Winhex как сравнить 2 файла

Обновлено: 04.07.2024

При анализе двух жестких дисков емкостью 4 ТБ, которые были в какой-то конфигурации RAID 1 и, таким образом, имеют одинаковое содержимое с точки зрения файлов/папок (они были переформатированы, но R-Studio показывает одно и то же дерево файлов для основного раздела в оба диска), я обнаружил, сравнивая их бок о бок с WinHex, что есть небольшие расхождения на уровне секторов (и в R-Studio есть несколько отличий в категории «Дополнительно найденные файлы», в которой перечислены файлы, обнаруженные с помощью метод «необработанного вырезания», основанный на известных сигнатурах файлов — я еще не извлек эти файлы, поэтому я не знаю, являются ли они действительными / значимыми). Это могут быть резервные данные из бывших разделов.

Чтобы выяснить, в чем заключаются эти несоответствия, я хотел тщательно сравнить эти диски, найти все несоответствующие области, а затем быстро их проверить. Но функция сравнения в WinHex неудобна для этой цели: нужно создать файл «отчета» для каждой операции сравнения, в котором перечислены все отдельные байты, поэтому он может стать огромным, если есть много различий, и это непрактично. быстро определять совпадающие/разные области; или если установлено ограничение, например, «Прекратить сравнение после 1000 различий», ту же утомительную операцию необходимо выполнять снова вручную каждый раз, когда достигается этот предел, поэтому это может быть чрезвычайно кропотливым, если в файлах много разных областей / диски для сравнения.

Я подумал, что смогу сделать это с помощью HexWorkshop, который имеет гораздо более удобный модуль сравнения, выполняющий полное сканирование и перечисляющий все совпадающие и разные области за одну операцию, а затем позволяющий напрямую обращаться к началу каждой перечисленной области. ; но он распознает эти два диска емкостью 4 ТБ как «1678,02 ГБ» (у меня также подключен диск емкостью 8 ТБ, который распознается как 1308,04 ГБ, и диск емкостью 3 ТБ, который распознается как «746,52 ГБ»). Это 64-битная версия, поэтому у нее не должно быть проблем с доступом к устройствам хранения емкостью более 2 ТБ, верно? И если я открою любой из этих дисков на 4 ТБ, отобразится только первый сектор (то же самое, если я открою диск на 8 ТБ или 3 ТБ — на самом деле даже для диска на 2 ТБ, который распознается с его правильной емкостью, отображается только первый сектор).
Являются ли эти известные проблемы с HexWorkshop? Есть ли обходной путь? (Единственное, что я могу придумать, это извлечь куски по 10-50 ГБ с обоих дисков в виде файлов в WinHex, а затем использовать HexWorkshop для сравнения этих файлов, но это намного больше хлопот, чем необходимо.)

Исследовать рекурсивно: переход к рекурсивному представлению для каталога, который в данный момент указан в обозревателе каталогов, или обратно к обычному представлению. Рекурсивный вид означает, что будут перечислены не только файлы, содержащиеся непосредственно в текущем каталоге, но и все файлы во всех подкаталогах этого каталога и их подкаталогах и т. д. Например, это позволяет копировать/восстанавливать выбранные файлы из разных путей в один шаг.

Создать новый снимок тома: доступно для разделов с одной из поддерживаемых файловых систем. WinHex обходит все цепочки кластеров и таким образом генерирует карту дисков. Это позволяет WinHex заполнять обозреватель каталогов и отображать для каждого сектора, к какому файлу или каталогу он относится. Рекомендуется снова вызывать эту команду после файловых операций на диске, чтобы информация, отображаемая WinHex, оставалась актуальной. См. Параметры безопасности.

Инициализировать свободное пространство: Конфиденциальная информация может храниться в неиспользуемых в настоящее время частях диска в результате обычных действий по удалению, копированию и сохранению. Свободное место на диске может быть инициализировано из соображений безопасности. Это эффективно перезаписывает все данные в неиспользуемых частях диска и делает невозможным восстановление этих данных. Доступно для разделов, открытых как буквы дисков. Доступно только в WinHex, но не в X-Ways Forensics.

Инициализировать резервное пространство: перезаписывает резервное пространство (неиспользуемые байты в соответствующих последних кластерах всех цепочек кластеров, за фактическим концом файла) с нулевыми байтами. Это можно использовать в дополнение к «Инициализировать свободное пространство» для безопасного стирания конфиденциальных данных на диске или для минимизации пространства, необходимого для резервного копирования сжатого диска (например, резервного копирования WinHex). Перед использованием этой команды закройте все работающие или резидентные программы, которые могут выполнять запись на диск. Доступно только в WinHex, но не в X-Ways Forensics.

Инициализировать записи MFT: на томах NTFS WinHex может очистить все неиспользуемые в настоящее время записи FILE $MFT (Master File Table), которые могут содержать метаданные (например, имена) и даже содержимое ранее существовавших файлов. Доступно только в WinHex, но не в X-Ways Forensics.

Инициализировать записи каталогов: на томах FAT WinHex может очистить все неиспользуемые в настоящее время записи каталогов, чтобы полностью удалить следы ранее существующих файлов или более ранние имена/местоположения существующих файлов из файловой системы. Полезно, особенно в сочетании с функцией инициализации всего свободного места.Доступно только в WinHex, но не в X-Ways Forensics.

Сканировать потерянные разделы. С помощью этой команды можно найти и правильно идентифицировать ранее существовавшие разделы жесткого диска, которые не обнаруживались автоматически при открытии физического жесткого диска (или образа физического жесткого диска). Эта команда ищет подпись основных загрузочных записей, секторов таблицы разделов, загрузочных секторов FAT и NTFS с помощью подписи 0x55 0xAA, а также суперблоков Ext2/Ext3/Ext4, опционально, только из первого сектора, следующего за последним (по местоположению) разделом. который уже был найден, и перечисляет вновь найденные разделы в браузере каталогов. Работает только с размером сектора 512 байт.

Интерпретировать как начало раздела: Когда вы найдете начальный сектор тома (например, потерянный раздел) на физическом диске, эта команда меню позволяет сделать такой раздел легко доступным через меню кнопки «Доступ». Если известная файловая система не обнаружена, начиная с отображаемого в данный момент сектора, вам будет предложено указать количество секторов, которые вы хотите включить во вновь определенный раздел.

Установить параметры диска: Используя эту команду на физическом диске, вы можете переопределить общее количество секторов или, опционально (можно оставить пустым), количество цилиндров, головок и секторов на дорожку (в настоящее время все это практически бессмысленно). Это может быть полезно для доступа к избыточным секторам в конце диска (в случае, если общее количество доступных секторов не было правильно определено) или для настройки системы координат CHS в соответствии с вашими потребностями. Кроме того, у вас есть возможность изменить обнаруженный размер сектора физического жесткого диска или образа, который используется внутри программы для различных операций навигации и вычислений. Если вам необходимо настроить размер сектора, количество секторов будет изменено соответствующим образом. Например, если вы измените обнаруженный размер сектора с 512 байт на 4 КБ (т. е. умножите его на 8), то общее количество секторов будет автоматически разделено на 8, чтобы сохранить ту же общую обнаруженную емкость диска (при условии, что емкость была обнаружена правильно).

Просмотр. Доступно только при наличии судебной лицензии. Вызывает внутреннюю программу просмотра.

Внешние программы: вызывает внешние программы просмотра файлов, такие как Quick View Plus и т. д., выбранные в меню "Параметры", и открывает текущий файл.

Вызвать X-Ways Trace: доступно, только если X-Ways Trace установлен. Это программное обеспечение может анализировать файлы истории/кеша различных интернет-браузеров.

Калькулятор: запускает калькулятор Windows "calc.exe". Настоятельно рекомендуется переключиться в научный режим.

Hex Converter: позволяет преобразовывать шестнадцатеричные числа в десятичные числа и наоборот. Просто введите номер и нажмите ENTER.

В X-Ways Forensics также есть возможность выводить идентифицированные разные или идентичные области данных в виде результатов поиска (1 запись на совпадающую область) вместо текстового файла (1 строка на совпадающий байт), для удобного просмотра и навигации справа. внутри программы в списке результатов поиска, подобно совпадениям хэшей блоков. Эта опция доступна только в том случае, если хотя бы второй источник данных является уликой. Результат можно увидеть в списке результатов поиска этого объекта улики. Полезно, например, для пользователей, которые хотят сравнить клонированные диски с небольшими изменениями, если у них разные хэши или один из них использовался немного дольше, чтобы найти различия и лучше понять, что их вызвало. Полезно также сравнивать составные диски системы аппаратного RAID уровня 0 или зеркальные тома, чтобы проверить, действительно ли они абсолютно идентичны, и если не легко найти отличающиеся области, посмотреть, насколько они велики, какие данные эти области содержать и оценить, требует ли вторая копия полной обработки, включая вырезание, поиск по ключевым словам и т. д.

Есть еще одна функция сравнения: вы можете визуально сравнивать окна редактирования и синхронизировать прокрутку в этих окнах с помощью команды "Синхронизировать и сравнить" (меню "Вид").

Анализ блока/файла/диска: сканирование данных в текущем блоке/всем файле/всем диске и подсчет вхождений каждого значения байта (0,255). Результат графически отображается пропорциональными вертикальными линиями. Количество вхождений и процентное значение отображаются для каждого значения байта при наведении указателя мыши на соответствующую вертикальную линию.

Используйте эту команду, например, для идентификации данных неизвестного типа. Аудиоданные, сжатые данные, исполняемый код и т. д. создают характерную графику. Используйте контекстное меню окна, чтобы включить или выключить учет нулевого байта, распечатать окно анализа или экспортировать анализ в текстовый файл.

При анализе небольших объемов данных (

В этой статье представлено подробное описание функции сравнения файлов FlexHEX.

Как сравнивать

Сначала откройте файл, который хотите сравнить. Мы называем этот объект основным файлом.

ПРИМЕЧАНИЕ. Хотя мы часто говорим сравнение файлов, сравнивать можно не только файлы.Вы также можете сравнить физические и логические диски, альтернативные потоки, потоки составных файлов, по сути, вы можете сравнить любой объект, который можно открыть для редактирования в шестнадцатеричном формате

Во-вторых, откройте окно сравнения с помощью команды Искать/Сравнить и выберите объект, с которым будет сравниваться первичный файл. Мы называем этот объект вторичным файлом, хотя он также может быть логическим или физическим диском.

Сравнение блоков

Вы можете сравнить только часть файла, указав начальный адрес и размер блока.

ПРИМЕЧАНИЕ. Если основной файл имеет активное выделение, FlexHEX предполагает, что вы запрашиваете сравнение блоков, и предварительно заполняет соответствующие поля.

Режим сравнения блоков довольно очевиден; единственное, что стоит упомянуть, это то, как программа интерпретирует пустые поля. Пустое поле смещения означает наименьший адрес, который обычно, но не всегда, равен нулю. Пустое поле размера означает остальную часть файла.

Результат сравнения

Существует три типа блоков, которые можно найти в результате операции сравнения:

• Зеленые идентичные (совпадающие) блоки,
• Красные замененные (отличающиеся) блоки,
• Синие вставленные (уникальные) блоки.

В основном различающиеся и уникальные блоки похожи: оба содержат данные, отсутствующие в другом файле, и оба находятся между двумя зелеными блоками. Единственная разница заключается в том, содержит ли другой файл некоторые несовпадающие данные между соответствующими зелеными блоками. Если да, то мы называем блок отличающимся, в противном случае он уникален.

< /p>

Нажмите на картинку, чтобы открыть ее в большем размере.

Снимок экрана выше включает три части экрана, относящиеся к сравнению. Это главное окно редактирования (в режиме двухфайлового просмотра), карта сравнения и панель сравнения.

Окно редактирования

В окне редактирования отображаются оба сравниваемых файла: основной файл в верхней панели и дополнительный файл в нижней панели (если вы выберете расположение рядом друг с другом, основной файл будет отображаться в левой части окна). панель).

Первичный и вторичный файлы обрабатываются немного по-разному: вторичный файл всегда доступен только для чтения. Причина такого ограничения - вторичный файл не редактируется, а просто сравнивается с ним. Он может использоваться системой или другим приложением, и попытка открыть его для чтения/записи может привести к ошибке. Это единственное ограничение — вы можете просматривать вторичный файл, определять закладки и поля данных, копировать, перетаскивать, экспортировать данные и т. д.

Сравнительная карта

Карта слева от области редактирования показывает структуру файла и соответствие между блоками в графическом виде. Это чрезвычайно полезно, особенно если сравниваемые файлы не содержат слишком больших или слишком маленьких блоков.

Если вам не нужна карта, используйте команду Показать карту сравнения в меню Вид, чтобы отключить ее.

Панель сравнения

Панель сравнения предоставляет полную информацию о структуре файла. Однако обратите внимание, что на самом деле есть две панели, потому что каждый файл имеет свой собственный макет. Если вы переключитесь между основным и дополнительным файлом, вы заметите, что черный список на панели сравнения изменится соответствующим образом.

Как и в других навигационных панелях, нажатие на поле Начало перемещает курсор в начало соответствующего блока, а нажатие на поле Размер выбирает блок. Однако есть еще одно поле: Соответствует. Отображает адрес блока другого файла, соответствующего этому блоку; щелчок по этому полю перемещает курсор в начало этого блока (переключая текущий активный файл).

Несколько советов

Переключение на стандартный вид

Чтобы переключиться на стандартное представление одного файла, не отбрасывая результат сравнения, выберите панель «Поток» в нижней левой панели навигации. Повторный выбор панели сравнения вернет окно редактирования к представлению двух файлов. Выбор любой другой панели не повлияет на окно редактирования.

Повторное сравнение

Если вы измените основной файл, результат сравнения станет недействительным. К сожалению, нет возможности обновлять результат сравнения на лету - придется повторять операцию сравнения. Команда меню Поиск/Сравнить снова повторяет предыдущее сравнение, используя те же аргументы.

Как правило, если цвет текста в заголовке активной панели файлов изменился с черного на красный, это означает, что основной файл был изменен и текущий результат сравнения больше не актуален. При повторном сравнении или отмене изменений результат снова станет актуальным.

Найдет ли он все соответствующие блоки?

Иногда это не так. Не ожидайте, что алгоритм найдет совпадение длиной 100 байт сразу после 50 мегабайт несовпадающих данных. Единственный способ убедиться, что все совпадающие блоки найдены, — это сравнить каждый байт с каждым другим байтом. FlexHEX делает это при сравнении небольших файлов, но для больших файлов этот подход может занять целую вечность. Более практичный метод — пробовать только выбранные шаблоны, повторно синхронизируя их при обнаружении совпадения. К сожалению, это означает, что небольшие совпадающие блоки иногда могут быть пропущены.

Это относится только к совпадающим блокам. Все отличающиеся блоки, какими бы маленькими они ни были, гарантированно будут найдены.

Порядок сравнения

Иногда вы можете получить разные результаты, сравнивая файлы A и B и B и A, особенно когда файлы A и B представляют собой большие файлы с большим количеством маленьких совпадающих и различающихся областей. Как объяснялось ранее, алгоритм сравнения не является полностью детерминированным, поэтому повторная синхронизация может происходить в разных позициях в зависимости от того, что с чем сравнивается.

Сравнение с альтернативным потоком

Хотя диалоговое окно сравнения позволяет выбирать только файлы и диски, также можно указать альтернативный поток в качестве вторичного файла. Введите путь к файлу, либо набрав его, либо с помощью кнопки «Обзор», а затем добавьте символ двоеточия и имя альтернативного потока.

Если имя потока содержит специальный непечатаемый символ, введите его, удерживая клавишу Alt и вводя трехзначный код десятичного символа (вы не можете использовать управляющие последовательности символов в диалоговом окне сравнения).

Мне интересно, существует ли такой инструмент, который может делать два криминалистических изображения и обнаруживать различия между ними.

Например, два изображения из одной и той же системы, снятые с разницей в день, и инструмент может выделить новые или измененные файлы/папки между ними.

X-Ways Forensics.
Выберите «Инструменты -> Сравнить данные».
Выберите два файла/изображения для сравнения.
Создает список различий для поиска (или очень большой текстовый файл, если хочешь!)

Используйте команду 'cmp'.
Вывод может оказаться не таким полезным, как вариант X-Ways/Windows.

Привет всем!

Мне интересно, существует ли такой инструмент, который может делать два криминалистических изображения и обнаруживать различия между ними.

Например, два изображения из та же система с разницей в один день, и инструмент может выделить новые или измененные файлы/папки между ними.

Спасибо!

Смонтировав оба образа только для чтения, а затем создав «diff» дисков, вы получите ответы на все вопросы. Простое решение, не так ли?

Смонтировав оба образа только для чтения, а затем создав «diff» дисков, вы получите ответы на все вопросы. Простое решение, не так ли?

С уважением,
Робин

Ах! Так легко все усложнить, а? Спасибо за совет.

В MS Windows

X-Ways Forensics.
Выберите «Инструменты -> Сравнить данные»
Выберите два файла/изображения для сравнения.
Создает поисковый список различий (или очень большой текстовый файл, если хотите!)

или в Linux

Используйте команду 'cmp'.
Вывод может быть не таким, как немедленно пригодится в качестве опции X-Ways/Windows.

Спасибо! Также похоже (по крайней мере, из онлайн-руководства), что WinHex Free тоже может это сделать. Я проверю, спасибо за совет.

Смонтировав оба образа только для чтения, а затем создав «diff» дисков, вы получите ответы на все вопросы.

Что бы вы предложили (какой конкретный инструмент/программу) для «разницы» дисков?

Зачем монтировать их в тома?

может быть, больше подходит (я уверен, что подобные инструменты для Linux существуют)

@AmNe5iA
Это будет "бинарное сравнение", не так ли?
Если да, то это не имеет особого смысла - при всем уважении - если область действия соответствует "выделению новые или измененные файлы/папки между ними.".
При двоичном сравнении у вас будут тысячи, может быть, миллионы однобайтовых различий, а сдвиг одного байта может сделать их миллионами или миллиардами.

Привет всем!

Мне интересно, существует ли такой инструмент, который может делать два криминалистических изображения и обнаруживать различия между ними.

Например, два изображения из та же система с разницей в один день, и инструмент может выделить новые или измененные файлы/папки между ними.

Спасибо!

Я бы использовал MFT2CSV для создания 2 CSV из 2 изображений. А затем «сравните» два CSV

Я бы использовал MFT2CSV для создания 2 CSV из 2 изображений. А затем «сравните» два CSV

Это хорошая идея ), но ТОЛЬКО для томов NTFS.

Да, я ценю совет, но на самом деле мои изображения относятся к ОС Android, поэтому $MFT не нужно…

@mansiu, @jaclaz

Да, я ценю совет, но на самом деле мои изображения относятся к ОС Android, поэтому никаких $MFT…

Да, я ожидал этого подмигивания , поэтому я прокомментировал хорошее предложение Мансиу.

Как упоминалось ранее, используйте *любой инструмент*, который вы сочтете нужным, чтобы составить подробный список в текстовой форме содержимого файловой системы для обоих образов (или временно смонтированных томов), а затем сравните их. что для этого вам понадобится инструмент "сравнения" с возможностями "синхронизации", а не "простой" инструмент сравнения и уж точно не бинарный инструмент сравнения.

Я настоятельно рекомендую Beyond Compare от Scooter Software.

Несмотря на то, что это строго криминалистический инструмент, я никогда не встречал другого инструмента, способного сопоставить две файловые системы рядом и показать различия. Он предлагает множество различных вариантов сравнения, основанных на именах файлов, размерах, содержимом и т. д., и может отфильтровывать общие файлы, чтобы различия были более очевидными. Определенно стоит 30 долларов за стандартную версию.

Рискуя подключить мой собственный инструмент, вы можете создать дамп файловой системы Windows (FAT, NTFS) с помощью моего программного обеспечения BMTK. Это создает файл XML. Вы можете сравнить 2 из этих XML-файлов, чтобы обнаружить незначительные изменения в файловой системе. Это может не иметь особого значения для реальных случаев, но это отличный способ поэкспериментировать с поведением файловой системы и подробно посмотреть, что происходит под капотом.

Читайте также:

  
• Как убрать задержку на HDMI-телевизоре
  
• Как подключить два Bluetooth-устройства к iPhone
  
• Установить личный кабинет Ростелеком на компьютер
  
• Замена памяти на MacBook Air 2010
  
• Как настроить небо в 3ds max corona