Wyszukaj

Szukaj danych binarnych w plikach, folderach i partycjach w źródle danych.

Hex viewer umożliwia wyszukiwanie segmentów danych wg:

  • Tekstu
  • Kodu szesnastkowego
  • Ciągu
  • Sygnatury pliku
  • W trybie odwróconych półbajtów
  • Wyrażeń regularnych
  • Słownik
  • Znacznika czasowego

Procedury

Pozwala szybko znaleźć konkretny plik poprzez przeszukanie wszystkich plików w folderze. Można również wybrać folder główny w widoku drzewa plików i go przeszukać.

Przeszukiwanie wszystkich plików w folderze

  1. Kliknij przycisk Drzewo, aby otworzyć widok drzewa plików.
  2. Wybierz folder w widoku drzewa plików. Możesz również wybrać folder główny.
  3. Kliknij przycisk Znajdź na wstążce.
  4. Wybierz wyszukiwaną frazę i wprowadź ją w polu tekstowym. Możesz wybrać opcję Uwzględnij wszystkie podfoldery.
  5. Kliknij przycisk Znajdź wszystko.

Aby powrócić do wyszukiwanego zapytania, kliknij przycisk zapisanego wyszukiwania w nagłówku.

Obsługiwane formaty tekstowe
ANSI
ANSI, bez uwzględniania wielkości liter
ANSI i Unicode
ANSI i Unicode
ANSI i Unicode, bez uwzględniania wielkości liter
UTF7
UTF8
GSM, 7-bitowy, równoległy
GSM, 7-bitowy, równoległy, bez uwzględniania wielkości liter
GSM, 8-bitowy, nierównoległy
MAC
OEM Latin 1
IRA/IA5, 7-bitowy
US ASCII, 7-bitowy
8859-1, zachodnioeuropejski/łaciński 1
8859-2, środkowo-/wschodnioeuropejski/łaciński 2
8859-3, południowoeuropejski/łaciński 3
8859-4, północnoeuropejski/bałtycki
8859-5, cyrylica
8859-6, arabski
8859-7, grecki
8859-8, hebrajski
8859-9, turecki/łaciński 5
8859-15, łaciński 9
Shift JIS
Unicode Big Endian (Motorola)
Unicode Little Endian (PC/Intel)
  1. Za pomocą przeglądarki plików wybierz plik do przeanalizowania.
  2. Na wstążce kliknij przycisk szkła powiększającego lub wybierz Ctrl+F.
    • Za pomocą przycisków Wstecz i Dalej możesz przeglądać i wyróżniać segmenty danych w kolumnach Szesnastkowy i ASCII w oknie Znajdź.
    • Aby otworzyć nową kartę zawierającą listę wszystkich znalezionych segmentów danych, kliknij w oknie Znajdź przycisk Znajdź wszystko.
    • Aby przeszukać wyłącznie wybrany segment danych w kolumnach Szesnastkowy i ASCII, wybierz pozycję początkową w kolumnie danych szesnastkowych. Aby zresetować pozycję początkową, kliknij przycisk Resetuj.

Aby uzyskać informacje na temat dodawania określonych segmentów danych do zakładek, zobacz Zakładki.

Aby uzyskać informacje na temat definiowania segmentów danych jako nowych właściwości artefaktu, zobacz Nowe artefakty i ich właściwości

  1. W oknie Znajdź wybierz z listy Wyszukaj opcję Tekst.
  2. Wprowadź w polu tekstowym ciąg znaków do wyszukania.
  3. Wybierz z listy Format format znaków, którego chcesz użyć, a następnie kliknij dowolny z przycisków, które wyświetlają wyniki wyszukiwania.
  1. W oknie Znajdź wybierz z listy Wyszukaj opcję Szesnastkowy.
  2. W polu liczbowym wprowadź dane szesnastkowe do wyszukania, a następnie kliknij dowolny z przycisków, które wyświetlają wyniki wyszukiwania.

Uwaga: Nie wpisuj spacji ani prefiksu 0x w polu liczbowym.

Obsługiwane formaty ciągów znaków
ANSI
GSM, 7-bitowy
Odwrócony, 7-bitowy
  1. W oknie Znajdź wybierz z listy Wyszukaj opcję Znajdź ciągi.
  2. Wybierz z listy Format format znaków, którego chcesz użyć, a następnie kliknij dowolny z przycisków, które wyświetlają wyniki wyszukiwania.

Wyszukiwanie segmentów zawierających różne znane sygnatury nagłówków plików oraz automatyczne rekonstruowanie i eksportowanie plików obrazów do folderu na komputerze

  1. W oknie Znajdź wybierz z listy Wyszukaj opcję Sygnatura pliku.
  2. Opcjonalnie możesz też wyeksportować znalezione pliki JPG, GIF, PNG, WEBP, WAV lub AVI. Zaznacz pole wyboru Eksportuj do folderu, a następnie kliknij przycisk Przeglądaj. W oknie dialogowym Wyszukaj folder przejdź do folderu, którego chcesz użyć, a następnie kliknij przycisk OK.
  3. Kliknij dowolny z przycisków, które wyświetlają wyniki wyszukiwania.

Uwaga: Punkt końcowy zrekonstruowanego pliku wylicza się w oparciu o zawarte w nagłówku pliku informacje o rozmiarze w pikselach i głębi w bitach. Podczas obliczania punktu końcowego rekonstruowanego pliku nie jest uwzględniana fragmentacja pliku ani wolne, dodatkowe obszary pamięci flash.

Wskazówka: W przypadku odkodowanych systemów plików zapisanych w pamięci flash wyszukiwanie usuniętych plików w podsystemie plików w warstwie translacji często pozwala uzyskać dobre wyniki, ponieważ wyrównanie zużycia pamięci flash ani wolne obszary dodatkowe nie wpływają na pliki.

  1. W oknie Znajdź wybierz z listy Wyszukaj opcję Tryb odwróconych półbajtów.
  2. W polu liczbowym wprowadź kod szesnastkowy w postaci odwróconych półbajtów do wyszukania, a następnie kliknij dowolny z przycisków, które wyświetlają wyniki wyszukiwania.

Wskazówka: Przykładowo w przypadku wprowadzenia wartości „36” zostaną wyszukane segmenty szesnastkowe zawierające „3X X6”.

Wskazówka: Wyszukiwanie w trybie odwróconych półbajtów jest szczególnie korzystne w przypadku numerów telefonów i IMSI.

Uwaga: Nie wpisuj spacji ani prefiksu 0x w polu liczbowym.

Metaznak Funkcja
. Odpowiada dowolnemu znakowi
* Odpowiada znakowi poprzedzającemu co najmniej zero razy.
? Odpowiada znakowi poprzedzającemu zero razy lub jeden raz.
+ Odpowiada znakowi poprzedzającemu co najmniej jeden raz.
[abc] Odpowiada znakom a lub b lub c
[^abc] Odpowiada dowolnym znakom, z wyjątkiem a lub b lub c
[a-z] Odpowiada dowolnemu znakowi od a do z
x|y Odpowiada wartości x lub y
\xYY Odpowiada znakowi wyrażonemu jako YY w szesnastkowym formacie ASCII
  1. W oknie Znajdź wybierz z listy Wyszukaj opcję Wyrażenie regularne.
  2. Wprowadź w polu tekstowym ciąg znaków do wyszukania posiadający składnię wyrażenia regularnego.
  3. Aby użyć algorytmu zachłannego wyszukiwania, zaznacz pole wyboru Użyj zachłannego dopasowywania.
  4. Pozycję początkową można wybrać również w kolumnie danych Szesnastkowy. Aby zresetować pozycję początkową, kliknij przycisk Resetuj.
  5. Kliknij dowolny z przycisków, które wyświetlają wyniki wyszukiwania.
  6. Aby zapisać wyszukiwanie przy użyciu wyrażenia regularnego, kliknij przycisk Zapisz lub Zapisz jako.

Więcej informacji na temat składni wyrażeń regularnych można znaleźć na stronie www.boost.org.

Więcej informacji na temat algorytmów zachłannego wyszukiwania można znaleźć na stronie en.wikipedia.org/wiki/Greedy_algorithm.

Można utworzyć listę szczególnie ważnych słów lub znaków, a następnie na podstawie tej listy wyszukać segmenty zawierające dowolne ze znajdujących się na niej pozycji. Oddziel każdy element podziałem wiersza i zapisz listę. Lista ta będzie następnie dostępna do ponownego wykorzystania w innych analizach.

Obsługiwane formaty ciągów znaków
ANSI
ANSI, bez uwzględniania wielkości liter
GSM, 7-bitowy
GSM, 7-bitowy, bez uwzględniania wielkości liter
Odwrócony, 7-bitowy
Szesnastkowy
Odwrócony, 7-bitowy
Unicode, big endian
Unicode, big endian, bez uwzględniania wielkości liter
Unicode, little endian
Unicode, little endian, bez uwzględniania wielkości liter
  1. W oknie Znajdź wybierz z listy Wyszukaj opcję Słownik.
  2. Z listy Format wybierz żądany format znaków.
  3. Wybierz przycisk opcji Użyj pliku, a następnie kliknij przycisk Przeglądaj.
  4. W oknie dialogowym Otwórz przejdź do pliku, którego chcesz użyć, a następnie kliknij przycisk Otwórz.
  5. Kliknij dowolny z przycisków, które wyświetlają wyniki wyszukiwania.
  1. W oknie Znajdź wybierz z listy Wyszukaj opcję Słownik.
  2. Z listy Format wybierz żądany format znaków.
  3. Kliknij przycisk opcji Użyj pola tekstowego.
  4. W polu tekstowym wprowadź ciągi znaków lub liczby szesnastkowe do wyszukania, pamiętając, że muszą być one oddzielone znakami nowego wiersza.
  5. Kliknij dowolny z przycisków, które wyświetlają wyniki wyszukiwania.
  1. W oknie Znajdź wybierz z listy Wyszukaj opcję Znacznik czasu.
  2. Zaznacz pola wyboru przy jednostkach czasu, które chcesz uwzględnić w określonym znaczniku czasu.
  3. W polach liczbowych wprowadź wartości czasu, które chcesz uwzględnić w określonym znaczniku czasu.
  4. Kliknij dowolny z przycisków, które wyświetlają wyniki wyszukiwania.

Uwaga: Znaczniki czasu funkcjonują w formacie 24-godzinnym.

Uwaga: Z uwagi na możliwe problemy ze strefami czasowymi zaleca się nie uwzględniać konkretnej godziny przy wyszukiwaniu danych znacznika czasu.