念知十六进制编辑器,用来以16进制视图进行文本编辑的编辑工具软件。十六进制编辑器可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。它一直是计算机专业人员非常喜欢的工具。
其实,如果将它用在一个恰当的环境中,十六进制编辑器能够发现Windows以及一些应用程序的漏洞,这些漏洞可能还没有引起你的注意,但绝对不可忽视。在病毒、木马等横行的今天,我们应该充分这种工具。实际上,笔者认为,它是最被忽视的安全检查、测试工具之一。
进制种类
十六进制编辑器主要有:Winhex,FPE,Hex Workshop,XVI32,Ultraedit等。
基本介绍
一般都是用在修改游戏存档之类的用途中,部分软件破解、汉化也常用到。
最常用的一个16进制编辑器:UltraEdit,很多软件的汉化工作都是靠它完成。
WinHex的内存搜索编辑功能可以帮我们找回丢失的还原精灵密码。具体方法是:右击任务栏右下角的还原精灵图标,在弹出菜单中选择“参数设置→更改密码”,在对话框中输入旧密码,胡乱填写几个数字如123456;在新密码框中输入新密码,这里也胡乱填了个371042,最后点“确定”按钮。
由于我们是胡乱输入的密码,所以旧密码是不会正确的,此时会弹出对话框,提示密码不正确,注意千万不要点击“确定”按钮,赶紧运行16进制文件编辑器WinHex,点“工具”菜单中的“RAM编辑器”,在打开的窗口中找到Hddgmon下的“主要内存”,这里的Hddgmon是还原精灵的进程。
最后,在WinHex中点击“搜寻→寻找文字”菜单选项,在打开的窗口中添入你随便填入的假密码371042。点“确定”之后,真正的密码就会出现在我们面前了!
原理:输入密码后,该软件会用其内部事先定义好的方法来计算真正的密码,与输入的密码进行比较,这个比较的过程是在内存中进行的。由于WinHex具有优秀的内存编辑功能,因此通过在内存中搜索输入的字符串,来找到它们。而一般情况下,真假密码的比较。
安全漏洞
总体而言,你可以通过WinHex等十六进制编辑器执行如下的操作,从而找出Windows环境中的安全漏洞。
1、检查仍保存于Windows、浏览器和其它应用程序中的口令。口令等机密信息保存在内存中可以导致的风险是不言而喻的,这种方法能够向我们显示登录账户和其它的私密信息是多么的脆弱不堪,这在那些公共访问的计算机上更是如此。
如果这还不足以证明漏洞的存在,你还可以搜寻计算机的整个内存,进一步查找Windows应用程序的口令或其它的敏感信息。笔者曾多次在应用程序关闭之后,仍能找到由Web浏览器保存在内存中的敏感信息。通过WinHex等十六进制编辑程序在全部的内存中搜寻这种类型的敏感信息是相当简易、快捷的。
2、在本地系统文件中(如pagefile.sys和hiberfil.sys)或整个物理磁盘中,搜寻敏感信息。笔者每次使用这个功能是总是有所收获。这对于检查计算机硬盘上的数据资料确实是大有帮助的。下图显示了Winhex查找本地文件的界面。
3、查找在内存中的恶意软件或磁盘上的敏感数据,这些位置对于我们来说正是难于搜寻的地方。
4、查找机密文档,例如查找可以揭示一些敏感信息的doc(word文档)文件,因此这些文件绝对不能离开我们的网络。这包括文件作者、草稿措词、评论或应该删除的第三方的信息等。例如,在Word中有这样一个隐私选项“保存时从文件属性中删除个人信息(R)”。
我们在发布和传送一些机密doc文件时应该钩选此属性,因此利用WinHex的此功能有助于我们查找忘掉选中这个功能的那些文件。
十六进制编辑器种类很多。除了WinHex之外,还有Hex Workshop,XVI32等工具。这些功能强大的十六进制编辑工具可以修改内存中或存储于磁盘上的任何数据。不过,强大的工具有可能是一把双刃剑:其结果有可能是有益的,也有可能是破坏性的。因此使用时应该格外小心。
