный в NTFS), в то время как физический access предлагает только один вариант: Hard Disk One.

Выбор Hard Disk One считывает весь диск. Здесь смещение 00 действительно означает фактическое физическое начало жесткого диска, головка 0, цилиндр 0, сектор 1, где хранятся код начальной загрузки и таблицы разделов для диска. В физическом представлении диск C: фактически начинается со смещения 7E00h. Для сравнения, на рис. E показаны первые 16 байтов диска C:\ с логическим доступом (1), первые 16 байтов жесткого диска с физическим доступом (2) и первые 16 байтов раздела C: с физическим доступом (3).< /p>

Рисунок E
Эти три отображения данных демонстрируют разницу в адресации и доступе к данным при логическом и физическом доступе к диск.

Что означает это обсуждение логического и физического доступа? Чтобы создать резервную копию и восстановить MBR с ее загрузочным кодом и таблицами разделов диска, получите физический доступ к диску (предпочтительно с другого диска, на котором установлен WinHex). Если вы хотите сделать резервную копию и восстановить только загрузочный сектор вашего раздела, логический доступ к диску будет немного проще.

Дополнительные параметры доступа к диску
Когда вы открываете диск, справа от дисплея появляется кнопка «Доступ». При нажатии кнопки «Доступ» открывается ряд параметров в зависимости от типа открытого носителя.

Например, поскольку C:\ является разделом FAT32 в моей системе, нажатие кнопки "Доступ" позволяет мне перейти к загрузочному сектору, FAT 1, FAT 2, обозревателю каталогов, корневому каталогу, свободным кластерам, избыточным секторам и т. д. , как показано на рисунке F. В разделе NTFS я смогу получить доступ к записям таблицы основного файла.

Рисунок F
Эти параметры доступны при логическом доступе к диску.

Если бы я открыл C:\ физически, выбор Access предложил бы мне доступ к любому разделу диска, просмотру таблицы разделов и загрузочного сектора, клонированию раздела и созданию резервной копии, как показано на рисунке G.

Рисунок G
Параметры работы с дисками отличаются для физического доступа. Используйте нужный инструмент.

На рисунке F обратите внимание на два варианта доступа: шаблон загрузочного сектора и шаблон корневого каталога. Шаблоны — это удобный способ просмотра и редактирования этих областей диска. На рисунке H показан результат выбора шаблона загрузочного сектора. Вы также можете напрямую изменять информацию в шестнадцатеричном формате.

< /tbody>
Рисунок H
Шаблоны упрощают работу с необработанными данными.

Для просмотра диска доступны другие шаблоны. Выберите Вид | Менеджер шаблонов, чтобы увидеть список. Кроме того, пользователям WinHex доступны и другие шаблоны. Например, существуют шаблоны для чтения форматов файлов базы данных Zip disk и Palm.

Резервное копирование и восстановление MBR, таблиц разделов и загрузочных секторов.
Для загрузки машины жесткий диск должен содержать действительную MBR, таблицу разделов с именем хотя бы одного активного раздела и действительный загрузочный сектор на этом разделе (который также будет содержать загрузчик операционной системы). Чтобы любой раздел диска был виден операционной системе, он должен быть указан в таблице разделов MBR и иметь допустимый загрузочный сектор.

MBR состоит из первых 512 байтов информации (512 байтов на сектор) жесткого диска в секторе 1. Первые 446 байтов информации содержат фактический загрузочный код. Следующие 64 байта — это таблица разделов — четыре записи по 16 байт, а последние два байта содержат подпись, определяющую конец всех загрузочных секторов: 55h AAh.

Резервное копирование и восстановление загрузочного сектора основного раздела немного безопаснее, чем работа с MBR, и это полезный способ демонстрации возможностей WinHex.

Загрузочный сектор содержится в первых 512 байтах каждого раздела. В каждом случае сектор заканчивается шестнадцатеричным кодом подписи 55h AAh. WinHex упрощает ручное резервное копирование и восстановление этих важных байтов кода. Эту информацию также можно редактировать вручную напрямую или с помощью шаблона.

Чтобы создать резервную копию загрузочного сектора раздела, щелкните Доступ | Загрузочный сектор. В меню выберите Редактировать | Копировать сектор | В новый файл. Вас попросят указать имя файла. Выберите имя, такое как bootcopy.dat (dat — это тип файла WinHex), и сохраните. Откроется новое окно со скопированным сектором.

Имейте в виду, что если вы сохраните этот файл на том же диске или в том же разделе, который вы просматриваете, вы изменили данные в этом разделе. Если вы пытаетесь восстановить стертые данные, некоторые данные могут быть потеряны. Когда вы работаете с жестким диском, который может быть использован в качестве доказательства, никогда не работайте с оригинальной копией. Для этого вы должны клонировать диск. Однако для нашего примера мы продолжим работу с диском ОС.

Вы можете распечатать информацию о шаблоне, чтобы сохранить бумажную копию на тот случай, если вам когда-нибудь понадобится перестроить MBR вручную. В это время просто получите доступ к диску с помощью WinHex и запишите данные в шаблон загрузочного сектора.

Есть несколько способов восстановить загрузочный сектор. Один из способов — открыть резервную копию файла и вставить информацию в область загрузочного сектора.

Еще один способ, не требующий большого количества манипуляций с файлами, — это копирование резервного загрузочного сектора, если он есть, при условии, что он не поврежден вирусом или иным образом, обратно в начало раздел.

В файловой системе FAT32 копия загрузочного сектора хранится в секторе 6, который начинается со смещения C00h. Файловые системы NTFS хранят копию в конце тома. Но вы можете найти резервную копию и без этой информации, выполнив поиск по заголовку загрузочного сектора — кстати, это хороший способ продемонстрировать функцию поиска WinHex.

Загрузочный сектор начинается с команды перехода (EBh) и содержит заголовок в четвертой позиции (смещение 3). Заголовки FAT32 будут читать, например, MSWN4.1.

Скопируйте всю строку из JMP в MSWN4.1, перетащив на нее курсор либо в текстовом столбце, либо в столбце шестнадцатеричного отображения.Строка будет выделена (Рисунок I). В меню выберите Редактировать | Копировать блок | Обычный, чтобы скопировать текстовую строку в буфер обмена, или Правка | Копировать блок | Hex Values, чтобы скопировать шестнадцатеричный код. Выбор за вами.

Теперь выберите Поиск | Найти текст, если вы скопировали текст, или Поиск | Найдите шестнадцатеричные значения, если вы скопировали строку шестнадцатеричных значений. Вставьте строку в поле поиска и нажмите ОК. Первый поиск остановится на секторе 0. Нажмите F3, чтобы продолжить поиск. Следующим попаданием, скорее всего, будет резервная загрузочная копия.

Давайте убедимся, что этот сектор действительно является точной копией загрузочного сектора, используя функцию сравнения. Наведя курсор на этот сектор, выберите «Редактировать | Скопировать в файл. Назовите этот файл bootcopy2.

Убедитесь, что оба файла открыты в WinHex. В меню выберите Диспетчер файлов | Сравнивать. Используйте кнопки обзора, чтобы добавить файлы bootcopy1.dat и bootcopy2.dat в первое и второе поля файлов. Затем дайте имя файлу отчета, который создаст WinHex, как показано на рисунке J. Нажмите OK. Появится сообщение с результатом, надеюсь, тот, который вам нужен: «Различий не обнаружено», что означает, что два файла (и загрузочные сектора) идентичны.

Рисунок I
WinHex выделяет обрабатываемый блок данных.
Рисунок J
Вы готовы проверить, нашли ли вы резервный загрузочный сектор.

На этом этапе вы знаете расположение резервной копии вашего загрузочного сектора, и у вас есть два файла, содержащие точные копии вашего текущего загрузочного сектора.

Теперь потренируйтесь копировать и заменять загрузочный сектор из резервной копии раздела. Предупреждение: это не для слабонервных. Если вы ошибетесь, возможно, вам придется попрактиковаться в замене загрузочного сектора.

Перейдите к резервной копии загрузочного сектора. Для дисков FAT32 это можно сделать быстро, выбрав Position | Перейти к сектору. Введите 6 и нажмите ОК. Выберите Редактировать | Копировать сектор | Обычный. Это помещает данные в буфер обмена.

Верните точку вставки на смещение 0 относительно исходного загрузочного сектора. Выберите Редактировать | Данные буфера обмена | Писать. Сообщение сообщит вам, что «данные буфера обмена будут записаны со смещением 0». Нажмите "ОК".

Данные буфера обмена перезаписывают сектор 0 и выделяются. Строка состояния справа теперь показывает следующую полезную информацию: Состояние: Изменено, Уровень отмены: 1, Отменить обратное: Запись в буфер обмена.

Вы можете отменить изменения, выбрав «Правка | Отменить. На этом этапе упражнения вы также можете выйти из Диска C: без фиксации изменений. Если вы чувствуете себя особенно смелым и хотите проверить свои навыки ремонта дисков, выберите «Файл | Сохранить секторы. Будут сохранены только внесенные вами изменения.

Теперь вы заменили свой загрузочный сектор. Чтобы создать резервную копию и заменить MBR и таблицы разделов диска, выберите Tools | Редактор дисков и доступ к диску физически. Затем скопируйте MBR в файл и подготовьте его на случай замены.

Дополнительные инструменты
На рисунках K и L показаны другие инструменты и параметры, доступные для работы с дисками. Среди них возможность просматривать структуру каталогов, список файловых кластеров и клонировать диск. Специальные инструменты включают в себя возможность сбора свободного места, свободного места и текста для анализа; искать одновременно по разным ключевым словам; создавать оглавления для диска; создать таблицу чисел Бейтса (формат, используемый юристами для ссылки на доказательства); и выделить свободное и незанятое пространство.

Рисунок K
Дисковые инструменты WinHex

Рисунок L
Специализированные инструменты WinHex

Стирание конфиденциальных файлов
Одна последняя функция заслуживает упоминания, поскольку она относится к противоположному восстановлению данных: способность WinHex стирать конфиденциальную информацию, чтобы ее нельзя было восстановить. Файловый менеджер | Опция Wipe Securely выходит за рамки многих инструментов для уничтожения файлов. Применительно к файлу, согласно WinHex, «даже профессиональные попытки восстановить файл будут тщетными».

Wipe Securely не просто перезаписывает файл несколько раз нулями или другими символами. Файл также уменьшается до нулевой длины, а затем удаляется. Лицензии Specialist и Professional идут еще дальше: WinHex также стирает запись имени файла.

Для получения дополнительной информации
Профессиональные и специализированные функции WinHex делают это приложение недорогим и внушительным арсеналом инструментов для ИТ-специалистов или специалистов правоохранительных органов. Он отвечает потребностям тех, кому необходимо редактировать и проверять диски для восстановления данных и криминальных улик, а также тех, кто работает с конфиденциальными данными, которые необходимо надежно стереть. Дополнительные сведения об использовании WinHex см. в наборе руководств на веб-сайте WinHex.

<р>1.Команды меню, помогающие управлять текущим делом, находятся в меню «Файл» окна «Данные дела» и в контекстном меню, которое открывается, когда вы щелкаете правой кнопкой мыши имя дела в окне «Данные дела».

<р>2. Команды меню, относящиеся к объекту улики, можно найти в контекстном меню, которое открывается, когда вы щелкаете правой кнопкой мыши имя объекта улики в окне «Данные дела».

<р>3. Команды меню, влияющие на весь список результатов поиска, список закладок или оглавление, можно найти в соответствующих контекстных меню в окне «Данные дела».

<р>4. Команды меню, влияющие на отдельные элементы, отображаемые в обозревателе каталогов, в списке результатов поиска или в списке закладок, можно найти в контекстном меню, которое открывается при щелчке правой кнопкой мыши по таким элементам. Вы не найдете таких команд в главном меню.

<р>5. Команды меню, которые воздействуют либо на двоичные данные в окне данных, либо на окно данных как таковое (а их много), либо на файлы или диски, которые еще нужно указать (например, для открытия, клонирования, конкатенации и т. д.), можно найти в главном меню.

Теоретически сам WinHex поддерживает файлы размером до нескольких тысяч ГБ (без опечаток). На практике размеры файлов ограничены файловой системой:

NTFS: практически без ограничений (несколько ТБ?)

Другие пользователи, столкнувшиеся с этой проблемой, решили ее следующим образом:

«Для пользователей nVidia в Панели управления должно быть «NVIDIA nView Desktop Manager». Откройте его и снимите флажок «Включить nView Desktop Manager», нажмите «Применить» и «ОК». Теперь откройте WinHEX и, если вам нужно, вы можете выполнить описанный выше шаг в обратном порядке и установить флажок «Включить nView Desktop Manager». Теперь у вас должны быть одновременно активны RAMedit и nView Desktop Manager, если вы этого хотите. Похоже, что для работы RAMedit необходимо отключить «Включить nView Desktop Manager» при открытии winHEX».

«Мое решение: удалить все улучшения nVidia из Windows (обозреватель рабочего стола и т. д.). Теперь редактор RAM работает нормально».

«Это были драйверы Nvidia, в частности, я получал другие сообщения об ошибках от других программ, указывающих на nview.dll (версия 6.13.10.2942). Я удалил драйверы и после перезагрузки установил свежие драйверы, и теперь все работает нормально».

Это непоследовательность в поведении панели быстрого доступа MS Office, которая возникает в некоторых случаях в сочетании с WinHex, появляющимся в контекстном меню оболочки. Обратите внимание, что вы по-прежнему можете запускать программное обеспечение MS, щелкнув правой кнопкой мыши кнопку на панели быстрого доступа и выбрав «Открыть» во всплывающем меню. Этот пункт меню по-прежнему должен быть выделен жирным шрифтом, поэтому непонятно, почему эта команда больше не является командой по умолчанию для этой кнопки.

Информация, представленная на этой странице, относится к текущей версии WinHex, если не указано иное. Пожалуйста, направляйте любые вопросы, на которые здесь нет ответа, по электронной почте или размещайте их на форуме поддержки WinHex.

Читайте также: