先简单做一期WinHex入门合集吧,拖了许久了,后续再增加新的内容---【蘇小沐】
0
目录
|
|
|
|
|
|
|
|
2
什么是WinHex?
1
WinHex中文设置
2
WinHex功能面板简介
1
WinHex功能面板
A-菜单栏
B-工具栏
C-案件数据
D-当前状态栏
E-偏移量纵坐标
F-偏移量横坐标
G-分区快捷入口
H-16进制数据编辑区
I-文本区
J-详细信息栏
K-扇区
L-分隔扇区
M-数据解析器
3
WinHex只读模式(写保护)设置
没有硬件只读锁的情况下,可尝试用软只读的模式来做临时代替,软只读模式非绝对的安全,绝不要直接使用案件检材(要使用也是使用检材镜像副本,此处不再赘述),防止被污染---【蘇小沐】
4
WinHex制作磁盘镜像教程
WinHex哈希值校验。
5
WinHex制作特定区域镜像教程
在取证分析的过程中经常会遇到有坏分区、未知的视频监控格式等取证软件无法正常取证的磁盘、我们首先需要查明它的文件格式,但现在的磁盘动辄TB级以上,如果对其全盘镜像,不仅耗时耗资,也不方便移动传输;此时我们可以先对该磁盘进行部分镜像,也就是对磁盘的特定区域进行镜像,下面用WinHex来介绍对磁盘进行特定区域的镜像教程—【蘇小沐】
我们的目的只是想查清楚其文件格式类型,并不需要全盘或整个分区的镜像,通常对镜像的头部扇区制作100MB~500MB左右的镜像即可,以下以100MB的大小来制作镜像。
WinHex跳过坏扇区制作磁盘镜像
在镜像制作的过程中,如遇到有坏分区、坏磁道导致镜像制作失败,可使用WinHex设置遇到坏扇区跳过,从而保证镜像的成功制作,但对于坏扇区较多的情况,镜像受损的区域是没有数据的,因为设置了坏扇区跳过,如需分析则需要更底层的硬件设备才能实现,此处只是为了方便取证分析而作的记录,仅供参考---【蘇小沐】
同创建磁盘镜像的步骤
在正常制作镜像时,遇到坏扇区导致镜像制作失败,可设置遇到坏扇区跳过。
7
WinHex磁盘克隆教程
WinHex克隆功能,演示选的是整个磁盘镜像,如果只想要特定的扇区,可以在B区域自定义选择---【蘇小沐】
上半部分-逻辑分区;下半部分-物理磁盘。
在源盘区域选择需要做克隆的“磁盘或分区”,支持盘对盘,磁盘对镜像文件、镜像文件对磁盘的多种复制方式;支持完整复制和区域复制。
选择除了源盘(需要做克隆的盘),来存储镜像文件,且存储盘容量要大于源盘容量。
2、直接选择保存的文件夹路径、并命名镜像(需要加后缀)
可以直接这步选择保存路径,注意别保存位置错误就行。
上面完成后,就可以点击确定开始制作镜像了(如果磁盘有坏区,可勾选下面的选项,跳过或填充坏扇区)。
C区支持坏扇区跳过并填充替代数据的功能;支持后台记录日志功能;支持复制性能优化功能。
【*如果WinHex是试用版本,则无法保存大于200KB的文件】
8
记一次WinHex镜像还原(恢复)到磁盘测试记录
镜像恢复到磁盘,怎么操作?会不会对磁盘有影响,是恢复到空磁盘?还是恢复到有数据的磁盘也可以?有数据的盘磁盘空间很多,恢复到这里有没有关系?会不会清空磁盘原来的数据啊?哈哈,下面带你测试,看看结果如何—【蘇小沐】
【WinHex恢复镜像文件路径:“文件(F)”->“恢复镜像文件”】
首先选择镜像类型(磁盘或卷、分区);接着选择镜像分段位置,没有就不用选(*扇区数自定义,不清楚就默认)。
我们打开磁盘管理器看下啥情况。
为了更加直观展示,我们使用DiskGenius接着查看下。(DiskGenius也有此功能,需要可以自行测试)
会直接覆盖掉源盘数据。
|
|
|
|
|
|
原文始发于微信公众号(网络安全与取证研究):【电子取证篇】WinHex入门教程合集,看这一篇就够了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论