【WinHex入门教程合集,看这一篇就够了】 |
您所在的位置:网站首页 › winhex修改字符串 › 【WinHex入门教程合集,看这一篇就够了】 |
来源:DFIR 0 目录 1.实验环境 (一)WinHex中文设置 (二)WinHex功能面板简介 (三)WinHex只读模式(写保护)设置 (四)WinHex制作磁盘镜像教程 (五)WinHex制作特定区域镜像教程 (六)WinHex跳过坏扇区制作磁盘镜像 (七)WinHex磁盘克隆教程 (八)记一次WinHex镜像还原(恢复)到磁盘测试记录1 实验环境 写这些文章前前后后跨的时间和操作系统版本比较久,但影响不大。 系统环境 Windows 11 专业工作站版,[v22H2(22621.2428)] WinHex,[v20.0 x86] DiskGenius,[v5.4.0.1124 x64]2 什么是WinHex? WinHex是由“X-Ways软件技术公司”开发的一款专业的磁盘编辑工具,是在Windows下运行的十六进制(hex)编辑软件,是软件破解、BIOS修改等方面的必备工具,可以检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失,同时它还可以让你看到其他程序隐藏起来的文件和数据等。 基于WinHex 20.0 SR-2 x86介绍,新安装的WinHex,未授权的情况下有45天的试用期!1 (一) WinHex中文设置 1 WinHex中文设置路径 【路径:Help->Setup->中文】2 中文显示界面 设置后中文显示如下。2 (二) WinHex功能面板简介 【WinHex篇】WinHex功能面板简介1 WinHex功能面板 A-菜单栏 B-工具栏 C-案件数据 D-当前状态栏 E-偏移量纵坐标 F-偏移量横坐标 G-分区快捷入口 H-16进制数据编辑区 I-文本区 J-详细信息栏 K-扇区 L-分隔扇区 M-数据解析器3 (三) WinHex只读模式(写保护)设置 没有硬件只读锁的情况下,可尝试用软只读的模式来做临时代替,软只读模式非绝对的安全,绝不要直接使用案件检材(要使用也是使用检材镜像副本,此处不再赘述),防止被污染---【蘇小沐】 1 WinHex只读模式(写保护) 同创建磁盘镜像的步骤。【路径:选项(O)->编辑模式(M)->只读模式(写保护)】 软只读注意事项 软只读并非绝对的安全,只是通过修改注册表的方式来屏蔽端口,常用于测试使用,有条件的最好还是用硬只读的方式来对检材进行操作,防止检材被污染。 软只读并非绝对的安全,只是通过修改注册表的方式来屏蔽端口,常用于测试使用,有条件的最好还是用硬只读的方式来对检材进行操作,防止检材被污染。 软只读并非绝对的安全,只是通过修改注册表的方式来屏蔽端口,常用于测试使用,有条件的最好还是用硬只读的方式来对检材进行操作,防止检材被污染。4 (四) WinHex制作磁盘镜像教程 1 WinHex制作磁盘镜像路径 【路径:文件(F)->创建磁盘镜像(C)->选择磁盘】2 选择驱动器 选择逻辑驱动器或物理驱动器,也就只选择某个分区还是整块磁盘来做镜像。步骤都是一样的,这里1GB的小分区来做演示,如下图所示。3 WinHex镜像参数设置 一般1、2、3步就行,默认计算哈希值,即选择需要制作磁盘的镜像格式、镜像保存的路径和镜像命名,点击确定即可;其它参数已标注,可根据自身情况设定。 其中扇区范围适合高级用户,可根据需要制作特定扇区范围的镜像,简单点的就是自定义扇区来自定义镜像的大小,对于提取文件格式【特征】非常有帮助,这样只用做一小段镜像(特定区域镜像),而不需要耗时去做整块或整个分区的镜像。 提一下镜像格式,Raw镜像格式是一种原始镜像格式,也就是不压缩的格式,位对位复制,源盘多大则镜像多大,常见的后缀格式有“.001、.dd、.img、.ctr”。 WinHex默认Raw镜像格式为.001,FTK Imager默认的Raw镜像格式为.dd。4 镜像开始制作过程 点击确定即开始制作镜像。5 镜像hash校验 WinHex哈希值校验。 参数设置注意事项 看个人需求对参数进行自定义设置,一般为了方便分析,镜像选择不分段;除非特别大或需要网盘传输才选择分段,具体看个人需求吧。5 (五) WinHex制作特定区域镜像教程 在取证分析的过程中经常会遇到有坏分区、未知的视频监控格式等取证软件无法正常取证的磁盘、我们首先需要查明它的文件格式,但现在的磁盘动辄TB级以上,如果对其全盘镜像,不仅耗时耗资,也不方便移动传输;此时我们可以先对该磁盘进行部分镜像,也就是对磁盘的特定区域进行镜像,下面用WinHex来介绍对磁盘进行特定区域的镜像教程—【蘇小沐】 1 创建磁盘镜像 同创建磁盘镜像的步骤 【路径:文件(F)->创建磁盘镜像(C)->选择磁盘】2 指定镜像大小 我们的目的只是想查清楚其文件格式类型,并不需要全盘或整个分区的镜像,通常对镜像的头部扇区制作100MB~500MB左右的镜像即可,以下以100MB的大小来制作镜像。 3 镜像制作完成 4 镜像文本记录 同理制作全盘镜像、某分区镜像等。(六) WinHex跳过坏扇区制作磁盘镜像 在镜像制作的过程中,如遇到有坏分区、坏磁道导致镜像制作失败,可使用WinHex设置遇到坏扇区跳过,从而保证镜像的成功制作,但对于坏扇区较多的情况,镜像受损的区域是没有数据的,因为设置了坏扇区跳过,如需分析则需要更底层的硬件设备才能实现,此处只是为了方便取证分析而作的记录,仅供参考---【蘇小沐】 1 创建磁盘镜像 同创建磁盘镜像的步骤 【路径:文件(F)->创建磁盘镜像(C)->选择磁盘】 2 设置跳过坏扇区 在正常制作镜像时,遇到坏扇区导致镜像制作失败,可设置遇到坏扇区跳过。 受损硬盘注意事项 受损的硬盘忌长时间读取数据!!! 受损的硬盘忌长时间读取数据!!! 受损的硬盘忌长时间读取数据!!!7 (七) WinHex磁盘克隆教程 WinHex克隆功能,演示选的是整个磁盘镜像,如果只想要特定的扇区,可以在B区域自定义选择---【蘇小沐】 1 磁盘克隆(扇区复制) 主要分三块区域。2 源盘:选择镜像磁盘 上半部分-逻辑分区;下半部分-物理磁盘。 在源盘区域选择需要做克隆的“磁盘或分区”,支持盘对盘,磁盘对镜像文件、镜像文件对磁盘的多种复制方式;支持完整复制和区域复制。 注意事项 *非管理员权限运行时,会提示缺少管理员权限,点击是,软件会重启以管理员权限来运行3 目标盘:选择保存路径 选择除了源盘(需要做克隆的盘),来存储镜像文件,且存储盘容量要大于源盘容量。 1)先选择保存的驱动器 2、直接选择保存的文件夹路径、并命名镜像(需要加后缀)可以直接这步选择保存路径,注意别保存位置错误就行。 4 开始制作镜像 上面完成后,就可以点击确定开始制作镜像了(如果磁盘有坏区,可勾选下面的选项,跳过或填充坏扇区)。 C区支持坏扇区跳过并填充替代数据的功能;支持后台记录日志功能;支持复制性能优化功能。 【*如果WinHex是试用版本,则无法保存大于200KB的文件】 8 (八) 记一次WinHex镜像还原(恢复)到磁盘测试记录 镜像恢复到磁盘,怎么操作?会不会对磁盘有影响,是恢复到空磁盘?还是恢复到有数据的磁盘也可以?有数据的盘磁盘空间很多,恢复到这里有没有关系?会不会清空磁盘原来的数据啊?哈哈,下面带你测试,看看结果如何—【蘇小沐】 1 WinHex恢复镜像文件路径 【WinHex恢复镜像文件路径:“文件(F)”->“恢复镜像文件”】 2 选择镜像类型 首先选择镜像类型(磁盘或卷、分区);接着选择镜像分段位置,没有就不用选(*扇区数自定义,不清楚就默认)。 3 还原到空硬盘 【还原的时候,存放的磁盘可用空间必须大于镜像的源大小!!!】 【还原的时候,存放的磁盘可用空间必须大于镜像的源大小!!!】 【还原的时候,存放的磁盘可用空间必须大于镜像的源大小!!!】 确定后,如下图所示。 注意事项 注意了!!!这2波提示!!!懂了吗?这顿操作是会覆盖数据的!!! 注意了!!!这2波提示!!!懂了吗?这顿操作是会覆盖数据的!!! 注意了!!!这2波提示!!!懂了吗?这顿操作是会覆盖数据的!!! 开始了,开始了,ok,完成。 我们再来看一下,还原的磁盘到底如何?! 沃特?!原来硬盘空间不是30GB,怎么只显示1GB了?!!!4 磁盘管理器查看 我们打开磁盘管理器看下啥情况。 空间在的,还是30GB,没显示出来。5 DiskGenius查看 为了更加直观展示,我们使用DiskGenius接着查看下。(DiskGenius也有此功能,需要可以自行测试) 6 还原到有数据的磁盘 会直接覆盖掉源盘数据。 注意事项 数据无价,操作需谨慎!!!原文始发于微信公众号(电子物证):【WinHex入门教程合集,看这一篇就够了】 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |