电子取证工具：WinHex入门教程合集，看这一篇就够了（附破解版地址）

一

实验环境

 写这些文章前前后后跨的时间和操作系统版本比较久，但影响不大。

系统环境

Windows 11 专业工作站版，[v22H2（22621.2428）]

WinHex，[v20.0 x86]

DiskGenius，[v5.4.0.1124 x64]

二

什么是WinHex?

      WinHex是由“X-Ways软件技术公司”开发的一款专业的磁盘编辑工具，是在Windows下运行的十六进制（hex）编辑软件，是软件破解、BIOS修改等方面的必备工具，可以检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失，同时它还可以让你看到其他程序隐藏起来的文件和数据等。

        基于WinHex 20.0 SR-2 x86介绍，新安装的WinHex，未授权的情况下有45天的试用期！

（一）

WinHex中文设置

1

WinHex中文设置路径

 【路径：Help->Setup->中文】

2

中文显示界面

设置后中文显示如下。

（二）

WinHex功能面板简介

1

WinHex功能面板

A-菜单栏

B-工具栏

C-案件数据

D-当前状态栏

E-偏移量纵坐标

F-偏移量横坐标

G-分区快捷入口

H-16进制数据编辑区

I-文本区

J-详细信息栏

K-扇区

L-分隔扇区

M-数据解析器

（三）

WinHex只读模式（写保护）设置

没有硬件只读锁的情况下，可尝试用软只读的模式来做临时代替，软只读模式非绝对的安全，绝不要直接使用案件检材（要使用也是使用检材镜像副本，此处不再赘述），防止被污染。

1

WinHex只读模式（写保护）

      同创建磁盘镜像的步骤。【路径：选项（O）->编辑模式（M）->只读模式（写保护）】

软只读注意事项

软只读并非绝对的安全，只是通过修改注册表的方式来屏蔽端口，常用于测试使用，有条件的最好还是用硬只读的方式来对检材进行操作，防止检材被污染。

 软只读并非绝对的安全，只是通过修改注册表的方式来屏蔽端口，常用于测试使用，有条件的最好还是用硬只读的方式来对检材进行操作，防止检材被污染。

软只读并非绝对的安全，只是通过修改注册表的方式来屏蔽端口，常用于测试使用，有条件的最好还是用硬只读的方式来对检材进行操作，防止检材被污染。

（四）

WinHex制作磁盘镜像教程

1

WinHex制作磁盘镜像路径

 【路径：文件（F）->创建磁盘镜像（C）->选择磁盘】

 

2

选择驱动器

      选择逻辑驱动器或物理驱动器，也就只选择某个分区还是整块磁盘来做镜像。步骤都是一样的，这里1GB的小分区来做演示，如下图所示。

3

WinHex镜像参数设置

       一般1、2、3步就行，默认计算哈希值，即选择需要制作磁盘的镜像格式、镜像保存的路径和镜像命名，点击确定即可；其它参数已标注，可根据自身情况设定。

其中扇区范围适合高级用户，可根据需要制作特定扇区范围的镜像，简单点的就是自定义扇区来自定义镜像的大小，对于提取文件格式【特征】非常有帮助，这样只用做一小段镜像（特定区域镜像），而不需要耗时去做整块或整个分区的镜像。

提一下镜像格式，Raw镜像格式是一种原始镜像格式，也就是不压缩的格式，位对位复制，源盘多大则镜像多大，常见的后缀格式有“.001、.dd、.img、.ctr”。

WinHex默认Raw镜像格式为.001，FTK Imager默认的Raw镜像格式为.dd。

4

镜像开始制作过程

 点击确定即开始制作镜像。

5

镜像hash校验

  WinHex哈希值校验。

参数设置注意事项

看个人需求对参数进行自定义设置，一般为了方便分析，镜像选择不分段；除非特别大或需要网盘传输才选择分段，具体看个人需求吧。

（五）

WinHex制作特定区域镜像教程

在取证分析的过程中经常会遇到有坏分区、未知的视频监控格式等取证软件无法正常取证的磁盘、我们首先需要查明它的文件格式，但现在的磁盘动辄TB级以上，如果对其全盘镜像，不仅耗时耗资，也不方便移动传输；此时我们可以先对该磁盘进行部分镜像，也就是对磁盘的特定区域进行镜像，下面用WinHex来介绍对磁盘进行特定区域的镜像教程。

1

创建磁盘镜像

同创建磁盘镜像的步骤

【路径：文件（F）->创建磁盘镜像（C）->选择磁盘】

2

指定镜像大小

       我们的目的只是想查清楚其文件格式类型，并不需要全盘或整个分区的镜像，通常对镜像的头部扇区制作100MB~500MB左右的镜像即可，以下以100MB的大小来制作镜像。

3

镜像制作完成

4

镜像文本记录

同理制作全盘镜像、某分区镜像等。

（六）

WinHex跳过坏扇区制作磁盘镜像

在镜像制作的过程中，如遇到有坏分区、坏磁道导致镜像制作失败，可使用WinHex设置遇到坏扇区跳过，从而保证镜像的成功制作，但对于坏扇区较多的情况，镜像受损的区域是没有数据的，因为设置了坏扇区跳过，如需分析则需要更底层的硬件设备才能实现，此处只是为了方便取证分析而作的记录，仅供参考。

1

创建磁盘镜像

同创建磁盘镜像的步骤

【路径：文件（F）->创建磁盘镜像（C）->选择磁盘】

2

设置跳过坏扇区

 在正常制作镜像时，遇到坏扇区导致镜像制作失败，可设置遇到坏扇区跳过。

 

受损硬盘注意事项

  受损的硬盘忌长时间读取数据！！！

  受损的硬盘忌长时间读取数据！！！

（七）

WinHex磁盘克隆教程

WinHex克隆功能，演示选的是整个磁盘镜像，如果只想要特定的扇区，可以在B区域自定义选择。

1

磁盘克隆（扇区复制）

主要分三块区域。

2

源盘：选择镜像磁盘

      上半部分-逻辑分区；下半部分-物理磁盘。

在源盘区域选择需要做克隆的“磁盘或分区”，支持盘对盘，磁盘对镜像文件、镜像文件对磁盘的多种复制方式；支持完整复制和区域复制。

注意事项

*非管理员权限运行时，会提示缺少管理员权限，点击是，软件会重启以管理员权限来运行

3

目标盘：选择保存路径

      选择除了源盘（需要做克隆的盘），来存储镜像文件，且存储盘容量要大于源盘容量。

1）先选择保存的驱动器

2、直接选择保存的文件夹路径、并命名镜像（需要加后缀）

可以直接这步选择保存路径，注意别保存位置错误就行。

4

开始制作镜像

上面完成后，就可以点击确定开始制作镜像了（如果磁盘有坏区，可勾选下面的选项，跳过或填充坏扇区）。

C区支持坏扇区跳过并填充替代数据的功能；支持后台记录日志功能；支持复制性能优化功能。

【*如果WinHex是试用版本，则无法保存大于200KB的文件】

（八）

记一次WinHex镜像还原（恢复）到磁盘测试记录

镜像恢复到磁盘，怎么操作？会不会对磁盘有影响，是恢复到空磁盘？还是恢复到有数据的磁盘也可以？有数据的盘磁盘空间很多，恢复到这里有没有关系？会不会清空磁盘原来的数据啊？哈哈，下面带你测试，看看结果如何。

1

WinHex恢复镜像文件路径

【WinHex恢复镜像文件路径：“文件（F）”->“恢复镜像文件”】

2

选择镜像类型

首先选择镜像类型(磁盘或卷、分区)；接着选择镜像分段位置，没有就不用选(*扇区数自定义，不清楚就默认)。

3

还原到空硬盘

【还原的时候，存放的磁盘可用空间必须大于镜像的源大小！！！】

【还原的时候，存放的磁盘可用空间必须大于镜像的源大小！！！】

【还原的时候，存放的磁盘可用空间必须大于镜像的源大小！！！】

确定后，如下图所示。

注意事项

注意了！！！这2波提示！！！懂了吗？这顿操作是会覆盖数据的！！！

注意了！！！这2波提示！！！懂了吗？这顿操作是会覆盖数据的！！！

注意了！！！这2波提示！！！懂了吗？这顿操作是会覆盖数据的！！！

开始了，开始了，ok，完成。

我们再来看一下，还原的磁盘到底如何？！

沃特？！原来硬盘空间不是30GB，怎么只显示1GB了？！！！

4

磁盘管理器查看

 我们打开磁盘管理器看下啥情况。

空间在的，还是30GB，没显示出来。

5

DiskGenius查看

为了更加直观展示，我们使用DiskGenius接着查看下。（DiskGenius也有此功能，需要可以自行测试）

6

还原到有数据的磁盘

会直接覆盖掉源盘数据。

注意事项

数据无价，操作需谨慎！！！

数据无价，操作需谨慎！！！

数据无价，操作需谨慎！！！

这篇是2019年闲的时候测试的，间隔时间也比较久了，当时纯粹是好奇镜像还原到不同大小的硬盘会怎么样，如果做数据恢复的话效果如何，其中测试过程可能不太完整，见谅。

总结

WinHex真的是一个宝藏软件，以上所记录的功能也不过是冰山一角，后期会继续更新更多用法，需要更多更高级的可以自行探索。

书写片面，纯粹做个记录，有错漏之处欢迎指正。

本文为要教会原创，欢迎转载分享。转载时请务必在文章页面明显位置提供本文链接并注明出处。感谢您对知识的尊重和对本文的肯定！本文链接网址：https://yaojiaohui.net/gongjuruanjian/1369.html