cnanti 发表于 2008-12-10 22:57:51

自己操作Winhex_v15.1 With_Forensics软件的一个小技艺(好,常用)

点开winex,如果不选法证界面,再次打开就没有forensic界面,先是通过自已的分析,通过跟踪文件,肯定是建立了一个文件或是通过写进注册表了内容,用
hook检测发现是创建了文件
c:\Documents and Settings\CNANTI\桌面\setup1\WinHex.TMP 创建了
c:\Documents and Settings\CNANTI\桌面\setup1\WinHex cnanti.cfg 创建了
c:\Documents and Settings\CNANTI\桌面\setup1\indexcha.txt 创建了
c:\Documents and Settings\CNANTI\桌面\setup1\Recently Opened.dat 创建了


只是这一个文件起到了作用
c:\Documents and Settings\CNANTI\桌面\setup1\indexcha.txt 创建了
第一次运行如果没有选中法证界面,删除这一个文件,再打开又可以选中了。
前提是没有注册
转自中国硬盘基地技术社区 http://bbs.intohard.com ,原文地址:http://bbs.intohard.com/viewthread.php?tid=51716

msxchina 发表于 2008-12-11 02:09:14

Winhex_v15.1 With_Forensics?感觉名字怪怪的(38:

freesoft00 发表于 2008-12-11 02:09:44

都是钱,其实什么都不是。论坛的这个机制很不好。共享的东西变的不太共享了
能不能换成别的方法。

GTXsteven 发表于 2008-12-11 07:08:29

感謝你的分享~!!

lxb36 发表于 2008-12-11 08:19:08

花点钱买点见识,应该,本身我们学会这些东西也会用它收别人的,何况这不是真的钱,只是要付点劳动

chenkiki 发表于 2008-12-11 08:23:52

长见识了,谢谢

tywjh 发表于 2008-12-11 09:04:48

看贴也要钱,什么世道???

hx008 发表于 2008-12-11 12:19:47

看了之后不知道讲的什么意思???

shuaiji0077 发表于 2008-12-11 12:49:38

感謝你的分享~!!

wzg 发表于 2008-12-11 13:17:52

长见识了,谢谢
页: [1] 2 3 4 5
查看完整版本: 自己操作Winhex_v15.1 With_Forensics软件的一个小技艺(好,常用)