Winhex

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

Winhex는 X-Way Software에서 개발했으며, 상용 소프트웨어이다. 최신 업데이트 날짜는 2014년 10월 2일이고, 최신 업데이트 버전은 V17.9이다. 본 항에서는 V17.8버전을 사용하였다.

소개

[그림 1] Winhex 실행화면

Winhex지원 운영체제는 Windows xp 이상의 환경에서 실행 가능하다. 해당 도구는 라이선스 유형에 따라 기능의 차이가 있다. 라이선스 유형은 평가판, Personal, Professional, Specialist가 있다. 유형별 기능은 다음 [표 1]와 같다.

[표 1] 라이선스 유형별 기능
기능 평가판 Personal Professional Specialist
- 디스크 섹터 쓰기
- RAM 편집(디버깅 목적)
O O O
- WinHex 스크립트 & API O O
- 볼륨 스냅샷 수정
- 디스크로 이미지 파일 해석
- RAID 시스템 재구성
- Free/Slack 공간 강조 및 모으기
O O
- FAT12, FAT16, FAT32, TFAT, NTFS 지원 O O O O
- exFAT, Ext2/3/4, CDFS, UDF 지원 O
- Time Zone 내부 정의 O
- 디스크 이미징(row, dd) 및 복제 O O O
- 디스크 이미지 해석(row/dd, VMDK, VHD) O
- 64비트 가능 O O
- 윈도우 동적디스크, LVM2 지원 O
- 해싱 알고리즘의 빠른 속도 O
- Binary, Hex, ASCII, Intel Hex, Motorola S변환
- 바이트 단위 편집 기능
- 무제한 실행 취소
- 데이터 복구
- 4GB이상 파일 빠르게읽기 가능
O O O O

디스크 섹터 단위로 쓸 수 있고 RAM을 디버깅 목적으로 편집할 수 있다. FAT12, FAT16, FAT32, TFAT, NTFS, exFAT, Ext2/3/4, CDFS, UDF 파일시스템의 Directory Browser를 제공한다. row, dd로 디스크 이미징 및 복제할 수 있으며 row/dd, VMDK, VHD의 디스크 이미지 해석도 가능하다. Winhex의 실행 화면은 [그림 1]와 같다.

사용법

[그림 2] 디스크 열기

해당 헥스 편집기에서 제공하는 기능은 Winhex를 기반으로 만들어진 통합 포렌식 도구인 X-Ways Forensics와 같다.
Winhex에서는 다른 헥스 편집기에 없는 몇 가지 기능 사용법을 기술하였다. 프로그램 실행 후, [그림 2]와 같이 디스크를 열거나 파일을 드래그 한다.

파일 복구

[그림 3] 파일 복구

파일 복구는 디스크의 미할당영역(Free space)을 선택한 뒤, Tools메뉴의 Disk Tools – File Recovery by Type...을 클릭하면 ②창이 나온다. 여기서 복구하고자하는 파일 형식을 선택하여 OK버튼을 누른다. 복구가 완료되면 Output folder에 결과 파일이 저장된다.


파일 분석 및 비교

[그림 4] Analyze File/Disk

Tools 메뉴의 Analyze File 혹은 Analyze Disk 를 누르면 [그림 4]와 같이 파일/디스크에 대해 그래프로 분포도를 나타낸다.


도구 기능

편집

[그림 5] Edit 메뉴

[그림 5]은 복사하기, 붙여넣기, 자르기 기능 등이 있는 Tools 메뉴이다. 각 메뉴에 대한 설명은 다음 [표 2]과 같다.

[표 2] Edit 메뉴 기능 설명
기능 설명
Undo 이전 상태로 되돌리기 기능
Cut 자르기
Copy Block/Sector/All Block/Sector/All 단위로 복사하기
Clipboard Data 붙여넣기 데이터를 새 파일에 쓰기, 붙여넣기, 비우기 기능
Remove 선택 영역 지우기 기능
Paste Zero Bytes 0x00 Bytes 붙여넣기 기능
Define Block 블록 정의 기능
Select All 전체 선택 기능
Clear Block 선택영역 초기화 기능
Convert Block 선택영역 바꾸기 기능
Modify Data 데이터 수정하기 기능
Fill Block 블록 채우기 기능


Navigation

[그림 6] Navigation 메뉴

[그림 6]은 Offset 이동, 커서 이동, 위치 이동 기능이 있는 Tools 메뉴이다. 각 메뉴에 대한 설명은 다음 [표 3]과 같다.

[표 3] Navigation 메뉴 기능 설명
기능 설명
Go To Offset 지정한 Offset으로 이동 기능
Go To Page/Sector 지정한 Page/Sector로 이동하는 기능
Go To FAT Entry FAT 파일시스템에서 FAT Entry로 이동하는 기능
Move Block Block단위로 이동하는 기능
Back 이전 커서로 이동
Forward 앞 커서로 이동
Go to 파일/블럭/페이지/라인의 처음/끝부터 지정한 크기만큼 이동
Mark Position 커서 위치에 마킹 기능
Delete Marker 마킹 지우기
Go to Marker 마킹한 곳으로 이동
Position Manager 검색 기록 목록

View

[그림 7] View 메뉴

[그림 7]은 Winhex 창에 대한 설정 기능이 있는 Tools 메뉴이다. 각 메뉴에 대한 설명은 다음 [표 4]과 같다.

[표 4] View 메뉴 기능 설명
기능 설명
Text Display Only 헥스 값을 제외하고 Text만 보기
Character Set ANSI ASCII, IBM ASCII, Code page, Unicode로 문자열 변환
Hex Display Only Text를 제외한 헥스 값만 보기
Record Presentation 지정한 Record 영역을 보여주는 기능
Show 툴바, 탭 영역 등 보여주는 기능
Template Manager FAT, FAT32, NTFS, Ext2/3 등 파일 시스템 구조 Template Manager
Tables Decimal/Hexadecimal, Hexadecimal/IBM ASCII, Hexadecimal/ANSI ASCII, Hexadecimal/Code page 각각의 테이블 정보
One Column Less Offset길이를(기본 값인 16바이트) 하나씩 줄이는 기능
One Column More Offset 길이를 하나씩 늘이는 기능
Synchronize Windows 화면이 수평으로 나열되는 기능
Synchronize & Compare 수평으로 나열되면서 파일을 비교하는 기능
Refresh View 헥스 값에 표시된 기능을 모두 초기화 하는 기능


Tools

[그림 8] Tools 메뉴
[그림 9] Start Center 실행 화면

[그림 8]은 디스크 열기, RAM 열기, 해시 값 계산 기능이 있는 Tools 메뉴이다. 각 메뉴에 대한 설명은 다음 [표 5]과 같다.

[표 5] Tools 메뉴 기능 설명
기능 설명
Open Disk 디스크 열기 기능
Disk Tools 디스크 복제, 복구, 미할당영역 초기화 기능
File Tools 파일을 나누기, 붙이기, 비교하기 등
Open RAM RAM 열기 기능
External Programs 다른 프로그램과 연결 (예:Notepad, Hwp)
Invoke X-Ways Trace
Calculator 계산기 기능
Hex Converter 10진수 16진수 변환기능
Analyze File 파일 압축률/헥스 값 분포도 분석 기능
Compute Hash MD5, SHA-1, SHA-256등 해시 값을 계산하는 기능
Hash Database 헤쉬 데이터베이스
Start Center [그림 9]과 같이 파일/디스크/RAM/디렉터리를 열 수 있는 기능, 최근 연 파일, 케이스/프로젝트를 한눈에 볼 수 있음




제한사항

Winhex는 Windows 환경에서 구동되며 운영체제 지원은 Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 7, Windows 8, Windows 8.1 과 같은 대부분의 Windows 환경을 지원하고 32비트 및 64 비트 환경을 지원한다. 통합 포렌식 도구인 X-Ways Forensics와 기능이 거의 유사하며 저 사양에서도 구동되는 도구이지만 다양한 기능을 활용할 수 있는 수사관의 도구 활용 능력이 필요하다.


수사 활용 방안

별도의 설치 절차 없이 포터블로 실행 가능하지만 제공하는 기능에 제한이 있다. 주요 기능을 유용하게 사용하면 수사 시 빠른 분석에 도움이 될 것이다.