مقالات عمومی
آشنایی با نرم افزار winhex
- زمانی که اطلاعات از روی هارد دیسک پاک شده است، و یا از دسترس خارج شده اما هنوز روی هارد دیسک وجود دارد.
- هارد به صورت نرمال بوت نمی شود، اما مدل و ظرفیت صحیح در BIOS نمایش داده می شود.
- محتوای directory file درایو به صورت یک فهرست صحیح نمایش داده نمی شود و RAW شناسایی می شود. این مورد معمولا با گزینه ی “فرمت مجدد درایو” همراه است. (اگر قصد بازیابی اطلاعات آسیب دیده ی روی درایو مذکور را دارید از گزینه ی فرمت داده ها استفاده نکنید. با این کار file tableموجود بازنویسی و یا over writeمی شود.)
- از محتوای داده های موجود روی درایو اطمینان ندارید و سیستم عاملی که مورد استفاده قرار داده اید پس از بررسی، درایو مورد نظر را خالی نمایش می دهد.
طبق معمول در همه ی روند های حفظ و نگهداری داده های هارد دیسک آسیب دیده، clone کردن هارد دیسک یکی از روش های پیشگیری از زوال اطلاعات است. این بدین معناست که شما همیشه اطلاعات اصلی خود را روی یک حافظه ی سالم در اختیار دارید. صرف نظر از هر گونه فعالیتی که قصد انجام آن را دارید. با این روش احتمال از دست دادن داده های حیاتی را هنگام تخریب هارد اصلی به حداقل می رسانید.
ویرایشگران “هگز” نقشی کلیدی در بازسازی RAID آسیب دیده ی volumeبر عهده دارند. برای کاربرانی که به برنامه نویسی و یا ادیت حرفه ای متنی علاقه دارند، نرم افزار WinHex می تواند گزینه مناسبی برای استفاده باشد.
نرم افزار WinHex یکی از با سابقه ترین و حرفه ای ترین ادیتورهای هگز است. این نرم افزار می تواند به صورت مستقل از سیستم عامل، کدهای تشکیل دهنده محتوای فایل ها را نمایش داده و ویرایش کند. این نرم افزار همچنین قادر به نمایش سکتور به سکتور محتوای هارد و به دو صورتhexadecimal و ASCII است.
توسط WinHex می توانید محتویات یک فایل، یک فولدر، یک درایو، و حتی کل دیسک سخت را به صورت یکپارچه و در قالب مجموعه ای از کدها مشاهده کنید. این نرم افزار قادر به نمایش اطلاعات موجود در حافظه Ram و حتی تغییر سریع آن نیز هست. این قابلیت برای برنامه نویسان و کرک کننده های نرم افزارها بسیار کاربرد دارد.
محتوای آن طبق محتوای ذخیره سازی اطلاعات باینری (0و1) است. با مشاهده ی مثال ذیل برداشت بهتری از نحوه ی عملکرد نرم افزار خواهید داشت. در تصویر ویرایشگر هگز هر سکتور از هارد دیسک قابل مشاهده است:
لازم به ذکر است که این مثال از یک هارد خیلی جدید نیست (که البته برای ساده سازی و پیچیده نکردن موضوع مثال مناسبی است).
هر بایت حاوی 8 بیت از داده ها است. تصویر بیتی ارائه شده شامل آرایه ای با 32 ردیف و 16 ستون است. هر ورودی ردیف این ماتریس نشان دهنده ی 8 بیت یا 1 بایت از داده ی باینری است. به منظور اجتناب از سردرگمی و توضیح واضح تر هر 8 بیت به 2*4 بیت تقسیم می شوند. سپس هر گروه چهار بیتی به یک عدد هگزادسیمال تبدیل می شود (بر پایه ی 16). این اعداد هگزادسیمال در نهایت به صورت ماتریس 16*32 نمایش داده می شوند. داده هایی که زیر ستون های 0 تا 15 نوشته شده اند داده های” raw” هستند که کامپیوتر می تواند آنها را در هارد دیسک بخواند و یا روی آنها بنویسد.
ستون پهن تر سمت راست حاوی معادل اسکی هر جفت هگز نوشته شده در قسمت rawاست. کد های باینری زبان قابل درک کامپیوتر هستند و برای راحتی خواندن داده ها توسط انسان به صورت اسکی نوشته می شوند تا محتوای داده ها قابل روئیت شوند.
بعنوان مثال زمانی که در حال برنامه ریزی برای قرار ملاقات با دوستتان هستید عبارت “میدان ونک ساعت 6″ کاربردی تر از 100010110011000”” است.جدول ASCII متشکل است از معانی عمومی علائم هگز با استفاده از کاراکتر های عمومی که معمولا مورد استفاده قرار می دهیم.
به یاد داشته باشید که تصاویر فوق تنها یک سکتور را نمایش می دهد. هر سکتور حاوی 512 بایت از اطلاعات است. یک هارد 1 ترابایت تقریبا شامل 2,000,000,000 سکتور مشابه می شود.
نرم افزار های ویرایشگر هگز بسیاری در دسترس وجود دارند اما مسلماً بهترین آنها winhex است.
این نرم افزار با رابط کاربری بسیار ساده خصوصیات مهمی را جهت رفع نیاز های متفاوتی در خود جای داده است.
مهم ترین ویژگی های نرم افزار winhex:
- نمایش و ویرایش محتوای فایل ها به صورت باینری و هگزا دسیمال
- امکان ویرایش کدهای یک فایل، یک فولدر، یک درایو، و حتی کل هارد دیسک به صورت یکپارچه
- دسترسی به تمام سکتورهای دیسک سخت به صورت مستقل از سیستم عامل
- نمایش اطلاعات مستقر در حافظه Ram و امکان ویرایش سریع آنها
- امکان باز کردن فایل های بسیار بزرگ در کسری از ثانیه
- حاوی مجموعه از ابزارهای ویرایش (Find, Replace, …)
- نمایش محل دقیق قرار گیری هر فایل بر روی دیسک سخت (آدرس سکتور ها)
- ویرایشگر دیسک برای هارد دیسک، فلاپی دیسک، سی دی و … .
- پشتیبانی از FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF
- تواناییبازیابی داده های مختلف
- امکان ویرایش RAM
- امکان تغییرات سطح پایین بر روی اطلاعات
- پشتیبانی از فایل های بیش از 4 GB
- قابلیت تبدیل مابین binary ،hex ASCII ،Intel Hex و Motorola S
- توانایی تنظیم کاراکترهای ANSI ASCII ،IBM ASCII ،EBCDIC
با بررسی یک هارد درایو توسط winhex به چه اطلاعاتی از شرایط هارد دست می یابید؟
موارد بسیاری وجود دارد که به چند مورد ساده و کاربردی آن اشاره می نماییم:
- امکان بررسی احتمال وجود اطلاعات روی هارد دیسک و یا عدم وجود آن.
- احتمال پاک و صفر شدن هارد. به مثال ذیل توجه فرمایید که شرایط یک هارد پاک شده یا اصطلاحا Zero-wiped را نمایش می دهد.
- هاردی که هنوز برخی از انواع اطلاعات را نگهداری نموده است. به مثال زیر توجه فرمایید:
- مشخص شدن نوع فایل سیستم استفاده شده روی هارد. سکتور 0 معمولا به MBR(Master Boot Record) اشاره ای دارد. به طور مستقیم می تواند تا 4 پارتیشن از هارد را مشخص نماید. فایل سیستم هر پارتیشن با اعداد قرار داده شده در ناحیه قرمز رنگ مثال زیر قابل تعیین است:
شاخص ترین فایل سیستم ها که ممکن است با آنها مواجه شوید عبارتند از:
07: NTFS
0B or 0C: FAT32
83: Linux
EE: EFI GPT partition (کاربرد معمول: Mac HFS+)
در مثال فوق درایو حاوی دو پارتیشن NTFS است.
در مثال زیر یک کارت حافظه را مشاهده می نمایید که دارای یک پارتیشن است و با فایل سیستم FAT32 فرمت شده است:
- همچنین ظرفیت و نقطه ی آغاز هر پارتیشن نیز در MBR قابل بررسی است. یک ویرایش هگز خوب باید عملکردی مناسب در نمایش مشخصات و خصوصیات هارد داشته باشد.
- نرم افزار های ویرایشگر هگز در زمینه تخریب داده ها نیز کار آمد و ارزشمند هستند. همچنین زمانی که اطلاعات مفقود و یا تخریب شده است با جستجو در ساختار ردیف کاراکتر ها و به روش جایگذاری اعداد در نقاط آسیب دیده، این نقاط را ترمیم می نمایند. به طور مثال یک فایل عکس معمولی با فرمت JPEG در قسمت آغازین کد اسکی، کاراکتر هایی به صورت سرفصل دارد که در تصویر زیر مشخص شده است:
روش کار بازیابی اطلاعات با استفاده از این نرم افزار،مشابه نکات و موارد بیان شده در این مقاله میسر خواهد بود.
ترجمه شده توسط بهار اصلانی، کارشناس شرکت داده پرداز رایانه متین – دفتر خدمات کرج
منبع: https://tierradatarecovery.co.uk/examining-the-raw-data-on-your-hard-drive-with-a-hex-editor/
Memory & Recovery articles