【电子取证篇】WinHex入门教程合集，看这一篇就够了

【电子取证篇】WinHex入门教程合集，看这一篇就够了
2023-12-11 08:1:41 Author: 网络安全与取证研究(查看原文) 阅读量:39 收藏

先简单做一期WinHex入门合集吧，拖了许久了，后续再增加新的内容---【蘇小沐】

1.实验环境

（一）WinHex中文设置

（二）WinHex功能面板简介

（三）WinHex只读模式（写保护）设置

（四）WinHex制作磁盘镜像教程

（五）WinHex制作特定区域镜像教程

（六）WinHex跳过坏扇区制作磁盘镜像

（七）WinHex磁盘克隆教程

（八）记一次WinHex镜像还原（恢复）到磁盘测试记录

实验环境

写这些文章前前后后跨的时间和操作系统版本比较久，但影响不大。

系统环境

Windows 11 专业工作站版，[v22H2（22621.2428）]

WinHex，[v20.0 x86]

DiskGenius，[v5.4.0.1124 x64]

什么是WinHex?

WinHex是由“X-Ways软件技术公司”开发的一款专业的磁盘编辑工具，是在Windows下运行的十六进制（hex）编辑软件，是软件破解、BIOS修改等方面的必备工具，可以检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失，同时它还可以让你看到其他程序隐藏起来的文件和数据等。

基于WinHex 20.0 SR-2 x86介绍，新安装的WinHex，未授权的情况下有45天的试用期！

（一）

WinHex中文设置

WinHex中文设置路径

【路径：Help->Setup->中文】

中文显示界面

设置后中文显示如下。

（二）

WinHex功能面板简介

【WinHex篇】WinHex功能面板简介

WinHex功能面板

A-菜单栏

B-工具栏

C-案件数据

D-当前状态栏

E-偏移量纵坐标

F-偏移量横坐标

G-分区快捷入口

H-16进制数据编辑区

I-文本区

J-详细信息栏

K-扇区

L-分隔扇区

M-数据解析器

（三）

WinHex只读模式（写保护）设置

没有硬件只读锁的情况下，可尝试用软只读的模式来做临时代替，软只读模式非绝对的安全，绝不要直接使用案件检材（要使用也是使用检材镜像副本，此处不再赘述），防止被污染---【蘇小沐】

WinHex只读模式（写保护）

同创建磁盘镜像的步骤。【路径：选项（O）->编辑模式（M）->只读模式（写保护）】

软只读注意事项

软只读并非绝对的安全，只是通过修改注册表的方式来屏蔽端口，常用于测试使用，有条件的最好还是用硬只读的方式来对检材进行操作，防止检材被污染。

（四）

WinHex制作磁盘镜像教程

WinHex制作磁盘镜像路径

【路径：文件（F）->创建磁盘镜像（C）->选择磁盘】

选择驱动器

选择逻辑驱动器或物理驱动器，也就只选择某个分区还是整块磁盘来做镜像。步骤都是一样的，这里1GB的小分区来做演示，如下图所示。

WinHex镜像参数设置

一般1、2、3步就行，默认计算哈希值，即选择需要制作磁盘的镜像格式、镜像保存的路径和镜像命名，点击确定即可；其它参数已标注，可根据自身情况设定。

其中扇区范围适合高级用户，可根据需要制作特定扇区范围的镜像，简单点的就是自定义扇区来自定义镜像的大小，对于提取文件格式【特征】非常有帮助，这样只用做一小段镜像（特定区域镜像），而不需要耗时去做整块或整个分区的镜像。

提一下镜像格式，Raw镜像格式是一种原始镜像格式，也就是不压缩的格式，位对位复制，源盘多大则镜像多大，常见的后缀格式有“.001、.dd、.img、.ctr”。

WinHex默认Raw镜像格式为.001，FTK Imager默认的Raw镜像格式为.dd。

镜像开始制作过程

点击确定即开始制作镜像。

镜像hash校验

WinHex哈希值校验。

参数设置注意事项

看个人需求对参数进行自定义设置，一般为了方便分析，镜像选择不分段；除非特别大或需要网盘传输才选择分段，具体看个人需求吧。

（五）

WinHex制作特定区域镜像教程

在取证分析的过程中经常会遇到有坏分区、未知的视频监控格式等取证软件无法正常取证的磁盘、我们首先需要查明它的文件格式，但现在的磁盘动辄TB级以上，如果对其全盘镜像，不仅耗时耗资，也不方便移动传输；此时我们可以先对该磁盘进行部分镜像，也就是对磁盘的特定区域进行镜像，下面用WinHex来介绍对磁盘进行特定区域的镜像教程—【蘇小沐】

创建磁盘镜像

同创建磁盘镜像的步骤

【路径：文件（F）->创建磁盘镜像（C）->选择磁盘】

指定镜像大小

我们的目的只是想查清楚其文件格式类型，并不需要全盘或整个分区的镜像，通常对镜像的头部扇区制作100MB~500MB左右的镜像即可，以下以100MB的大小来制作镜像。

镜像制作完成

镜像文本记录

同理制作全盘镜像、某分区镜像等。

（六）

WinHex跳过坏扇区制作磁盘镜像

在镜像制作的过程中，如遇到有坏分区、坏磁道导致镜像制作失败，可使用WinHex设置遇到坏扇区跳过，从而保证镜像的成功制作，但对于坏扇区较多的情况，镜像受损的区域是没有数据的，因为设置了坏扇区跳过，如需分析则需要更底层的硬件设备才能实现，此处只是为了方便取证分析而作的记录，仅供参考---【蘇小沐】

创建磁盘镜像

同创建磁盘镜像的步骤

【路径：文件（F）->创建磁盘镜像（C）->选择磁盘】

设置跳过坏扇区

在正常制作镜像时，遇到坏扇区导致镜像制作失败，可设置遇到坏扇区跳过。

受损硬盘注意事项

受损的硬盘忌长时间读取数据！！！

（七）

WinHex磁盘克隆教程

WinHex克隆功能，演示选的是整个磁盘镜像，如果只想要特定的扇区，可以在B区域自定义选择---【蘇小沐】

磁盘克隆（扇区复制）

主要分三块区域。

源盘：选择镜像磁盘

上半部分-逻辑分区；下半部分-物理磁盘。

在源盘区域选择需要做克隆的“磁盘或分区”，支持盘对盘，磁盘对镜像文件、镜像文件对磁盘的多种复制方式；支持完整复制和区域复制。

注意事项

*非管理员权限运行时，会提示缺少管理员权限，点击是，软件会重启以管理员权限来运行

目标盘：选择保存路径

选择除了源盘（需要做克隆的盘），来存储镜像文件，且存储盘容量要大于源盘容量。

1）先选择保存的驱动器

2、直接选择保存的文件夹路径、并命名镜像（需要加后缀）

可以直接这步选择保存路径，注意别保存位置错误就行。

开始制作镜像

上面完成后，就可以点击确定开始制作镜像了（如果磁盘有坏区，可勾选下面的选项，跳过或填充坏扇区）。

C区支持坏扇区跳过并填充替代数据的功能；支持后台记录日志功能；支持复制性能优化功能。

【*如果WinHex是试用版本，则无法保存大于200KB的文件】

（八）

记一次WinHex镜像还原（恢复）到磁盘测试记录

镜像恢复到磁盘，怎么操作？会不会对磁盘有影响，是恢复到空磁盘？还是恢复到有数据的磁盘也可以？有数据的盘磁盘空间很多，恢复到这里有没有关系？会不会清空磁盘原来的数据啊？哈哈，下面带你测试，看看结果如何—【蘇小沐】

WinHex恢复镜像文件路径

【WinHex恢复镜像文件路径：“文件（F）”->“恢复镜像文件”】

选择镜像类型

首先选择镜像类型(磁盘或卷、分区)；接着选择镜像分段位置，没有就不用选(*扇区数自定义，不清楚就默认)。

还原到空硬盘

【还原的时候，存放的磁盘可用空间必须大于镜像的源大小！！！】

确定后，如下图所示。

注意事项

注意了！！！这2波提示！！！懂了吗？这顿操作是会覆盖数据的！！！

开始了，开始了，ok，完成。

我们再来看一下，还原的磁盘到底如何？！

沃特？！原来硬盘空间不是30GB，怎么只显示1GB了？！！！

磁盘管理器查看

我们打开磁盘管理器看下啥情况。

空间在的，还是30GB，没显示出来。

DiskGenius查看

为了更加直观展示，我们使用DiskGenius接着查看下。（DiskGenius也有此功能，需要可以自行测试）

还原到有数据的磁盘

会直接覆盖掉源盘数据。

注意事项

数据无价，操作需谨慎！！！

这篇是2020年闲的时候测试的，间隔时间也比较久了，当时纯粹是好奇镜像还原到不同大小的硬盘会怎么样，如果做数据恢复的话效果如何，其中测试过程可能不太完整，见谅。

总结

WinHex真的是一个宝藏软件，以上所记录的功能也不过是冰山一角，后期会继续更新更多用法，需要更多更高级的可以自行探索。

书写片面，纯粹做个记录，有错漏之处欢迎指正。

公众号回复关键词【WinHex】自动获取资源合集，如链接失效请留言，便于更新维护。

【声明：欢迎转发收藏，喜欢记得点点赞！转载引用请注明出处，著作所有权归作者 [蘇小沐] 所有】

记录

开始编辑：2023 年 12月 08日

最后编辑：2023 年 12月 08日

END

往期精彩回顾

【电子取证篇】电子数据取证标准合集（附下载）

关注我，了解更多取证知识，别忘了点赞+在看哦！

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247488330&idx=1&sn=aede2c14e0772f5190c782efd543109c&chksm=cf3e337af849ba6c3307efa625f50803f1e998b938e19d8b030783b4cb766ab71c0c97c5dbe8&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh