十六進位編輯器
十六進位編輯器
十六進位編輯器,用來以16進位視圖進行文本編輯的編輯工具軟體。十六進位編輯器可以用來檢查和修復各種文件、恢復刪除文件、硬碟損壞造成的數據丟失等。它一直是計算機專業人員非常喜歡的工具。
其實,如果將它用在一個恰當的環境中,十六進位編輯器能夠發現Windows以及一些應用程序的漏洞,這些漏洞可能還沒有引起你的注意,但絕對不可忽視。在病毒、木馬等橫行的今天,我們應該充分這種工具。實際上,筆者認為,它是最被忽視的安全檢查、測試工具之一。
十六進位編輯器主要有:Winhex,FPE,Hex Workshop,XVI32,Ultraedit等。
十六進位編輯器
一般都是用在修改遊戲存檔之類的用途中,部分軟體破解、漢化也常用到。
最常用的一個16進位編輯器:UltraEdit,很多軟體的漢化工作都是靠它完成。
WinHex的內存搜索編輯功能可以幫我們找回丟失的還原精靈密碼。具體方法是:右擊任務欄右下角的還原精靈圖標,在彈出菜單中選擇“參數設置→更改密碼”,在對話框中輸入舊密碼,胡亂填寫幾個數字如123456;在新密碼框中輸入新密碼,這裡也胡亂填了個371042,最後點“確定”按鈕。
由於我們是胡亂輸入的密碼,所以舊密碼是不會正確的,此時會彈出對話框,提示密碼不正確,注意千萬不要點擊“確定”按鈕,趕緊運行16進位文件編輯器WinHex,點“工具”菜單中的“RAM編輯器”,在打開的窗口中找到Hddgmon下的“主要內存”,這裡的Hddgmon是還原精靈的進程。
最後,在WinHex中點擊“搜尋→尋找文字”菜單選項,在打開的窗口中添入你隨便填入的假密碼371042。點“確定”之後,真正的密碼就會出現在我們面前了!
原理:輸入密碼后,該軟體會用其內部事先定義好的方法來計算真正的密碼,與輸入的密碼進行比較,這個比較的過程是在內存中進行的。由於WinHex具有優秀的內存編輯功能,因此通過在內存中搜索輸入的字元串,來找到它們。而一般情況下,真假密碼的比較。
總體而言,你可以通過WinHex等十六進位編輯器執行如下的操作,從而找出Windows環境中的安全漏洞。
1、檢查仍保存於Windows、瀏覽器和其它應用程序中的口令。口令等機密信息保存在內存中可以導致的風險是不言而喻的,這種方法能夠向我們顯示登錄賬戶和其它的私密信息是多麼的脆弱不堪,這在那些公共訪問的計算機上更是如此。
如果這還不足以證明漏洞的存在,你還可以搜尋計算機的整個內存,進一步查找Windows應用程序的口令或其它的敏感信息。筆者曾多次在應用程序關閉之後,仍能找到由Web瀏覽器保存在內存中的敏感信息。通過WinHex等十六進位編輯程序在全部的內存中搜尋這種類型的敏感信息是相當簡易、快捷的。
2、在本地系統文件中(如pagefile.sys和hiberfil.sys)或整個物理磁碟中,搜尋敏感信息。筆者每次使用這個功能是總是有所收穫。這對於檢查計算機硬碟上的數據資料確實是大有幫助的。下圖顯示了Winhex查找本地文件的界面。
3、查找在內存中的惡意軟體或磁碟上的敏感數據,這些位置對於我們來說正是難於搜尋的地方。
4、查找機密文檔,例如查找可以揭示一些敏感信息的doc(word文檔)文件,因此這些文件絕對不能離開我們的網路。這包括文件作者、草稿措詞、評論或應該刪除的第三方的信息等。例如,在Word中有這樣一個隱私選項“保存時從文件屬性中刪除個人信息(R)”。
我們在發布和傳送一些機密doc文件時應該鉤選此屬性,因此利用WinHex的此功能有助於我們查找忘掉選中這個功能的那些文件。
十六進位編輯器種類很多。除了WinHex之外,還有Hex Workshop,XVI32等工具。這些功能強大的十六進位編輯工具可以修改內存中或存儲於磁碟上的任何數據。不過,強大的工具有可能是一把雙刃劍:其結果有可能是有益的,也有可能是破壞性的。因此使用時應該格外小心。