WinHEX编辑软件的使用.docVIP

实验02 WinHEX编辑软件的使用 1.实验目的： 1）掌握利用WinHEX软件查看磁盘文件的十六进制编码的方法。 2）尝试利用WinHEX实现文件的简单数学变换加密。 3）利用WinHEX回复被误删除的文件。 4）掌握文件安全删除与磁盘清理功能。 2.实验原理 WinHEX软件含十六进制编辑器、磁盘编辑器和RAM编辑器，可帮助用户实现计算机调查取证、文件及磁盘数据恢复、磁盘的底层数据处理，一级密码分析、软件注册等信息安全工作。它能检查并且编辑各种文件，从磁盘驱动器中恢复已删除文件或丢失的数据，支持USBDisk和数码相机的储存卡。 WinHEX的主要功能： 磁盘编辑器，可分析硬盘、软盘、、CD-ROM\DVD,USBDisk，存储卡等。 支持FAT、NTFS、Ext2/3、Reiser4、UFS、CDFS、UDF等文件系统。 支持RAID系统和动态磁盘组。 多种数据恢复技术。 RAM编辑器，提供编辑物理RAM和其他进程的虚拟内存的方法。 灵活的查找并替代功能，可实现文本、十六进制数据等形式的查找。 磁盘克隆。 安全性由256位的AES加密、检验和、CRC32、哈希算法等方法提供支持。 安全擦除个人秘密文件功能，可实现全盘数据清理。 3.实验环境： WinHEX软件，虚拟机WinXP系统环境。 4.实验内容 （一）软件安装及配置 1）首先在D盘根目录中建立X-ways文件夹，再在这个文件夹中建立case、images、temp等三个文件夹，分别用于保存案例文件、镜像文件和临时文件。解压软件包，运行WinHEX.Exe文件，进入系统。 2）根据提示，必须选择“Computer forensics interface”,否则部分功能不可使用。 3）完成后进入软件操作界面。该界面中除WinHEX软件的所有功能以外，还包含“Case Data”区域，用来进行磁盘数据分析和文件恢复。本实验中主要使用WinHEX的基本工具、选项设置、查找功能和数据分析功能。 （二）基本功能实现 1）在D盘的X-ways中建立一个文本文件，文件名为X-ways.txt，内容为“练习使用WinHEX软件”。在WinHEX界面中，单击“File”→“Open”，打开建立的文件X-ways.txt，注意观察显示格式及内容。 2）将第1、2两个字节改为“D1 A7”，观察内容变化，“练习”已变为“学习”。 3）利用WinHEX可实现文件的简单数学变换加密。 XOR运算是最简单，也是最常用的数据变换加密方法，保持打开X-ways.txt文件，单击“Edit”→“Modify data”，进入数据编辑窗口，选择“XOR”并输入75，完成后单击“OK”按钮，即完成了该文件内容的加密变换。解密时只要再次进行“XOR 75”运算即可。注意观察变换前后的数据。 4）利用WinHEX可实现数据恢复。 a、在WinHEX中关闭打开的X-ways.txt文件，进入“资源管理器”将该文件删除掉并清空回收站，此时Windows系统本身是无法再还原该文件的。下面利用WinHEX回复被误删除的文件，当然若要恢复完整的数据，要求删除后没有向该磁盘执行过写入操作。这项操作对存储卡、USB盘非常实用，因为这些存储器一般是没有回收站功能的。 b、单击“Case Data”窗口中的“File”→“Create New Case”建立新的分析案例，然后单击“File”→“Add Medium”添加新的存储介质（硬盘、软件、光盘、U盘、存储卡都可以），此处为D盘。添加后进入“X-Ways”文件夹，此时可以发现被删除的文件已列在其中，并且会灰度方式标注了该文件。右击该文件，选择“Recover/Copy”，指定目标文件夹后即可恢复该文件。 5）文件安全删除功能。 通过“Tools”→“File tools”→“Wipe Securely”删除的文件是不可能恢复的。 6）磁盘清理功能 可以彻底清除指定磁盘中的所有数据。例如对USB盘，经过磁盘擦除之后，数据将永远无法恢复。 方法：单击“Tools”→“Open Disk”或通过F9键，选择需要的盘符；选择菜单中的“Edit”→“Fill Disk Sectors”命令，设置填充值和填充方式即可。磁盘被填充数据后，必须经重新格式化，方可重新使用。 （三）自行练习WinHEX的其他功能。（下面举两个实例，可于课后自行准备实验条件） 1）用WinHex切断QQ的广告之源QQ中的广告非常令人反感，我们可以采用下面的办法达到屏蔽QQ广告的目的。具体方法：运行WinHex，打开QQ安装目录下的QQ.exe文件，单击“搜索”菜单下的“查找文本”，会弹出“查找文本”窗口，在“下列文本字符将被搜寻 S :”栏中输入：AD\，注意一定不要选“区分大小写”。然后单击“确定”