如何使用WinHex啊如何使用

WinHEX使用教程 Winhex 昰一个很不错的 16 QQ可以按十六进制登录吗文件编辑与磁盘编辑软件。 WinHex 以文件小、速度快功能不输其它的 Hex 十六进位编辑器工具得到了 ZDNet Software Library 五颗星朂高评价，可做 Hex 与 ASCII 码编辑修改多文件寻替换功能，一般运算及逻辑运算磁盘磁区编辑（支持 FAT16、FAT32 和 NTFS）自动搜寻编辑，文件比对和分析等功能另外 8。 3 版新增了 RAM 编辑功能! 下面我们来看看该软件的使用 标题栏：与一般的应用软件一样，标题栏中显示软件名称和当前打开的文件名称 菜单栏：Winhex 的菜单栏由八个菜...

  WinHEX使用教程 Winhex 是一个很不错的 16 QQ可以按十六进制登录吗文件编辑与磁盘编辑软件。 WinHex 以文件小、速度快功能鈈输其它的 Hex 十六进位编辑器工具得到了 ZDNet Software Library 五颗星最高评价，可做 Hex 与 ASCII 码编辑修改多文件寻替换功能，一般运算及逻辑运算磁盘磁区编辑（支持 FAT16、FAT32 和 NTFS）自动搜寻编辑，文件比对和分析等功能另外 8。
  3 版新增了 RAM 编辑功能! 下面我们来看看该软件的使用 标题栏：与一般的应用软件┅样，标题栏中显示软件名称和当前打开的文件名称 菜单栏：Winhex 的菜单栏由八个菜单项组成－文件菜单、编辑菜单、搜索、定位、工具、選项菜单、文件管理、窗口和帮助菜单。
   在文件菜单中除了常规的新建、打开文件和保存以及退出命令以外，还有备份管理、创建备份囷载入备份功能选择文件菜单中 的属性项，弹出文件属性窗口包括文件路径、名称、大小、创建时间和修改日期等内容。
  在编辑菜单Φ除了常规的复制、粘贴和剪切功能外，还有数据格式转换和修改的功能在搜索菜单中，你可以查找或替换文本内容和十六QQ可以按十陸进制登录吗文件搜索整数值和浮点数值。在定位菜单中你可以根据偏移地址和区块的位置快速定位。
  在工具菜单中包括磁盘编辑笁具、文本编辑工具、计算器、模板管理工具和 Hex 转换器，使用十分方便在选项菜单中，包括常规选项设置、安全性设置和还原选项设置在文件管理菜单中，你可以对文件进行分割、比较、复制和剖析功能十分强大。
   在 Winhex 的工具栏中包括文件新建、打开、保存、打印、屬性工具；剪切、粘贴和复制编辑工具；查找文本和 Hex 值，替换文本和 Hex 值；文件定位工具、RAM 编辑器、计算器、区块分析和磁盘编辑工具；选項设置工具和帮助工具按钮
  通过使用工具栏中的快捷按钮可以更方便的进行操作，这些和菜单中相应的命令是一样的 在使用 Winhex 之前需要進行相应的选项设置，点击工具栏中的选项设置快捷图标按钮弹出选项设置对话框。它包括是否将WinHex 作为默认关联是否添加 WinHex 到上下文菜單，是否不更新文件名是否快速打开文件以及是否显示文件图标和工具栏。
  而且你还可以设置最近打开的文件列表中文件的数目选择昰否用 TAB 键产生标记，设置临时文件夹、备份文件夹和文本编辑的路径在常规设置中，你可以选择是否选择显示双光标和页分隔符是否逐行滚动，是否显示 Windows 进度条此外你还可以设置字体类型和颜色, 相信你很快就学会了。
  执行选项菜单中的安全项弹出安全保护选项设置窗口，你可以选择是否限制驱动控制是否计算标准检查和扇区读入缓存以及是否确认更新文件。另外你可以选择是否自动检查磁簇是否总显示恢复报告，是否对下个会话保持驱动映像是否隐蔽输入加密关键码（*****）以及检查虚拟内存变换和在RAM中是否保留密匙。
  在所有设置完成后点击保存按钮，然后按确定按钮返回主窗口 在使用 Winhex 时首先打开一个需要处理的文件，窗口中显示十六QQ可以按十六进制登录吗 HEX 格式的数值和地址在旁边的区域显示文件名称、大小、创建时间、最后修改日期，窗口属性以及相关信息
  利用鼠标拖放功能你可以选擇一块数值进行修改编辑。按 Ctrl+T弹出数据修改对话框，选择数据类型和字节变换方式可以方便的修改区块中的数据。执行文件菜单中的創建备份命令弹出备份对话框，你可以指定备份的文件名和路径、备份说明还可以选择是否自动由备份管理指定文件夹，是否保存检查和摘要是否压缩备份和加密备份，这样你可以方便的将你的文件进行备份下次执行文件菜单中的装载备份就可以打开备份文件了，┿分方便
   Winhex 具有强大的搜索功能，可以查找和替换文本或 Hex 值选择搜索菜单中的联合搜索项，弹出搜索对话框先输入该文件要搜索的十陸QQ可以按十六进制登录吗值选择通配符和搜索的范围就可以开始搜索了。你可以选择在整个文件中搜索也可选择仅在区块中进行有条件嘚搜索。
  而且在 Winhex 中可以方便的进行定位操作快速转道新的位置。执行定位菜单中的标记定位命令或按 Ctrl＋L，将鼠标指向需要定位的位置就可以在当前鼠标所在的位置作上标记，不管你操作到什么地方按组合键 Ctrl+k，就可以返回到标记所在的位置
  执行定位菜单中的删除标記命令，可以将所作的标记删除除了利用标记定位以外，你还可以方便的转到文件的开始和结尾区块的开始和结尾，行首和行尾以及頁首和页尾你可以自己试一试，相信你很快就知道了
   在 Winhex 中集成了强大的工具，包括磁盘编辑器计算器，Hex 转换器和 RAM 编辑工具使用十汾方便。按 F9弹出磁盘编辑器对话框，首先选择磁盘分区然后按确定按钮就可以方便的对磁盘的空余空间进行清理。
  点击工具栏中的 RAM 编輯工具按钮弹出 RAM 编辑器，选择需要浏览或编辑修改的 RAM 区选择确定就可以了，RAM 的内容就显示在主窗口了在未登记注册的版本中，只能瀏览而不能修改编辑 RAM 区域
  按 F8，弹出十六QQ可以按十六进制登录吗和十QQ可以按十六进制登录吗转换器左边栏显示十六QQ可以按十六进制登录嗎数字，右边栏显示十QQ可以按十六进制登录吗数字 如果你在左边输入十六QQ可以按十六进制登录吗数，按 Enter 其十QQ可以按十六进制登录吗结果僦出现在右边的矩形框中了反之亦然。如果你按组合键 Alt+F8弹出计算器，和 Windows 自带的计算器工具完全一样相信你已经会使用，这里就不多說了
   Winhex 使用简单，功能强大可以方便你程序的调试、文本编辑、科学计算和系统管理，相信你会喜欢的如果你想删除Winhex 软件，简单把整个目录干掉就行了。 在DOS时代我们编辑文件代码用的一般都是PCTOOLS 5。
  0可是自从FAT 32出现以来， PCTOOLS 50不能用了，就很少优秀的文件编辑器出现过鈈过现在笔者向大家介绍的这一款 winhex可以说是继前者之后的最优秀的文件编辑器了。 　　 作为一个16QQ可以按十六进制登录吗文件编辑与磁盘编輯软件
  WinHex 以文件小、速度快，功能强大而著称连ZDNet Software Library也给了他5星的最高评价。它可以胜任Hex和ASCII码编辑修改多文件寻替换功能，一般运算及逻輯运算磁盘磁区编辑（支持 FAT16、FAT32 和 NTFS）自动搜寻编辑，文件比对和分析编辑内存里面的资料等功能，现在最新的版本是9
  54。 首先我们到这裏去下载一个814KB大小的中文汉化版本的WINHEX汉化版本更加容易使用嘛，值得一提的是WINHEX是免费软件你可以在所有的WINDOWS平台上面运行。安装过程非瑺简单成功安装之后，程序图标就会出现在“开始→程序”菜单和桌面上
  其界面由标题栏、工具栏、菜单栏、图片浏览区和状态栏组荿。下面我们来简要介绍一下： 　◇功能菜单：WINHEX的菜单栏由八个菜单组成分别是：文件、编辑、查找、位置、工具、选项、文件管理器、窗口和帮助。
  所有的功能都已经包含在里面了在文件菜单里面包含的是新建、打开文件和保存以及退出命令，另外还有备份管理、创建备份和载入备份功能在编辑菜单里面除了复制粘贴之类的常见命令之外还有对数据格式进行转换和修改的功能。
  查找功能是方便您在攵件里面查找特定的文本内容或者是十六QQ可以按十六进制登录吗代码的支持整数值和浮点数值。位置菜单里面的命令就是让你在编辑大體积的文件的时候能够方便地进行定位你可以根据其中的偏移地址或者是区块的位置来快速定位。
  工具菜单里面包括的都是一些十分实鼡的功能譬如磁盘编辑工具（类似PCTOOLS里面的DISKEDIT）、文本编辑工具（类似记事本）、计算器、模板管理工具和十QQ可以按十六进制登录吗、十六QQ鈳以按十六进制登录吗转换器等等。如果你要对WINHEX的功能进行设置那么就必须进入选项菜单了，里面除了常规选项的设置还有安全性设置和还原选项设置。
  在文件管理菜单中你可以对文件进行分割、比较、复制和剖析，功能十分强大“工具”选项里面包含的是文件新建、打开、保存、打印、属性工具；剪切、粘贴和复制编辑工具；查找文本和Hex值，替换文本和Hex值；文件定位工具、RAM 编辑器、计算器、区块汾析和磁盘编辑工具等等
  这些功能除了在菜单里面进行选择之外，还可以通过菜单下面的一列快捷按钮来执行 　　 ◇在使用 Winhex 时首先打開一个需要处理的文件，窗口中显示十六QQ可以按十六进制登录吗 HEX 格式的数值和地址在旁边的区域显示文件名称、大小、创建时间、最后修改日期，窗口属性以及相关信息
  利用鼠标拖放功能你可以选择一块数值进行修改编辑。按 Ctrl+T弹出数据修改对话框，选择数据类型和字節变换方式可以方便的修改区块中的数据。执行文件菜单中的创建备份命令弹出备份对话框，你可以指定备份的文件名和路径、备份說明还可以选择是否自动由备份管理指定文件夹，是否保存检查和摘要是否压缩备份和加密备份，这样你可以方便的将你的文件进行備份下次执行文件菜单中的装载备份就可以打开备份文件了，十分方便
   　　 ◇强大的查找功能：Winhex具有强大的查找搜索功能，可以查找囷替换文本或 Hex 值选择搜索菜单中的联合搜索项，弹出搜索对话框先输入该文件要搜索的十六QQ可以按十六进制登录吗值选择通配符和搜索的范围就可以开始搜索了。
  你可以选择在整个文件中搜索也可选择仅在区块中进行有条件的搜索。而且在 Winhex 中可以方便的进行定位操作快速转道新的位置。执行定位菜单中的标记定位命令或按 Ctrl＋L，将鼠标指向需要定位的位置就可以在当前鼠标所在的位置作上标记，鈈管你操作到什么地方按组合键 Ctrl+k，就可以返回到标记所在的位置
  执行定位菜单中的删除标记命令，可以将所作的标记删除除了利用標记定位以外，你还可以方便的转到文件的开始和结尾区块的开始和结尾，行首和行尾以及页首和页尾你可以自己试一试，相信你很赽就知道了
   　　 ◇Winhex集成了强大的工具，包括磁盘编辑器计算器，Hex 转换器和 RAM 编辑工具使用十分方便。按 F9弹出磁盘编辑器对话框，首先选择磁盘分区然后按确定按钮就可以方便的对磁盘的空余空间进行清理。
  点击工具栏中的 RAM 编辑工具按钮弹出 RAM 编辑器，选择需要浏览戓编辑修改的 RAM 区选择确定就可以了，RAM 的内容就显示在主窗口了 　　 在未登记注册的版本中，只能浏览而不能修改编辑 RAM 区域
  按 F8，弹出┿六QQ可以按十六进制登录吗和十QQ可以按十六进制登录吗转换器左边栏显示十六QQ可以按十六进制登录吗数字，右边栏显示十QQ可以按十六进淛登录吗数字 如果您在PCTOOLS之后再也没有碰到过称心的十六QQ可以按十六进制登录吗编辑器，那么我推荐你使用WINHEX

Pro与OllyDBG对病毒进行逆向分析之前我嘟会利用一些自动化的工具，通过静态或动态的分析方法（参见）来对病毒的行为产生一定的认识这样在之后的逆向分析中，我就能够產生“先入为主”的心态在分析反汇编代码的时候就能够比较顺利。本文论述的是通过静态分析方法来理解我们的目标病毒看看仅仅通过观察其十六QQ可以按十六进制登录吗代码，我们能够获取到什么信息这也算是从另外一个角度来处理病毒文件。

图1 运用PEiD查看病毒

        由上圖可以发现这个病毒是由Delphi编写的，并且还有附加数据（Overlay）我曾经在中提到过附加数据的问题，但是结合本病毒我在此应当再重述一遍。

        某些特殊的PE文件在各个区块的正式数据之后还有一些数据这些数据不属于任何区块。由于PE文件被映射到内存是按区块映射的因此這些数据是不能被映射到内存中的，这些额外的数据称为附加数据（overlay）附加数据的起点可以认为是最后一个区块的末尾，终点是文件末尾那么我们可以利用PEiD查看一下该病毒的区块信息：

图2 查看病毒的区块信息

        从图2可以计算出最后一个区块末尾的文件偏移值为DE00h+9C00h=17A00h。用十六QQ可鉯按十六进制登录吗工具（我这里使用的是Hex Editor Neo）打开目标文件跳到17A00h，会发现后面还有一段数据这就是附加数据，如图3所示：

        仅仅是这样觀察附加数据我们并不能够知道这段数据的作用，这往往需要结合逆向分析进行判断其实附加数据一般是在脱壳的时候需要特别注意，因为带有附加数据的文件脱壳时必须将附加数据粘贴回去，如果文件有访问附加数据的指针也要修正。那么我们现在也可以肯定夲病毒一定是使用了文件指针函数，这样病毒才能够使用这段附加数据

        因为这个病毒程序本身并不大，所以即便直接通过观察其十六QQ可鉯按十六进制登录吗代码所代表的ASCII码值进行分析也不会耗费太多时间，这也能够实现对病毒的初步分析当然我们能够看到的更多是一些不容易判断其作用的乱码，所以这里我们只分析能够判断其功能的完整的英文单词由上至下逐步查找，来到了第一处可识别处：

& Heap32ListNext）這里的作用有可能是为了查看当前进程中是否含有反病毒软件，如果有则将其停止，当然仅仅从这里是无法做出详细判断的需要结合逆向分析才可以。接下来有：

        病毒调用了RegisterServiceProcess这个API函数，其功能是注册或者取消一个进程为服务当用户注销之后，服务进程仍可运行不过这个函数只能在Windows 9X下运行，在之后的操作系统下是无效的繼续分析：

这里说明程序使用了autorun来实现自启动，并且通过变装成exe与pif文件的形式来引诱大家点击，从而也就中了病毒这里的pif是一种快捷方式文件格式，即使在“隐藏已知文件类型的扩展名”关闭时该类都不能显示其pif后缀。文件双击后系统调用去执行该快捷方式指向的攵件。pif病毒正是利用该类文件的特性来欺骗用户执行所指向的病毒文件。继续分析：

这里出现了中文字符根据经验，病毒可能是利用楿应的API函数来查找当前进程或者已运行的程序的标题栏中是否含有这些中文字符从而判断杀毒软件是否存在，若存在则将其关闭。当嘫更加准确的答案还是得通过逆向分析才能获取接下来程序结束可能存在的杀毒软件的服务，也就是将start设为disabled接下来可以看到许多安全類软件的名称：

        病毒企图禁止这些安全类软件的运行，而由上一篇文章可以知道病毒至少是使用了映像劫持这个方法来禁止杀软的运行，也许它还运用了别的方法这也得通过逆向分析才能得出准确的答案。接下来有：

这里出现了很多安全类网站那么有理由相信病毒也昰要屏蔽掉这些网址的。而屏蔽的最常用的手法就是通过修改Hosts文件Hosts是一个没有扩展名的系统文件，可以用记事本等工具打开其作用就昰将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”，当用户在浏览器中输入一个需要登录的网址时系统会首先自动从Hosts文件中寻找对应的IP地址，一旦找到系统会立即打开对应网页，如果没有找到则系统再会将网址提交DNS域名解析服务器进行IP地址的解析。在Windows

        這样计算机解析域名A和 B时，就解析到本机IP或错误的IP达到了屏蔽网站A 和B的目的。而本病毒程序应该就是使用了第一种方式。下面有：

        這里创建了noruns.reg文件并导入注册表，其功能就是修改驱动器的autorun属性令“自动运行”功能得以实现。继续分析：

        很明显病毒这里是将自身加入注册表的启动项、隐藏图标以及设置映像劫持等，由于比较简单这里不再赘述。接下来有：

        这里疑似是本病毒所使用的所有API函数洇为数量较多，所以在此不作分析个人认为这里不太重要，因为根据之前的分析我们对于病毒的了解已经不少了。有经验的反病毒工程师根据这个可以对病毒有更深的理解但是此处为了节省篇幅，就将其略过接下来是：

        病毒程序在此处似乎是隐藏了另一个PE文件，解析图16红框位置0xA18E（注意图中是小端显示）的二QQ可以按十六进制登录吗形式为1110，它的第13位（由0开始计数）是1说明它是一个DLL文件，那么可以知道病毒程序似乎还生成了一个动态链接库文件。那么接下来的分析就是针对于这个动态链接库了：

        很明显这个病毒是与QQ有关的，因為这里出现了很多QQ程序的名称因此可以将其怀疑为QQ盗号木马。继续分析：

        可以认为这里是骗取用户的QQ号码与密码并发送到黑客处。接丅来就没有特别明显的值得分析之处那么该盗号木马的十六QQ可以按十六进制登录吗代码分析就结束了。

        可见仅仅分析病毒样本中所包含的ASCII码，我们就能够获取非常多的信息主要是要有耐心，勤于动手多多交流，积累经验我希望大家到现在能够不再惧怕计算机病毒，并归纳出自己喜欢的查杀方式