业内新闻

WinHex导出选取：一次真实的故障排查与操作复盘

“咦，怎么我选了100个扇区，导出后只有50KB？”——三周前一位做数据恢复的朋友在群里抱怨。我当时第一反应：你肯定没搞懂winhex导出选取的逻辑。其实这问题太典型了，好多新手甚至老手都栽过。今天我把自己的实战笔记整理出来，顺便穿插几个案例，希望帮大家少走弯路。 www.fixhdd.cn

先说明，我不是什么“标准”的讲师，就是个混了十几年的恢复工程师。早期在单位用WinHex修硬盘，后来自己创业，现在偶尔去技王数据恢复那边做技术支持。下面的内容可能跳跃性很强——想到哪说到哪，但核心都在winhex导出选取这件事上。 www.fixhdd.cn

一、从一次“空导出”说起

那天朋友发来截图：他在WinHex里选取了从LBA 1000到LBA 1500的扇区，右键“导出选取”，结果生成了一个0字节的文件。我一看他截图，马上发现毛病——选取范围是没错，但导出设置里偏移量填错了。WinHex导出选取时，如果不小心勾选了“仅导出选中区块内的已分配簇”，或者“从当前文件位置开始”之类的选项，结果就可能变成空。

www.fixhdd.cn

其实winhex导出选取这个功能，核心逻辑就两个维度：物理扇区层面和文件系统层面。前者是纯粹的扇区转储，后者要依赖文件系统的解析。大多数新手误操作都发生在后者——明明选了扇区，却因为文件系统没正确识别，导致WinHex自行过滤了未分配空间。

技王数据恢复

1.1 最稳的操作：扇区导出（物理级）

如果你想确保导出的就是所见即所得的那些字节，千万把“选项”里的“按文件系统过滤”关掉。具体步骤：

技王数据恢复

在WinHex中打开磁盘或镜像（建议以“只读”方式打开物理磁盘）。
用鼠标拖动选取起始扇区到结束扇区（注意看左下角状态栏的扇区计数，不要凭直觉）。
右键 → “导出选取”（或快捷键Ctrl+Shift+E）。
在弹出窗口中，勾选“原始字节（忽略文件系统）”，然后选择“扇区块”。
确认偏移量和长度与选取范围一致（通常自动填充，但建议手动核对）。

别小看这一步——我见过有人把winhex导出选取出来的文件拿去恢复数据库，结果报错说头部不对，就是因为WinHex把MBR的512字节和后面的数据拼接时，偏移算错了2字节。，每次导出前先按F5刷新视图，看看扇区计数是不是整数。技王数据恢复

案例1：误删分区表，靠扇区导出救回

去年有个客户，一块2TB硬盘分区表损坏，系统认成RAW。我用WinHex打开，直接选中整个硬盘（0~3907029167扇区），然后winhex导出选取到一个原始镜像文件。再挂载到R-Studio里扫描，找回90%的数据。注意啊：导出时一定要关掉“文件系统解析”，否则WinHex只导出它认为‘已使用’的簇，那就会漏掉大量残留的FAT目录项。 www.fixhdd.cn

二、导出“选取”的三种常见坑 (我的踩坑史)

先列一个我自己的翻车清单，可能对你有用： www.fixhdd.cn

坑1：选取的是“虚”扇区——比如你在文件浏览面板里选中了一个文件，然后右键导出，那导出的其实是这个文件的逻辑内容，而不是底层扇区。如果文件是碎片的，WinHex会自动拼合，但如果你需要原始碎片顺序，就不能这样搞。正确做法：在“扇区视图”下手动选取连续的物理扇区。
坑2：导出对话框中的“大小”显示不完整——有时候你选了1000个扇区，但对话框里显示“8192000字节”，你可能会想：嗯，512*1000=512000，怎么会多这么多？其实WinHex默认在扇区视图下，一个扇区是512字节，但它也可能显示成“逻辑扇区大小”为4096（高级格式硬盘）。这时候winhex导出选取出来的文件大小是扇区数×实际物理扇区字节。解决办法：先在工具→磁盘编辑器→查看参数里确认每扇区字节数。
坑3：导出中断导致头尾错乱——尤其是在恢复坏道严重的硬盘时，WinHex读取到坏扇区会超时，然后自动跳过并填充0。这会导致导出的镜像有空洞。导出前最好先做“扇区重映射”或使用专业工具（比如PC-3000）。实在不行，可以在WinHex里勾选“读取错误时填充零”并记录错误位置。

2.1 高级技巧：用“选取”批量导出多个区域

其实WinHex支持多个不连续区块的导出。你可以在“编辑”→“定义块”里设起始和结束，然后添加到区块列表。接着在“数据解释器”里，可以一次性导出所有区块合并成一个文件。这就是winhex导出选取的高级玩法——对恢复视频碎片特别有用，因为视频文件经常被分成几十个片段分散存储。我去年帮一位摄影师恢复索尼A7S3的CFexpress卡，就是靠这个功能把32个碎片区块按顺序导出，再用修复工具拼接。整个过程大概花了三个小时，但这方法比手动拷扇区快十倍。

注意！导出前必须做的一步验证

很多人导出后直接关闭WinHex，过几天发现镜像打不开。我建议：导出后立即用WinHex重新打开刚导出的文件，检查文件头部签名是否和源盘一致。比如你要导出NTFS的DBR（引导扇区），那么导出的512字节文件开头应该是“EB 52 90 4E 54 46 53”——如果不是，说明导出的偏移错了。别问我怎么知道的，血泪史。

三、实战案例：提取某工控机里的生产日志

上周去技王数据恢复帮忙，一台工控机的固态硬盘（SATA M.2）突然不识别，但SMART参数正常。用WinHex以“只读”方式挂载后，发现分区表还在，但C盘根目录全是乱码。明显是文件系统元数据损坏，但数据区应该完整。我直接选取从分区起始到分区末尾的扇区（大约50GB），然后winhex导出选取成raw镜像。再挂载这个镜像到恢复软件里，顺利解析出了所有日志文件。

这里有个小细节：导出时我特意把“缓存大小”调到256MB，因为大文件导出时WinHex默认占用较小缓存，会导致反复读取，拖慢速度。在“选项”→“数据存储”里可以改。

，winhex导出选取也适用于逻辑坏道的跳过。如果你只是某几个扇区读不出来，可以在“选项”里勾选“遇到读取错误时继续”，然后导出好扇区，坏扇区留空。之后再对坏扇区单独用其他工具（比如HDD Raw Copy Tool）重读。

3.1 关于“范围选取”的随机性思考

有时候我们并不想要连续扇区，而是想要文件中某个特定偏移范围内的数据。比如一个SQLite数据库文件，前100KB是文件头，后面200KB是表结构，中间夹着碎片。这时候可以在WinHex里打开那个文件（而不是打开物理盘），然后用“编辑”→“选择块”，输入起始偏移和长度，再导出。这其实也是winhex导出选取的一种变体——对文件内部片段操作。注意：这种方式导出的是“文件内”逻辑偏移，不要和硬盘扇区混淆。

四、写在：工程师的信仰

数据恢复这行，说到底就是个“确定性与不确定性”的博弈。而winhex导出选取就是最基础的确定性操作——你选了，它导了，但结果对不对，全看你对底层逻辑的理解。没有捷径。我到现在每次导出都会在心里默念一遍：扇区号、偏移量、每扇区字节数、文件系统类型。

分享一个我自己常犯的错：有时为了方便，直接在“文件面板”选中一个文件，然后点“导出选取”——结果导出的文件大小和原文件不一样，因为WinHex默认用文件系统层导出了“逻辑数据”，可能处理了压缩或稀疏区域。，如果你需要绝对二进制一致的副本，务必回到“扇区视图”重新选择。记住了，winhex导出选取的实质是“二进制转储”，而不是“文件转储”。