Recherche
|
Recherche de données binaires dans les fichiers, dossiers et partitions d’une source de données Hex Viewer est capable de localiser des segments de données à partir des types d’éléments suivants :
|
 |
Procédures
Rechercher tous les fichiers d’un dossier
Pour retrouver rapidement le fichier qui vous intéresse, recherchez tous les fichiers d’un dossier. Vous pouvez également sélectionner le dossier racine dans la vue sous forme d’arborescence de fichiers et effectuer une recherche.
Pour rechercher tous les fichiers d’un dossier
- Cliquez sur le bouton Arborescence pour ouvrir l’arborescence de fichiers.
- Sélectionnez un dossier dans la vue sous forme d’arborescence de fichiers. Vous pouvez également sélectionner un dossier racine.
- Dans la barre d’outils, cliquez sur le bouton Rechercher.
- Sélectionnez ce que vous recherchez et saisissez dans la zone de texte. Vous pouvez choisir d’Inclure tous les sous-dossiers.
- Cliquez sur Tout rechercher.
Pour revenir à votre requête de recherche, dans l’en-tête, cliquez sur le bouton correspondant à votre recherche enregistrée.
| Formats texte pris en charge |
|---|
| ANSI |
| ANSI, insensible à la casse |
| ANSI et Unicode |
| ANSI et Unicode |
| ANSI et Unicode, insensible à la casse |
| UTF7 |
| UTF8 |
| GSM, encodage sur 7 bits |
| GSM, encodage sur 7 bits, insensible à la casse |
| GSM, encodage sur 8 bits |
| MAC |
| OEM Latin-1 |
| Alphabet international de référence IA5, 7 bits |
| ASCII, 7 bits |
| 8859-1, Europe de l’Ouest/Latin-1 |
| 8859-2, Europe centrale/de l’Est/Latin-2 |
| 8859-3, Europe du Sud/Latin-3 |
| 8859-4, Europe du Nord/balte |
| 8859-5, cyrillique |
| 8859-6, arabe |
| 8859-7, grec |
| 8859-8, hébreu |
| 8859-9, turc / Latin-5 |
| 8859-15, Latin-9 |
| Shift-JIS |
| Unicode Big Endian (Motorola) |
| Unicode Little Endian (PC/Intel) |
Ouvrir la fenêtre de recherche
- Dans le navigateur de fichiers, sélectionnez celui que vous souhaitez analyser.
- Dans la barre d’outils, cliquez sur l’icône
ou sélectionnez Ctrl+F.- Pour parcourir et mettre en évidence les segments de données trouvés dans les colonnes Hex et ASCII, dans la fenêtre Rechercher, veuillez cliquer sur le bouton Précédent
et le bouton Suivant 
. - Pour afficher une liste de tous les segments trouvés dans un nouvel onglet, cliquez sur Tout rechercher.
- Pour parcourir uniquement un segment de données sélectionné dans les colonnes Hexadécimales et ASCII, choisissez une position de départ dans la colonne de données hexadécimales. Pour réinitialiser cette position, cliquez sur Réinitialiser.
- Pour parcourir et mettre en évidence les segments de données trouvés dans les colonnes Hex et ASCII, dans la fenêtre Rechercher, veuillez cliquer sur le bouton Précédent
Pour plus d'informations sur la manière de créer des signets pour des segments de données spécifiques, veuillez consulter Signets.
Pour plus d'informations sur la manière de définir des segments de données en tant que nouvelles propriétés d'artefact, veuillez consulter Nouveaux artefacts et propriétés
Localiser un segment contenant une chaîne de caractères spécifique
- Dans la liste Rechercher de la fenêtre du même nom, sélectionnez Texte.
- Dans la zone de texte, saisissez la chaîne de caractères que vous souhaitez localiser.
- Dans la liste Format, sélectionnez l’option adéquate, puis cliquez sur l’un des boutons permettant d’afficher les résultats de recherche.
Localiser un segment contenant des valeurs hexadécimales spécifiques
- Dans la liste Rechercher de la fenêtre du même nom, sélectionnez Valeur hexadécimale.
- Dans la zone dédiée, saisissez les valeurs hexadécimales à localiser, puis cliquez sur l’un des boutons affichant les résultats de recherche.
Remarque : Veuillez ne pas saisir d'espaces ni le préfixe 0x dans la zone numérique.
| Formats de chaînes de caractères pris en charge |
|---|
| ANSI |
| GSM, 7 bits |
| 7 bits inversés |
Localiser un segment contenant une chaîne de caractères d’un format spécifique
- Dans la liste Rechercher de la fenêtre du même nom, sélectionnez Localiser des chaînes.
- Dans la liste Format, sélectionnez l’option adéquate, puis cliquez sur l’un des boutons permettant d’afficher les résultats de recherche.
Rechercher des segments contenant diverses signatures de fichier au format courant
Localiser des segments contenant une signature de fichier au format courant, puis reconstruire et exporter automatiquement ces fichiers image dans un dossier de votre ordinateur
- Dans la liste Rechercher de la fenêtre du même nom, sélectionnez Signature de fichier.
- Vous pouvez également exporter les fichiers JPG, GIF, PNG, WEBP, WAV ou AVI trouvés. Sélectionnez l’option Exporter dans un dossier, puis cliquez sur Parcourir. Dans la boîte de dialogue Sélectionner un dossier, recherchez le dossier applicable, puis cliquez sur OK.
- Cliquez sur l’un des boutons permettant d’afficher les résultats de recherche.
Remarque : Le point de terminaison du fichier reconstruit est défini en fonction des informations de taille de pixels et de profondeur de bits contenues dans l’en-tête. La fragmentation des fichiers et les zones auxiliaires inutilisées de la mémoire Flash ne sont pas prises en compte lors du calcul de ce point.
Astuce : Avec les systèmes de fichiers décodés enregistrés sur une mémoire Flash, la recherche de fichiers supprimés dans le sous-système de fichiers de la couche de traduction donne souvent de bons résultats. En effet, ce dernier n’est pas affecté par l’uniformisation d’usure ni par les zones auxiliaires inutilisées.
Localiser un segment nibble inversé
- Dans la liste Rechercher de la fenêtre du même nom, sélectionnez Nibble inversé.
- Dans la zone dédiée, saisissez la valeur du nibble à localiser, puis cliquez sur l’un des boutons permettant d’afficher les résultats de recherche.
Astuce : La recherche de la valeur « 36 », par exemple, renvoie des segments hexadécimaux contenant « 3X X6 ».
Astuce : La recherche de nibble inversé est particulièrement utile pour les numéros de téléphone et IMEI.
Remarque : Veuillez ne pas saisir d'espaces ni le préfixe 0x dans la zone numérique.
| Métacaractère | Fonction |
|---|---|
| . | Remplace n’importe quel caractère |
| * | Indique que le caractère précédent peut apparaître 0, 1 ou plusieurs fois |
| ? | Indique que le caractère précédent peut apparaître 0 ou 1 fois |
| + | Indique que le caractère précédent peut apparaître 1 ou plusieurs fois |
| [abc] | Renvoie a, b ou c |
| [^abc] | Renvoie des caractères autres que a, b ou c |
| [a-z] | Renvoie n’importe quel caractère situé entre a et z |
| x|y | Renvoie x ou y |
| \xYY | Renvoie le caractère correspondant à YY au format hexadécimal ASCII |
Localiser un segment contenant une chaîne spécifique à l’aide d’expressions régulières
- Dans la liste Rechercher de la fenêtre du même nom, sélectionnez Regex.
- Dans la zone de texte, saisissez la chaîne de caractères que vous souhaitez localiser, en utilisant la syntaxe appropriée.
- Si vous souhaitez utiliser un algorithme de recherche glouton, cochez la case utiliser la correspondance gloutonne.
- Vous pouvez également sélectionner une position de départ dans la colonne de données hexadécimales. Pour réinitialiser cette position, cliquez sur Réinitialiser.
- Cliquez sur l’un des boutons permettant d’afficher les résultats de recherche.
- Pour enregistrer la recherche regex, cliquez sur Enregistrer ou Enregistrer sous.
Afin d’obtenir plus d’informations sur la syntaxe des expressions régulières, rendez-vous à l’adresse www.boost.org.
Afin d’obtenir plus d’informations sur les algorithmes gloutons, rendez-vous à l’adresse https://fr.wikipedia.org/wiki/Algorithme_glouton.
Vous pouvez créer une liste de mots ou de caractères spécifiques, puis effectuer une recherche permettant de localiser n’importe lequel de ces éléments. Séparez chaque élément par un saut de ligne et enregistrez la liste. Cette liste pourra ensuite être réutilisée dans d’autres enquêtes.
| Formats de chaînes de caractères pris en charge |
|---|
| ANSI |
| ANSI, insensible à la casse |
| GSM, 7 bits |
| GSM, 7 bits, insensible à la casse |
| 7 bits inversés |
| Valeur hexadécimale |
| 7 bits inversés |
| Unicode, Big Endian |
| Unicode, Big Endian, insensible à la casse |
| Unicode, Little Endian |
| Unicode, Little Endian, insensible à la casse |
Localiser des chaînes de caractères ou des valeurs hexadécimales spécifiques dans un fichier texte sur votre ordinateur
- Dans la liste Rechercher de la fenêtre du même nom, sélectionnez Dictionnaire.
- Dans la liste Format, sélectionnez l’option adéquate.
- Sélectionnez Utiliser un fichier, puis cliquez sur Parcourir.
- Dans la boîte de dialogueOuvrir, recherchez le fichier applicable, puis cliquez sur Ouvrir.
- Cliquez sur l’un des boutons permettant d’afficher les résultats de recherche.
Rechercher plus d’une chaîne de caractères ou nombre hexadécimal
- Dans la liste Rechercher de la fenêtre du même nom, sélectionnez Dictionnaire.
- Dans la liste Format, sélectionnez l’option adéquate.
- Sélectionnez Utiliser le champ texte.
- Dans le champ, saisissez les chaînes ou nombres à rechercher, en passant à la ligne entre chaque.
- Cliquez sur l’un des boutons permettant d’afficher les résultats de recherche.
Localiser un segment contenant des données d’horodatage spécifiques
- Dans la liste Rechercher de la fenêtre du même nom, sélectionnez Horodatage.
- Sélectionnez des unités de temps.
- Dans les zones dédiées, saisissez des valeurs de date et heure.
- Cliquez sur l’un des boutons permettant d’afficher les résultats de recherche.
Remarque : Les valeurs d’horodatage sont au format 24 heures.
Remarque : En raison d’éventuels problèmes de fuseau horaire, il est recommandé de ne pas indiquer une heure spécifique lors de la recherche.