数据恢复基础 - 8.工具软件之InsPro Disk与Winhex
1.4 工 具 软 件
“工欲善其事,必先利其器”。在数据恢复的工作与研究过程中,必然需要用到具有不同功能的软件。在此,我们先来介绍几款工具软件,以便于读者在学习过程中使用。
1.4.1 虚拟磁盘软件InsPro Disk
在学习和研究磁盘数据结构的过程中,经常需要通过大量的实验来摸索规律,总结经验。如果全部使用真实的磁盘,一是未必每个人手中都会有很多的磁盘,再者也不太方便。因此,有一款得心应手的虚拟磁盘软件就显得尤为重要。在此,我们向读者介绍一款比较实用的虚拟磁盘软件InsPro Disk。
将InsPro Disk软件安装完毕后,即可在程序菜单中出现两个程序运行快捷方式,一个是“DiskCreator”,另一个是“InsPro Disk Loader”,下面我们分别对它们进行介绍。
1)DiskCreator
DiskCreator用于创建虚拟磁盘,单击运行后即出现创建虚拟磁盘对话框,如图1.9所示。
在创建虚拟磁盘对话框中,单击Browse按钮可以选择虚拟磁盘文件存放的路径和文件名,后缀名默认为“.hdd”。在此我们创建一个名字为“shiyan”的虚拟磁盘。在Virtual Hard Disk Size文本框中输入所要创建虚拟磁盘的大小,默认单位为MB。
单击Create按钮后程序会提示创建成功,确定后单击Exit按钮退出即可。这时,我们可以看到在选择的保存路径下已经生成了一个虚拟磁盘文件,如图1.10所示。
现在,它还只是一个文件,只有被加载后才会成为一个磁盘。加载和卸载虚拟磁盘使用InsPro Disk Loader程序。
2)InsPro Disk Loader
InsPro Disk Loader用于加载和卸载虚拟磁盘。运行后,会弹出磁盘加载卸载对话框。单击Browse按钮指明虚拟磁盘文件的路径,然后单击Load/Unload按钮,一路确定后加载成功,如图1.11所示。
图1.11 加载虚拟磁盘
在计算机桌面右击“我的电脑”,在弹出的快捷菜单中选择“管理”→“磁盘管理”命令,这时会弹出初始化磁盘向导对话框,如图1.12所示。这是因为磁盘管理程序检测到了新的磁盘,但发现它“未初始化”而欲对其进行初始化操作。
图1.12 初始化磁盘向导
注意,对需要保护数据的磁盘,切记要单击“取消”按钮,因为初始化操作是要向0号扇区写入代码的。
然后,可以在磁盘管理中看到多了一个磁盘,如图1.13所示。
图1.13 虚拟磁盘
1.4.2 十六进制编辑软件Winhex
Winhex是一款Windows下的十六进制磁盘编辑软件,可以直接从底层访问磁盘,并对磁盘内容进行编辑,而且还可以对内存进行编辑。随着版本的不断升级,功能越来越强大。另外,它的数据恢复功能也不断完善,不仅可以进行基本的数据恢复,还可以重组阵列,对RAID进行数据恢复。下面我们就对它进行简单的介绍,为了方便刚接触Winhex的读者,我们先以它的汉化版为例进行介绍。但后面的章节中,将以功能更为完善的较新版本的英文版为主要使用对象。
1)主界面
打开Winhex,在“启动中心”界面单击“磁盘编辑器”按钮(有的版本可能会译为“打开磁盘”),或者关闭“启动中心”后在主界面选择“磁盘编辑器”工具按钮,如图1.14所示。
图1.14 启动中心
在弹出的对话框中选择“物理媒介”中的硬盘,可以打开物理磁盘。这时候,Winhex将整个物理磁盘的所有扇区内容以十六进制的形式呈现在我们面前。界面中将磁盘按每块512字节进行了划分,每块为一个扇区,如图1.15所示。
图1.15 Winhex中显示的磁盘扇区
图1.16 偏移示意图
我们再回到图1.15,对Winhex的主界面做一个简要的介绍:
中间最大的部分为十六进制显示区域,以十六进制的形式显示磁盘中相应位置所存储的内容。
右侧的文本字符区域则根据不同的字符码形式显示相应的字符内容。
左侧的偏移纵坐标与顶部的偏移横坐标组成一个二维平面坐标,纵坐标的值加上横坐标的值可以唯一地定位十六进制区域内的任意一个位置,这个值即为相应位置的绝对偏移量,也就是相对于磁盘第一个字节——偏移0x00字节处的位移。可以用鼠标点击偏移纵坐标区实现用十六进制和十进制进行偏移量显示的转换。
界面左下角的“Sector 1 of 312581808”表示现在所处的位置是1号扇区,这个磁盘一共有312581808个扇区,编号从0开始直到312581807。
右侧的“偏移量”会同步地显示指针所点选位置的绝对偏移。
2)将镜像解释为磁盘
Winhex还支持直接打开一个镜像文件,然后将文件解释成一个磁盘。
(1) 选择要打开的镜像文件。如图1.17所示,单击图中所示的打开文件工具按钮就可以出现选择文件路径窗口,在窗口中选择要打开的镜像文件就可以将其打开。
图1.17 打开文件工具按钮
(2) 将镜像文件解释为磁盘。文件打开后,选择“专用”→“解释映像文件为磁盘”菜单命令,便可以达到直接打开一个磁盘一样的效果,如图1.18所示。
图1.18 将文件解释为磁盘
3)制作磁盘镜像
Winhex还可以用来制做扇区级磁盘镜像。“扇区级镜像”不同于我们平时使用Ghost软件所做的“镜像”,Ghost基于逻辑层面进行镜像,只对文件系统而言存在的数据进行操作。扇区级镜像是一种“完全克隆”的方式,即从物理层面对原盘进行扇区对扇区的复制,从而得到一个与原盘完全相同的副本,包括对文件系统而言没有被使用的空闲区域也一并复制。在本书中,除特殊说明外,“镜像”均指这种扇区级镜像。
(1) 打开Winhex,选择“工具”→“磁盘工具”→“克隆磁盘”菜单命令,即可弹出“克隆磁盘”设置对话框,如图1.19、图1.20所示。
图1.19 克隆磁盘菜单
图1.20 克隆磁盘设置对话框
(2) 选择镜像来源。“来源:媒体”是指将要对其进行镜像的来源盘或文件,一般情况下都是对磁盘进行镜像,所以选择左侧的磁盘按钮,会弹出“选择 磁盘”对话框,可以根据不同情况选择是针对单个逻辑盘做镜像还是对某一物理磁盘进行镜像,如图1.21所示。
图1.21 选择来源磁盘
(3) 选择镜像目标。选择好来源盘后,可以选择“目标:原始映象文件”栏中左侧的磁盘按钮进行磁盘对磁盘的克隆,也可以选择右侧的文件按钮把镜像保存成一个文件。
4)清除磁盘数据
通过操作系统对磁盘进行格式化、对数据进行删除等操作是无法彻底清除数据的,这也是数据有可能被恢复的原因所在。但有些时候因为各种原因需要将数据进行彻底清除,例如涉密设备转为非涉密设备、办公设备报废等。Winhex为我们提供了对磁盘数据进行彻底清除的功能,一种是直接销毁文件,另一种是针对磁盘进行底层填充。下面我们就来看一看如何通过底层填充所有字节对一个磁盘的所有数据进行彻底清除操作。
(1) 选择起始位置。在0扇区的第一个字节上右击,在弹出的快捷菜单中选择“选块开始”命令,如图1.22所示。
图1.22 选块开始
(2) 选择结束位置。然后拉动滚动条至磁盘的最后一个扇区,在最后一个字节上右击,在弹出的快捷菜单中选择“选块结束”命令,如图1.23所示。
(3) 设置参数。这时,选块开始与结束之间的部分会用预置的颜色进行显示,表示被选中。在选中的区域内右击,在弹出的快捷菜单中选择“填充选块”命令,如图1.24所示。
图1.23 选块结束
图1.24 填充选块
弹出“填充选块”对话框,选择“用十六进制数值填充”(默认),默认使用“00”进行填充,也可以任意指定十六进制数值,还可以选择“用随机字节填充”,这时会使用无规律的数值进行填充。在此,我们在数值框内填入“26”,然后单击“确定”按钮,如图1.25所示。
图1.25 “填充选块”对话框
开始填充。在弹出的所有警告对话框中都单击“确定”按钮后,即开始填充,填充后的整个磁盘每个字节都显示为十六进制“26”,这样就达到了对原磁盘上的所有数据进行清除的目的。
5)数据解释器
Winhex有一个“数据解释器”的功能,非常实用,可以直接查看十六进制数的十进制值。勾选菜单“查看”→“显示”→“数据解释器”,可以调出一个数据解释器窗口,能够直接对指针点选的十六进制数值进行转换。默认数据存储顺序为Little-endian,如果所分析的对象是以Big-endian顺序存储的,则可以在数据解释器窗口中右击,然后在弹出的快捷菜单中选择“Big-endian”或者“大头位序”即可,如图1.26所示。
图1.26 数据解释器
|