磁盘数据的理解和分析无疑是电子数据取证技术的基石。对磁盘数据的分析有助于充分理解底层数据的组织,是相关技术人员必须掌握的基础知识。
常用的磁盘分析编辑工具如Winhex等无疑很强大,但自带的模板还是不够丰富,免费版功能受限。今天就介绍一款非常优秀的免费磁盘分析编辑工具Active@Disk Editor,功能强大,模板丰富,是学习数据恢复知识的优秀辅助工具,推荐。
Active@ Disk Editor使用简单的、底层的磁盘查看器,可同时以二进制和文本模式显示信息。可以使用多种视图模式来分析数据存储结构元素的内容。可分析机械硬盘、SSD & USB磁盘、分区和卷、文件及其他对象。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
主要特性:
模板视图显示磁盘上最重要区域的已解析记录,允许轻松地解释和编辑。当导航到感兴趣的点时,会自动选择合适的模板。支持以下模板:MBR、GUID分区表、NTFS引导扇区、NTFS MFT文件记录、FAT引导扇区、FAT32引导扇区、FAT目录条目、exFAT引导扇区、exFAT目录条目、HFS+卷头、HFS+目录节点、HFS+文件记录、Ext2/Ext3/Ext4超级块、Ext2/Ext3/Ext4 inode、UFS超级块、UFS inode、LDM结构。
在十六进制、ASCII或Unicode窗格或模板窗口中编辑数据时,修改的数据在视图之间完全同步。每次修改之后,都会重新计算一个模板视图,以提供最新的数据解释。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
MFT文件记录模板使用多个级别在较高的详细级别显示数据。可以检查标准标头、记录的所有属性和属性数据。解释的属性有:$STANDARD_INFORMATION, $ATTRIBUTE_LIST, $FILE_NAME, $OBJECT_ID, $SECURITY_DESCRIPTOR, $VOLUME_NAME, $VOLUME_INFORMATION, $DATA, $INDEX_ROOT, $INDEX_ALLOCATION, $BITMAP, $REPARSE_POINT, $EA_INFORMATION, $EA等。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
一些记录(如引导扇区)有它们的副本。模板视图自动检测支持副本的记录,并显示主值和副本值,以便比较它们。您可以任意设置主记录及其副本的偏移量。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
每个模板字段在十六进制窗格中着色,提供所有数据的快速概览。当您沿着“模板”窗口中的字段移动时,当前字段将在“十六进制”窗格中突出显示。将鼠标悬停在一个有颜色的区域上,可以看到一个带有附加信息的工具提示。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
支持exFAT引导扇区以及所有类型的exFAT目录条目,提供有关不同exFAT结构的详细信息。向上/向下移动模板偏移量功能可以方便地在记录之间导航。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
不需要猜测根目录在FAT卷上的扇区是什么,或者NTFS分区上的$MFT记录在哪里。只需在菜单中设置快速导航点。当磁盘编辑器打开一个对象时,最重要的区域被检测到并自动添加到列表中。它们包括引导扇区、FAT表、根目录、$MFT和$MFT Mirror等。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
用特定数据填充磁盘上的一个区域可能很方便。除了通过提供00作为十六进制值来简单地将区域归零之外,还可以指定任何十六进制或文本模式,以获得更好的灵活性。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
使用十六进制、ASCII或Unicode表示数据。在Unicode窗格中编辑数据允许直接输入扩展字符,而ASCII和十六进制窗格则允许您控制单个字节。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
属性窗口提供磁盘编辑器中打开的磁盘或分区的简明概述。如果不需要,可以隐藏这些信息以节省屏幕空间。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
在分析大量数据时,不要在不同点之间导航时丢失数据。轻松书签位置的键盘快捷键和循环通过他们。如果您需要更大的灵活性,您可以为任何书签指定一个名称,并使用书签窗口在它们之间导航。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
当移动光标时,光标下的数据会自动被解释,并以不同的格式显示在数据检查器中。可以将它们视为一到四个字节的数字以及时间和其他有用的结构。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
搜索数据ANSI,十六进制或Unicode模式。为了加快进程,你可以要求只在已定义块中的给定偏移量进行搜索。正则表达式和通配符甚至更能扩展搜索功能。
b(mail|letter|correspondence)b -匹配包含“mail”或“letter”或“correspondence”的字符串,但只匹配整个单词,即不匹配“email”。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
打开由Active@ Undelete或其他Active@产品创建的原始映像,并使用磁盘编辑器研究它。同时支持第三方镜像文件,如“虚拟PC磁盘镜像(*.vhd)”或“VMware磁盘镜像(*.vmdk)”。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
模板包含超链接,允许轻松导航到重要的数据点。例如,MFT记录包含到数据运行中的第一个集群的链接,MBR提供到分区的链接。
![优秀的免费磁盘分析编辑工具——Active@Disk Editor]( "优秀的免费磁盘分析编辑工具——Active@Disk Editor")
总结:模板丰富细致,支持较新的文件系统。但模板无法自行编辑,可扩展性不强。瑕不掩瑜,仍是一款非常优秀的免费磁盘分析工具,适合学习底层原理使用。
原文始发于微信公众号(网安杂谈):优秀的免费磁盘分析编辑工具——Active@Disk Editor
评论