来源:DFIR
0
目录
1
实验环境
|
|
|
|
|
|
|
|
2
什么是WinHex?
1
(一)
WinHex中文设置
1
WinHex中文设置路径
2
中文显示界面
2
(二)
WinHex功能面板简介
1
WinHex功能面板
A-菜单栏
B-工具栏
C-案件数据
D-当前状态栏
E-偏移量纵坐标
F-偏移量横坐标
G-分区快捷入口
H-16进制数据编辑区
I-文本区
J-详细信息栏
K-扇区
L-分隔扇区
M-数据解析器
3
(三)
WinHex只读模式(写保护)设置
没有硬件只读锁的情况下,可尝试用软只读的模式来做临时代替,软只读模式非绝对的安全,绝不要直接使用案件检材(要使用也是使用检材镜像副本,此处不再赘述),防止被污染---【蘇小沐】
1
WinHex只读模式(写保护)
4
(四)
WinHex制作磁盘镜像教程
1
WinHex制作磁盘镜像路径
2
选择驱动器
3
WinHex镜像参数设置
4
镜像开始制作过程
5
镜像hash校验
WinHex哈希值校验。
5
(五)
WinHex制作特定区域镜像教程
在取证分析的过程中经常会遇到有坏分区、未知的视频监控格式等取证软件无法正常取证的磁盘、我们首先需要查明它的文件格式,但现在的磁盘动辄TB级以上,如果对其全盘镜像,不仅耗时耗资,也不方便移动传输;此时我们可以先对该磁盘进行部分镜像,也就是对磁盘的特定区域进行镜像,下面用WinHex来介绍对磁盘进行特定区域的镜像教程—【蘇小沐】
1
创建磁盘镜像
同创建磁盘镜像的步骤
2
指定镜像大小
我们的目的只是想查清楚其文件格式类型,并不需要全盘或整个分区的镜像,通常对镜像的头部扇区制作100MB~500MB左右的镜像即可,以下以100MB的大小来制作镜像。
3
镜像制作完成
4
镜像文本记录
(六)
WinHex跳过坏扇区制作磁盘镜像
在镜像制作的过程中,如遇到有坏分区、坏磁道导致镜像制作失败,可使用WinHex设置遇到坏扇区跳过,从而保证镜像的成功制作,但对于坏扇区较多的情况,镜像受损的区域是没有数据的,因为设置了坏扇区跳过,如需分析则需要更底层的硬件设备才能实现,此处只是为了方便取证分析而作的记录,仅供参考---【蘇小沐】
1
创建磁盘镜像
同创建磁盘镜像的步骤
【路径:文件(F)->创建磁盘镜像(C)->选择磁盘】
2
设置跳过坏扇区
在正常制作镜像时,遇到坏扇区导致镜像制作失败,可设置遇到坏扇区跳过。
7
(七)
WinHex磁盘克隆教程
WinHex克隆功能,演示选的是整个磁盘镜像,如果只想要特定的扇区,可以在B区域自定义选择---【蘇小沐】
1
磁盘克隆(扇区复制)
2
源盘:选择镜像磁盘
上半部分-逻辑分区;下半部分-物理磁盘。
在源盘区域选择需要做克隆的“磁盘或分区”,支持盘对盘,磁盘对镜像文件、镜像文件对磁盘的多种复制方式;支持完整复制和区域复制。
3
目标盘:选择保存路径
选择除了源盘(需要做克隆的盘),来存储镜像文件,且存储盘容量要大于源盘容量。
2、直接选择保存的文件夹路径、并命名镜像(需要加后缀)
可以直接这步选择保存路径,注意别保存位置错误就行。
4
开始制作镜像
上面完成后,就可以点击确定开始制作镜像了(如果磁盘有坏区,可勾选下面的选项,跳过或填充坏扇区)。
C区支持坏扇区跳过并填充替代数据的功能;支持后台记录日志功能;支持复制性能优化功能。
【*如果WinHex是试用版本,则无法保存大于200KB的文件】
8
(八)
记一次WinHex镜像还原(恢复)到磁盘测试记录
镜像恢复到磁盘,怎么操作?会不会对磁盘有影响,是恢复到空磁盘?还是恢复到有数据的磁盘也可以?有数据的盘磁盘空间很多,恢复到这里有没有关系?会不会清空磁盘原来的数据啊?哈哈,下面带你测试,看看结果如何—【蘇小沐】
1
WinHex恢复镜像文件路径
【WinHex恢复镜像文件路径:“文件(F)”->“恢复镜像文件”】
2
选择镜像类型
首先选择镜像类型(磁盘或卷、分区);接着选择镜像分段位置,没有就不用选(*扇区数自定义,不清楚就默认)。
3
还原到空硬盘
4
磁盘管理器查看
我们打开磁盘管理器看下啥情况。
5
DiskGenius查看
为了更加直观展示,我们使用DiskGenius接着查看下。(DiskGenius也有此功能,需要可以自行测试)
6
还原到有数据的磁盘
会直接覆盖掉源盘数据。
原文始发于微信公众号(电子物证):【WinHex入门教程合集,看这一篇就够了】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论