winhex的下载与安装
官方下载地址http://www.x-ways.net/winhex/index-m.html
下载完成后出现winhex.zip文件,解压文件,放置到合适位置。
解压完成后,以管理员方式打开winhex.exe文件即可打开,若需要桌面发送快捷方式至桌面即可。
winhex基础使用
界面基础介绍
winhex下常见文件系统
大体上Windows中常见的文件系统FAT类型和NTFS都遵循B树结构,如下图所示,都在一个DBR后放置系统关键子文件,然后就是根目录记载,在目录后方常规跟随着数据区。
1.FAT32
以FAT32为例子
其中FAT1与FAT2功能相同,所以整体可以简化为DBR——FAT——FDT——DATA 模式,而其他文件系统例如EXFAT也是采用类似结构只是多了Bitmap元文件代替其中一个FAT,但是在NTFS中对其结构进行了大改,采用了MFT与目录相结合的方式来定位文件,定位逻辑相较于FAT系列有更高的复杂性,但也提高了读写效率,同时NTFS中包含有多个元文件来丰富文件系统的纠错性,例如日志元文件等,用力啊提高NTFS文件系统的稳定性和可恢复性。
整个文件系统看需要注意点:
(1)注意簇数,分区的簇数是可以自定义例如一扇区一个簇.
(2)默认扇区字节数,常见为512字节,但不排除非常见数字。多关注DBR信息
(3)FAT32有备份DBR一般DBR被损坏,备份DBR可以之间使用帮助Windows识别FAT32
(4)FAT32目录结构分为长文件名与短文件名、所占用大小存在差异,需要自行判断。
(5)FAT32文件被删除后存在E5标识,后续会被填充,在目录无法找到文件位置时,可以根据数据区逆推回文件。
2.EXFAT文件系统
从上图分析得出:
1.同样与FAT系列文件系统一样都包含有DBR/FAT/FDT
2.引入了簇位图与大小写来提高文件系统可用性
3.同时FAT表与簇位图,大小写,根目录之间有固定的00参数填充
4.寻址逻辑依然通FAT系列文件系统相同,可看作FAT文件系统升级版