实验02WinHEX编辑软件的使用1.实验目的:1)掌握利用WinHEX软件查看磁盘文件的十六进制编码的方法。2)尝试利用WinHEX实现文件的简单数学变换加密。3)利用WinHEX回复被误删除的文件。4)掌握文件安全删除与磁盘清理功能。2.实验原理WinHEX软件含十六进制编辑器、磁盘编辑器和RAM编辑器,可帮助用户实现计算机调查取证、文件及磁盘数据恢复、磁盘的底层数据处理,一级密码分析、软件注册等信息安全工作。它能检查并且编辑各种文件,从磁盘驱动器中恢复已删除文件或丢失的数据,支持USBDisk和数码相机的储存卡。1)WinHEX的主要功能:2)磁盘编辑器,可分析硬盘、软盘、、CD-ROM\DVD,USBDisk,存储卡等。3)支持FAT、NTFS、Ext2/3、Reiser4、UFS、CDFS、UDF等文件系统。4)支持RAID系统和动态磁盘组。5)多种数据恢复技术。6)RAM编辑器,提供编辑物理RAM和其他进程的虚拟内存的方法。7)灵活的查找并替代功能,可实现文本、十六进制数据等形式的查找。8)磁盘克隆。9)安全性由256位的AES加密、检验和、CRC32、哈希算法等方法提供支持。10)安全擦除个人秘密文件功能,可实现全盘数据清理。3.实验环境:WinHEX软件,虚拟机WinXP系统环境。4.实验内容(一)软件安装及配置1)首先在D盘根目录中建立X-ways文件夹,再在这个文件夹中建立case、images、temp等三个文件夹,分别用于保存案例文件、镜像文件和临时文件。解压软件包,运行WinHEX.Exe文件,进入系统。2)根据提示,必须选择“Computerforensicsinterface”,否则部分功能不可使用。3)完成后进入软件操作界面。该界面中除WinHEX软件的所有功能以外,还包含“CaseData”区域,用来进行磁盘数据分析和文件恢复。本实验中主要使用WinHEX的基本工具、选项设置、查找功能和数据分析功能。(二)基本功能实现1)在D盘的X-ways中建立一个文本文件,文件名为X-ways.txt,内容为“练习使用WinHEX软件”。在WinHEX界面中,单击“File”→“Open”,打开建立的文件X-ways.txt,注意观察显示格式及内容。2)将第1、2两个字节改为“D1A7”,观察内容变化,“练习”已变为“学习”。3)利用WinHEX可实现文件的简单数学变换加密。XOR运算是最简单,也是最常用的数据变换加密方法,保持打开X-ways.txt文件,单击“Edit”→“Modifydata”,进入数据编辑窗口,选择“XOR”并输入75,完成后单击“OK”按钮,即完成了该文件内容的加密变换。解密时只要再次进行“XOR75”运算即可。注意观察变换前后的数据。4)利用WinHEX可实现数据恢复。a、在WinHEX中关闭打开的X-ways.txt文件,进入“资源管理器”将该文件删除掉并清空回收站,此时Windows系统本身是无法再还原该文件的。下面利用WinHEX回复被误删除的文件,当然若要恢复完整的数据,要求删除后没有向该磁盘执行过写入操作。这项操作对存储卡、USB盘非常实用,因为这些存储器一般是没有回收站功能的。b、单击“CaseData”窗口中的“File”→“CreateNewCase”建立新的分析案例,然后单击“File”→“AddMedium”添加新的存储介质(硬盘、软件、光盘、U盘、存储卡都可以),此处为D盘。添加后进入“X-Ways”文件夹,此时可以发现被删除的文件已列在其中,并且会灰度方式标注了该文件。右击该文件,选择“Recover/Copy”,指定目标文件夹后即可恢复该文件。5)文件安全删除功能。通过“Tools”→“Filetools”→“WipeSecurely”删除的文件是不可能恢复的。6)磁盘清理功能可以彻底清除指定磁盘中的所有数据。例如对USB盘,经过磁盘擦除之后,数据将永远无法恢复。方法:单击“Tools”→“OpenDisk”或通过F9键,选择需要的盘符;选择菜单中的“Edit”→“FillDiskSectors”命令,设置填充值和填充方式即可。磁盘被填充数据后,必须经重新格式化,方可重新使用。(三)自行练习WinHEX的其他功能。(下面举两个实例,可于课后自行准备实验条件)1)用WinHex切断QQ的广告之源QQ中的广告非常令人反感,我们可以采用下面的办法达到屏蔽QQ广告的目的。具体方法:运行WinHex,打开QQ安装目录下的QQ.exe文件,单击“搜索”菜单下的“查找文本”,会弹出“查找文本”窗口,在“下列文本字符将被搜寻(S):”栏中输入:AD\,注意一定不要选“区分大小写”。然后单击“确定”按钮,会找到四处结果,把AD\替换为其他字符如CC\,只要字符位数一样多就可以。改动完毕,再把光标定位到最顶端,再次点击“搜索”菜单下的“查找文本”,还是搜寻“AD\”,不过这回要在“Unicode字符集”前面打上“√”,单击“确定”按钮,会找到四处结果,形式为:A.D.\(这就是Unicode编码的样子),把它们改为位数一样多的任意英文字符即可。全部修改完毕后,保存修改结果,再到AD子目录中删除所有的*.gif和*.swf文件,一并删除dat文件夹中的ad.gif文件,就彻底地切断了QQ广告之源。2)用WinHEX修复受损的MPEG文件(MPEG标准主要有以下五个,MPEG-1、MPEG-2、MPEG-4、MPEG-7及MPEG-21等。该专家组建于1988年,专门负责为CD建立视频和音频标准,而成员都是为视频、音频及系统领域的技术专家。)有时我们会遇到这种情况:从网上下载的MPEG文件用某些MPEG播放工具打开时会提示“不能识别的格式”或“格式不对”,从而无法播放。有趣的是同样的文件用其他播放软件也有能播放的时候,但开始的几秒钟画面总要一跳一闪的,从中可以看出是MPEG文件头数据有所损坏。如果能修复受损的MPEG文件头就可以用任何MPEG播放软件来播放了,我们可以用WinHex来实现这个目的。具体方法:先找一个完整无损的MPEG文件,用WinHex打开它,在WinHex窗口中按住鼠标左键并从偏移量00000000拖到偏移量略大于受损的MPEG文件头异常部分的终止处,然后按Ctrl+Shift+C将此段数据复制到内存。接下来用WinHex打开受损的MPEG文件,同样用鼠标从偏移量00000000开始,选到同刚才已经选取的结束偏移量一致的地方(如选取的偏移范围是00000000——000018E0,那么被替换的范围就应该从00000000——000018E0)。按Ctrl+V将刚刚复制的代码粘贴下来,即可用正常的MPEG文件头数据替代掉受损MPEG文件已选定部分。保存退出WinHex,使用MPEG播放软件播放原来受损的MPEG文件,就再也没有“不能识别的格式”或“格式不对”的提示了。