Suche
|
Suchen Sie nach Binärdaten in Dateien, Ordnern und Partitionen in einer Datenquelle. Mit dem Hex Viewer können Datensegmente gefunden werden nach
|
 |
Verfahren
Alle Dateien in einem Ordner durchsuchen
Um Ihre gewünschte Datei schnell zu finden, können Sie alle Dateien in einem Ordner durchsuchen. Sie können auch den Stammordner („root“) in der Dateistrukturansicht auswählen und eine Suche durchführen.
So durchsuchen Sie alle Dateien in einem Ordner
- Klicken Sie auf die Schaltfläche Baumstruktur, um die Dateistrukturansicht zu öffnen.
- Wählen Sie in der Dateistrukturansicht einen Ordner aus. Sie können auch einen Stammordner auswählen.
- Klicken Sie im Menüband auf die Schaltfläche Suchen.
- Wählen Sie das zu suchende Element aus und machen Sie eine Eingabe im Textfeld. Sie können die Option Unterordner einbeziehen auswählen.
- Klicken Sie auf Alles suchen.
Um zurück zu Ihrer Suchabfrage zu gelangen, klicken Sie in der Kopfzeile auf die Schaltfläche für Ihre gespeicherte Suche.
| Unterstützte Textformate |
|---|
| ANSI |
| ANSI, Groß-/Kleinschreibung nicht berücksichtigen |
| ANSI und Unicode |
| ANSI und Unicode |
| ANSI und Unicode, Groß-/Kleinschreibung nicht berücksichtigen |
| UTF7 |
| UTF8 |
| GSM, 7-Bit gepackt |
| GSM, 7-Bit gepackt, Groß-/Kleinschreibung nicht berücksichtigen |
| GSM, 8-Bit unkomprimiert |
| MAC |
| OEM Lateinisch 1 |
| IRA/IA5, 7-Bit |
| US-ASCII, 7-Bit |
| 8859-1, Westeuropäisch/Lateinisch 1 |
| 8859-2, Zentral-/Osteuropäisch/Lateinisch 2 |
| 8859-3, Südeuropäisch/Lateinisch 3 |
| 8859-4, Nordeuropäisch/Baltisch |
| 8859-5, Kyrillisch |
| 8859-6, Arabisch |
| 8859-7, Griechisch |
| 8859-8, Hebräisch |
| 8859-9, Türkisch/Lateinisch 5 |
| 8859-15, Lateinisch 9 |
| Shift JIS |
| Unicode Big Endian (Motorola) |
| Unicode Little Endian (PC/Intel) |
Das Fenster „Suchen“ öffnen
- Wählen Sie im Dateibrowser die Datei aus, die Sie analysieren möchten.
- Klicken Sie im Menüband auf die Lupe
or select Ctrl+F.- To browse through and to highlight found data segments in the Hex and ASCII columns, in the Find window, click the previous button
and the next button 
. - Um eine neue Registerkarte zu öffnen, die eine Liste mit allen gefundenen Datensegmenten enthält, klicken Sie im Fenster „Suchen“ auf Alles suchen.
- Um ausschließlich in einem ausgewählten Datensegment in den Hex- und ASCII-Spalten zu suchen, wählen Sie eine Startposition in der Hex-Daten-Spalte aus. Um die Startposition zurückzusetzen, klicken Sie auf Zurücksetzen.
- To browse through and to highlight found data segments in the Hex and ASCII columns, in the Find window, click the previous button
Informationen zum Setzen von Lesezeichen für bestimmte Datensegmente finden Sie unter Lesezeichen.
Informationen zum Definieren von Datensegmenten als neue Artefakt-Eigenschaften finden Sie unter Neue Artefakte und Artefakteigenschaften
Ein Segment finden, das eine spezifische Zeichenfolge enthält
- Wählen Sie im Fenster "Suchen" in der Liste Suchen nach die Option Text.
- Geben Sie die zu suchende Zeichenfolge in das Textfeld ein.
- Wählen Sie in der Liste Format (Format) das gewünschte Zeichenformat aus und klicken Sie anschließend auf eine beliebige Schaltfläche, die Suchergebnisse zeigt.
Ein Segment finden, das spezifische Hexadezimal-Daten enthält
- Wählen Sie im Fenster "Suchen" in der Liste Suchen nach die Option Hex.
- Geben Sie die zu suchenden Hexadezimal-Daten in das Zahlenfeld ein, und klicken Sie anschließend auf eine beliebige Schaltfläche, die Suchergebnisse zeigt.
Hinweis: Geben Sie keine Leerzeichen oder das Präfix 0x im Zahlenfeld ein.
| Unterstützte Zeichenfolgenformate |
|---|
| ANSI |
| GSM, 7-Bit |
| Umgekehrt, 7-Bit |
Ein Segment finden, das eine Zeichenfolge eines angegebenen Formats enthält
- Wählen Sie im Fenster "Suchen" in der Liste Suchen nach die Option Nach Zeichenfolgen suchen.
- Wählen Sie in der Liste Format (Format) das gewünschte Zeichenformat aus und klicken Sie anschließend auf eine beliebige Schaltfläche, die Suchergebnisse zeigt.
Segmente finden, die eine Vielzahl bekannter Dateiheader-Signaturen enthalten
Finden Sie Segmente, die verschiedene bekannte Dateiheader-Signaturen enthalten, und rekonstruieren Sie automatisch Bilddateien und exportieren diese in einen Ordner auf Ihrem Computer.
- Wählen Sie im Fenster "Suchen" in der Liste Suchen nach die Option Dateisignatur.
- Exportieren Sie optional die gefundenen JPG-, GIF-, PNG-, WEBP-, WAV- oder AVI-Dateien. Aktivieren Sie das Kontrollkästchen Export to folder (Exportieren in Ordner) und klicken Sie dann auf Browse (Durchsuchen). Navigieren Sie im Dialogfeld Browse for folder (Nach Ordner suchen) zum gewünschten Ordner und klicken Sie anschließend auf OK (OK).
- Klicken Sie auf eine beliebige Schaltfläche, die Suchergebnisse zeigt.
Hinweis: Der Endpunkt der rekonstruierten Datei basiert auf Informationen im Dateiheader bezüglich Pixelgröße und Bit-Tiefe. Dateifragmentierung oder zusätzliche Flash-Speicher-Bereiche werden bei der Berechnung des rekonstruierten Dateiendpunkts nicht berücksichtigt.
Tipp: Bei dekodierten Dateisystemen auf dem Flash-Speicher ergibt die Suche nach gelöschten Dateien im Dateiuntersystem der Übersetzungsschicht häufig gute Ergebnisse, da die gleichmäßige Abnutzung des Flash und zusätzliche Speicherbereiche keine Auswirkung auf die Dateien haben.
Reverse-Nibble-Segmente finden
- Wählen Sie im Fenster "Suchen" in der Liste Suchen nach die Option Reverse Nibbling.
- Geben Sie das zu suchende umgekehrte Hexadezimal-Nibble in das Zahlenfeld ein, und klicken Sie anschließend auf eine beliebige Schaltfläche, mit der die Suchergebnisse angezeigt werden.
Tipp: Wenn Sie zum Beispiel nach "36" suchen, finden Sie Hexadezimal-Segmente, die "3X X6" enthalten.
Tipp: Die Reverse-Nibble-Suche ist insbesondere für Telefon- und IMSI-Nummern nützlich.
Hinweis: Geben Sie keine Leerzeichen oder das Präfix 0x im Zahlenfeld ein.
| Meta-Zeichen | Funktion |
|---|---|
| . | Stimmt mit jedem Zeichen überein |
| * | Stimmt mit dem vorhergehenden Zeichen nullmal oder öfter überein. |
| ? | Stimmt mit dem vorhergehenden Zeichen null- oder einmal überein. |
| + | Stimmt mit dem vorhergehenden Zeichen einmal oder öfter überein. |
| [abc] | Stimmt mit a oder b oder c überein |
| [^abc] | Stimmt mit jedem Zeichen außer a oder b oder c überein |
| [a-z] | Stimmt mit jedem Zeichen zwischen a und z überein |
| x|y | Stimmt mit x oder y überein |
| \xYY | Stimmt mit dem Zeichen überein, das YY im Hexadezimal-ASCII-Format ist |
Mithilfe regulärer Ausdrücke ein Segment suchen, das eine bestimmte Zeichenfolge enthält
- Wählen Sie im Fenster "Suchen" in der Liste Suchen nach die Option Regex.
- Geben Sie die zu suchende Zeichenfolge in Regex-Syntax in das Textfeld ein.
- Wenn Sie einen Greedy-Suchalgorithmus verwenden möchten, aktivieren Sie das Kontrollkästchen Greedy-Matching verwenden.
- Sie können auch eine Startposition in der Hex-Daten-Spalte auswählen. Um die Startposition zurückzusetzen, klicken Sie auf Zurücksetzen.
- Klicken Sie auf eine beliebige Schaltfläche, die Suchergebnisse zeigt.
- Um die Regex-Suche zu speichern, klicken Sie auf die Schaltfläche Speichern oder Speichern unter.
Weitere Informationen über die Syntax für reguläre Ausdrücke finden Sie auf www.boost.org.
Weitere Informationen über Greedy-Suchalgorithmen finden Sie unter dem Link de.wikipedia.org/wiki/Greedy-Algorithmus.
Sie können eine Liste mit Wörtern oder Zeichen erstellen, die von speziellem Interesse sind, und diese Liste dann zur Suche von Segmenten verwenden, die Elemente der Liste enthalten. Trennen Sie die einzelnen Elemente durch einen Zeilenumbruch und speichern Sie die Liste. Diese Liste kann dann in anderen Untersuchungen wiederverwendet werden.
| Unterstützte Zeichenfolgenformate |
|---|
| ANSI |
| ANSI, Groß-/Kleinschreibung nicht berücksichtigen |
| GSM, 7-Bit |
| GSM, 7-Bit, Groß-/Kleinschreibung nicht berücksichtigen |
| Umgekehrt, 7-Bit |
| Hexadezimal |
| Umgekehrt, 7-Bit |
| Unicode, Big Endian |
| Unicode, Big Endian, Groß-/Kleinschreibung nicht berücksichtigen |
| Unicode, Little Endian |
| Unicode, Little Endian, Groß-/Kleinschreibung nicht berücksichtigen |
Zeichenfolgen oder Hexadezimal-Daten aus einer Textdatei auf Ihrem Computer finden
- Wählen Sie im Fenster "Suchen" in der Liste Suchen nach die Option Wörterbuch.
- Wählen Sie in der Liste Format das zu verwendende Datenformat aus.
- Aktivieren Sie das Optionsfeld Datei verwenden und klicken Sie dann auf Durchsuchen.
- Suchen Sie im Dialogfeld Öffnen nach der gewünschten Datei und klicken Sie anschließend auf Öffnen.
- Klicken Sie auf eine beliebige Schaltfläche, die Suchergebnisse zeigt.
Nach mehr als einer Zeichenfolge oder Hexadezimal-Zahl suchen
- Wählen Sie im Fenster "Suchen" in der Liste Suchen nach die Option Wörterbuch.
- Wählen Sie in der Liste Format das zu verwendende Datenformat aus.
- Wählen Sie das Optionsfeld Textfeld verwenden aus.
- Geben Sie im Textfeld, getrennt durch Zeilenumbrüche, die zu suchenden Zeichenfolgen oder Hexadezimal-Zahlen ein.
- Klicken Sie auf eine beliebige Schaltfläche, die Suchergebnisse zeigt.
Ein Segment finden, das spezifische Zeitstempel-Daten enthält
- Wählen Sie im Fenster "Suchen" in der Liste Suchen nach die Option Zeitstempel.
- Aktivieren Sie die Kontrollkästchen für die Zeiteinheiten, die im angegebenen Zeitstempel enthalten sein sollen.
- Geben Sie in den Zahlenfeldern die Zeitwerte ein, die im angegebenen Zeitstempel enthalten sein sollen.
- Klicken Sie auf eine beliebige Schaltfläche, die Suchergebnisse zeigt.
Hinweis: Zeitstempel haben das 24-Stunden-Format.
Hinweis: Wegen möglicher Zeitzonenprobleme wird empfohlen, bei der Suche nach Zeitstempeldaten keine Stunde anzugeben.