検索
|
データ ソース内のファイル、フォルダ、パーティション内のバイナリ データを検索します。 Hex Viewer では、次の方法でデータ セグメントを見つけることができます
|
 |
手順
フォルダ内のすべてのファイルを検索する
フォルダ内のすべてのファイルを検索して、目的のファイルを素早く探せます。ファイル ツリー ビューのルート フォルダを選択して、検索を実行することもできます。
フォルダ内のすべてのファイルを検索するには
- [ツリー] ボタンをクリックして、ファイル ツリー ビューを開きます。
- ファイル ツリー ビューのフォルダを選択します。ルート フォルダを選択することもできます。
- リボンの [検索] ボタンをクリックします。
- 検索項目を選択し、テキスト ボックスに入力します。[すべてのサブフォルダを含める] を選択することができます。
- [すべて検索] をクリックします。
検索クエリに戻るには、ヘッダーで保存した検索に対応するボタンをクリックします。
| 対応しているテキスト フォーマット |
|---|
| ANSI |
| ANSI、大文字小文字区別なし |
| ANSI および Unicode |
| ANSI および Unicode |
| ANSI および Unicode、大文字小文字区別なし |
| UTF7 |
| UTF8 |
| GSM、7 ビット パック |
| GSM、7 ビット パック、大文字小文字区別なし |
| GSM、8 ビット パックなし |
| MAC |
| OEM Latin 1 |
| IRA/IA5、7 ビット |
| US ASCII、7 ビット |
| 8859-1、West European/Latin 1 |
| 8859-2、Central/East European/Latin 2 |
| 8859-3、South European/Latin 3 |
| 8859-4、North European/Baltic |
| 8859-5、Cyrillic |
| 8859-6、Arabic |
| 8859-7、Greek |
| 8859-8、Hebrew |
| 8859-9、Turkish/Latin 5 |
| 8859-15、Latin 9 |
| Shift JIS |
| Unicode Big Endian (Motorola) |
| Unicode Little Endian (PC/Intel) |
検索ウィンドウを開く
- ファイル ブラウザで、分析するファイルを選択します。
- リボンの拡大鏡
または、Ctrl+F を選択してください。- 見つけられたデータセグメントを閲覧し、HexおよびASCII列でハイライト表示するには、検索ウィンドウ内の前のボタン
および次のボタン 
をクリックしてください。 - 見つかったすべてのデータ セグメントを表示した新しいタブを開くには、検索ウィンドウで [すべて検索] をクリックします。
- 16 進および ASCII 列の、選択したデータ セグメントのみを参照するには、16 進データ列の開始位置を選択します。開始位置をリセットするには、[リセット] をクリックします。
- 見つけられたデータセグメントを閲覧し、HexおよびASCII列でハイライト表示するには、検索ウィンドウ内の前のボタン
特定のデータセグメントをブックマークする方法については、以下をご参照ください。 ブックマーク.
データセグメントを新しい成果物プロパティとして定義する方法については、以下をご参照ください。 新しい成果物と成果物プロパティ
指定した文字列を含むセグメントを検索する
- 検索ウィンドウの [Search for] (検索対象) リストで、[Text] (文字列) を選択します。
- テキスト ボックスに、検索する文字列を入力します。
- [Format] (フォーマット) リストで、使用する文字フォーマットを選択し、検索結果を表示するための任意のボタンをクリックします。
指定した 16 進データを含むセグメントを検索する
- 検索ウィンドウの [Search for] (検索対象) リストで、[Hex] (16 進) を選択します。
- 数字ボックスに検索する 16 進データを入力して、次に検索結果を表示するための任意のボタンをクリックします。
メモ:数字入力欄にはスペースや0xプレフィックスを入力しないでください。
| 対応している文字列フォーマット |
|---|
| ANSI |
| GSM、7 ビット |
| Reversed 7 ビット |
指定したフォーマットの文字列を含むセグメントを検索する
- 検索ウィンドウの [Search for] (検索対象) リストで、[Find Strings] (文字列検索) を選択します。
- [Format] (フォーマット) リストで、使用する文字フォーマットを選択し、検索結果を表示するための任意のボタンをクリックします。
様々な既知のファイル ヘッダー署名を含むセグメントを検索する
既知のさまざまなファイル ヘッダー シグネチャを含むセグメントを検索し、画像ファイルを自動的に再構築してコンピュータ上のフォルダにエクスポートします。
- 検索ウィンドウの [Search for] (検索対象) リストで、[File Signature] (ファイル シグネチャ) を選択します。
- 必要に応じて、見つかった JPG、GIF、PNG、WEBP、WAV、または AVI ファイルをエクスポートします。[Export to folder] (エクスポート先フォルダ) チェック ボックスを選択して、[参照] をクリックします。[フォルダの参照] ダイアログ ボックスで、使用するフォルダを選択して、[OK] をクリックします。
- 検索結果を表示するための任意のボタンをクリックします。
メモ:再構築したファイルの終端は、ファイル ヘッダー内のピクセル サイズとビットの深さに関する情報に基づいています。再構築したファイルの終端算出時に、ファイルの断片化またはフラッシュ ストレージの補助スペア領域は考慮されません。
ヒント:フラッシュ ストレージ上のデコードされたファイル システムの場合、変換レイヤ ファイル サブシステム内で削除されたファイルを検索すると、しばしば良好な結果が得られます。これは、フラッシュ ウェア レベリングと補助スペア エリアがファイルに影響を与えないためです。
反転ニブル セグメントを検索する
- 検索ウィンドウの [Search for] (検索対象) リストで、[Reversed Nibble] (反転ニブル) を選択します。
- 数字ボックスに検索する反転 16 進ニブルを入力して、次に検索結果を表示するための任意のボタンをクリックします。
ヒント:たとえば、「36」で検索すると、「3X X6」を含む 16 進セグメントが見つかります。
ヒント:反転ニブル検索は、電話番号や IMSI 番号を探す場合に特に役立ちます。
メモ:数字入力欄にはスペースや0xプレフィックスを入力しないでください。
| メタ文字 | 機能 |
|---|---|
| . | 任意の文字に一致 |
| * | 先行文字と 0 回以上一致 |
| ? | 後続文字と 0 回以上一致 |
| + | 先行文字と 1 回以上一致 |
| [abc] | a、b、または c と一致 |
| [^abc] | a、b、または c 以外の任意の文字と一致 |
| [a-z] | a~z の範囲の任意の文字と一致 |
| x|y | x または y に一致 |
| \xYY | 16 進 ASCII 形式で YY の文字と一致 |
正規表現構文を使って指定した文字列を含むセグメントを検索する
- 検索ウィンドウの [Search for] (検索対象) リストで、[Regex] (正規表現) を選択します。
- テキスト ボックスに、正規表現の構文を使って検索する文字列を入力します。
- 貪欲法検索アルゴリズムを使用する場合、[use greedy matching] チェック ボックスを選択します。
- 16 進データ列で開始位置を選択することもできます。開始位置をリセットするには、[リセット] をクリックします。
- 検索結果を表示するための任意のボタンをクリックします。
- 正規表現検索を保存するには、[保存] または [名前を付けて保存] ボタンをクリックします。
正規表現の構文については、www.boost.org を参照してください。
貪欲法検索アルゴリズムの詳細については、en.wikipedia.org/wiki/Greedy_algorithm を参照してください。
注目する単語や文字列のリストを作成して、そのリストを使ってリスト内の任意の項目を含むセグメントを検索することもできます。各項目を改行で区切って、リストを保存します。このリストは、他の調査でも再利用できます。
| 対応している文字列フォーマット |
|---|
| ANSI |
| ANSI、大文字小文字区別なし |
| GSM、7 ビット |
| GSM、7 ビット、大文字小文字区別なし |
| Reversed 7 ビット |
| 16 進 |
| Reversed 7 ビット |
| Unicode、Big Endian |
| Unicode、Big Endian、大文字小文字区別なし |
| Unicode、Little Endian |
| Unicode、Little Endian、大文字小文字区別なし |
コンピュータ上のテキスト ファイルに指定されている文字列または 16 進データを検索する
- 検索ウィンドウの [Search for] (検索対象) リストで、[Dictionary] (辞書) を選択します。
- [Format] (フォーマット) リストから、使用する文字フォーマットを選択します。
- [Use file] (ファイルを使用) オプション ボタンを選択して、[参照] をクリックします。
- [開く] ダイアログ ボックスで、目的のファイルを選択し、[開く] をクリックします。
- 検索結果を表示するための任意のボタンをクリックします。
複数の文字列または 16 進数を検索する
- 検索ウィンドウの [Search for] (検索対象) リストで、[Dictionary] (辞書) を選択します。
- [Format] (フォーマット) リストから、使用する文字フォーマットを選択します。
- [Use text box] (テキスト ボックスを使用) オプション ボタンを選択します。
- テキスト ボックスに、改行で区切りながら検索する文字列や 16 進数を入力します。
- 検索結果を表示するための任意のボタンをクリックします。
指定したタイムスタンプ データを含むセグメントを検索する
- 検索ウィンドウの [Search for] (検索対象) リストで、[timestamp] (タイムスタンプ) を選択します。
- タイムスタンプに含める時間単位に対応するチェック ボックスを選択します。
- 数字ボックスに、タイムスタンプに含める時間値を入力します。
- 検索結果を表示するための任意のボタンをクリックします。
メモ:タイムスタンプは、24 時間形式を使用します。
メモ:タイム ゾーンに関する潜在的な問題があるため、タイム スタンプ データの検索時には、時間の指定を行わないようにすることをお勧めします。