[Tool] HxD Editor
(1) HxD란?
-
일반 텍스트 타입 파일은 텍스트 편집기를 이용하여 쉽게 확인할 수 있지만, 대부분 파일 내부에는 텍스트가 아닌 데이터로 존재
-
HxD는 이진 파일을 읽을 수 있는 무료 에디터 프로그램으로 사용법이 쉽고 간단하여 널리 사용
-
주로 사용되는 기능은 파일이나 이미지의 특정 섹터를 확인하거나 수정할 때 사용
HxD Editor 다운로드 : https://mh-nexus.de/en/hxd/
HxD - Freeware Hex Editor and Disk Editor | mh-nexus
HxD - Freeware Hex Editor and Disk Editor HxD is a carefully designed and fast hex editor which, additionally to raw disk editing and modifying of main memory (RAM), handles files of any size. The easy to use interface offers features such as searching and
mh-nexus.de
HxD 인터페이스 (메뉴바, 작업창)
-
파일(File) : 파일의 열기, 저장, 인쇄가 가능한 메뉴
-
편집(Edit) : 파일의 복사, 붙여넣기 등이 가능한 메뉴
-
찾기(Search) : 찾기, 찾아 바꾸기, 특정 오프셋으로 이동 등 설정 가능
-
보기(View) : 화면에 표시되는 데이터 표현(아스키, 16진수 등) 설정 가능
-
분석(Analysis) : 파일의 해시 값 분석 및 두 개의 파일을 비교 가능
-
기타 설정(Extras) : 물리적 장치와 이미지 분석 때 사용되는 메뉴
1. 분석 대상 열기
HxD 에디터는 파일, 물리 디스크, 이미징 된 파일을 읽을 수 있다.
먼저 파일을 분석하려면 위 화면대로 파일 > 열기 메뉴로 열 수 있지만, 포렌식 분석을 위해서는 기타 설정 메뉴를 이용한다.
-
램 : 기타 설정(Extras) > RAM 열기(Open RAM)
-
물리 디스크 : 기타 설정(Extras) > 디스크 열기(Open Disk)
-
디스크 이미지 : 기타 설정(Extras) > 디스크 이미지 열기(Open Disk Image)
처음 파일을 열면 1섹터 당 몇 바이트인지 물어보게 된다.
보통 512바이트이기 때문에 512로 선택하고 수락을 누르면 섹터 단위로 이동하기가 편리하다.
(크기는 원하는 바이트 단위로 바꿔도 된다.)
2. 섹터 이동과 수정
섹터 이동은 섹터 입력 폼에서 이동하고 싶은 섹터 숫자를 직접 입력하여 이동할 수 있고, 원하는 위치의 Hex 값으로 수정이 가능하다.
또한, 원하는 섹터를 블록 지정하여 복사한 뒤에 붙여넣기 쓰기(Paste Write)를 통해 덮어쓰기도 가능하며 붙여넣기 삽입(Paste Insert)으로 삽입도 가능하다.
3. 특정 영역 일괄 블록 지정
일괄 블록 지정은 편집 > 블록 선택이나 왼쪽 하단에 위치한 블록을 클릭하여 오프셋 시작(Start-offset)과 오프셋 종료(End-Offset)으로 지정한다.
이 기능은 파일이나 디스크 복구 등 많은 섹터 영역을 지정해야 할 때 유용하게 사용된다.
4. 특정 영역 일괄 바꾸기
일괄 바꾸기(선택 채우기)는 바꾸고자 하는 영역을 드래그 한 후 편집 > 선택 채우기(Fill selection)으로 지정된 블록 영역을 원하는 값으로 모두 바꿀 수 있다.
# Reference
'Tool' 카테고리의 다른 글
| [Tool] Volatility (0) | 2020.05.22 |
|---|---|
| [Tool] 디지털 포렌식 유용 도구 소개 (Digital Forensics Tool) (0) | 2020.05.11 |
| [Tool] FTK Imager (0) | 2020.03.01 |