(一)计算机取证-WinHex查找隐藏文件

已于 2022-06-01 11:51:07 修改
阅读量2.8k 收藏 8
点赞数 2
文章标签: 安全 系统安全 web安全
于 2022-05-31 09:26:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47110032/article/details/125058328
版权
本文介绍了如何通过WinHex查找隐藏文件。首先通过取消隐藏文件扩展名显示,根据文件大小排序找到可疑文件。接着尝试通过文件头判断文件类型,如.jpg/.jpeg/.png/.doc/.xls/.ppt等,并使用WinHex的16进制查找功能确认文件头匹配。在多次尝试后,最终确定隐藏文件为.ppt格式。
摘要由CSDN通过智能技术生成

一、查找可疑文件:

1)将后缀名打开:

组织-文件夹和搜索选项-查看-去掉勾

2)对文件夹的大小进行排序:

直接点击大小,看到19号为可疑文件夹(太大了)

二、猜是否为图片:.jpg/.jpeg/.png

       猜是否为文档:.doc/.xls/.ppt(第一类)

                                 .docx/.xlsx/.pptx(第二类)

将可疑文件19号拖入WinHex.exe

可省略如下修改路径步骤:

创建文件-修改路径:选项-常规

 

1)猜是图片jpeg

①随机放一张图拖进去-查看文件头发现是一样的,属于同一类文件

最低0.47元/天 解锁文章
彭彭头
关注
计算机取证工具压缩包.zip
02-18
计算机取证是信息安全领域的一个重要分支,它涉及到在法律框架下收集、分析和呈现电子设备上的数据,以证明或反驳犯罪行为。本压缩包"计算机取证工具压缩包.zip"提供了两个关键工具——WinHex和CuteSniffer,对于...
winhex恢复所有被隐藏、被拒绝访问的文件文件
weixin_34357928的博客
09-08 661
今天发现winhex的功能还真是强大,上次写了一篇关于用winhex进行文件加密的文章后,再一次对winhex进行了研究发现除了加密功能外,它还能恢复所有被隐藏、被拒绝访问的文件文件夹,可以说是手到擒来。 一、先来创建一个拒绝访问的文件夹 进行上面的操作后,再双击小P文件夹时,会提示如下图的信息 这个时候小P文件夹就不能访问了,下来就请出我们的w...
计算机取证Winhex取证
04-01
关于计算机取证以及数据恢复方面 又助与初步了解这方面知识
winhex制作镜像与挂载磁盘】
最新发布
qq_38402776的博客
08-19 780
欢迎来到王小川的博客。
WinHex取证资料详解
02-13
Windows版的数据恢复软件中,X-Ways Forensics已经广为应用。我们经常把它称之为WinHex,不过也没有错,它们是德国X-Ways公司的姊妹产品,适用面稍有区别。X-Ways Forensics主要用于电子数据分析与处理,本身可以独立使用,功能很强,做数据恢复只是它的一小部分功能。大家常见的WinHex总体上有个人版、专业版、专家版和法证版几个不同版本。WinHex 法证版实际就是X-Ways Forensics,但也稍有区别:除了法政版,都可以进行磁盘编辑及修改,而后者禁止对磁盘进行任何编辑和修改,用于保持数据的原始性和完整性。Winhex专家版去除了一些计算机法证特殊功能,是进行数据恢复工作的理想版本。WinHex个人版和专业版功能限制较多,但对于普通的磁盘编辑、数据恢复也基本够用了。德国X-Ways公司在中国有代理商,所销售的软件当前最新版本是14.3多国语言版。但目前仅有WinHex专家版和X-Ways Forensics两个版本具有中文界面,WinHex个人版和专业版没有中文界面,英文试用版可从 www.winhex.com下载。网络上能够找到的汉化版不是X-Ways公司发行的中文版,其高版本的汉化有些敷衍充数,中文很不准确。
电子取证,使用winhex工具命中对应编码文件内容关键词
weixin_58689618的博客
03-07 1025
电子取证,使用winhex工具命中对应编码文件内容关键词
使用WINHEX脚本处理被病毒修改成隐藏属性的文件目录
weixin_33893473的博客
10-31 251
转载于:https://blog.51cto.com/chs163/219659
WINHEX在NTFS系统下的文件查找
Tiaobaobao的博客
03-12 2492
打开文件所在磁盘,第一个默认始终为$BOOT文件记录
计算机网络安全技术:使用winhex手动合并与分离文件.pdf
05-12
总的来说,理解文件头标志、熟悉Winhex和其他数据恢复工具的使用,以及掌握基本的二进制文件操作,对于计算机网络安全专业人员来说至关重要,这样他们在面对数据恢复、文件隐藏检测或是取证分析时,都能游刃有余。...
手工恢复数据---winhex
02-26
WinHex是一款专业的十六进制编辑器,它不仅具备基本的文件编辑功能,更因其在数据恢复和取证分析领域的卓越性能而受到广泛赞誉。它的名字来源于“Windows”和“Hexadecimal”,表明它专为Windows操作系统设计,且...
xway fnsics(winhex 的高级取证版本)
08-10
大名鼎鼎的xway,不用多说了,数据搜索,数据恢复,碎片文件查找利器。
WinHex(16进制查看器)
08-26
WinHex 16进制查看器 16进制查看器
winhex十六进制查看编辑工具
10-30
winhex十六进制查看编辑工具
WinHex-PE-File-Template.rar_winhex
09-24
由于Shellcode通常是内存中的隐藏部分,因此利用WinHex的内存查看和编辑功能,可以有效地查找、分析和反编译Shellcode,这对于安全研究人员来说是一项重要的工具。 在"WinHex PE File Template"这个压缩包中,我们...
隐藏文件到jpg文件
飞鹰之家
09-30 413
该技巧适合 Windows 2000 / XP / Vista* 最好有基本的命令行知识。不过也没关系,按照下面的步骤做就行了。准备:1.一张图片 2.一个做试验的txt文件 3.WinRAR步骤:  1:准备一张图片,比如 winshome.jpg。准备目标文件,比如test.txt。我们要实现把test.txt隐藏在图片里面。  2:把要隐藏文件 test.txt 用 WinRAR 压缩。生...
怎样将文件隐藏在图片中
weixin_34187822的博客
06-19 137
原文来自:http://www.pixelstech.net/article/1347582974-Hide-a-file-in-a-picture 本文来自:http://blog.csdn.net/svitter 有时你想在电脑中隐藏一些重要的不想让别人看见的文件,那么你应该怎么做? 去寻找一个专业的工具?为目录设立password?将文件属性设置为“隐藏”? 以上方法都是可行...
PE文件格式分析-WinHex工具-文件头-32位PE-部分64位PE
插件开发
06-17 4887
  PE即Portable Executable,是Windows OS下使用的可执行文件格式。PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。常见PE文件格式如下图所示:   PE文件最前面是IMAGE_DOS_HEADER结构体,用来扩展已有的DOS EXE头。该结构体大小为40(h)字节,其中有两个重要的成员e_magic和e_lfanew。   e_magic:DOS签名(4D5Z,即“MZ”)。   e_lfanew:指示NT头的
利用winhex在NTFS文件系统下定位文件,找到其目录项和簇号等等
热门推荐
小雅的博客
03-26 3万+
软件安全的实验,记录一下,首先需要对NTFS文件系统有了解,有时间的推荐先看这篇博客一、NTFS需要的基础1、MFT:磁盘上的所有数据都是以文件的形式存储,其中包括元文件。 每个文件都有一个或多个文件记录,每个文件记录占用两个扇区 $MFT元文件就是专门记录每个文件文件记录。 其中第五个目录是根目录的文件记录。 第一个目录是MFT本身的文件记录。2、簇号: NTFS文件系统使用逻辑簇号(LCN)和
winhex软件怎么在镜像中查找文件
04-24
您可以通过以下步骤在镜像中查找文件: 1. 打开 WinHex 软件并选择打开文件或映像。 2. 选择你想要查找文件的镜像。 3. 在菜单栏中选择“搜索”(或使用快捷键 Ctrl + F)。 4. 在弹出的“搜索”对话框中,选择“定位”选项卡。 5. 输入文件名或关键词来搜索文件。 6. 确定搜索范围并开始搜索。 7. 等待搜索结果并选择要查看的文件。 8. 点击“打开”按钮以查看文件内容。 请注意,WinHex 软件在查找文件时需要一定的时间和计算资源。如果搜索结果为空或速度过慢,请考虑增加搜索范围或使用其他工具来查找文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值