Winhex
Winhex는 X-Way Software에서 개발했으며, 상용 소프트웨어이다. 최신 업데이트 날짜는 2014년 10월 2일이고, 최신 업데이트 버전은 V17.9이다. 본 항에서는 V17.8버전을 사용하였다.
목차
소개[편집]
Winhex지원 운영체제는 Windows xp 이상의 환경에서 실행 가능하다. 해당 도구는 라이선스 유형에 따라 기능의 차이가 있다. 라이선스 유형은 평가판, Personal, Professional, Specialist가 있다. 유형별 기능은 다음 [표 1]와 같다.
| 기능 | 평가판 | Personal | Professional | Specialist |
| - 디스크 섹터 쓰기 - RAM 편집(디버깅 목적) |
O | O | O | |
| - WinHex 스크립트 & API | O | O | ||
| - 볼륨 스냅샷 수정 - 디스크로 이미지 파일 해석 - RAID 시스템 재구성 - Free/Slack 공간 강조 및 모으기 |
O | O | ||
| - FAT12, FAT16, FAT32, TFAT, NTFS 지원 | O | O | O | O |
| - exFAT, Ext2/3/4, CDFS, UDF 지원 | O | |||
| - Time Zone 내부 정의 | O | |||
| - 디스크 이미징(row, dd) 및 복제 | O | O | O | |
| - 디스크 이미지 해석(row/dd, VMDK, VHD) | O | |||
| - 64비트 가능 | O | O | ||
| - 윈도우 동적디스크, LVM2 지원 | O | |||
| - 해싱 알고리즘의 빠른 속도 | O | |||
| - Binary, Hex, ASCII, Intel Hex, Motorola S변환 - 바이트 단위 편집 기능 - 무제한 실행 취소 - 데이터 복구 - 4GB이상 파일 빠르게읽기 가능 |
O | O | O | O |
디스크 섹터 단위로 쓸 수 있고 RAM을 디버깅 목적으로 편집할 수 있다. FAT12, FAT16, FAT32, TFAT, NTFS, exFAT, Ext2/3/4, CDFS, UDF 파일시스템의 Directory Browser를 제공한다. row, dd로 디스크 이미징 및 복제할 수 있으며 row/dd, VMDK, VHD의 디스크 이미지 해석도 가능하다.
Winhex의 실행 화면은 [그림 1]와 같다.
사용법[편집]
해당 헥스 편집기에서 제공하는 기능은 Winhex를 기반으로 만들어진 통합 포렌식 도구인 X-Ways Forensics와 같다.
Winhex에서는 다른 헥스 편집기에 없는 몇 가지 기능 사용법을 기술하였다. 프로그램 실행 후, [그림 2]와 같이 디스크를 열거나 파일을 드래그 한다.
파일 복구[편집]
파일 복구는 디스크의 미할당영역(Free space)을 선택한 뒤, Tools메뉴의 Disk Tools – File Recovery by Type...을 클릭하면 ②창이 나온다. 여기서 복구하고자하는 파일 형식을 선택하여 OK버튼을 누른다. 복구가 완료되면 Output folder에 결과 파일이 저장된다.
파일 분석 및 비교[편집]
Tools 메뉴의 Analyze File 혹은 Analyze Disk 를 누르면 [그림 4]와 같이 파일/디스크에 대해 그래프로 분포도를 나타낸다.
도구 기능[편집]
편집[편집]
[그림 5]은 복사하기, 붙여넣기, 자르기 기능 등이 있는 Tools 메뉴이다. 각 메뉴에 대한 설명은 다음 [표 2]과 같다.
| 기능 | 설명 |
| Undo | 이전 상태로 되돌리기 기능 |
| Cut | 자르기 |
| Copy Block/Sector/All | Block/Sector/All 단위로 복사하기 |
| Clipboard Data | 붙여넣기 데이터를 새 파일에 쓰기, 붙여넣기, 비우기 기능 |
| Remove | 선택 영역 지우기 기능 |
| Paste Zero Bytes | 0x00 Bytes 붙여넣기 기능 |
| Define Block | 블록 정의 기능 |
| Select All | 전체 선택 기능 |
| Clear Block | 선택영역 초기화 기능 |
| Convert Block | 선택영역 바꾸기 기능 |
| Modify Data | 데이터 수정하기 기능 |
| Fill Block | 블록 채우기 기능 |
[편집]
[그림 6]은 Offset 이동, 커서 이동, 위치 이동 기능이 있는 Tools 메뉴이다. 각 메뉴에 대한 설명은 다음 [표 3]과 같다.
| 기능 | 설명 |
| Go To Offset | 지정한 Offset으로 이동 기능 |
| Go To Page/Sector | 지정한 Page/Sector로 이동하는 기능 |
| Go To FAT Entry | FAT 파일시스템에서 FAT Entry로 이동하는 기능 |
| Move Block | Block단위로 이동하는 기능 |
| Back | 이전 커서로 이동 |
| Forward | 앞 커서로 이동 |
| Go to | 파일/블럭/페이지/라인의 처음/끝부터 지정한 크기만큼 이동 |
| Mark Position | 커서 위치에 마킹 기능 |
| Delete Marker | 마킹 지우기 |
| Go to Marker | 마킹한 곳으로 이동 |
| Position Manager | 검색 기록 목록 |
View[편집]
[그림 7]은 Winhex 창에 대한 설정 기능이 있는 Tools 메뉴이다. 각 메뉴에 대한 설명은 다음 [표 4]과 같다.
| 기능 | 설명 |
| Text Display Only | 헥스 값을 제외하고 Text만 보기 |
| Character Set | ANSI ASCII, IBM ASCII, Code page, Unicode로 문자열 변환 |
| Hex Display Only | Text를 제외한 헥스 값만 보기 |
| Record Presentation | 지정한 Record 영역을 보여주는 기능 |
| Show | 툴바, 탭 영역 등 보여주는 기능 |
| Template Manager | FAT, FAT32, NTFS, Ext2/3 등 파일 시스템 구조 Template Manager |
| Tables | Decimal/Hexadecimal, Hexadecimal/IBM ASCII, Hexadecimal/ANSI ASCII, Hexadecimal/Code page 각각의 테이블 정보 |
| One Column Less | Offset길이를(기본 값인 16바이트) 하나씩 줄이는 기능 |
| One Column More | Offset 길이를 하나씩 늘이는 기능 |
| Synchronize Windows | 화면이 수평으로 나열되는 기능 |
| Synchronize & Compare | 수평으로 나열되면서 파일을 비교하는 기능 |
| Refresh View | 헥스 값에 표시된 기능을 모두 초기화 하는 기능 |
Tools[편집]
[그림 8]은 디스크 열기, RAM 열기, 해시 값 계산 기능이 있는 Tools 메뉴이다. 각 메뉴에 대한 설명은 다음 [표 5]과 같다.
| 기능 | 설명 |
| Open Disk | 디스크 열기 기능 |
| Disk Tools | 디스크 복제, 복구, 미할당영역 초기화 기능 |
| File Tools | 파일을 나누기, 붙이기, 비교하기 등 |
| Open RAM | RAM 열기 기능 |
| External Programs | 다른 프로그램과 연결 (예:Notepad, Hwp) |
| Invoke X-Ways Trace | |
| Calculator | 계산기 기능 |
| Hex Converter | 10진수 16진수 변환기능 |
| Analyze File | 파일 압축률/헥스 값 분포도 분석 기능 |
| Compute Hash | MD5, SHA-1, SHA-256등 해시 값을 계산하는 기능 |
| Hash Database | 헤쉬 데이터베이스 |
| Start Center | [그림 9]과 같이 파일/디스크/RAM/디렉터리를 열 수 있는 기능, 최근 연 파일, 케이스/프로젝트를 한눈에 볼 수 있음 |
제한사항[편집]
Winhex는 Windows 환경에서 구동되며 운영체제 지원은 Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 7, Windows 8, Windows 8.1 과 같은 대부분의 Windows 환경을 지원하고 32비트 및 64 비트 환경을 지원한다. 통합 포렌식 도구인 X-Ways Forensics와 기능이 거의 유사하며 저 사양에서도 구동되는 도구이지만 다양한 기능을 활용할 수 있는 수사관의 도구 활용 능력이 필요하다.
수사 활용 방안[편집]
별도의 설치 절차 없이 포터블로 실행 가능하지만 제공하는 기능에 제한이 있다. 주요 기능을 유용하게 사용하면 수사 시 빠른 분석에 도움이 될 것이다.
