实操——Winhex初步

大家好，欢迎来到IT知识分享网。

主要操作：

        1.打开文件——修改、保存

        2.打开磁盘——查看、更新快照

        3.搜索——文本、十六进制

        4.复制选块

        5.位置——转到扇区、簇

步骤：

1.打开文件——修改、保存

        （1）打开Winhex软件（使用管理员身份运行），界面如下：

        （2）点击“文件”，“打开”，选择一个文本文件打开：

        打开后如下图所示，可以看到它的字节和解读出来的信息：

        文件的内容以十六进制编码的形式显示出来，可以进行修改，如下图所示，将第一个数字4C改为48，文件内容中的Li变为了Hi。

原图如下：

修改后：

        改完之后修改的地方变成了蓝色，表示修改完没有保存，点击保存图标进行保存，这时候会弹出一个警告表示是否要更新文件，因为对于Winhex来讲，分析的是证据文件，证据文件是不允许被修改的，所以保存之前会再问一遍，点击“是”进行确认，可以发现修改的地方不再是蓝色的，保存成功：

        （3）关闭：在左上角的文件名上单击右键，点击关闭：

2.打开磁盘——查看、更新快照

        （1）点击“工具”，“打开磁盘”（也可以使用快捷键F9）：

        打开磁盘的时候会把所有的逻辑磁盘和物理磁盘都列出来，学硬盘结构需要打开物理磁盘，本次实验学习基本操作，打开逻辑磁盘E盘，点击确定：

        打开后界面如下：

        （2）磁盘打开后可以查看里面的文件，这时如果在磁盘中进行了一些修改，例如新建了一个RAR文件，想要到Winhex里查看它的一些情况，可以发现里面是没有我们新建的那个文件的。此时想要让这个文件显示出来需要打开新的快照。

        （3）打开新快照：点击“工具”，“磁盘工具”，“重新进行磁盘快照”，这个操作也就是刷新一遍，因此也可以直接关闭程序再重启：

        可以看到新建的文件显示出来了：

3.搜索——文本、十六进制

        （1）查找文本

        点击“搜索”，“查找文本”：

        以happy为例，不用区分大小写，首先采用ASCII码去搜，搜索的范围选择全部，其他的先不选，点击确定，就开始进行搜索：

        搜索结果如下：

        前面搜到的数据可能并不是我们所需要的，继续往下搜，点击“搜索”，“继续搜索”，直到找到想要的数据为止：

        还可以使用Unicode去搜：

        Unicode编码用2个字节来表示1个字符，对于英文字符也是一样，所以由上图可知，字符H用48 00 来表示，A用41 00来表示，所以在进行文本搜索时，看起来搜索的是happy这个关键词，实际上是把关键词用所选择的编码表示出来，得到相应的十六进制的串，把这个十六进制的串作为关键词去搜索。

        （2）查找十六进制

        点击“搜索”，“查找十六进制数值”（以jpg文件为例来搜）：

        按下图所示填写，点击确定：

        可以看到搜索出来的是jpg文件，如果不是，可以点击“搜索”，“继续搜索”：

如何选中jpg文件？

        首先在搜索出的第一个字节的地方点击右键，选择“选块起始位置”：

        要查看jpg文件从哪里结束：以当前位置向下去搜，点击“搜索”，“查找十六进制数值”，按下图所示填写，点击确定：

        可以看到搜索出来了结尾的位置，在结尾的字节D9处单击右键，选择“选块尾部”：

        由下图可知全部选中了：

4.复制选块

        经过上述操作已经选中了选块，这时在选中的地方单击右键，选择“编辑”：

        复制选块里有几种情况，分别进行实验：

        （1）选择“复制选块”，“标准（或正常）”：

        相当于把内容复制到剪切板里去，如果我们新建一个Winhex文件，把内容粘贴进去是可行的，操作如下：

        点击“文件”，“新建”：

        设置文件大小，点击确定：

        单击右键，点击“编辑”：

        会弹出下面的提示，表示从文件的开始位置去粘贴，这会增加文件的大小，点击确定：

        可以看到内容成功粘贴进来：

        需要注意的是，复制选块时选择标准（或正常）时，在外部程序（例如word）中粘贴是不可行的，只能在Winhex里粘贴。

        （2）选择“复制选块”，“至新文件”：

        至新文件就是把选中的一部分内容，放到一个文件里，文件没有要求，自己设（由于搜索的是jpg文件，设文件时也写成jpg文件）：

        点击保存后可以看到选中的内容粘贴进了新文件中：

        也可以打开这个新文件看到图片：

        （3）选择“复制选块”，“十六进制数值”：

        这种方法可以向选择“标准（或正常）”选项那样在Winhex里粘贴，也可以在word里粘贴，如下图所示：

5.位置——转到扇区、簇

        （1）选择“导航（位置）”，“跳至（转到）扇区”：

        想要快速到某某位置，可以点它，比如说想要到扇区2，就输入2，点击确定，如下：

        除了上述方法还可以直接在扇区2的上面直接点击，出来的效果是一样的：

        （2）簇：要求在一个正常的文件系统里它才可以去换算。对于一个正常的文件系统，Winhex它可以去判断一个簇的大小，所以它也就可以把扇区换算成一个簇，也可以指定跳转到某个簇。