主要操作:
1.打开文件——修改、保存
2.打开磁盘——查看、更新快照
3.搜索——文本、十六进制
4.复制选块
5.位置——转到扇区、簇
步骤:
1.打开文件——修改、保存
(1)打开Winhex软件(使用管理员身份运行),界面如下:
(2)点击“文件”,“打开”,选择一个文本文件打开:
打开后如下图所示,可以看到它的字节和解读出来的信息:
文件的内容以十六进制编码的形式显示出来,可以进行修改,如下图所示,将第一个数字4C改为48,文件内容中的Li变为了Hi。
原图如下:
修改后:
改完之后修改的地方变成了蓝色,表示修改完没有保存,点击保存图标进行保存,这时候会弹出一个警告表示是否要更新文件,因为对于Winhex来讲,分析的是证据文件,证据文件是不允许被修改的,所以保存之前会再问一遍,点击“是”进行确认,可以发现修改的地方不再是蓝色的,保存成功:
(3)关闭:在左上角的文件名上单击右键,点击关闭:
2.打开磁盘——查看、更新快照
(1)点击“工具”,“打开磁盘”(也可以使用快捷键F9):
打开磁盘的时候会把所有的逻辑磁盘和物理磁盘都列出来,学硬盘结构需要打开物理磁盘,本次实验学习基本操作,打开逻辑磁盘E盘,点击确定:
打开后界面如下:
(2)磁盘打开后可以查看里面的文件,这时如果在磁盘中进行了一些修改,例如新建了一个RAR文件,想要到Winhex里查看它的一些情况,可以发现里面是没有我们新建的那个文件的。此时想要让这个文件显示出来需要打开新的快照。
(3)打开新快照:点击“工具”,“磁盘工具”,“重新进行磁盘快照”,这个操作也就是刷新一遍,因此也可以直接关闭程序再重启:
可以看到新建的文件显示出来了:
3.搜索——文本、十六进制
(1)查找文本
点击“搜索”,“查找文本”:
以happy为例,不用区分大小写,首先采用ASCII码去搜,搜索的范围选择全部,其他的先不选,点击确定,就开始进行搜索:
搜索结果如下:
前面搜到的数据可能并不是我们所需要的,继续往下搜,点击“搜索”,“继续搜索”,直到找到想要的数据为止:
还可以使用Unicode去搜:
Unicode编码用2个字节来表示1个字符,对于英文字符也是一样,所以由上图可知,字符H用48 00 来表示,A用41 00来表示,所以在进行文本搜索时,看起来搜索的是happy这个关键词,实际上是把关键词用所选择的编码表示出来,得到相应的十六进制的串,把这个十六进制的串作为关键词去搜索。
(2)查找十六进制
点击“搜索”,“查找十六进制数值”(以jpg文件为例来搜):
按下图所示填写,点击确定:
可以看到搜索出来的是jpg文件,如果不是,可以点击“搜索”,“继续搜索”:
如何选中jpg文件?
首先在搜索出的第一个字节的地方点击右键,选择“选块起始位置”:
要查看jpg文件从哪里结束:以当前位置向下去搜,点击“搜索”,“查找十六进制数值”,按下图所示填写,点击确定:
可以看到搜索出来了结尾的位置,在结尾的字节D9处单击右键,选择“选块尾部”:
由下图可知全部选中了:
4.复制选块
经过上述操作已经选中了选块,这时在选中的地方单击右键,选择“编辑”:
复制选块里有几种情况,分别进行实验:
(1)选择“复制选块”,“标准(或正常)”:
相当于把内容复制到剪切板里去,如果我们新建一个Winhex文件,把内容粘贴进去是可行的,操作如下:
点击“文件”,“新建”:
设置文件大小,点击确定:
单击右键,点击“编辑”:
会弹出下面的提示,表示从文件的开始位置去粘贴,这会增加文件的大小,点击确定:
可以看到内容成功粘贴进来:
需要注意的是,复制选块时选择标准(或正常)时,在外部程序(例如word)中粘贴是不可行的,只能在Winhex里粘贴。
(2)选择“复制选块”,“至新文件”:
至新文件就是把选中的一部分内容,放到一个文件里,文件没有要求,自己设(由于搜索的是jpg文件,设文件时也写成jpg文件):
点击保存后可以看到选中的内容粘贴进了新文件中:
也可以打开这个新文件看到图片:
(3)选择“复制选块”,“十六进制数值”:
这种方法可以向选择“标准(或正常)”选项那样在Winhex里粘贴,也可以在word里粘贴,如下图所示:
5.位置——转到扇区、簇
(1)选择“导航(位置)”,“跳至(转到)扇区”:
想要快速到某某位置,可以点它,比如说想要到扇区2,就输入2,点击确定,如下:
除了上述方法还可以直接在扇区2的上面直接点击,出来的效果是一样的:
(2)簇:要求在一个正常的文件系统里它才可以去换算。对于一个正常的文件系统,Winhex它可以去判断一个簇的大小,所以它也就可以把扇区换算成一个簇,也可以指定跳转到某个簇。
扫一扫
2228
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
