winhex使用简介

winhex简介

WinhexX-Ways公司出品的一款十六进制编辑磁盘编辑软件,其公司网站对其功能介绍如下:

  •    可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑
    
  •    支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统
    
  •    可支持重组RAID及动态磁盘
    
  •    附带数据恢复功能
    
  •    可以访问物理内存及虚拟内存
    
  •    内置数据解释器,可以识别解释20种数据类型
    
  •    可以用数据结构模板查看、编辑结构数据
    
  •    可以分割与合并文件
    
  •    可以对文件进行分析与对比
    
  •    具有灵活的搜索和替换功能
    
  •    可以对磁盘进行克隆
    
  •    可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理
    
  •    具有编程接口,支持脚本操作
    
  •    支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算
    
  •    支持对磁盘进行数据安全销毁
    
  •    包含ANSI ASCII, IBM ASCII, EBCDIC, Unicode字符集
    
  •    支持文件大小超过4GB
    

从上面官网介绍可以看出:winhex功能非常丰富,也很强大,具体的功能使用介绍这里就不说了,童鞋们有兴趣可以去安恒萌新粉丝群:928102972群文件下载《最完整的winhex教程集合+winhex数据恢复入门使用教程》工具(X-Ways WinHex 19.6-SR0 x86/x64绿色汉化版)
微信图片_20190108161158.jpg
这里就谈谈winhex在CTF中的简单应用,欢迎各位大佬在评论区发表高端的操作技巧或者经验分享。

十六进制编辑

这个功能也是最常用的,ctf中经常会用来查看十六进制数据和ascii码修改文件头修改图片IHDR等。

查看十六进制数据和ascii码

把目标文件直接拖进winhex或者文件——>打开——>选择要打开的文件
1.png
会有些送分题,打开直接ctrl+f,输入搜索flag,会有意想不到的惊喜
QQ截图20190109161104.png
这里也就比直接给flag多了个ascii编码
QQ图片20190109161811.png

修改文件头

在CTF经常会遇到打开文件错误或者无法打开文件,但是又已知文件格式后缀
可以检查一下文件头或者文件尾是否完整。
常见文件文件头文件尾格式总结及各类文件头
3.png
例如下面这题:
2.png
发现这个gif文件打开错误,发现缺少文件头。
光标点击第一个字符处,点击编辑——>粘贴0字节——>在弹窗中输入0字节数的输入框里输入4——>确定
4.png
发现多了4个字节的空位,然后点击十进制值00,依次在键盘里输入gif的文件头47494638,然后点击保存
5.png
发现图片可以正常打开了
gif.gif
然后用一些看图软件或者gif编辑工具,逐帧查看记录下flag即可
这里推荐一个在线转换编辑gif的工具https://ezgif.com/功能很丰富。

修改图片IHDR

文件头数据块IHDR(header chunk):它包含有PNG文件中存储的图像数据的基本信息,并要作为第一个数据块出现在PNG数据流中,而且一个PNG数据流中只能有一个文件头数据块。
文件头数据块由13字节组成,它的格式如下表所示。
IHDR.png
有时候我们拿到的图片可能是显示不完全的
6.png
这里查看到十六进制高度值
8.png
这时候就可以去尝试修改IHDR中的宽高值。这里只要修改高度值为02 7F
7.png
最终效果
dog.png

修改软件界面名字

这个也可以用很多资源工具实现,比如reshack,用winhex手动也可以实现
前提: 确定原始的软件被替换的文字,必须是软件存在的,而且替换文字长度不能比被替换文字长,否则程序就可能被破坏了,可能导致程序无法正常运行哦。
这里我拿godofhack演示,对就是这个屌炸天的工具,黑客神器,谁用谁知道!
9.png
这里把一键锤爆出题人的头改成安恒大学是最可爱的
QQ图片20190109182434.jpg
首先查询出这些文字的ASCII编码值

一     键     锤     爆     出     题     人     的     头
0x4e00;0x952e;0x9524;0x7206;0x51fa;0x9898;0x4eba;0x7684;0x5934;
安     恒     大     学     是     最     可     爱     的
0x5b89;0x6052;0x5927;0x5b66;0x662f;0x6700;0x53ef;0x7231;0x7684;

得到了每一个字的编码,我们来组合一下完整的十六进制存储序列。我们不看0x,每一个编码只剩下4个数字,后面两位放在前面,前面两位放在后面,那么一键锤爆出题人的头的完整的十六进制序列为004e 2e95 2495 0672 fa51 9898 ba4e 8476 3459替换成895b 5260 2759 665b 2f66 0067 ef53 3172 8476
最终效果如下
10.png
修改其他字符也是一样的原理。
#其他
CTF还会遇到一些几个文件合并成一个的,那种可以用File_Analysis这个工具简单分析一下,然后打开winhex搜索文件头尾讲数据块复制出来另存实现文件分离。linux里可以用binwalk -e 文件名。
还有一些修改软件界面名字内存编译磁盘编辑数据恢复等更高级的功能就让小伙伴们自行探索吧

首发于安恒网络空间安全讲武堂公众号请大家多多关注!
微信公众二维码
博客原文地址

12-25
WinHex是一个专门用来对付各种日常紧急情况的小工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序藏起来的文件和数据。总体来说是一款非常不错的 16 进制编辑器。得到 ZDNetSoftwareLibrary 五星级最高评价,拥有强大的系统效用。 13.2 SR-11 更新内容: * 在目录浏览器列头添加新的快速过滤按钮,可以动态修改过滤设置。 * 修改索引算法,索引文件现在相当小。以前的索引文件将不能在这个版本中使用。 * 报告表格式修改为 tab 分隔文本文件,可以动态过滤或牵引。 * 注释现在使用 Unicode 字符集。 * 容器标题、文件名、描述、图象文件名、证据对象标题、注释、命令行参数全部使用 Unicode 字符。 * 现在可以在容器根目录选择证据对象查看。 * v13.2 保存的安全将不能用以前版本的 X-Ways Forensics 打开,它不能从以前版本的案例中导入某些项目。 * 书签列表同证据对象关联。 * 证据对象的名称在目录浏览器中单独的列中显示。这个字段在递归资源管理容器根和报告表中以及导入中起到很重要的作用。 * 丢失分区可以通过 X-Ways Forensics 找回。 * 重新创建 FAT 卷快照可以识别文件被重命名或移动。 * 支持 UDF 光盘格式中的多重会话。 * 精确的驱动器盘符入保护(默认启用)。 * 自动保护容器选项。 * 目录浏览器选项现在允许锁定左边的列。 * 在目录浏览器上下文菜单中禁用排序的能力。 * 所有信息容器的文本可以记录到 messages.txt。 * 重新创建的证据文件容器优化后在添加大量文件时有较好的性能。 * 你可以立即查看 Windows 事件日志 (.evt) 文件。(仅 forensic 授权) * File Type Signatures.txt 支持更多的文件类型。 * 在创建映象文件时,Forensics 显示平均数据传输量(MB/分)和平均压缩比例。 * 容器报告现在更灵活。所有组件都可以选择。 * 当验证证据对象的 hash 或计算时,结果将被添加到证据对象的技术描述中。 * 标准的模板文件扩展名修改为 .tpl。 * 一些局部修复和改进。 单文件版本哦!~
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值