恢复教程

实际操作时，先选择正确的编码（ANSI/UTF-8/Unicode），确保文本按预期被匹配；再决定在当前文件、整个镜像还是指定分区里搜索。针对常见文本，建议使用完整字串匹配；面对模糊或变体时，可切换为正则或十六进制模式进行更灵活的搜索。命中后，别马上跳走：在每个命中处使用WinHex的“标记/书签”功能将位置固定，书签不仅能让你在后续分析中快速回溯，还能作为证据点集合。

若仅需保存部分数据片段，可以选中该块并用“保存选区为…”导出为文件，这种方式能把纯文本或原始字节保存下来，便于上传、比对或做二次分析。手工方式的优点是直观并可逐一核验，但当命中很多时效率会下降，这时就需要自动化辅助。

另一个简单方法是不依赖脚本：在搜索结果逐项浏览时，把每一处复制（Copy）到剪贴板，然后粘贴到一个文本文件并手工添加偏移信息；结合WinHex显示的偏移地址，可以保证记录的可追溯性。对于需要法律效力的场景，建议保存原始镜像并把搜索操作的截图或导出报告一并归档，以便证明整个查找与保存过程的完整性与连续性。

导出格式推荐CSV或纯文本，这样方便用Excel或脚本进一步筛选与电子签名。对有保全要求的用户，可以把导出的文本文件做哈希（如SHA256），把哈希值和导出文件一起放入最终证据包中，形成“内容—摘要—时间”三要素的完整链条。若WinHex自带报告功能不能满足定制需求，可通过脚本生成自定义报告模板，直接把需要的字段写入文件，省去后期手工整理的麻烦。

若希望实现可重放性，把用于搜索的脚本和使用的WinHex版本号、镜像哈希一并记录，便于日后复核。软文想说：把每一次查询当成一次小型取证行动，既保存结果，也留下流程与证明，这样不但能提高工作效率，更能在关键时刻让你的记录经得起审查。需要我帮你把常用脚本模板写好，或者根据你的样本文件示范一次完整保存流程吗？