本教程是作者困惑的浪漫(高志鹏 )耗费大量心血原创,拥有完全的著作权和知识产权,任何人未经同意不得擅自转载、抄录、或用于营利目的WINHEX 启动中心已经可以大致反映出它的强大功能,正上方有 Open File、Open Disk、Open RAM、Open Folder 四个控件,可以对文件、磁盘、内存、文件夹进行十六机制或文字编码的编辑工作WINHEX 支持除加密文件外的所有已知文件格式,可以静态地编辑文件中的任意字节,改变文件结构,跟踪文件各部分在处理器中的协调过程和状态,或是对文件内容进行不可逆转的擦除工作WINHEX 支持除非标准硬盘(每扇区不是 512 字节的特殊硬盘,一般为光纤接口)外的所有介质,可以静态地改变磁盘数据的排列、状态、属性等可以改变除 ECC 区外任意扇区任意字节的内容WINHEX 还提供高访问级别的内存编辑功能,可以对当前操作系统进程进行、动态地编辑工作,可以更改内存变量在磁盘保留区的映射值WINHEX 可以对文件夹内部所有指定文件进行动态、同步的比较和集体修改工作从 Recently opened 中可以看出 WINHEX 对以往操作工程的智能记忆,Case/Projects 则为用户有选择地保留操作成果提供便利条件。
Scripts 是一个类似于流水程序模型的批处理脚本编辑系统,可以调用 WINHEX 已经开发并集成的各种函数指令进行编程工作(已经有三个实验脚本),指令将不折不扣地按先后顺序依次执行,以后篇章中我们将详细介绍选择任意硬盘双击展开,我们就可以看到 WINHEX 的主编辑窗口,最上方的 WINDOWS窗体显示当前任务对象为 Hard disk 1,接下来是菜单栏,集成了文件操作、编辑、搜索查找、方位、视图、工具、特殊工具、设置、窗口和帮助等十大主菜单菜单栏下方为工具栏,提供了 WINHEX 操作中使用率很高的各种功能键,依次是创建新文件、打开文件、保存文件、打印、文件属性、打开文件夹、撤消操作、拷贝扇区、剪切板操作、数据转换、修改数据、查找文本、查找 16 进制编码、替换文本、替换 16 进制编码、同步查找、转到偏移量、转到扇区、光标向回移动、光标向前移动、打开磁盘、复制磁盘、编辑内存、调用计算器、数据图像化分析、HEX 区减少一列、HEX 区增加一列、文件系统快照和目录浏览器选项、帮助调用等再下方是目录浏览器视图,任务对象、文件筛选结果等都在这里体现整个左下角的特殊区域都是最直接的操作区(编辑区),直观地反映着磁盘或文件中的 16 进制编码状况,通常情况下由 HEX 视图和文本视图构成。
坐标中的 X 轴表示十六进制高低位,Y 轴表示连续的偏移量行,两轴的任意值相交即可完成一次偏移量的定位,用户可以在此区域直接完成字节的各种操作修改任务最下方一行是扇区定位及状态模块,用户可以轻松完成范围内任意扇区的瞬间定位;偏移量定位及状态模块,操作同扇区定位相仿;16 进制转换模块,可以方便地显示 16 进制和 10 进制数值的转换结果,而且可以对位数和符号参与进行选择;选块定位及状态模块,可以对选块起始和结尾进行定义;最后是选块对象体积,单位是字节整个右下方是操作对象状态属性框,可以反映当前操作对象的各种参数,便于用户进行判断以硬盘为例,从上到下显示的内容有:操作对象名称、硬盘型号、硬盘序列号、固件版本号、接口总线类型、当前编辑模式、状态、撤销级别、修改状况、硬盘总容量、柱面数、磁头数、扇区数、每扇区字节数、结尾剩余扇区、当前柱面编号、当前磁头编号、当前扇区编号、当前分区号、当前分区相对扇区号、模式、字符集、偏移量、编码模式、字符集、偏移量进制、HEX 区域结构、当前窗口号、窗口数量、剪切板状态、临时文件夹状态给界面的另一默认窗口是数据解释器,可以实现各种函数的翻译调用,大大方便了用户对特殊 HEX 区域的识别工作。
HEX 视图区与文本视图区交接处有一个分区快捷入口,可以在错误模式下展开各种分区,如分区被操作系统认为丢失时、引导扇区或文件系统结构轻微损坏时分类浏览模式)无论用何种方式进入分区,WINHEX 都会提醒你是否获取新的分区视图,如果选 OK 则调用上次的视图,这样新写入的数据将无法显现,故推荐每次进入时都使用 Take new one ,使该分区视图保持最新状态展开后我们可以看到类似于 WINDOWS 资源管理器的目录浏览结构,从左到右显示了该文件的各种属性状态,如扩展名、体积、创建时间,LCN 映射等我们还可以进行分类浏览,按文件属性进行各种有利于用户操作的排列在文件列表中我们可以点击鼠标右键进行各种基本操作,如文件提取、预览、隐藏等文件列表上方一栏对文件数量进行了粗略统计单击 Recover/Copy 就可以完成简单的数据恢复工作,文件图标为红色打叉就是被删除的文件,用此法可以迅速还原展开主菜单 File,我们可以看到各级子菜单,按上下顺序分别是:新建一个文件、打开一个文件、保存扇区改动、另存为、创建磁盘镜像或备份、还原磁盘镜像或备份、备份管理器、文件预览、打印、属性访问器、打开文件夹、保存改动过的文件、保存所有文件、退出和一些近期项目的快捷访问键。
此菜单是 WINHEX 操作的基本菜单,非常重要首先我们单击 New 键,出现 Create New File 对话框,提示输入要创建文件的大小,单位可以是字节、KB、MB 、GB如输入 496Bytes,点击 OK 就创建了一个以 noname 命名由 496个零值字节构成的项目此时我们就可以为这些零字节赋予有意义的值,如我们将某文本文件的 HEX 值覆盖到这些零字节中,然后另存为( Save As)123.txt打开该文本文件,就可以看到我们写入的内容也就是说理论上我们可以复制任意文件的内容到新建项目中,从而使新项目拥有了该文件的灵魂熟悉汇编语言和文件编码的人甚至可以写文章一般创造任意文件结构创建一个新项目)(为新项目覆盖新的内容)(新项目构建的新文件 123.txt)点击 Open Files,便可以浏览任意文件的 HEX 编码、字符串等甚至连磁盘镜像文件或部分加密文件都可以轻松解析出来打开文件后我们就可以进行各种修改、裁剪、填补,销毁工作了此时,主界面右边会显示出该文件的各种属性参数,如大小、创建时间等注意,普通文件被打开后将不再按照扇区单位进行浏览,而是采用“页面”,我们可以看到原本扇区之间的分割线已经消失。
单个页面没有固定大小,纯粹是显示单位当然,如果遇到特殊情况如打开的是一个原始磁盘镜像文件,按页面浏览就会产生诸多不便,定位扇区,解释文件系统等工作将无法完成,这时我们就需要将此文件强制按照每 512 字节/扇区进行处理,WINHEX 介质管理器就会视此文件为一个标准磁盘,从而激活许多针对磁盘的特殊功能后面我们会重点讲解打开了一个磁盘镜像文件)如果要将修改、裁剪、填补,销毁等操作最终写入文件,就需要用到 Save、Save As 等功能键,如我们修改了某文件的文件头,直接退出是不行的系统就会提示是否保存修改等,这里的保存等同于菜单里的 Sava,我们还可以用 “另存为”来更改文件扩展名等注意如果修改 对 象 过 于 巨 大 , 保 存 工 作 可 能 会 持 续 很 长 时 间 , 甚 至 因 为 内 存 耗 尽 而 中 断 原始镜象方式)(WINHEX 备份)创建磁盘镜像是 WINHEX 最常用最重要的功能之一,被广泛应用于电子取证、磁盘克隆、数据备份领域点击 Create Disk Image,出现基于目前操作对象信息的操作控制台,比如我们打开的是一个分区,而且显示在最前面的窗口正是此分区的内容,那么此时的操作对象就是该分区,我们创建的镜像也是与该分区相关的。
现在我们分析功能界面:Image Files format 代表了需要创建镜像的类型,分为原始镜像、证据镜像、和 WINHEX 备份 3 种类型原始镜像也称一对一镜像,RAW 镜像,是指完全不考虑文件系统和未使用空间,按照扇区单位逐一复制而成的镜像生成的镜像无论是体积还是数据分布都与其来源不会有一丝一毫差距,此种镜像使用最为广泛证据镜像是指可压缩可解释可加密的特殊镜象方式,一般应用于保密程度很高的电子取证工作中,高密度的压缩却不会影响证据的原始性,令人称奇严格的讲 WINHEX 备份已经不算是一种镜像方式,顶多是一种类似于 GHOST 的数据备份方式接下来,我们可以设定镜像保存的路径和名称,右上角是扇区选择范围,可以指定扇区段进行复制,如某硬盘前端出现大量坏道,如果强行复制既不安全也花费时间,我们就可以利用此功能从坏道较少的地方开始复制下方是一个HASH 值计算工具,可以有效记录数据的原始校验(数据有一个字节的改变 HASH 值都会变化)还有许多功能如压缩比、镜像分割、坏扇区跳过填充等都是因环境而选择是否采用设定好参数后,点击 OK 开始复制,当然复制时间的长短和镜像来源物理载体的健康程度息息相关。
有镜像制作当然就有备份还原,Restore Image 键就是将已成型的镜像文件还原到磁盘中,注意目标磁盘的环境最好与镜像文件相仿,不然会产生问题,给下一步工作造成困难备份管理器可以很好的对备份文件进行管理、归类、错误检查但是如果一次工程造成的备份文件过多,就会严重侵占磁盘空间,所以应当定期剔除过期或无用的备份Files Properties 可以显示指定文件的基本属性如体积大小、创建时间、修改时间、访问时间、等打开文件夹是 WINHEX 的特色功能之一,可以对某文件夹内某类型的文件进行批量展开以方便后续的同步、对比、批量修改等工作如图显示的是控制台,上方调用了 WINDOWS资源管理器界面,查找并选择磁盘内任意目录Mask 处可以填写一些简单的表达式来完成对文件的筛选如*.doc、*.jpg 等如图所示:根目录下所有扩展名为 doc 的文件都被打开了,大大减少工作量此处需注意的是对象目录中的文件不宜过多,否则会长时间无法完成任务甚至耗尽系统资源造成崩溃正下方可以改变 WINHEX 对这些文件的访问模式,如默认模式(修改后需要保存)、只读模式、直接修改模式右边三个选项分别为:包含指定文本、包含指定的 HEX 值、包含文件夹。
前两项十分实用,可以利用文件特征进行批量定位,如我们知道某一类文件中都包含字节“5D”和 Unicode 字符“数据”,可是这些文件混杂在文件堆中,用手工查看的方式去定位它们几乎是不可能的,此时 WINHEX 的字节级定位功能就可以大显身手了查找字节“5D”)(每个包含 5D 的文件都被定位)如果一组文件被批量修改,那逐一保存显然需要花费很多时间和精力,WINHEX 的批量保存文件功能有效解决了这一问题一种情况是我只想保存修改过的一类文件,另一种情况是全部打开文件均按照保存处理这两种保存方式都只提醒一次批量保存提醒)至此,“文件”主菜单的所有子功能就介绍完了,这些操作是 WINHEX 必须用到的,是入门级的,务必熟练掌握2.2.2编辑菜单由撤销、剪切、复制、剪贴板、删除、粘贴 0 字节、定义选块、全选、清除选块、数据转换、修改数据、填充数据等子项构成,某些子项还拥有二级子项从子项名称可以看出,“编辑”主菜单是 WINHEX 中操作性最强的利用此菜单,我们可以进行字节级别的文件修改工作,如粘贴偏移的数据到正常方位,从磁盘中提取任意数据段写入新文件等对于已经定义大小的文件项目,甚至还可以采用“补充 0 字节”的方式进行扩容。
对于具有保密要求的文件或磁盘,可以利用“修改数据”子项中的各种逻辑代数算法进行简单加密,比如对某硬盘所有数据进行异或修改,要使用时,再利用已知元素逆运算回来总之,此菜单相关功能是熟练应用 WIN。